◆张新刚于 波田 燕王保平

（1.南阳师范学院计算机与信息技术学院 河南 473061; 2.信阳师范学院政法学院 河南 464000）

大数据时代高校网络空间安全层次化保障体系分析

◆张新刚1于 波2田 燕1王保平1

（1.南阳师范学院计算机与信息技术学院 河南 473061; 2.信阳师范学院政法学院 河南 464000）

随着互联网技术的快速发展与广泛应用，网络空间安全日益受到人们的重视。为了保障大数据环境下高校网络空间安全，本文在分析高校网络空间新的典型安全威胁—APT、DDoS、大数据的隐私泄露和移动智能终端安全威胁的基础上，从设备安全层、系统安全层、数据安全层和内容安全层四个层次，构建并分析了高校网络空间安全层次化保障体系，为进一步提高高校网络空间安全保障能力提供了参考。

大数据; 网络空间安全; 网络安全; APT; 隐私泄露

0 前言

当前，网络空间已成为继陆、海、空、天之外的第五大战略空间，也成为世界各国争相控制的重要领地。特别是“棱镜门”事件爆发以来，各国在网络空间领域的竞争更加激烈。网络空间的安全问题日益严峻，各国纷纷将网络空间安全提升至国家战略[1]。

习近平总书记指出“没有网络安全，就没有国家安全。没有信息化，就没有现代化。”2014年2，中央网络安全和信息化领导小组成立，着眼于推动国家网络安全和信息化建设，增强安全保障能力。

为了进一步推进国家安全战略，国务院学位委员会、教育部于2015年6月批准增设了“网络空间安全”一级学科，并增设了“网络空间安全”一级学科博士学位授权点，这对于加强我国网络空间安全领域高层次人才培养具有重要的意义[2]。

大数据环境下高校网络空间安全问题日益引起人们的重视。本文首先阐述了网络空间安全的概念，然后分析了大数据时代高校网络空间的典型安全威胁，最后设计并分析了大数据时代高校网络空间安全层次化保障体系。

1 网络空间安全的概念

2008年，美国国家安全第54号总统令中对Cyberspace（网络空间）进行了定义：“网络空间是连接各种信息技术基础设施的网络，包括互联网、电信网、计算机系统、嵌入式处理器和控制器系统，并涉及人与人之间相互影响的虚拟信息环境。[3]”

目前对网络空间还没有统一的定义，方滨兴院士认为网络空间是“所有由可对外交换信息的电磁设备作为载体，通过与人互动形成的虚拟空间，包括互联网、通信网、广电网、物联网、社交网络、计算机系统、通信系统、控制系统等。[4]”

2 大数据环境下高校网络空间典型安全威胁

随着高校信息化的快速发展，以及云计算、物联网、移动互联网、MOOC等技术的推广应用，数据呈现爆发式增长。高校师生在校园网、一卡通网、电视网、监控网、传感网、电视网等网络空间，通过应用一卡通、教学、科研等复杂多样化的业务系统，积聚了海量数据，海量数据不断汇聚，促进了高校大数据时代的到来[5]。与普通的企业网络空间相比，高校网络空间具有群体同步、舆论聚集的特征。

大数据环境下，高校网络空间面临着新型的安全问题，典型的安全问题主要包括APT（高级可持续性威胁）、DDoS（分布式拒绝服务）、大数据的隐私泄露、移动智能终端安全威胁等。

2.1 高级可持续性威胁

APT（Advanced Persistent Threat）即高级可持续性威胁，其不同于传统的网络攻击入侵，利用0day漏洞、社会工程学原理等多种方式，综合运用多种网络渗透技术，对政府核心信息资源、工业控制系统等特定组织实施持续性攻击[6]。据国家计算机网络应急技术处理协调中心发布的《2015年中国互联网网络安全报告》，统计表明2015年针对我国境内科研教育、政府机构等发起的APT攻击的黑客组织近30个，由于APT的隐蔽性强，这其中可能还有相当一部分APT攻击事件未被识别，这表明针对我国科研教育行业领域的网络攻防对抗日趋激烈。APT通常有以下几个特征：攻击目标性强、攻击隐蔽性强、攻击持续性强、攻击手段多样化和攻击威胁性强等。APT攻击过程一般经由情报搜集、外部渗透攻击、获得内部控制权、内部横向渗透、价值获取、实施攻击行为、持续渗透等6个环节[7]。为了实现攻击目的，APT会综合利用多种攻击技术，特别是各种网络渗透技术，典型的攻击手段有：（1）利用SQL注入等方式入侵WEB Server; （2）以被入侵的WEB Server为跳板，对内网的其他服务器或者终端进行渗透; （3）利用社会工程学手段发送带有恶意程序的邮件进行定向攻击; （4）通过在目标主机植入木马、后门等回传敏感文件; （5）通过对目标邮箱发送XSS邮件进行攻击，目标邮箱自动向攻击者发送邮件副本，从而获得相关信息。

2.2 分布式拒绝服务

DDoS（Distributed Denial of Service，分布式拒绝服务）一般是利用UDP、DNS、NTP等协议的某些特性或漏洞，对攻击对象进行流量放大攻击。近年来DDoS攻击的方式不断变化，特别是自2014年起，利用网络传输协议设计缺陷发起的反射型DDoS攻击更加频繁，这进一步增加了DDoS溯源和防御的难度。另外，随着主干网络带宽的增加和攻击技术难度的降低，针对高校门户网站的DDoS攻击呈现上升趋势，攻击者通过僵尸网络轻易发起大流量DDoS攻击，从而导致校园网出口堵塞甚至网络崩溃、DNS暂停服务等情况。

2.3 大数据的隐私泄露

隐私泄露是大数据环境下高校网络空间的重要安全问题。由于大数据时代个人数据存在潜在的巨大商业价值，从而导致针对个人数据的隐私泄露风险激增[8]。大数据时代，高校师生在使用移动社交网络、搜索引擎等各种互联网应用时会将大量个人敏感隐私信息暴露在互联网上，不经意间在互联网上留下了使用痕迹，包括位置隐私、身份隐私等信息，这些痕迹信息具有一定的关联性和累积性，如果将这些海量信息汇聚进行组合分析，隐私风险泄露概率将成倍增加，很可能能够挖掘出个人的行为习惯、行动轨迹、社交网络等隐私信息，为恶意分子利用这些信息进行精准网络诈骗和敲诈勒索提供了可能[9]。个人隐私的泄露会威胁到高校师生的生活安全，也成为影响高校安全稳定的重要因素。

2.4 移动智能终端安全威胁

随着互联网的发展和智能终端的普及，高校师生使用智能手机的比例不断提高。由于智能手机、平板电脑等移动终端设备具有便携性、互联性等特点，能够方便地通过多种形式接入互联网，满足了师生移动学习、移动办公、社交、网购等需求，还可以与其他设备互联互通实时分享信息。然而，正是由于移动智能终端多样化的网络接入方式和丰富的网络应用，其已成为恶意软件重点攻击的目标,主要攻击方式有无线攻击、木马攻击、蠕虫攻击等。

3 高校网络空间安全层次化保障体系构建及分析

3.1 网络空间安全基本要素结构

网络空间安全基本要素由安全主体、安全威胁和安全保障组成，网络空间安全基本要素立体结构如图1所示。三者之间的关系是：安全主体是要保护的实体，也是潜在被攻击的对象; 安全威胁是针对安全主体的潜在攻击; 安全保障是针对潜在威胁而采取的保护安全主体的措施方法[10]。具体来说，安全主体是指需要保护的实体。例如，校园网的基础设施、路由器、终端主机、应用系统、支撑软件、应用平台、子网等。任何安全都是相对的安全，有限的安全，因此对于安全主体应当划清安全的层次边界，进行有限地保护。安全威胁是指攻击安全实体的方式。例如电磁破坏、DDoS、漏洞利用、僵尸网络、APT、情报窃取、支付冒充、隐私挖掘等。随着网络技术和软硬件设备漏洞的不断发现，安全威胁的方式层出不穷，攻击手段不断翻新。对于不同的安全威胁，要深入分析其攻击意图和攻击过程，只有做到有的放矢才能够有效防范[11]。安全保障是指为了应对安全威胁而采取的防护措施。主要有电磁屏蔽、风险评估、访问控制、VPN部署、防火墙部署、安全传输、数字签名、情报对抗、隐私保护等方式。安全威胁与安全保障是对抗关系，总处于一种动态的演进过程，没有一劳永逸的安全保障措施。只有实时研判安全主体的安全威胁，掌握网络攻防态势，才能有的放矢采取适当方式做好安全保障。

图1 网络空间安全基本要素立体结构图

3.2 高校网络空间安全层次化保障体系

将网络空间中的信息系统自下向上分为设备安全层、系统安全层、数据安全层和内容安全层，每层都面临着不同的安全威胁，整合起来就形成了网络空间安全的层次化模型[12]。按照大数据环境下高校网络空间安全保护的对象、安全保护的层次、安全威胁的类型和对应的安全保护技术，构建了高校网络空间安全层次化保障体系模型如图2所示。

图2 高校网络空间安全层次化保障体系模型

下面结合大数据环境下高校网络空间实际，分别对设备安全层、系统安全层、数据安全层和内容安全层的安全威胁和安全防御技术进行分析。

（1）设备安全层

设备安全层主要涉及网络空间中信息系统设备的安全问题，包括电磁破坏、设备失效、终端被攻、电子干扰等威胁。设备安全是信息系统安全的物质基础，设备的任何安全故障都将会影响信息系统的安全。大数据在设备安全层主要面临设备失效的威胁，可以对大数据进行灾备。针对高校网络空间中设备安全层的安全威胁，可以采取电磁屏蔽（如防雷击）容灾备份（如远程备份、双击热备等）、可靠供电（如UPS）、终端安全、探针安全等相关安全技术措施来应对。

（2）系统安全层

系统安全层在网络空间中面临着信息系统自身的安全威胁，主要包括黑客攻击、木马病毒、僵尸网络、传输干扰、运行干扰、软件故障等问题。应对技术和策略主要包括风险评估、传输安全、网络对抗、网络防窃、运行安全等。大数据环境下，系统安全层主要面临着运行干扰问题。例如，当系统中某个计算节点由于某种故障停止服务时，相应的计算任务要进行转移，此时大数据计算能否可靠运行是一个重要问题。

（3）数据安全层

网络空间中数据安全层主要面临数据处理过程中所带来的安全威胁，主要包括信息篡改、密码破解、操作抵赖、非法程序、情报窃取等问题。数据安全层涉及到信息的完整性、真实性、机密性、可用性、不可抵赖性等安全属性。应对的安全技术主要包括数字签名、新型密码、情报对抗、可信云服务等。大数据环境下，数据安全层主要面临数据混乱的问题。这是由于大量的噪声数据可能与有价值的数据存储在一起，如果不能有效地识别噪声数据，将会导致有价值的海量数据不能有效利用。例如，在网络舆情中，如何从海量的舆论中识别网络水军发布的大量虚假言论，这就需要构建科学合理的识别机制，加强对大数据的可信技术研究。

（4）内容安全层

网络空间中内容安全层主要面临着应用所带来的安全威胁，主要包括有害信息，制造舆论、隐私挖掘、支付冒充等安全威胁。应对的安全技术有舆情研判、隐私保护、可控云服务等。在大数据环境下，内容安全层主要面临着不当的隐私挖掘带来的信息泄露问题。这是由于在大数据环境下，通过关联性能够从非结构化的海量数据中挖掘出有价值的信息，包括用户的隐私信息。因此，针对大数据的隐私挖掘，应建立严格的隐私保护机制，确保大数据应用规范有序。

4 结论与展望

随着互联网技术的快速发展和推广应用，网络空间安全面临着严峻的挑战和威胁。大数据环境下高校网络空间安全面临着高级可持续性威胁、分布式拒绝服务、大数据的隐私泄露、移动智能终端安全威胁等典型问题，结合高校网络空间实际，设计了高校网络空间安全层次化保障体系模型，分别对模型中的设备安全层、系统安全层、数据安全层和内容安全层的安全威胁和应对措施进行了分析，该模型对提高高校网络空间安全保障能力具有一定的参考价值。今后随着云计算、大数据、物联网、社交网等新技术和新应用的发展，高校网络空间将会面临更复杂、更严峻的安全问题，下一步需要考虑从主动防御、纵深防御、协同防御、等级保护、态势感知等角度，构建立体化、动态化的综合防御体系，不断提高高校网络空间安全保障能力和水平。

[1]方兴东，张笑容，胡怀亮.棱镜门事件与全球网络空间安全战略研究[J].现代传播，2014.

[2]李晖，张宁.网络空间安全学科人才培养之思考[J].网络与信息安全学报，2015.

[3]张焕国，韩文报，来学嘉，等.网络空间安全综述[J].中国科学：信息科学，2016.

[4]方滨兴.从层次角度看网络空间安全技术的覆盖领域[J].网络与信息安全学报，2015.

[5]孙其伟，陆春.大数据在高校中的应用研究[J].中国教育网络，2014.

[6]杜跃进，翟立东，李跃，等.一种应对APT攻击的安全架构：异常发现[J].计算机研究与发展，2014.

[7]王丽娜，余荣威，付楠，等.基于大数据分析的APT防御方法[J].信息安全研究，2015.

[8]刘雅辉，张铁赢，靳小龙，等.大数据时代的个人隐私保护[J].计算机研究与发展，2015.

[9]孟小峰，张啸剑.大数据隐私管理[J].计算机研究与发展，2015.

[10]李芝棠.校园网络空间的安全视图[J].中国教育网络，2015.

[11]张新刚，于波，程新党，等.大数据与云计算环境下个人信息安全协同保护研究[J].电脑知识与技术，2016.

[12]张新刚，王燕.数字化校园主动安全防御体系分析[J].实验室研究与探索，2012.

河南省教育厅科学技术研究重点项目（17A520049，17A630046）; 河南省教育厅人文社科项目（2015-ZD-047，2016-zd-027，2015-sz-057，2017-ZZJH-394）。