陈 立

(江苏省科技资源统筹服务中心,江苏 南京 210009)

0 引言

大数据的进程与网络的发展是相辅相成的,大数据技术的完善为网络使用者提供了更加全面的服务,网络技术的快速推进是大数据普及的动力。 大数据与网络技术的结合促进了信息时代的进程,大数据在推动管理便利化的同时也带来“人肉搜索”等信息安全问题也屡见不鲜,如何在确保信息时代为计算机用户提供更好的服务的条件下,解决大数据时代的到来对网络安全产生的威胁,成为行业健康发展亟待解决的问题。

1 大数据发展对网络安全的威胁

现代信息管理中系统和数据是否安全一直是信息化建立的最大问题,不安全因素的来源各种各样,总结起来,大致有下面几种主要威胁:非人为、自然力造成的数据丢失、设备失效、线路阻断;人为但属于操作人员无意的失误造成的数据丢失;来自外部和内部人员的恶意攻击和入侵。 前面两种的预防基本相同,可以加强内部的管理、规范操作来减少这种不必要的损失。最后一种是当前网络所面临的最大威胁,也是网络安全策略最需要解决的问题。

1.1 网络信息的真伪辨别

随着庞大的信息数据库被投入互联网应用,大量虚假的、歪曲的信息和价值观也在进攻网民的精神世界,广泛的不经证实的网络消息,结合乌合之众效应,很有可能会对人们的思想价值观念造成歪曲,尤其是经常上网冲浪的心智还未成熟的儿童或青少年,很容易受到这些思想价值观念的荼毒和误导。 大量碎片化的未经筛选的信息充斥在网络平台,信息传播的低成本、大众的心理效应,都是培养伪劣信息的温床[1]。

1.2 信息安全无法得到保证

信息时代的发展,信息产生了巨额价值,信息的违法贩卖不能得到有效的遏制,个人隐私无处遁形。 例如云数据技术是为了保证用户们拥有独立的空间储存自己的信息,有利于数据的整合和分析,但是云数据技术发展到如今还很不成熟,容易受到黑客攻击,用户的数据安全无法得到保证;网络社交平台的公共性也潜藏着信息泄漏的危险,哪怕只是普通的晒图、自拍等日常小事,有心之人也会从中搜寻出个人的隐私信息。另外,会有一些不法分子通过计算机技术间接地对他人的计算机进行病毒攻击,以此达到窃取信息、破坏他人财物等目的,尤其是对于一个重要企业或者政府国家,核心数据遭到攻击是非常严重的事情。 信息安全问题防不胜防,不论是企业还是个人都需要高度重视,不给不法分子任何可乘之机。

1.3 网络诈骗愈发猖獗

互联网的普及使得一部分不法分子使用违法手段,利用网络交友的低成本性对用户进行诈骗,或者通过恶性软件进行病毒传播。 不法分子先进行个人信息的窃取,再利用个人信息提升自己交流的可信性,以达到蒙蔽诈骗网友的效果,并利用网络犯罪的难以追踪性钻取漏洞。 另外,微信、支付宝等移动支付手段几乎成了每个人日常生活中的必备品。 然而技术只要不断在发展更新,就会有漏洞,骗子们还会利用移动支付,发掘新型的诈骗形式,例如在任何可能的地点粘贴一些来历不明的二维码,用一些煽动性话语诱惑用户进行扫描,使其误入陷阱,牟取不义之财。

1.4 外部信息侵入风险

基于分享技术的互联网全世界互通互联,在人工智能技术应用逐步深入的情况下,一些境外不良的信息会主动推送给国内的普通互联网使用者,除了商业广告外,甚至涉及意识形态、科技情报等方面的内容,如不加以防范,有可能会造成无法挽回的损失,网络强国的建设必须要有绝对的网络安全作为支撑和保障。

2 危害网络安全的因素

2.1 网络平台的监管力度不到位

网络上一些有害的、违法的信息没有得到足够严密的筛查,危害用户的思想观念和思考方式。 另外,对于网络上具有煽动性和洗脑性的信息,监管部门也要用火眼金睛判决信息是否存在,并及时给予处理。 网络平台要遏制自己的部门进行责任推诿、利用话术打太极等失责行为,要及时解决用户的反馈和投诉。

2.2 用户对个人隐私保护的忽视

当前,各类App、小程序名目繁多,甚至不经授权直接安装在移动用端,任何链接、陌生软件、不明来历的二维码都可能隐藏着窃取个人信息的陷阱,因此不要轻易点击,公民对个人网络安全防范意识还很不充分,认为丢失部分信息并不会对自己产生切实的伤害和损失,其实信息安全事关每个人生活的方方面面,个人隐私的暴露始终是深埋的隐患。

2.3 互联网自由开放的网络环境

互联网的自由开放意味着发言门槛低、禁忌少、缺乏规范性。 每个人都可以选择在自己的社交平台上公开发表言论,展示自己的日常生活,这也让不法分子有了钻漏洞谋取不法利益的机会,为网络安全带来很大的隐患。 另外,网络交友也隐藏着很大的风险,一堆数据就可以刻画、伪造出一个“真实”的人[2]。

2.4 商业利益的驱动

部分从业人员或数据平台的管理人员出于个人利益或者商业利益的需要,将本不该发布在互联网上的业务数据和资料上传至互联网开放平台,或者通过互联网传送加密文件,都会导致不该接入互联网的信息暴露在各类平台上,严重触犯了数字资产所有方的利益。

3 基于海量数据的平台系统建设项目信息安全要求

基于海量数据的平台系统项目建设方应认识并严格遵循如下共性信息安全要求:一是应遵循信息安全“三同步”原则,应在应用系统规划设计之初考虑应用系统的自身安全,并参照采购方相关规定,明确定义在技术方案书中,在建设过程中严格实现,并在系统上线前做完整的安全测试,验收报告;二是应在应用系统规划设计之初考虑系统自身架构安全、网络部署安全等,根据业务需求提出详细的网络安全访问控制策略、部署设计方案;三是应在应用系统需求分析时,从安全合规性、外围安全影响、业务自身安全需求等方面进行安全分析,并满足规定要求;四是应考虑采购方系统运维工作现状及版权等因素,调研并设计符合后期运维需求的产品使用,包括设备厂商、设备型号等;五是系统设计的安全功能应满足采购方安全要求,确保业务功能实现不以牺牲系统安全性为代价;六是在项目实施过程中提供的规范书、维护手册、应急预案等文档必须包含安全内容;七是在系统交付前对系统进行的测试应包含安全测试,测试环境应按照采购方要求搭建,模拟生产环境;八是在系统交付时,应提供应用系统的安全检测报告和整改报告。

4 维护网络安全的具体策略

习近平总书记指出,互联网不是法外之地。 要夯实各相关主体责任,加强网络安全治理,引导大数据产生、管理、使用各方按照网络安全法规范使用互联网和大数据。

4.1 物理安全防护策略

对于来自互联网的业务访问,主要采用防火墙+安全隔离网闸+入侵检测系统加以隔离、防护,需要在本系统和外网的连接处配置防火墙,通过防火墙的策略配置,可以阻止大部分外部的恶意攻击。 但防火墙本身在安全防护方面存在一定的缺陷,即它只能提供静态的、被动的保护,因此还需要在防火墙后配备入侵检测系统,通过入侵检测系统发现外部的可疑攻击并调整防火墙的策略。 最大限度地把非预期的信息屏蔽在外,通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析。 在网络安全的病毒防护方面可采用“多级防范,集中管理,以防为主、防治结合”的动态防毒策略,从用户端PC、网络安全区域结合部、邮件服务器、文件服务器和应用服务器等病毒可能的传输途径进行防治,实现全方位立体防毒。

4.2 操作系统安全策略

4.2.1 与最新的补丁和升级同步

事实表明,大部分成功的攻击其罪魁祸首只是软件中数量很少的几种“老”脆弱点。 攻击者之所以会利用这些最简单方便的脆弱点,是因为利用这些“著名”安防漏洞的工具在网络上到处都有;而攻击者之所以能够得手却完全是因为众多的企业自身对这些“著名”的安防漏洞视而不见,给攻击者以可乘之机。

4.2.2 监控和分析日志文件

每一台系统都会生成日志文件,Windows 服务器会生成事件日志,Unix 服务器会产生Syslog 日志,而Web 服务器软件、防火墙、入侵监测系统以及其他第三方应用软件、安防产品也会生成各种各样的日志文件。 对这些日志文件的监控和分析,可以帮助用户精准地定位异常事项。

4.2.3 定期复查系统配置

为了确保系统不因非法地对系统配置进行修改而产生安全问题,应定期地复查关键系统的系统配置。当然,如果需要复查的系统太多,系统地逐台检查其配置是不现实的,这时应该采用一些工具软件进行辅助。

4.3 应用平台设计安全策略

从技术防护层面看,修复信息泄露的漏洞,加强网络安全的防护,要从网络技术本身出发,提升计算机核心技术,有效阻止黑客的病毒攻击和技术攻破,提升网络安全的分级分类防护水平。 同时大数据技术也需要不断创新,仔细甄别数据产生的差异,定期对网络安全数据进行归纳检查,为网络安全产生防护作用,保证网络的传输质量。 利用先进技术加强对不法分子不法行为的追踪,完善实名认证制度,对网络诈骗行为进行及时的定位追踪并且给予相应的惩处。

4.3.1 应用级别权限控制

项目提供的解决方案需支持基于个人、单位、部门、群组、角色、岗位的多维度权限控制,系统可以针对以上属性进行灵活的权限设定,确保信息安全的可定义性和可执行性。

4.3.2 访问加密

实现HTTPS 通道访问加密和防DOS 攻击,记录访问请求日志,通过HTTPS 保证传输信息加密安全性,同时可以防止蜘蛛爬虫的信息采样。

4.3.3 登录身份认证

一是PKI 统一身份认证。 平台支持为用户配置唯一的用户证书和唯一的一对公钥/私钥,在应用过程中进行基于身份的加密传输和加密存储。 二是系统登录强身份认证。 用户登录平台除了需要常规的用户名密码外,还需要输入验证码,验证码支持通过手机短信的方式随机生成,并设置有效期,有需要的话,平台也支持接入CA 认证。 三是单点登录SSO。 系统内所有功能模块或者子系统,用户只需要进行一次登录验证,就能够完整使用。

4.4 数据安全策略

4.4.1 用户敏感信息加密存储

保证不把敏感性数据在数据库里以明文存放。 密码应该总是在单向(one-way)hashed 过后再存放,同时也必须对数据库里的所有私有数据进行加密。

4.4.2 传输加密

为了保护数据在传送过程中的安全,系统将采用SSL 加密机制。 在浏览器和Web 服务器之间构造安全通道进行数据传输,采用了RC4,MD5 以及RSA 等加密算法[3]。

4.4.3 双机热备份

设置双击热备份,在系统正常情况下,工作机为信息系统提供支持,备份机监视工作机的运行情况。 当工作机出现异常,不能支持信息系统运营时,备份机主动接管工作机的工作,继续支持信息的运营,从而保证信息系统能够不间断的运行。 宕工作机经过修复正常后,系统管理员通过管理命令或经由以人工或自动的方式将备份机的工作切换回工作机;也可以激活监视程序,监视备份机的运行情况,此时,原来的备份机就成了工作机,而原来的工作机就成了备份机。

4.4.4 磁盘阵列建设

在一般性的应用上,单一服务器在遇到问题造成停顿或宕机时,作业都必须停止一段时间,以便进行整理或维修,这样的情况在大部分的单位里是不被允许的,因此有了双服务器的应用方案,但双服务器方案容易造成原配置的数据通道不够,或资料IN/OUT 的时间、位置不统一的状况,此时磁盘阵列柜可以解决上述问题,因为磁盘阵列大多配备了多个通道,提供给两个以上的服务器使用,同时RAID 透过控制器的切割,可以切割出多个区间满足不同服务器的需要。

4.5 数据提供和使用端防护策略

4.5.1 数据搜集和提供端

在建立公共服务平台时,数据搜集和提供端是数据安全的第一道关,数据搜集和扎口单位是第一责任人,要建立和完善数据筛选、审查和评估机制,明确相关规范和标准,确定哪些字段可以上网公开,哪些字段不可以公开或者有权限地公开,从源头上把好“准入”关,实现数据共享和安全的统筹兼顾。

4.5.2 互联网用户端

互联网使用者要贯彻网络安全法,提升自己的网络安全防范意识,在利用杀毒软件、防火墙和一些安全性较高的密码等途径为自己的信息安全构建坚固的防护的前提之下,去充分享受大数据技术带来的便利。同时,常态化检查计算机中的软件信息,经常进行杀毒防护,并巩固防火墙的强度,避免造成更多的经济损失。 各金融、购物、游戏等相关互联网平台要建章立制,完善用户隐私信息预警机制和保护制度,实现闭环管理,从根本上守护信息安全的底线。

4.5.3 政府与平台端

当前,随着“放管服”改革的深入开展,各地方政府部门普遍加强部门数据集成和共享,以实现对大部分事项的“一网通办”,数据的安全风险便随之而来。 因此,要不断完善网络管理制度,加强对信息的筛选和监管力度,遏制不良信息和虚假谣言的传播,对于信用异常的账号进行封号或禁言处理,为平台的用户构建一个安全文明的网络环境。 政府要完善网络安全相关的法律制度,对网络上违反犯罪行为给予高效有力的打击,有效改善网络环境的风气。 贯彻落实《云计算服务安全评估办法》,推动各级各类政务云计算服务平台申报并通过安全评估,督促党政机关、事业单位、国有企业采购使用通过安全评估的云计算服务。 强化政务信息系统、党政机关网站和电子邮件系统安全和保密管理。