基于大數(shù)據(jù)分析的安全管理平臺(tái)技術(shù)研究及應(yīng)用
——以鐵路數(shù)據(jù)管理平臺(tái)為例

倪 斌，張明真

(1.河南司法警官職業(yè)學(xué)院，河南 鄭州 450000； 2.鄭州鐵路職業(yè)技術(shù)學(xué)院，河南 鄭州 451460)

基于大數(shù)據(jù)分析的安全管理平臺(tái)技術(shù)研究及應(yīng)用
——以鐵路數(shù)據(jù)管理平臺(tái)為例

倪 斌1，張明真2

(1.河南司法警官職業(yè)學(xué)院，河南 鄭州 450000； 2.鄭州鐵路職業(yè)技術(shù)學(xué)院，河南 鄭州 451460)

大數(shù)據(jù)分析能給現(xiàn)代人帶來(lái)更多的便捷，能給企業(yè)帶來(lái)更多的利益，同時(shí)也會(huì)增加企業(yè)的成本。在有效利用大數(shù)據(jù)分析的同時(shí)保護(hù)好數(shù)據(jù)資源，既不讓重要數(shù)據(jù)外泄又能阻止外來(lái)數(shù)據(jù)的干擾，是現(xiàn)代數(shù)據(jù)安全管理平臺(tái)技術(shù)研究的重要方向。

大數(shù)據(jù);數(shù)據(jù)安全;平臺(tái)建設(shè)

大數(shù)據(jù)分析在網(wǎng)絡(luò)與信息安全管理平臺(tái)的應(yīng)用已經(jīng)取得了一些重要的成績(jī)，特別是在甄別風(fēng)險(xiǎn)和漏洞并尋找解決方案的時(shí)候，利用大數(shù)據(jù)分析技術(shù)能帶來(lái)意想不到的效果。通過(guò)進(jìn)行大數(shù)據(jù)分析，我們能發(fā)現(xiàn)大量的正常途徑無(wú)法發(fā)現(xiàn)的安全事件，尋找到關(guān)聯(lián)點(diǎn)，從而描繪出一個(gè)較為接近完整的安全威脅。不僅如此，大數(shù)據(jù)分析技術(shù)還能整合原本雜亂無(wú)章的零散數(shù)據(jù)，幫助安全人員尋找并選擇更為主動(dòng)的安全防御途徑[1]。

為了應(yīng)對(duì)不斷變化的安全挑戰(zhàn)，人們部署了多重防火墻、UTM、IDS、IPS、系統(tǒng)漏洞掃描系統(tǒng)、病毒防護(hù)系統(tǒng)、終端加密管理系統(tǒng)、WAF、DB-AUDIT以及設(shè)備安全監(jiān)控平臺(tái)等，構(gòu)建起了一道道看似固若金湯的安全防線。然而，這些所謂的安全防線大都僅僅是為了抵御來(lái)自某個(gè)具體已知方面的安全威脅，迫使整個(gè)系統(tǒng)形成了一個(gè)個(gè)“安全防御孤島”，無(wú)法產(chǎn)生協(xié)同效應(yīng)。另一種結(jié)果是，這些復(fù)雜的IT設(shè)備資源及其安全防御設(shè)施在日夜不停的運(yùn)作過(guò)程中產(chǎn)生了大量臃腫的安全日志和事件，形成了附屬的“信息孤島”[2]。技術(shù)和數(shù)量有限的安全管理人員在這些數(shù)量龐大、割裂存在的安全大數(shù)據(jù)面前，面對(duì)著各種產(chǎn)品自身復(fù)雜的控制界面和警告窗口，顯得窘迫無(wú)力，根本無(wú)法發(fā)現(xiàn)真正的安全隱患。研究大數(shù)據(jù)的安全管理平臺(tái)，需要結(jié)合實(shí)際，選擇確實(shí)可靠的案例進(jìn)行分析，又不能用太小眾的產(chǎn)品，否則不具備代表性。我國(guó)鐵路建設(shè)成績(jī)舉世矚目，高鐵運(yùn)營(yíng)班次及運(yùn)載人數(shù)世界第一。 如此龐大的體系，每天產(chǎn)生的數(shù)據(jù)量多如牛毛，全國(guó)鐵路數(shù)據(jù)管理平臺(tái)能十分及時(shí)地提供實(shí)時(shí)票務(wù)情況并安排相關(guān)班次調(diào)整。這樣的大系統(tǒng)大平臺(tái)必然涉及很多人員，數(shù)據(jù)的安全與保密是鐵路部門(mén)需要重點(diǎn)建設(shè)的。乘客的個(gè)人信息，與購(gòu)票系統(tǒng)相連的銀行信息等等，一旦泄密，造成的后果不可估量。

1 數(shù)據(jù)安全管理需求

大數(shù)據(jù)分析是一種新興的卻普遍適用的技術(shù)，在目前的安全環(huán)境下并沒(méi)有專(zhuān)門(mén)建立針對(duì)大數(shù)據(jù)的比較完整及系統(tǒng)化的數(shù)據(jù)安全管理體系標(biāo)準(zhǔn)。要對(duì)大數(shù)據(jù)信息安全進(jìn)行根本意義上的防護(hù)，應(yīng)當(dāng)優(yōu)先考慮安全系統(tǒng)的標(biāo)準(zhǔn)化建設(shè)，包括大數(shù)據(jù)技術(shù)的使用過(guò)程、平臺(tái)建設(shè)、運(yùn)行細(xì)節(jié)、風(fēng)險(xiǎn)評(píng)估等多個(gè)方面，逐步實(shí)現(xiàn)大數(shù)據(jù)信息安全管理可視可控化的目標(biāo)。鐵路部門(mén)數(shù)據(jù)管理平臺(tái)的大數(shù)據(jù)包括了乘客的個(gè)人信息、銀行信息，列車(chē)的班次信息，票務(wù)信息，新軌道交通的建設(shè)信息等重要信息，大量的數(shù)據(jù)通過(guò)網(wǎng)絡(luò)在數(shù)據(jù)管理平臺(tái)上實(shí)時(shí)共享。作為國(guó)家重要的交通工具管理當(dāng)局，鐵路部門(mén)必須嚴(yán)格控制數(shù)據(jù)的安全性、機(jī)密性與可操作性[3]。

一方面，平臺(tái)業(yè)務(wù)涉及全國(guó)鐵路部門(mén)，波及全部平臺(tái)使用對(duì)象及有關(guān)單位。許多用戶在使用數(shù)據(jù)時(shí)缺乏安全管理意識(shí)及能力，有的用戶直接在網(wǎng)吧就登錄對(duì)應(yīng)的網(wǎng)站，進(jìn)行購(gòu)票交易。因?yàn)槭褂脤?duì)象的不穩(wěn)定性，登錄端口的不確定性，給平臺(tái)的安全管理帶來(lái)很大的壓力，也給來(lái)自網(wǎng)絡(luò)和黑客的各種病毒(如木馬、蠕蟲(chóng)等各種破壞程序)帶來(lái)巨大的機(jī)會(huì)，一旦攻擊成功，將對(duì)全國(guó)的鐵路運(yùn)營(yíng)系統(tǒng)造成巨大的影響，甚至使其癱瘓，導(dǎo)致群眾心理恐慌。

另一方面，數(shù)據(jù)本身也具有安全管理的需求。系統(tǒng)數(shù)據(jù)是鐵路管理平臺(tái)的重要核心內(nèi)容，也是鐵路管理部門(mén)的重要資產(chǎn)和后續(xù)分析資源。一旦發(fā)生數(shù)據(jù)丟失、外泄或損壞，將破壞整體數(shù)據(jù)的保密性、完整性和使用性，給鐵路部門(mén)帶來(lái)巨大損失。因此，必須根據(jù)數(shù)據(jù)的性質(zhì)分別評(píng)估特定數(shù)據(jù)的安全風(fēng)險(xiǎn)。

根據(jù)數(shù)據(jù)的性質(zhì)和來(lái)源，我們可以將平臺(tái)數(shù)據(jù)區(qū)分為常規(guī)數(shù)據(jù)及敏感數(shù)據(jù)。敏感數(shù)據(jù)指用戶資料、交易信息、鐵路班次調(diào)整數(shù)據(jù)等，這些數(shù)據(jù)對(duì)使用對(duì)象存在安全問(wèn)題及利益相關(guān)，屬于敏感及重點(diǎn)數(shù)據(jù)，應(yīng)重點(diǎn)保護(hù)。而類(lèi)似余票信息、空座數(shù)量等則構(gòu)成了整個(gè)大數(shù)據(jù)分析的整體性，一旦缺失就會(huì)對(duì)整體分析造成重要影響。

所以，鐵路部門(mén)存在極為重要的數(shù)據(jù)安全管理需求，需要加強(qiáng)安全管理平臺(tái)技術(shù)研究與應(yīng)用，建立更為完善的用戶身份認(rèn)證系統(tǒng)及完善登錄端口防護(hù)功能，滿足平臺(tái)用戶日益增加的使用安全需求。

2 安全管理平臺(tái)與大數(shù)據(jù)的聯(lián)系

大數(shù)據(jù)分析在所有網(wǎng)絡(luò)安全領(lǐng)域中對(duì)安全管理平臺(tái)(包括安全信息與事件分析系統(tǒng))所造成的影響可以說(shuō)是最為深遠(yuǎn)的，這是與這兩個(gè)系統(tǒng)先天具備的大數(shù)據(jù)分析特質(zhì)緊密相關(guān)的。

安全管理平臺(tái)，有的學(xué)者也稱之為SOC(Security Operations Center，安全運(yùn)營(yíng)中心)平臺(tái)，一般是指在安全管理系統(tǒng)中，建立安全分區(qū)，以資產(chǎn)和安全事件為核心，組建實(shí)時(shí)資產(chǎn)風(fēng)險(xiǎn)評(píng)估模型，為系統(tǒng)管理員提供事件分析、風(fēng)險(xiǎn)預(yù)警、應(yīng)急處理的集中安全管理系統(tǒng)。

安全信息與事件管理是安全管理平臺(tái)的重要核心，也稱作SIEM(Security Information and Event Management)系統(tǒng)。一般情況下，SIEM通過(guò)對(duì)所有數(shù)據(jù)來(lái)源的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用資源、安全系統(tǒng)的日志以及告警信息進(jìn)行分析處理，實(shí)時(shí)監(jiān)控，調(diào)查審計(jì)，取證分析，并出具各種報(bào)表以實(shí)現(xiàn)來(lái)自企業(yè)和組織的各種IT資源的合法合規(guī)管理，同時(shí)提升管理對(duì)象的危機(jī)處理能力及安全管理能力。

一般的SIEM系統(tǒng)都具備安全事件或日志的有效采集、規(guī)范處理、數(shù)據(jù)存儲(chǔ)、智能分析、多樣展示等幾個(gè)過(guò)程，而以上功能與大數(shù)據(jù)分析的數(shù)據(jù)收集、海量存儲(chǔ)、智能分析和可視化處理過(guò)程是幾近相同的。因此，SIEM系統(tǒng)與大數(shù)據(jù)分析技術(shù)具備天生配對(duì)特質(zhì)。

安全管理平臺(tái)是基于SIEM系統(tǒng)的原理，以多樣化的安全管理信息采集與存儲(chǔ)，多種安全分析與多結(jié)構(gòu)展示為核心，大規(guī)模擴(kuò)充采集的數(shù)據(jù)，增加安全分析模型，實(shí)現(xiàn)在一定風(fēng)控基礎(chǔ)上的資產(chǎn)和業(yè)務(wù)的集中化安全化管理。鐵路系統(tǒng)的數(shù)據(jù)安全管理體系需要利用SIEM系統(tǒng)打造一個(gè)統(tǒng)一平臺(tái)，通過(guò)系統(tǒng)內(nèi)分層建設(shè)、分級(jí)防護(hù)，并多層次增加安全數(shù)據(jù)的采集，達(dá)到平臺(tái)能力及相關(guān)應(yīng)用的可成長(zhǎng)、可擴(kuò)充，創(chuàng)造面向鐵路信息安全防護(hù)數(shù)據(jù)的安全管理體系系統(tǒng)框架。鐵路數(shù)據(jù)安全管理體系架構(gòu)自下而上可分為基礎(chǔ)數(shù)據(jù)分析層、重點(diǎn)數(shù)據(jù)防泄露層、敏感數(shù)據(jù)脫敏層、敏感數(shù)據(jù)隔離交換層和全體數(shù)據(jù)庫(kù)加固層，從而組成完善的鐵路部門(mén)數(shù)據(jù)標(biāo)準(zhǔn)體系和安全管理體系[4]。

3 安全管理平臺(tái)技術(shù)研究及應(yīng)用

涉及數(shù)據(jù)的安全，從硬件到軟件的管理都至關(guān)重要。安全管理平臺(tái)技術(shù)的研究具體可以分為以下幾個(gè)方面：

一是基礎(chǔ)設(shè)備安全管理。主要指硬件層面的安全管理，涉及使用環(huán)境安全管理、設(shè)備安全管理、數(shù)據(jù)介質(zhì)安全管理、防盜安全管理等。數(shù)據(jù)管理中心是平臺(tái)的管理核心，數(shù)據(jù)管理中心的安全是平臺(tái)數(shù)據(jù)的第一保障。數(shù)據(jù)管理中心的用電用水安全、消防安全、防盜安全都是數(shù)據(jù)安全管理的前提條件。

二是網(wǎng)絡(luò)安全管理。網(wǎng)絡(luò)安全管理是數(shù)據(jù)安全管理的根本方法，只有先保證網(wǎng)絡(luò)使用安全，才能保證數(shù)據(jù)傳輸安全。從網(wǎng)絡(luò)結(jié)構(gòu)、進(jìn)出控制、網(wǎng)絡(luò)監(jiān)控、路由交換機(jī)等多個(gè)方面，將系統(tǒng)網(wǎng)絡(luò)劃分為不同的安全等級(jí)，在各自的安全等級(jí)中采用不同的交互安全策略，形成閉環(huán)保護(hù)。

三是主機(jī)安全管理。主要是對(duì)各個(gè)虛擬機(jī)的操作系統(tǒng)、防火墻、WEB環(huán)境、局域網(wǎng)安全進(jìn)行保護(hù)，利用現(xiàn)有的殺毒程序和軟件進(jìn)行漏洞掃描及病毒程序清理，分析并修復(fù)系統(tǒng)漏洞，定期維護(hù)主機(jī)的操作系統(tǒng)及升級(jí)，減少虛擬機(jī)的漏洞。

四是數(shù)據(jù)傳輸安全管理。數(shù)據(jù)傳輸安全主要體現(xiàn)在用戶調(diào)用和操作的時(shí)候，因此，對(duì)登錄者采用復(fù)雜的身份認(rèn)證，包括用戶名、登錄密碼、驗(yàn)證碼及圖案等信息時(shí)，結(jié)合公安部門(mén)的實(shí)名認(rèn)證，能更好地排除非法分子。同時(shí)加強(qiáng)SSL協(xié)議加密手段，對(duì)用戶操作進(jìn)行敏感區(qū)分，一旦進(jìn)行敏感數(shù)據(jù)操作時(shí)，系統(tǒng)自動(dòng)報(bào)警功能啟動(dòng)，還應(yīng)該加強(qiáng)數(shù)據(jù)備份功能，避免傳輸丟失[5]。

五是安全管理平臺(tái)的統(tǒng)一管理。鐵路系統(tǒng)在全國(guó)有許多分支部門(mén)，因此有必要建立統(tǒng)一的數(shù)據(jù)管理中心，由數(shù)據(jù)管理中心統(tǒng)一數(shù)據(jù)管理及傳輸途徑，避免網(wǎng)絡(luò)交叉?zhèn)鬏攲?dǎo)致數(shù)據(jù)掉包。同時(shí)，用戶端APP和其他合作APP的數(shù)據(jù)應(yīng)采用統(tǒng)一的網(wǎng)絡(luò)協(xié)議，并經(jīng)過(guò)統(tǒng)一的云平臺(tái)數(shù)據(jù)管理，采用多級(jí)網(wǎng)絡(luò)協(xié)同安全管理策略。

我們可以從幾個(gè)方面重點(diǎn)思考大數(shù)據(jù)分析背景下數(shù)據(jù)安全存在的問(wèn)題。首先是大數(shù)據(jù)分析技術(shù)的安全防護(hù)技術(shù)創(chuàng)新和強(qiáng)化。大數(shù)據(jù)時(shí)代信息技術(shù)日新月異，各類(lèi)數(shù)據(jù)信息安全威脅也層出不窮，只有不斷地進(jìn)行技術(shù)創(chuàng)新技術(shù)升級(jí)，提前針對(duì)安全漏洞進(jìn)行預(yù)防預(yù)警，避免安全風(fēng)險(xiǎn)，才能實(shí)現(xiàn)安全可視的目標(biāo)。其次是加強(qiáng)信息安全立法和監(jiān)管力度，對(duì)安全管理平臺(tái)的技術(shù)標(biāo)準(zhǔn)通過(guò)法律法規(guī)進(jìn)行規(guī)范化和嚴(yán)格化。由于大數(shù)據(jù)在進(jìn)行數(shù)據(jù)海量收集、傳輸、存儲(chǔ)和處理過(guò)程中，難以集中，可控性不強(qiáng)，因此需要國(guó)家相應(yīng)政策法規(guī)配合，推進(jìn)大數(shù)據(jù)安全管理技術(shù)開(kāi)發(fā)的標(biāo)準(zhǔn)化建設(shè)。再次是運(yùn)用大數(shù)據(jù)技術(shù)本身的特點(diǎn)結(jié)合其他技術(shù)不斷篩選可能項(xiàng)并排除解決問(wèn)題項(xiàng)，進(jìn)而提升系統(tǒng)安全防護(hù)能力。比如大數(shù)據(jù)技術(shù)與云安全技術(shù)交互融合，統(tǒng)一平臺(tái)，統(tǒng)一分析歸集，進(jìn)行多層次多途徑安全防護(hù)[6]。

當(dāng)前國(guó)內(nèi)外針對(duì)大數(shù)據(jù)安全與隱私保護(hù)的相關(guān)研究和技術(shù)開(kāi)發(fā)還不充分，也沒(méi)有相應(yīng)完整系統(tǒng)化的信息數(shù)據(jù)安全管理體系。因此，基于大數(shù)據(jù)分析的安全管理平臺(tái)技術(shù)研究及應(yīng)用任重道遠(yuǎn)，只有通過(guò)有效的技術(shù)革新和相關(guān)政策法規(guī)等緊密結(jié)合，才能從根本上解決安全管理平臺(tái)的技術(shù)問(wèn)題。當(dāng)然，安全沒(méi)有絕對(duì)的，正如進(jìn)攻與防護(hù)也是相對(duì)的，一方松懈必然有另一方進(jìn)步。只有充分發(fā)揮大數(shù)據(jù)分析的作用，才能更為有效地建設(shè)安全管理平臺(tái)。

[1]楊曉春,劉向宇,王斌，等.支持多約束的K-匿名化方法[J].軟件學(xué)報(bào),2006,17(5):1222-1231.

[2]鄧京璟,葉曉俊.基于R樹(shù)多維K-匿名算法[J].計(jì)算機(jī)工程,2008,34(1):80-82.

[3]王一蕾,吳英杰,唐慶明，等.基于混合劃分技術(shù)的隱私保護(hù)關(guān)系型數(shù)據(jù)發(fā)布算法[J].南京理工大學(xué)學(xué)報(bào)(自然科學(xué)版),2013,37(4):493-499.

[4]尚璇.面向發(fā)布的序列類(lèi)數(shù)據(jù)隱私保護(hù)技術(shù)研究[D].杭州：浙江大學(xué),2012.

[5]徐紅云,江麗,彭曙光，等.匿名系統(tǒng)中統(tǒng)計(jì)分析攻擊及防御策略研究[J].湖南大學(xué)學(xué)報(bào)(自然科學(xué)版),2007,34(7):73-77.

[6]史麗燕,谷保平,姚學(xué)禮，等.基于改進(jìn)K-匿名算法的個(gè)人信息隱私保護(hù)應(yīng)用[J].計(jì)算機(jī)仿真,2014,31(3):217-220.

[責(zé)任編輯：趙 偉]

Research and Application of Security Management Platform Based on Large Data Analysis——Take the Platform of Railway Data Management For Example

NI Bin1，ZHANG Mingzhen2

(1.Henan Vocational College of Judicial Police Officers, Zhengzhou 450000,China;2.Zhengzhou Railway Vocational and Technical College, Zhengzhou 451460,China)

Big data analysis can bring more convenient to modern people, can bring more benefits to the enterprise, it will also increase the cost of enterprise. With the effective use of big data analysis, protecting the data resources, letting the important data not leaked and preventing the interference from foreign data is the important direction of modern data security management platform technology research.

large data;data security;platform construction

2017-03- 14

河南省科技攻關(guān)計(jì)劃(社會(huì)發(fā)展領(lǐng)域)項(xiàng)目(162102310377)；河南省教育廳高等學(xué)校重點(diǎn)科研項(xiàng)目計(jì)劃(16B520013)

倪斌(1983—)，男，河南鄭州人，河南司法警官職業(yè)學(xué)院講師，碩士，一級(jí)警司，研究方向?yàn)榫W(wǎng)絡(luò)信息安全、大數(shù)據(jù)應(yīng)用。 張明真(1987—)，女，河南新鄉(xiāng)人，鄭州鐵路職業(yè)技術(shù)學(xué)院助教，碩士，研究方向?yàn)榫W(wǎng)絡(luò)技術(shù)、信息安全。

TP393

A

1008-6811(2017)02-0006-04