大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全管理平臺(tái)構(gòu)建

徐智華

摘 要：大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，國(guó)家政務(wù)信息數(shù)據(jù)安全受到嚴(yán)重威脅。論文對(duì)當(dāng)前大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)安全形勢(shì)進(jìn)行分析，從風(fēng)險(xiǎn)管控和安全評(píng)估兩方面總結(jié)提出網(wǎng)絡(luò)安全管理理論，并在此理論基礎(chǔ)上，構(gòu)建基于大數(shù)據(jù)的網(wǎng)絡(luò)安全管理平臺(tái)，從而介紹了平臺(tái)的技術(shù)特點(diǎn)、體系框架、核心系統(tǒng)及關(guān)鍵要素，最后對(duì)該平臺(tái)在實(shí)踐中的應(yīng)用進(jìn)行了總結(jié)和展望。

關(guān)鍵詞：大數(shù)據(jù)；網(wǎng)絡(luò)安全；管理平臺(tái)

中圖分類(lèi)號(hào)：TP311.13；TP309 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： In big data era， the situation of network security is grim， and the information security of the national government is seriously threatened. In this paper， around the current network security situation in big data， the theory of network security management is summarized and proposed， from the risk management and security evaluation. According to this theory， a network security management platform in big data is constructed. The technical characteristics， system framework， core system and key elements of this platform are introduced in detail. Finally， the application of the platform in practice is summarized.

Key words： big data； network security； management platform

1 引言

當(dāng)今世界，網(wǎng)絡(luò)信息技術(shù)日新月異，正在逐步改變?nèi)藗兊纳a(chǎn)生活方式，深刻影響人類(lèi)社會(huì)歷史發(fā)展進(jìn)程。聚焦中國(guó)，隨著信息化和網(wǎng)絡(luò)化的飛速發(fā)展，各類(lèi)數(shù)據(jù)信息呈指數(shù)式增長(zhǎng)，大數(shù)據(jù)應(yīng)運(yùn)而生，從個(gè)人網(wǎng)上行政審批，到國(guó)家的航天測(cè)繪工程，都離不開(kāi)大數(shù)據(jù)，整個(gè)社會(huì)進(jìn)入大數(shù)據(jù)時(shí)代。2018年8月，國(guó)務(wù)院出臺(tái)了《關(guān)于加快推進(jìn)全國(guó)一體化在線(xiàn)政務(wù)服務(wù)平臺(tái)建設(shè)的指導(dǎo)意見(jiàn)》，有力推進(jìn)了在線(xiàn)政務(wù)服務(wù)平臺(tái)建設(shè)，進(jìn)一步強(qiáng)化了大數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的支撐作用。在政務(wù)平臺(tái)運(yùn)行過(guò)程中，網(wǎng)絡(luò)攻擊時(shí)常出現(xiàn)，嚴(yán)重威脅政務(wù)平臺(tái)的正常運(yùn)轉(zhuǎn)和大數(shù)據(jù)安全。為了有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)安全管理平臺(tái)從理論研究逐步走向應(yīng)用實(shí)踐，并在全國(guó)一體化在線(xiàn)政務(wù)服務(wù)平臺(tái)建設(shè)中得到較為廣泛的應(yīng)用發(fā)展，成為保障政務(wù)網(wǎng)絡(luò)信息數(shù)據(jù)安全的重要工具。

2 網(wǎng)絡(luò)安全形勢(shì)

2.1 現(xiàn)實(shí)案例

2015年10月，英國(guó)電信運(yùn)營(yíng)商TalkTalk旗下約有400萬(wàn)用戶(hù)信息泄露，包括電子郵件、名字和電話(huà)號(hào)碼，以及數(shù)萬(wàn)銀行賬戶(hù)信息；2016年1月，全美最大的有線(xiàn)電視公司時(shí)代華納表示旗下約有32萬(wàn)用戶(hù)的郵件和密碼信息被竊??；2017年5月，新型“蠕蟲(chóng)”式勒索病毒W(wǎng)annaCry爆發(fā)，席卷全球，這場(chǎng)全球最大的網(wǎng)絡(luò)攻擊已經(jīng)造成至少150個(gè)國(guó)家和30萬(wàn)臺(tái)機(jī)器受到感染。根據(jù)國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄的漏洞統(tǒng)計(jì)結(jié)果來(lái)看，2015年到2017年新增安全漏洞年均增長(zhǎng)超過(guò)20%，呈快速增長(zhǎng)趨勢(shì)。根據(jù)《2017年度DDos攻擊報(bào)告》數(shù)據(jù)，2017年針對(duì)國(guó)內(nèi)網(wǎng)絡(luò)數(shù)據(jù)中心（Interner Data Center）攻擊頻率加快，日均達(dá)到1050起，其中100Gbps以下的攻擊事件占90%，互聯(lián)網(wǎng)金融、電子商務(wù)、政務(wù)平臺(tái)是攻擊的重點(diǎn)對(duì)象。大數(shù)據(jù)時(shí)代，信息數(shù)據(jù)價(jià)值不斷上升，網(wǎng)絡(luò)攻擊者通過(guò)發(fā)動(dòng)網(wǎng)絡(luò)攻擊，獲取重要敏感信息。由此可見(jiàn)，網(wǎng)絡(luò)攻擊已經(jīng)頻繁出現(xiàn)，采取有效措施保障大數(shù)據(jù)安全刻不容緩。

2.2 原因分析

大數(shù)據(jù)的廣泛應(yīng)用，大幅度提升社會(huì)生產(chǎn)力的同時(shí)，也對(duì)信息安全構(gòu)成了嚴(yán)重的挑戰(zhàn)，原因有三點(diǎn)。

第一，網(wǎng)絡(luò)化社會(huì)使大數(shù)據(jù)極易成為攻擊目標(biāo)。網(wǎng)絡(luò)化社會(huì)的形成，為大數(shù)據(jù)在各個(gè)行業(yè)、領(lǐng)域?qū)崿F(xiàn)資源共享和數(shù)據(jù)互通搭建平臺(tái)和通道。大數(shù)據(jù)、云計(jì)算等新興技術(shù)促使信息網(wǎng)絡(luò)形成一個(gè)開(kāi)放共享的環(huán)境，大數(shù)據(jù)的信息量大、價(jià)值高且相互關(guān)聯(lián)，對(duì)于攻擊者而言，相對(duì)低的成本可以獲得“滾雪球”的收益。

第二，大數(shù)據(jù)本身安全防護(hù)方面存在不足[1]。當(dāng)前大數(shù)據(jù)類(lèi)型的千姿百態(tài)，80%以上為非結(jié)構(gòu)化數(shù)據(jù)，雖然NoSQL數(shù)據(jù)存儲(chǔ)具有可擴(kuò)展性和可用性等優(yōu)點(diǎn)，但NoSQL仍然存在各種漏洞，而且NoSQL服務(wù)器軟件沒(méi)有內(nèi)置足夠的，API訪(fǎng)問(wèn)權(quán)限控制以及密鑰生成、存儲(chǔ)和管理方面的不足都可能造成安全隱患。

第三，網(wǎng)絡(luò)技術(shù)迅速發(fā)展增加了安全風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和人工智能的發(fā)展，為大數(shù)據(jù)自動(dòng)收集以及智能動(dòng)態(tài)分析提供了便利。但是，網(wǎng)絡(luò)信息技術(shù)發(fā)展是把雙刃劍，利用數(shù)據(jù)挖掘和數(shù)據(jù)分析等技術(shù)獲取有價(jià)值信息的同時(shí)，攻擊者也在利用這些技術(shù)發(fā)動(dòng)網(wǎng)絡(luò)攻擊。

3 網(wǎng)絡(luò)安全管理理論

本文所提的網(wǎng)絡(luò)安全管理，其理論研究主要集中在風(fēng)險(xiǎn)管制機(jī)制[3]與安全評(píng)價(jià)機(jī)制兩個(gè)方面。

3.1 風(fēng)險(xiǎn)管控機(jī)制

風(fēng)險(xiǎn)管控機(jī)制，主要由控制者、對(duì)象、手段與工具組成，這三者是網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)管控機(jī)制構(gòu)建中的重要元素。其中，風(fēng)險(xiǎn)控制者，一般是數(shù)據(jù)庫(kù)或服務(wù)器的管理人員；風(fēng)險(xiǎn)控制對(duì)象，重點(diǎn)是指軟硬件基礎(chǔ)設(shè)施和數(shù)據(jù)等信息系統(tǒng)；風(fēng)險(xiǎn)控制手段與工具，一般包含管控機(jī)構(gòu)、機(jī)制、方法。大數(shù)據(jù)時(shí)代下，計(jì)算機(jī)和互聯(lián)網(wǎng)能夠有效提升控制效能，因此控制行為的實(shí)施還需緊緊依托此二者。要構(gòu)建網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)管控機(jī)制，必須分析信息安全存在的主要問(wèn)題，明確控制對(duì)象、手段和工具，制定相應(yīng)安全策略。

3.2 安全評(píng)價(jià)機(jī)制

大數(shù)據(jù)時(shí)代下，網(wǎng)絡(luò)攻擊呈現(xiàn)出多樣性特點(diǎn)，對(duì)網(wǎng)絡(luò)信息安全進(jìn)行評(píng)價(jià)時(shí)應(yīng)當(dāng)重視評(píng)估的全面性，建立安全評(píng)價(jià)機(jī)制時(shí)盡可能選取普遍存在的評(píng)價(jià)指標(biāo)，充分考慮評(píng)價(jià)指標(biāo)的穩(wěn)定性、代表性以及可量化性。同時(shí)，需要展現(xiàn)出評(píng)價(jià)結(jié)果的實(shí)用性，在選取指標(biāo)時(shí)，特別需確認(rèn)該指標(biāo)是否便于可視化分析[5]。

4 基于大數(shù)據(jù)安全管理平臺(tái)

基于大數(shù)據(jù)的安全管理平臺(tái)，是一套借助于大數(shù)據(jù)這個(gè)媒介，針對(duì)網(wǎng)絡(luò)安全方面存在的風(fēng)險(xiǎn)，進(jìn)行有效網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控、分析出高質(zhì)量、有價(jià)值的網(wǎng)絡(luò)安全評(píng)估報(bào)告的綜合安全管理體系。本文所提出的安全管理平臺(tái)重點(diǎn)研究對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的管控和分析評(píng)估。

4.1 技術(shù)特點(diǎn)

基于大數(shù)據(jù)的安全管理平臺(tái)，涵蓋大數(shù)據(jù)收集、存儲(chǔ)、分析及可視化等多種技術(shù)于一體，主要呈現(xiàn)出三個(gè)特點(diǎn)。一是涉及的數(shù)據(jù)量龐大。網(wǎng)絡(luò)安全設(shè)備需要收集分析和監(jiān)測(cè)的數(shù)據(jù)包量呈指數(shù)式上升，安全網(wǎng)關(guān)要進(jìn)行分析的網(wǎng)絡(luò)協(xié)議量也急劇增加。二是涉及的數(shù)據(jù)種類(lèi)繁多。數(shù)據(jù)分析的對(duì)象包括漏洞信息、配置信息、身份訪(fǎng)問(wèn)信息、用戶(hù)行為信息等，包含多種數(shù)據(jù)類(lèi)型，許多數(shù)據(jù)類(lèi)型非標(biāo)準(zhǔn)化。三是數(shù)據(jù)分析速度要求很高。由于數(shù)據(jù)源的事件發(fā)送頻率越來(lái)越快，所以安全管理平臺(tái)對(duì)數(shù)據(jù)需要高速處理，以便同數(shù)據(jù)源的發(fā)送速度相匹配。

4.2 體系架構(gòu)

安全管理平臺(tái)重點(diǎn)在于對(duì)其網(wǎng)絡(luò)風(fēng)險(xiǎn)的有效管控和分析評(píng)估。基于這個(gè)設(shè)計(jì)理念，該平臺(tái)是集合多種硬件系統(tǒng)、軟件系統(tǒng)及相關(guān)策略的綜合框架體系。它能夠高速處理龐大的數(shù)據(jù)集合和多種數(shù)據(jù)類(lèi)型，可以提供多種數(shù)據(jù)分析方法并且實(shí)現(xiàn)快速的數(shù)據(jù)操作，支持實(shí)時(shí)數(shù)據(jù)分析和歷史數(shù)據(jù)查詢(xún)，并從人性化角度對(duì)分析結(jié)果進(jìn)行可視化處理[1]?？傮w上，該框架是一個(gè)可以實(shí)現(xiàn)海量數(shù)據(jù)分布式采集、分布式存儲(chǔ)、分布式分析處理并實(shí)現(xiàn)分析結(jié)果可視化的系統(tǒng)框架。

4.3 安全管理平臺(tái)

安全管理平臺(tái)針對(duì)大數(shù)據(jù)的安全分析，重點(diǎn)不在于大數(shù)據(jù)本身，大數(shù)據(jù)只是分析的媒介，重點(diǎn)在于通過(guò)針對(duì)這些大數(shù)據(jù)的分析進(jìn)而進(jìn)行安全管控并得到分析評(píng)估報(bào)告[2]。本文所研究的安全管理平臺(tái)，基于大數(shù)據(jù)安全分析技術(shù)，采用安全域劃分的思想，以安全事件管理為關(guān)鍵流程，協(xié)助網(wǎng)絡(luò)管理人員進(jìn)行網(wǎng)絡(luò)中的行為監(jiān)測(cè)、事件分析、風(fēng)險(xiǎn)評(píng)估、預(yù)警管理和應(yīng)急響應(yīng)的一體式安全管理系統(tǒng)。

安全管理平臺(tái)的核心是針對(duì)安全信息與事件的管理系統(tǒng)（Security Information and Event Management，簡(jiǎn)稱(chēng)為SIEM系統(tǒng)）。SIEM系統(tǒng)將針對(duì)來(lái)自所在機(jī)構(gòu)中所有IT資源產(chǎn)生的安全信息（包括安全日志、安全警告等）進(jìn)行實(shí)時(shí)分析、跟蹤監(jiān)測(cè)，對(duì)外部的入侵行為和內(nèi)部的違規(guī)操作進(jìn)行審計(jì)分析、調(diào)查取證、出具報(bào)告，在遭受?chē)?yán)重攻擊時(shí)進(jìn)行安全管控并啟動(dòng)應(yīng)急響應(yīng)機(jī)制。

安全管理平臺(tái)的SIEM系統(tǒng)一般分為四個(gè)層級(jí)，從下到上依次為：數(shù)據(jù)源審計(jì)層、日志采集層、數(shù)據(jù)處理層和綜合應(yīng)用層。數(shù)據(jù)源審計(jì)層主要涉及軟硬件基礎(chǔ)設(shè)施，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、安防設(shè)備、數(shù)據(jù)庫(kù)和中間件等；日志采集層[5]主要功能是采集信息，包括網(wǎng)絡(luò)安全日志的分類(lèi)、過(guò)濾、歸并及轉(zhuǎn)發(fā)等；數(shù)據(jù)處理層主要進(jìn)行數(shù)據(jù)的實(shí)時(shí)存儲(chǔ)、數(shù)據(jù)分析、數(shù)據(jù)處理和查詢(xún)索引[2]；綜合應(yīng)用層是面向用戶(hù)的，是SIEM系統(tǒng)最高層級(jí)，主要提供權(quán)限配置、系統(tǒng)維護(hù)、策略制定、報(bào)表管理、可視化展示及其他應(yīng)用接口等服務(wù)。SIEM系統(tǒng)各個(gè)層級(jí)分工明確，相互配合，共同形成一個(gè)保障大數(shù)據(jù)安全有機(jī)整體。

基于大數(shù)據(jù)的安全管理平臺(tái)必須具備5V特性[5]：海量的數(shù)據(jù)存儲(chǔ)、分析能力（Volume），支持多種數(shù)據(jù)結(jié)構(gòu)和類(lèi)型（Variety），快速的數(shù)據(jù)采集、處理能力（Velocity），有效的數(shù)據(jù)分析方法和對(duì)數(shù)據(jù)價(jià)值的判別能力（Valuability），分析、處理結(jié)果可視化的能力（Visualization）。上述5V特性，是成為基于大數(shù)據(jù)安全分析技術(shù)的安全管理平臺(tái)的必要條件，缺一不可。

4.4 構(gòu)建平臺(tái)關(guān)鍵要素

基于大數(shù)據(jù)的政務(wù)網(wǎng)絡(luò)安全管理平臺(tái)，是保障政務(wù)網(wǎng)絡(luò)安全和數(shù)據(jù)信息安全的重要手段[6]。根據(jù)網(wǎng)絡(luò)安全管理理論，構(gòu)建政務(wù)網(wǎng)絡(luò)安全管理平臺(tái)中，需要重點(diǎn)抓好三個(gè)關(guān)鍵要素。

第一，在平臺(tái)頂層設(shè)計(jì)中，要樹(shù)立整體安全思維[7]。全面落實(shí)總體國(guó)家安全觀(guān)，樹(shù)立網(wǎng)絡(luò)安全底線(xiàn)思維，加強(qiáng)頂層設(shè)計(jì)，強(qiáng)化網(wǎng)絡(luò)安全規(guī)劃，建立健全管理機(jī)制，嚴(yán)格落實(shí)網(wǎng)絡(luò)管理工作制度。加強(qiáng)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù)，制定平臺(tái)數(shù)據(jù)安全管理辦法，加強(qiáng)政務(wù)大數(shù)據(jù)安全管理。

第二，在平臺(tái)基礎(chǔ)建設(shè)中，要堅(jiān)持自主可控原則。加強(qiáng)自主創(chuàng)新能力建設(shè)，運(yùn)用安全可靠技術(shù)產(chǎn)品，優(yōu)先采用國(guó)內(nèi)安全可靠軟硬件產(chǎn)品、系統(tǒng)和服務(wù)，應(yīng)用符合國(guó)家要求的密碼技術(shù)產(chǎn)品加強(qiáng)身份認(rèn)證和數(shù)據(jù)保護(hù)，確保安全可控。

第三，在平臺(tái)應(yīng)用實(shí)踐中，要加強(qiáng)綜合安全防范。構(gòu)建全方位、多層次、一致性的防護(hù)體系，強(qiáng)化各級(jí)政務(wù)服務(wù)平臺(tái)安全保障系統(tǒng)的風(fēng)險(xiǎn)防控能力[6]，強(qiáng)化安全管理策略配置，加強(qiáng)安全態(tài)勢(shì)感知分析，準(zhǔn)確把握安全風(fēng)險(xiǎn)趨勢(shì)，定期開(kāi)展風(fēng)險(xiǎn)評(píng)估和壓力測(cè)試，制定完善應(yīng)急預(yù)案，強(qiáng)化日常預(yù)防、監(jiān)測(cè)、預(yù)警和應(yīng)急處置能力。

5 結(jié)束語(yǔ)

當(dāng)前，基于大數(shù)據(jù)的網(wǎng)絡(luò)安全管理平臺(tái)已經(jīng)從理論研究走向?qū)嶋H應(yīng)用，但其發(fā)展也面臨著一些問(wèn)題。

首先，網(wǎng)絡(luò)安全管理平臺(tái)是一種綜合框架體系而非單一硬件產(chǎn)品。企業(yè)或者組織需要結(jié)合自身安全實(shí)際，將該框架體系進(jìn)行合理設(shè)計(jì)、優(yōu)化部署并且與其他安全軟硬件設(shè)備相融合，在應(yīng)用中不斷探索磨合，這樣才能夠最大限度發(fā)揮整體作用，實(shí)現(xiàn)預(yù)期效果。

其次，該平臺(tái)應(yīng)用效果很大程度受限于硬件設(shè)備的數(shù)據(jù)處理能力。只有硬件設(shè)備能夠處理大規(guī)模數(shù)據(jù)流及批量流程，才能確保平臺(tái)系統(tǒng)實(shí)現(xiàn)即時(shí)采集、實(shí)時(shí)處理、及時(shí)響應(yīng)等功能。

最后，該平臺(tái)的推廣應(yīng)用需要專(zhuān)業(yè)人才隊(duì)伍作為支撐。目前，具備這種跨領(lǐng)域?qū)I(yè)技術(shù)管理的人才數(shù)量極少。這類(lèi)專(zhuān)家不僅需要有全面的網(wǎng)絡(luò)安全技術(shù)類(lèi)知識(shí)，而且更需要有豐富的實(shí)戰(zhàn)性經(jīng)驗(yàn)、強(qiáng)大的分析評(píng)估能力和統(tǒng)籌協(xié)調(diào)能力。

在大數(shù)據(jù)時(shí)代里，網(wǎng)絡(luò)安全管理平臺(tái)面臨著發(fā)展的瓶頸，同時(shí)也面臨前所未有的發(fā)展機(jī)遇。國(guó)家對(duì)網(wǎng)絡(luò)信息安全重視程度不斷加深，網(wǎng)絡(luò)信息技術(shù)不斷突破，基于大數(shù)據(jù)的網(wǎng)絡(luò)管理平臺(tái)將在實(shí)踐中不斷探索發(fā)展，以應(yīng)用促進(jìn)技術(shù)創(chuàng)新，帶動(dòng)產(chǎn)業(yè)發(fā)展，確保網(wǎng)絡(luò)和信息數(shù)據(jù)安全。

參考文獻(xiàn)

[1] 王元卓，靳小龍，程學(xué)旗.網(wǎng)絡(luò)大數(shù)據(jù)：現(xiàn)狀與展望[J].計(jì)算機(jī)學(xué)報(bào)，2013，36（6）： 1125-1138.

[2] 孟小峰，慈祥.大數(shù)據(jù)管理：概念、技術(shù)與挑戰(zhàn)[J].計(jì)算機(jī)研究與發(fā)展，2013，50（1）： 146-169.

[3] 劉藝，張輝，鄧青.大數(shù)據(jù)背景下的智慧安全應(yīng)急管理創(chuàng)新若干關(guān)鍵科學(xué)問(wèn)題[J].現(xiàn)代管理科學(xué)，2018，10： 94-96.

[4] Bojana， Ratk etc， The Impact of Human Factors in the Implementation of SIEM Systems[J] ，Journal of Electrical Engineering 2017，5：196-203.

[5] 李超.大數(shù)據(jù)環(huán)境下的威脅情報(bào)分析[J].情報(bào)雜志，2017，36（9）： 24-30.

[6] 趙旭，文佳欣.基于安全訪(fǎng)問(wèn)設(shè)計(jì)的省級(jí)網(wǎng)絡(luò)安全應(yīng)急管理平臺(tái)研究[J].實(shí)驗(yàn)室環(huán)境與安全，2018，37（6）： 293-296.

[7] 王世偉.論大數(shù)據(jù)時(shí)代信息安全的新特點(diǎn)與新要求[J].圖書(shū)情報(bào)工作，2016，60（6）： 5-14.