大數(shù)據(jù)時代下的網(wǎng)絡安全問題分析

謝振勇　曾湘峰　周子瓊　胡強

摘? 要：隨著新一代信息技術的快速發(fā)展，大數(shù)據(jù)技術在各行各業(yè)的應用越來越廣泛。同時，如何確保網(wǎng)絡安全也成為了研究熱點。大數(shù)據(jù)技術為數(shù)據(jù)的分析帶來了新的思路和價值，甚至可以驅動制造業(yè)的轉型升級，但大數(shù)據(jù)時代背景下，相關從業(yè)人員需要對網(wǎng)絡數(shù)據(jù)安全問題給予足夠重視。本文通過對大數(shù)據(jù)時代下的網(wǎng)絡數(shù)據(jù)安全問題進行研究探索，結合制造業(yè)案例分析網(wǎng)絡安全策略，嘗試給出高度可執(zhí)行的網(wǎng)絡信息安全優(yōu)化策略，助力大數(shù)據(jù)時代安全可靠發(fā)展。

關鍵詞：大數(shù)據(jù)時代;網(wǎng)絡安全;信息安全

引言

大數(shù)據(jù)技術不斷成熟背景下，不僅各個行業(yè)的生產(chǎn)經(jīng)營方式發(fā)生了重大變化，人民群眾的生活習慣也出現(xiàn)了很大轉變。在充分肯定大數(shù)據(jù)技術為人類社會發(fā)展所帶來的便利的同時，也要清醒地意識到大數(shù)據(jù)技術中隱含的網(wǎng)絡數(shù)據(jù)安全問題。伊朗核技術研發(fā)過程遭遇病毒攻擊、美國石油管道遭受勒索病毒威脅等嚴重事故也時刻警醒我們網(wǎng)絡安全的重要性。本文針對大數(shù)據(jù)背景下出現(xiàn)的一系列網(wǎng)絡安全問題進行深入分析，并結合實際情況制定高效的網(wǎng)絡信息安全防護措施，推動大數(shù)據(jù)在制造業(yè)等各領域的應用，更好的發(fā)揮大數(shù)據(jù)的價值，建設一個穩(wěn)定、安全、高效的工業(yè)互聯(lián)網(wǎng)空間。

一、大數(shù)據(jù)時代概述

基于大數(shù)據(jù)技術，人們能夠深入挖掘數(shù)據(jù)的深層價值，工業(yè)4.0、智能制造、5G以及人工智能深度學習技術等都與大數(shù)據(jù)技術存在密切關聯(lián)。從宏觀層面來看，所謂的大數(shù)據(jù)技術就是對規(guī)模體量龐大、數(shù)據(jù)結構復雜的數(shù)據(jù)集合進行高效精準處理的一項技術[1]。大數(shù)據(jù)技術可以對人們使用移動互聯(lián)網(wǎng)或開展互聯(lián)網(wǎng)活動過程中所產(chǎn)生的海量數(shù)據(jù)進行實時收集與計算，為各個行業(yè)的發(fā)展提供數(shù)據(jù)基礎。與傳統(tǒng)信息數(shù)據(jù)處理技術相比，大數(shù)據(jù)技術具有以下三個典型特征。

①數(shù)據(jù)規(guī)模龐大。伴隨著數(shù)字化技術和網(wǎng)絡規(guī)模的不斷迭代，數(shù)據(jù)總量呈爆炸式增長趨勢。不論是互聯(lián)網(wǎng)還是工業(yè)互聯(lián)網(wǎng)，每天數(shù)據(jù)規(guī)模遠超GB級以及TB級，達到PB級、ZB級甚至是EB級。

②數(shù)據(jù)類型復雜。與傳統(tǒng)的數(shù)據(jù)信息庫相比，大數(shù)據(jù)技術所使用的數(shù)據(jù)庫具有很強的包容性，能夠存儲多種類型數(shù)據(jù)。不僅可以存儲傳統(tǒng)的二維文字數(shù)據(jù)，還可以存儲諸如圖片、視頻、音頻等非文字數(shù)據(jù)。此外，對于呈現(xiàn)出非結構化特點的GPS數(shù)據(jù)以及各類傳感器傳輸數(shù)據(jù)，大數(shù)據(jù)庫也能對其進行妥善地保存與處理。大數(shù)據(jù)庫中80%左右的數(shù)據(jù)為非結構性數(shù)據(jù)，傳統(tǒng)信息數(shù)據(jù)計算方式無法對這些非結構性數(shù)據(jù)進行有效處理，只有利用大數(shù)據(jù)技術，才能真正體現(xiàn)這些非結構性數(shù)據(jù)的價值。

③計算效率高。與傳統(tǒng)意義上的數(shù)據(jù)庫計算框架相比，大數(shù)據(jù)技術計算方式十分獨特。實際計算過程中大數(shù)據(jù)技術以Hadoop框架為基礎，這是一種基于云計算技術而逐步形成的數(shù)據(jù)計算框架[2]。大數(shù)據(jù)技術首先對龐大的數(shù)據(jù)信息進行篩選，自動過濾無效數(shù)據(jù)以及缺乏計算價值的數(shù)據(jù)，通過這種方式提升數(shù)據(jù)處理效率。此外，借助大數(shù)據(jù)技術自身強大的存儲能力創(chuàng)建分布式運行框架，以數(shù)據(jù)流的形式對數(shù)據(jù)進行高效運算與處理。

二、大數(shù)據(jù)時代下網(wǎng)絡信息安全問題現(xiàn)狀探討

（一）用戶風險

如今，在大數(shù)據(jù)環(huán)境下網(wǎng)絡軟件用戶面臨的風險主要來自網(wǎng)絡軟件欺詐。在大數(shù)據(jù)環(huán)境下，網(wǎng)絡交易和物理交易之間存在明顯的區(qū)別。欺詐活動通常是通過使用網(wǎng)絡的交易功能來進行的。受限于互聯(lián)網(wǎng)特性，網(wǎng)絡軟件無法克服網(wǎng)絡交易模式自身的局限性。在網(wǎng)絡軟件交易時，經(jīng)常會出現(xiàn)諸如用戶被騙等問題。從宏觀層面來看，用戶風險主要表現(xiàn)在兩個方面。一方面，不法人員在用戶進行網(wǎng)絡交易過程中經(jīng)常欺詐性地使用商家信息來誘騙用戶進行支付，甚至利用商家信息進行洗錢行為。另一方面，用戶在所有這三種付款過程中都缺乏交易路徑安全。由于用戶疏忽或者被不法分子有意誤導打開未經(jīng)授權的鏈接，這些鏈接中含有木馬病毒或者將用戶引入釣魚網(wǎng)站，進而導致財產(chǎn)被盜或受到攻擊[3]。

（二）運營風險

目前，大多數(shù)網(wǎng)絡軟件的操作風險管理和控制處于總體良好的狀態(tài)，處于激烈競爭中的網(wǎng)絡軟件開發(fā)企業(yè)為了擴展利潤空間，提升自身在市場競爭中的競爭力，運營商針對支付服務以及支付結算主動對金融機構進行授權，而授權內(nèi)容中就包括了用戶安全信息以及個人身份信息等敏感內(nèi)容。此外，網(wǎng)絡軟件將依據(jù)用戶在服務區(qū)后端生成的大數(shù)據(jù)來抓取用戶個人信息或者企業(yè)商業(yè)信息。這種背景下，用戶或企業(yè)信息通過互聯(lián)網(wǎng)平臺泄漏的案例屢見不鮮，不僅嚴重侵犯了用戶的隱私權，甚至給公司和個人帶來了嚴重的經(jīng)濟損失。

（三）遭到惡意攻擊風險

隨著云計算、AI等技術的飛速發(fā)展，數(shù)據(jù)上云、萬物互聯(lián)成為發(fā)展趨勢，傳統(tǒng)IT和OT網(wǎng)絡深度融合，企業(yè)級數(shù)據(jù)平臺與互聯(lián)網(wǎng)打通，甚至全部部署在云平臺上，借助互聯(lián)網(wǎng)技術進行大數(shù)據(jù)分析。這在某種程度上，也為黑客提供了更有利的攻擊機會。一方面，大數(shù)據(jù)安全性仍然存在提升空間，且大數(shù)據(jù)技術自身的安全防護系統(tǒng)就存在某些缺陷。此外，大數(shù)據(jù)技術的出現(xiàn)打破了原始數(shù)據(jù)界限，使原始的防護柵無法滿足網(wǎng)絡信息安全需求。生成密鑰、存儲和管理以及API訪問控制方面的缺陷會導致數(shù)據(jù)存在泄漏風險[4]。而且隨著數(shù)據(jù)價值的快速增長，大數(shù)據(jù)作為一種包含大量價值的可持續(xù)攻擊目標，很可能在提取過程中長期受到藏匿于大數(shù)據(jù)系統(tǒng)框架中的黑客程序的攻擊，黑客以及不法分子通過攻擊大數(shù)據(jù)庫可以獲得長期的非法收益。另一方面，黑客以及不法分子還可以使用黑客技術反向攻擊大數(shù)據(jù)庫，并從大數(shù)據(jù)技術的發(fā)展中獲得有價值的數(shù)據(jù)。

三、網(wǎng)絡信息安全優(yōu)化策略探討

本文傾向于探討制造業(yè)的網(wǎng)絡安全策略，為便于討論，以建設光伏電池制造車間網(wǎng)絡信息安全結構為例，介紹如何構建車間工業(yè)互聯(lián)網(wǎng)信息安全框架。

（一）車間網(wǎng)絡框架介紹

為建設光伏電池制造智能車間，需要先構建的車間工業(yè)互聯(lián)網(wǎng)，該網(wǎng)絡架構主要由兩個層級構成，第一個層級為OT網(wǎng)絡，第二個層級為IT網(wǎng)絡。前者運用現(xiàn)場總線、以太網(wǎng)以及無線網(wǎng)絡對底層數(shù)據(jù)進行采集工作，后者基于IP網(wǎng)絡框架，借助防火墻以及網(wǎng)關與OT網(wǎng)絡進行連接，并在此基礎上實現(xiàn)工業(yè)網(wǎng)絡與外部互聯(lián)網(wǎng)的安全隔離（如圖1所示）。

（二）工業(yè)網(wǎng)絡框架設計

網(wǎng)絡根據(jù)功能和應用劃分為四個子網(wǎng)，分別為：生產(chǎn)數(shù)據(jù)網(wǎng)、生產(chǎn)管理網(wǎng)、視頻系統(tǒng)網(wǎng)、數(shù)據(jù)中心網(wǎng)。

①生產(chǎn)數(shù)據(jù)網(wǎng)

生產(chǎn)數(shù)據(jù)網(wǎng)主要用于生產(chǎn)相關系統(tǒng)的數(shù)據(jù)匯聚和傳輸，所涉及的系統(tǒng)主要由各生產(chǎn)裝置的PLC采集系統(tǒng)。生產(chǎn)數(shù)據(jù)網(wǎng)主要分布于車間，核心位于中心機房。通過防火墻于上層路由交換機連接。由上層交換機負責數(shù)據(jù)的轉發(fā)和訪問。

交換機通過防火墻上聯(lián)到上層的路由交換機，防火墻通過IP、端口、服務類型等依據(jù)決定訪問權限的數(shù)據(jù)流向，以保證生產(chǎn)網(wǎng)數(shù)據(jù)的安全性和訪問的局限性。

②生產(chǎn)管理網(wǎng)

生產(chǎn)管理網(wǎng)主要用于MES系統(tǒng)、管理看板、能源管理系統(tǒng)，并連接車間無線網(wǎng)絡，包括：生產(chǎn)管理網(wǎng)主要分布于生產(chǎn)車間內(nèi)，接入點位于各車間的調度室。核心層設置在中控室中央機房，和上層交換機連接，由上層交換機負責路由轉發(fā)，數(shù)據(jù)訪問權限以及外網(wǎng)訪問控制?？紤]路由的重復性，和生產(chǎn)網(wǎng)采用相同的星形拓撲結構，以保證網(wǎng)絡連接的冗余保護。

③視頻系統(tǒng)網(wǎng)

視頻網(wǎng)主要負責傳輸各裝置的生產(chǎn)視頻系統(tǒng)和各裝置安保視頻系統(tǒng)。由于視頻系統(tǒng)網(wǎng)絡具有流量大，點數(shù)多的特殊性，在系統(tǒng)設計中采用星形拓撲結構。

④數(shù)據(jù)中心網(wǎng)

由于數(shù)據(jù)中心的特殊性，必須要保證企業(yè)數(shù)據(jù)的高安全級別，以及數(shù)據(jù)訪問的高速和冗余性，采用設備和線路的雙冗余結構，網(wǎng)絡采用兩層構架。數(shù)據(jù)中心網(wǎng)的所有設備均放置在中央機房內(nèi)，核心采用雙熱備冗余交換機，匯聚層按功能分為業(yè)務網(wǎng)絡區(qū)，存儲網(wǎng)絡區(qū)和網(wǎng)絡管理區(qū)。核心交換機通過防火墻和上層路由核心交換機形成互聯(lián)，由路由核心交換機設置數(shù)據(jù)訪問的權限和策略。

（三）網(wǎng)絡信息安全防護框架設計

按照“風險評估至上，安全分區(qū)基礎，功能安全集成，完善縱深防線”的標準，積極開展網(wǎng)絡安全防護體現(xiàn)建設，光伏電池工業(yè)互聯(lián)網(wǎng)平臺信息安全總體架構如圖2所示。

系統(tǒng)建設遵循平臺統(tǒng)一的安全架構，并對涉及到的信息安全進行補充完善。按照國家以及信息安全等級保護二級相關要求，根據(jù)對系統(tǒng)現(xiàn)狀以及需求的分析，將從主機、網(wǎng)絡、應用、數(shù)據(jù)以及審計等方面來保證系統(tǒng)的安全。

網(wǎng)絡安全主要是為應用劃分獨立的安全域，制定并配置合理適當?shù)陌踩呗?，對網(wǎng)絡邊界完整性和攻擊進行檢測，在網(wǎng)絡層面保護系統(tǒng)安全。

主機安全防護將對服務器主機操作系統(tǒng)、數(shù)據(jù)庫及中間件進行安全加固，保障系統(tǒng)服務器基礎環(huán)境的安全。

應用安全方面，將利用統(tǒng)一身份管理，為用戶登錄提供身份統(tǒng)一管理認證服務;在業(yè)務操作中，通過日志記錄方式實現(xiàn)信息保護;通過啟用應用的SSL功能來實現(xiàn)客戶端與服務端之間的通信安全。

數(shù)據(jù)安全方面將做好數(shù)據(jù)庫管理員及應用用戶的訪問權限控制，及時對數(shù)據(jù)進行備份，確保數(shù)據(jù)的可靠性和高可用性。

審計安全主要做好系統(tǒng)重要業(yè)務操作和重要內(nèi)容訪問的記錄，以便事后追蹤，同時做好日志輸出，為以后接入企業(yè)統(tǒng)一的日志審計平臺做好準備。

（四）網(wǎng)絡安全重點防護策略

①安全技術。在本案例中，利用安全協(xié)議以及安全防護硬件對工業(yè)互聯(lián)網(wǎng)進行物理隔離;使用協(xié)議包檢測技術對應用層產(chǎn)生的流量數(shù)據(jù)進行檢測與管理;使用訪問管控技術，阻擋外部IP進入工業(yè)互聯(lián)網(wǎng)內(nèi)部，對訪問用戶進行嚴格管控;使用防火墻為工業(yè)互聯(lián)網(wǎng)提供安全防護屏障，避免工業(yè)互聯(lián)網(wǎng)受到不法分子的惡意攻擊。

②安全保護措施。為訪問設備（例如工業(yè)控制器、智能儀表、服務器等）以及現(xiàn)場指示器（例如兼容性和安全性）評級。采用安全開關僅允許工業(yè)控制協(xié)議的通信。對訪問工業(yè)互聯(lián)網(wǎng)的IP進行嚴格控制，提升賬戶管理效率。此外，對于工廠內(nèi)部員工對于工業(yè)互聯(lián)網(wǎng)的訪問也要進行嚴格管控，切實保障工業(yè)互聯(lián)網(wǎng)信息安全。設計人員在工業(yè)互聯(lián)網(wǎng)內(nèi)部設計了安全保護網(wǎng)關，將工業(yè)標準協(xié)議與外部網(wǎng)絡環(huán)境進行隔離，借助這種方式達到邊區(qū)防護目的[7]。同時還設計了安全審計體系，圍繞數(shù)據(jù)庫、安全設備、計算機主機等進行全面的安全審計，同時對企業(yè)制定的安全管理制度進行優(yōu)化，針對生產(chǎn)日志管理、安全配置管理等工作進行具體規(guī)定，提升安全管理工作的針對性。

③數(shù)字化車間網(wǎng)絡安全防護?；诠I(yè)互聯(lián)網(wǎng)網(wǎng)關、防火墻以及工業(yè)互聯(lián)網(wǎng)安全管理平臺，結合特定領域和層次隔離以及邊界保護思想，組建數(shù)字化車間網(wǎng)絡安全防護系統(tǒng)。該系統(tǒng)分為設備安全管理模塊，設備安全控制模塊，設備安全操作模塊，企業(yè)經(jīng)營模塊以及信息互連模塊。在各個級別之間布置軟件系統(tǒng)和硬件設備，通過這種方式確保工業(yè)互聯(lián)網(wǎng)安全。設備管理模塊與控制模塊通過物理連接/協(xié)議實現(xiàn)數(shù)據(jù)實時傳輸。采集軟件或PLC設備從儀表中收集工業(yè)生產(chǎn)相關數(shù)據(jù)，并借助PFC通信網(wǎng)關在上層SCADA系統(tǒng)中收集實時數(shù)據(jù)。在操作模塊與管理模塊之間安裝PSL工業(yè)安全隔離網(wǎng)關以及HC-ISG工業(yè)防火墻。工業(yè)隔離網(wǎng)關的主要作用在于處理控制網(wǎng)絡如何安全連接信息網(wǎng)絡，以及管理工業(yè)互聯(lián)網(wǎng)內(nèi)部各個工作區(qū)域間安全保護問題，并為數(shù)據(jù)的實時傳輸提供“安全通道”[8]。此外，工業(yè)防火墻可以幫助用戶過濾和防御病毒，并抵御黑客攻擊和其他不法分子針對工業(yè)互聯(lián)網(wǎng)所進行的網(wǎng)絡攻擊，避免由于工業(yè)互聯(lián)網(wǎng)受到網(wǎng)絡攻擊而影響正常的工業(yè)生產(chǎn)。

本工程中，設計使用通過搭建ISC平臺實現(xiàn)數(shù)字化車間網(wǎng)絡安全防護，在ISC平臺的統(tǒng)一控制下，能夠對車間生產(chǎn)設備進行遠程監(jiān)控，對生產(chǎn)過程進行集中化管控，并借助大數(shù)據(jù)技術對生產(chǎn)和設備進行精準分析，更好的輔助生產(chǎn)決策（如圖3所示）。

四、結束語

伴隨著大數(shù)據(jù)技術的不斷革新，互聯(lián)網(wǎng)安全問題變得越發(fā)尖銳，無論是工業(yè)生產(chǎn)還是人民群眾的日常生活都離不開互聯(lián)網(wǎng)。因此，如何研究基于大數(shù)據(jù)技術所出現(xiàn)的網(wǎng)絡信息安全問題變得異常重要，本文簡要分析了大數(shù)據(jù)背景下的網(wǎng)絡信息安全問題，并結合光伏電池制造車間實際情況，介紹了在工業(yè)互聯(lián)網(wǎng)背景下，如何構建高效的網(wǎng)絡信息安全防護體系，為后續(xù)制造業(yè)數(shù)字化車間建設及工業(yè)互聯(lián)網(wǎng)平臺設計提供參考。

參考文獻：

[1]帥暢.大數(shù)據(jù)時代網(wǎng)絡信息安全及防護探討[J].數(shù)字通信世界，2021（04）：116-117.

[2]郭星.大數(shù)據(jù)背景下計算機網(wǎng)絡安全及防護技術[J].中國新通信，2021，23（06）：143-144.

[3]張璐明.大數(shù)據(jù)時代計算機網(wǎng)絡信息安全及防護策略分析[J].網(wǎng)絡安全技術與應用，2021（03）：153-155.

[4]原莉，白雪冰.網(wǎng)絡安全分析中的大數(shù)據(jù)技術應用[J].電子技術與軟件工程，2021（04）：250-251.

[5]辛培成.大數(shù)據(jù)時代計算機網(wǎng)絡信息安全及防護策略研究[J].中國新通信，2021，23（03）：131-132.

[6]鞏寧波.大數(shù)據(jù)背景下的計算機網(wǎng)絡信息安全及防護措施[J].數(shù)字通信世界，2021（02）：51-52+60.

[7]郭小娟.大數(shù)據(jù)背景下的計算機網(wǎng)絡信息安全及防護措施[J].信息記錄材料，2021，22（02）：217-218.

[8]鄧志東.基于大數(shù)據(jù)背景的計算機信息安全及防護策略[J].電子技術與軟件工程，2020（23）：246-247.

作者簡介：

謝振勇（1988.10—），男，湖南漣源人，畢業(yè)于北京理工大學，碩士，工程師，湖南紅太陽光電科技有限公司智能制造主管，研究方向：光伏電池智能裝備、車間自動化和車間數(shù)字化研究。