南京师范大学中北学院 黄四青

南京师范大学计算机科学与技术学院 冯学军

随着社会网络普及，大数据资源越来越丰富，解决大数据时代的信息安全问题迫在眉睫。本文先分析大数据时代的安全风险，然后通过架构云安全平台来实现大数据的处理、存储和应用的安全保障。

1.大数据时代的安全风险

在当今信息化时代，人们的工作生活离不开电脑、IPAD、智能手机，而这些电子产品的使用离不开有线或无线网络，这些巨大的在线数据资源汇聚在大数据平台。由于利益关系这必然成为黑客网络攻击的重要目标。2018年8月发生“史上最大规模数据窃取案”，涉及百度、腾讯、阿里等全国互联网巨头几十亿条用户数据，犯罪分子利用非法窃取的用户数据，操控用户账号非法获利。如果国家重要部门数据平台系统遭遇这类事件，后果将难以想象。大数据时代，我国网络安全面临着多重安全威胁。第一，由于计算机基础设施及基础硬件比较薄弱，我国网络基础设施及基础硬件系统受制于人，重要行业的重要信息系统核心软硬件设施中使用的服务器、操作系统和数据库等皆采用国外企业的产品，国内数据安全命脉大部分掌握在国外企业手中。其次，由于网站及应用系统的漏洞、后门导致重大安全事件频繁发生。第三，网络攻击手段越来越复杂。所以，大数据时代的信息安全问题，将是保障大数据应用的前提条件。

2.云安全架构下的大数据安全

云计算相当于计算机和操作系统，采用的技术方案是将大量的硬件资源虚拟化之后再进行分配使用。Amazon、Vmware、Openstack为云计算提供了商业化的标准。所谓大数据技术就是从从各种类型的数据中，以极快速度获得有价值信息的能力。大数据的安全问题可采用“云安全架构”(依托大而灵活的云安全资源池)解决，云安全架构是保障大数据信息安全的支撑体系。云安全架构是在传统安全架构的基础上发展来的，继承了传统安全架构在管理、技术和运维层面的优势和特点，融入了大容量并行计算、虚拟化和分布式处理等技术。通过云安全架构可以实现对大数据处理、存储和应用的安全保障。

云安全架构分为四个部分，如图1所示。

2.1 主机安全

主要是指硬件、固件以及配套设施的自身安全和安全管理措施，包括：不断完善大数据中心管理制度，严格监控、保卫、加强消防等制度建设，确保主机安全保护环境。

2.2 网络安全

加强大数据平台云网络安全，首先应该有效的控制网络的流量，并控制网络边界。其次在服务器内部安装防火墙及完善ACL技术，服务器设置登录密码，从而能够禁止恶意攻击。在选择云计算平台提供商时，选择具备第三方认证的商家。

图1 云安全架构示意图

2.3 虚拟化安全

基于虚拟化技术的云计算安全风险来自两个方面，第一、虚拟服务器的物理安全；第二、虚拟服务器的软件安全。

购买虚拟服务器，应考虑把具有可信安全模块（启动时可以检测用户密码）并且支持虚拟机的硬件（保证CPU之间的物理隔离）做为物理服务器。虚拟服务器与每一台虚拟机之间在所有方面都要尽可能的进行隔离，每台虚拟服务器都应分配一个独立的硬盘分区;每台虚拟服务器上应安装和更新基于主机的反病毒机制，使用IPSEC或加密技术。这些措施的目的是当黑客对一台虚拟服务器攻击时不会扩散到其他服务器。

虚拟服务器的软件层部署于物理机之上，具备创建、运行和销毁虚拟服务器的功能。虚拟化软件层能确保虚拟机在租户很多的情况下相互隔离，可以使租户在一台计算机上同时运行多个操作系统。作为虚拟机的核心，必须要保证它的安全。

2.4 管理安全

云服务提供层的管理风险来自于两方面，一方面是云服务的安全性。随着越来越多的大型企业开始尝试云计算，越来越多的大型企业系统迁移到云架构上，尤其是公共云计算，同时带来的风险是大型云计算供应商成为攻击目标。另一方面是云计算服务的可靠性。这源于云服务的两个相关因素，其一是云服务的复杂性，随着大数据中心数据的快速增长以及在全世界的扩张，云架构的复杂性表现出几何级数的增长，其中一些自动化或半自动化进程所产生的非预期性的数据交互，会导致大量的数据出错。另一个原因是目前完善的公共云架构很少。为了增强云计算和云存储服务的可信性，一方面是提供云计算的问责功能，通过记录操作信息实现对恶意操作的追踪和问责。另一方面是构建可信的云计算平台，通过可信计算、安全启动、云端网关等技术手段达到云计算的可信性。另外需要制定与云安全相关的法律、法规、标准。

2.5 应用安全

用户层的应用安全主要包括网站安全漏洞检测和Web应用防火墙两方面。

(1)网站安全漏洞检测

目前网站安全漏洞检测的类型包括SQL注入、XSS跨站脚本、缓冲区溢出、上传漏洞、源代码泄露、网页挂马、隐藏目录泄露、数据库泄露、管理地址泄露、网站性能检测、弱口令、网络舆论信息监测等等。网页挂马的功能是检测Web网站是否被黑客或恶意攻击者非法植入了木马程序。网络舆论信息监测功能是依据文本挖掘技术及搜索引擎技术，通过网页内容的自动采集处理、敏感词过滤、智能聚类分类、主题检测、专题聚焦、统计分析，实现各单位对自己相关网络舆论监督管理的需要，为决策层全面掌握舆情动态，做出正确舆论引导，提供分析依据。

(2)Web应用防火墙

Web应用防火墙依托云计算架构，由引擎中心、运营监控中心以及云用户控制中心组成。可根据接入网站的多少和访问量级对防火墙扩容，提供全面的WEB安全防御。Web应用防火墙功能包括对HTTP的请求进行异常检测、增强输入验证、及时补丁修补Web安全漏洞。

2.6 数据安全

依据云计算特点和数据的生命周期，云端用户层数据安全框架构建了数据访问、传输、存储和销毁四个环节。对于不同环节数据安全管理要求如图2所示。

图2 云端用户层数据安全框架

3.总结

依托云安全体系架构实现大数据安全的突出问题集中在大数据特有的虚拟化安全问题。在架构云安全体系时把安全因素放在首位，通过安全服务方式进行交互，这样可以增强云计算的安全防护能力以及安全服务的可视交付，并根据风险预警进行实时的策略控制。这将使得云计算的服务交付更加安全可靠，从而迈向大数据信息技术时代。