冯金才

摘要：在攻防不对等的今天，该文通过剖析智慧校园大数据面临的危险，提出了数据采集、存储、传输、硬件保护方面的措施，防患于未然，以筑造智慧校园大数据的安全长城。

关键词：大数据；安全防护；信息技术

1概述

近年来，随着互联网尤其是移动终端的快速深覆盖，数据呈现几何级的爆发增长，“大数据”成为了各行各业开始关注的焦点。SaaS（Software ss a Service一软件即服务）、PaaS（Platform as a Service-平台即服务）和IaaS（Infrastructure as a Service-基础架构即服务）这几种云计算服务平台也逐步在业界推广运用。但是，在网络空间，漏洞无处不在且长期存在，在攻防不对等的今天，云计算产业将传统的安全边界已模糊，安全的隐患越来越严峻。如一些新兴的DDoS攻击利用客户/服务器技术来发动对某一服务器或平台进行持续攻击，以达到消耗防护资源，让安全人员无法分身，从而掩盖对网络数据盗取攻击的真正目的，未来网络安全的防范趋势相当不乐观。

2016年11月，2016年第二届中国互联网安全领袖峰会在北京召开，会议中，学术界和产业界对国际安全新趋势进行了充分分析，并对构建智慧连接新生态、云安全一从虚拟到现实、安全范式的改变等热点问题展开了热烈的讨论，旨在发现云服务的安全漏洞并寻求相对安全的防范解决方案，以及对网络生态进行安全评估。

2智慧校园大数据安全面临的安全风险

2.1数据源的安全风险

智慧校园经过长期的数字化建设，累积了庞大的数据资源库，各种教育统计、基础建设、教学资源、科研成果、学生信息等都是真实有效的。信息使用者通过云服务预采集信息的目的非常明确，希望读取的信息真实有效，更希望从中筛选出的信息是可信可用的。

然而，攻击者往往通过隐蔽手段，静悄悄地进入云服务器，伺机对数据源一些关键信息进行伪造修改，甚至直接植入对自己有利的数据源，让客户端直接获取攻击者的数据，从而影响信息使用者的判定。有些修改后的信息仿真度极高，真假难分，更加让决策者误入陷阱而无法察觉。

2.2数据存储的安全风险

目前，除一部分互联网企业外，数据在存储领域还是以传统关系型数据库（RDBMS）为主，并且以Oracle，IBM/DB2，Microsoft/SQL Server为代表的数据库几乎占据了全球市场份额，这些传统的数据库以行存储形式进行物理存储，数据的增减比较方便，但对于统计分析类的数据查询存储效率比较低。随着大数据的运用，人机会话模式已经发生了质的变化，以网络安全设备、云服务器、应用系统自动处理的融合机制成为了今天的主角。因此，在面对特别是几何级增长的数据时，在数据的深度挖掘、迭代分析、自助的即席能力方面，在对非结构化数据的提取、检索、比对、交叉分析等方面，传统的数据库在功能需求或技术上都无法满足用户的要求，最重要的是与之关联拟定的软件存在比较多的漏洞，比如在输入验证环节、服务器软件的内置安全等。

2.3数据传输的安全风险

在数据传输领域，好比现代物流，客户下了订单付了款，自然希望包裹在自己拆封之前是完好无损、不被替换的.在智慧校园大数据领域，一种情况是在传输过程中失真或被破坏，有可能是人工采集数据过程中产生的误差，也有因时间差造成前后数据差异，或者是执行中间人攻击MITM（Man In The Middle）或者重攻击等手段，在数据传输过程中实行破坏。另一种情况是数据在传输过程中被拦截造成泄露，如果传输数据不进行技术加密，攻击者就比较容易窃取。有些供一定权限范围人员使用的重要数据，若被窃取或泄露，可能给用户造成比较大的损失。

3智慧校园大数据安全防范的技术

3.1大数据的采集安全技术

大数据采集面临最大的问题是数据失真，数据失真有几个方面的原因，如人为的恶意捏造，篡改重要信息，数据的完整性缺失等。数据溯源技术所记录的是从原始数据到目标数据演变过程，或者发生数据崩溃性灾难时可以进行数据恢复。通过信息比对，目标数据发生改变时，数据溯源技术可以保证数据的可信程度，从而避免信息使用者陷入信息坑或误用错误信息。当前，数据溯源技术已集成到云服务器、云存储报务中，通过对系统的监测记录、日志文件的分析以及对特定客户端定制得到广泛的应用。

3.2大数据的数据存储安全技术

当前，大数据的数据来源已发生了质的变化，数据的处理也由人机会话转变为通过服务器、设备和应用自动化集成处理。智慧校园的大数据应用主要是对教学、科研、行政、后勤、实习、就业等方面的各类数据进行整理、交叉分析、比对，通过数据的深度挖掘，为用户提供自助的即席、迭代分析，以及对存储文件系统信息的特征提取，指定关系数据库的内容检索等。

比较典型的技术路线有两种方案：

1）采用MPP架构的新型数据库集群（图1）。主要面对行业大数据，通过列存储、粗粒度索引技术，结合MPP架构高效的分布式计算模式，完成对分析类应用的支撑，运行成本低，效率高，在分析类领域方面取得了广泛的应用。

2）采用HBase数据库集群（图2）。HBase数据库可靠性较强，性能强大，在数据备份中的可靠性达到了9个9。在Master节点出现故障时，可采用直接切换强制性HA机制，实现主从同步，保证了Master（A）和Master（B）内存数据的一致性。另外在运维方面体现了低成本的特点，实现自动备份，一键增容和构建，修改配置等.

3.3大数据的传输安全技术

大数据的传输安全包括数据采集后的传送和访问者的读取两个过程。如在星形的网络结构中，对系统的集成和数据互换要求提供统一的标准化传输接口和通道，同时建立智慧校园数据交换标准，明确智慧校园数据的名称、格式、字段等，同时提供统一的数据交换接口标准，以便各应用系统可以按照这一标准来研发Web Service接口，将规定的各项数据传递到智慧校园数据中心。对访问者的控制通过设置控制权限，视用户需求和数据的密级将大数据和用户设定不同的权限等级，严格控制访问权限，以加强用户权限管理。访问控制常用的技术有身份和口令（加密）双重认证、文件权限设置、网络设备权限控制等。

3.4硬件保护防范

智慧校园大数据安全面临的最大威胁来自网络，如危险性极大的）DDoS攻击。DDoS（Distributed Denial of Service分布式拒绝服务，也称“洪水式攻击”）攻击于1996年初现，2002年登陆我国，2003就形成规模，常见的DDoS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、ConnectionsFlood、Script Flood、Proxy Flood等。而2016年新发现的DDOS攻击技术精细度和网络攻击性融合趋势渐显，连美国三大政府网站：congress.gov、美国国会图书馆网站以及美国版权局都遭到这种攻击。美国主要DNS服务器提供商Dyn Inc.的服务器遭遇大规模DDoS攻击后，美国东海岸主要网站几乎全部瘫痪，媒体堪称为“史上最严重DDoS攻击”。

因此，应对DDoS攻击应以防范为主，主要措施是加强硬件防护和技术防范措施。硬件防护包括扩大带宽，在骨干节点配置防火墙，充分利用网络设备保护网络资源，通过安装apachebooster插件应对突增的流量和内存占用，提高web server的负载能，使用高可扩展性的DNS设备来保护针对DNS的DDoS攻击，启用路由器或防火墙的反IP欺骗功能等。如在SYNFlood、HTTP Flood防御中，通过特殊网络处理器芯片的清洗设备和特别优化的操作系統、TCP/IP协议栈，可以处理非常巨大的流量和SYN队列。

4结束语

大数据的安全已经引发了新一轮的科技革命，新的技术无疑是教育资源最好的安全保障。然而，新的攻击技术也会随之而来，攻击和保护本身就是矛和盾的关系，只要不断地研究新的安全技术，提高防范意识，使“盾”越来越坚固，就可筑造智慧校园大数据的安全长城。