农金桥 王代远 宋伟奇 孔丽云

关键词：计算机网络；大数据系统；应用研究

0 引言

当前大数据为人们的网络生活提供了更多的可能，同时也带来了很多安全威胁，多样的网络病毒及黑客多样的入侵手段，时刻威胁着计算机网络及大数据系统的安全。人们对计算机网络安全防护的作用，已经形成了更加系统化的认知，虽然能有意识地降低大数据防范风险，但是还需要有针对大数据技术的安全防护措施。为确保大数据系统运行的安全与稳定，需要运用计算机网络安全技术。所以，深入研究计算机网络安全在大数据系统中的应用十分必要。

1 安全认证

1.1 口令认证

口令认证一般基于目标身份口令判断其是否为合规用户，常见的有动态口令、简单口令、一次性口令三种形式[1]：

动态口令在当前应用比较广泛，安全性较高，具有很強的变化性。用户申请的动态密码只在一定的时间内可被使用，且使用次数有限。一般只供用户单次登录使用，下次登录时，动态口令将发生无规律变化。动态口令密码通常以动态令牌的形式出现，用户使用时需将相应的动态密码输入对应的网络终端登录口。若动态口令正确即完成安全认证，若不正确则驳回登录申请。由于每次使用的口令均由动态令牌提供，且具有很强的随机性，只有合法用户才能获得相应令牌和动态密码。黑客很难获取动态口令，即使截获了口令，也只能利用该密码登录一次，再次登录时口令则失效了，极大地限制了黑客的恶意攻击行为，保证了用户账号与信息的安全性。但当前该技术尚存在同步不及时的缺陷问题，亟待完善。

简单口令应用时间较早，也是最常见的一类安全认证方式。该技术主要基于用户设定的用户名、密码等信息实现安全认证。用户在使用大数据系统时，首先需要使用手机号或其他信息注册账号，注册时系统会要求用户自行设置密码，再次登录时用户只需提供用户名、密码等信息即可进行身份认证，若二者均正确则判定其为合规用户，若有一项错误则驳回登录申请。由于用户每次登录时均要输入明文口令，简单口令易被系统内恶意软件所记录，或在输入过程中被黑客截获，因此安全性一般。

一次性口令安全认证技术要求用户每次登录大数据系统时，使用一次性口令，增加登录密码的不确定性。由于一次性身份认证密码无须网络服务器即可存储，不使用公用网络传输，每次登录时用户会取得不同密码，具有很强的安全性；利用一次性口令进行认证，一般包括挑战与应答登录请求、同步时间、提供口令序列等方法，由于服务器发送的挑战信息与客户端提供的登录信息，均以明文形式传输，很容易被黑客截取登录信息，对大数据系统内部造成攻击。但如今OTP认证等技术得到不断完善，已经能够较为有效地避免内部攻击[2]。

1.2 智能卡认证

智能卡认证一般使用集成芯片的卡片来实现身份认证，认证卡芯片具有存储身份信息和计算能力，以电磁感应等独特方式实现身份信息的读写。目前，金融、通信、医疗等领域的大数据系统建设中，时常用到智能卡认证，其认证功能也变得越来越多样，有数据加密、数字签名等特殊功能[3]。以USBKEY智能卡认证方式为例，基于散列运算、密钥读取等技术，只有使用USBKEY智能卡认证，才能获取权限，且使用后网络客户端不会留下任何痕迹，同时，不可逆算法的应用能提升大数据系统的安全性，降低木马等病毒的侵入风险。智能卡认证具有技术简单、成本低、使用方便、功能可靠等优点[4]。一般与口令认证等认证技术联合使用，更能满足各领域大数据建设的多样化安全认证需求。

1.3 生物特征认证

生物特征安全认证的安全性较高，基于人类生物特征的唯一性与稳定性，如每个人的指纹特征、脸部特征、虹膜特征都是唯一的[5]，且能进行便捷的身份认证，因此该技术逐渐被应用于大数据系统的安全认证中。以指纹认证为例，该技术是发展较早的生物认证技术，也是目前应用最成熟、最广泛的生物认证技术，指纹认证应用成本较低，需要使用相关的指纹搜集与存储设备。目前，在网络商务、金融等领域应用广泛；人脸认证即利用人的五官特征动态化地对比各项细微特征，由于人脸随年龄增长等因素会变化，在不同光照等情况下也会呈现出不同的细微特征，因此三维建模等工作的难度较高。但目前该项技术已经趋于完善，人脸识别的错误率大大降低。虹膜是十分稳定且难以复制的，因此虹膜认证安全性很高，虹膜采集工作也较为便捷。目前因算法等因素限制未得到大范围应用，但未来会成为计算机网络安全认证的主流方式。

2 数据加密

2.1 加密方法

数据加密技术指通过添加一些程序使数据不以明文形式直接出现，使用正确的密钥才能获取特定的相关的信息。若未输入密钥或密钥与设定密钥内容不一致，则数据内容会无法获取，或自动转化为无意义的随机乱码；输入正确密钥后，才能顺利打开和使用相关数据。对于数据加密的研究主要集中于数据密钥程序的研发，由于加密需求不断升级、多样化，所以，长时间使用被黑客攻击的风险也越大。当前，密钥程序也越来越复杂化，不断降低密钥被攻破的可能性。

常见的数据加密方法可分为对称式的加密、非对称式的加密。对称式加密指加密运算与解密运算使用相同的密钥，不存在任何形式的差异。对称式加密程序一般十分简洁，但破译难度依然较大，因为对称加密使得数据在网络传输过程中具有较强的保密性。在管理中应严格保存密钥，根据权限合理地使用密钥，才能保证密钥及相关信息的安全。对称式加密在网络数据管理中应用广泛，在保证网络安全、大数据系统安全中发挥着重要作用。

非对称式加密一般在加密端、解密端采用不同的密码，加密与解密过程存在很大不同，一般加密过程使用公钥，解密过程一般使用私钥，相比对称加密更为复杂，被干扰的概率进一步降低，因此数据的保密性能大大提升。由于加密和解密过程较复杂性，因此用户需要等待一定的时间才能完成信息加密与解密，如表1显示了两种加密方式在各个节点中相应操作，可清晰看出二者在加密流程上的不同。

对称式加密的公钥和密钥是不相等的，但是非对称式加密的公钥、密钥是不可以相互推导的。在管理网络数据库中，网络数据库本身就具有一定的私密性，但是，数据库在储存和传输过程的安全指数还是比较低，所以，对称式加密和非对称加密技术的应用增强了软件加密处理，增强了数据库的安全性，给重要数据双重保障。

2.2 数据加密类型

一般有链路加密、节点加密、端端加密等方式。

链路加密，指数据运输过程中需要经过多个节点，在这些节点中数据被连续加密直至被传递到接收端，因此数据得到高强度的保护，在传输中被攻破的难度十分大，数据被严密管理，因此大大提升了数据传输时的安全性、完整性。

以NDIS构思为基础，列入微端口驱动程序、中间驱动程序和协议驱动程序，通过驱动向网络发送数据、处理终端、查询驱动程序运行状态。在Windows环境下，网卡驱动程序对应NDIS微端口驱动程序。微端口驱动程序工作在数据链路层与网络接口卡连接的，通过调动NDIS库提供接口函数来完成NIC与上层驱动程序之间的相互通信。NDIS库导出一组函数集合来封装所有微端口需要调用的操作系统函数，而微端口也输出一组MiniportXxx函数供NDIS 和上层驱动程序调用（设计方案详见图1） 。

NDIS微端口驱动位于网络链路层，是网络驱动中与网卡结合最紧密的驱动程序。因此可以对微端口驱动程序进行改造，在驱动程序中实现对数据帧的截取，并调用加解密模块对数据进行加解密。

节点加密，指在运输节点进行数据加密，需要接收设备与发送设备保持高度同步状态，才能保证数据在多次加密后没有错误，并安全地将数据全部转移到数据库中。在加密海外信号时，若两端设备同步性较差，则会导致节点加密的数据不完整或信息错乱。

端端加密，对传输途径、设备条件等无限制，在发送端、接收端进行数据加密，数据发送前需要对其进行加密处理，传输过程中数据处在被保护状态，若传输过程中被攻击，不会影响传输过程，但由于传输路径不唯一，因此具体应用时应根据具体节点情况选择路径，该技术操作简便、易于维护。

3 安全防御模型

3.1 系统化设计

为更好应用各项网络安全技术，提升大数据系统的安全水平，需要基于各项安全技术建立完善的安全防御模型。在防御功能方面，大数据系统主要面临PC端、移动端等途径的攻击，主要受病毒及黑客攻击的威胁。而防御模型的建设应综合考虑这些安全威胁及大数据系统的功能设计，如图2显示了大数据系统安全防御模型的各个功能模块，包含了应用中心的配置管理、网络运行日志的管理、網络监控的管理、运行报告的管理、用户信息的管理及安全策略的管理等管理功能，图2还概括了每个管理内容的目标和具体管理内容，可见各功能均承担了重要的安全防御工作。

3.2 关键的防御技术

大数据系统要提升安全防御能力，除了应用上文详细介绍的安全认证、数据加密等，还应综合应用其他安全技术建设具有层次化的全面安全防御体系，常用安全技术如下：

1） 安全预警。有漏洞预警、危险行为预警、攻击趋势预警等。大数据系统集成了多种应用软件，在架构、语言、环境等方面均有差异，集成时一般使用接口实现通信，但容易存在更多漏洞，利用数据挖掘等技术构建漏洞预警系统，则能更及时地发现并处理存在的漏洞，行为预警与攻击趋势预警主要基于遗传算法、病毒数据库等技术，通过观察网络流量情况，进行安全预警。

2） 安全监测与安全响应。应用网络流量抓包、网络信息包过滤及入侵检测、数据分析等技术，实时获取并分析网络流量，实现对大数据系统的安全检测，数据挖掘技术多样，如决策树算法、观念算法等，应根据实际系统需求进行选择，在挖掘和分析网络流量后，将分析结果报告给安全响应层，若安全响应层检测到有病毒、黑客入侵等情况，会激活防火墙、杀毒软件等软件以清除威胁。另外，应用数据挖掘等进行漏洞扫描，能主动地检测系统中存在的各类漏洞，以更及时地通过添加补丁等方式降低系统被入侵的风险。

3） 安全保护。防火墙、各类杀毒软件、虚拟网络等技术均能为大数据系统提供安全保护，部署时应根据大数据系统要求设定相应的参数，将各种技术整合起来，如身份认证、数据加密均提升了对大数据系统的安全保护水平，应用了数字签名、生物特征认证、非对称式加密等安防技术，主要避免了相关数据在通信过程中被入侵，而防火墙、杀毒软件等技术是通过检测网络通信情况来抵御网络病毒、黑客的攻击。另外，除了被动保护，还应结合蜜罐等技术进行主动安全反击。

4） 系统恢复。为避免大数据系统被入侵，造成信息失真等后果，在做好安全防护的同时，应利用在线备份、增量备份等技术做好系统恢复工作，如定期对信息进行增量备份，当系统受威胁后，相关系统恢复技术能使系统复原到最新的备份状态，降低大数据系统的损失。

4 结束语

综上，大数据系统可能受到的安全威胁是十分多样的，因此需要应用到各种网络安全技术，从安全预测、安全认证、数据加密、病毒查杀等方面全方位地提升大数据系统的安全性。因篇幅有限，本文只详细介绍了某些安全技术在大数据系统中的应用，后续还应进一步完善。