基于新技術的網絡空間安全架構分析

申志偉，辛葉舟/Shen Zhiwei，Xin Yezhou

（中國聯合網絡通信有限公司研究院 北京100032）

1 引言

網絡早已滲透進人們生活中的各個方面，雖然目前存在很多網絡安全解決方案，但網絡安全問題仍然突出，這些問題主要涉及網絡空間漏洞、個人信息安全、網絡沖突與攻擊、網絡犯罪等。網絡空間漏洞是無授權的攻擊者對計算機系統軟/硬件、網絡協議、系統安全方面存在的缺陷進行竊取、操控數據，進而破壞網絡系統。個人信息安全受到嚴重威脅：服務商、員工人為泄露客戶信息；黑客通過技術盜取信息數據；服務商在用戶沒有知情權的情況下濫用其互聯網使用信息來獲取商業利益。網絡沖突與攻擊日益凸顯，中國是目前世界上最主要的黑客攻擊受害國之一，網絡空間已經成為繼陸、海、空之后各國相互角逐的新戰場。網絡信息竊取、互聯網金融詐騙、網上洗錢、色情服務、虛假廣告等網絡犯罪也呈現出快速上升的趨勢，同時其智能性、隱蔽性和復雜性使得取證困難。物聯網、云計算和大數據等新技術的應用本身也帶來了新的安全問題，但是同樣可以通過不斷改進這些新技術來克服這些安全隱患，并形成比較完善的網絡安全技術保障體系。

2 網絡空間安全事件

國際上，2013年雅虎日本2200萬用戶信息被泄露，數字貨幣交易所“自由儲備（Liberty Reserve）”被指幫助全球罪犯洗錢60億美元（約合367億元人民幣），是全球網絡罪犯對其非法所得進行分發、儲存和洗錢的主要渠道。2014年安全公司Codenomicon和Google安全工程師發現了最嚴重的安全漏洞——“心臟出血（Heartbleed）”，攻擊者利用此漏洞獲取用戶密碼，欺騙用戶訪問釣魚網站；“破殼（Bash Shellshock）”安全漏洞緊隨其后，讓全球成千上萬的企業和數以百萬計的消費者在網絡攻擊面前不堪一擊；俄羅斯與烏克蘭展開網絡大戰，相互攻擊政府媒體、外交部等關鍵網站[1]。2015年美國教育部被The Supreme Union入侵，泄露了1 000多個用戶名及密碼；美國軍方也被敘利亞電子軍進行涂鴉；德國聯邦政府受到Swatbanker變種木馬攻擊；東南亞國家受到“蓮花運動”的不斷攻擊等[2]。

在國內，2013年如家、七天等連鎖酒店有多達2 000萬條客戶開房信息遭泄露；搜狗輸入法和瀏覽器頻頻泄露用戶信息；國家域名解析節點受到拒絕服務攻擊；12306網站上線數小時被發現存在漏洞[3]。2014年旅游網站攜程被曝在其支付過程中用戶信息被黑客讀取；國內通用頂級域的根服務器受到攻擊，超過85%的用戶遭遇DNS故障，引發網速變慢和打不開網站現象；黑客利用淘寶和支付寶存在的安全漏洞登錄他人淘寶/支付寶賬號進行操作[4]。2015年知名連鎖酒店（桔子、錦江之星、速八、布丁等）和多家高端酒店（萬豪、麗思卡爾頓、喜來登等）網站存在高危漏洞——房客開房信息大量泄露；超30省市曝安全管理漏洞，數千萬社保用戶敏感信息或遭泄露[5]；黑客利用“Wi-Fi殺手”Android 系統漏洞對開啟了Wi-Fi的Android手機進行遠程攻擊，竊取用戶手機內的照片、通訊錄等重要信息[6]。

3 新技術中的安全保障方法

3.1 物聯網安全技術

物聯網技術的重要基礎和核心是互聯網，是各種感知技術的廣泛應用，物聯網上部署了海量多種類型的傳感器，傳感器定時采集信息，通過各種有線和無線網絡與互聯網融合，將物體的信息實時準確地傳遞出去，物聯網不僅提供了傳感器的連接，其本身也具有智能處理能力，能夠對物體實施智能控制，物聯網將傳感器和智能處理相結合，為大數據分析和處理海量數據做前期工作。

物聯網一般可分為感知層、網絡層和應用層，在每一個層上都有相應的安全保障技術。在感知層，增強感知設備物理安全與節點自身安全防護能力、通信的機密性和認證性；在網絡層，涉及互聯網、移動網絡、異構網絡等通信網絡，其安全機制包括節點認證、數據完整性與機密性、數據流機密性、DoS攻擊預防與檢測，移動網中A-KA機制的一致性和兼容性、跨域和跨網絡認證，密鑰基礎設施、協商和管理，端對端和節點對節點加密、密碼算法和協議等；在應用層，內容篩選機制和數據庫訪問控制、不同場景的隱私保護機制、信息泄露追蹤技術和安全的數據銷毀技術等[7]。

3.2 云計算安全技術

云計算技術具有超大規模、虛擬化、高可靠性、通用性和成本低廉等特點，可以動態管理幾十萬臺、幾百萬臺甚至幾千萬臺計算機資源所具有的總處理能力，并按需分配給全球用戶使用，他們可以在此之上構建穩定而快速的存儲以及其他IT服務。

在確保用戶存儲數據的安全性和可靠性方面，在云計算環境下，計算機可以將局域網、廣域網有機結合在一起，建立安全系數很高的數據中心，進而實現多機互聯備份或者異地備份等，確保用戶數據的安全。而隨著云計算技術的改進，其應用更加廣泛，通過把用戶的相關數據存儲在能夠攔截病毒變種的“云”端，用戶無需按時殺毒和升級軟件就可以防止電腦丟失或者數據被竊的風險，避免了由于計算機崩潰或是硬盤被盜而產生的數據丟失或是被盜問題，有效地避免了計算機網絡用戶數據外泄問題的發生。

在保障用戶在數據共享中的安全方面，云計算存在大量先進的加密和組合技術，可以讓用戶在信息傳輸中處于加密狀態，并且以嚴格的管理權限實施監控，從而大大地提高網絡信息的安全性，利于用戶在保密狀態下進行加密操作。

在對網絡中的各種軟件進行實時監測和跟蹤方面，云計算融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中的軟件行為進行異常監測，獲取互聯網中木馬、惡意程序的最新信息，傳送到服務器端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客戶端，這樣通過云計算技術使得整個互聯網變成一個巨大的殺毒軟件，參與者越多，每個參與者就越安全，整個互聯網就會更安全。

3.3 大數據安全技術

大數據通過對網絡中產生的各種海量信息數據進行自動化分析處理與深度挖掘，把發現安全問題后再做處理的方式，轉變成在安全問題出現前就精準預測，并提供更優化的解決方案。以數據驅動的網絡安全技術，尤其是Hadoop生態圈（Hive、Pig、RHadoop和Mahout）、復雜事件處理、流挖掘和NoSQL數據庫能夠以巨大的速度和規模來分析和處理海量的異構數據集，這些技術通過安全網絡信息的存儲、維護和分析來增強安全分析，可用于欺詐檢測和基于異常的入侵監測，另外，大數據技術將分散孤立、更長時間范圍的大量數據源進行合理關聯、整合并歸納整理起來，促使網絡安全分析人員更為精確和效率地做網絡優化分析[8]。

大數據在分析和預測網絡安全威脅時，第一步是采集包括頁面、圖片、壓縮包、可執行文件、流量等各種數據，第二步是對這些數據進行分類、關聯和挖掘后進行提煉，第三步利用安全分析技術和數據挖掘技術對提煉出來的信息數據進行檢測，最終預測和發現網絡安全威脅。在運用大數據技術進行網絡安全分析和預測時，經常需要跟蹤若干個月的時間才能夠發現網絡攻擊、數據泄露等將在何時以何種方式發生以及可能出現的結果，而這些則需要更多數量、更多類別和以更快速度增長的數據來更加有效地洞察網絡安全的潛在問題。

據市場研究機構Gartner的研究，大數據技術將在偵測網絡攻擊方面發揮重要作用。2016年全球25%以上的機構將在至少一種安全和欺詐偵測案例中使用大數據分析，這一比例將比目前的8%大幅提升[9]。同時，大數據還將改變計算機網絡安全領域中的產品分類，這其中包括網絡監控、欺詐偵測、系統的控制、風險與合規。此外，大數據還將改變如傳統防火墻、反惡意軟件和數據損失防護等安全控制的性質，未來數據分析工具將具備高級預測能力和實時自動控制能力。

4 基于新技術的網絡空間安全架構

物聯網、云計算、大數據這3種新技術不是獨立存在的，而是相互作用和協調的。物聯網突出傳感器感知能力，也具備網絡線路傳輸、信息存儲和處理、行業應用接口等功能，在人與人、人與物、物與物之間的交互中產生海量大數據；云計算將網絡的核心硬件層、核心軟件層和網絡信息層統一起來為大數據的存儲、計算、處理等提供服務和支持；大數據強調對產生的海量數據進行專業化處理和挖掘，以此來產生有價值的信息，而在這個過程中，需要運用云計算來實現。圖1給出了3種新技術在共同提供網絡安全方面的關系。

在具體的網絡部署中，可以從網絡安全接入層、傳輸層和處理層3層來進行，分別對應物聯網技術、云計算技術和大數據技術，圖2給出了分層的網絡架構，這里部署的服務器都是一種集群服務器或者虛擬服務器，是3種新技術在網絡安全保障方面的功能性體現。

在網絡安全接入層，通過部署鑒權服務器來運用物聯網增強的用戶識別代碼、口令、登錄控制、資源授權、授權核查等技術手段對用戶進行嚴格的合法接入；另外，在網絡中利用傳感器部署的監控服務器來實時監控網絡流量異常，一旦流量發生異常，及時報警并且進行處理，同時把這些用戶的接入信息和網絡流量信息傳輸至網絡安全處理層。

在網絡安全傳輸層，通過部署調度服務器來運用云計算的虛擬化存儲、彈性擴展、負載均衡等技術優勢實現對網絡軟件、硬件的安全掃描和監測。另外，部署密鑰服務器對網絡信息進行分布式加密傳輸，動態調配資源來處理網絡攻擊，為信息傳輸提供安全架構保障，同時再將用戶信息傳輸中所產生的用戶網絡行為信息傳輸至網絡安全處理層。

在網絡安全處理層，由接入層和傳輸層所產生的、在網絡中的人、物以及任意兩者之間的各種交互海量信息由部署的信息服務器來進行存儲，通過處理服務器對這些海量信息進行深入分析，并挖掘出隱藏的網絡攻擊、網絡病毒、網絡有害信息等內容。利用大數據處理、分析技術來實時洞察網絡基礎設施狀況，精確檢測網絡欺詐行為、異常入侵行為等，有效防范網絡安全隱患，同時把這些安全隱患反饋至接入層和傳輸層，從而讓接入層和傳輸層更好地制定針對這些隱患的解決方案。

5 結束語

網絡安全事件的不斷發生暴露出更多的安全隱患，任何新技術的出現都是一把雙刃劍，本文基于對物聯網、大數據和云計算的安全保障方法研究，給出了一種新的網絡空間安全架構，即利用物聯網技術優勢來嚴控網絡安全入口，使用云計算技術優勢來保障信息傳輸安全，運用大數據技術優勢來精確防范網絡安全隱患。

[1]李世興.2014年全球網絡空間安全十大事件[J].信息安全與通信保密，2015，（1）:68-70.

[2]全球安全事件縱覽[EB/OL].http://www.05112.com/zixun/it/2015/0727/29656.htm l,2015.

[3]2013年國內外重大互聯網安全事件盤點[EB/OL].http://news.ctocio.com.cn/270/12815770,2013.

[4]2014年全球14大網絡安全事件[EB/OL].http://www.cctime.com/htm l/2015-1-20/2015120161127366.htm,2015.

[5]2015年上半年國內網絡信息安全泄露事件盤點[EB/OL].http://www.leagsoft.com/news/p/1390,2015.

[6]還記得嗎？2015上半年發生的幾個網絡安全大事[EB/OL].http://www.chinaz.com/news/2015/0701/418363.shtml,2015.

[7]葉海燕.物聯網環境下的網絡安全問題研究[J].吉林廣播電視大學學報,2014,(10)：15-16.

[8]CARDENAS A A,MANADHATA P K,RAJAN S P.Big data analytics for security[J].IEEE Security&Privacy,2014.

[9]Gartner報告：大數據將在未來兩年革新網絡安全[EB/OL].http://tutorials.hostucan.cn/gartner-report-big-data-will-revolutionize-thecybersecurity-in-next-two-year.