航運物流平臺的網絡安全對策

朱梅，朱繼祥

（長江航道測量中心，湖北 武漢 430010）

航運物流平臺的網絡安全對策

朱梅，朱繼祥

（長江航道測量中心，湖北 武漢 430010）

本文旨在通過對物流平臺發展現狀的分析，挖掘其發展當中存在的問題，有針對性地對這些問題提出相應的解決策略，并著重探討了大數據技術對網絡安全的預測。

物流平臺；網絡安全；研究現狀；發展策略；網絡安全技術；大數據技術

DOI編碼：10.13646/j.cnki.42-1395/u.2016.10.008

長江航運物流公共信息平臺運行已有兩年，它在融合先進信息技術的同時，強調“整合”、“共享”和“服務”的思想，即在資源充分整合的基礎上，通過信息共享的手段，最終將實現為航運物流全流程服務的根本目標。隨著物流平臺的擴大和發展，其安全性和可靠性變得更加重要，因此，運用切實可靠的網絡安全管理方法、提高網絡的安全防護能力已經成為企業一個重要研究的內容。

1　物流平臺網絡安全因素與現狀

對于廣大的計算機網絡應用者來說，網絡的不安全因素可以分為內在因素和外在因素，內在因素就是由于使用者自身的疏忽而導致的一些安全問題，外在因素就是指外敵入侵對計算機網絡的惡意破壞。下面就來一一解讀。

1.1計算機病毒

計算機病毒，是指應用制定好的程序輸入計算機中，對計算機的程序進行破壞，從而影響計算機的正常使用。對于整個電子商務網絡系統而言，最具有威脅性的就是病毒。由于其工作性質的限制，與外環境的接觸機率較大，在信息資源處于半封閉半公開的狀態下，很容易給病毒帶來可乘之機。一旦病毒侵入整個網絡系統，計算機中的所有功能以及大量數據將會遭受巨大破壞。病毒的繁殖和復制能力非常迅速，在短時間內，就可以造成整個網絡系統癱瘓，互聯網資源自動被侵蝕，最終導致網絡環境崩潰。

1.2黑客攻擊

我們通常意義上理解的黑客是指在未經許可的情況下，載入對方的系統進行信息盜取或對計算機網絡進行惡意破壞的人。黑客對于網絡信息安全的威脅是不容小視的，有很多黑客的惡意破壞可使整個局域的網絡處于癱瘓的狀態。

1.3信息盜用

當網絡環境在實現資源傳輸或者共享的過程中，如果沒有對信息采取加密等保護手段進行信息維護的話，那么傳輸的信息就會以明文的方式展現給大家，一些不法分子利用這一疏漏，可能會在數據經過的路線上對信息進行攔截或者提取，之后通過研究得出有價值的資源，嚴重的情況下，可以泄露個人信息、賬戶、密碼等重要信息，對個人和單位帶來難以估量的損失。

1.4軟件自身漏洞

在長久的軟件應用過程中，發現了許多漏洞，使得軟件在使用過程中的安全性降低。這些缺陷是在軟件開發編程時經過無數次的修改測試，仍然無法解決的問題。軟件帶著這些無法解決的遺留問題流入市場，在被大家廣泛應用的同時，有一些黑客會懷著惡意破壞的心里，利用這些漏洞，對網絡進行破壞。有的也可能因為軟件本身的漏洞太大，而直接自身成為計算機的一種安全威脅。

1.5使用者安全意識薄弱

網絡安全問題除了上述一些客觀因素之外，還有一個重要的因素是使用者沒有相應的網絡安全意識。在網絡上分享私人信息、應用軟件時輸入一些信息口令、下載含有病毒的軟件，都可能讓非法人事盜取我們的信息。

2　計算機網絡安全技術在物流平臺中的應用

為保證物流平臺產業能夠正常的發展和運作，同時也為了物流平臺網絡環境得到改善和提高，就要采取一些必要的手段或者是方式方法對整個網絡環境實施有效的管理，促使安全隱患在網絡安全技術的控制下得以緩解和消除。下面就一一談談上述問題的解決方案。

2.1入侵技術檢測

入侵檢測是指，通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入企圖。是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。就像監控器一樣對不安全因素有實時監控的作用，可以快速及時的預防不安全因素對網絡產生的破壞。

2.2殺毒軟件應用

殺毒軟件在大多數網絡用戶的計算機上都屬于常用軟件，人們使用起來都是比較方便快捷操作簡單的，但正因如此，其殺毒的功能有限，只能針對于一些小型用戶的普通病毒進行查殺，并不能很好的解決網絡安全的問題，尤其是在物流平臺飛速發展的今天，要求軟件開發者不斷的技術革新，研發出更適合現代網絡的殺毒軟件。

2.3防火墻技術

防火墻技術，最初是針對網絡不安全因素采取的一種保護措施。防火墻可以對黑客起到很好的防護作用，但也并不是完全的抵御，要想實現真正的良好的環境，還應有其他的防護措施來保護網絡的安全。

2.4數據加密技術

數據加密技術是指通過特定的網絡密鑰才能解開計算機，從而獲得計算機的數據。通俗的說，就是給數據加個私人密碼，讓外人在非指定的機器，沒有密碼的前提下無法獲得我們的信息，從而對我們的數據起到一個保護的作用。高級密碼可以抵御黑客和病毒的入侵，使得我們的計算機網絡處于一個相對安全的環境，保證我們的網絡環境良好。當前，個人電腦進行網絡應用是基于PKI進行安全防護，利用內置私密USB硬件設備，解密運算不出硬件，實現身份認證和會話秘鑰的協商共享，如采用高強度信息加密，數字認證和數字簽名技術，保證具有不可復制性，則可以有效防范交易風險，保障客戶網上交易安全。值得一提的是，手機、平板電腦等移動互聯網智能終端，因很難外接一個USB設備，目前安全辦法是將密碼算法與秘鑰融合，利用終端密碼個性化、動態更新的一人一密加一次一密保護互聯網的安全性，其安全性尚未得到廣泛認可的解決。

2.5個人身份認證

個人身份認證就是指在進行信息交易或者提取時，為了保證交易中參數或者數據的真實性和完整性，對于交易的個人實行的一種檢測手段，通過身份對比、驗證，對持有信息人進行核實，防止不法分子對用戶資料進行盜取、修改甚至是偽造。物流平臺交易采用身份證的認證方式，能增強信息的安全性，且有利于網絡系統對于信息的保存和提取。

2.6物理隔離防護

物理隔離是指內部網不直接或間接地連接公共網。物理安全的目的是保護路由器、工作站、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。當前物流平臺可實行內部網和公共網物理隔離，保證內部信息網絡不受來自互聯網的黑客攻擊。此外，物理隔離也為物流內部網劃定了明確的安全邊界，使得網絡的可控性增強，便于內部管理。

2.7健全規章制度

要保證網絡的相對安全，就務必制定詳細系統的安全制度。安全制度能夠精準、全面、系統考慮到網絡安全的各個漏洞或威脅問題，一旦出現網絡安全事故，處理和處罰有章可循；同時要嚴格執行制度，嚴格落實檢查制度，做好日常檢查、定期和不定期檢查，記錄出現違規的人員及情況、相應處罰情況，定期通報檢查的結果和問題；并對違法問題及時提請公安機關偵辦。

2.8嚴打違法犯罪

對網絡違法犯罪，進行嚴打，能有效震懾犯罪分子，降低網絡違法犯罪發案率，保護企業和客戶的合法權益，因此，當前一是要加強長航公安網絡安全監督警力和能力，增加投入，引進人才，建立健全網絡安全和打擊犯罪隊伍；二是進一步采取精神和物質的激勵機制，調動網監人才和辦案人員的積極性，形成違法必查、查必追究，究必嚴罰的嚴打態勢。

3　網絡安全分析中的大數據技術應用

3.1將大數據技術引入網絡安全的必要性

網絡安全分析的數據隨著網絡架構的越來越復雜，來源越來越豐富，數量呈指數曲線增長，從TB的數量級邁向PB數量級，內容越來越細致，維度范圍越來越大；網絡設備的性能越來越強，發送數據的速度越來越快，安全信息的采集速度要求越來越高；網絡安全漏洞日益增多，影響范圍廣泛。大數據技術具有數據量大、速度快、種類多、價值密度底等特點，滿足于網絡安全數據要求的效率高、容量大、成本低的要求。

3.2大數據技術在網絡安全分析中的應用

日志和流量是當前網絡安全分析的主要數據對象，資產、配置、漏洞、訪問、應用行為、用戶行為、業務行為、外部報告等作為關聯的輔助信息。將大數據技術引用進來，原理是將分散的日志與流量數據集中到一起，運用高效的采集、儲存、分析和檢索技術，提升網絡安全分析和處理成效，縮短分析時間。在使用信息關聯、階段性組合、場景關聯等手段進行分析，發現安全事件之間的關聯性，預測安全漏洞、高持續性攻擊和數據泄露等安全事件的發生，變被動防御為主動防御。

3.2.1信息的采集

數據采集可以使用Chukwa等工具，使用分布采集的手段進行對于日志信息每秒數百兆的采集；通過傳統的數據鏡像的采集方式，可以采集全流量數據。

3.2.2信息的存儲

面對繁雜的數據種類和各種各樣的應用方式，想要滿足各種分析需求的數據儲存，提升檢索與分析的速度，應采取不同的儲存方式來儲存不同類型的數據。

供檢索的原始安全數據，如日志信息、流量歷史數據等，可使用GBase、Hbase等列式存儲，其具有快速索引的特性，能夠快速響應數據檢索。

進行標準化處理后安全數據，可以根據Hahoop分布式進行其構架計算，把分析的數據置于計算節點上，使用Hive等進行腳本分析，挖掘與分析安全數據，完成統計報告和分析警告，再將結果存放于列式存儲。

需要進行實時分析的安全數據，可采取Storm、Spark等流式計算方法，把需要分析的數據置于各個計算節點，當實時數據流流經節點時系統自動進行分析，形成數據統計與安全警告，再把分析結果存放到流式存儲中。

3.2.3信息的檢索

安全數據的查詢與檢索可以使用以MapReduce為基礎的檢索架構，把數據查詢的請求主語各個分析節點進行處理，利用分布式的并行計算方法，將安全數據的檢索速度有效提升。

數據的分析。實時數據分析可以利用Storm或者Spark等流式計算架構為基礎，聯合復雜事件處理技術和定制的電聯分析計算方法。采用以上方法對于實時分析數據內存、實時監控與關聯安全信息，能夠及時捕捉異常行為。非實時數據的分析可采取Hadoop架構，利用HDFS分布式存儲和MapReduce的分布式計算和，聯合數據聚合、數據挖掘、數據抽取等技術統，離線統計風險、分析事態、尋找攻擊源。

多源數據與多階段組合的關聯分析。大數據技術能夠有效提升存儲與分析的速率，使短時間內挖掘分析多源異構數據，關聯挖掘大規模系統的安全隱患、關聯不同階段的攻擊行為特征等可能性存在。例如，要分析僵尸網絡，不單單能夠結合流量同DNS的訪問特征，還可以將數據源進一步擴充與分析，將全分組數據集合、對溯源數據和莫管數據進行攻擊、深度關聯分析外界情報等信息。又例如，發現某個主機被攻擊或者存在漏洞，能夠關聯系統中的其他主機是否受到相同的攻擊或者存在相同的漏洞，使隱患及時被發現，提前做好防范準備。

3.3基于大數據技術的網絡安全平臺建設

3.3.1基于大數據的網絡安全平臺架構

本文提出如下圖所示的網絡安全分析平臺。

此平臺由下至上分別為數據采集層、大數據存儲層、數據挖掘分析層、數據呈現層。當中數據采集層能夠分布式采集基于流、用戶身份信息、事件和威脅情報等多源異構信息。大數據存儲層能夠應用分布式文件系統長期全量存儲海量信息，并能實現結構化、半結構化以及非結構化的數據統一存儲，使用均衡算法將現實數據均勻分布在分布式文件系統上，為將來的數據檢索提高速度。數據挖掘分析層能夠實將時數據分析關聯、分析情境、提取特征，以此來實現安全事件的挖掘，迅速發現異常網絡行為并溯其根源，同時能夠對信息數據進行搜索查詢以及定位。數據呈現層能夠將大數據分析結構進行可視化的呈現，通過多種維度展現網絡安全狀態。

3.3.2平臺實現的技術支持

3.3.2.1數據采集技術

本平臺采取Flume、Kafka、Storm結合的形式進行數據采集。

使用Flume進行海量安全數據的采集、整合與傳輸具有可呈現分布式、可靠性高、可用性高的特點，利用定制的數據，讓發送方能夠收集到源自不同數據源的數據，把數據簡單處理后發送給各個數據的定制方。

面對活躍的流式數據進行處理是，可已將Kafka當做數據采集與流式數據處理間的緩存。Kafka包含許多生產者、代理、消費者，整體性的提供邏輯服務，使其成為一個高吞吐量的分布式發布訂閱系統。面對分布式中的數據管理，Kafka使用了Zookeeper框架對于集群配置進行管理，實現了負載的均衡。

3.3.2.2數據存儲技術

使用HDFS進行采集后的數據存儲，HDFS分布式文件系統有著高吞吐量和高容錯性的特點，命名空間使用的是元數據管理節點文件系統，數據節點被用來存儲數據文件，將64兆字節的數據塊作為最基本存儲單位。元數據節點的數量與數據文件的大小成粉筆，同一時間如果訪問過多的文件就會造成系統性能的嚴重下降。所以，想要保障數據處理和分析的效率，此平臺使用的存儲單位就是HDFS數據塊存儲，把采集得來的數據歸納處理之后，保證每個文件的大小滿足64兆字節。

3.3.2.3數據分析技術

此平臺使用Hive完成數據統計與分析，采取類似SQL的HiveQL語言滿足HDFS與HBase對于非結構化的數據進行快速檢索的，該平臺使用Hive對API進行封裝，使用定制的插件開發和實現各種數據的處理、分析與統計。

對于數據的挖掘分析，給平臺使用Mahout完成基于Hadoop的機械學習，同時完成數據的挖掘與整理。

針對事件流的關聯與分析，該平臺使用CPE，把系統數據當作是各種類型的事件，對時間之間的關聯性進行分析，構建起分門別類的事件關系序列庫，完成從簡單事件到高級事件的轉化，在大量的信息中尋找到網絡安全隱患。

4　結束語

物流平臺的運用及發展的前景十分廣闊，但與此同時我們必須正視物流平臺快速發展中出現的問題，要在問題的發現與改善中不斷取得更為良性的發展，發揮其最大作用。

隨著長江航運的發展和規模的壯大，網絡安全管理變得越來越復雜。在執行維護網絡安全任務的同時，我們一定要注意把網絡安全防護技術、影響網絡安全的因素結合起來，采取可行性高的防護措施，建立健全防護體系，增強單位內部人員的網絡安全意識和技能，從源頭上解決網絡安全問題。

U692

A

1006—7973（2016）10-0025-03