大數(shù)據(jù)時代高校網(wǎng)絡(luò)空間安全層次化保障體系分析

◆張新剛于 波田 燕王保平

（1.南陽師范學(xué)院計算機與信息技術(shù)學(xué)院 河南 473061; 2.信陽師范學(xué)院政法學(xué)院 河南 464000）

大數(shù)據(jù)時代高校網(wǎng)絡(luò)空間安全層次化保障體系分析

◆張新剛1于 波2田 燕1王保平1

（1.南陽師范學(xué)院計算機與信息技術(shù)學(xué)院 河南 473061; 2.信陽師范學(xué)院政法學(xué)院 河南 464000）

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展與廣泛應(yīng)用，網(wǎng)絡(luò)空間安全日益受到人們的重視。為了保障大數(shù)據(jù)環(huán)境下高校網(wǎng)絡(luò)空間安全，本文在分析高校網(wǎng)絡(luò)空間新的典型安全威脅—APT、DDoS、大數(shù)據(jù)的隱私泄露和移動智能終端安全威脅的基礎(chǔ)上，從設(shè)備安全層、系統(tǒng)安全層、數(shù)據(jù)安全層和內(nèi)容安全層四個層次，構(gòu)建并分析了高校網(wǎng)絡(luò)空間安全層次化保障體系，為進一步提高高校網(wǎng)絡(luò)空間安全保障能力提供了參考。

大數(shù)據(jù); 網(wǎng)絡(luò)空間安全; 網(wǎng)絡(luò)安全; APT; 隱私泄露

0 前言

當前，網(wǎng)絡(luò)空間已成為繼陸、海、空、天之外的第五大戰(zhàn)略空間，也成為世界各國爭相控制的重要領(lǐng)地。特別是“棱鏡門”事件爆發(fā)以來，各國在網(wǎng)絡(luò)空間領(lǐng)域的競爭更加激烈。網(wǎng)絡(luò)空間的安全問題日益嚴峻，各國紛紛將網(wǎng)絡(luò)空間安全提升至國家戰(zhàn)略[1]。

習(xí)近平總書記指出“沒有網(wǎng)絡(luò)安全，就沒有國家安全。沒有信息化，就沒有現(xiàn)代化。”2014年2，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，著眼于推動國家網(wǎng)絡(luò)安全和信息化建設(shè)，增強安全保障能力。

為了進一步推進國家安全戰(zhàn)略，國務(wù)院學(xué)位委員會、教育部于2015年6月批準增設(shè)了“網(wǎng)絡(luò)空間安全”一級學(xué)科，并增設(shè)了“網(wǎng)絡(luò)空間安全”一級學(xué)科博士學(xué)位授權(quán)點，這對于加強我國網(wǎng)絡(luò)空間安全領(lǐng)域高層次人才培養(yǎng)具有重要的意義[2]。

大數(shù)據(jù)環(huán)境下高校網(wǎng)絡(luò)空間安全問題日益引起人們的重視。本文首先闡述了網(wǎng)絡(luò)空間安全的概念，然后分析了大數(shù)據(jù)時代高校網(wǎng)絡(luò)空間的典型安全威脅，最后設(shè)計并分析了大數(shù)據(jù)時代高校網(wǎng)絡(luò)空間安全層次化保障體系。

1 網(wǎng)絡(luò)空間安全的概念

2008年，美國國家安全第54號總統(tǒng)令中對Cyberspace（網(wǎng)絡(luò)空間）進行了定義：“網(wǎng)絡(luò)空間是連接各種信息技術(shù)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)，包括互聯(lián)網(wǎng)、電信網(wǎng)、計算機系統(tǒng)、嵌入式處理器和控制器系統(tǒng)，并涉及人與人之間相互影響的虛擬信息環(huán)境。[3]”

目前對網(wǎng)絡(luò)空間還沒有統(tǒng)一的定義，方濱興院士認為網(wǎng)絡(luò)空間是“所有由可對外交換信息的電磁設(shè)備作為載體，通過與人互動形成的虛擬空間，包括互聯(lián)網(wǎng)、通信網(wǎng)、廣電網(wǎng)、物聯(lián)網(wǎng)、社交網(wǎng)絡(luò)、計算機系統(tǒng)、通信系統(tǒng)、控制系統(tǒng)等。[4]”

2 大數(shù)據(jù)環(huán)境下高校網(wǎng)絡(luò)空間典型安全威脅

隨著高校信息化的快速發(fā)展，以及云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、MOOC等技術(shù)的推廣應(yīng)用，數(shù)據(jù)呈現(xiàn)爆發(fā)式增長。高校師生在校園網(wǎng)、一卡通網(wǎng)、電視網(wǎng)、監(jiān)控網(wǎng)、傳感網(wǎng)、電視網(wǎng)等網(wǎng)絡(luò)空間，通過應(yīng)用一卡通、教學(xué)、科研等復(fù)雜多樣化的業(yè)務(wù)系統(tǒng)，積聚了海量數(shù)據(jù)，海量數(shù)據(jù)不斷匯聚，促進了高校大數(shù)據(jù)時代的到來[5]。與普通的企業(yè)網(wǎng)絡(luò)空間相比，高校網(wǎng)絡(luò)空間具有群體同步、輿論聚集的特征。

大數(shù)據(jù)環(huán)境下，高校網(wǎng)絡(luò)空間面臨著新型的安全問題，典型的安全問題主要包括APT（高級可持續(xù)性威脅）、DDoS（分布式拒絕服務(wù)）、大數(shù)據(jù)的隱私泄露、移動智能終端安全威脅等。

2.1 高級可持續(xù)性威脅

APT（Advanced Persistent Threat）即高級可持續(xù)性威脅，其不同于傳統(tǒng)的網(wǎng)絡(luò)攻擊入侵，利用0day漏洞、社會工程學(xué)原理等多種方式，綜合運用多種網(wǎng)絡(luò)滲透技術(shù)，對政府核心信息資源、工業(yè)控制系統(tǒng)等特定組織實施持續(xù)性攻擊[6]。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的《2015年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》，統(tǒng)計表明2015年針對我國境內(nèi)科研教育、政府機構(gòu)等發(fā)起的APT攻擊的黑客組織近30個，由于APT的隱蔽性強，這其中可能還有相當一部分APT攻擊事件未被識別，這表明針對我國科研教育行業(yè)領(lǐng)域的網(wǎng)絡(luò)攻防對抗日趨激烈。APT通常有以下幾個特征：攻擊目標性強、攻擊隱蔽性強、攻擊持續(xù)性強、攻擊手段多樣化和攻擊威脅性強等。APT攻擊過程一般經(jīng)由情報搜集、外部滲透攻擊、獲得內(nèi)部控制權(quán)、內(nèi)部橫向滲透、價值獲取、實施攻擊行為、持續(xù)滲透等6個環(huán)節(jié)[7]。為了實現(xiàn)攻擊目的，APT會綜合利用多種攻擊技術(shù)，特別是各種網(wǎng)絡(luò)滲透技術(shù)，典型的攻擊手段有：（1）利用SQL注入等方式入侵WEB Server; （2）以被入侵的WEB Server為跳板，對內(nèi)網(wǎng)的其他服務(wù)器或者終端進行滲透; （3）利用社會工程學(xué)手段發(fā)送帶有惡意程序的郵件進行定向攻擊; （4）通過在目標主機植入木馬、后門等回傳敏感文件; （5）通過對目標郵箱發(fā)送XSS郵件進行攻擊，目標郵箱自動向攻擊者發(fā)送郵件副本，從而獲得相關(guān)信息。

2.2 分布式拒絕服務(wù)

DDoS（Distributed Denial of Service，分布式拒絕服務(wù)）一般是利用UDP、DNS、NTP等協(xié)議的某些特性或漏洞，對攻擊對象進行流量放大攻擊。近年來DDoS攻擊的方式不斷變化，特別是自2014年起，利用網(wǎng)絡(luò)傳輸協(xié)議設(shè)計缺陷發(fā)起的反射型DDoS攻擊更加頻繁，這進一步增加了DDoS溯源和防御的難度。另外，隨著主干網(wǎng)絡(luò)帶寬的增加和攻擊技術(shù)難度的降低，針對高校門戶網(wǎng)站的DDoS攻擊呈現(xiàn)上升趨勢，攻擊者通過僵尸網(wǎng)絡(luò)輕易發(fā)起大流量DDoS攻擊，從而導(dǎo)致校園網(wǎng)出口堵塞甚至網(wǎng)絡(luò)崩潰、DNS暫停服務(wù)等情況。

2.3 大數(shù)據(jù)的隱私泄露

隱私泄露是大數(shù)據(jù)環(huán)境下高校網(wǎng)絡(luò)空間的重要安全問題。由于大數(shù)據(jù)時代個人數(shù)據(jù)存在潛在的巨大商業(yè)價值，從而導(dǎo)致針對個人數(shù)據(jù)的隱私泄露風險激增[8]。大數(shù)據(jù)時代，高校師生在使用移動社交網(wǎng)絡(luò)、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用時會將大量個人敏感隱私信息暴露在互聯(lián)網(wǎng)上，不經(jīng)意間在互聯(lián)網(wǎng)上留下了使用痕跡，包括位置隱私、身份隱私等信息，這些痕跡信息具有一定的關(guān)聯(lián)性和累積性，如果將這些海量信息匯聚進行組合分析，隱私風險泄露概率將成倍增加，很可能能夠挖掘出個人的行為習(xí)慣、行動軌跡、社交網(wǎng)絡(luò)等隱私信息，為惡意分子利用這些信息進行精準網(wǎng)絡(luò)詐騙和敲詐勒索提供了可能[9]。個人隱私的泄露會威脅到高校師生的生活安全，也成為影響高校安全穩(wěn)定的重要因素。

2.4 移動智能終端安全威脅

隨著互聯(lián)網(wǎng)的發(fā)展和智能終端的普及，高校師生使用智能手機的比例不斷提高。由于智能手機、平板電腦等移動終端設(shè)備具有便攜性、互聯(lián)性等特點，能夠方便地通過多種形式接入互聯(lián)網(wǎng)，滿足了師生移動學(xué)習(xí)、移動辦公、社交、網(wǎng)購等需求，還可以與其他設(shè)備互聯(lián)互通實時分享信息。然而，正是由于移動智能終端多樣化的網(wǎng)絡(luò)接入方式和豐富的網(wǎng)絡(luò)應(yīng)用，其已成為惡意軟件重點攻擊的目標,主要攻擊方式有無線攻擊、木馬攻擊、蠕蟲攻擊等。

3 高校網(wǎng)絡(luò)空間安全層次化保障體系構(gòu)建及分析

3.1 網(wǎng)絡(luò)空間安全基本要素結(jié)構(gòu)

網(wǎng)絡(luò)空間安全基本要素由安全主體、安全威脅和安全保障組成，網(wǎng)絡(luò)空間安全基本要素立體結(jié)構(gòu)如圖1所示。三者之間的關(guān)系是：安全主體是要保護的實體，也是潛在被攻擊的對象; 安全威脅是針對安全主體的潛在攻擊; 安全保障是針對潛在威脅而采取的保護安全主體的措施方法[10]。具體來說，安全主體是指需要保護的實體。例如，校園網(wǎng)的基礎(chǔ)設(shè)施、路由器、終端主機、應(yīng)用系統(tǒng)、支撐軟件、應(yīng)用平臺、子網(wǎng)等。任何安全都是相對的安全，有限的安全，因此對于安全主體應(yīng)當劃清安全的層次邊界，進行有限地保護。安全威脅是指攻擊安全實體的方式。例如電磁破壞、DDoS、漏洞利用、僵尸網(wǎng)絡(luò)、APT、情報竊取、支付冒充、隱私挖掘等。隨著網(wǎng)絡(luò)技術(shù)和軟硬件設(shè)備漏洞的不斷發(fā)現(xiàn)，安全威脅的方式層出不窮，攻擊手段不斷翻新。對于不同的安全威脅，要深入分析其攻擊意圖和攻擊過程，只有做到有的放矢才能夠有效防范[11]。安全保障是指為了應(yīng)對安全威脅而采取的防護措施。主要有電磁屏蔽、風險評估、訪問控制、VPN部署、防火墻部署、安全傳輸、數(shù)字簽名、情報對抗、隱私保護等方式。安全威脅與安全保障是對抗關(guān)系，總處于一種動態(tài)的演進過程，沒有一勞永逸的安全保障措施。只有實時研判安全主體的安全威脅，掌握網(wǎng)絡(luò)攻防態(tài)勢，才能有的放矢采取適當方式做好安全保障。

圖1 網(wǎng)絡(luò)空間安全基本要素立體結(jié)構(gòu)圖

3.2 高校網(wǎng)絡(luò)空間安全層次化保障體系

將網(wǎng)絡(luò)空間中的信息系統(tǒng)自下向上分為設(shè)備安全層、系統(tǒng)安全層、數(shù)據(jù)安全層和內(nèi)容安全層，每層都面臨著不同的安全威脅，整合起來就形成了網(wǎng)絡(luò)空間安全的層次化模型[12]。按照大數(shù)據(jù)環(huán)境下高校網(wǎng)絡(luò)空間安全保護的對象、安全保護的層次、安全威脅的類型和對應(yīng)的安全保護技術(shù)，構(gòu)建了高校網(wǎng)絡(luò)空間安全層次化保障體系模型如圖2所示。

圖2 高校網(wǎng)絡(luò)空間安全層次化保障體系模型

下面結(jié)合大數(shù)據(jù)環(huán)境下高校網(wǎng)絡(luò)空間實際，分別對設(shè)備安全層、系統(tǒng)安全層、數(shù)據(jù)安全層和內(nèi)容安全層的安全威脅和安全防御技術(shù)進行分析。

（1）設(shè)備安全層

設(shè)備安全層主要涉及網(wǎng)絡(luò)空間中信息系統(tǒng)設(shè)備的安全問題，包括電磁破壞、設(shè)備失效、終端被攻、電子干擾等威脅。設(shè)備安全是信息系統(tǒng)安全的物質(zhì)基礎(chǔ)，設(shè)備的任何安全故障都將會影響信息系統(tǒng)的安全。大數(shù)據(jù)在設(shè)備安全層主要面臨設(shè)備失效的威脅，可以對大數(shù)據(jù)進行災(zāi)備。針對高校網(wǎng)絡(luò)空間中設(shè)備安全層的安全威脅，可以采取電磁屏蔽（如防雷擊）容災(zāi)備份（如遠程備份、雙擊熱備等）、可靠供電（如UPS）、終端安全、探針安全等相關(guān)安全技術(shù)措施來應(yīng)對。

（2）系統(tǒng)安全層

系統(tǒng)安全層在網(wǎng)絡(luò)空間中面臨著信息系統(tǒng)自身的安全威脅，主要包括黑客攻擊、木馬病毒、僵尸網(wǎng)絡(luò)、傳輸干擾、運行干擾、軟件故障等問題。應(yīng)對技術(shù)和策略主要包括風險評估、傳輸安全、網(wǎng)絡(luò)對抗、網(wǎng)絡(luò)防竊、運行安全等。大數(shù)據(jù)環(huán)境下，系統(tǒng)安全層主要面臨著運行干擾問題。例如，當系統(tǒng)中某個計算節(jié)點由于某種故障停止服務(wù)時，相應(yīng)的計算任務(wù)要進行轉(zhuǎn)移，此時大數(shù)據(jù)計算能否可靠運行是一個重要問題。

（3）數(shù)據(jù)安全層

網(wǎng)絡(luò)空間中數(shù)據(jù)安全層主要面臨數(shù)據(jù)處理過程中所帶來的安全威脅，主要包括信息篡改、密碼破解、操作抵賴、非法程序、情報竊取等問題。數(shù)據(jù)安全層涉及到信息的完整性、真實性、機密性、可用性、不可抵賴性等安全屬性。應(yīng)對的安全技術(shù)主要包括數(shù)字簽名、新型密碼、情報對抗、可信云服務(wù)等。大數(shù)據(jù)環(huán)境下，數(shù)據(jù)安全層主要面臨數(shù)據(jù)混亂的問題。這是由于大量的噪聲數(shù)據(jù)可能與有價值的數(shù)據(jù)存儲在一起，如果不能有效地識別噪聲數(shù)據(jù)，將會導(dǎo)致有價值的海量數(shù)據(jù)不能有效利用。例如，在網(wǎng)絡(luò)輿情中，如何從海量的輿論中識別網(wǎng)絡(luò)水軍發(fā)布的大量虛假言論，這就需要構(gòu)建科學(xué)合理的識別機制，加強對大數(shù)據(jù)的可信技術(shù)研究。

（4）內(nèi)容安全層

網(wǎng)絡(luò)空間中內(nèi)容安全層主要面臨著應(yīng)用所帶來的安全威脅，主要包括有害信息，制造輿論、隱私挖掘、支付冒充等安全威脅。應(yīng)對的安全技術(shù)有輿情研判、隱私保護、可控云服務(wù)等。在大數(shù)據(jù)環(huán)境下，內(nèi)容安全層主要面臨著不當?shù)碾[私挖掘帶來的信息泄露問題。這是由于在大數(shù)據(jù)環(huán)境下，通過關(guān)聯(lián)性能夠從非結(jié)構(gòu)化的海量數(shù)據(jù)中挖掘出有價值的信息，包括用戶的隱私信息。因此，針對大數(shù)據(jù)的隱私挖掘，應(yīng)建立嚴格的隱私保護機制，確保大數(shù)據(jù)應(yīng)用規(guī)范有序。

4 結(jié)論與展望

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和推廣應(yīng)用，網(wǎng)絡(luò)空間安全面臨著嚴峻的挑戰(zhàn)和威脅。大數(shù)據(jù)環(huán)境下高校網(wǎng)絡(luò)空間安全面臨著高級可持續(xù)性威脅、分布式拒絕服務(wù)、大數(shù)據(jù)的隱私泄露、移動智能終端安全威脅等典型問題，結(jié)合高校網(wǎng)絡(luò)空間實際，設(shè)計了高校網(wǎng)絡(luò)空間安全層次化保障體系模型，分別對模型中的設(shè)備安全層、系統(tǒng)安全層、數(shù)據(jù)安全層和內(nèi)容安全層的安全威脅和應(yīng)對措施進行了分析，該模型對提高高校網(wǎng)絡(luò)空間安全保障能力具有一定的參考價值。今后隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、社交網(wǎng)等新技術(shù)和新應(yīng)用的發(fā)展，高校網(wǎng)絡(luò)空間將會面臨更復(fù)雜、更嚴峻的安全問題，下一步需要考慮從主動防御、縱深防御、協(xié)同防御、等級保護、態(tài)勢感知等角度，構(gòu)建立體化、動態(tài)化的綜合防御體系，不斷提高高校網(wǎng)絡(luò)空間安全保障能力和水平。

[1]方興東，張笑容，胡懷亮.棱鏡門事件與全球網(wǎng)絡(luò)空間安全戰(zhàn)略研究[J].現(xiàn)代傳播，2014.

[2]李暉，張寧.網(wǎng)絡(luò)空間安全學(xué)科人才培養(yǎng)之思考[J].網(wǎng)絡(luò)與信息安全學(xué)報，2015.

[3]張煥國，韓文報，來學(xué)嘉，等.網(wǎng)絡(luò)空間安全綜述[J].中國科學(xué)：信息科學(xué)，2016.

[4]方濱興.從層次角度看網(wǎng)絡(luò)空間安全技術(shù)的覆蓋領(lǐng)域[J].網(wǎng)絡(luò)與信息安全學(xué)報，2015.

[5]孫其偉，陸春.大數(shù)據(jù)在高校中的應(yīng)用研究[J].中國教育網(wǎng)絡(luò)，2014.

[6]杜躍進，翟立東，李躍，等.一種應(yīng)對APT攻擊的安全架構(gòu)：異常發(fā)現(xiàn)[J].計算機研究與發(fā)展，2014.

[7]王麗娜，余榮威，付楠，等.基于大數(shù)據(jù)分析的APT防御方法[J].信息安全研究，2015.

[8]劉雅輝，張鐵贏，靳小龍，等.大數(shù)據(jù)時代的個人隱私保護[J].計算機研究與發(fā)展，2015.

[9]孟小峰，張嘯劍.大數(shù)據(jù)隱私管理[J].計算機研究與發(fā)展，2015.

[10]李芝棠.校園網(wǎng)絡(luò)空間的安全視圖[J].中國教育網(wǎng)絡(luò)，2015.

[11]張新剛，于波，程新黨，等.大數(shù)據(jù)與云計算環(huán)境下個人信息安全協(xié)同保護研究[J].電腦知識與技術(shù)，2016.

[12]張新剛，王燕.數(shù)字化校園主動安全防御體系分析[J].實驗室研究與探索，2012.

河南省教育廳科學(xué)技術(shù)研究重點項目（17A520049，17A630046）; 河南省教育廳人文社科項目（2015-ZD-047，2016-zd-027，2015-sz-057，2017-ZZJH-394）。