大數據時代計算機網絡信息安全及防護策略

王中亞

（深圳市企鵝網絡科技有限公司，廣東 深圳 518000）

對大數據進行收集和分析，可以用來優化業務流程、提供決策建議，大數據的廣泛應用也逐漸成為企業之間相互競爭的關鍵因素之一，然而企業也面臨著大數據安全風險的挑戰。因此，如何應對大數據時代計算機網絡信息安全風險，做好計算機網絡的信息安全防護工作，已經成為企業需要思考的核心問題。

1 大數據時代計算機網絡信息安全的特點

（1）大數據的特點。首先就體現為數據量大，隨著互聯網等技術的快速發展，數據量呈現指數型增長，存儲單位也從過去的GB、TB至現在的PB、EB級別。其次是廣泛的數據來源，決定了大數據形式的多樣性，存儲和利用的數據不再只是文字、表格、日志之類的結構化數據，而是包含像圖片、音頻、視頻這些非結構化數據。接著大數據的產生非常快速，主要通過互聯網傳輸。并且產生數據是需要及時處理的，因為歷史數據不及時處理會導致數據存儲的壓力，所以大數據對處理速度也有非常嚴格的要求。最后，大數據可以創造很大的價值，現實中有價值的數據是很少的，然而可以通過從大量數據中挖掘出對未來趨勢的預測和分析有價值的數據。

（2）大數據時代下計算機網絡信息安全防護的重要性。很多企業想著如何收集和分析更多的信息來獲得最大的利益，對大數據信息安全的防護不夠重視，缺乏系統的安全保護，存在很大的安全隱患。大數據高度依賴對數據的讀取、采集和應用，一旦服務器等網絡設備遭到攻擊可能導致數據丟失或泄露，對企業的信息安全產生重大的影響。因此企業應當做好安全防護工作，增強計算機網絡信息安全的防護能力，從而確保大數據的信息安全。

2 大數據環境下常見的網絡信息安全問題

（1）系統漏洞。系統漏洞主要是應用系統或操作系統存在缺陷，而這種缺陷容易被黑客利用，導致重要的資料和信息的泄露和丟失。而大數據所存儲的數據非常巨大，往往采用分布式的方式進行存儲，正是由于這種存儲方式，導致數據保護相對簡單，黑客較為輕易利用相關漏洞，實施不法操作，造成安全問題。目前針對系統漏洞的問題多采用補丁修復的方法，然而在修復之前計算機面臨著嚴重的安全威脅。

（2）病毒入侵。計算機病毒是一種可執行的代碼程序，病毒程序會影響操作系統或應用程序的正常使用，甚至可能導致整個操作系統癱瘓。大數據時代發展過程當中，計算機網絡開放性越來越明顯，這就造成病毒入侵時的隱藏性更加突出。針對病毒入侵問題，要做好病毒查殺工作，及時攔截刪除病毒，同時加強主機和服務器的權限管理，防止病毒的擴散。

（3）網絡攻擊。網絡攻擊是指未授權進入或嘗試進入計算機網絡的行為。這種行為可以是對網絡中的單個主機或服務器，也可以是對整個網絡進行攻擊，比如常見的DDOS（即Distributed denial of service attack，分布式拒絕服務）攻擊、XSS（即Cross Site Scripting，跨站腳本）攻擊等。大數據環境下網絡信息的開放性與共享性也越來越高，非法用戶可能會利用這一條件對合法用戶的計算機進行非法攻擊，獲取用戶的信息數據。針對網絡攻擊的問題，可以加強身份認證和訪問控制，同時做好數據備份和恢復。

（4）誤操作。網絡中不只有外部的安全威脅，在內部也存在信息安全問題。運維或管理人員在操作網絡設備時，可能會存在誤操作的行為，從而對計算機網絡安全產生危害。比如為普通運維人員分配超級管理員用戶，運維人員使用錯誤命令，導致重要數據丟失。針對誤操作的問題，建議加強身份認證，密碼要符合復雜度要求，同時強化授權管理，做到權限分離。

3 大數據背景下計算機網絡信息安全防護策略

（1）身份認證。對于網絡安全防護工作來說，身份認證起到關鍵作用。沒有身份認證，就無法做好授權管理和訪問控制。為了加強身份認證，首先要選擇合適的認證方式。目前市面上主流的身份認證方式，除了常用的口令或動態口令外，更添加了生物識別認證。生物識別認證包括了指紋、聲音、面部識別等。從安全角度考慮，目前提倡采用雙因子認證，也就是在原來口令的基礎上添加其他認證方式，這些認證方式可以是動態口令（手機短信驗證碼）、物理認證（U盾）、生物識別認證等。

其次也要加強認證數據的保護，用戶的口令不能明文傳輸和存儲，身份認證環節一定要使用加密傳輸協議，例如使用HTTPS、SSH等。口令強度要滿足復雜度要求，建議14位以上，且包含大寫字母、小寫字母、數字、特殊符號。對于使用生物認證方式，建議通過使用對稱加密算法的方式存儲用于對比的生物特征，在認證過程中也需要攜帶及驗證時間戳，防止生物特征泄露偽造認證請求。

（2）授權管理。為了避免產生授權不嚴漏洞，應該加強對授權的管理。做好權限分離，不同的角色分配不同的權限，例如角色可以分為業務人員、運維人員、審計人員等。業務人員只能訪問業務系統前端進行數據錄入和查看工作，不能訪問系統后臺進行操作。

從安全方面考慮，用戶的權限越小越好，滿足基本需要就可以。普通用戶不能擁有管理權限，普通運維人員不能擁有超級管理員權限。特殊情況下，根據業務需求，需要先申請權限，才能進行操作。

（3）訪問控制。首先是做好網絡層的訪問控制，主要包括網絡準入控制、異常外聯控制和網絡防火墻控制。網絡準入控制可以確保只有符合要求的人員和設備才能接入和訪問網絡資源，防止不可信或不安全的設備接入網絡中。異常外聯控制可以防止主機和服務器非授權私自訪問互聯網，從而避免敏感數據的外傳和泄露。網絡防火墻控制可以進出網絡邊界的數據進行控制，只有符合策略規則的數據才能通過，可以對內部網絡進行有效的防護。

其次做好主機層的訪問控制，主要通過使用堡壘機和自動化運維來實現。部署堡壘機可以對主機進行統一管理和對登錄來源的控制，只有運維人員才能登錄堡壘機，也只有通過堡壘機跳轉才能訪問和管理網絡設備。登錄服務器本身就屬于高風險行為，通過部署自動化運維平臺，減少日常登錄操作，才能避免誤操作等原因造成的配置錯誤、數據丟失等風險。

在應用和數據層方面，可以通過部署統一的應用網關接入，所有業務訪問都需要經過這個網關，這樣就可以在網關上加強訪問控制。

（4）防病毒。企業在開展計算機網絡信息安全防護工作的過程中，需要注重應用防病毒技術來保證計算機網絡信息的整體安全。防病毒技術可以分為兩種，一種是在網絡邊界或入口處部署防毒墻，一種是在主機端部署防病毒軟件。

首先，因為病毒在內部產生的風險較少，大部分的病毒是由外部網絡入侵傳入內部。在邊界防火墻的內側部署防毒墻或者在防火墻上開啟防病毒模塊功能，可以有效防止外部病毒的入侵。其次，在主機操作系統上部署殺毒軟件，對操作系統進行實時的病毒掃描，及時發現和查殺病毒。當然，同時也要做好防病毒系統的維護工作，定期進行防病毒系統和病毒庫的升級工作。當病毒事件發生且防病毒系統無法對其進行有效處理時，應將主機進行隔離，防止病毒程序在網絡中進一步擴散。

（5）漏洞管理。在內部網絡中，定期對計算機進行漏洞掃描，可以有效檢測安全漏洞，及時發現惡意入侵和攻擊行為，第一時間進行漏洞修復，避免嚴重安全事件的發生。同時也可以使用入侵防御技術，在網絡邊界部署入侵防御系統，對進入內部網絡的數據包進行檢查，發現存在外部攻擊行為立即阻止并告警。

（6）安全審計。審計就是記錄所有操作，并可以用作事件的追溯。對于網絡中的所有設備都應該具備審計功能，主要體現在會話日志、訪問日志、操作日志等方面。當安全事件發生時或發生后，需要確保可以通過查詢日志來找出發生安全事件的原因。

網絡設備的日志默認記錄在內存或硬盤里，但網絡設備的內存和硬盤空間有限，通常情況不滿足保存期限的要求，建議通過在外部部署日志服務器的方式，來統一收集、存儲、管理和查看各種網絡設備日志。按照網絡安全法、等級保護等各類監管要求，網絡日志一般至少需要保存六個月，用于安全事件的追溯。

除了設備本身具備審計功能外，可以添加專用的安全設備加強網絡的安全與審計。例如使用堡壘機對網絡設備的操作行為進行審計，使用數據庫審計系統對數據庫的操作進行審計，使用日志管理系統對網絡日志進行分析和審計等。

4 結束語

在大數據時代，網絡環境愈加復雜，網絡安全形勢也日益嚴峻，做好安全防護工作具有十分重要的意義。只有通過構建完善的計算機網絡信息安全防護體系，對大數據平臺進行系統化的安全防護，才能有效保障大數據時代計算機網絡的信息安全。