大數據時代下的網絡安全問題分析

謝振勇　曾湘峰　周子瓊　胡強

摘? 要：隨著新一代信息技術的快速發展，大數據技術在各行各業的應用越來越廣泛。同時，如何確保網絡安全也成為了研究熱點。大數據技術為數據的分析帶來了新的思路和價值，甚至可以驅動制造業的轉型升級，但大數據時代背景下，相關從業人員需要對網絡數據安全問題給予足夠重視。本文通過對大數據時代下的網絡數據安全問題進行研究探索，結合制造業案例分析網絡安全策略，嘗試給出高度可執行的網絡信息安全優化策略，助力大數據時代安全可靠發展。

關鍵詞：大數據時代;網絡安全;信息安全

引言

大數據技術不斷成熟背景下，不僅各個行業的生產經營方式發生了重大變化，人民群眾的生活習慣也出現了很大轉變。在充分肯定大數據技術為人類社會發展所帶來的便利的同時，也要清醒地意識到大數據技術中隱含的網絡數據安全問題。伊朗核技術研發過程遭遇病毒攻擊、美國石油管道遭受勒索病毒威脅等嚴重事故也時刻警醒我們網絡安全的重要性。本文針對大數據背景下出現的一系列網絡安全問題進行深入分析，并結合實際情況制定高效的網絡信息安全防護措施，推動大數據在制造業等各領域的應用，更好的發揮大數據的價值，建設一個穩定、安全、高效的工業互聯網空間。

一、大數據時代概述

基于大數據技術，人們能夠深入挖掘數據的深層價值，工業4.0、智能制造、5G以及人工智能深度學習技術等都與大數據技術存在密切關聯。從宏觀層面來看，所謂的大數據技術就是對規模體量龐大、數據結構復雜的數據集合進行高效精準處理的一項技術[1]。大數據技術可以對人們使用移動互聯網或開展互聯網活動過程中所產生的海量數據進行實時收集與計算，為各個行業的發展提供數據基礎。與傳統信息數據處理技術相比，大數據技術具有以下三個典型特征。

①數據規模龐大。伴隨著數字化技術和網絡規模的不斷迭代，數據總量呈爆炸式增長趨勢。不論是互聯網還是工業互聯網，每天數據規模遠超GB級以及TB級，達到PB級、ZB級甚至是EB級。

②數據類型復雜。與傳統的數據信息庫相比，大數據技術所使用的數據庫具有很強的包容性，能夠存儲多種類型數據。不僅可以存儲傳統的二維文字數據，還可以存儲諸如圖片、視頻、音頻等非文字數據。此外，對于呈現出非結構化特點的GPS數據以及各類傳感器傳輸數據，大數據庫也能對其進行妥善地保存與處理。大數據庫中80%左右的數據為非結構性數據，傳統信息數據計算方式無法對這些非結構性數據進行有效處理，只有利用大數據技術，才能真正體現這些非結構性數據的價值。

③計算效率高。與傳統意義上的數據庫計算框架相比，大數據技術計算方式十分獨特。實際計算過程中大數據技術以Hadoop框架為基礎，這是一種基于云計算技術而逐步形成的數據計算框架[2]。大數據技術首先對龐大的數據信息進行篩選，自動過濾無效數據以及缺乏計算價值的數據，通過這種方式提升數據處理效率。此外，借助大數據技術自身強大的存儲能力創建分布式運行框架，以數據流的形式對數據進行高效運算與處理。

二、大數據時代下網絡信息安全問題現狀探討

（一）用戶風險

如今，在大數據環境下網絡軟件用戶面臨的風險主要來自網絡軟件欺詐。在大數據環境下，網絡交易和物理交易之間存在明顯的區別。欺詐活動通常是通過使用網絡的交易功能來進行的。受限于互聯網特性，網絡軟件無法克服網絡交易模式自身的局限性。在網絡軟件交易時，經常會出現諸如用戶被騙等問題。從宏觀層面來看，用戶風險主要表現在兩個方面。一方面，不法人員在用戶進行網絡交易過程中經常欺詐性地使用商家信息來誘騙用戶進行支付，甚至利用商家信息進行洗錢行為。另一方面，用戶在所有這三種付款過程中都缺乏交易路徑安全。由于用戶疏忽或者被不法分子有意誤導打開未經授權的鏈接，這些鏈接中含有木馬病毒或者將用戶引入釣魚網站，進而導致財產被盜或受到攻擊[3]。

（二）運營風險

目前，大多數網絡軟件的操作風險管理和控制處于總體良好的狀態，處于激烈競爭中的網絡軟件開發企業為了擴展利潤空間，提升自身在市場競爭中的競爭力，運營商針對支付服務以及支付結算主動對金融機構進行授權，而授權內容中就包括了用戶安全信息以及個人身份信息等敏感內容。此外，網絡軟件將依據用戶在服務區后端生成的大數據來抓取用戶個人信息或者企業商業信息。這種背景下，用戶或企業信息通過互聯網平臺泄漏的案例屢見不鮮，不僅嚴重侵犯了用戶的隱私權，甚至給公司和個人帶來了嚴重的經濟損失。

（三）遭到惡意攻擊風險

隨著云計算、AI等技術的飛速發展，數據上云、萬物互聯成為發展趨勢，傳統IT和OT網絡深度融合，企業級數據平臺與互聯網打通，甚至全部部署在云平臺上，借助互聯網技術進行大數據分析。這在某種程度上，也為黑客提供了更有利的攻擊機會。一方面，大數據安全性仍然存在提升空間，且大數據技術自身的安全防護系統就存在某些缺陷。此外，大數據技術的出現打破了原始數據界限，使原始的防護柵無法滿足網絡信息安全需求。生成密鑰、存儲和管理以及API訪問控制方面的缺陷會導致數據存在泄漏風險[4]。而且隨著數據價值的快速增長，大數據作為一種包含大量價值的可持續攻擊目標，很可能在提取過程中長期受到藏匿于大數據系統框架中的黑客程序的攻擊，黑客以及不法分子通過攻擊大數據庫可以獲得長期的非法收益。另一方面，黑客以及不法分子還可以使用黑客技術反向攻擊大數據庫，并從大數據技術的發展中獲得有價值的數據。

三、網絡信息安全優化策略探討

本文傾向于探討制造業的網絡安全策略，為便于討論，以建設光伏電池制造車間網絡信息安全結構為例，介紹如何構建車間工業互聯網信息安全框架。

（一）車間網絡框架介紹

為建設光伏電池制造智能車間，需要先構建的車間工業互聯網，該網絡架構主要由兩個層級構成，第一個層級為OT網絡，第二個層級為IT網絡。前者運用現場總線、以太網以及無線網絡對底層數據進行采集工作，后者基于IP網絡框架，借助防火墻以及網關與OT網絡進行連接，并在此基礎上實現工業網絡與外部互聯網的安全隔離（如圖1所示）。

（二）工業網絡框架設計

網絡根據功能和應用劃分為四個子網，分別為：生產數據網、生產管理網、視頻系統網、數據中心網。

①生產數據網

生產數據網主要用于生產相關系統的數據匯聚和傳輸，所涉及的系統主要由各生產裝置的PLC采集系統。生產數據網主要分布于車間，核心位于中心機房。通過防火墻于上層路由交換機連接。由上層交換機負責數據的轉發和訪問。

交換機通過防火墻上聯到上層的路由交換機，防火墻通過IP、端口、服務類型等依據決定訪問權限的數據流向，以保證生產網數據的安全性和訪問的局限性。

②生產管理網

生產管理網主要用于MES系統、管理看板、能源管理系統，并連接車間無線網絡，包括：生產管理網主要分布于生產車間內，接入點位于各車間的調度室。核心層設置在中控室中央機房，和上層交換機連接，由上層交換機負責路由轉發，數據訪問權限以及外網訪問控制?？紤]路由的重復性，和生產網采用相同的星形拓撲結構，以保證網絡連接的冗余保護。

③視頻系統網

視頻網主要負責傳輸各裝置的生產視頻系統和各裝置安保視頻系統。由于視頻系統網絡具有流量大，點數多的特殊性，在系統設計中采用星形拓撲結構。

④數據中心網

由于數據中心的特殊性，必須要保證企業數據的高安全級別，以及數據訪問的高速和冗余性，采用設備和線路的雙冗余結構，網絡采用兩層構架。數據中心網的所有設備均放置在中央機房內，核心采用雙熱備冗余交換機，匯聚層按功能分為業務網絡區，存儲網絡區和網絡管理區。核心交換機通過防火墻和上層路由核心交換機形成互聯，由路由核心交換機設置數據訪問的權限和策略。

（三）網絡信息安全防護框架設計

按照“風險評估至上，安全分區基礎，功能安全集成，完善縱深防線”的標準，積極開展網絡安全防護體現建設，光伏電池工業互聯網平臺信息安全總體架構如圖2所示。

系統建設遵循平臺統一的安全架構，并對涉及到的信息安全進行補充完善。按照國家以及信息安全等級保護二級相關要求，根據對系統現狀以及需求的分析，將從主機、網絡、應用、數據以及審計等方面來保證系統的安全。

網絡安全主要是為應用劃分獨立的安全域，制定并配置合理適當的安全策略，對網絡邊界完整性和攻擊進行檢測，在網絡層面保護系統安全。

主機安全防護將對服務器主機操作系統、數據庫及中間件進行安全加固，保障系統服務器基礎環境的安全。

應用安全方面，將利用統一身份管理，為用戶登錄提供身份統一管理認證服務;在業務操作中，通過日志記錄方式實現信息保護;通過啟用應用的SSL功能來實現客戶端與服務端之間的通信安全。

數據安全方面將做好數據庫管理員及應用用戶的訪問權限控制，及時對數據進行備份，確保數據的可靠性和高可用性。

審計安全主要做好系統重要業務操作和重要內容訪問的記錄，以便事后追蹤，同時做好日志輸出，為以后接入企業統一的日志審計平臺做好準備。

（四）網絡安全重點防護策略

①安全技術。在本案例中，利用安全協議以及安全防護硬件對工業互聯網進行物理隔離;使用協議包檢測技術對應用層產生的流量數據進行檢測與管理;使用訪問管控技術，阻擋外部IP進入工業互聯網內部，對訪問用戶進行嚴格管控;使用防火墻為工業互聯網提供安全防護屏障，避免工業互聯網受到不法分子的惡意攻擊。

②安全保護措施。為訪問設備（例如工業控制器、智能儀表、服務器等）以及現場指示器（例如兼容性和安全性）評級。采用安全開關僅允許工業控制協議的通信。對訪問工業互聯網的IP進行嚴格控制，提升賬戶管理效率。此外，對于工廠內部員工對于工業互聯網的訪問也要進行嚴格管控，切實保障工業互聯網信息安全。設計人員在工業互聯網內部設計了安全保護網關，將工業標準協議與外部網絡環境進行隔離，借助這種方式達到邊區防護目的[7]。同時還設計了安全審計體系，圍繞數據庫、安全設備、計算機主機等進行全面的安全審計，同時對企業制定的安全管理制度進行優化，針對生產日志管理、安全配置管理等工作進行具體規定，提升安全管理工作的針對性。

③數字化車間網絡安全防護。基于工業互聯網網關、防火墻以及工業互聯網安全管理平臺，結合特定領域和層次隔離以及邊界保護思想，組建數字化車間網絡安全防護系統。該系統分為設備安全管理模塊，設備安全控制模塊，設備安全操作模塊，企業經營模塊以及信息互連模塊。在各個級別之間布置軟件系統和硬件設備，通過這種方式確保工業互聯網安全。設備管理模塊與控制模塊通過物理連接/協議實現數據實時傳輸。采集軟件或PLC設備從儀表中收集工業生產相關數據，并借助PFC通信網關在上層SCADA系統中收集實時數據。在操作模塊與管理模塊之間安裝PSL工業安全隔離網關以及HC-ISG工業防火墻。工業隔離網關的主要作用在于處理控制網絡如何安全連接信息網絡，以及管理工業互聯網內部各個工作區域間安全保護問題，并為數據的實時傳輸提供“安全通道”[8]。此外，工業防火墻可以幫助用戶過濾和防御病毒，并抵御黑客攻擊和其他不法分子針對工業互聯網所進行的網絡攻擊，避免由于工業互聯網受到網絡攻擊而影響正常的工業生產。

本工程中，設計使用通過搭建ISC平臺實現數字化車間網絡安全防護，在ISC平臺的統一控制下，能夠對車間生產設備進行遠程監控，對生產過程進行集中化管控，并借助大數據技術對生產和設備進行精準分析，更好的輔助生產決策（如圖3所示）。

四、結束語

伴隨著大數據技術的不斷革新，互聯網安全問題變得越發尖銳，無論是工業生產還是人民群眾的日常生活都離不開互聯網。因此，如何研究基于大數據技術所出現的網絡信息安全問題變得異常重要，本文簡要分析了大數據背景下的網絡信息安全問題，并結合光伏電池制造車間實際情況，介紹了在工業互聯網背景下，如何構建高效的網絡信息安全防護體系，為后續制造業數字化車間建設及工業互聯網平臺設計提供參考。

參考文獻：

[1]帥暢.大數據時代網絡信息安全及防護探討[J].數字通信世界，2021（04）：116-117.

[2]郭星.大數據背景下計算機網絡安全及防護技術[J].中國新通信，2021，23（06）：143-144.

[3]張璐明.大數據時代計算機網絡信息安全及防護策略分析[J].網絡安全技術與應用，2021（03）：153-155.

[4]原莉，白雪冰.網絡安全分析中的大數據技術應用[J].電子技術與軟件工程，2021（04）：250-251.

[5]辛培成.大數據時代計算機網絡信息安全及防護策略研究[J].中國新通信，2021，23（03）：131-132.

[6]鞏寧波.大數據背景下的計算機網絡信息安全及防護措施[J].數字通信世界，2021（02）：51-52+60.

[7]郭小娟.大數據背景下的計算機網絡信息安全及防護措施[J].信息記錄材料，2021，22（02）：217-218.

[8]鄧志東.基于大數據背景的計算機信息安全及防護策略[J].電子技術與軟件工程，2020（23）：246-247.

作者簡介：

謝振勇（1988.10—），男，湖南漣源人，畢業于北京理工大學，碩士，工程師，湖南紅太陽光電科技有限公司智能制造主管，研究方向：光伏電池智能裝備、車間自動化和車間數字化研究。