智慧校園大數(shù)據(jù)安全技術(shù)防范

馮金才

摘要：在攻防不對等的今天，該文通過剖析智慧校園大數(shù)據(jù)面臨的危險(xiǎn)，提出了數(shù)據(jù)采集、存儲、傳輸、硬件保護(hù)方面的措施，防患于未然，以筑造智慧校園大數(shù)據(jù)的安全長城。

關(guān)鍵詞：大數(shù)據(jù)；安全防護(hù)；信息技術(shù)

1概述

近年來，隨著互聯(lián)網(wǎng)尤其是移動終端的快速深覆蓋，數(shù)據(jù)呈現(xiàn)幾何級的爆發(fā)增長，“大數(shù)據(jù)”成為了各行各業(yè)開始關(guān)注的焦點(diǎn)。SaaS（Software ss a Service一軟件即服務(wù)）、PaaS（Platform as a Service-平臺即服務(wù)）和IaaS（Infrastructure as a Service-基礎(chǔ)架構(gòu)即服務(wù)）這幾種云計(jì)算服務(wù)平臺也逐步在業(yè)界推廣運(yùn)用。但是，在網(wǎng)絡(luò)空間，漏洞無處不在且長期存在，在攻防不對等的今天，云計(jì)算產(chǎn)業(yè)將傳統(tǒng)的安全邊界已模糊，安全的隱患越來越嚴(yán)峻。如一些新興的DDoS攻擊利用客戶/服務(wù)器技術(shù)來發(fā)動對某一服務(wù)器或平臺進(jìn)行持續(xù)攻擊，以達(dá)到消耗防護(hù)資源，讓安全人員無法分身，從而掩蓋對網(wǎng)絡(luò)數(shù)據(jù)盜取攻擊的真正目的，未來網(wǎng)絡(luò)安全的防范趨勢相當(dāng)不樂觀。

2016年11月，2016年第二屆中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會在北京召開，會議中，學(xué)術(shù)界和產(chǎn)業(yè)界對國際安全新趨勢進(jìn)行了充分分析，并對構(gòu)建智慧連接新生態(tài)、云安全一從虛擬到現(xiàn)實(shí)、安全范式的改變等熱點(diǎn)問題展開了熱烈的討論，旨在發(fā)現(xiàn)云服務(wù)的安全漏洞并尋求相對安全的防范解決方案，以及對網(wǎng)絡(luò)生態(tài)進(jìn)行安全評估。

2智慧校園大數(shù)據(jù)安全面臨的安全風(fēng)險(xiǎn)

2.1數(shù)據(jù)源的安全風(fēng)險(xiǎn)

智慧校園經(jīng)過長期的數(shù)字化建設(shè)，累積了龐大的數(shù)據(jù)資源庫，各種教育統(tǒng)計(jì)、基礎(chǔ)建設(shè)、教學(xué)資源、科研成果、學(xué)生信息等都是真實(shí)有效的。信息使用者通過云服務(wù)預(yù)采集信息的目的非常明確，希望讀取的信息真實(shí)有效，更希望從中篩選出的信息是可信可用的。

然而，攻擊者往往通過隱蔽手段，靜悄悄地進(jìn)入云服務(wù)器，伺機(jī)對數(shù)據(jù)源一些關(guān)鍵信息進(jìn)行偽造修改，甚至直接植入對自己有利的數(shù)據(jù)源，讓客戶端直接獲取攻擊者的數(shù)據(jù)，從而影響信息使用者的判定。有些修改后的信息仿真度極高，真假難分，更加讓決策者誤入陷阱而無法察覺。

2.2數(shù)據(jù)存儲的安全風(fēng)險(xiǎn)

目前，除一部分互聯(lián)網(wǎng)企業(yè)外，數(shù)據(jù)在存儲領(lǐng)域還是以傳統(tǒng)關(guān)系型數(shù)據(jù)庫（RDBMS）為主，并且以O(shè)racle，IBM/DB2，Microsoft/SQL Server為代表的數(shù)據(jù)庫幾乎占據(jù)了全球市場份額，這些傳統(tǒng)的數(shù)據(jù)庫以行存儲形式進(jìn)行物理存儲，數(shù)據(jù)的增減比較方便，但對于統(tǒng)計(jì)分析類的數(shù)據(jù)查詢存儲效率比較低。隨著大數(shù)據(jù)的運(yùn)用，人機(jī)會話模式已經(jīng)發(fā)生了質(zhì)的變化，以網(wǎng)絡(luò)安全設(shè)備、云服務(wù)器、應(yīng)用系統(tǒng)自動處理的融合機(jī)制成為了今天的主角。因此，在面對特別是幾何級增長的數(shù)據(jù)時(shí)，在數(shù)據(jù)的深度挖掘、迭代分析、自助的即席能力方面，在對非結(jié)構(gòu)化數(shù)據(jù)的提取、檢索、比對、交叉分析等方面，傳統(tǒng)的數(shù)據(jù)庫在功能需求或技術(shù)上都無法滿足用戶的要求，最重要的是與之關(guān)聯(lián)擬定的軟件存在比較多的漏洞，比如在輸入驗(yàn)證環(huán)節(jié)、服務(wù)器軟件的內(nèi)置安全等。

2.3數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn)

在數(shù)據(jù)傳輸領(lǐng)域，好比現(xiàn)代物流，客戶下了訂單付了款，自然希望包裹在自己拆封之前是完好無損、不被替換的.在智慧校園大數(shù)據(jù)領(lǐng)域，一種情況是在傳輸過程中失真或被破壞，有可能是人工采集數(shù)據(jù)過程中產(chǎn)生的誤差，也有因時(shí)間差造成前后數(shù)據(jù)差異，或者是執(zhí)行中間人攻擊MITM（Man In The Middle）或者重攻擊等手段，在數(shù)據(jù)傳輸過程中實(shí)行破壞。另一種情況是數(shù)據(jù)在傳輸過程中被攔截造成泄露，如果傳輸數(shù)據(jù)不進(jìn)行技術(shù)加密，攻擊者就比較容易竊取。有些供一定權(quán)限范圍人員使用的重要數(shù)據(jù)，若被竊取或泄露，可能給用戶造成比較大的損失。

3智慧校園大數(shù)據(jù)安全防范的技術(shù)

3.1大數(shù)據(jù)的采集安全技術(shù)

大數(shù)據(jù)采集面臨最大的問題是數(shù)據(jù)失真，數(shù)據(jù)失真有幾個(gè)方面的原因，如人為的惡意捏造，篡改重要信息，數(shù)據(jù)的完整性缺失等。數(shù)據(jù)溯源技術(shù)所記錄的是從原始數(shù)據(jù)到目標(biāo)數(shù)據(jù)演變過程，或者發(fā)生數(shù)據(jù)崩潰性災(zāi)難時(shí)可以進(jìn)行數(shù)據(jù)恢復(fù)。通過信息比對，目標(biāo)數(shù)據(jù)發(fā)生改變時(shí)，數(shù)據(jù)溯源技術(shù)可以保證數(shù)據(jù)的可信程度，從而避免信息使用者陷入信息坑或誤用錯(cuò)誤信息。當(dāng)前，數(shù)據(jù)溯源技術(shù)已集成到云服務(wù)器、云存儲報(bào)務(wù)中，通過對系統(tǒng)的監(jiān)測記錄、日志文件的分析以及對特定客戶端定制得到廣泛的應(yīng)用。

3.2大數(shù)據(jù)的數(shù)據(jù)存儲安全技術(shù)

當(dāng)前，大數(shù)據(jù)的數(shù)據(jù)來源已發(fā)生了質(zhì)的變化，數(shù)據(jù)的處理也由人機(jī)會話轉(zhuǎn)變?yōu)橥ㄟ^服務(wù)器、設(shè)備和應(yīng)用自動化集成處理。智慧校園的大數(shù)據(jù)應(yīng)用主要是對教學(xué)、科研、行政、后勤、實(shí)習(xí)、就業(yè)等方面的各類數(shù)據(jù)進(jìn)行整理、交叉分析、比對，通過數(shù)據(jù)的深度挖掘，為用戶提供自助的即席、迭代分析，以及對存儲文件系統(tǒng)信息的特征提取，指定關(guān)系數(shù)據(jù)庫的內(nèi)容檢索等。

比較典型的技術(shù)路線有兩種方案：

1）采用MPP架構(gòu)的新型數(shù)據(jù)庫集群（圖1）。主要面對行業(yè)大數(shù)據(jù)，通過列存儲、粗粒度索引技術(shù)，結(jié)合MPP架構(gòu)高效的分布式計(jì)算模式，完成對分析類應(yīng)用的支撐，運(yùn)行成本低，效率高，在分析類領(lǐng)域方面取得了廣泛的應(yīng)用。

2）采用HBase數(shù)據(jù)庫集群（圖2）。HBase數(shù)據(jù)庫可靠性較強(qiáng)，性能強(qiáng)大，在數(shù)據(jù)備份中的可靠性達(dá)到了9個(gè)9。在Master節(jié)點(diǎn)出現(xiàn)故障時(shí)，可采用直接切換強(qiáng)制性HA機(jī)制，實(shí)現(xiàn)主從同步，保證了Master（A）和Master（B）內(nèi)存數(shù)據(jù)的一致性。另外在運(yùn)維方面體現(xiàn)了低成本的特點(diǎn)，實(shí)現(xiàn)自動備份，一鍵增容和構(gòu)建，修改配置等.

3.3大數(shù)據(jù)的傳輸安全技術(shù)

大數(shù)據(jù)的傳輸安全包括數(shù)據(jù)采集后的傳送和訪問者的讀取兩個(gè)過程。如在星形的網(wǎng)絡(luò)結(jié)構(gòu)中，對系統(tǒng)的集成和數(shù)據(jù)互換要求提供統(tǒng)一的標(biāo)準(zhǔn)化傳輸接口和通道，同時(shí)建立智慧校園數(shù)據(jù)交換標(biāo)準(zhǔn)，明確智慧校園數(shù)據(jù)的名稱、格式、字段等，同時(shí)提供統(tǒng)一的數(shù)據(jù)交換接口標(biāo)準(zhǔn)，以便各應(yīng)用系統(tǒng)可以按照這一標(biāo)準(zhǔn)來研發(fā)Web Service接口，將規(guī)定的各項(xiàng)數(shù)據(jù)傳遞到智慧校園數(shù)據(jù)中心。對訪問者的控制通過設(shè)置控制權(quán)限，視用戶需求和數(shù)據(jù)的密級將大數(shù)據(jù)和用戶設(shè)定不同的權(quán)限等級，嚴(yán)格控制訪問權(quán)限，以加強(qiáng)用戶權(quán)限管理。訪問控制常用的技術(shù)有身份和口令（加密）雙重認(rèn)證、文件權(quán)限設(shè)置、網(wǎng)絡(luò)設(shè)備權(quán)限控制等。

3.4硬件保護(hù)防范

智慧校園大數(shù)據(jù)安全面臨的最大威脅來自網(wǎng)絡(luò)，如危險(xiǎn)性極大的）DDoS攻擊。DDoS（Distributed Denial of Service分布式拒絕服務(wù)，也稱“洪水式攻擊”）攻擊于1996年初現(xiàn)，2002年登陸我國，2003就形成規(guī)模，常見的DDoS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、ConnectionsFlood、Script Flood、Proxy Flood等。而2016年新發(fā)現(xiàn)的DDOS攻擊技術(shù)精細(xì)度和網(wǎng)絡(luò)攻擊性融合趨勢漸顯，連美國三大政府網(wǎng)站：congress.gov、美國國會圖書館網(wǎng)站以及美國版權(quán)局都遭到這種攻擊。美國主要DNS服務(wù)器提供商Dyn Inc.的服務(wù)器遭遇大規(guī)模DDoS攻擊后，美國東海岸主要網(wǎng)站幾乎全部癱瘓，媒體堪稱為“史上最嚴(yán)重DDoS攻擊”。

因此，應(yīng)對DDoS攻擊應(yīng)以防范為主，主要措施是加強(qiáng)硬件防護(hù)和技術(shù)防范措施。硬件防護(hù)包括擴(kuò)大帶寬，在骨干節(jié)點(diǎn)配置防火墻，充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源，通過安裝apachebooster插件應(yīng)對突增的流量和內(nèi)存占用，提高web server的負(fù)載能，使用高可擴(kuò)展性的DNS設(shè)備來保護(hù)針對DNS的DDoS攻擊，啟用路由器或防火墻的反IP欺騙功能等。如在SYNFlood、HTTP Flood防御中，通過特殊網(wǎng)絡(luò)處理器芯片的清洗設(shè)備和特別優(yōu)化的操作系統(tǒng)、TCP/IP協(xié)議棧，可以處理非常巨大的流量和SYN隊(duì)列。

4結(jié)束語

大數(shù)據(jù)的安全已經(jīng)引發(fā)了新一輪的科技革命，新的技術(shù)無疑是教育資源最好的安全保障。然而，新的攻擊技術(shù)也會隨之而來，攻擊和保護(hù)本身就是矛和盾的關(guān)系，只要不斷地研究新的安全技術(shù)，提高防范意識，使“盾”越來越堅(jiān)固，就可筑造智慧校園大數(shù)據(jù)的安全長城。