大數(shù)據(jù)時(shí)代下保密面臨的風(fēng)險(xiǎn)及技術(shù)應(yīng)對

◆趙俊 王圣立

大數(shù)據(jù)時(shí)代下保密面臨的風(fēng)險(xiǎn)及技術(shù)應(yīng)對

◆趙俊 王圣立

（上海計(jì)算機(jī)軟件技術(shù)開發(fā)中心 上海 201112）

隨著虛擬化、云計(jì)算、大數(shù)據(jù)等新技術(shù)的發(fā)展和應(yīng)用，為適應(yīng)大型的政府機(jī)關(guān)及軍工單位辦公、設(shè)計(jì)、研發(fā)、生產(chǎn)的新需求，信息系統(tǒng)、設(shè)備逐步采用虛擬化、云技術(shù)、大數(shù)據(jù)技術(shù)等相關(guān)應(yīng)用和產(chǎn)品設(shè)備；原有的保密規(guī)范標(biāo)準(zhǔn)無法滿足技術(shù)發(fā)展，保密工作面臨著新的風(fēng)險(xiǎn)，同時(shí)如何應(yīng)對在大數(shù)據(jù)情境下的風(fēng)險(xiǎn)也是重點(diǎn)工作。

大數(shù)據(jù)；保密技術(shù)；保密管理

1 大數(shù)據(jù)時(shí)代對保密工作的影響及風(fēng)險(xiǎn)

1.1 大數(shù)據(jù)時(shí)代泄密風(fēng)險(xiǎn)增加

隨著云、大、物、移、智等技術(shù)的快速發(fā)展和應(yīng)用，日常工作和學(xué)習(xí)過程中產(chǎn)生了種類復(fù)雜多變的數(shù)據(jù)，海量用戶數(shù)據(jù)之間存在千絲萬縷的關(guān)聯(lián)關(guān)系，使用某些特定的分析工具技術(shù)可以挖掘出用戶的價(jià)值信息。用戶信息大數(shù)據(jù)中的私密數(shù)據(jù)和敏感信息在動(dòng)態(tài)變化的環(huán)境中面臨嚴(yán)峻的泄密和竊取風(fēng)險(xiǎn)，信息安全保密問題日益突出，需要高度警惕[1]。

（1）病毒及黑客攻擊帶來安全問題

網(wǎng)絡(luò)系統(tǒng)的發(fā)展以及辦公方式的改變，為網(wǎng)絡(luò)黑客和病毒傳播提供了良好的介質(zhì)，對大數(shù)據(jù)的應(yīng)用和發(fā)展帶來了致命的沖擊，特別是涉密單位的網(wǎng)絡(luò)系統(tǒng)。系統(tǒng)數(shù)據(jù)的存儲(chǔ)量大、價(jià)值高、管理模式開放，黑客和病毒（如勒索病毒）的入侵能夠輕易控制計(jì)算機(jī)，獲取重要數(shù)據(jù)信息，容易造成整個(gè)系統(tǒng)體系的癱瘓[2-3]。

（2）數(shù)據(jù)垃圾泄密的可能性

數(shù)據(jù)垃圾（如垃圾郵件、垃圾短信等）是指那些已經(jīng)失去價(jià)值與作用的數(shù)據(jù)，過去這些數(shù)據(jù)都沒有存儲(chǔ)和防護(hù)的必要，但在大數(shù)據(jù)時(shí)代，數(shù)據(jù)垃圾有其獨(dú)特的價(jià)值，可以通過數(shù)據(jù)挖掘和數(shù)據(jù)分析技術(shù)，發(fā)現(xiàn)數(shù)據(jù)間的混雜性，從其中提取一些敏感信息和數(shù)據(jù)之間的相關(guān)關(guān)系，獲取情報(bào)與有效信息。因此對于有關(guān)單位來說，要切實(shí)規(guī)避數(shù)據(jù)垃圾泄密帶來的安全隱患。

1.2 保密管理、檢查難度增大

隨著大數(shù)據(jù)時(shí)代的快速發(fā)展，各類系統(tǒng)的數(shù)據(jù)量、信息量的大幅增加，保密管理及檢查人員配備較少，這就加大了保密和設(shè)備管理的難度、信息泄露的風(fēng)險(xiǎn)；特別是涉密單位的非涉密網(wǎng)絡(luò)、保密安全審計(jì)工作和網(wǎng)絡(luò)安全系統(tǒng)管理方面。

（1）涉密單位的非涉密網(wǎng)絡(luò)可能成為泄密的重災(zāi)區(qū)

隨著科技日新月異，4G/5G技術(shù)、云技術(shù)快速發(fā)展和應(yīng)用，移動(dòng)終端（手機(jī)、PAD）、智能外設(shè)等移動(dòng)設(shè)備更加廣泛地使用在日常的工作及生活中。同時(shí)有關(guān)單位的非涉密網(wǎng)絡(luò)安全防護(hù)措施普遍低于涉密網(wǎng)絡(luò)，且非涉密計(jì)算機(jī)的使用者的安全防護(hù)意識(shí)和措施遠(yuǎn)遠(yuǎn)低于涉密者，因此在大數(shù)據(jù)時(shí)代下非涉密網(wǎng)絡(luò)出現(xiàn)病毒和黑客攻擊風(fēng)險(xiǎn)進(jìn)一步增加。

現(xiàn)在使用的保密檢查工具大多是單機(jī)版檢查軟件，無法并發(fā)多終端同時(shí)檢查，耗時(shí)長；且檢查工具一般僅針對終端操作系統(tǒng)，如Windows、Linux等系統(tǒng)，不支持移動(dòng)端等系統(tǒng)，同時(shí)不能識(shí)別加密文件、數(shù)據(jù)庫文件或特定格式文件中的內(nèi)容，故無法全面高效檢查終端和移動(dòng)端的設(shè)備。同時(shí)非涉密網(wǎng)絡(luò)存在其他安全風(fēng)險(xiǎn)隱患：通過大數(shù)據(jù)技術(shù)分析，境外敵對機(jī)構(gòu)能更精確地確定涉密人員，分析其習(xí)慣、愛好、好友甚至郵件、文檔等各類數(shù)據(jù)，制定針對該人員的非密計(jì)算機(jī)或移動(dòng)設(shè)備進(jìn)行點(diǎn)對點(diǎn)的攻擊方案，從而獲取重要信息的可能性大幅增加，為此必須保證在互聯(lián)網(wǎng)使用的設(shè)備的安全。

（2）保密審計(jì)工作量大并且流于表面

保密審計(jì)工作涉及面廣、內(nèi)容復(fù)雜，如人員進(jìn)出、視頻、設(shè)備使用等日常記錄數(shù)據(jù)。常見的審計(jì)產(chǎn)品：如打印審計(jì)、堡壘機(jī)、主機(jī)審計(jì)系統(tǒng)等，但其功能比較單一且無法快速精確地確定問題。隨著用戶使用量的增加，特別是大型單位，保密信息系統(tǒng)復(fù)雜、數(shù)據(jù)及操作繁多，但單位的保密審計(jì)人員數(shù)量有限，定期對涉密系統(tǒng)進(jìn)行如此數(shù)量級(jí)信息數(shù)據(jù)審計(jì)檢查工作存在較大難度，從浩瀚的審計(jì)日志、圖片中很難找到可能泄密或者違規(guī)的操作，最終造成審計(jì)工作只能流于表面，例行公事而已。

（3）網(wǎng)絡(luò)安全系統(tǒng)管理難度增大

傳統(tǒng)的涉密信息網(wǎng)絡(luò)系統(tǒng)涉及的網(wǎng)絡(luò)安全設(shè)備、服務(wù)器等設(shè)備較少，系統(tǒng)管理員通過人工定期查看設(shè)備運(yùn)行情況、檢查設(shè)備負(fù)荷情況、檢查各系統(tǒng)運(yùn)行記錄等來對涉密網(wǎng)絡(luò)安全進(jìn)行維護(hù)和管理。隨著大數(shù)據(jù)時(shí)代發(fā)展，大型機(jī)構(gòu)的信息系統(tǒng)所使用的網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、刀片服務(wù)器、存儲(chǔ)設(shè)備大幅增加，網(wǎng)絡(luò)系統(tǒng)故障點(diǎn)及故障類型種類和數(shù)量增多，僅通過人工定期檢查和維護(hù)越來越困難，而且故障的解決效率也越來越低。

2 大數(shù)據(jù)時(shí)代下的保密技術(shù)發(fā)展及設(shè)想

2.1 大數(shù)據(jù)技術(shù)應(yīng)對黑客攻擊及病毒

大數(shù)據(jù)網(wǎng)絡(luò)時(shí)代面臨黑客攻擊、病毒威脅及數(shù)據(jù)垃圾威脅，目前主要采用在網(wǎng)絡(luò)架構(gòu)中增加網(wǎng)絡(luò)安全產(chǎn)品（如防火墻、防毒墻、漏掃、IDS、IPS等），同時(shí)對終端設(shè)備進(jìn)行加固；加強(qiáng)使用人員的保密意識(shí)，規(guī)范上網(wǎng)行為。但上述措施往往只能防止已知的病毒及漏洞攻擊，對于層出不窮的新生變種病毒、針對性的黑客攻擊等還沒有有效的解決方法。

采用大數(shù)據(jù)安全分析技術(shù)可以有效解決這一問題，可以將海量的網(wǎng)絡(luò)訪問、攻擊、告警等記錄整合、刪選及智能判斷生成少量存在威脅感知告警，再通過安全管理員對上述威脅告警進(jìn)行人工核對、分析、判讀、響應(yīng)，從而將網(wǎng)絡(luò)攻擊數(shù)據(jù)分析工作進(jìn)行得更加精準(zhǔn)及快速。同時(shí)采用大數(shù)據(jù)數(shù)據(jù)分析技術(shù)，可以將各種設(shè)備、終端及系統(tǒng)的配置信息、軟件運(yùn)行情況、協(xié)議運(yùn)行情況、端口情況、系統(tǒng)資源情況、安全策略運(yùn)行情況等信息進(jìn)行收集并分析，智能分析設(shè)備/終端存在的漏洞、安全隱患及存在問題的嚴(yán)重程度，可以根據(jù)局域網(wǎng)、廣域網(wǎng)內(nèi)受攻擊的設(shè)備的相關(guān)記錄信息分析溯源，為安全管理員提供快速可靠的分析結(jié)果及處理建議。

2.2 大數(shù)據(jù)技術(shù)應(yīng)對非涉密區(qū)設(shè)備檢查

傳統(tǒng)的非涉密計(jì)算機(jī)檢查工具僅限于單機(jī)檢查，需要專人在每臺(tái)終端上進(jìn)行操作及人工分析，隨著終端數(shù)量的增加，工作量及時(shí)間成本大大提高；同時(shí)傳統(tǒng)檢查工具一般只是對于Windows、Linux等主流操作系統(tǒng)中的文本、rar等文件進(jìn)行檢查，對于數(shù)據(jù)庫文件、加密文件、云存儲(chǔ)文件、特定軟件格式文件或其他操作系統(tǒng)（安卓、蘋果等系統(tǒng)）還無法做到全面檢查及智能分析。

通過大數(shù)據(jù)技術(shù)，未來的非涉密系統(tǒng)檢查工具應(yīng)能做到全面、自動(dòng)的檢查，包括對各類終端（計(jì)算機(jī)、平板、手機(jī)、移動(dòng)端、智能外設(shè)、服務(wù)器、云、虛機(jī)等），各類操作系統(tǒng)（Windows、Linux、安卓、MAC OS、云系統(tǒng)等），各類應(yīng)用（郵件、OA、微信、QQ、釘釘、論壇及各類數(shù)據(jù)庫等），各類文件（文本、圖片、壓縮文件、PDF/OFD、加密文件、虛擬盤、特定格式文件等）。通過B/S或C/S架構(gòu)快捷部署客戶端檢查工具，執(zhí)行全面檢查策略，并將檢查結(jié)果及發(fā)現(xiàn)問題統(tǒng)一上傳到服務(wù)器端，對采集的海量信息進(jìn)行數(shù)據(jù)清理、刪選、快速整合得出有用的數(shù)據(jù)，為單位保密檢查人員提供有用有針對性的數(shù)據(jù)支撐。

現(xiàn)在已有新的保密檢查產(chǎn)品能對多種文件、郵件、數(shù)據(jù)庫等進(jìn)行分析檢查，同時(shí)隨著信創(chuàng)的大力推進(jìn)，對于國產(chǎn)操作系統(tǒng)的專用保密檢查工具也陸續(xù)上市，相關(guān)研發(fā)機(jī)構(gòu)也在積極采用大數(shù)據(jù)技術(shù)完善非涉密系統(tǒng)檢查工具；同時(shí)大數(shù)據(jù)技術(shù)的可視化、態(tài)勢感知等大數(shù)據(jù)衍生應(yīng)用也逐步在保密領(lǐng)域應(yīng)用，為保密管理部門提供有力的依據(jù)。

2.3 大數(shù)據(jù)技術(shù)輔助安全審計(jì)

通過采集工具對審計(jì)文件信息數(shù)據(jù)進(jìn)行匯總歸納，清洗、分析不同結(jié)構(gòu)類型的數(shù)據(jù)，使用大數(shù)據(jù)技術(shù)發(fā)掘數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系。根據(jù)審計(jì)員的個(gè)性化需求作為篩選條件，對收集的信息數(shù)據(jù)進(jìn)行有效分析，呈現(xiàn)給審計(jì)人員進(jìn)行核對檢查，通過大數(shù)據(jù)比對及人工智能分析技術(shù)可以快速定位到可疑輸出文件，再由人工進(jìn)行干預(yù)判斷，進(jìn)而提高工作效率，提升工作質(zhì)量，有效減少泄密事件發(fā)生。

通過大數(shù)據(jù)技術(shù)的應(yīng)用，在海量的數(shù)據(jù)中可以有效追溯檢查，避免人工檢查的片面，有助于快速發(fā)現(xiàn)問題。對于多次發(fā)生的問題可以進(jìn)行分析匹配，作為失泄密事件追溯的依據(jù)，或者可提前預(yù)警失泄密行為，減少造成的危害。通過對打印審計(jì)數(shù)據(jù)的分析處理，剔除無用信息，避免人為或失誤所造成的失泄密行為，實(shí)質(zhì)提高單位資質(zhì)、涉密企事業(yè)審計(jì)工作的落實(shí)。通過對堡壘機(jī)相關(guān)數(shù)據(jù)的檢查分析，在海量的圖片及數(shù)據(jù)中分析是否存在異常操作行為，比如數(shù)據(jù)輸入輸出、遠(yuǎn)程登錄、異常登錄等操作，對于存在問題或者異常的操作行為重點(diǎn)記錄，并長期存儲(chǔ)，發(fā)現(xiàn)違規(guī)行為時(shí)系統(tǒng)自動(dòng)觸發(fā)警示信息，最終讓審計(jì)工作落到實(shí)處，避免紙上談兵及表面工作。

2.4 大數(shù)據(jù)技術(shù)輔助系統(tǒng)運(yùn)維保障

在系統(tǒng)運(yùn)維過程中，某些服務(wù)器、網(wǎng)絡(luò)設(shè)備通常會(huì)由小問題、小操作的積累造成重大故障、關(guān)鍵故障的發(fā)生，如服務(wù)器錯(cuò)誤記錄可能導(dǎo)致存儲(chǔ)空間減少，時(shí)間久了就有可能造成存儲(chǔ)崩潰，進(jìn)而牽制其他系統(tǒng)的崩潰。網(wǎng)絡(luò)上的個(gè)別或零散錯(cuò)誤訪問，可能就是今后病毒暴發(fā)的前兆；遠(yuǎn)程登錄延遲，可能就是因?yàn)橹虚g機(jī)、堡壘機(jī)等中間設(shè)備出現(xiàn)故障。在系統(tǒng)運(yùn)維中，系統(tǒng)管理員一般會(huì)采用日志管理系統(tǒng)輔助管理大量的網(wǎng)絡(luò)及相關(guān)設(shè)備。

采用大數(shù)據(jù)技術(shù)對于涉密體系內(nèi)部網(wǎng)絡(luò)的設(shè)備信息數(shù)據(jù)（包括交換設(shè)備、防火墻、入侵檢測、服務(wù)器、終端、打印設(shè)備等設(shè)備的配置、數(shù)據(jù)、使用記錄等）統(tǒng)一采集梳理、日志管理，使用大數(shù)據(jù)分析技術(shù)對設(shè)備數(shù)據(jù)進(jìn)行分析處理，高效地分析海量的日志記錄，在不同產(chǎn)品、不同格式的日志中對于不同的故障及可能趨勢進(jìn)行分析，定期向使用人員匯總各類日記記錄情況，定期展示各系統(tǒng)運(yùn)行情況，分析可能出現(xiàn)的故障，輔助管理員判斷系統(tǒng)的健康情況，避免各類故障集中爆發(fā)造成重大損失。最終做到提前發(fā)現(xiàn)問題、快速定位故障、高效解決問題。

3 結(jié)語

隨著大數(shù)據(jù)技術(shù)在保密系統(tǒng)的逐步深入使用，越來越多的大數(shù)據(jù)技術(shù)將會(huì)運(yùn)用到今后的保密信息系統(tǒng)建設(shè)中去，為保密工作提供有效的支撐及參考，能更加高效地配合保密管理人員完成單位的信息系統(tǒng)的查漏補(bǔ)缺、安全審計(jì)、系統(tǒng)管理等工作。

[1]黃蕗.大數(shù)據(jù)時(shí)代的信息安全[J].現(xiàn)代電信科技，2016，46（1）.

[2]杜婧子，劉烜塨.計(jì)算機(jī)信息系統(tǒng)保密技術(shù)與安全管理方式研究[J].信息與電腦，2018（5）.

[3]段立軍.大數(shù)據(jù)時(shí)代的信息安全保密工作[J].電子技術(shù)與軟件工程，2017（4）.

[4]張旭.大數(shù)據(jù)安全分析技術(shù)在安全保密工作中的應(yīng)用[J].保密科學(xué)技術(shù)，2015（9）.

[5]于成麗.我國漏洞披露平臺(tái)安全問題分析及對策建議[J].保密科學(xué)技術(shù)，2017（1）.