冯金才
摘要:在攻防不对等的今天,该文通过剖析智慧校园大数据面临的危险,提出了数据采集、存储、传输、硬件保护方面的措施,防患于未然,以筑造智慧校园大数据的安全长城。
关键词:大数据;安全防护;信息技术
1概述
近年来,随着互联网尤其是移动终端的快速深覆盖,数据呈现几何级的爆发增长,“大数据”成为了各行各业开始关注的焦点。SaaS(Software ss a Service一软件即服务)、PaaS(Platform as a Service-平台即服务)和IaaS(Infrastructure as a Service-基础架构即服务)这几种云计算服务平台也逐步在业界推广运用。但是,在网络空间,漏洞无处不在且长期存在,在攻防不对等的今天,云计算产业将传统的安全边界已模糊,安全的隐患越来越严峻。如一些新兴的DDoS攻击利用客户/服务器技术来发动对某一服务器或平台进行持续攻击,以达到消耗防护资源,让安全人员无法分身,从而掩盖对网络数据盗取攻击的真正目的,未来网络安全的防范趋势相当不乐观。
2016年11月,2016年第二届中国互联网安全领袖峰会在北京召开,会议中,学术界和产业界对国际安全新趋势进行了充分分析,并对构建智慧连接新生态、云安全一从虚拟到现实、安全范式的改变等热点问题展开了热烈的讨论,旨在发现云服务的安全漏洞并寻求相对安全的防范解决方案,以及对网络生态进行安全评估。
2智慧校园大数据安全面临的安全风险
2.1数据源的安全风险
智慧校园经过长期的数字化建设,累积了庞大的数据资源库,各种教育统计、基础建设、教学资源、科研成果、学生信息等都是真实有效的。信息使用者通过云服务预采集信息的目的非常明确,希望读取的信息真实有效,更希望从中筛选出的信息是可信可用的。
然而,攻击者往往通过隐蔽手段,静悄悄地进入云服务器,伺机对数据源一些关键信息进行伪造修改,甚至直接植入对自己有利的数据源,让客户端直接获取攻击者的数据,从而影响信息使用者的判定。有些修改后的信息仿真度极高,真假难分,更加让决策者误入陷阱而无法察觉。
2.2数据存储的安全风险
目前,除一部分互联网企业外,数据在存储领域还是以传统关系型数据库(RDBMS)为主,并且以Oracle,IBM/DB2,Microsoft/SQL Server为代表的数据库几乎占据了全球市场份额,这些传统的数据库以行存储形式进行物理存储,数据的增减比较方便,但对于统计分析类的数据查询存储效率比较低。随着大数据的运用,人机会话模式已经发生了质的变化,以网络安全设备、云服务器、应用系统自动处理的融合机制成为了今天的主角。因此,在面对特别是几何级增长的数据时,在数据的深度挖掘、迭代分析、自助的即席能力方面,在对非结构化数据的提取、检索、比对、交叉分析等方面,传统的数据库在功能需求或技术上都无法满足用户的要求,最重要的是与之关联拟定的软件存在比较多的漏洞,比如在输入验证环节、服务器软件的内置安全等。
2.3数据传输的安全风险
在数据传输领域,好比现代物流,客户下了订单付了款,自然希望包裹在自己拆封之前是完好无损、不被替换的.在智慧校园大数据领域,一种情况是在传输过程中失真或被破坏,有可能是人工采集数据过程中产生的误差,也有因时间差造成前后数据差异,或者是执行中间人攻击MITM(Man In The Middle)或者重攻击等手段,在数据传输过程中实行破坏。另一种情况是数据在传输过程中被拦截造成泄露,如果传输数据不进行技术加密,攻击者就比较容易窃取。有些供一定权限范围人员使用的重要数据,若被窃取或泄露,可能给用户造成比较大的损失。
3智慧校园大数据安全防范的技术
3.1大数据的采集安全技术
大数据采集面临最大的问题是数据失真,数据失真有几个方面的原因,如人为的恶意捏造,篡改重要信息,数据的完整性缺失等。数据溯源技术所记录的是从原始数据到目标数据演变过程,或者发生数据崩溃性灾难时可以进行数据恢复。通过信息比对,目标数据发生改变时,数据溯源技术可以保证数据的可信程度,从而避免信息使用者陷入信息坑或误用错误信息。当前,数据溯源技术已集成到云服务器、云存储报务中,通过对系统的监测记录、日志文件的分析以及对特定客户端定制得到广泛的应用。
3.2大数据的数据存储安全技术
当前,大数据的数据来源已发生了质的变化,数据的处理也由人机会话转变为通过服务器、设备和应用自动化集成处理。智慧校园的大数据应用主要是对教学、科研、行政、后勤、实习、就业等方面的各类数据进行整理、交叉分析、比对,通过数据的深度挖掘,为用户提供自助的即席、迭代分析,以及对存储文件系统信息的特征提取,指定关系数据库的内容检索等。
比较典型的技术路线有两种方案:
1)采用MPP架构的新型数据库集群(图1)。主要面对行业大数据,通过列存储、粗粒度索引技术,结合MPP架构高效的分布式计算模式,完成对分析类应用的支撑,运行成本低,效率高,在分析类领域方面取得了广泛的应用。
2)采用HBase数据库集群(图2)。HBase数据库可靠性较强,性能强大,在数据备份中的可靠性达到了9个9。在Master节点出现故障时,可采用直接切换强制性HA机制,实现主从同步,保证了Master(A)和Master(B)内存数据的一致性。另外在运维方面体现了低成本的特点,实现自动备份,一键增容和构建,修改配置等.
3.3大数据的传输安全技术
大数据的传输安全包括数据采集后的传送和访问者的读取两个过程。如在星形的网络结构中,对系统的集成和数据互换要求提供统一的标准化传输接口和通道,同时建立智慧校园数据交换标准,明确智慧校园数据的名称、格式、字段等,同时提供统一的数据交换接口标准,以便各应用系统可以按照这一标准来研发Web Service接口,将规定的各项数据传递到智慧校园数据中心。对访问者的控制通过设置控制权限,视用户需求和数据的密级将大数据和用户设定不同的权限等级,严格控制访问权限,以加强用户权限管理。访问控制常用的技术有身份和口令(加密)双重认证、文件权限设置、网络设备权限控制等。
3.4硬件保护防范
智慧校园大数据安全面临的最大威胁来自网络,如危险性极大的)DDoS攻击。DDoS(Distributed Denial of Service分布式拒绝服务,也称“洪水式攻击”)攻击于1996年初现,2002年登陆我国,2003就形成规模,常见的DDoS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、ConnectionsFlood、Script Flood、Proxy Flood等。而2016年新发现的DDOS攻击技术精细度和网络攻击性融合趋势渐显,连美国三大政府网站:congress.gov、美国国会图书馆网站以及美国版权局都遭到这种攻击。美国主要DNS服务器提供商Dyn Inc.的服务器遭遇大规模DDoS攻击后,美国东海岸主要网站几乎全部瘫痪,媒体堪称为“史上最严重DDoS攻击”。
因此,应对DDoS攻击应以防范为主,主要措施是加强硬件防护和技术防范措施。硬件防护包括扩大带宽,在骨干节点配置防火墙,充分利用网络设备保护网络资源,通过安装apachebooster插件应对突增的流量和内存占用,提高web server的负载能,使用高可扩展性的DNS设备来保护针对DNS的DDoS攻击,启用路由器或防火墙的反IP欺骗功能等。如在SYNFlood、HTTP Flood防御中,通过特殊网络处理器芯片的清洗设备和特别优化的操作系統、TCP/IP协议栈,可以处理非常巨大的流量和SYN队列。
4结束语
大数据的安全已经引发了新一轮的科技革命,新的技术无疑是教育资源最好的安全保障。然而,新的攻击技术也会随之而来,攻击和保护本身就是矛和盾的关系,只要不断地研究新的安全技术,提高防范意识,使“盾”越来越坚固,就可筑造智慧校园大数据的安全长城。