大数据驱动下的满语抢救式数据平台的安全防范研究*

张颢芳 ，康春颖 ，张 伟

(1.黑龙江大学 数据科学与技术学院，黑龙江 哈尔滨 150000；2.黑龙江大学 现代教育技术中心，黑龙江 哈尔滨 150000)

0 引言

满语文曾在历史上起过重要作用。随着历史的发展变化，如今满语已成为濒临消亡的语言, 对这种语言的记录、保存和研究具有抢救人类濒危文化资源的重要价值与意义。时至今日，满语口语仅在黑龙江省富裕县三家子村、黑河市大五家子一些满族村屯中还有遗存，其中仅有年龄在70 岁以上的十几位老人还可以熟练掌握满语，50 岁以上满语会话较好者仅有数十人。满语消亡已进入最后阶段，形势紧迫，亟待持续有效的抢救保护与调查研究[1]。在此背景下，满语保护工作者们为抢救满语搭建了一个大数据平台。大数据平台虽然为信息的处理带来许多便利，也会引发新的安全风险与挑战[2]。本文制定一份安全防范流程，并提出了安全防范模型图，为此类数据平台提供一个综合性的安全防范框架。

1 安全防范模型

基于满语数据平台自身的特点以及当前有关数据平台安全防范的研究成果，本文首先论述了平台将会使用的安全防范技术手段，为模型的建立提供技术支撑，然后根据平台前期建设及后期维护的工作，设计出安全防范模型。

1.1 主要技术手段

1.1.1 防护手段

安全防范中最基础的防护手段是建立防火墙[3]。平台科学地使用软硬件防火墙，同时将并联使用两个防火墙以增加攻击难度，并对平台权限授予及来访者身份管理进行系统的分级分类。

由于本平台是在大数据驱动下的满语数据平台，平台的数据信息将呈现出体量庞大、种类繁多以及传播速度快等特点[4]，因此平台数据的加密保护将成为防护重点。

1.1.2 检测手段

平台的检测手段有很多，主要分为三种，即漏洞扫描、状态监控和入侵检测。漏洞扫描从内容上大体分为两种，一种是扫描Web 应用漏洞，另一种是扫描Web 服务器漏洞。状态监控意味着在平台运行的过程中，管理员需实时监控平台数据库的运行状态及访问者状态等并进行日志记录，以保障平台的安全稳定。

入侵检测则是一种更为积极的主动安全检测手段，其工作内容分为多种：检测用户的行为并进行分析，对平台的异常活动进行拦截与记录，处理内外部攻击，利用安全防范模型对平台进行风险评估等[5]。实施方法上则划分为异常检测法和混合检测法。

1.1.3 恢复手段

数据备份是一种预防式的数据保护模式，可应对平台使用过程中出现的数据丢失及损坏情况[6]。导致平台数据丢失及损坏的原因多种多样，不仅是因为有攻击者入侵，也有可能是由于平台本身存在漏洞、管理员操作不当等。同时，数据备份还可用于对主数据库和重要文件的监控和跟踪，在备份机中生成对应的更新日志，备份系统会根据更新日志，自动对备份磁盘进行数据更新[7]。通过以上操作，最终将实现数据信息的备份，为平台的恢复提供基础保障。

1.2 安全防范模型图

根据满语数据平台的存储结构、系统功能及业务类别等方面的内容，对其采取层次化安全技术防护，构建满语平台安全防范模型。模型具体划分为以下五个层级，如图1 所示。

图1 安全防范模型图

2 平台总体框架

2.1 物理层

物理层是搭建平台总体框架的基础，它可以为连接各个设备并为其之间的数据通信提供传输媒介。物理层的内容涵盖软硬件设备接口、平台服务器、数据存储系统基础设施设备和网络传输设备。在数据传输过程中，利用身份认证、权限管理、入侵检测等方法，保障物理层所提供的传输安全。同时为进一步保障物理层安全，将采用软硬件安全隔离以及底层数据加密技术，使物理层不仅提供数据传输，更能保障平台底层安全。

2.2 数据信息的采集和汇聚层

数据信息的采集内容包含阅读整理各类满语文献资料，并需要调查者走访各满族村落，了解满语现状并采访当地人、收集满语使用者的发音音频等。

其次数据信息的汇聚需要管理员将采集到的数据信息进行分类整理，然后以数据流的形式存入后台数据库中。并对关键数据进行加密处理，赋予不同用户访问数据的权限。同时提前对数据进行备份并实时更新数据信息。

2.3 数据平台的建设层

2.3.1 数据整理

在数据平台建设前，需对前期采集的大量数据进行整理。文字类型的数据，可利用相关软件进行数据整理，数据整理包括正确转录、行或列的重置、净化数据、数据审核等。而对于语音和视频类的数据，管理员则需要根据前台功能模块的设计将其分类打包，方便后期以数据流的形式接入数据库。同时利用网闸、防火墙等设备对流入的数据进行安全隔离，并通过数据管控做到对流入数据的溯源和追踪。

2.3.2 前端设计

平台的前台设计主要是为了实现用户界面交互，界面要求功能清晰明了,布局规整[8]。同时需要对用户及其相应的权限进行分级分类管理，设定分级分类名单，并通过数字签名验证身份。

另一方面，平台前端作为交互的窗口，也会遇到各类数据平台前端攻击，如 XSS 攻击、CSRF 攻击等。平台管理员需要针对此做到严格审查用户上传的信息、关注敏感词汇、不将重要文件放在用户都可以触及的地方以及对平台的重要操作进行跟踪验证等。

2.3.3 后台设计

平台数据库的搭建工作是数据建设层的关键。数据库安全的实现依托多方内容，从数据库的功能上划分，分为两个层次：第一层次是内部环境，主要是指访问控制，即不同用户和管理员的访问权限。在这一过程中，平台需要依靠加密技术、数字签名认证技术等实现访问安全。第二层次是外部环境，在外部环境中平台可能会面临病毒入侵、恶意攻击等问题。此时管理员需要对平台进行预保护，比如数据库备份、设立防火墙等，同时要应用入侵检测技术，及时对平台进行安全检测。根据数据库的实际授权情况，对数据库进行相应的加密处理。具体如图2 所示。

图2 数据库安全的实现

2.4 安全服务分析层

2.4.1 日志分析

日志是指平台使用者在一定的操作后使系统、软硬件设备产生的相应记录[9]。日志分析主要分为三部分内容：日志数据源、日志分析和日志报告。日志数据的状态则分为：预处理、分析计算、整合和关联。通过收集整理来源于平台各处的日志消息，进行日志分析，从而发现平台中潜在的威胁和安全隐患，及时作出相应的准备和预防工作。经过以上步骤的工作后，最终将生成日志分析报告，具体内容如图3 所示。

2.4.2平台管理

数据平台管理主要是指保障本项目所依托的Web 平台整体的安全，包含用户接口、前台系统、后台系统以及服务器主机等[10-11]。由于数据平台易于攻击，攻击者可选择的方式更是多种多样，如网页篡改、网站后门、数据篡改和网络代理等。数据平台管理安全主要包含用户自防御、安全检测、应用防护和防护统计及结果分析几部分的工作。具体如图4 所示。

图3 日志分析工作模块

图4 数据平台安全管理图

2.4.3 渗透测试

对于清代碑学发展的反思、批评的文章如戴逸[4]认为，“碑学派所说固然也抓住了帖学派的某些弱点，但门户之见太深。贬斥异己，一笔抹杀，未必公正。平心而论，北碑派未必都是好字，南帖派也未必都是劣书，北碑南帖各有特色。”黄惇[5]亦认为，金农、赵之谦的“稿书”融合碑帖，而杨守敬、沈曾植并不否定帖学，同时提出:“为什么刻帖滤漫、翻刻失真即当抛弃，而碑刻法漫、残破模糊，却当备加赞扬呢？”丛文俊[6]更是提出，“就连倡碑名家阮元，书法亦未能逾出主流帖学之外。”

渗透测试(Penetration Test)是通过模拟黑客的攻击方法和漏洞发掘技术来评估计算机系统安全的一种评估方法，该方法是从攻击者角度发现分析系统的缺陷及漏洞，进而尝试利用某些漏洞对信息系统实现主动攻击，从而评估系统存在的可能安全风险问题[12]。借鉴文献[13]和[14]，给出渗透测试的操作流程如图5所示。

渗透流程分为前期测试准备、中期测试执行和后期风险评估。测试准备阶段需要确定本次测试的基本情况，如本次测试的目的、方法、参与者和基本操作方案； 实验过程中是否有一定的安全措施，能否应对突发情况等。

测试执行需要首先采集平台基础信息，如平台的域名信息、whois 信息及 IP地址信息；平台的设计框架及工作流程；平台的敏感信息及目录等[15]。然后正式进行渗透攻击。现行的渗透方法有很多，如人工检查、SQL 注入、XSS 跨脚本攻击、CSRF 跨站请求攻击等。再将实验数据进行详细记录和比对，以便于后期解析平台漏洞。

图5 渗透测试流程图

风险等级评估需要全组实验人员对获取的数据进行综合和分析，进行漏洞解析，并给出大数据驱动下的满语数据平台的风险级别，风险级别一般划分为“低”、“中”、“高”三个等级。测试者最终生成一份渗透报告，达到对平台安全进行全面分析的目的。

2.5 终端层

终端层是指以有线方式或以移动方式连接的终端设备及相关传输网络。用户可在智能手机、台式电脑、平板电脑以及相关移动互联网设备上访问本平台。传输网络则是指与安全服务分析层的连接，保障网络的正常传输。

终端层的功能是实现人机交互，因而对终端层的管理需要根据来访者的身份进行权限控制，授予用户或管理员不同的读写能力。同时应用数字签名认证相关技术验证来访者身份，保障平台整体的稳定和安全。

3 实验结果与分析

安全防范模型投入满语数据平台应用后，依照模型中安全服务分析层的内容，对满语平台进行安全测试与评估。实验流程分为前期访谈、中期检查和后期测试，即对平台管理者进行工作访谈，了解平台搭建的具体情况；检查平台的相关安全设施和指标；应用现行技术进行安全测试等。实验的名称、内容、结果及改进意见如表1 所示。

上述实验结束后，针对实验过程中发现的问题及改进意见，生成实验报告。同时根据实验情况，给出本满语平台安全为“中”等级，平台存在部分安全隐患，但总体安全情况良好，依据意见进行改进，有望达到安全“高”等级。应用安全防范模型，对平台进行安全检测，过程条理清晰、内容全面、结果科学有依，表明其可为数据平台的安全检测提供有效方案。

表1 满语平台安全测试

4 结论

本文以满语数据平台为例，针对满语保护的迫切性和相关数据资源的珍贵性，设计出安全防护模型以保障其平台的安全。防护模型结合了当下多方面的防护理念及方法，其中详细论述了安全服务分析层的内容。然而数据平台的安全防护工作不是一蹴而就的，需要平台管理人员和技术人员对平台进行定期检查、坚持记录整理日志信息、不断设计新的防御方案等。未来的工作主要是尝试将本文提出的安全防护模型应用于各类数据平台的保护工作中，在实践中不断调整模型方案，为大数据驱动下的数据平台安全防护研究提供坚实依据。