大数据时代计算机网络信息安全及防护策略

王中亚

（深圳市企鹅网络科技有限公司，广东 深圳 518000）

对大数据进行收集和分析，可以用来优化业务流程、提供决策建议，大数据的广泛应用也逐渐成为企业之间相互竞争的关键因素之一，然而企业也面临着大数据安全风险的挑战。因此，如何应对大数据时代计算机网络信息安全风险，做好计算机网络的信息安全防护工作，已经成为企业需要思考的核心问题。

1 大数据时代计算机网络信息安全的特点

（1）大数据的特点。首先就体现为数据量大，随着互联网等技术的快速发展，数据量呈现指数型增长，存储单位也从过去的GB、TB至现在的PB、EB级别。其次是广泛的数据来源，决定了大数据形式的多样性，存储和利用的数据不再只是文字、表格、日志之类的结构化数据，而是包含像图片、音频、视频这些非结构化数据。接着大数据的产生非常快速，主要通过互联网传输。并且产生数据是需要及时处理的，因为历史数据不及时处理会导致数据存储的压力，所以大数据对处理速度也有非常严格的要求。最后，大数据可以创造很大的价值，现实中有价值的数据是很少的，然而可以通过从大量数据中挖掘出对未来趋势的预测和分析有价值的数据。

（2）大数据时代下计算机网络信息安全防护的重要性。很多企业想着如何收集和分析更多的信息来获得最大的利益，对大数据信息安全的防护不够重视，缺乏系统的安全保护，存在很大的安全隐患。大数据高度依赖对数据的读取、采集和应用，一旦服务器等网络设备遭到攻击可能导致数据丢失或泄露，对企业的信息安全产生重大的影响。因此企业应当做好安全防护工作，增强计算机网络信息安全的防护能力，从而确保大数据的信息安全。

2 大数据环境下常见的网络信息安全问题

（1）系统漏洞。系统漏洞主要是应用系统或操作系统存在缺陷，而这种缺陷容易被黑客利用，导致重要的资料和信息的泄露和丢失。而大数据所存储的数据非常巨大，往往采用分布式的方式进行存储，正是由于这种存储方式，导致数据保护相对简单，黑客较为轻易利用相关漏洞，实施不法操作，造成安全问题。目前针对系统漏洞的问题多采用补丁修复的方法，然而在修复之前计算机面临着严重的安全威胁。

（2）病毒入侵。计算机病毒是一种可执行的代码程序，病毒程序会影响操作系统或应用程序的正常使用，甚至可能导致整个操作系统瘫痪。大数据时代发展过程当中，计算机网络开放性越来越明显，这就造成病毒入侵时的隐藏性更加突出。针对病毒入侵问题，要做好病毒查杀工作，及时拦截删除病毒，同时加强主机和服务器的权限管理，防止病毒的扩散。

（3）网络攻击。网络攻击是指未授权进入或尝试进入计算机网络的行为。这种行为可以是对网络中的单个主机或服务器，也可以是对整个网络进行攻击，比如常见的DDOS（即Distributed denial of service attack，分布式拒绝服务）攻击、XSS（即Cross Site Scripting，跨站脚本）攻击等。大数据环境下网络信息的开放性与共享性也越来越高，非法用户可能会利用这一条件对合法用户的计算机进行非法攻击，获取用户的信息数据。针对网络攻击的问题，可以加强身份认证和访问控制，同时做好数据备份和恢复。

（4）误操作。网络中不只有外部的安全威胁，在内部也存在信息安全问题。运维或管理人员在操作网络设备时，可能会存在误操作的行为，从而对计算机网络安全产生危害。比如为普通运维人员分配超级管理员用户，运维人员使用错误命令，导致重要数据丢失。针对误操作的问题，建议加强身份认证，密码要符合复杂度要求，同时强化授权管理，做到权限分离。

3 大数据背景下计算机网络信息安全防护策略

（1）身份认证。对于网络安全防护工作来说，身份认证起到关键作用。没有身份认证，就无法做好授权管理和访问控制。为了加强身份认证，首先要选择合适的认证方式。目前市面上主流的身份认证方式，除了常用的口令或动态口令外，更添加了生物识别认证。生物识别认证包括了指纹、声音、面部识别等。从安全角度考虑，目前提倡采用双因子认证，也就是在原来口令的基础上添加其他认证方式，这些认证方式可以是动态口令（手机短信验证码）、物理认证（U盾）、生物识别认证等。

其次也要加强认证数据的保护，用户的口令不能明文传输和存储，身份认证环节一定要使用加密传输协议，例如使用HTTPS、SSH等。口令强度要满足复杂度要求，建议14位以上，且包含大写字母、小写字母、数字、特殊符号。对于使用生物认证方式，建议通过使用对称加密算法的方式存储用于对比的生物特征，在认证过程中也需要携带及验证时间戳，防止生物特征泄露伪造认证请求。

（2）授权管理。为了避免产生授权不严漏洞，应该加强对授权的管理。做好权限分离，不同的角色分配不同的权限，例如角色可以分为业务人员、运维人员、审计人员等。业务人员只能访问业务系统前端进行数据录入和查看工作，不能访问系统后台进行操作。

从安全方面考虑，用户的权限越小越好，满足基本需要就可以。普通用户不能拥有管理权限，普通运维人员不能拥有超级管理员权限。特殊情况下，根据业务需求，需要先申请权限，才能进行操作。

（3）访问控制。首先是做好网络层的访问控制，主要包括网络准入控制、异常外联控制和网络防火墙控制。网络准入控制可以确保只有符合要求的人员和设备才能接入和访问网络资源，防止不可信或不安全的设备接入网络中。异常外联控制可以防止主机和服务器非授权私自访问互联网，从而避免敏感数据的外传和泄露。网络防火墙控制可以进出网络边界的数据进行控制，只有符合策略规则的数据才能通过，可以对内部网络进行有效的防护。

其次做好主机层的访问控制，主要通过使用堡垒机和自动化运维来实现。部署堡垒机可以对主机进行统一管理和对登录来源的控制，只有运维人员才能登录堡垒机，也只有通过堡垒机跳转才能访问和管理网络设备。登录服务器本身就属于高风险行为，通过部署自动化运维平台，减少日常登录操作，才能避免误操作等原因造成的配置错误、数据丢失等风险。

在应用和数据层方面，可以通过部署统一的应用网关接入，所有业务访问都需要经过这个网关，这样就可以在网关上加强访问控制。

（4）防病毒。企业在开展计算机网络信息安全防护工作的过程中，需要注重应用防病毒技术来保证计算机网络信息的整体安全。防病毒技术可以分为两种，一种是在网络边界或入口处部署防毒墙，一种是在主机端部署防病毒软件。

首先，因为病毒在内部产生的风险较少，大部分的病毒是由外部网络入侵传入内部。在边界防火墙的内侧部署防毒墙或者在防火墙上开启防病毒模块功能，可以有效防止外部病毒的入侵。其次，在主机操作系统上部署杀毒软件，对操作系统进行实时的病毒扫描，及时发现和查杀病毒。当然，同时也要做好防病毒系统的维护工作，定期进行防病毒系统和病毒库的升级工作。当病毒事件发生且防病毒系统无法对其进行有效处理时，应将主机进行隔离，防止病毒程序在网络中进一步扩散。

（5）漏洞管理。在内部网络中，定期对计算机进行漏洞扫描，可以有效检测安全漏洞，及时发现恶意入侵和攻击行为，第一时间进行漏洞修复，避免严重安全事件的发生。同时也可以使用入侵防御技术，在网络边界部署入侵防御系统，对进入内部网络的数据包进行检查，发现存在外部攻击行为立即阻止并告警。

（6）安全审计。审计就是记录所有操作，并可以用作事件的追溯。对于网络中的所有设备都应该具备审计功能，主要体现在会话日志、访问日志、操作日志等方面。当安全事件发生时或发生后，需要确保可以通过查询日志来找出发生安全事件的原因。

网络设备的日志默认记录在内存或硬盘里，但网络设备的内存和硬盘空间有限，通常情况不满足保存期限的要求，建议通过在外部部署日志服务器的方式，来统一收集、存储、管理和查看各种网络设备日志。按照网络安全法、等级保护等各类监管要求，网络日志一般至少需要保存六个月，用于安全事件的追溯。

除了设备本身具备审计功能外，可以添加专用的安全设备加强网络的安全与审计。例如使用堡垒机对网络设备的操作行为进行审计，使用数据库审计系统对数据库的操作进行审计，使用日志管理系统对网络日志进行分析和审计等。

4 结束语

在大数据时代，网络环境愈加复杂，网络安全形势也日益严峻，做好安全防护工作具有十分重要的意义。只有通过构建完善的计算机网络信息安全防护体系，对大数据平台进行系统化的安全防护，才能有效保障大数据时代计算机网络的信息安全。