周鴻禕：以大資料技術對抗大資料平臺安全威脅

1月，中國大陸境內所有通用頂層網域（.com/.net/.org等）解析出現問題，所有相關功能變數名稱均被指向一個位於美國的IP位址（65.49.2.178），導致數千萬線民在數小時內無法訪問網站。

4月，OpenSSL「心臟出血（Heartbleed）」重大安全性漏洞被曝光，這一漏洞讓駭客能夠讀取伺服器系統的運行記憶體。 有業內人士利用該漏洞在某知名電商網站上測試時，成功獲得多位使用者的帳號及密碼，並成功登陸網站。

9月，「iCloud豔照門」事件爆發，數百張好萊塢女演員不雅照在網上被曝光。 原因是駭客通過攻擊蘋果iCloud雲存儲服務盜取了使用者上傳的照片。

2014年，互聯網網路安全事件層出不窮。 從個人到企業到國家，各層級互聯網使用者都存在於威脅之中。 與往年相比，今年的網路安全事件開始偏向資訊資料竊取，這與大資料技術的發展息息相關。

資訊時代，大資料平臺承載了來自于個人電腦、移動智慧終端機、可穿戴設備、智慧家居設備及智慧汽車等個人、企業及國家層面的巨大資料資源，必然成為駭客組織、各類敵對勢力網路攻擊的重要目標。 因此，大資料時代的網路安全問題，將是所有大資料利用的前提條件。 與此同時，我們也可以利用大資料技術來提升我國網路安全技術水準，在保障國家網路空間安全方面發揮作用。

大資料時代網路安全的主要威脅

在今年相繼發生的攜程信用卡資訊洩露、小米社區使用者資訊洩露以及OpenSSL「心臟出血」漏洞等事件中，出現了大量使用者資訊資料被盜，導致使用者網路銀行帳戶被入侵事件等情況。 這幾起事件是發生在個人使用者身上，如果國家金融、政務等相關部門資料平臺系統遭遇同類事件，後果難以想像，給國家網路安全造成的損失將是空前巨大的。 大資料時代，我國網路安全面臨著多重安全威脅。

首先，網路基礎設施及基礎軟硬體系統受制於人。 大資料平臺依託于互聯網面向政府、企業及廣大公眾提供服務。 但我國互聯網從基礎設施層面即已存在不可控因素。 例如，功能變數名稱解析系統（DNS）作為互聯網基礎設施之一，能夠使人不必記住複雜的IP位址字串，就可以方便的訪問互聯網。 而1月發生的數千萬線民在數小時內無法訪問網站情況，原因就是DNS根伺服器遭受攻擊。 根伺服器是全球DNS的基礎，然而全球一共13個根伺服器全部在國外並被美國控制。 另外，我國對大資料平臺的基礎軟硬體系統也未完全實現自主控制。 在能源、金融、電信等重要資訊系統的核心軟硬體實施上，伺服器、資料庫等相關產品皆由國外企業佔據市場壟斷地位。 因此，我國的資訊流量目前都經過國外企業產品的計算、傳輸和存儲。 相關設備多設「後門」，國內資料安全命脈幾乎全部掌握在國外企業手中。 2013年曝出「棱鏡計畫」更突顯出軟硬體基礎設施對我國的資料安全乃至國家安全的重要性。

其次，網站及應用漏洞、後門層出不窮。 近年來，由於網站及應用系統的漏洞、後門所導致的重大安全事件頻頻發生，上述三個案例皆屬於這一範疇。 根據我國安全企業網站安全檢測服務的統計，高達60%的我國網站中存在安全性漏洞和後門。 可以說，網站及應用系統的漏洞是大資料平臺面臨的最大威脅之一。 而我國的各類大資料行業應用，廣泛採用了各種協力廠商資料庫、中介軟體，然而，此類系統的安全狀況不容樂觀，廣泛存在漏洞。 更為堪憂的是，各類網站漏洞修復的情況難以令人滿意。

第三，系統問題之外，網路攻擊手段更加豐富。 其中，終端惡意軟體、惡意程式碼是駭客或敵對勢力攻擊大資料平臺、竊取資料的主要手段之一。 目前網路攻擊越來越多地是從終端發起的。 終端滲透攻擊也已成為國家間網路戰的主要方式。 例如著名的攻擊伊朗核設施的「震網病毒」，就是利用了Windows作業系統的漏洞入侵了特定終端，滲透到伊朗核電站內部局域網對伊朗核設施進行破壞。 另外，針對大資料平臺的高級持續性威脅(Advanced Persistent Threat，簡稱APT)攻擊非常常見，這是一種可以繞過各種傳統安全檢測防護措施、伺機竊取網路資訊系統核心資料和各類情報的攻擊方式。 例如針對Google等三十多個高科技公司的極光攻擊便屬此列。 APT攻擊結合了社交工程學、掛馬、0day漏洞、深層滲透、長期潛伏、隱蔽等特點，非常具有破壞性，是未來網路戰的主要手段,也是對我國網路空間安全危害最大的一種攻擊方式。 近年來，具備國家和組織背景的APT攻擊日益增多，毫無疑問，大資料平臺也將成為APT攻擊的主要目標。

以大資料技術對抗大資料平臺安全威脅

由上述分析可知，針對大資料平臺這種重要目標的網路攻擊，其技術手段的先進性、複雜度、隱蔽性和持續性，以及背後的支援力量，都已經超出了傳統網路安全技術的應對能力。 全球網路安全行業都在研究探討應對這種高級威脅的新型技術體系，大資料技術成為其中重要的方面。 國內以360公司為代表的網路安全公司，已經在利用大資料技術提供各種網路安全服務，這會為提升大資料平臺的安全保障，增強國家網路安全空間的安全防衛能力提供有力的支援。

利用大資料技術應對DNS安全威脅，積極推動基礎軟硬體自主控制。 以DNS為例，作為互聯網基礎設施，我國首先應積極爭取獲得功能變數名稱伺服器的運營管理權，構築完整的安全防範體系。 包括360公司在內的國內互聯網安全企業應積極承擔社會責任、積極推動下一代功能變數名稱服務安全。 另外，我們應該積極利用大資料技術，研發高性能、抗攻擊的安全DNS系統。 依託大資料技術建立DNS應急災備系統，緩存全球DNS系統的各級資料。 同時還可以利用DNS解析的大資料來分析網路攻擊。

儘管在國家推動和產業參與下，我國在自主可控的基礎軟硬體產品的研發方面取得了一定成效。 如復旦大學成功研發出半浮柵電晶體的新型基礎微電子器、2011年我國成功自主研發8 核CPU龍芯3B流片。 但由於我國在該領域起步較晚，在大資料時代，以作業系統等基礎軟硬體的國有化和自主智慧財產權化，仍然需要政府的推動、企業的投入和科研院校的參與，更有必要依託大資料技術實現研發資料的共用。

利用大資料技術防護網站攻擊，定位攻擊來源。 一方面，開發並優化網站衛士服務。 我國安全公司已針對網站漏洞、後門等威脅推出了相應的網站安全衛士服務，能夠利用大資料平臺資源，説明網站實現針對各類應用層入侵、DDoS/CC流量型攻擊、DNS攻擊的安全防護，同時向網站提供加速、緩存、資料分析等功能。 同時通過對海量日誌大資料的分析，可以挖掘發現大量新的網站攻擊特徵、網站漏洞等。 另一方面，通過對日誌大資料進行分析，還能進一步説明我們溯源定位網站攻擊的來源、獲取駭客資訊，為公安部門提供有價值的線索。

利用大資料技術防範終端惡意軟體和特種木馬、檢測和防禦APT攻擊。 基於大資料和雲計算技術實現的雲安全系統，可以為防範終端特種木馬攻擊起到有力的支援。 目前我國的安全公司已經在為安全部、國家保密局等有關部門提供支援，利用其雲安全系統的大資料資源，説明有關部門分析定位終端特種木馬的分佈、感染的目標終端，以及分析同源的特種木馬，為有關部門工作提供了有力的支援。

為了對抗APT攻擊，我們可以採用了大資料分析技術研發APT攻擊檢測和防禦產品。 此類產品可以在大時間視窗下對企業內部網路進行全流量鏡像偵聽，對所有網路訪問請求實現大資料存儲，並對企業內部網路訪問行為進行建模、關聯分析及視覺化，自動探索異常的網路訪問請求行為，溯源並定位APT攻擊過程。

另外，我國還應建立國家級的APT防護聯動平臺。 當前，針對我國政治、經濟、軍事、民生等重點行業的資訊系統，各種有組織、系統性的APT攻擊正日益加劇，我國的網路空間安全面臨巨大的威脅。 但與此同時, 我國重要資訊系統具有相互隔離、孤立的特點，針對APT攻擊難以形成關聯協同、綜合防禦的效應，容易被各個擊破。 因此，在各個重要資訊系統單位部署APT攻擊檢測產品的基礎上，非常有必要建立國家級的APT防護聯動平臺，彙聚不同政府部門、重要資訊系統中部署的APT防護產品所檢測的安全事件及攻擊行為資料，對其進行大資料分析挖掘， 從而形成國家級針對APT攻擊的全面偵測、防護能力。

大資料平臺時代網路安全的建議

鑒於大資料資源在國家安全方面的戰略價值，除在基礎軟硬體設施建設、網路攻擊監測、防護等方面努力之外，針對國內大資料服務及大資料應用方面還有如下建議。

對重要大資料應用或服務進行國家網路安全審查。 對於涉及國計民生、政府執政的重要大資料應用或服務，應納入國家網路安全審查的範疇，儘快制定明確的安全評估規範，確保這些大資料平臺具備嚴格可靠的安全保障措施，防止被駭客、敵對勢力入侵並竊取資料。

合理約束敏感和重要部門對社交網路工具的使用。 政府部門、央企及重要資訊系統單位，應避免、限制使用社交網路工具作為日常辦公的通信工具，並做到辦公用移動終端和個人移動終端的隔離，以防止國家重要和機密資訊的洩露。

敏感和重要部門應謹慎使用協力廠商雲計算服務。 雲計算服務是大資料的主要載體，越來越多的政府部門、企事業單位將電子政務、企業業務系統建立在協力廠商雲計算平臺上。 但由於安全意識不夠、安全專業技術力量缺乏、安全保障措施不到位，協力廠商雲計算平臺自身的安全性往往無法保證。 因此，政府、央企及重要資訊系統單位，應謹慎使用協力廠商雲服務，避免使用公共雲服務。 同時國家應儘快出臺雲服務安全評估檢測的相關規範和標準。

嚴格監管、限制境外機構實施資料的跨境流動。 對於境外機構在國內提供涉及大資料的應用或服務，應對其進行更為嚴格的網路安全審核，確保其資料存儲于境內的伺服器，嚴格限制資料的跨境流動。

原文連結： 周鴻禕：以大資料技術對抗大資料平臺安全威脅（責編/仲浩）

CSDN誠邀您參加中國大資料有獎大調查活動，只需回答23個問題就有機會獲得最高價值2700元的大獎（共10個）， 速度參與進來吧！

全國大資料創新專案評選活動目前也在如火如荼進行中，詳情點擊這裡。

2014中國大資料技術大會（Big Data Technology Conference 2014，BDTC 2014）將于2014年12月12日-14日在北京新雲南皇冠假日酒店召開。 傳承自2008年，歷經七屆沉澱，「中國大資料技術大會」是目前國內最具影響、規模最大的大資料領域技術盛會。 本屆會議，你不僅可以瞭解到Apache Hadoop提交者Uma Maheswara Rao G（兼專案管理委員會成員）、Yi Liu，以及Apache Hadoop和Tez專案管理委員會成員Bikas Saha等分享的通用大資料開源專案的最新成果和發展趨勢，還將斬獲來自騰訊、阿裡、Cloudera、LinkedIn、網易等機構的數十場乾貨分享。 當下門票團購還有些許優惠， 預購從速。

免費訂閱「CSDN大資料」微信公眾號，即時瞭解最新的大資料進展！

CSDN大資料，專注大資料資訊、技術和經驗的分享和討論，提供Hadoop、Spark、Impala、Storm、HBase、MongoDB、Solr、機器學習、智慧演算法等相關大資料觀點，大資料技術，大資料平臺，大資料實踐 ，大資料產業資訊等服務。