大数据时代计算机网络安全技术探讨.pdf

5网络通信与安全Network Communication&Security电子技术与软件工程Electronic Technology&Software Engineering大数据时代下，计算机网络安全受到了越来越多的关注和重视，但网络安全问题始终存在，计算机网络安全防范工作还存在一定的漏洞，用户个人信息、各企事业单位的重要数据材料依旧存在泄漏风险，从而导致了较大程度的损失，所以必须要充分重视网络安全管理工作。1 大数据背景下网络安全概述大数据即因为数量较大、类型过多而无法依靠传统意义上的数据统计分析方法进行采集、存储的数据集合。大数据的形成是随着现代信息技术的不断发展、普及应用而让网络用户相互之间的沟通频率不断提升，从而形成了海量数据信息流，只有对这些数据信息进行深入挖掘分析才能够充分发挥出其价值与作用。当前我们已经迎来了大数据时代，而在这一背景下计算机网络表现出如下特点：（1）数据规模更大，各行业各领域的不断发展，在应用信息技术的过程中形成的数据信息更加丰富。（2）数据类型更加多元化，除结构性数据以外，现阶段还衍生出海量的半结构化和非结构化数据，同时还包含了各种文字和图像1。（3）数据信息更新速度得以进一步提升，这对于计算机网络安全防范提出了新的要求。由此可见，大数据背景下的计算机网络不管是其开放性抑或是便捷性都表现出更大的优势，但同时计算机网络安全管理的难度也随之提升，面临着更大的挑战。2 大数据时代计算机网络安全防护主流技术分析2.1 信息隔离技术（1）安全隔离网关技术。属于基于网关的内外网之间的物理隔离手段，该技术在实际应用的过程中能够确保内外网之间不同形式的数据信息传输。（2）防火墙技术。在计算机网络安全防护中的应用主要涉及到数据信息过滤技术、代理服务器技术、NAT 技术以及应用网关技术等。遇到非法数据或者危险信号时，应用层网关能够直接关闭或隐藏有价值的数据，对整个通信过程予以记录分析。2.2 入侵检测与预警技术入侵检测技术能够不定期对网络系统中的重要数据信息实施收集检验，进而及时了解计算机网络是否受到外部入侵，系统的机密性与完整性能够得以有效保障。通常情况下可通过模式匹配、完整性分析以及异常监测等途径来进行防护，基本技术原理是对计算机网络中的往来数据包实施检测，结合网络攻击的具体特点，针对特征、形式、长度之间差异不大的字节中准确筛选可疑数据包并实施更加深入地分析研究。一般能够依靠主机系统的事件日志、系统调用以及端口调用的安全审计记录进行对比分析获取异常。预警技术是基于入侵检测技术的前提下，定期对计算机网络系统内部可疑数据信息实施分组，如果出现可疑数据包能够对统一的日志实施报警处理，把入侵者的 IP 和目标 IP、目的端口攻击特征以及当前用户执行的进程及时发布2。大数据时代计算机网络安全技术探讨张江荣（云南农业职业技术学院 云南省昆明市 650118）摘要：本文结合云南农业职业技术学院实际研究，对大数据背景下校园计算机网络安全技术展开了探讨，并给出解决问题的实例。随着大数据技术在各个行业和领域中的普及运用，能够对海量数据信息进行科学高效处理，同时借助于数据挖掘和信息分析，形成数据采集、管理、分析、挖掘、开发利用的综合管理体系，在很大程度上促进了数据处理效率的提升。但也应当认识到，大数据时代的来临让计算机网络安全问题更加严重，造成大量数据信息泄露，严重影响到计算机网络的安全稳定运行，在这样的形势下必须要采取有针对性的网络安全技术，对校园网络运行环境予以深入分析，推进构建更加完善的网络安全防御体系，营造良好的校园网络环境。关键词：数据挖掘；计算机网络；校园网络安全；防护技术6网络通信与安全Network Communication&Security电子技术与软件工程Electronic Technology&Software Engineering2.3 计算机系统扫描技术针对计算机网络系统可能存在的漏洞实施全方位扫描，属于能够自动侦测本地以及远程主机安全漏洞的程序。详细来说包含了主机扫描、端口扫描以及漏洞扫描等类型。主机扫描往往是对目标网络的主机运行状态实施监测，从而判定其具体状态，属于信息收集的重要前提，最终目标是判定系统中相关组织是否可以运行正确的数据包。端口扫描是通过命名或者寻址的方式来判定网络通信进程的技术手段，通信双方应当清楚了解对方的 IP 地址以及端口号，较为常见的有全扫描、半扫描以及密钥扫描、认证扫描等方式。漏洞扫描通常是以漏洞库为出发点，对漏洞库中的信息予以提取，随后对系统整体状态实施扫描，进而了解计算机网络系统可能存在的漏洞。2.4 信息加密与恢复技术应用较为广泛的信息加密技术一般包含了对称及非对称加密、数字签名、关键信息隐藏三种技术。对称及非对称加密技术往往通过密钥来实现，二者之间的差异是信息发送者与接收者所持有的密钥是否对称。数字签名技术目前来说已经较为成熟，能够对关键数据信息实施加密且可以有效限制相关人员的查阅与使用权利，从而更好地防止重要数据信息受到外部因素影响而被破坏或篡改。关键信息隐藏技术即把计算机网络系统中的重要信息实施技术性隐藏，在实际应用中该技术是实效性较高的加密手段，但必须要对数据信息提前做好分级。3 案例院校校园网络安全的现状分析3.1 网络及安全现状云南农业职业技术学院于 2017 年、2018 年两次改造建设校园万络，全院敷设信息点 2800 个，网络覆盖全校园。2020年增加了由中心机房到学生宿舍区的光纤，增加一台华为 S9306 作为汇聚交换机用于接入学生区接入交换机，并增加了防火墙、上网行为管理及认证计费系统，基本满足学生互联网应用需求。学校办公网络经过改造，配置出口防火墙、上网行为管理、双核心交换机集群，服务器区防火墙，构建基于南北向流量的安全防护架构，同时建立以包括数据库审计、运维审计、日志收集分析的安全运维平台。3.2 业务应用现状学院现有应用系统服务器 28 台，其中除财务、OA前端、OA后端是物理服务器外，其余均为虚拟化服务器。现有云平台无正式授权，核心业务系统由备份系统进行备份，但备份数据无可靠验证。3.3 存在的问题目前学院云数据中心的建设虽具一定规模，但从实际使用存在一些问题，主要体现在：缺乏统一规划，建设思路不清晰，信息化资源整合力度不够等问题。具体表现在以下几个方面：3.3.1 云资源池存在的问题非正版化和资源池问题。现有虚拟化平台运行学院的大部分应用，因没有正式授权及技术支持，存在着法律风险及安全隐患。现有平台在长期使用当中，由于业务的不断增加，计算资源日益紧张。并因为硬件资源主要集中在两台高性能服务器，一旦出现问题，虚拟机将没有足够的资源进行迁移，影响业务正常运行。3.3.2 重要数据备份的问题重要数据备份恢复问题。现有备份软件虽对应用数据进行备份，但没有完善的数据验证手段，缺乏多种技术手段进行备份，存在安全隐患。现有已备份的数据无法验证数据的可用性及可恢复性，一旦发生故障，如无法有效恢复数据，将造成不可挽回的损失。4 校园网络安全建设目标统一思想，建立规范。对超融合平台进行建设、对备份系统进行必要的补充，打造数据中心，构建数据安全的基础设施，满足核心心痛等级保护的基本要求。根据信息化建设的进度，统筹云安全建设，并对校园网出口安全设备进行万兆扩容，为整合学院信息化资源打下基础，完善等级保护的要求。5 校园网络安全建设内容根据学院“十四五”智慧校园建设规划，按照“统一规划、分步实施”的思路，学院网络安全建设分三期建设，总体规划建设架构如图 1 所示。5.1 第一期建设7网络通信与安全Network Communication&Security电子技术与软件工程Electronic Technology&Software Engineering5.1.1 超融合虚拟化基础平台主要包含软件及硬件两方面，硬件包含三台超融合节点服务器，每台配置 2 颗 GoldCPU、256 内存、2*960G SSD、4*6T 机械硬盘。软件包含计算服务器虚拟化（CPU 内存虚拟化）、网络虚拟化、存储虚拟化软件，均以 CPU 方式授权。5.1.2 服务器终端安全防护软件服务终端系统级安全防护，支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、安全事件的一键处置等，也支持与防火墙、上网行为管理产品的联动协同响应，20 个终端授权。5.1.3 CDP 持续数据保护软件通过无代理 CDP 技术实现对虚拟机的秒级 CDP 持续数据保护，通过克隆数据恢复虚拟机进行测试与验证，通过 CDP 备份数据找回文件。5.1.4 分布式备份系统配置3节点的分布式存储（包含72T存储容量授权），配置不限备份客户端数量的备份恢复软件系统，对重要的核心业务如财务系统、教务系统等数据库、文件系统进行定期定时备份，并对虚拟机进行定期定时备份。5.1.5 数据恢复测试数据定期恢复测试，对现有虚拟机、数据库、文件系统进行定期恢复测试，保证备份数据可靠性、可用性及可恢复性。对核心业务系统（财务系统、教务系统）按月进行恢复测试，其余非关键应用半年一次进行恢复测试演练，以确保业务数据安全性及可恢复性。5.1.6 数据迁移将现有虚拟机迁移至超融合平台，现有业务数据迁移至备份存储节点，保证业务连续性。结合学院现状提供数据迁移方案，保证数据迁移过程中数据的完整性、安全性、可靠性以及业务的连续性。图 1：学院网络安全建设架构图8网络通信与安全Network Communication&Security电子技术与软件工程Electronic Technology&Software Engineering5.2 第二期建设（1）建设以安全态势感知为检测、预警、响应处置的大网络安全分析平台，初步实现全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化的立体安全体系架构。（2）建成以分布式备份系统为基础，远程备份副本为网络安全保障的一体化网络安全平台，再进行定期数据恢复测试，不断完善网络安全体系架构。（3）通过对小哨中心机房 UPS 电池的更换及扩容，实现高效、可靠的不间断电源系统，从真正意义上保障设备及数据运行安全。5.3 第三期建设（1）增加3节点超融合计算资源服务器（3T内存）、2 节点的分布式存储及原有节点硬盘扩容（50T 可用空间）。增加两台万兆交换机用于超融合存储交换，解决业务系统增长迅速，计算资源及备份资源均比较紧张问题。与现有超融合集群相对独立、互为冗余，学院计算资源平台更加高效、可靠。（2）SSL VPN 建设。利用 Secure Socket Layer 封包处理功能,通过 SSL VPN 网关连接到内部 SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取内部服务器数据。用标准的安全套接层 SSL 对传输中的数据包进行加密,从而在应用层保护了数据的安全性。解决现有 VPN SSL版本较老，且软件无法进行更新升级的安全隐患。（3）备份软件扩容。对现有备份软件进行授权扩容，解决超融合平台扩容后，新增加集群备份问题。（4）更换精密空调。中心机房增加一台精密空调，减小现有空调散热压力，延迟设备使用寿命，并能够实现设备的冗余，降低机房系统停机风险。6 校园网络安全建设成效通过以上三期的建设，实现超融合节点为资源池的正版国产化虚拟化平台，计算资源满足学院业务需求；建成分布式备份系统，通过持续数据保护、虚拟机备份、数据库备份三种技术手段保护核心数据安全可靠；通过定期对重要数据进行恢复测试，保证备份数据安全可靠及可恢复性。倡导“持续保护、不止合规”的安全理念，满足国家法律法规和标准体系。建立“一个中心（安全管理中心）、三重防护（安全计算环境、安全区域边界、安全网络通信）”的安全架构设计，满足了等保 2.0 的合规要求；基于人工智能、大数据、终端检测响应等前沿安全技术，能够实现对未知攻击、潜伏威胁的检测与防御；从“被动防御”“应急响应”向“主动防御”“持续响应”的切换；建立集“预测、防御、检测、响应”于一体的安全闭环。7 结语在大数据背