周鸿祎：以大数据技术对抗大数据平台安全威胁？

1月份，所有通用顶级域的解析都出现了问题(。com/。net/。org等。)在中国大陆，所有相关域名都指向位于美国的一个IP地址(65.49.2.178)，导致数千万网友无法在数小时内访问该网站。

今年4月，OpenSSL“heart bleed”的一个主要安全漏洞被暴露，该漏洞允许黑客读取服务器系统的运行内存。有内部人士利用该漏洞在某知名电商网站上进行测试，成功获取多位用户的账号和密码，并成功登录该网站。

9月，“iCloud艳照门”事件爆发，网上曝光了数百张好莱坞女星的不雅照片。原因是黑客通过攻击苹果的iCloud云存储服务，窃取了用户上传的照片。

2014年，互联网网络安全事件层出不穷。从个人到企业再到国家，各个层面的网民都受到威胁。与往年相比，今年的网络安全事件开始偏向信息数据窃取，这与大数据技术的发展息息相关。

信息时代，大数据平台承载着来自个人电脑、移动智能终端、可穿戴设备、智能家居设备、智能汽车等个人、企业和国家层面的巨大数据资源，势必成为黑客组织和各种敌对势力网络攻击的重要目标。因此，大数据时代的网络安全将是所有大数据利用的前提。同时，也可以利用大数据技术提高我国网络安全的技术水平，为维护国家网络空间安全发挥作用。

大数据时代网络安全面临的主要威胁

在今年携程信用卡信息泄露、小米社区用户信息泄露、OpenSSL“心流血”漏洞等事件中，大量用户信息数据被窃取，导致用户网银账户被入侵。这些事件发生在个人用户身上。如果类似事件发生在国家财政、政务等相关部门的数据平台系统上，后果不堪设想，给国家网络安全造成的损失将是前所未有的。大数据时代，中国网络安全面临多重安全威胁。

首先，网络基础设施和基础软硬件系统受制于人。大数据平台依托互联网为政府、企业和广大公众提供服务。然而，从基础设施层面来看，中国互联网已经存在不可控因素。例如，域名解析系统(DNS)作为互联网基础设施之一，可以使人们轻松访问互联网，而无需记忆复杂的IP地址字符串。今年1月，由于DNS根服务器被攻击，数千万网友在几个小时内无法访问网站。根服务器是全球DNS的基础，然而，有13个根服务器全部在国外，由美国控制。此外，我国大数据平台的基础软硬件系统还没有完全实现自主可控。在能源、金融、电信等重要信息系统的核心软硬件实施中，服务器、数据库等相关产品被国外企业垄断。因此，中国的信息流目前是由外国企业产品计算、传输和存储的。相关设备的“后门”很多，国内数据安全的命脉几乎都掌握在国外企业手中。2013年棱镜项目的曝光，凸显了软硬件基础设施对中国数据安全乃至国家安全的重要性。

其次，网站和应用的漏洞和后门层出不穷。近年来，因网站和应用系统漏洞、后门导致的重大安全事件频发，以上三起案件均属于此类。根据中国安全企业网站安全检测服务的统计，中国高达60%的网站存在安全漏洞和后门。可以说，网站和应用系统的脆弱性是大数据平台面临的最大威胁之一。然而，我国各种大数据行业应用广泛使用各种第三方数据库和中间件。但此类系统的安全形势不容乐观，存在普遍漏洞。更令人担忧的是，各种websi的漏洞修复情况

第三，除了系统问题，网络攻击手段更丰富。其中，终端恶意软件和恶意代码是黑客或敌对势力攻击大数据平台、窃取数据的主要手段之一。目前，越来越多的网络攻击是从终端发起的。终端渗透攻击也成为国与国之间网络战的主要方式。比如，众所周知的攻击伊朗核设施的“Stuxnet病毒”，就是利用Windows操作系统的漏洞入侵特定终端，潜入伊朗核电站内部局域网，破坏伊朗核设施。此外，针对大数据平台的AdvancedPersistent Threat (APT)攻击非常常见，是一种可以绕过各种传统安全检测和防护措施，伺机窃取网络信息系统核心信息和各类信息的攻击手段。例如，针对谷歌等30多家高科技公司的极光攻击就属于这一类。APT攻击结合了社会工程、挂马、0day漏洞、深度渗透、长期潜伏、隐蔽性等特点。这是极具破坏性的。它是未来网络战的主要手段，也是对中国网络空间安全危害最大的攻击手段。近年来，具有国家和组织背景的APT攻击日益增多。毫无疑问，大数据平台也将成为APT攻击的主要目标。

利用大数据技术应对大数据平台安全威胁

从以上分析可以看出，针对大数据平台重要目标的网络攻击背后的先进、复杂、隐蔽、持久的技术手段和支撑力量，已经超过了传统网络安全技术的应对能力。全球网络安全行业正在研究和探讨应对这一先进威胁的新技术体系，大数据技术已成为一个重要方面。以360公司为代表的国内网络安全公司，已经在利用大数据技术提供各种网络安全服务，这将为提升大数据平台安全性、增强国家网络安全空间安全防御能力提供有力支撑。

利用大数据技术应对DNS安全威胁，积极推进基础软硬件自主管控。以DNS为例，作为互联网基础设施，我国首先要积极争取域名服务器的运营管理权，构建完整的安全体系。包括360公司在内的国内互联网安全公司应积极承担社会责任，积极推进下一代域名服务安全。此外，要积极利用大数据技术，开发高性能、抗攻击的安全DNS系统。建立基于大数据技术的DNS应急容灾系统，缓存全局DNS系统的各级数据。同时，它也能受益

尽管在国家推动和产业参与下，我国在自主可控的基础软硬件产品的研发方面取得了一定成效。如复旦大学成功研发出半浮栅晶体管的新型基础微电子器、2011年我国成功自主研发8核CPU龙芯3B流片。但由于我国在该领域起步较晚，在大数据时代，以操作系统等基础软硬件的国有化和自主知识产权化，仍然需要政府的推动、企业的投入和科研院校的参与，更有必要依托大数据技术实现研发数据的共享。

利用大数据技术防护网站攻击，定位攻击来源。一方面，开发并优化网站卫士服务。我国安全公司已针对网站漏洞、后门等威胁推出了相应的网站安全卫士服务，能够利用大数据平台资源，帮助网站实现针对各类应用层入侵、DDoS/CC流量型攻击、DNS攻击的安全防护，同时向网站提供加速、缓存、数据分析等功能。同时通过对海量日志大数据的分析，可以挖掘发现大量新的网站攻击特征、网站漏洞等。另一方面，通过对日志大数据进行分析，还能进一步帮助我们溯源定位网站攻击的来源、获取黑客信息，为公安部门提供有价值的线索。

利用大数据技术防范终端恶意软件和特种木马、检测和防御APT攻击。基于大数据和云计算技术实现的云安全系统，可以为防范终端特种木马攻击起到有力的支持。目前我国的安全公司已经在为安全部、国家保密局等有关部门提供支持，利用其云安全系统的大数据资源，帮助有关部门分析定位终端特种木马的分布、感染的目标终端，以及分析同源的特种木马，为有关部门工作提供了有力的支持。

为了对抗APT攻击，我们可以采用了大数据分析技术研发APT攻击检测和防御产品。此类产品可以在大时间窗口下对企业内部网络进行全流量镜像侦听，对所有网络访问请求实现大数据存储，并对企业内部网络访问行为进行建模、关联分析及可视化，自动发现异常的网络访问请求行为，溯源并定位APT攻击过程。

另外，我国还应建立国家级的APT防护联动平台。当前，针对我国政治、经济、军事、民生等重点行业的信息系统，各种有组织、系统性的APT攻击正日益加剧，我国的网络空间安全面临巨大的威胁。但与此同时,我国重要信息系统具有相互隔离、孤立的特点，针对APT攻击难以形成关联协同、综合防御的效应，容易被各个击破。因此，在各个重要信息系统单位部署APT攻击检测产品的基础上，非常有必要建立国家级的APT防护联动平台，汇聚不同政府部门、重要信息系统中部署的APT防护产品所检测的安全事件及攻击行为数据，对其进行大数据分析挖掘，从而形成国家级针对APT攻击的全面侦测、防护能力。

大数据平台时代网络安全的建议

鉴于大数据资源在国家安全方面的战略价值，除在基础软硬件设施建设、网络攻击监测、防护等方面努力之外，针对国内大数据服务及大数据应用方面还有如下建议。

对重要大数据应用或服务进行国家网络安全审查。对于涉及国计民生、政府执政的重要大数据应用或服务，应纳入国家网络安全审查的范畴，尽快制定明确的安全评估规范，确保这些大数据平台具备严格可靠的安全保障措施，防止被黑客、敌对势力入侵并窃取数据。

合理约束敏感和重要部门对社交网络工具的使用。政府部门、央企及重要信息系统单位，应避免、限制使用社交网络工具作为日常办公的通信工具，并做到办公用移动终端和个人移动终端的隔离，以防止国家重要和机密信息的泄露。

敏感和重要部门应谨慎使用第三方云计算服务。云计算服务是大数据的主要载体，越来越多的政府部门、企事业单位将电子政务、企业业务系统建立在第三方云计算平台上。但由于安全意识不够、安全专业技术力量缺乏、安全保障措施不到位，第三方云计算平台自身的安全性往往无法保证。因此，政府、央企及重要信息系统单位，应谨慎使用第三方云服务，避免使用公共云服务。同时国家应尽快出台云服务安全评估检测的相关规范和标准。

严格监管、限制境外机构实施数据的跨境流动。对于境外机构在国内提供涉及大数据的应用或服务，应对其优艾设计网_平面设计进行更为严格的网络安全审核，确保其数据存储于境内的服务器，严格限制数据的跨境流动。