大数据构建信息屏障

　　狄更斯《双城记》中的名句“这是一个最好的时代，也是一个最坏的时代”，如今已经为无数文章所引用。套用这一句式，在信息安全领域，我们可以说，“这是一个数据爆炸的时代，也是一个信息匮乏的时代”。

　　看似这句话所传达的意思是矛盾的，但是将大数据与信息安全关联后，我们会发现其恰恰反映了安全防护的双面性：一方面，用户从防火墙日志、IDS（入侵检测系统）、SIEM（安全事件与信息管理）解决方案等产品那里得到了大量数据；另一方面，用户却无法从获取的数据中迅速获得对自己有用的信息。

　　数据与信息，爆炸与匮乏，似乎结合成为了一对矛盾体。2013年4月25日，在工业和信息化部信息安全协调司的指导下，《计算机世界》报社邀请业内诸多专家、学者，以“捍卫大数据，构建云安全”为主要议题，在“2013中国信息安全大会暨第十一届中国CSO俱乐部年会”上，就以上问题进行了讨论。

　　数据量太多了

　　不管我们愿不愿意，信息数据已经与我们的生活产生了密切联系。每拍摄一张数码照片、每记录一段微博文字，这些都是数据。除了这些主动的行为外，当我们开车行进在路上时，车辆都会自动在车载信息系统上记载下行驶的相关信息；当我们走进超市购买东西时，超市的收银系统会实时记录下购买商品的信息……在不知不觉间，我们或主动或被动的成为了数据的生产者。试想一下，即使全球70亿人口只有四分之一能够接触到IT信息系统，而这部分人群每天仅产生1MB的数据，那么核算下来日均的数据量也非常可观。

　　2013年4月15日，在美国马萨诸塞州波士顿发生的马拉松爆炸案震惊了全球。根据美国媒体的报道，在爆炸案发生后，为了能够迅速找到犯罪嫌疑人，相关调查机构在案发现场附近采集了10TB左右的数据。这些数据包括来自移动通信基站上的电话通讯记录，附近商店、加油站、报摊的监控录像，以及志愿者提供的图片和影像资料。

　　另一方面，移动设备的普及，包括智能手机、平板的出现，又推动了数据量的进一步增长。来自无线和移动通信行业市场研究顾问公司iGR的预测显示，到2017年，全球蜂窝移动通信数据流量将由2012年的每月88.9万TB增至1030万TB，这些数据包括查看电子邮件、收听流媒体音乐或观看流媒体视频、查看社交网站等行为所产生的流量。换句话说，到2017年，每个月仅仅用于储存移动通信所产生的数据流量，就要消耗掉250多万块4TB的硬盘。

　　我们的生活、工作与信息化结合的越紧密，信息安全的作用也就越重要。工业和信息化部信息安全协调司副司长欧阳武认为，信息安全与信息技术应用，应该秉承同步规划、同步部署的思想。他特别强调了信息安全应用的四个重点方向：确保重要信息系统和技术信息网络安全、加强政府和设备信息系统安全管理、保障工业控制系统安全、强化信息资源和个人信息保护。

　　然而，在数据爆炸的大环境下，信息安全同样面临着信息来源过剩的问题。北京天融信科技有限公司副总裁宫一鸣在“第十一届中国CSO俱乐部大会暨2013中国信息安全年会”上公布了一张某公司安全系统后台的图片。这张图片显示，这家公司的安全设备在一天之内共产生了将近3亿条日志数据，其中，最高级别的警告数据有560多万条。“假设网管员在8点钟上班时，看到后台有500多万条警告需要处理，应该怎么办？”宫一鸣反问说，“如果是我的话肯定放弃了。”

　　信息还远远不够

　　在数据量成千上万迅猛增长的同时，另一个不容忽视的现实摆在了我们面前：如何从这么多数据中找到所需要的信息？

　　大数据分析技术让“大海捞针”的过程变得更加轻松。在波士顿爆炸案发生后，相关调查机构就是利用大数据技术，对收集到的图片和影像资料进行非结构化的数据分析，最终锁定了犯罪嫌疑人。

　　大数据能做的不仅于此。为了解决城市交通拥堵，IBM正在计划将市政网联网所采集的交通信号灯、二氧化碳传感器乃至汽车电子系统的数据进行处理，并将处理后所生成的信息发送到市民的手机上，以帮助乘客做出路线选择的决策。以下所列出的，是几种能够利用大数据技术的细分安全领域。

　　数据增长越快，在信息安全领域我们所能够接收到的数据也就越多；同样的，通过大数据技术，不仅可以对海量数据进行整理和提取，也可以辨识安全信息。

　　安全管理 大数据应用与安全管理的整合是比较值得一提的。包括SIEM、网络监控以及威胁感知等安全技术，都已经开始同大数据应用结合起来。通过整合所形成的统一处理平台能够对所有安全事件数据和日志进行处理，并从中发现可能发生的风险。这一应用特别适合管理前文提到的，每天会产生上亿条日志记录的安全设备。

　　身份识别和访问管理 今年《计算机世界》曾刊载了一篇名为《大数据让数据防护“未卜先知”》的文章，文章中预测了一个场景：IT系统捕捉到员工在社交媒体上对公司的抱怨，进而将员工所能访问的公司资料加以限制。这并不是天方夜谭或者未来科技，而就发生在我们身边。利用大数据，身份识别和访问管理（IAM）可以对用户的过往操作习惯进行分析，并总结出用户的常规使用模型。一旦用户行为背离了常规模式，系统会自动调整用户的访问等级。

　　监测审计系统 数据量增加，需要监测审计的内容也在不断增长。同时，非结构化数据的大量出现也增加了审计的难度。一套整合了大数据技术的审计平台可以更快地了解企业所需，并为企业提供实时的资产监测。

　　目前，已经有多家安全厂商利用大数据和云计算技术为用户提供服务。常见的做法是，安全厂商收集来自全球各地的攻击活动、恶意软件、漏洞等数据，并加以汇总分析，并将最终结果反馈给用户。

　　另一方面，APT（高级持续性威胁）攻击盛行使得传统的防火墙、IPS等安全产品对攻击行为和恶意代码的识别率下降，因此一些厂商已经开始致力于为用户构建私有大数据分析平台，以应对具有针对性的威胁。

　　网康科技高级市场经理严雷表示，网络安全已经走入了一个新的时代。在这个时代中，威胁形式是多样化的，攻击过程分散而且隐蔽。同时，网络威胁目标化、定制化且难以捕捉，大部分的威胁会通过应用进行渗透。

　　赛门铁克公司首席咨询顾问李本认为，在大数据时代需要“更快速更丰富的情报支持、更全面更自动化的安全合规治理、统一的防御控制手段以及数据为核心的防御重点”。

　　大数据的攻防战

　　大数据尽管可以为信息安全防护带来更有效、更透明的手段，但是我们依然需要谨慎看待其在未来的发展。

　　首先，这一技术在信息安全领域的应用还没有完全成熟。构建一个完整的大数据平台，需要软硬件基础设施、算法模型、规划设计等多个方面的协同工作，对于大多数企业来说，这个过程是非常复杂的。同时，其也会增加安全解决方案的部署成本。

　　另一方面，在安全防护引入大数据技术的同时，攻击行为也在开始利用大数据。这正应了中国的一句老话，“以子之矛，攻子之盾”。

　　宫一鸣在演讲中表示，越来越多的攻击者也在开始利用大数据，对于他们来说，大数据意味着更多低成本的攻击资源和攻击方式，也意味着可以利用更多的攻击源和攻击点。2013年3月中旬，一个名为Cyberbunker的团队利用开放DNS服务器，向欧洲反垃圾邮件组织SpamHaus发起了DNS放大攻击。根据事件发生后的监测显示，这次攻击的强度最高达到了300Gbps。很显然，这种大规模的流量已经超过了普通僵尸网络所能发起的极限。实际上，这就是利用大数据发起的一次攻击。“在这种情况下已经不需要僵尸网络了”宫一鸣表示。

　　中科院软件研究所副研究员蒋建春对此持相同的观点。他表示，目前已经出现了CloudCrack、Cloudcracker等多款利用云计算技术发起攻击的黑客工具，同时，利用虚拟机以隐藏真实信息发起攻击的安全事件也已经出现。

　　目前来看，对大数据和云计算技术的应用，将会成为信息安全领域未来的一个重点关注方向。我们都寄希望于，大数据能够让有用的数据真正得到利用，净化我们的网络空间。

　　本报记者 李旭阳