大数据网络安全问题_大数据与网络安全攻防演练

如何利用大数据来处理网络安全攻击

“大数据”已经成为时下最火热的IT行业词汇，各行各业的大数据解决方案层出不穷。究竟什么是大数据、大数据给信息安全带来哪些挑战和机遇、为什么网络安全需要大数据，以及怎样把大数据思想应用于网络安全技术，本文给出解答。

一切都源于APT

APT（Advanced Persistent Threat）攻击是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。此外，APT攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。

现有技术为什么失灵

先看两个典型APT攻击案例，分析一下盲点在哪里：

1、 RSA SecureID窃取攻击

1) 攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件。邮件标题为“2011 Recruitment Plan”，寄件人是webmaster@Beyond.com，正文很简单，写着“I forward this file to you for review. Please open and view it.”;里面有个EXCEL附件名为“2011 Recruitment plan.xls”；

2) 很不幸，其中一位员工对此邮件感到兴趣，并将其从垃圾邮件中取出来阅读，殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2011-0609)。这个Excel打开后啥也没有，除了在一个表单的第一个格子里面有个“X”(叉)。而这个叉实际上就是内嵌的一个Flash；

3) 该主机被植入臭名昭著的Poison Ivy远端控制工具，并开始自BotNet的CC服务器(位于 good.mincesur.com)下载指令进行任务；

4) 首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑；

5) RSA发现开发用服务器(Staging server)遭入侵，攻击方随即进行撤离，加密并压缩所有资料(都是rar格式)，并以FTP传送至远端主机，又迅速再次搬离该主机，清除任何踪迹；

6) 在拿到了SecurID的信息后，攻击者就开始对使用SecurID的公司(例如上述防务公司等)进行攻击了。

2、 震网攻击

遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的，理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破，超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，以此 为第一道攻击跳板，进一步感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，利用多种漏洞，包括当时的一个 0day漏洞，一点一点的进行破坏。这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙的控制了攻击范围，攻击十分精准。

以上两个典型的APT攻击案例中可以看出，对于APT攻击，现代安全防御手段有三个主要盲点：

1、0day漏洞与远程加密通信

支撑现代网络安全技术的理论基础最重要的就是特征匹配，广泛应用于各类主流网络安全产品，如杀毒、入侵检测/防御、漏洞扫描、深度包检测。Oday漏洞和远程加密通信都意味着没有特征，或者说还没来得及积累特征，这是基于特征匹配的边界防护技术难以应对的。

2、长期持续性的攻击

现代网络安全产品把实时性作为衡量系统能力的一项重要指标，追求的目标就是精准的识别威胁，并实时的阻断。而对于APT这种Salami式的攻击，则是基于实时时间点的检测技术难以应对的。

3、内网攻击

任何防御体系都会做安全域划分，内网通常被划成信任域，信任域内部的通信不被监控，成为了盲点。需要做接入侧的安全方案加固，但不在本文讨论范围。

大数据怎么解决问题

大数据可总结为基于分布式计算的数据挖掘，可以跟传统数据处理模式对比去理解大数据：

1、数据采样——全集原始数据（Raw Data）

2、小数据+大算法——大数据+小算法+上下文关联+知识积累

3、基于模型的算法——机械穷举（不带假设条件）

4、精确性+实时性——过程中的预测

使用大数据思想，可对现代网络安全技术做如下改进：

1、特定协议报文分析——全流量原始数据抓取（Raw Data）

2、实时数据+复杂模型算法——长期全流量数据+多种简单挖掘算法+上下文关联+知识积累

3、实时性+自动化——过程中的预警+人工调查

通过传统安全防御措施很难检测高级持续性攻击，企业必须先确定日常网络中各用户、业务系统的正常行为模型是什么，才能尽早确定企业的网络和数据是否受到了攻击。而安全厂商可利用大数据技术对事件的模式、攻击的模式、时间、空间、行为上的特征进行处理，总结抽象出来一些模型，变成大数据安全工具。为了精准地描述威胁特征，建模的过程可能耗费几个月甚至几年时间，企业需要耗费大量人力、物力、财力成本，才能达到目的。但可以通过整合大数据处理资源，协调大数据处理和分析机制，共享数据库之间的关键模型数据，加快对高级可持续攻击的建模进程，消除和控制高级可持续攻击的危害。

国家电网 攻防演练什么意思

据悉，各地电网的收费服务系统，以及超市、网银的代收费系统等都涉及信息安全问题，这些与老百姓的生活息息相关。

国家电网一直高度重视信息安全建设工作。结合信息安全形势，攻防演练组织专家设计训练实战内容，以达到学为致用的专项培训效果，提高信息安全管理人员的攻防能力。

信息安全培训一般分为技术培训和管理培训两方面。“培训有利于我们今后全面排查信息系统安全隐患，准确调查信息安全事件，及时消除信息安全威胁。”无论是加速APP应用还是迎接大数据时代的到来，信息安全在国家电网发展的过程中都十分关注。

网络攻防演习活动大致可分四个阶段：备战阶段、实战阶段、决战阶段和总结阶段。

在攻防演习备战阶段，参演单位需对已有信息资产进行识别、分析网络架构及进行安全风险（威胁）识别；同时需成立攻防小组，制定针对性的攻防演练应急预案，并参考网络安全等级保护要求建立安全防御体系。

在攻防演习备战阶段，参演单位根据网络安全等级保护基本要求对网络和目标系统的关联资产进行安全自查，结合基线核查、配置扫描及漏洞扫描等手段，梳理已有安全措施，发现网络中可能存在的风险。

参演单位结合网络中存在的安全问题和已有的安全措施，进行安全措施补充完善、安全加固。在技术方面全面完善基础安全加固、网络区域合理划分、安全监测、风险预警和事件分析等措施；管理方面完善“攻防演习领导小组”工作流程及安全事件应急处置机制。

在进行防护目标加固时，应安全技术与管理并重，将制定的针对性技术方案责任到人，按照项目实施计划严格进行进度把控，确保技术整改措施落地。

在攻防演习实战阶段，攻守双方正式进行演练，防守方保障目标业务系统的安全，需从攻击监测、攻击分析、事件上报、事件研判、攻击阻断、应急响应、漏洞修复和追踪溯源等方面进行全面安全防护。

在攻防演习决战阶段，攻击方发起的各类攻击是检验防守方各部门在遭遇网络攻击时发现和协同处置安全风险的能力，对检验参演单位应急方案有效性和完善网络安全应急响应机制与提高技术防护能力具有重要意义。

什么是攻防演练？网络安全攻防演练包含几个阶段？

　对网络安全圈了解的人肯定都听说过“攻防演练”，它是检阅政企机构安全防护和应急处置能力的有效手段之一，而且每年国家都会举行实战攻防演练。那么网络安全中攻防演练分为哪5个阶段?以下是详细的内容介绍。

攻防演练保障工作不是一蹴而就，需要系统化的规划设计、统筹组织和部署执行。对于攻防演练的防御方，应按照以下五个阶段组织实施：

启动阶段：组建网络攻防演练保障团队并明确相关职责，制定工作计划、流程和具体方案。对信息网络架构进行梳理和分析，评估当前网络安全能力现状。对内外网的信息化资产进行梳理。

备战阶段：通过风险评估手段，对内外网信息化资产风险暴露面进行全面评估。制定合理可行的安全整改和建设方案，配合推动网络安全整改与治理工作。开展内部人员的网络安全意识宣贯。

临战阶段：制定应急演练预案，有序组织开展内部红蓝对抗、钓鱼攻击等专项演练工作。对人员进行安全意识专项强化培训。

保障阶段：依托安全保障中台，构建云地一体化联防联控安全保障体系，利用情报协同联动机制，持续有效地进行威胁监控、分析研判、应急响应、溯源反制等网络攻防演练保障工作。

总结阶段：对攻防演练工作进行经验总结和复盘，梳理总结报告，对演练中发现的问题进行优化改进和闭环处理。

网络安全攻防演练多久一次

三个星期一次

为了不断强化关键信息基础设施系统的网络安全防护能力,网络安全攻防演练已经成为全球检验网络安全实战能力的常态化方式。

贵州省大数据安全保障条例

第一章　总 则第一条　为了保障大数据安全和个人信息安全，明确大数据安全责任，促进大数据发展应用，根据《中华人民共和国网络安全法》和有关法律、法规的规定，结合本省实际，制定本条例。第二条　本省行政区域内大数据安全保障及相关活动，应当遵守本条例。

涉及国家秘密的大数据安全保障，还应当遵守《中华人民共和国保守国家秘密法》等法律、法规的规定。第三条　本条例所称大数据安全保障，是指采取预防、管理、处置等策略和措施，防范大数据被攻击、侵入、干扰、破坏、窃取、篡改、删除和非法使用以及意外事故，保障大数据的真实性、完整性、有效性、保密性、可控性并处于安全状态的活动。

本条例所称大数据是指以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合，是对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析，发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态。

本条例所称大数据安全责任人，是指在大数据全生命周期过程中对大数据安全产生或者可能产生影响的单位和个人，包括大数据所有人、持有人、管理人、使用人以及其他从事大数据采集、存储、清洗、开发、应用、交易、服务等的单位和个人。第四条　大数据安全保障工作坚持总体国家安全观，树立正确的网络安全观，按照政府主导、责任人主体，统筹规划、突出重点，预防为主、综合治理，包容审慎、支持创新，安全与发展、监管与利用并重的原则，维护大数据总体和动态安全。第五条　大数据安全保障工作应当围绕国家大数据战略和省大数据战略行动实施，建立健全大数据安全管理制度，建设大数据安全地方标准体系、大数据安全测评体系、大数据安全保障体系等，采取大数据安全攻防演练等安全保障措施，推动大数据安全技术、制度、管理创新和发展。第六条　省人民政府负责全省大数据安全保障工作，市、州和县级人民政府负责本行政区域内大数据安全保障工作。

开发区、新区管理机构根据设立开发区、新区的人民政府的授权，负责本辖区大数据安全保障的具体工作。第七条　县级以上有关部门按照下列规定，履行大数据安全保障职责：

（一）网信部门负责统筹协调、检查指导和相关监督管理等工作；

（二）公安机关负责安全保护和管理、风险评估、监测预警、应急处置和违法行为查处等监督管理工作；

（三）大数据发展管理部门负责与大数据安全相关的数据管理、产业发展、技术应用等工作；

（四）通信管理部门负责电信网、公共互联网运行安全监督管理等工作；

（五）保密行政管理部门负责保密监督管理等工作；

（六）密码管理部门负责密码监督管理等工作；

（七）其他部门按照有关法律、法规的规定和各自职责做好大数据安全保障工作。第八条　省人民政府应当根据大数据发展应用总体规划，编制大数据安全保障规划；网信、公安、大数据发展管理等部门应当根据大数据安全保障规划，编制本部门、本行业大数据安全保障专项规划。第九条　县级以上人民政府应当建立大数据安全保障工作领导协调机制和责任机制，协调和指导本行政区域内大数据安全保障有关事项。

公安机关应当按照网络安全等级保护要求，会同有关部门制定大数据风险测评、应急防范等安全制度，加强对大数据安全技术、设备和服务提供商的风险评估和安全管理。第十条　任何单位和个人都有维护大数据安全的义务，不得从事危害大数据安全的活动，不得利用大数据从事危害国家安全以及损害国家利益、社会公共利益和他人合法权益的活动。

对危害大数据安全或者利用大数据从事违法犯罪活动的行为，任何单位和个人都有权劝阻、制止、投诉、举报。收到投诉举报的部门应当依法及时查处，保护举报人的合法权益；不属于本部门职责的，应当及时移送有权处理的部门。第十一条　鼓励开展大数据安全知识宣传普及、教育培训，增强全社会大数据安全意识，提高大数据安全风险防范能力。第十二条　鼓励、支持成立大数据安全联盟、行业协会等社会组织，开展行业自律、交流合作和安全技术研究等大数据安全工作。第二章　安全责任第十三条　实行大数据安全责任制，保障大数据全生命周期安全。

大数据安全责任，按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责以及谁采集谁负责的原则确定。

大数据基于复制、流通、交换等同时存在的多个安全责任人，分别承担各自安全责任。

什么是网络安全攻防演练?有什么意义？

攻防演练也称为护网行为，是针对全国范围的真实网络目标为对象的实战攻防活动，旨在发现、暴露和解决安全问题，更是检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。那么什么是网络安全攻防演练?攻防演练的意义是什么?具体内容请看下文。

网络安全攻防演练是以获取指定目标系统的管理权限为目标的攻防演练，由攻防领域经验丰富的红队专家组成攻击队，在保障业务系统稳定运行的前提下，采用不限攻击路径，不限制攻击手段的贴合实战方式，而形成的有组织的网络攻击行动。攻防演练通常是真实网络环境下对参演单位目标系统进行全程可控、可审计的实战攻击，拟通过演练检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。

攻防演练的组织结构，由国家、行业主管机构、监督机构、大中型企事业单位自行组织。各级公安机关、网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家行业主管机构或监管机构，针对要点行业和要点系统组织单位的攻击队和行业内企业单位的防御队进行实战攻防演练。

蓝队：模拟黑客的动机与行为，探测企业网络存在的薄弱点，加以利用并深入扩展，在授权范围内获得业务数据、服务器控制权限、业务控制权限。

红队：通过设备监测和日志及流量分析等手段，监测攻击行为并响应和处置。

网络安全攻防演练的意义

①攻防演练，实质是人与人之间的对抗。网络安全需网络安全人才来维护，是白帽和黑帽之间的较量，而白帽是建设网络强国的重要资源。攻防演练能够发现网络安全人才，清楚自身技术短板所在，并加以改进，提升安全技术。

②开展攻防演练，能够提早发现企业网络安全问题所在。针对问题及时整改，加强网络安全建设力度，提升企业的网络安全防护能力。

网络安全攻防演练的价值

①发现企业潜在安全威胁：通过模拟入侵来验证企业内部IT资产是否存在安全风险，从而寻求应对措施。

②强化企业安全意识：通过攻防演练，提高企业内部协同处置能力，预防风险事件的发生，确保企业的高度安全性。

③提升团队能力：通过攻防演练，以实际网络和业务环境为战场，真实模拟黑客攻击行为，防守方通过企业中多部门协同作战，实战大规模攻击情况下的防护流程及运营状态，提升应急处置效率和实战能力。