黃侃

摘要：隨著《教育信息化2.0行動計劃》的實施，數(shù)字化校園的建設(shè)必然會迎來一個大發(fā)展的時期。通過對安全基線技術(shù)的概念、組成和作用進(jìn)行梳理，并以方濱興院士提出的信息安全四個層次理論為基礎(chǔ)，研究安全基線技術(shù)在數(shù)字化校園中的應(yīng)用。

關(guān)鍵詞：數(shù)字化校園；安全基線；技術(shù)探析

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2018）26-0038-02

Abstract：With the implementation of The 2 action plan of educational informatization ， the construction of digital campus is bound to usher in a period of great development. By combing the concept， composition and function of the safety baseline technology， and Based on the four level theory of information security proposed by Fang bin Xing academician， the application of safety baseline technology in digital campus is studied.

Key words： digital campus； safety baseline； technical analysis

隨著信息技術(shù)的高度發(fā)展，信息技術(shù)逐漸已經(jīng)成為國家競爭力重要體現(xiàn)，世界各國都在大力發(fā)展本國的信息技術(shù)，以提高國家的綜合國力。在教育領(lǐng)域，我國在2018年發(fā)布了《教育信息化2.0行動計劃》，全面提高教育領(lǐng)域的信息化水平，在該行動計劃中，明確提出要“促進(jìn)數(shù)字校園建設(shè)全面普及、推動實現(xiàn)各級各類學(xué)校數(shù)字校園全覆蓋[1]”?？梢灶A(yù)見，作為教育信息化重要內(nèi)容的數(shù)字化校園建設(shè)將步入一個快速發(fā)展和基本普及的時期。

1 研究的意義

數(shù)字化校園不是一個新的概念，有很多高校在多年前就已經(jīng)開始在進(jìn)行數(shù)字化校園建設(shè)，長期以來，由于數(shù)字化校園業(yè)務(wù)系統(tǒng)開發(fā)水平的不同以及運(yùn)維管理人員技術(shù)水平參差不齊，數(shù)字化校園就一直備受信息安全問題的困擾。隨著《教育信息化2.0行動計劃》的推進(jìn)，數(shù)字化校園的快速發(fā)展，快速增長的網(wǎng)絡(luò)設(shè)備、應(yīng)用服務(wù)及相關(guān)數(shù)據(jù)給高校帶來了信息安全管理上的巨大壓力，數(shù)字化校園的信息安全問題必然日漸突出。以數(shù)字化校園作為基礎(chǔ)，開展安全基線技術(shù)的研究，正當(dāng)其時。

1.1 研究基于數(shù)字化校園的安全基線技術(shù)有利于促進(jìn)教育信息化的安全發(fā)展

數(shù)字化校園的建設(shè)是高校教育信息化的核心，也是高校教育信息化的基礎(chǔ)平臺，其不僅僅為高校的教學(xué)科研提供技術(shù)支撐，也為高校的學(xué)生和高校的管理提供平臺服務(wù)。基于數(shù)字化校園開展安全基線的研究，可以促進(jìn)數(shù)字化校園安全保障體系的建立，從而促進(jìn)高校教育信息化的安全發(fā)展。

1.2 安全基線研究是加強(qiáng)數(shù)字化校園信息安全管理工作的關(guān)鍵環(huán)節(jié)

隨著數(shù)字化校園建設(shè)的發(fā)展，規(guī)模和復(fù)雜度都不斷的在擴(kuò)大。如何針對復(fù)雜化的信息化環(huán)境，對威脅信息設(shè)備、信息內(nèi)容和信息系統(tǒng)等安全的漏洞、危險進(jìn)行安全配置，補(bǔ)齊數(shù)字化校園系統(tǒng)的脆弱環(huán)節(jié)，是安全基線的研究內(nèi)容。因此，安全基線的研究是加強(qiáng)數(shù)字化校園信息安全管理工作的關(guān)鍵環(huán)節(jié)。

1.3 有利于促進(jìn)信息安全技術(shù)的進(jìn)步

信息安全問題一直是高校乃至社會長期以來的困擾，開展安全基線的研究，其結(jié)果必然會帶來新的信息安全技術(shù)和新的管理思路，為高校數(shù)字化校園和社會信息安全管理提供一種新的手段和新的方法，從而在一定程度上促進(jìn)信息安全技術(shù)的進(jìn)步。

2 安全基線技術(shù)梳理

2.1 安全基線的概念

從現(xiàn)有的研究來看，并沒有一個權(quán)威的組織能為安全基線給出一個標(biāo)準(zhǔn)的定義。根據(jù)信息行業(yè)比較公允看法，其被描述為：安全基線是一個業(yè)務(wù)系統(tǒng)的最小安全保證，即該業(yè)務(wù)系統(tǒng)最基本需要滿足的安全要求，構(gòu)造業(yè)務(wù)系統(tǒng)安全基線是系統(tǒng)安全工程的首要步驟，同時也是進(jìn)行安全評估、發(fā)現(xiàn)和解決業(yè)務(wù)系統(tǒng)安全問題的先決條件[2]。

從描述可知，安全基線實際是信息系統(tǒng)最低安全配置的配置項及配置參數(shù)的集合。是從信息系統(tǒng)統(tǒng)一管理的目的出發(fā)，以保障信息系統(tǒng)最低安全要求，統(tǒng)一開發(fā)的對信息系統(tǒng)各層面、各組成元素需要配置的配置項目和配置參數(shù)的要求。

2.2 安全基線的組成

安全基線的組成包括系統(tǒng)安全漏洞、系統(tǒng)安全配置和系統(tǒng)狀態(tài)檢查三部分。系統(tǒng)安全漏洞與系統(tǒng)、時間緊密相關(guān)，是硬件、協(xié)議和軟件等信息系統(tǒng)組成部分在設(shè)計和實現(xiàn)時無意中留下的缺陷，其隨著時間的推移有可能被修復(fù)；系統(tǒng)安全配置是為了使信息系統(tǒng)所包含的軟硬件達(dá)到某一程度的安全目標(biāo)所進(jìn)行的主動設(shè)置，包含操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等軟硬件的配置；系統(tǒng)狀態(tài)檢查與用戶的具體需求相關(guān)，反映了各類的業(yè)務(wù)系統(tǒng)對信息系統(tǒng)安全配置的個性化需求，與業(yè)務(wù)系統(tǒng)相關(guān)，反映了信息系統(tǒng)對運(yùn)行狀態(tài)的安全要求。

2.3 安全基線的作用

安全基線是信息系統(tǒng)的最低安全配置，其作用有三個方面：①避免安全木桶的短板：一個系統(tǒng)的安全程度不在于其最安全的配置，而在于其是否存在安全的短板，統(tǒng)一開發(fā)安全基線并部署，有助于減少安全短板；②規(guī)范用戶安全行為：在多用戶的共同使用的信息系統(tǒng)中，設(shè)置安全基線，有助于規(guī)范多用戶的安全配置，保障信息系統(tǒng)的最低安全；③便于安全核查：利用安全基線，有助于組織對信息系統(tǒng)的安全性進(jìn)行安全檢查。

3 基于數(shù)字化校園的安全基線技術(shù)應(yīng)用

針對數(shù)字化校園的信息安全，借鑒方濱興院士提出的信息安全四個層次理論：物理安全層、網(wǎng)絡(luò)安全層、數(shù)據(jù)安全層和內(nèi)容安全層[3]，將數(shù)字化校園的信息安全劃分為四層以對安全基線技術(shù)的應(yīng)用進(jìn)行探析。

3.1 物理安全層的安全基線應(yīng)用

3.1.1 設(shè)備容災(zāi)安全基線

針對可能出現(xiàn)的不可預(yù)測災(zāi)難性事件和后果，可設(shè)置設(shè)備容災(zāi)安全基線，設(shè)置物理設(shè)備支持雙機(jī)熱備份、遠(yuǎn)程備份、多機(jī)冗余等配置項的要求，提高物理設(shè)備備份及容災(zāi)能力。

3.1.2 設(shè)備防護(hù)安全基線

可對數(shù)字化校園機(jī)房的防塵、濕度及溫度的最低要求，不間斷電源的供電時間、信息系統(tǒng)硬件設(shè)備的防雷擊、防輻射等屬性設(shè)置安全基線，保障設(shè)備安全。

3.2 網(wǎng)絡(luò)安全層的安全基線應(yīng)用

3.2.1 安全漏洞安全基線

安全漏洞是數(shù)字化校園最容易出現(xiàn)的安全隱患，主要是由于系統(tǒng)用戶缺乏必要的安全常識，不注意定期更新和升級所造成，注入漏洞、緩沖區(qū)溢出漏洞、敏感數(shù)據(jù)泄露和認(rèn)證漏洞和會話管理攻擊漏洞等是最常見的安全漏洞。公共漏洞和暴露CVE（Common Vulnerabilities & Exposures），為每一個公共的安全漏洞做了相關(guān)定義，并提供了修補(bǔ)方案。安全漏洞的安全基線可依據(jù)CVE進(jìn)行標(biāo)準(zhǔn)化設(shè)置。

3.2.2 網(wǎng)絡(luò)設(shè)備安全基線

數(shù)字化校園的基礎(chǔ)是其覆蓋高校校園的以太網(wǎng)，網(wǎng)絡(luò)設(shè)備是其核心和關(guān)鍵，有研究表明，信息安全的很大原因在于其網(wǎng)絡(luò)設(shè)備的配置不當(dāng)。網(wǎng)絡(luò)設(shè)備的安全基線可針對數(shù)字化校園當(dāng)中的路由器、交換機(jī)、服務(wù)器，以主流品牌如HUAWEI、RUIJIE、CISCO等為樣本，對認(rèn)證技術(shù)、服務(wù)優(yōu)化、訪問控制等做配置項和配置參數(shù)的開發(fā)。

3.2.3 安全設(shè)備安全基線

網(wǎng)絡(luò)安全設(shè)備是數(shù)字化校園網(wǎng)絡(luò)安全的核心保證，目前數(shù)字化校園的網(wǎng)絡(luò)安全設(shè)備以防火墻、入侵檢測防御系統(tǒng)和病毒防護(hù)系統(tǒng)為主。安全設(shè)備安全基線可以基于上述設(shè)備對登陸方式（SSH或者HTTPS）、HTTP監(jiān)聽端口號和防火墻安全選項（SYN Attack、ICMP Flood、UDP Flood）等做配置項和配置參數(shù)開發(fā)。

3.2.4 操作系統(tǒng)安全基線

數(shù)字化校園中的網(wǎng)絡(luò)操作系統(tǒng)以Windows、Linux和Unix為主，可以從操作系統(tǒng)的賬號和口令、日志和審計、訪問權(quán)限控制、安全域設(shè)置、服務(wù)優(yōu)化、補(bǔ)丁管理等幾個方面來開發(fā)其安全基線。

3.2.5 應(yīng)用系統(tǒng)安全基線

應(yīng)用系統(tǒng)安全基線屬于安全基線技術(shù)系統(tǒng)狀態(tài)檢查的內(nèi)容，主要針對數(shù)字化校園中日益龐大的各類教學(xué)、科研、管理和學(xué)生生活等應(yīng)用系統(tǒng)，應(yīng)用安全基線來定義各類應(yīng)用系統(tǒng)統(tǒng)一遵守的基本安全準(zhǔn)則，在應(yīng)用系統(tǒng)部署、系統(tǒng)設(shè)置等方面設(shè)置安全配置項。

3.3 數(shù)據(jù)安全層的安全基線應(yīng)用

3.3.1 數(shù)字簽名安全基線

數(shù)字化校園中引入數(shù)字簽名技術(shù)，能夠確保信息的不可偽造性和不可抵賴性， 提高了數(shù)字化校園的數(shù)據(jù)安全性[4]。數(shù)字簽名安全基線可以通過設(shè)置單人簽名、門限簽名、多級簽名和代理簽名等數(shù)字簽名組合策略的來進(jìn)行開發(fā)。

3.3.2 認(rèn)證技術(shù)安全基線

目前國內(nèi)高校的數(shù)字化校園基本都具有了統(tǒng)一身份認(rèn)證的功能，設(shè)置認(rèn)證技術(shù)安全基線是保證用戶數(shù)據(jù)安全的重點。認(rèn)證技術(shù)的安全基線包括用戶賬號策略、用戶密碼策略和多用戶共享賬號的策略等。

3.3.3 數(shù)據(jù)加密安全基線

數(shù)據(jù)加密安全基線是數(shù)字化校園用戶數(shù)據(jù)安全的另一個重要保障。數(shù)據(jù)加密安全基線可以從操作系統(tǒng)的磁盤加密策略和網(wǎng)絡(luò)信息傳輸?shù)募用軈f(xié)議配置策略等方面來進(jìn)行開發(fā)。

3.3.4 日志記錄安全基線

數(shù)據(jù)安全的另一個保障措施在于其工作日志的記錄，對工作日志進(jìn)行記錄和審計可以在數(shù)據(jù)出現(xiàn)災(zāi)難時提供數(shù)據(jù)恢復(fù)、應(yīng)急響應(yīng)和問題追蹤定位等提供依據(jù)。日志記錄安全基線可以包含日志信息選擇、日志保存時間、日志文件保存位置、日志文件訪問權(quán)限等選項。

3.4 內(nèi)容安全層的安全基線應(yīng)用

3.4.1 信息過濾安全基線

高校數(shù)字化校園，主要的服務(wù)對象為涉世未深、缺乏控制能力和辨別是非的能力的學(xué)生，因此，信息過濾也應(yīng)該是其信息安全的一項重要內(nèi)容。其一要能過濾掉暴力黃色內(nèi)容的信息，二是要根據(jù)管理的要求，對部分游戲、娛樂等內(nèi)容信息進(jìn)行適度的屏蔽。安全基線可在限制可登錄的訪問地址、流量控制等方面設(shè)置必要的參數(shù)。

3.4.2 隱私保護(hù)安全基線

隱私保護(hù)在近年來的網(wǎng)絡(luò)安全管理中越來越受到重視，高校數(shù)字化校園的隱私保護(hù)安全基線的內(nèi)容可以包含系統(tǒng)終端隱私選項的配置（操作系統(tǒng)、瀏覽器等）、服務(wù)器端訪問記錄的保存配置和訪問權(quán)限等。

3.4.3 輿情監(jiān)測安全基線

輿情監(jiān)測是高校數(shù)字化校園管理的一個重要工作，目前國家在網(wǎng)絡(luò)輿情方面的原則是“誰使用，誰負(fù)責(zé)，誰管理，誰負(fù)責(zé)”。設(shè)置輿情監(jiān)測安全基線，是對數(shù)字化校園內(nèi)容安全層的安全底線。

4 結(jié)束語

通過對基于數(shù)字化校園的安全基線技術(shù)進(jìn)行探析，在方濱興院士提出的信息安全四個層次對數(shù)字化校園的安全基線進(jìn)行了系統(tǒng)分析，為教育信息化2.0的實施在信息安全保障提供了一種新的思路和新的技術(shù)。

參考文獻(xiàn)：

[1] 中華人民共和國教育部.教育部關(guān)于印發(fā)教育信息化2.0行動計劃的通知[Z].教技[2018]6號.

[2] 桂永宏.業(yè)務(wù)系統(tǒng)安全基線的研究及應(yīng)用[J].計算機(jī)安全，2011（10）：23-27.

[3] 方濱興，殷麗華.關(guān)于信息安全定義的研究[J].信息網(wǎng)絡(luò)安全，2008（01）：8-10.

[4] 江林升，朱學(xué)芳.基于數(shù)字簽名技術(shù)的數(shù)字化校園數(shù)據(jù)安全策略[J].現(xiàn)代情報，2011，31（01）：59-62

[通聯(lián)編輯：光文玲]