◆楊瑛霞 王 靜

智慧校園網(wǎng)絡(luò)安全體系構(gòu)建研究

◆楊瑛霞 王 靜

（國防大學(xué)政治學(xué)院 上海 201703）

隨著智慧校園建設(shè)的深入推進(jìn)，高校網(wǎng)絡(luò)也面臨著巨大的安全威脅，智慧校園網(wǎng)絡(luò)安全體系構(gòu)建是一項(xiàng)關(guān)乎技術(shù)、管理、人員、法規(guī)制度的系統(tǒng)工程，需立足需求、確定目標(biāo)、加固技術(shù)、完善制度并通過人員落實(shí)形成合力。

智慧校園；網(wǎng)絡(luò)安全；安全體系

0 引言

2018年6月7日，國家標(biāo)準(zhǔn)《智慧校園總體框架》（Smart campus overall framework）發(fā)布[1]。智慧校園將教學(xué)管理系統(tǒng)、學(xué)生成績(jī)系統(tǒng)、科研管理系統(tǒng)、網(wǎng)上辦公系統(tǒng)等集成在一起，為學(xué)生、教師和辦公人員提供了強(qiáng)大的數(shù)據(jù)支撐[2]。智慧校園在為師生提供便捷服務(wù)的同時(shí)，作為一個(gè)高度開放共享、廣泛互聯(lián)的信息空間，也面臨著巨大的安全威脅，因此構(gòu)建一個(gè)嚴(yán)格的、健全的安全體系，進(jìn)一步提高智慧校園的安全防御能力[3]，具有非常重要的現(xiàn)實(shí)意義。

1 智慧校園網(wǎng)絡(luò)安全現(xiàn)狀

（1）安全風(fēng)險(xiǎn)復(fù)雜多樣。高校網(wǎng)絡(luò)具有覆蓋范圍大、用戶基數(shù)大、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、多廠商應(yīng)用疊加、軟硬件綜合集成等特點(diǎn)，來自系統(tǒng)本身、內(nèi)網(wǎng)、外網(wǎng)的潛在安全風(fēng)險(xiǎn)具有不可預(yù)知、不能枚舉等特征。隨著智慧校園建設(shè)的深入推進(jìn)，物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)分析等高新技術(shù)手段的廣泛應(yīng)用，網(wǎng)絡(luò)安全也呈現(xiàn)出技術(shù)更加復(fù)雜，管控難度更大的特點(diǎn)。大數(shù)據(jù)增加智能的同時(shí)，訪問控制成為難點(diǎn)，在數(shù)據(jù)采集、數(shù)據(jù)集成、數(shù)據(jù)融合、數(shù)據(jù)分析與存檔的整個(gè)生命周期中，無限度的信息挖掘、信息濫用、信息侵權(quán)等行為也時(shí)時(shí)發(fā)生[4]。2016年以來，高校的安全風(fēng)險(xiǎn)主要來自系統(tǒng)及軟件漏洞、病毒木馬、外部網(wǎng)絡(luò)的惡意破壞、內(nèi)部網(wǎng)絡(luò)的攻擊、不良信息的傳播、垃圾郵件以及人為因素，因此拒絕服務(wù)攻擊、網(wǎng)頁篡改、病毒入侵等網(wǎng)絡(luò)安全事件時(shí)有發(fā)生。

（2）安全體系有待健全。在智慧校園建設(shè)中重建設(shè)輕管理、重應(yīng)用輕安全的現(xiàn)象普遍存在，網(wǎng)絡(luò)安全缺乏宏觀層面的頂層設(shè)計(jì)。比如有些學(xué)校網(wǎng)絡(luò)安全管理的組織機(jī)構(gòu)不健全，安全管理的責(zé)、權(quán)不明確；有些學(xué)校核心業(yè)務(wù)與互聯(lián)網(wǎng)隔離，如果沒有配套的系統(tǒng)更新和漏洞掃描機(jī)制，容易受到來自內(nèi)部的嗅探和蠕蟲攻擊；許多智慧校園部署了感知層，由于感知層的節(jié)點(diǎn)數(shù)量眾多、部署分散，而且傳感器搭載著智能模塊，節(jié)點(diǎn)脆弱，難于管控。因此，智慧校園系統(tǒng)級(jí)的安全監(jiān)測(cè)、評(píng)估、預(yù)警及防護(hù)還需形成體系。

（3）技術(shù)策略單一滯后。目前智慧校園廣泛采用的安全管理技術(shù)主要有訪問控制技術(shù)、防火墻、殺毒軟件、入侵檢測(cè)技術(shù)等，這些安全策略主要基于網(wǎng)絡(luò)層和連接層防御，但對(duì)于來自應(yīng)用層的攻擊行為無法監(jiān)控、識(shí)別和攔截。網(wǎng)絡(luò)安全設(shè)備部署分散、管理復(fù)雜，難于協(xié)同管理。網(wǎng)絡(luò)管控策略往往滯后于網(wǎng)絡(luò)破壞行為，屬于被動(dòng)防御，對(duì)于分散在網(wǎng)絡(luò)的安全威脅難以及時(shí)發(fā)現(xiàn)。

（4）制度機(jī)制尚需完善。很多高校沒有從管理制度上建立相應(yīng)的安全防范機(jī)制，在智慧校園整個(gè)運(yùn)行過程中，缺乏行之有效的安全檢查和相應(yīng)的保護(hù)制度。堅(jiān)強(qiáng)的網(wǎng)絡(luò)安全組織領(lǐng)導(dǎo)、科學(xué)的網(wǎng)絡(luò)安全管控策略、完善的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制、有效的日常安全檢查督導(dǎo)以及細(xì)致的網(wǎng)絡(luò)安全教育培訓(xùn)，都需要制定相應(yīng)制度機(jī)制來明確權(quán)責(zé)、規(guī)范運(yùn)行和保障長(zhǎng)遠(yuǎn)。

2 智慧校園網(wǎng)絡(luò)安全體系構(gòu)建

2.1 智慧校園網(wǎng)絡(luò)安全體系框架

智慧校園網(wǎng)絡(luò)安全防范體系構(gòu)建是一項(xiàng)關(guān)乎技術(shù)、管理、人員、法規(guī)制度等多個(gè)方面的系統(tǒng)工程。根據(jù)智慧校園網(wǎng)絡(luò)分層特點(diǎn)，貫徹整體防御、分區(qū)隔離、分層把守、技管并重原則，構(gòu)建智慧校園網(wǎng)絡(luò)五層安全體系框架，如圖1所示。

圖1 智慧校園網(wǎng)絡(luò)安全體系框架

此框架模型按照智慧校園五層體系結(jié)構(gòu)，每層對(duì)應(yīng)相應(yīng)的安全策略，其中感知層通過感知網(wǎng)關(guān)、終端加密、物理隔離和接入認(rèn)證等策略增加安全性；數(shù)據(jù)層通過數(shù)據(jù)容災(zāi)備份確保物理安全，通過數(shù)據(jù)清洗、數(shù)據(jù)加密增加內(nèi)容安全；部署安全態(tài)勢(shì)感知設(shè)備，增加對(duì)當(dāng)前安全狀態(tài)的感知以及對(duì)未來威脅的預(yù)測(cè)能力。態(tài)勢(shì)感知設(shè)備采集防火墻、IPS、路由器、交換機(jī)、服務(wù)器等安全數(shù)據(jù)，支持流量探針、安全日志、網(wǎng)絡(luò)日志、基線掃描、漏洞掃描等多維度安全信息采集，這些數(shù)據(jù)包括DDOS監(jiān)控、網(wǎng)站防篡改監(jiān)控、漏洞監(jiān)控、用戶訪問記錄等[5]；采集到的數(shù)據(jù)送到安全分析平臺(tái)，如果存在異常就及時(shí)啟動(dòng)數(shù)據(jù)挖掘技術(shù)，利用數(shù)據(jù)挖掘發(fā)現(xiàn)潛藏的安全威脅，進(jìn)行安全預(yù)警。整個(gè)安全體系通過安全組織領(lǐng)導(dǎo)、安全管理制度和人才隊(duì)伍作為保障，技術(shù)和策略需要各級(jí)安管人員在運(yùn)行過程中落實(shí)，不斷反饋迭代，逐步動(dòng)態(tài)完善。

2.2 智慧校園網(wǎng)絡(luò)安全體系構(gòu)建對(duì)策

（1）完善網(wǎng)絡(luò)安全組織領(lǐng)導(dǎo)。網(wǎng)絡(luò)安全涉及全校方方面面，宏觀決策、組織實(shí)施、技術(shù)支撐等方面需要環(huán)環(huán)相扣，只有完善網(wǎng)絡(luò)安全組織領(lǐng)導(dǎo)體系，才能確保網(wǎng)絡(luò)安全工作方向明確、協(xié)調(diào)有力、技術(shù)可靠、責(zé)任清晰。

（2）立足需求，科學(xué)劃分安全區(qū)域。通過對(duì)智慧校園網(wǎng)絡(luò)特點(diǎn)及所面臨的安全風(fēng)險(xiǎn)分析，科學(xué)劃分管理安全域，制定一體化網(wǎng)絡(luò)安全解決方案。智慧校園網(wǎng)絡(luò)安全拓?fù)淙鐖D2所示。

圖2 智慧校園網(wǎng)絡(luò)安全拓?fù)浣Y(jié)構(gòu)圖

智慧校園安全域一般劃分為四個(gè)區(qū)域包括互聯(lián)網(wǎng)邊界接入域、核心數(shù)據(jù)計(jì)算域、終端接入域以及安全管理運(yùn)維域。

（3）加固安全設(shè)備，筑牢主動(dòng)防御技術(shù)屏障。在邊界安全域部署入侵防御系統(tǒng)（IPS）和防火墻，對(duì)進(jìn)入校園網(wǎng)的所有數(shù)據(jù)流動(dòng)進(jìn)行實(shí)時(shí)檢測(cè)分析[6]。在安全管理域部署管理交換機(jī)和防火墻，將入侵檢測(cè)、漏洞掃描、主機(jī)綜合防護(hù)、堡壘機(jī)和數(shù)據(jù)庫審計(jì)等安全管理設(shè)備通過管理交換機(jī)、防火墻接入核心交換機(jī)，限制區(qū)外用戶對(duì)安全管理設(shè)備的訪問；把終端監(jiān)控與審計(jì)、綜合日志審計(jì)、終端安全管控等設(shè)備集中通過業(yè)務(wù)交換機(jī)、防火墻接入核心交換，實(shí)現(xiàn)管理與業(yè)務(wù)的操作隔離；通過部署安全管理日志收集與分析系統(tǒng)，接受所有安全設(shè)備上報(bào)的審計(jì)數(shù)據(jù)，識(shí)別攻擊行為和違規(guī)操作，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問行為的審計(jì)記錄；在核心數(shù)據(jù)計(jì)算域，通過數(shù)據(jù)管理交換機(jī)、防火墻接入核心交換機(jī)，實(shí)現(xiàn)數(shù)據(jù)層安全隔離；制定數(shù)據(jù)安全建設(shè)方案，實(shí)現(xiàn)數(shù)據(jù)異地災(zāi)備安全備份、數(shù)據(jù)庫訪問控制、數(shù)據(jù)脫密處理等，從而在數(shù)據(jù)層面保障信息安全；利用防火墻的包過濾和隔離功能，設(shè)置DMZ區(qū)域來保障郵件和DNS等服務(wù)器的安全[7]；在終端接入域通過終端安全管控系統(tǒng)，實(shí)現(xiàn)用戶注冊(cè)管理和身份鑒別，有效防范非授權(quán)用戶登錄。除此之外，建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警。在安全防護(hù)的基礎(chǔ)上，建立對(duì)于漏洞、木馬、篡改等多層次的監(jiān)測(cè)，實(shí)現(xiàn)更為主動(dòng)、有計(jì)劃的抵御，研究并充分利用網(wǎng)絡(luò)數(shù)據(jù)及安全設(shè)備產(chǎn)生的日志數(shù)據(jù)與態(tài)勢(shì)分析、攻擊分析、安全告警及追蹤溯源，實(shí)現(xiàn)對(duì)整體系統(tǒng)的安全態(tài)勢(shì)感知及預(yù)警監(jiān)控[8]。

（4）完善制度機(jī)制，加強(qiáng)人員培訓(xùn)，保證網(wǎng)絡(luò)安全體系健康持續(xù)動(dòng)態(tài)進(jìn)化。

制度的缺失是網(wǎng)絡(luò)安全最大的漏洞，因此學(xué)校要建立從設(shè)備機(jī)房、運(yùn)行維護(hù)，到信息發(fā)布、技術(shù)策略等全方位的管理制度，強(qiáng)化安管人員的安全意識(shí)和法律意識(shí)。完善風(fēng)險(xiǎn)評(píng)估機(jī)制、等級(jí)保護(hù)定義機(jī)制、信息系統(tǒng)加固修復(fù)機(jī)制、信息安全制度自查與優(yōu)化機(jī)制、信息安全防御機(jī)制等，實(shí)現(xiàn)智慧校園網(wǎng)絡(luò)的安全操作與防護(hù)[9]。

3 結(jié)束語

智慧校園網(wǎng)絡(luò)安全體系構(gòu)建是智慧校園建設(shè)成功的基石，是一項(xiàng)關(guān)乎技術(shù)、管理、人員、法規(guī)制度的系統(tǒng)工程，需立足需求、確定目標(biāo)、加固技術(shù)、完善制度并通過人員落實(shí)形成合力。

[1]智慧校園總體框架. 國家標(biāo)準(zhǔn)化管理委員會(huì).

[2]張瑜，韓文舉.智慧校園網(wǎng)的云計(jì)算安全體系架構(gòu)的探索[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014.

[3]馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護(hù)[J].計(jì)算機(jī)學(xué)報(bào)，2014.

[4]孫志新，李寧.論高校校園網(wǎng)絡(luò)安全的現(xiàn)狀與管理對(duì)策[J].中國教育技術(shù)裝備，2011.

[5]陳鍇.智慧校園環(huán)境中網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)的構(gòu)建[J].電子技術(shù)與軟件工程，2018.

[6]羅國富，王乙明.校園網(wǎng)絡(luò)安全防范體系研究與應(yīng)用[J].現(xiàn)代教育技術(shù)，2012.

[7]陳博，謝文佳.智慧校園環(huán)境下網(wǎng)絡(luò)信息安全威脅的研究[J].中國新通信，2018.

[8]高靜.高校網(wǎng)絡(luò)安全體系框架研究[J].信息與電腦，2018.

[9]蔣東興，付小龍，袁芳，吳海燕，劉啟新.大數(shù)據(jù)背景下的高校智慧校園建設(shè)探討[J].華東師范大學(xué)學(xué)報(bào)，2015.