□杜駿震 常松麗

(山西廣播電視大學(xué),山西 太原 030027)

隨著校園網(wǎng)創(chuàng)新業(yè)務(wù)的深入應(yīng)用，校園網(wǎng)面臨的信息安全問題日益嚴(yán)重。如何有效地保障校園網(wǎng)的安全是用戶極為關(guān)注的要點(diǎn)。高校校園網(wǎng)絡(luò)安全保障應(yīng)貫徹以安全管理為中心、對通信網(wǎng)絡(luò)、區(qū)域邊界和計算環(huán)境進(jìn)行深度防護(hù)的理念，從技術(shù)應(yīng)用層面上構(gòu)建一個集檢測預(yù)警、主動防御、整體防控為一體的多重網(wǎng)絡(luò)環(huán)境下的校園網(wǎng)絡(luò)安全防御體系。

一、通信網(wǎng)絡(luò)安全保護(hù)的內(nèi)涵解析

通信網(wǎng)絡(luò)的安全是指在通信雙方通信前要進(jìn)行單向或雙向的身份驗(yàn)證，在信息交互過程中要保障傳輸數(shù)據(jù)的完整性和機(jī)密性，防止傳輸數(shù)據(jù)被劫持、篡改和泄露。要為校園業(yè)務(wù)提供充足的網(wǎng)絡(luò)帶寬與可用性，在網(wǎng)絡(luò)區(qū)域劃分基礎(chǔ)上實(shí)施安全管控。要對通信設(shè)備的引導(dǎo)程序、系統(tǒng)程序與應(yīng)用程序等進(jìn)行可信驗(yàn)證。

(一)網(wǎng)絡(luò)架構(gòu)的優(yōu)化設(shè)計

校園網(wǎng)絡(luò)架構(gòu)的設(shè)計或升級要滿足創(chuàng)新業(yè)務(wù)的需求，緊密跟蹤網(wǎng)絡(luò)架構(gòu)技術(shù)的發(fā)展趨勢。目前，采用扁平化大二層網(wǎng)絡(luò)架構(gòu)，并利用軟件定義網(wǎng)絡(luò)(SDN)和網(wǎng)絡(luò)功能虛擬化(NFV)等新技術(shù)來自定義與優(yōu)化網(wǎng)絡(luò)基礎(chǔ)設(shè)施架構(gòu)及網(wǎng)絡(luò)功能是支撐校園網(wǎng)多網(wǎng)融合、業(yè)務(wù)融合、云計算環(huán)境、高速數(shù)據(jù)傳輸以及提供動態(tài)差異化服務(wù)的一種良好選擇。

網(wǎng)絡(luò)設(shè)備性能、網(wǎng)絡(luò)帶寬與可用性保障。選擇具有較高性能技術(shù)指標(biāo)的設(shè)備可充分保障業(yè)務(wù)高峰期的流量處理能力，大大降低設(shè)備CPU及內(nèi)存使用率的峰值。網(wǎng)絡(luò)監(jiān)控平臺始終不產(chǎn)生任何網(wǎng)絡(luò)設(shè)備宕機(jī)的告警日志。精心梳理與分析業(yè)務(wù)網(wǎng)絡(luò)流量及途徑的網(wǎng)絡(luò)路徑，利用流控設(shè)備對校園網(wǎng)各業(yè)務(wù)流量帶寬進(jìn)行調(diào)控，配置網(wǎng)絡(luò)設(shè)備服務(wù)質(zhì)量QoS，保障業(yè)務(wù)流量途徑的網(wǎng)絡(luò)有充足的帶寬，網(wǎng)絡(luò)設(shè)備端口帶寬遠(yuǎn)高于業(yè)務(wù)高峰時的鏈路流量帶寬。從設(shè)備級、鏈路級、協(xié)議級對網(wǎng)絡(luò)高可用性進(jìn)行冗余設(shè)計。關(guān)鍵網(wǎng)絡(luò)及安全設(shè)備采用冗余結(jié)構(gòu)。對設(shè)備物理端口進(jìn)行鏈路聚合，進(jìn)行多鏈路的備份和流量負(fù)載分擔(dān)。通過網(wǎng)絡(luò)設(shè)備虛擬化技術(shù)的實(shí)時協(xié)議熱備份，實(shí)現(xiàn)協(xié)議級別的可用性。

網(wǎng)絡(luò)區(qū)域劃分與安全管控。在網(wǎng)絡(luò)架構(gòu)安全層面上，按照等級保護(hù)對象的重要程度和應(yīng)用系統(tǒng)的安全級別等，將校園網(wǎng)絡(luò)劃分成不同的網(wǎng)絡(luò)區(qū)域，為各網(wǎng)絡(luò)區(qū)域分配不同的網(wǎng)絡(luò)地址，各網(wǎng)絡(luò)區(qū)域之間利用VLAN、VxLAN和防火墻進(jìn)行邏輯隔離，實(shí)施訪問控制、邊界防護(hù)、入侵防范、惡意代碼防護(hù)以及安全審計等防御。通過綜合網(wǎng)絡(luò)監(jiān)控系統(tǒng)實(shí)時監(jiān)測網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)鏈路與安全設(shè)備的運(yùn)行狀況，通過安全態(tài)勢感知平臺監(jiān)控資產(chǎn)運(yùn)行狀態(tài)，發(fā)現(xiàn)資產(chǎn)配置脆弱性及存在的漏洞，關(guān)聯(lián)安全設(shè)備的各種告警事件，實(shí)時監(jiān)測全網(wǎng)流量，發(fā)現(xiàn)各種安全威脅行為，全面分析校園網(wǎng)絡(luò)的安全態(tài)勢。

(二)通信傳輸?shù)陌踩Ｕ?/h3>

網(wǎng)絡(luò)通信過程中，必須保障傳輸過程中數(shù)據(jù)的完整性與保密性，以獲得安全的數(shù)據(jù)傳輸。其中，網(wǎng)絡(luò)通信中的數(shù)據(jù)完整性可通過安全傳輸協(xié)議中采用的哈希算法來實(shí)現(xiàn)，如MD5、SHA256、SHA512和SM3。網(wǎng)絡(luò)通信中的數(shù)據(jù)保密性可通過安全傳輸協(xié)議中采用的加密算法來實(shí)現(xiàn)，如SM1、SM2、SM4、DES、3DES、RSA、AES、ECC等。根據(jù)不同應(yīng)用場合，采用相應(yīng)的安全通信協(xié)議來確保數(shù)據(jù)的傳輸安全。

SSL/TLS 安全協(xié)議具有身份驗(yàn)證、信息加密和完整性校驗(yàn)的功能。通過SSL/TLS協(xié)議，客戶端從服務(wù)器端獲取攜帶公鑰的數(shù)字簽名證書，使用CA公鑰對證書的數(shù)字簽名驗(yàn)證，可鑒別服務(wù)器的真實(shí)身份。在服務(wù)器端設(shè)置對客戶端鑒別，可實(shí)現(xiàn)服務(wù)器對客戶端身份的驗(yàn)證。SSL/TLS協(xié)議介于傳輸層TCP協(xié)議與應(yīng)用層協(xié)議之間，因此，SSL/TLS可為基于TCP協(xié)議的應(yīng)用層協(xié)議所傳輸?shù)臄?shù)據(jù)進(jìn)行加密，保證端到端應(yīng)用程序通信數(shù)據(jù)的完整性和保密性。

Web訪問是校園網(wǎng)最廣泛的應(yīng)用，為保障瀏覽器與服務(wù)器之間的信息交換安全，Web網(wǎng)站應(yīng)實(shí)施全站HTTPS化。安全超文本傳輸協(xié)議HTTPS利用SSL/TLS協(xié)議提供的身份驗(yàn)證、消息完整性和數(shù)據(jù)加密等安全機(jī)制，為Web通信提供端到端的數(shù)據(jù)傳輸安全保證。在WEB服務(wù)器上安裝并配置由可信任CA頒發(fā)的具有強(qiáng)簽名算法的SSL證書，瀏覽器利用集成的SSL安全技術(shù)來驗(yàn)證Web網(wǎng)站身份，防止釣魚網(wǎng)站。HTTPS協(xié)議通過對傳輸信息的加密，防止傳輸數(shù)據(jù)被劫持、篡改和泄露，從而確保了數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄浴?/p>

校外用戶遠(yuǎn)程訪問校園內(nèi)網(wǎng)資源是校園網(wǎng)的一大需求，在這種應(yīng)用場合下，可采用SSL VPN技術(shù)來實(shí)現(xiàn)。SSL VPN是一種基于SSL技術(shù)的VPN，可以為校外用戶使用瀏覽器訪問校園內(nèi)網(wǎng)資源提供信息傳輸?shù)陌踩Ｕ稀ＰＭ庥脩敉ㄟ^SSL VPN在遠(yuǎn)程用戶與校園網(wǎng)SSL VPN網(wǎng)關(guān)之間建立的一條SSL通信安全連接訪問校園內(nèi)網(wǎng)的WEB資源。VPN用戶接入后，SSL VPN網(wǎng)關(guān)及統(tǒng)一身份認(rèn)證平臺對遠(yuǎn)程接入用戶進(jìn)行身份驗(yàn)證，認(rèn)證通過后，用戶按照系統(tǒng)設(shè)定的角色與權(quán)限訪問校園內(nèi)網(wǎng)資源。

(三)可信驗(yàn)證系統(tǒng)

校園網(wǎng)中各種網(wǎng)絡(luò)設(shè)備與安全設(shè)備是構(gòu)成通信網(wǎng)絡(luò)的重要基石，這些設(shè)備自身的安全關(guān)系到通信網(wǎng)絡(luò)的安全，而確保設(shè)備自身安全的有效方法是采用可信鏈架構(gòu)技術(shù)。因此，在設(shè)備選型時，應(yīng)選擇內(nèi)置有可信根RoT及可信軟件基TSB技術(shù)的設(shè)備?？尚鸥谠O(shè)備硬件內(nèi)部存儲著證書、安全算法、秘鑰、配置信息等重要文件，可信根通過安全芯片來保障設(shè)備系統(tǒng)與應(yīng)用的完整性，使系統(tǒng)及軟件始終在預(yù)期的可信狀態(tài)下啟動與運(yùn)行，實(shí)現(xiàn)設(shè)備固件引導(dǎo)程序、操作系統(tǒng)內(nèi)核、操作系統(tǒng)引導(dǎo)程序、配置參數(shù)和應(yīng)用程序啟動時的靜態(tài)度量及運(yùn)行時的動態(tài)度量，為設(shè)備構(gòu)建一條由內(nèi)層到外層的逐級信任鏈傳遞。目前，可利用國產(chǎn)TPCM可信安全芯片來構(gòu)建可信根?？尚跑浖c設(shè)備操作系統(tǒng)內(nèi)核深度融合，在可信根實(shí)體與硬件基礎(chǔ)上運(yùn)行，起承上啟下的作用。它利用可信根實(shí)體的安全特性保證自身安全，同時，又在可信根實(shí)體的支撐下對應(yīng)用程序運(yùn)行過程中的行為進(jìn)行動態(tài)度量，根據(jù)判定機(jī)制的判定結(jié)果，進(jìn)行相應(yīng)的控制。當(dāng)檢測到信任鏈遭到破壞時發(fā)出報警，并將可信驗(yàn)證結(jié)果記錄發(fā)送至可信管理平臺。可信管理平臺負(fù)責(zé)完成可信節(jié)點(diǎn)的安全策略統(tǒng)一管理與分發(fā)。

二、區(qū)域邊界安全防護(hù)的設(shè)計

區(qū)域劃分遵循的原則是將校園網(wǎng)絡(luò)中具有同等安全防御需求、同等訪問控制策略及同等邊界控制策略的子網(wǎng)分配到一個安全區(qū)域。校園網(wǎng)通?？蓜澐譃榛ヂ?lián)網(wǎng)接入?yún)^(qū)、分校專線接入?yún)^(qū)、對外信息發(fā)布區(qū)、骨干交換區(qū)、業(yè)務(wù)區(qū)、終端用戶區(qū)、無線網(wǎng)絡(luò)區(qū)、物聯(lián)網(wǎng)區(qū)以及安全管理區(qū)。各區(qū)域內(nèi)部可繼續(xù)劃分出多個子區(qū)域。

(一)區(qū)域邊界總防護(hù)策略

各區(qū)域邊界的保護(hù)可采取訪問控制、邊界防護(hù)、入侵防范、惡意代碼防護(hù)、垃圾郵件防御、安全審計以及可信驗(yàn)證等措施。

邊界隔離、訪問控制與邊界防護(hù)。傳統(tǒng)物理交換網(wǎng)絡(luò)利用VLAN、PVLAN等技術(shù)進(jìn)行隔離，云計算虛擬網(wǎng)絡(luò)利用VxLAN等技術(shù)進(jìn)行隔離。各區(qū)域采用最小權(quán)限雙向訪問控制策略，設(shè)置基于業(yè)務(wù)、應(yīng)用與用戶的細(xì)粒度訪問控制策略，動態(tài)檢測區(qū)域之間的通信數(shù)據(jù)包，根據(jù)會話狀態(tài)信息允許或拒絕數(shù)據(jù)包通行。利用下一代防火墻的虛擬化功能對各區(qū)域邊界進(jìn)行保護(hù)。防火墻每個接口連接一個區(qū)域，各接口設(shè)置不同的安全級別，各區(qū)域之間的雙向數(shù)據(jù)通信均通過防火墻的過濾與動態(tài)檢測。采用安全組、安全資源池實(shí)現(xiàn)云數(shù)據(jù)中心業(yè)務(wù)區(qū)東西向虛擬網(wǎng)絡(luò)之間的訪問控制。通過終端準(zhǔn)入系統(tǒng)限制非授權(quán)設(shè)備聯(lián)到校園網(wǎng)。堡壘機(jī)完成運(yùn)維人員的統(tǒng)一登錄認(rèn)證與管理。統(tǒng)一身份認(rèn)證平臺及上網(wǎng)行為管理系統(tǒng)實(shí)現(xiàn)用戶的網(wǎng)絡(luò)訪問控制。

入侵防范、惡意代碼防護(hù)及垃圾郵件防御。在各區(qū)域邊界部署下一代入侵防御系統(tǒng)NGIPS，檢測并防御從區(qū)域內(nèi)外發(fā)起的各種網(wǎng)絡(luò)攻擊。對于云數(shù)據(jù)中心的業(yè)務(wù)區(qū)，利用NGIPS實(shí)現(xiàn)云邊界南北向的入侵防御，利用虛擬IPS防御來自虛擬網(wǎng)絡(luò)之外的東西向網(wǎng)絡(luò)攻擊行為。郵件服務(wù)器前部署反垃圾郵件網(wǎng)關(guān)，實(shí)現(xiàn)對濫發(fā)、匿名、非法、偽造等行為的垃圾郵件的防范及對病毒、欺詐、釣魚等郵件的防御。

邊界安全審計與可信驗(yàn)證。綜合日志審計平臺采集校園網(wǎng)各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器及終端的日志，分析與審計各區(qū)域邊界的異常情況、用戶行為和安全事件，形成審計記錄并定期備份。邊界網(wǎng)絡(luò)設(shè)備及安全設(shè)備應(yīng)選擇內(nèi)置有可信根RoT及可信軟件基TSB的設(shè)備。

(二)各區(qū)域的邊界防控

互聯(lián)網(wǎng)接入?yún)^(qū)?；ヂ?lián)網(wǎng)接入?yún)^(qū)是校園網(wǎng)與各通信運(yùn)營商通信的邊界，互聯(lián)網(wǎng)接入?yún)^(qū)面臨的主要安全威脅有來自互聯(lián)網(wǎng)的黑客入侵、拒絕服務(wù)攻擊、惡意代碼、惡意文件、APT高級持續(xù)攻擊、漏洞利用、暴力破解攻擊、非授權(quán)接入和未知威脅的攻擊，以及來自校園網(wǎng)內(nèi)部發(fā)起的各種網(wǎng)絡(luò)攻擊行為等。對互聯(lián)網(wǎng)接入?yún)^(qū)的保護(hù)可通過邊界路由器的安全功能及下一代防火墻NGFW、新一代入侵防御系統(tǒng)NGIPS、抗DDOS系統(tǒng)和上網(wǎng)行為管控系統(tǒng)等措施來實(shí)現(xiàn)。邊界路由器是互聯(lián)網(wǎng)接入?yún)^(qū)對外的第一道安全防護(hù)，在利用內(nèi)置的可信根RoT及可信軟件基TSB技術(shù)保障自身安全體系的基礎(chǔ)上，邊界路由器要做好安全加固配置及網(wǎng)絡(luò)安全防護(hù)。在下一代防火墻上實(shí)施安全域隔離、網(wǎng)絡(luò)地址轉(zhuǎn)換、流量控制、ISP負(fù)載均衡和VPN。設(shè)置基于業(yè)務(wù)、應(yīng)用、用戶的細(xì)粒度訪問控制策略，動態(tài)檢測邊界數(shù)據(jù)包各層協(xié)議，實(shí)現(xiàn)對應(yīng)用協(xié)議和內(nèi)容的識別與分析。將防火墻與網(wǎng)絡(luò)監(jiān)控系統(tǒng)、日志服務(wù)器、認(rèn)證服務(wù)器、上網(wǎng)行為控制系統(tǒng)、郵件網(wǎng)關(guān)等系統(tǒng)聯(lián)動實(shí)現(xiàn)互聯(lián)網(wǎng)出口的全方位安全防御。新一代入侵防御系統(tǒng)智能分析網(wǎng)絡(luò)各層流量，深度檢測及全面阻斷諸如惡意代碼、惡意文件、間諜軟件、地址欺騙攻擊、掃描攻擊、異常流量攻擊、勒索攻擊、惡意挖礦攻擊、APT攻擊及未知威脅的雙向攻擊行為。為抵御大規(guī)模大流量的DDoS攻擊，可選用安全服務(wù)商提供的DDoS防御云服務(wù)。上網(wǎng)行為管控系統(tǒng)實(shí)現(xiàn)校園網(wǎng)用戶實(shí)名訪問互聯(lián)網(wǎng)及校內(nèi)應(yīng)用的上網(wǎng)行為審計與管控、在線聊天管控、上網(wǎng)泄密管控以及上網(wǎng)流量管控等。

分校互聯(lián)區(qū)。在總校與各分校連接的每條鏈路兩側(cè)分別部署一路下一代防火墻與新一代入侵防御系統(tǒng)NGIPS進(jìn)行獨(dú)立防護(hù)，在防火墻上啟用相應(yīng)的雙向訪問控制策略，入侵防御系統(tǒng)NGIPS對鏈路上網(wǎng)絡(luò)各層流量進(jìn)行深度檢測，實(shí)時阻斷各種攻擊行為。

核心骨干區(qū)。在大二層網(wǎng)絡(luò)架構(gòu)下，核心骨干區(qū)承擔(dān)著路由、高速數(shù)據(jù)轉(zhuǎn)發(fā)、認(rèn)證、安全控制等重任。針對安全控制，利用下一代防火墻并啟用虛擬防火墻功能對劃分的各安全區(qū)域進(jìn)行邏輯邊界防護(hù)與安全訪問控制，不同區(qū)域?qū)嵤└髯韵鄳?yīng)的安全策略。通過入侵檢測系統(tǒng)實(shí)現(xiàn)對區(qū)域之間內(nèi)部攻擊行為及異常流量的檢測。

對外發(fā)布區(qū)。將校園對外應(yīng)用發(fā)布集中部署于非軍事區(qū)域，利用虛擬防火墻、抗DDOS系統(tǒng)、WEB應(yīng)用防火墻、Web防篡改以及Web攻擊監(jiān)控等措施，對非軍事區(qū)域的對外WEB服務(wù)器進(jìn)行安全監(jiān)測與防護(hù)。該區(qū)域內(nèi)Web服務(wù)器之間禁止直接通信，只能通過特定端口與應(yīng)用服務(wù)器分別通信。

業(yè)務(wù)區(qū)。該區(qū)域是校園網(wǎng)的計算環(huán)境，承擔(dān)校園網(wǎng)大量內(nèi)部業(yè)務(wù)的運(yùn)行。對本區(qū)域的邊界防護(hù)可從訪問控制、入侵檢測及安全審計三方面保障。在訪問控制方面，采用下一代防火墻，WEB應(yīng)用防火墻、Web防篡改來實(shí)現(xiàn)南北向訪問控制及抵御外部對服務(wù)器的安全威脅，采用VPC、安全組、安全資源池實(shí)現(xiàn)東西向虛擬網(wǎng)絡(luò)之間的隔離及訪問控制。在入侵檢測方面，采用新一代入侵防御系統(tǒng)進(jìn)行南北向的入侵防御，采用虛擬IPS防御來自虛擬網(wǎng)絡(luò)之外的東西向網(wǎng)絡(luò)攻擊行為。在安全審計方面，通過堡壘機(jī)登錄業(yè)務(wù)區(qū)服務(wù)器進(jìn)行遠(yuǎn)程管理操作的細(xì)粒度管控，實(shí)現(xiàn)運(yùn)維過程的全程監(jiān)控與審計。

無線網(wǎng)絡(luò)區(qū)。對無線網(wǎng)絡(luò)區(qū)的邊界防護(hù)可通過部署無線控制器AC、新一代無線入侵防御系統(tǒng)WIPS等措施來實(shí)現(xiàn)。通過無線控制器AC實(shí)現(xiàn)對AP配置參數(shù)與策略的統(tǒng)一下發(fā)、AP的無感知漫游管理、非法AP檢測、無線接入安全控制以及無線協(xié)議攻擊防御等。通過新一代無線入侵防御系統(tǒng)實(shí)現(xiàn)無線網(wǎng)絡(luò)環(huán)境下無線非法接入、非法外聯(lián)及網(wǎng)絡(luò)攻擊行為的發(fā)現(xiàn)、阻斷與定位。

物聯(lián)網(wǎng)區(qū)。物聯(lián)網(wǎng)區(qū)承載著以物聯(lián)網(wǎng)技術(shù)為基礎(chǔ)的各種智慧校園應(yīng)用系統(tǒng)。從物聯(lián)網(wǎng)的構(gòu)成角度來分析，物聯(lián)網(wǎng)自身的安全應(yīng)該從感知層、網(wǎng)絡(luò)層和應(yīng)用層進(jìn)行多層次的保護(hù)。物聯(lián)網(wǎng)與校園網(wǎng)的邊界體現(xiàn)在網(wǎng)絡(luò)層，可通過物聯(lián)網(wǎng)智能網(wǎng)關(guān)實(shí)現(xiàn)對感知節(jié)點(diǎn)與感知網(wǎng)關(guān)的細(xì)粒度訪問控制，將不同物聯(lián)系統(tǒng)分隔到不同的虛擬子網(wǎng)，實(shí)施差異化安全策略，對傳輸數(shù)據(jù)進(jìn)行動態(tài)檢測，對感知節(jié)點(diǎn)、感知網(wǎng)關(guān)進(jìn)行身份認(rèn)證、網(wǎng)絡(luò)準(zhǔn)入控制，對物聯(lián)網(wǎng)異常流量及行為進(jìn)行檢測與過濾，實(shí)現(xiàn)感知層的入侵防御。

終端用戶區(qū)。用戶終端包括校內(nèi)有線終端、無線終端以及校外遠(yuǎn)程接入終端。對本區(qū)域邊界的保護(hù)涉及邊界防護(hù)、訪問控制、入侵防范、惡意代碼防護(hù)、安全審計等。通過終端準(zhǔn)入控制系統(tǒng)、SSL VPN網(wǎng)關(guān)、無線控制器AC以及下一代防火墻實(shí)現(xiàn)邊界的防護(hù)與訪問控制。通過新一代入侵防御系統(tǒng)NGIPS實(shí)現(xiàn)對來自終端的入侵攻擊行為的防范及惡意代碼攻擊防護(hù)。通過上網(wǎng)行為管控系統(tǒng)及綜合日志審計系統(tǒng)實(shí)現(xiàn)終端用戶的上網(wǎng)行為和安全事件的審計。通過交換機(jī)VLAN、PVLAN、VLAN Pool等技術(shù)將不同群體終端劃分到不同子網(wǎng)進(jìn)行邏輯隔離。

安全管理區(qū)。校園網(wǎng)安全管理區(qū)域完成系統(tǒng)管理、審計管理、安全管理和集中管控任務(wù)。對本區(qū)域邊界的保護(hù)涉及邊界防護(hù)、訪問控制、入侵防范、惡意代碼防護(hù)、安全審計等。通過下一代防火墻實(shí)現(xiàn)邊界的防護(hù)與訪問控制。通過新一代入侵防御系統(tǒng)實(shí)現(xiàn)各種入侵攻擊行為的防范及惡意代碼攻擊防護(hù)。通過綜合日志審計系統(tǒng)實(shí)現(xiàn)安全事件的審計。

三、計算環(huán)境安全防護(hù)的設(shè)計

計算環(huán)境承載著校園網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的運(yùn)行，存儲和處理著業(yè)務(wù)應(yīng)用的重要數(shù)據(jù)。計算環(huán)境的安全應(yīng)從主機(jī)安全、數(shù)據(jù)安全、應(yīng)用安全與終端安全幾個方面來保障。

(一)主機(jī)安全

校園網(wǎng)服務(wù)器主機(jī)面臨的安全風(fēng)險包括黑客入侵、拒絕服務(wù)攻擊、惡意代碼、APT高級持續(xù)攻擊、漏洞利用、密碼暴力破解、惡意文件、數(shù)據(jù)篡改、非授權(quán)接入、內(nèi)部人員越權(quán)和濫用、操作失誤及來自校園網(wǎng)內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為等。為確保服務(wù)器主機(jī)的安全，應(yīng)在多個層面進(jìn)行安全防御。采用內(nèi)置有可信根RoT及可信軟件基TSB技術(shù)的服務(wù)器，保障服務(wù)器的引導(dǎo)程序、操作系統(tǒng)內(nèi)核與引導(dǎo)程序、配置參數(shù)和應(yīng)用程序始終處于可信任的環(huán)境中。設(shè)置BIOS高強(qiáng)度密碼，設(shè)置BIOS禁用U盤，防止惡意代碼從移動介質(zhì)傳入服務(wù)器，及時更新BIOS版本，避免BIOS安全漏洞。按照信息安全技術(shù)標(biāo)準(zhǔn)中的主機(jī)安全加固系統(tǒng)安全技術(shù)要求規(guī)范，在主機(jī)的登錄身份鑒別、訪問控制、剩余信息保護(hù)、入侵防范、惡意代碼防范、系統(tǒng)資源控制、備份與恢復(fù)及安全審計策略方面對操作系統(tǒng)進(jìn)行檢查與安全加固，以增強(qiáng)本地主機(jī)操作系統(tǒng)的安全。在此基礎(chǔ)上還可以部署專業(yè)的主機(jī)安全防護(hù)系統(tǒng)，進(jìn)行深度的安全防護(hù)。

(二)數(shù)據(jù)安全

校園網(wǎng)數(shù)據(jù)面臨的主要風(fēng)險是數(shù)據(jù)被泄露、篡改及破壞。針對數(shù)據(jù)安全，應(yīng)該對數(shù)據(jù)進(jìn)行分類定級，區(qū)分敏感與普通數(shù)據(jù)，梳理數(shù)據(jù)的使用狀態(tài)，集中管理分散數(shù)據(jù)，采取各種數(shù)據(jù)保護(hù)策略，對數(shù)據(jù)進(jìn)行全生命周期的管理。數(shù)據(jù)庫是校園網(wǎng)數(shù)據(jù)的主要載體，數(shù)據(jù)庫安全是數(shù)據(jù)安全的核心。因此，應(yīng)通過數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密、數(shù)據(jù)庫脫敏、數(shù)據(jù)庫同步、數(shù)據(jù)庫審計和數(shù)據(jù)庫備份等技術(shù)來保障數(shù)據(jù)安全。

數(shù)據(jù)庫防火墻。將數(shù)據(jù)庫防火墻置于數(shù)據(jù)庫服務(wù)器與應(yīng)用服務(wù)器之間，實(shí)現(xiàn)數(shù)據(jù)庫的安全訪問控制與風(fēng)險防范。安全策略要素包括：利用多因素驗(yàn)證機(jī)制認(rèn)證數(shù)據(jù)庫用戶的身份。設(shè)置數(shù)據(jù)庫管理員最小操作權(quán)限。對重要的數(shù)據(jù)進(jìn)行字段、行及語句級的細(xì)粒度訪問控制。通過對數(shù)據(jù)庫通信協(xié)議解析和SQL語法分析，及時發(fā)現(xiàn)與阻斷SQL注入、跨站腳本攻擊行為。阻止批量刪除與修改等操作。對低級別權(quán)限的用戶，僅提供脫敏數(shù)據(jù)。監(jiān)控數(shù)據(jù)庫運(yùn)行狀態(tài)、性能與安全指標(biāo)。記錄用戶訪問與操作數(shù)據(jù)庫的行為并提供給數(shù)據(jù)庫審計及日志審計系統(tǒng)。

數(shù)據(jù)庫加密、脫敏與銷毀。對數(shù)據(jù)庫中的鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和個人重要信息執(zhí)行按列、按行或按記錄方式的加密。不同權(quán)限數(shù)據(jù)使用不同密鑰進(jìn)行加密，密鑰與數(shù)據(jù)分離存儲，密鑰之間相互隔離，密鑰強(qiáng)度滿足長度與隨機(jī)性要求，密鑰分層加密存儲與管理，采用密鑰安全策略保護(hù)密鑰，避免數(shù)據(jù)庫文件被復(fù)制、數(shù)據(jù)文件丟失造成的數(shù)據(jù)泄密。對應(yīng)用系統(tǒng)之間流轉(zhuǎn)的數(shù)據(jù)進(jìn)行加密傳輸及加密存儲。為滿足測試、開發(fā)、分析、演示等場景中需要使用校園網(wǎng)數(shù)據(jù)，同時又要保護(hù)敏感和隱私數(shù)據(jù)的要求，利用不可逆脫敏算法對數(shù)據(jù)庫中的敏感數(shù)據(jù)進(jìn)行數(shù)據(jù)變形、隨機(jī)替換、數(shù)據(jù)屏蔽、數(shù)據(jù)加密、數(shù)據(jù)漂白等處理。數(shù)據(jù)脫敏過程在主機(jī)內(nèi)存中完成，內(nèi)存釋放或重新分配前清除掉敏感數(shù)據(jù)。存儲與處理過重要數(shù)據(jù)的介質(zhì)與設(shè)備不再使用時，應(yīng)進(jìn)行數(shù)據(jù)粉碎、磁盤消磁或物理銷毀，避免數(shù)據(jù)被盜或泄露。

數(shù)據(jù)庫審計與備份。數(shù)據(jù)庫審計系統(tǒng)完成數(shù)據(jù)庫操作行為的記錄與審計，對數(shù)據(jù)庫狀態(tài)進(jìn)行實(shí)時監(jiān)控，發(fā)現(xiàn)數(shù)據(jù)庫異常操作行為并告警，對數(shù)據(jù)庫訪問行為進(jìn)行多維度的統(tǒng)計分析，通過與業(yè)務(wù)應(yīng)用的關(guān)聯(lián)分析，實(shí)現(xiàn)對數(shù)據(jù)庫訪問者的軌跡追溯。數(shù)據(jù)庫備份可采取增量備份、差異備份、完全備份、和日志備份。重要數(shù)據(jù)庫采取異地備份策略，備份數(shù)據(jù)實(shí)行加密傳輸。數(shù)據(jù)庫恢復(fù)前，先在測試服務(wù)器上還原數(shù)據(jù)庫以檢測備份的可用性。

(三)應(yīng)用安全

應(yīng)用軟件開發(fā)安全。將安全設(shè)計融入軟件開發(fā)生命周期的各個階段，最大限度地減少軟件漏洞與安全缺陷，縮小軟件上線后受到的攻擊面。軟件開發(fā)應(yīng)遵循一些安全開發(fā)策略，如：選擇安全的開發(fā)環(huán)境，對開發(fā)框架和組件做滲透測試。網(wǎng)站架構(gòu)采用站庫分離、前后端分離技術(shù)。對口令長度與復(fù)雜度進(jìn)行校驗(yàn)以提高身份的鑒別強(qiáng)度，進(jìn)行身份多次組合鑒別。鎖定多次登錄鑒別失敗的賬號。實(shí)施基于業(yè)務(wù)所需的最小授權(quán)機(jī)制。前端應(yīng)對頁面輸入數(shù)據(jù)的合法性進(jìn)行校驗(yàn)，使用SQL參數(shù)化代替SQL拼接以減少SQL注入。過濾頁面危險字符減少跨站腳本的攻擊。通過短信驗(yàn)證碼、一次性令牌等方式減少跨站請求偽造。通過上傳文件擴(kuò)展名類型的限定、上傳文件目錄下禁止腳本執(zhí)行、上傳圖片保存前預(yù)處理等方式減少文件上傳漏洞。采用加解密技術(shù)保護(hù)程序中的敏感數(shù)據(jù)。采用哈希算法保障數(shù)據(jù)的完整性。程序中加入序列號、時間戳防止數(shù)據(jù)重放攻擊。開發(fā)詳細(xì)的用戶登錄、訪問、操作、業(yè)務(wù)日志以及日志備份功能。使用RASP技術(shù)獲取程序運(yùn)行的上下文，識別并攔截攻擊行為，進(jìn)行程序的自身保護(hù)。使用多種滲透測試工具對應(yīng)用軟件安全性進(jìn)行入侵性測試，對經(jīng)過安全修護(hù)后的應(yīng)用軟件進(jìn)行回歸測試，驗(yàn)證漏洞修復(fù)結(jié)果。

WEB應(yīng)用防護(hù)、網(wǎng)站身份保護(hù)與網(wǎng)站群管理。在業(yè)務(wù)應(yīng)用服務(wù)器前集群部署WEB應(yīng)用防火墻來識別、清洗和過濾Web應(yīng)用的各種惡意流量，將正常、安全的流量轉(zhuǎn)發(fā)給WEB應(yīng)用服務(wù)器，動態(tài)地防御已知、未知、0Day的應(yīng)用攻擊，保障Web應(yīng)用安全。在WEB應(yīng)用服務(wù)器上安裝與配置CA頒發(fā)的具有強(qiáng)簽名算法的OV SSL證書或EV SSL證書，客戶端瀏覽器利用集成SSL技術(shù)對網(wǎng)站真實(shí)身份認(rèn)證，可防止釣魚網(wǎng)站。瀏覽器與服務(wù)端通過HTTPS協(xié)議建立的端到端加密鏈路進(jìn)行信息交互，可防止數(shù)據(jù)被劫持、篡改及泄露。使用網(wǎng)站群管理系統(tǒng)對校園多級網(wǎng)站進(jìn)行統(tǒng)一建設(shè)與管理，各分站使用獨(dú)立的應(yīng)用服務(wù)器、數(shù)據(jù)庫及頂級域名。網(wǎng)站群使用前后端分離與動靜態(tài)分離技術(shù)。利用安全詞庫對敏感內(nèi)容進(jìn)行過濾，保障網(wǎng)頁內(nèi)容安全。

另外，還要保障終端安全，即利用終端準(zhǔn)入控制系統(tǒng)對各種有線終端、移動終端及啞終端的入網(wǎng)進(jìn)行安全基線合規(guī)性檢測，對聯(lián)網(wǎng)終端行為進(jìn)行監(jiān)測，與NGIPS聯(lián)動識別并防御來自終端的安全威脅。

四、安全管理中心的設(shè)計

安全管理中心對校園網(wǎng)的安全策略、通信網(wǎng)絡(luò)、區(qū)域邊界和計算環(huán)境進(jìn)行集中管控、統(tǒng)一審計、安全管理、綜合分析與協(xié)同防御。

(一)統(tǒng)一身份認(rèn)證

統(tǒng)一身份認(rèn)證平臺對多種網(wǎng)絡(luò)架構(gòu)下的有線無線網(wǎng)用戶進(jìn)行無感知統(tǒng)一認(rèn)證，實(shí)現(xiàn)多種操作系統(tǒng)終端在雙棧協(xié)議下的無感接入，提供多種接入認(rèn)證方式下的認(rèn)證，如：有線Portal認(rèn)證、無線IPoE+Portal認(rèn)證、Portal+MAC無感知認(rèn)證、Portal+雙因素認(rèn)證、VPN接入認(rèn)證和生物特征識別認(rèn)證等。認(rèn)證、授權(quán)與計費(fèi)可通過RADIUS、HWTACACS或LDAP等多種協(xié)議實(shí)現(xiàn)。統(tǒng)一實(shí)名身份認(rèn)證平臺為各應(yīng)用系統(tǒng)提供身份的互認(rèn)互信，身份標(biāo)識始終貫穿于應(yīng)用，實(shí)行校園網(wǎng)各種應(yīng)用和服務(wù)的單點(diǎn)登錄、動態(tài)授權(quán)及持續(xù)認(rèn)證。通過分布式部署，實(shí)現(xiàn)多地多校區(qū)統(tǒng)一身份認(rèn)證，總校集中管理。為自帶設(shè)備的不同類型臨時訪客提供不同的認(rèn)證方式，如短信、微信、二維碼。對訪客設(shè)定獨(dú)立的VLAN。對不同場合訪客實(shí)施相應(yīng)的審核管理權(quán)限，嚴(yán)格控制訪客的資源訪問權(quán)。對訪客上線、離線及上網(wǎng)過程進(jìn)行監(jiān)控、分析和審計。與上網(wǎng)行為管理系統(tǒng)對接，實(shí)現(xiàn)上網(wǎng)行為實(shí)名聯(lián)查。

(二)終端統(tǒng)一管理

終端的安全直接影響到校園網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行及數(shù)據(jù)信息安全。對終端的安全管理是校園網(wǎng)安全防御的一個重要環(huán)節(jié)。終端統(tǒng)一管理系統(tǒng)對各類終端進(jìn)行實(shí)名身份認(rèn)證、設(shè)備信息登記與審核、安全準(zhǔn)入控制和接入日志審計。通過終端分類分析、角色權(quán)限分配及IP地址綁定等措施，實(shí)現(xiàn)終端與用戶雙重可信。對各類終端進(jìn)行識別與定位，對終端安全基線進(jìn)行合規(guī)與合法性檢測，隔離不合格及有安全隱患的終端。持續(xù)檢測與發(fā)現(xiàn)終端聯(lián)網(wǎng)中產(chǎn)生的安全威脅及異常行為并發(fā)出預(yù)警，與安全設(shè)備聯(lián)動，實(shí)現(xiàn)對終端的安全防御與漏洞自動修復(fù)。通過持續(xù)驗(yàn)證手段，保證終端動態(tài)訪問應(yīng)用程序和數(shù)據(jù)的安全性。終端接入的日志實(shí)時采集到綜合日志審計平臺。對移動終端進(jìn)行應(yīng)用安全加固、SO文件加密壓縮和HTML5應(yīng)用加密，保障移動終端自身安全。對移動終端應(yīng)用環(huán)境進(jìn)行安全檢測。終端上隔離校園應(yīng)用數(shù)據(jù)與隱私數(shù)據(jù)，敏感數(shù)據(jù)進(jìn)行加密。通過終端遠(yuǎn)程鎖定、遠(yuǎn)程擦除、加密封存、禁止復(fù)制等措施，防止數(shù)據(jù)泄露。

(三)安全運(yùn)行維護(hù)

校園網(wǎng)各種IT資產(chǎn)需要不同的運(yùn)維人員來維護(hù)，如：系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、應(yīng)用管理員以及數(shù)據(jù)庫管理員等，為保障運(yùn)維過程的安全，防止出現(xiàn)運(yùn)維的誤操作、越權(quán)訪問、資源濫用、數(shù)據(jù)泄露、蓄意破壞等現(xiàn)象，各類運(yùn)維人員必須通過統(tǒng)一的安全運(yùn)維平臺來維護(hù)校園網(wǎng)傳統(tǒng)設(shè)備、物聯(lián)網(wǎng)、私有云及公有云的IT資產(chǎn)。借助堡壘機(jī)，實(shí)現(xiàn)運(yùn)維的事前授權(quán)、事中監(jiān)控與事后審計。

事前授權(quán)。為運(yùn)維人員分配主賬號，按照運(yùn)維人員權(quán)限建立主賬號與被管理IT資源賬號的關(guān)聯(lián)，對堡壘機(jī)登陸人員進(jìn)行雙因素身份鑒別。授予運(yùn)維人員最小權(quán)限并設(shè)置細(xì)粒度訪問策略。為同一目標(biāo)設(shè)備的不同運(yùn)維角色設(shè)置不同的運(yùn)維策略，實(shí)現(xiàn)對運(yùn)維人員操作目標(biāo)IT資源的限制。事中控制。運(yùn)維人員訪問堡壘機(jī)統(tǒng)一門戶進(jìn)行雙因素強(qiáng)身份認(rèn)證后單點(diǎn)登錄堡壘機(jī)，按照被賦予的權(quán)限對被管理設(shè)備進(jìn)行維護(hù)。堡壘機(jī)全程記錄運(yùn)維過程，對誤操作、越權(quán)訪問、資源濫用進(jìn)行告警與阻斷，取消違規(guī)操作者權(quán)限并對操作行為進(jìn)行追溯。對運(yùn)維管理過程中的安全威脅進(jìn)行安全提醒。事后審計。操作過程全程錄像，操作指令全程記錄，對操作行為深度分析與多維度關(guān)聯(lián)審計。

堡壘機(jī)的系統(tǒng)數(shù)據(jù)與用戶數(shù)據(jù)隔離存儲，對用戶的數(shù)據(jù)進(jìn)行加密存儲，運(yùn)維審計日志自動備份。堡壘機(jī)與被管理IT資源的管理數(shù)據(jù)通過隔離加密的傳輸通道交互信息。堡壘機(jī)的操作系統(tǒng)要安全加固，在堡壘機(jī)前采用防火墻進(jìn)行安全防護(hù)。

(四)統(tǒng)一網(wǎng)絡(luò)監(jiān)控

統(tǒng)一網(wǎng)絡(luò)監(jiān)控平臺采用傳統(tǒng)網(wǎng)絡(luò)監(jiān)控技術(shù)與多云環(huán)境監(jiān)控技術(shù)相結(jié)合的方式實(shí)現(xiàn)對校園網(wǎng)鏈路、流量、帶寬，物理的和虛擬的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件應(yīng)用、數(shù)據(jù)庫服務(wù)及自定義應(yīng)用服務(wù)的監(jiān)控及性能分析，對故障快速定位并排障，對安全事件告警并分析，將各種網(wǎng)絡(luò)日志發(fā)送至綜合日志審計平臺進(jìn)行集中審計。

(五)綜合日志審計

綜合日志審計平臺對校園網(wǎng)各類IT資源產(chǎn)生的日志進(jìn)行采集、存儲、綜合管理、關(guān)聯(lián)分析、搜索查詢和事件告警，保障日志的完整性，確保事件的回溯與取證。綜合日志審計平臺以多種方式采集異構(gòu)網(wǎng)絡(luò)環(huán)境下分散的、彼此割裂的各類IT資源產(chǎn)生的海量異構(gòu)日志，采集器與審計平臺之間以加密方式傳輸數(shù)據(jù)。采用多種解析方法對采集日志進(jìn)行范式化處理。原始日志和處理后的日志均加密保存并自動備份，確保事件的回溯與取證。采取自定義日志字段格式方式對日志進(jìn)行分類與歸并。通過字段關(guān)聯(lián)、規(guī)則關(guān)聯(lián)、漏洞關(guān)聯(lián)、事件關(guān)聯(lián)、指紋關(guān)聯(lián)、基于統(tǒng)計或時序的審計等方法，實(shí)現(xiàn)多維度日志關(guān)聯(lián)分析。對攻擊行為及安全威脅給出判斷與預(yù)警，與其他安全系統(tǒng)聯(lián)動進(jìn)行聯(lián)合防御。查詢終端通過安全傳輸協(xié)議訪問日志平臺，按照關(guān)鍵字或全文搜索方式進(jìn)行原始與范式化日志及事件告警信息的查詢。

(六)安全態(tài)勢感知

安全態(tài)勢感知平臺實(shí)現(xiàn)對校園網(wǎng)安全威脅的發(fā)現(xiàn)識別、理解分析與響應(yīng)處置，全面動態(tài)地管控各種安全風(fēng)險。安全態(tài)勢感知平臺獲取校園網(wǎng)各種IT資產(chǎn)的配置信息與日志信息，監(jiān)控資產(chǎn)運(yùn)行狀態(tài)，發(fā)現(xiàn)資產(chǎn)配置脆弱性及存在的漏洞，關(guān)聯(lián)安全設(shè)備的各種告警事件，發(fā)現(xiàn)各種安全威脅行為，借助威脅情報、用戶及實(shí)體行為分析、行為分析建模、圖關(guān)聯(lián)分析、大數(shù)據(jù)關(guān)聯(lián)分析、人工智能和可視化技術(shù)等，對校園網(wǎng)絡(luò)進(jìn)行全面監(jiān)測、威脅發(fā)現(xiàn)、安全告警、攻擊鏈回溯、安全態(tài)勢分析以及安全風(fēng)險評估。

此外，通過漏洞掃描平臺對校園網(wǎng)異構(gòu)網(wǎng)絡(luò)環(huán)境下的主機(jī)、數(shù)據(jù)庫、應(yīng)用、中間件、Web網(wǎng)站、終端設(shè)備固件等進(jìn)行掃描，檢測其安全脆弱性，及時察覺網(wǎng)絡(luò)信息系統(tǒng)中的安全隱患和問題，對發(fā)現(xiàn)的漏洞提供修復(fù)解決方案，最大限度地消除安全隱患。

五、結(jié)語

校園網(wǎng)中各種創(chuàng)新業(yè)務(wù)的深入應(yīng)用使得校園網(wǎng)不斷面臨新的安全挑戰(zhàn)。在技術(shù)應(yīng)用層面上，要對網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)和業(yè)務(wù)等進(jìn)行多層次的整體安全防御，在安全管理中心的統(tǒng)一管理、監(jiān)控和協(xié)調(diào)下，實(shí)現(xiàn)校園網(wǎng)多種網(wǎng)絡(luò)環(huán)境下的通信網(wǎng)絡(luò)、區(qū)域邊界和計算環(huán)境的檢測預(yù)警、主動防御和整體防控。