杜駿震 常松麗

(山西開放大學(xué),山西 太原 030027)

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新型技術(shù)在校園網(wǎng)的融合應(yīng)用，校園網(wǎng)面臨的網(wǎng)絡(luò)信息安全問題日益嚴(yán)重。針對新技術(shù)融合下的校園網(wǎng)絡(luò)的安全保護(hù)是用戶極為關(guān)注的焦點(diǎn)。從技術(shù)應(yīng)用層面上，新技術(shù)融合下的高校校園網(wǎng)絡(luò)的安全防御應(yīng)在滿足網(wǎng)絡(luò)安全等級保護(hù)2.0安全通用要求的基礎(chǔ)上，通過無線接入點(diǎn)管控、邊界防護(hù)、訪問控制、入侵防御、移動終端管控、移動應(yīng)用管控、云邊界的安全防護(hù)、云計(jì)算環(huán)境的安全防護(hù)、云安全控制平臺、物聯(lián)網(wǎng)的感知層、網(wǎng)絡(luò)層和應(yīng)用層保護(hù)等，實(shí)現(xiàn)新技術(shù)融合環(huán)境下的校園網(wǎng)絡(luò)擴(kuò)展安全保護(hù)。

一、移動網(wǎng)絡(luò)的安全防護(hù)策略

校園無線網(wǎng)絡(luò)的開放性、移動性和動態(tài)性使得無線網(wǎng)絡(luò)相比有線網(wǎng)絡(luò)面臨更高的安全風(fēng)險。校園無線網(wǎng)絡(luò)面臨的安全風(fēng)險包括數(shù)據(jù)泄露、網(wǎng)絡(luò)釣魚攻擊、自動化攻擊、爬蟲威脅等。校園無線網(wǎng)絡(luò)的安全應(yīng)該從無線接入點(diǎn)管控、邊界防護(hù)、訪問控制、入侵防范、移動終端管控、移動應(yīng)用管控、移動應(yīng)用軟件開發(fā)等方面來加強(qiáng)防護(hù)。

無線接入點(diǎn)管控。高校校園網(wǎng)部署的AP數(shù)量和接入的無線終端數(shù)量成千上萬，各類無線接入點(diǎn)，包括室內(nèi)AP、室外AP、面板AP、特殊AP，要按分布密度和發(fā)射功率限制范圍原則來部署，覆蓋整個校園網(wǎng)。所有AP零配置、免維護(hù)、自適應(yīng)IPV4/ IPv6雙棧協(xié)議。各AP使用不同的鑒別密鑰。AP接收到用戶數(shù)據(jù)包后采用CAPWAP數(shù)據(jù)加密隧道協(xié)議封裝后穿過以太網(wǎng)絡(luò)傳送到在網(wǎng)絡(luò)核心層部署的無線控制器AC進(jìn)行數(shù)據(jù)流的管控。

邊界防護(hù)與訪問控制。在數(shù)據(jù)中心的網(wǎng)絡(luò)核心層部署的多臺無線控制器AC，通過對全部AP的統(tǒng)一管理、配置參數(shù)與策略的統(tǒng)一下發(fā)、AP配置自動更新、AP無感知漫游管理、射頻智能管理、無線接入安全控制、非法AP檢測、無線協(xié)議攻擊防御、QoS控制、無線流量集中策略控制與帶寬分配，采用集中控制轉(zhuǎn)發(fā)數(shù)據(jù)流量方式實(shí)現(xiàn)對無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間數(shù)據(jù)包傳輸?shù)娜炭刂?。將無線WLAN劃分到若干VLAN，使教職工、學(xué)生、訪客屬于不同的VLAN。使用VLAN Pool技術(shù)減小無線終端的廣播域。對于無線訪客，使用手機(jī)短信密碼、微信、身份證刷卡或人臉識別等方式認(rèn)證上網(wǎng)，按照訪客安全策略，僅允許訪問校園網(wǎng)公共數(shù)字資源。

無線控制器安全配置加固。無線控制器的自身安全可以從管理層面、控制層面及轉(zhuǎn)發(fā)層面進(jìn)行安全配置加固。如：管理層面的一些安全配置可以包含：設(shè)置用戶名加復(fù)雜密碼方式登錄Console口及USB口；修改SSH端口號；配置ACL規(guī)則中的SSH客戶地址白名單；限制SSH同時在線用戶數(shù)目；利用AAA與數(shù)字簽名組合對客戶端身份認(rèn)證；配置無線控制器作為SSL服務(wù)器端時的安全策略來增強(qiáng)利用HTTPS協(xié)議登錄設(shè)備的安全性；采用SFTP協(xié)議進(jìn)行無線控制器的文件管理操作，配置文件進(jìn)行加密?？刂茖用娴囊恍┌踩渲每梢园号渲冒踩呗苑乐笲PDU與TC-BPDU報(bào)文攻擊；配置安全策略防止ARP欺騙攻擊，實(shí)施ARP網(wǎng)關(guān)保護(hù)策略；配置ND攻擊防御安全策略；使用DHCP Snooping;指定DNS信任接口避免DNS攻擊；關(guān)閉ICMP報(bào)文的發(fā)送；啟用DTLS數(shù)據(jù)包傳輸層安全性協(xié)議對CAPWAP隧道中的報(bào)文加密。轉(zhuǎn)發(fā)層面的一些安全配置可以包含：無線控制器AC與無線接入點(diǎn)AP禁用SSID廣播、WEP認(rèn)證、WPA加密；對具有相同SSID的無線設(shè)備進(jìn)行隔離，對同一VLAN下的設(shè)備進(jìn)行隔離。

入侵防范。針對無線網(wǎng)絡(luò)的攻擊，可分布式部署無線入侵防御系統(tǒng)WIPS，在多個頻段的多個頻道上實(shí)時監(jiān)測無線網(wǎng)絡(luò)，及早發(fā)現(xiàn)與阻斷惡意無線接入點(diǎn)AP,精準(zhǔn)識別并快速防御各種無線網(wǎng)絡(luò)攻擊行為，確保無線網(wǎng)絡(luò)邊界的安全。

移動終端管控與移動應(yīng)用管控。通過終端統(tǒng)一管理平臺實(shí)現(xiàn)對移動終端的身份鑒別、安全加固、環(huán)境安全檢測、數(shù)據(jù)隔離、遠(yuǎn)程控制，以及對終端從注冊使用到停用回收的全周期管控。通過開發(fā)校園網(wǎng)專屬移動應(yīng)用商店來管理本校所有移動應(yīng)用的分發(fā)、許可以及手機(jī)原生市場和第三方市場應(yīng)用商店中的應(yīng)用鏈接，保證學(xué)校移動應(yīng)用來源的可靠性。專屬移動應(yīng)用商店僅允許具備數(shù)字證書簽名且符合白名單策略的應(yīng)用軟件才能安裝與運(yùn)行。通過對移動應(yīng)用的安全檢測與安全加固以及使用安全沙箱技術(shù)，實(shí)現(xiàn)移動應(yīng)用的自身安全與運(yùn)行安全。通過移動應(yīng)用軟件管理策略，實(shí)現(xiàn)應(yīng)用上傳、分發(fā)、安裝、運(yùn)行與下線的全生命周期管理。

移動應(yīng)用軟件數(shù)字簽名證書。自行開發(fā)或委托第三方開發(fā)的校園移動應(yīng)用軟件上線前，應(yīng)使用可信任的電子認(rèn)證服務(wù)機(jī)構(gòu)頒發(fā)的數(shù)字簽名證書對新移動業(yè)務(wù)應(yīng)用軟件進(jìn)行簽名，并在應(yīng)用程序上顯示數(shù)字簽名認(rèn)證標(biāo)識，為APP使用者提供數(shù)字證書信息查驗(yàn)功能。如果購買移動應(yīng)用軟件，則只采購使用了可靠證書簽名的移動應(yīng)用軟件，從而使每個移動應(yīng)用是可信且可追溯的。

二、私有云的安全防護(hù)策略

私有云為學(xué)校高效地開展教務(wù)教學(xué)、科學(xué)研究、大數(shù)據(jù)及人工智能的研發(fā)提供了有力支撐。許多學(xué)校陸續(xù)建設(shè)了虛擬化平臺與私有云，但傳統(tǒng)架構(gòu)下的私有云難以防范云環(huán)境下的內(nèi)部攻擊、數(shù)據(jù)泄露等風(fēng)險，無法按需提供彈性的網(wǎng)絡(luò)安全防護(hù)功能。目前，一種融合了基于SDN/NFV的安全服務(wù)鏈、軟件定義安全SDS等新技術(shù)的新一代私有云，為云計(jì)算環(huán)境提供了可自定義的安全防御功能。私有云的安全防護(hù)的原則是在滿足等級保護(hù)安全通用要求的基礎(chǔ)上，進(jìn)一步進(jìn)行云計(jì)算環(huán)境下的特殊安全保護(hù)。私有云的安全涉及到云基礎(chǔ)設(shè)施、云服務(wù)平臺、云安全產(chǎn)品以及云端用戶業(yè)務(wù)的安全。其中，云基礎(chǔ)設(shè)施、云服務(wù)平臺的安全由云計(jì)算服務(wù)商保障，云安全產(chǎn)品由安全廠商保障，而云端業(yè)務(wù)的安全防護(hù)可以在安全云控制平臺的支持下利用基于SDN/NFV技術(shù)、SDS技術(shù)的安全資源池內(nèi)的安全服務(wù)組件實(shí)施可自定義的各種云安全防護(hù)策略。

(一)云邊界的安全防護(hù)

云計(jì)算網(wǎng)絡(luò)架構(gòu)是扁平化的，私有云數(shù)據(jù)中心的邊界安全可從訪問控制、入侵檢測及安全審計(jì)三方面來保障。

訪問控制。在訪問控制方面，實(shí)施南北向流量與東西向流量的訪問控制策略。南北向流量的訪問控制可以在私有云邊界部署下一代防火墻NGFW來抵御來自私有云外部的安全威脅。東西向流量的訪問控制可以在私有云內(nèi)部利用虛擬私有云VPC技術(shù)為學(xué)校各部門業(yè)務(wù)應(yīng)用分配不同的虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)各虛擬網(wǎng)絡(luò)之間的二層邏輯隔離。在每個虛擬網(wǎng)絡(luò)內(nèi)，通過定義與配置虛擬路由器、虛擬防火墻VFW等組件實(shí)現(xiàn)各虛擬網(wǎng)絡(luò)之間的邊界隔離與安全域隔離。使用網(wǎng)絡(luò)ACL進(jìn)行子網(wǎng)之間的訪問控制。不同業(yè)務(wù)系統(tǒng)劃分到不同的安全組，利用安全組實(shí)現(xiàn)組內(nèi)和組間虛擬機(jī)的訪問控制。為每臺虛擬機(jī)設(shè)置一組訪問控制策略，并可實(shí)現(xiàn)控制策略隨虛擬機(jī)遷移自動更新。在每臺虛擬機(jī)上僅安裝必要的程序和組件并關(guān)閉不需要的服務(wù)和端口。利用進(jìn)程級微隔離技術(shù)進(jìn)一步縮小攻擊面，防止東西向的橫向滲透攻擊。

入侵防范。在入侵防范方面，實(shí)施南北向流量與東西向流量的入侵防范策略。南北向流量的入侵防范可以在私有云邊界部署新一代入侵防御系統(tǒng)NGIPS與Web應(yīng)用防火墻WAF來檢測并抵御來自私有云外部的網(wǎng)絡(luò)攻擊及異常流量。而東西向流量的入侵防范是在每個虛擬網(wǎng)絡(luò)中創(chuàng)建一個虛擬IPS，整體檢測與防御來自該虛擬網(wǎng)絡(luò)之外的入侵行為。對于虛擬網(wǎng)絡(luò)內(nèi)的虛擬機(jī)之間及虛擬機(jī)與宿主機(jī)之間的入侵防護(hù)，可將東西向流量牽引到虛擬化安全資源池或硬件安全資源池進(jìn)行檢測和防護(hù)。

安全審計(jì)。在安全審計(jì)方面，運(yùn)維人員要通過堡壘機(jī)登錄云平臺才能進(jìn)行遠(yuǎn)程管理操作，堡壘機(jī)與綜合日志管理平臺可以完成對云環(huán)境下運(yùn)維操作的全程監(jiān)控與日志審計(jì)，保障云環(huán)境日志的完整性，實(shí)現(xiàn)各種安全事件的回溯與取證。

(二)云計(jì)算環(huán)境的安全防護(hù)

私有云的安全計(jì)算環(huán)境是在進(jìn)行通用安全計(jì)算環(huán)境防護(hù)的基礎(chǔ)上，在身份鑒別、訪問控制、入侵防范、鏡像和快照保護(hù)、數(shù)據(jù)完整性和保密性、數(shù)據(jù)備份恢復(fù)和剩余信息保護(hù)方面進(jìn)行特殊的保護(hù)。

雙向身份鑒別。當(dāng)管理終端通過HTTPS協(xié)議訪問云平臺設(shè)備時，要通過終端上預(yù)裝的由云平臺自簽發(fā)的數(shù)字證書來驗(yàn)證云平臺的身份。同時，云平臺則檢查終端上是否安裝了由該云平臺簽發(fā)的數(shù)字證書來驗(yàn)證終端的身份，從而實(shí)現(xiàn)雙向身份鑒別。

訪問控制與入侵防范。當(dāng)虛擬機(jī)遷移時，用戶在虛擬機(jī)上配置的訪問控制策略自動遷移更新。通過云管理平臺自動檢測虛擬機(jī)資源隔離失效及非授權(quán)新建虛擬機(jī)或重啟虛擬機(jī)事件。通過進(jìn)程級微隔離技術(shù)，防止虛擬機(jī)之間的橫向滲透攻擊。

鏡像和快照保護(hù)。為安全加固的虛擬機(jī)操作系統(tǒng)生成鏡像，同時對鏡像進(jìn)行保護(hù)。調(diào)用虛擬機(jī)鏡像時，要對鏡像目錄中的數(shù)據(jù)源文件包含的MD5屬性值進(jìn)行完整性校驗(yàn)，以檢測虛擬機(jī)鏡像未被篡改。通過云管理平臺提供的秘鑰管理KMS或通過加密機(jī)實(shí)現(xiàn)對鏡像或快照的加密，可以防止鏡像或快照中敏感數(shù)據(jù)泄露。

數(shù)據(jù)完整性與保密性。部署秘鑰管理系統(tǒng)KMS，實(shí)現(xiàn)對業(yè)務(wù)系統(tǒng)的數(shù)據(jù)自動加解密。虛擬機(jī)動態(tài)遷移中，KVM或XEN技術(shù)對虛擬機(jī)遷移數(shù)據(jù)的完整性自動檢測，若遷移失敗，自動回滾。當(dāng)虛擬機(jī)冷遷移時，要利用相應(yīng)工具驗(yàn)證遷移后的完整性。

數(shù)據(jù)備份恢復(fù)與剩余信息保護(hù)。對于私有云非關(guān)鍵應(yīng)用數(shù)據(jù)，可通過存儲底層復(fù)制功能將其備份至云災(zāi)備中心，進(jìn)行數(shù)據(jù)塊級別的數(shù)據(jù)保護(hù)。對于關(guān)鍵應(yīng)用數(shù)據(jù)，可在私有云數(shù)據(jù)中心與云災(zāi)備中心進(jìn)行應(yīng)用級雙活。利用云計(jì)算平臺刪除虛擬機(jī)后，其存儲的用戶文件與對象隨即被刪除。將原虛擬機(jī)占用過的存儲區(qū)重新分配給新用戶前，應(yīng)該使用專業(yè)工具有效地定位該存儲區(qū)并進(jìn)行完全徹底的數(shù)據(jù)粉碎，保證數(shù)據(jù)無法被恢復(fù)，防止數(shù)據(jù)泄露。當(dāng)部門用戶刪除業(yè)務(wù)應(yīng)用數(shù)據(jù)后，云計(jì)算管理平臺可根據(jù)安全策略自動刪除其對應(yīng)的數(shù)據(jù)備份。

(三)云安全控制平臺

云端業(yè)務(wù)應(yīng)用的安全防護(hù)是在安全云控制平臺的支持下利用安全資源池內(nèi)安全服務(wù)組件實(shí)施各種云安全策略的。安全云控制平臺借助軟件定義資源、軟件定義流量、軟件定義威脅等技術(shù)，建立起一個動態(tài)的、彈性的軟件定義云安全服務(wù)鏈。安全云控制平臺由虛擬化安全資源池、引流系統(tǒng)和流調(diào)度與轉(zhuǎn)發(fā)系統(tǒng)構(gòu)成。安全資源池利用NFV技術(shù)創(chuàng)建各種虛擬網(wǎng)絡(luò)安全功能，為各類業(yè)務(wù)提供所需的安全組件。引流系統(tǒng)負(fù)責(zé)將云計(jì)算環(huán)境中東西向流量牽引至安全資源池進(jìn)行深度檢測。流調(diào)度與轉(zhuǎn)發(fā)系統(tǒng)負(fù)責(zé)對安全服務(wù)鏈提供由用戶可自定義的編排功能。安全云控制平臺對異構(gòu)安全產(chǎn)品的狀態(tài)進(jìn)行實(shí)時監(jiān)視與控制，根據(jù)業(yè)務(wù)需求,動態(tài)并彈性地分配虛擬安全資源。云安全控制平臺與云管理平臺高度解耦。為實(shí)現(xiàn)業(yè)務(wù)流量與管理流量的分離，用不同的物理交換機(jī)分別轉(zhuǎn)發(fā)業(yè)務(wù)流量與管理流量。

三、公有云的安全防護(hù)策略

校園網(wǎng)中一些公開的業(yè)務(wù)應(yīng)用以及新的應(yīng)用會遷移到公有云。公有云的安全防護(hù)責(zé)任由云服務(wù)提供商、云安全服務(wù)商、用戶三方共擔(dān)。云服務(wù)提供商負(fù)責(zé)云環(huán)境基礎(chǔ)設(shè)施的安全，云安全服務(wù)商負(fù)責(zé)云服務(wù)平臺的安全，學(xué)校負(fù)責(zé)業(yè)務(wù)應(yīng)用的安全。

選擇公有云服務(wù)提供商時，應(yīng)確認(rèn)服務(wù)提供商已獲得常用的安全資質(zhì)，根據(jù)校園業(yè)務(wù)安全需求與風(fēng)險，選擇云安全服務(wù)商提供的云安全產(chǎn)品及服務(wù)，確認(rèn)服務(wù)商提供的安全服務(wù)和服務(wù)等級能夠滿足校園網(wǎng)云安全服務(wù)的需求。

在云網(wǎng)絡(luò)安全方面，利用VPC技術(shù)在不同虛擬私有網(wǎng)絡(luò)之間實(shí)施網(wǎng)絡(luò)安全域隔離與邊界安全防護(hù)。利用安全組在公有云上劃分安全域及安全子域，形成分布式虛擬化防火墻。就近選擇地域，將IT資源部署在同一區(qū)域的不同可用區(qū)，并在各可用區(qū)啟用不同云產(chǎn)品實(shí)例。選購云安全服務(wù)商提供的DDoS防御云服務(wù)，抵御大流量DDoS攻擊，保障云網(wǎng)絡(luò)安全。

在云主機(jī)安全方面，利用云服務(wù)商提供的可信驗(yàn)證技術(shù)來保障云服務(wù)器的引導(dǎo)程序、操作系統(tǒng)內(nèi)核、操作系統(tǒng)引導(dǎo)程序、配置參數(shù)和應(yīng)用程序處于一種可信任的環(huán)境中。在可信的基礎(chǔ)上，進(jìn)行云主機(jī)的安全配置加固以及在彈性云服務(wù)器上部署專業(yè)主機(jī)安全防護(hù)系統(tǒng)。

在應(yīng)用系統(tǒng)安全與云數(shù)據(jù)安全方面，選用安全廠商的Web應(yīng)用云防護(hù)服務(wù)，實(shí)現(xiàn)web應(yīng)用安全。利用云服務(wù)商提供的存儲透明加解密服務(wù)確保數(shù)據(jù)云存儲安全，采用SSL/TLS、HTTPS安全傳輸協(xié)議來保障數(shù)據(jù)傳輸安全。采用數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密、密鑰管理、數(shù)據(jù)庫脫敏、數(shù)據(jù)庫審計(jì)等技術(shù)來保障數(shù)據(jù)庫的安全。

在公有云VPC與校園本地私有云連接方面，可使用公網(wǎng)VPN方式或物理專線方式。使用公網(wǎng)VPN方式時，在校園互聯(lián)網(wǎng)區(qū)部署VPN網(wǎng)關(guān)，通過IPSec VPN的加密隧道將公有云VPC與本地私有云連接。使用云物理專線方式時，借助公有云端的虛擬網(wǎng)關(guān)將虛擬接口與公有云VPC關(guān)聯(lián)，實(shí)現(xiàn)本地校園云數(shù)據(jù)中心訪問公有云VPC。

四、物聯(lián)網(wǎng)的安全防護(hù)策略

隨著智慧校園戰(zhàn)略的實(shí)施，以物聯(lián)網(wǎng)技術(shù)為基礎(chǔ)的各種智慧校園應(yīng)用系統(tǒng)逐步接入校園網(wǎng)絡(luò)，如智慧教學(xué)、智慧科研、智慧圖書館、智慧實(shí)驗(yàn)室、智慧安防系統(tǒng)、現(xiàn)代化節(jié)能系統(tǒng)、數(shù)字化后勤系統(tǒng)、智能環(huán)境系統(tǒng)、智能供水系統(tǒng)、智慧餐廳等，共同形成了校園物聯(lián)網(wǎng)。然而，校園物聯(lián)網(wǎng)面臨著感知設(shè)備惡意克隆、數(shù)據(jù)失竊、數(shù)據(jù)泄露、數(shù)據(jù)篡改、勒索軟件攻擊、僵尸網(wǎng)絡(luò)攻擊、中間人攻擊、假冒攻擊和非授權(quán)訪問與控制等各種類型的安全威脅。從物聯(lián)網(wǎng)的構(gòu)成角度來分析，物聯(lián)網(wǎng)安全應(yīng)該從感知層、網(wǎng)絡(luò)層和應(yīng)用層進(jìn)行多層面的保護(hù)。

(一)感知層的安全保護(hù)

感知層是物聯(lián)網(wǎng)的最低層，包括各類感知節(jié)點(diǎn)、感知網(wǎng)關(guān)以及傳感網(wǎng)絡(luò)。感知層的安全是物聯(lián)網(wǎng)安全的基礎(chǔ)，應(yīng)從物理環(huán)境、接入控制、訪問控制、通信、設(shè)備、數(shù)據(jù)等方面進(jìn)行安全防護(hù)。

物理環(huán)境安全防護(hù)。感知節(jié)點(diǎn)應(yīng)安裝到無強(qiáng)振動、無強(qiáng)干擾、無阻擋屏蔽、防盜竊、防破壞、防雷擊、防靜電、防水、防潮的位置。為保證設(shè)備供電持久穩(wěn)定，關(guān)鍵感知節(jié)點(diǎn)及網(wǎng)關(guān)應(yīng)提供備用電源。戶外安裝的關(guān)鍵感知節(jié)點(diǎn)可啟用定位功能，當(dāng)探測到節(jié)點(diǎn)離開固定位置時，自動啟動封鎖或自毀程序，確保節(jié)點(diǎn)數(shù)據(jù)的安全。

接入控制。為感知節(jié)點(diǎn)設(shè)置唯一的身份標(biāo)識，該身份標(biāo)識可以使用終端的MAC地址、LoRaWAN DevEUI、IMSI等。本地感知網(wǎng)關(guān)負(fù)責(zé)感知節(jié)點(diǎn)接入本地網(wǎng)絡(luò)的認(rèn)證。云端物聯(lián)網(wǎng)平臺負(fù)責(zé)感知節(jié)點(diǎn)接入互聯(lián)網(wǎng)的認(rèn)證。感知節(jié)點(diǎn)與感知網(wǎng)關(guān)采用相同的安全接入認(rèn)證協(xié)議。本地感知網(wǎng)關(guān)對感知節(jié)點(diǎn)初始接入申請進(jìn)行身份認(rèn)證，通信中進(jìn)行輕量級連續(xù)認(rèn)證，鑒別整個會話期間感知節(jié)點(diǎn)的身份標(biāo)識。節(jié)點(diǎn)鑒別失敗次數(shù)超過設(shè)定次數(shù),則拒絕感知節(jié)點(diǎn)接入，防止鑒別信息的暴力破解及假冒感知節(jié)點(diǎn)的接入。另一方面，感知節(jié)點(diǎn)對其它感知節(jié)點(diǎn)、網(wǎng)關(guān)或物聯(lián)網(wǎng)平臺進(jìn)行反向接入身份認(rèn)證，防止假冒的節(jié)點(diǎn)、網(wǎng)關(guān)及平臺。鑒別失敗次數(shù)超過設(shè)定值將不再發(fā)起接入請求。

訪問控制與通信安全。在感知節(jié)點(diǎn)上關(guān)閉不用的通信端口，通過IP白名單等策略實(shí)現(xiàn)初步訪問控制。在感知網(wǎng)關(guān)上設(shè)定訪問控制策略，僅允許授權(quán)用戶本地或遠(yuǎn)程訪問資源。通過改變感知節(jié)點(diǎn)通信頻段、提高器件抗干擾力等方法提高數(shù)據(jù)采集的正確性。啟用完整性校驗(yàn)機(jī)制，通過消息校驗(yàn)碼、消息摘要、數(shù)字簽名等方式保障通信數(shù)據(jù)的完整性。感知網(wǎng)關(guān)與感知節(jié)點(diǎn)傳輸數(shù)據(jù)前對數(shù)據(jù)加密，同時再使用安全通信協(xié)議傳輸數(shù)據(jù)，確保通信數(shù)據(jù)的機(jī)密性。

數(shù)據(jù)安全。感知節(jié)點(diǎn)與感知網(wǎng)關(guān)的敏感代碼和重要數(shù)據(jù)與普通代碼和數(shù)據(jù)存儲實(shí)行隔離。對鑒別信息與重要數(shù)據(jù)等進(jìn)行完整性檢測。僅允許授權(quán)用戶訪問存儲數(shù)據(jù)。對密鑰信息進(jìn)行加密存儲，通過密鑰交換協(xié)議進(jìn)行密鑰傳輸，保證密鑰存儲和交換安全。利用白盒密碼算法隱藏密鑰信息，防止感知節(jié)點(diǎn)失竊后受到密鑰提取攻擊。

設(shè)備安全。為用戶分配最小權(quán)限，消除弱口令，利用批量模式修改終端參數(shù)。設(shè)置IP白名單，僅允許授權(quán)用戶從堡壘機(jī)登錄，通過安全通信協(xié)議并按權(quán)限遠(yuǎn)程配置節(jié)點(diǎn)參數(shù)、關(guān)鍵密鑰及程序應(yīng)用在線更新，防止惡意操作及非授權(quán)數(shù)據(jù)訪問。在感知網(wǎng)關(guān)上設(shè)置最大并發(fā)連接數(shù)，防止DOS攻擊。使用代碼簽名機(jī)制保證感知網(wǎng)關(guān)及重要感知節(jié)點(diǎn)的運(yùn)行代碼是被授權(quán)的，從而使感知設(shè)備能確信運(yùn)行代碼的真實(shí)性和完整性，避免惡意代碼插入、篡改或覆蓋正常運(yùn)行的代碼，形成僵尸網(wǎng)絡(luò)，對外發(fā)起網(wǎng)絡(luò)攻擊。

入侵防范與數(shù)據(jù)重放攻擊防范。將同一系統(tǒng)的感知節(jié)點(diǎn)與感知網(wǎng)關(guān)劃分到獨(dú)立VLAN, 設(shè)置默認(rèn)網(wǎng)關(guān)地址，配置訪問控制策略，避免某些節(jié)點(diǎn)被攻陷后可能對其它子網(wǎng)發(fā)起攻擊。通過在數(shù)據(jù)上附加時間戳、序號等信息來鑒別數(shù)據(jù)的非法篡改及防止數(shù)據(jù)重放攻擊。

數(shù)據(jù)審計(jì)。開啟感知網(wǎng)關(guān)審計(jì)功能，審計(jì)記錄進(jìn)行加密存儲，定時將審計(jì)數(shù)據(jù)發(fā)送至綜合日志審計(jì)平臺。

(二)網(wǎng)絡(luò)層的安全保護(hù)

網(wǎng)絡(luò)層是感知層與應(yīng)用層的連接紐帶，物聯(lián)網(wǎng)的傳輸通信安全保護(hù)應(yīng)從多個層面來進(jìn)行。

從傳感網(wǎng)絡(luò)到網(wǎng)絡(luò)層的安全防護(hù)可借助物聯(lián)網(wǎng)網(wǎng)關(guān)的功能來實(shí)現(xiàn)。物聯(lián)網(wǎng)網(wǎng)關(guān)承擔(dān)傳感網(wǎng)絡(luò)到通信網(wǎng)絡(luò)的協(xié)議轉(zhuǎn)換、異構(gòu)傳感網(wǎng)絡(luò)之間的協(xié)議轉(zhuǎn)換、數(shù)據(jù)匯總、數(shù)據(jù)轉(zhuǎn)發(fā)前的預(yù)處理、邊緣計(jì)算、下發(fā)數(shù)據(jù)執(zhí)行命令的解析以及通信安全的重任。物聯(lián)網(wǎng)網(wǎng)關(guān)通過其軟硬件雙重加密機(jī)制與加密通信協(xié)議，實(shí)現(xiàn)點(diǎn)到點(diǎn)與端到端的數(shù)據(jù)加密，保障通信數(shù)據(jù)的機(jī)密性。通過消息校驗(yàn)碼、消息摘要、數(shù)字簽名等方式確保通信數(shù)據(jù)的完整性。通過防火墻特性，實(shí)現(xiàn)對感知節(jié)點(diǎn)與感知網(wǎng)關(guān)的細(xì)粒度訪問控制；通過安全域隔離，將不同物聯(lián)系統(tǒng)分隔成不同的虛擬子網(wǎng)，實(shí)施差異化安全策略。對傳輸中的數(shù)據(jù)包進(jìn)行異常流量及行為的檢測，降低來自感知層的安全風(fēng)險，同時減少來自網(wǎng)絡(luò)層的攻擊行為。利用多層級用戶角色權(quán)限管理機(jī)制保障網(wǎng)關(guān)設(shè)備的自身管理安全。通過對感知節(jié)點(diǎn)、感知網(wǎng)關(guān)的安全標(biāo)識識別，實(shí)現(xiàn)其身份認(rèn)證、網(wǎng)絡(luò)準(zhǔn)入的安全防護(hù)。

物聯(lián)網(wǎng)通信網(wǎng)絡(luò)層的安全可利用傳統(tǒng)IP網(wǎng)絡(luò)、云計(jì)算的一系列安全防御技術(shù)，例如，在物聯(lián)網(wǎng)區(qū)域邊界部署下一代防火墻對物聯(lián)網(wǎng)系統(tǒng)進(jìn)行安全區(qū)域劃分，實(shí)施相應(yīng)的網(wǎng)絡(luò)訪問控制策略。通過網(wǎng)絡(luò)監(jiān)控系統(tǒng)對物聯(lián)網(wǎng)區(qū)域的通信網(wǎng)絡(luò)進(jìn)行流量監(jiān)控與分析，通過安全態(tài)勢感知平臺發(fā)現(xiàn)物聯(lián)網(wǎng)區(qū)域網(wǎng)絡(luò)通信中的異常行為和網(wǎng)絡(luò)攻擊，做出告警和應(yīng)急響應(yīng)，完成對通信網(wǎng)絡(luò)的脆弱性評估及安全態(tài)勢感知的可視化展示。

(三)應(yīng)用層的安全保護(hù)

物聯(lián)網(wǎng)應(yīng)用層完成物聯(lián)網(wǎng)信息和數(shù)據(jù)的融合處理和利用。物聯(lián)網(wǎng)應(yīng)用層的安全應(yīng)從隱私保護(hù)、數(shù)據(jù)保護(hù)、攻擊檢測與防御、漏洞挖掘、身份認(rèn)證、訪問控制以及安全審計(jì)等方面進(jìn)行防御。

隱私保護(hù)與數(shù)據(jù)保護(hù)。物聯(lián)網(wǎng)應(yīng)用系統(tǒng)在數(shù)據(jù)共享、存儲和分析處理過程中極易發(fā)生敏感數(shù)據(jù)的泄露，因此，應(yīng)用層業(yè)務(wù)系統(tǒng)要采用數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)自動透明加密技術(shù)全程保護(hù)敏感數(shù)據(jù)。

攻擊檢測與防御。在物聯(lián)網(wǎng)應(yīng)用系統(tǒng)前部署Web應(yīng)用防火墻WAF來識別、清洗和過濾Web應(yīng)用的各種惡意流量，將正常、安全的流量轉(zhuǎn)發(fā)給Web應(yīng)用服務(wù)器，動態(tài)地檢測與防御各種的Web應(yīng)用攻擊，保障Web應(yīng)用安全。

漏洞挖掘。通過漏洞掃描系統(tǒng)對物聯(lián)網(wǎng)服務(wù)平臺、物聯(lián)網(wǎng)協(xié)議以及嵌入式操作系統(tǒng)等進(jìn)行漏洞挖掘，以檢測其安全脆弱性，及時發(fā)現(xiàn)漏洞，針對每種漏洞提供修復(fù)解決方案，消除安全隱患。

身份認(rèn)證與訪問控制。用戶對物聯(lián)網(wǎng)應(yīng)用系統(tǒng)的訪問需通過校園統(tǒng)一身份認(rèn)證平臺，實(shí)行用戶訪問的身份驗(yàn)證、單點(diǎn)登錄、動態(tài)授權(quán)及持續(xù)認(rèn)證。各種角色的運(yùn)維人員需通過堡壘機(jī)才能訪問物聯(lián)網(wǎng)設(shè)備，通過堡壘機(jī)，實(shí)現(xiàn)對運(yùn)維管理人員訪問操作、命令和動作的全程監(jiān)視、記錄、控制與審計(jì)。

安全審計(jì)與安全態(tài)勢感知。綜合日志審計(jì)平臺定時收集并存儲物聯(lián)網(wǎng)網(wǎng)關(guān)形成的日志審計(jì)記錄，進(jìn)行日志分析，及時發(fā)現(xiàn)各類異常行為事件并發(fā)出告警，保障物聯(lián)網(wǎng)事件的數(shù)據(jù)回溯與取證。通過安全態(tài)勢感知平臺，對物聯(lián)網(wǎng)資產(chǎn)進(jìn)行注冊、認(rèn)證及狀態(tài)檢查，對各層協(xié)議流量進(jìn)行全網(wǎng)異常行為檢測和分析，對物聯(lián)網(wǎng)海量數(shù)據(jù)進(jìn)行融合處理及關(guān)聯(lián)分析，實(shí)現(xiàn)安全威脅可視化、網(wǎng)絡(luò)攻擊可視化及安全風(fēng)險整體評估化。

五、結(jié)語

校園網(wǎng)中各種新型技術(shù)的融合應(yīng)用使得校園網(wǎng)不斷面臨新的安全挑戰(zhàn)。在技術(shù)應(yīng)用層面上，新技術(shù)融合下的校園網(wǎng)絡(luò)的安全防御可以在滿足網(wǎng)絡(luò)安全等級保護(hù)2.0安全通用要求的基礎(chǔ)上，通過無線接入點(diǎn)管控、邊界防護(hù)、訪問控制、入侵防御、移動終端管控、移動應(yīng)用管控、云邊界的安全防護(hù)、云計(jì)算環(huán)境的安全防護(hù)、云安全控制平臺、物聯(lián)網(wǎng)的感知層、網(wǎng)絡(luò)層和應(yīng)用層保護(hù)等，實(shí)現(xiàn)融合環(huán)境下的校園網(wǎng)絡(luò)擴(kuò)展安全防御。