摘 要：高校校園網(wǎng)安全面臨著嚴(yán)峻的挑戰(zhàn)。為了及時發(fā)現(xiàn)和應(yīng)對網(wǎng)絡(luò)安全威脅，本文提出一種基于態(tài)勢感知系統(tǒng)的高校校園網(wǎng)安全防御方案。該方案通過對網(wǎng)絡(luò)數(shù)據(jù)流量、設(shè)備行為、用戶行為等進(jìn)行實(shí)時監(jiān)測和分析，實(shí)現(xiàn)了對網(wǎng)絡(luò)安全態(tài)勢的全面感知和分析，并能夠快速響應(yīng)和應(yīng)對網(wǎng)絡(luò)安全事件。

關(guān)鍵詞：態(tài)勢感知系統(tǒng)；高校校園網(wǎng)；網(wǎng)絡(luò)安全；威脅感知；安全防御

Application of situation awareness system in campus network security of higher vocational colleges

（Shen Xiaojuan， Suzhou Vocational and Technical College of Economics and Trade 215007）

Abstract：The security of university campus network is facing severe challenges. In order to detect and respond to network security threats in a timely manner， this paper proposes a campus network security defense scheme based on situational awareness system. Through real-time monitoring and analysis of network data flow， device behavior， user behavior， etc.， the scheme realizes comprehensive perception and analysis of network security situation， and can quickly respond to and respond to network security events.

Key words： situation awareness system， university campus network， network security， threat awareness， security defense

一、引言

隨著網(wǎng)絡(luò)攻擊手段的不斷升級，高校校園網(wǎng)安全面臨著越來越嚴(yán)峻的挑戰(zhàn)。從簡單的病毒攻擊、網(wǎng)絡(luò)釣魚、木馬攻擊到復(fù)雜的DDoS攻擊、SQL注入等，網(wǎng)絡(luò)攻擊手段層出不窮。為了保障高校校園網(wǎng)的安全，需要建立起一套完整的網(wǎng)絡(luò)安全防御體系。態(tài)勢感知系統(tǒng)作為一種重要的安全防御手段，已經(jīng)受到了廣泛的關(guān)注和應(yīng)用。

本文通過介紹該系統(tǒng)的基本原理、架構(gòu)和實(shí)現(xiàn)過程，以及在校園網(wǎng)安全中的應(yīng)用，進(jìn)一步加深對態(tài)勢感知系統(tǒng)的理解和應(yīng)用。

二、態(tài)勢感知系統(tǒng)的架構(gòu)和實(shí)現(xiàn)過程

態(tài)勢感知系統(tǒng)是指一種可以實(shí)時、全面地獲取、分析、處理網(wǎng)絡(luò)安全事件信息并及時發(fā)出預(yù)警的系統(tǒng)。其主要任務(wù)是對網(wǎng)絡(luò)中的安全事件進(jìn)行監(jiān)測、分析、預(yù)測和處置，從而保障網(wǎng)絡(luò)的安全運(yùn)行。

態(tài)勢感知系統(tǒng)的架構(gòu)通常包括數(shù)據(jù)采集層、數(shù)據(jù)處理層和應(yīng)用層三個層次。

1.數(shù)據(jù)采集層

數(shù)據(jù)采集是態(tài)勢感知系統(tǒng)的基礎(chǔ)，也是其最為重要的環(huán)節(jié)之一。數(shù)據(jù)采集主要包括網(wǎng)絡(luò)數(shù)據(jù)流量、設(shè)備行為、用戶行為、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等各個方面的數(shù)據(jù)。其中，網(wǎng)絡(luò)數(shù)據(jù)流量是指網(wǎng)絡(luò)中數(shù)據(jù)包的傳輸情況，包括數(shù)據(jù)包的來源、目的地、大小等；設(shè)備行為是指網(wǎng)絡(luò)設(shè)備的操作情況，包括設(shè)備的啟動、關(guān)閉、配置修改等；用戶行為是指用戶在網(wǎng)絡(luò)中的操作行為，包括登錄、文件傳輸、訪問網(wǎng)站等。網(wǎng)絡(luò)設(shè)備主要包括路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備，安全設(shè)備主要包括入侵檢測系統(tǒng)、流量分析系統(tǒng)、網(wǎng)絡(luò)監(jiān)測系統(tǒng)等安全設(shè)備，應(yīng)用系統(tǒng)主要包括Web應(yīng)用、數(shù)據(jù)庫應(yīng)用等應(yīng)用系統(tǒng)。這些數(shù)據(jù)采集設(shè)備可以通過SNMP、Syslog、Netflow等協(xié)議將采集到的數(shù)據(jù)發(fā)送到數(shù)據(jù)處理層進(jìn)行處理。

2.數(shù)據(jù)處理層

數(shù)據(jù)處理層是態(tài)勢感知系統(tǒng)的核心，主要包括數(shù)據(jù)分析、決策支持等功能模塊。其中，數(shù)據(jù)分析模塊通過對采集到的數(shù)據(jù)進(jìn)行聚合、分類、篩選等處理，提取出有用的信息和特征，進(jìn)而識別和分析潛在的網(wǎng)絡(luò)安全威脅。決策支持模塊則根據(jù)數(shù)據(jù)分析得到的信息，提供實(shí)時的預(yù)警信息、安全加固建議和事件處置建議，幫助管理員及時發(fā)現(xiàn)和應(yīng)對潛在的安全威脅。具體而言，數(shù)據(jù)分析可以分為以下幾個方面：

（1）威脅感知：通過對網(wǎng)絡(luò)數(shù)據(jù)流量和設(shè)備行為等進(jìn)行實(shí)時監(jiān)測和分析，發(fā)現(xiàn)和識別潛在的網(wǎng)絡(luò)安全威脅，如病毒、木馬、蠕蟲、漏洞等。

（2）行為分析：通過對用戶行為和設(shè)備行為進(jìn)行分析，發(fā)現(xiàn)異?；虿灰?guī)則的行為，如大量數(shù)據(jù)傳輸、登錄失敗等，識別潛在的安全風(fēng)險(xiǎn)。

（3）事件關(guān)聯(lián)：通過對多種數(shù)據(jù)源進(jìn)行關(guān)聯(lián)分析，建立事件關(guān)系模型，發(fā)現(xiàn)隱藏的威脅，如高級持續(xù)性威脅（APT）攻擊等。

3.應(yīng)用層

應(yīng)用層是態(tài)勢感知系統(tǒng)的最終展示層，主要通過圖表、報(bào)表、警報(bào)等方式呈現(xiàn)數(shù)據(jù)分析和決策支持的結(jié)果。具體而言，應(yīng)用層可以分為以下幾個方面：

（1）態(tài)勢總覽：提供網(wǎng)絡(luò)安全態(tài)勢總覽，包括網(wǎng)絡(luò)拓?fù)鋱D、攻擊流量圖、攻擊源分布圖等，幫助管理員全面了解網(wǎng)絡(luò)安全狀況。

（2）實(shí)時預(yù)警：提供實(shí)時的預(yù)警信息，包括攻擊源IP地址、攻擊目標(biāo)IP地址、攻擊類型等，幫助管理員及時發(fā)現(xiàn)和應(yīng)對潛在的安全威脅。

（3）安全加固：提供安全加固建議，包括網(wǎng)絡(luò)設(shè)備優(yōu)化、安全策略調(diào)整、安全培訓(xùn)等，幫助管理員優(yōu)化網(wǎng)絡(luò)安全防御體系，提高網(wǎng)絡(luò)安全水平。

（4）事件處置：提供事件處置建議，包括緊急事件響應(yīng)、漏洞修復(fù)等，幫助管理員快速響應(yīng)和處理網(wǎng)絡(luò)安全事件，減少安全損失。

三、態(tài)勢感知系統(tǒng)在高校校園網(wǎng)中的應(yīng)用

為了更好地了解態(tài)勢感知系統(tǒng)在高校校園網(wǎng)中的應(yīng)用，下面以筆者所在學(xué)校為例，介紹其態(tài)勢感知系統(tǒng)的實(shí)現(xiàn)情況和應(yīng)用效果。

我校有7個學(xué)院，涉及學(xué)生宿舍、教學(xué)樓、實(shí)驗(yàn)室、圖書館等各個部分。為了保障網(wǎng)絡(luò)安全，我校部署了多種安全設(shè)備和應(yīng)用，包括防火墻、入侵檢測系統(tǒng)、殺毒軟件等。同時，我校還采用態(tài)勢感知系統(tǒng)來監(jiān)控網(wǎng)絡(luò)安全狀況，提高網(wǎng)絡(luò)安全防御能力。

態(tài)勢感知系統(tǒng)采用分布式部署方式，包括數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)分析和決策支持等模塊。其中，數(shù)據(jù)采集模塊部署在學(xué)校的主干網(wǎng)和子網(wǎng)上，收集網(wǎng)絡(luò)流量、日志、配置等數(shù)據(jù)。數(shù)據(jù)處理模塊對采集到的數(shù)據(jù)進(jìn)行預(yù)處理，包括數(shù)據(jù)清洗、去重、格式化等操作。數(shù)據(jù)分析模塊對預(yù)處理后的數(shù)據(jù)進(jìn)行分析，提取出有用的信息和特征，識別和分析潛在的網(wǎng)絡(luò)安全威脅。決策支持模塊根據(jù)數(shù)據(jù)分析得到的信息，提供實(shí)時的預(yù)警和事件處置建議，幫助管理員快速響應(yīng)和處理安全事件。

態(tài)勢感知系統(tǒng)在我校發(fā)揮了重要作用。一方面，該系統(tǒng)可以實(shí)時監(jiān)控網(wǎng)絡(luò)安全狀況，及時發(fā)現(xiàn)和應(yīng)對潛在的安全威脅。例如，系統(tǒng)可以監(jiān)控網(wǎng)絡(luò)流量變化，發(fā)現(xiàn)異常流量并及時發(fā)出預(yù)警。比如對于P2P流量的監(jiān)控和控制，發(fā)現(xiàn)流量達(dá)到某個閾值，自動進(jìn)行限流，保證教育流量的通暢。另一方面，該系統(tǒng)可以生成網(wǎng)絡(luò)拓?fù)鋱D和設(shè)備配置圖，幫助管理員全面了解校園網(wǎng)的結(jié)構(gòu)和配置，及時發(fā)現(xiàn)和排除可能存在的安全隱患。例如，系統(tǒng)可以發(fā)現(xiàn)某些設(shè)備存在弱口令、漏洞等問題，及時提醒管理員進(jìn)行加固操作。

此外，我校的態(tài)勢感知系統(tǒng)還可以提供實(shí)時的預(yù)警信息和事件處置建議，幫助管理員快速響應(yīng)和處理安全事件，減少安全損失。例如，系統(tǒng)可以通過分析入侵檢測系統(tǒng)的日志數(shù)據(jù)，發(fā)現(xiàn)某些主機(jī)可能受到攻擊，及時發(fā)出預(yù)警并提供事件處置建議。同時，該系統(tǒng)還可以提供安全加固建議和安全培訓(xùn)等服務(wù)，幫助管理員優(yōu)化網(wǎng)絡(luò)安全防御體系，提高安全防御能力。

在使用態(tài)勢感知系統(tǒng)的過程中，學(xué)校也遇到了一些問題。例如，由于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)較為復(fù)雜，系統(tǒng)生成的拓?fù)鋱D存在誤差和遺漏，需要管理員手動進(jìn)行修正。同時，由于數(shù)據(jù)處理和分析的復(fù)雜性，系統(tǒng)可能會出現(xiàn)誤報(bào)和漏報(bào)的情況，需要管理員對預(yù)警信息進(jìn)行人工確認(rèn)和驗(yàn)證。

盡管存在一些問題，但學(xué)校的態(tài)勢感知系統(tǒng)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要作用，取得了顯著的效果。該系統(tǒng)為校園網(wǎng)提供了實(shí)時監(jiān)控、全面了解、快速響應(yīng)和提高防御能力等多種功能，對提高校園網(wǎng)的安全防御能力具有重要意義。

四、結(jié)論

本文從態(tài)勢感知系統(tǒng)的架構(gòu)和實(shí)現(xiàn)入手，闡述了態(tài)勢感知系統(tǒng)在高校校園網(wǎng)中的應(yīng)用，并通過筆者學(xué)校案例的實(shí)際應(yīng)用介紹，展示了該系統(tǒng)的實(shí)際效果和存在的問題。結(jié)合實(shí)際案例分析，可以看出，高校的態(tài)勢感知系統(tǒng)可以有效監(jiān)控網(wǎng)絡(luò)安全狀況，全面了解網(wǎng)絡(luò)拓?fù)浜驮O(shè)備配置，快速響應(yīng)和處理安全事件，提高網(wǎng)絡(luò)安全防御能力。

然而，要想實(shí)現(xiàn)高效的態(tài)勢感知系統(tǒng)，需要解決一些技術(shù)和管理上的問題。例如，如何克服復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和大量的數(shù)據(jù)處理和分析工作，如何加強(qiáng)對系統(tǒng)的管理和維護(hù)，以及如何提高系統(tǒng)的安全性和可靠性等。因此，高校需要建立完善的網(wǎng)絡(luò)安全管理體系，加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)和意識宣傳，建立緊密的合作機(jī)制，共同推進(jìn)網(wǎng)絡(luò)安全的保障工作。

綜上所述，態(tài)勢感知系統(tǒng)作為一種重要的網(wǎng)絡(luò)安全管理工具，對于保障高校校園網(wǎng)的安全防御具有重要意義。在高校校園網(wǎng)的管理和維護(hù)中，應(yīng)該充分利用該系統(tǒng)的優(yōu)勢，不斷優(yōu)化網(wǎng)絡(luò)安全防御體系，提高網(wǎng)絡(luò)安全保障能力，以確保高校校園網(wǎng)的安全和穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

[1]李俊磊.高校校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2020（08）96-98

[2]杜駿震，常松麗.試論校園網(wǎng)安全防御體系的構(gòu)建[J].山西廣播電視大學(xué)學(xué)報(bào).2021（2）76-83

[3]倪東.校園網(wǎng)安全防御體系的構(gòu)建與實(shí)施[J].遵義師范學(xué)院學(xué)報(bào).2021（23.1）93-96

[4]張瑞霞，馮冰潔.搞笑校園網(wǎng)防護(hù)安全建議[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2021（10）.88-90

[5]楊春節(jié)，張武，朱軍.一種校園網(wǎng)絡(luò)終端病毒預(yù)警及閉環(huán)自動化處理系統(tǒng)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2021（10）.90-93

作者簡介：沈曉娟（1977—），女，河北人，碩士研究生，講師，研究方向：信息安全。