◆肖 弋

（達(dá)州職業(yè)技術(shù)學(xué)院 四川635001）

數(shù)字化校園信息安全立體防御體系的探索與實(shí)踐

◆肖 弋

（達(dá)州職業(yè)技術(shù)學(xué)院 四川635001）

隨著信息技術(shù)和數(shù)字技術(shù)的發(fā)展，我國高校已經(jīng)進(jìn)入數(shù)字化時(shí)代，在互聯(lián)網(wǎng)普及的條件下，校園中面對(duì)的網(wǎng)絡(luò)攻擊也變得日益復(fù)雜，使得教育信息化受到嚴(yán)重的影響。在這樣的情況下，傳統(tǒng)的信息安全防御體系已經(jīng)無法阻擋來自網(wǎng)絡(luò)的強(qiáng)烈攻擊，需要建立信息安全立體防御體系，才能有效阻擋網(wǎng)絡(luò)的攻擊，從而確保數(shù)字化校園的信息安全。

數(shù)字化；校園；信息安全；立體防御體系

0 引言

在數(shù)字化校園的發(fā)展過程中，各項(xiàng)教育資源在應(yīng)用工程中發(fā)生安全事故的頻率比較高，阻礙著教育信息化的應(yīng)用。而傳統(tǒng)的防火墻、防病毒軟件等防御措施屬于靜態(tài)防御措施，防御形式也比較被動(dòng)，防御的效果并不理想。因此，需要建立動(dòng)態(tài)的立體防御體系，主動(dòng)防御網(wǎng)絡(luò)的攻擊。

1 防御模型

1.1 物理安全層

在構(gòu)建數(shù)字化校園信息安全防御體系的過程中，首先要整理出傳統(tǒng)防御方式中的不足，改變其靜態(tài)和片面的防御模式，并與高校網(wǎng)絡(luò)應(yīng)用現(xiàn)狀結(jié)合起來，構(gòu)建具有層次的立體防御體系。由于數(shù)字化校園的面對(duì)的網(wǎng)絡(luò)安全威脅越來越多，程度越來越深，因此在模型中的網(wǎng)絡(luò)安全層中設(shè)計(jì)了 APPDRRRCC模型，此模型能夠?qū)π畔⑼{進(jìn)行主動(dòng)防護(hù)。數(shù)字化校園信息安全立體防御體系由四個(gè)層次組成：第一，物理安全層；第二，網(wǎng)絡(luò)安全層；第三，數(shù)據(jù)安全層；第四，內(nèi)容安全層。數(shù)字化校園離不開信息技術(shù)的支撐，而信息技術(shù)的運(yùn)用則需要建立在信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，物理安全層的的主要功能是確保這些設(shè)施的安全。這里的安全包括的范圍比較廣，包含電磁、截止、設(shè)備、環(huán)境等的安全，而確保安全的措施則主要是電磁屏蔽，如防雷擊和防輻射等。此外，包括數(shù)據(jù)雙機(jī)熱備份和遠(yuǎn)程備份等在內(nèi)的容災(zāi)備份，也是重要的防御手段，利用 UPS可提高供電的可靠性，通過設(shè)備防護(hù)的方式能夠?qū)υO(shè)備進(jìn)行保護(hù)。

1.2 網(wǎng)絡(luò)安全層

在數(shù)字化校園進(jìn)行信息教育的過程中，其基礎(chǔ)網(wǎng)絡(luò)和信息系統(tǒng)的運(yùn)行，都可能受到網(wǎng)絡(luò)的攻擊，網(wǎng)絡(luò)安全層的主要功能就是對(duì)其運(yùn)行過程和運(yùn)行狀態(tài)進(jìn)行保護(hù)。隨著數(shù)字化校園普及率的提高，校園內(nèi)發(fā)生的網(wǎng)絡(luò)安全事故也越來越多，對(duì)高校與網(wǎng)絡(luò)有關(guān)的業(yè)務(wù)都造成了嚴(yán)重的影響，阻礙著高校教育信息化的進(jìn)程。因此，相關(guān)研究者為將立體防御體系構(gòu)建成為一個(gè)動(dòng)態(tài)的防御體系，并實(shí)現(xiàn)對(duì)信息教育全過程的主動(dòng)防御，設(shè)計(jì)了 APPDRRCC主動(dòng)防護(hù)安全模型，如圖1所示：

圖1 APPDRRCC主動(dòng)防護(hù)安全模型

從圖中可以看出，此安全模型主要涉及到7個(gè)環(huán)節(jié)，此模型能夠形成集成化的安全防護(hù)，并對(duì)安全防護(hù)體系進(jìn)行一體化管理，從而有效應(yīng)對(duì)越來越復(fù)雜并逐漸智能化的網(wǎng)絡(luò)攻擊。并且，針對(duì)每個(gè)環(huán)節(jié)還設(shè)計(jì)了相應(yīng)的策略，由數(shù)字化校園網(wǎng)絡(luò)安全中心對(duì)每個(gè)環(huán)節(jié)進(jìn)行更加深入、全面的管理，并實(shí)現(xiàn)管理的動(dòng)態(tài)化。比如，在風(fēng)險(xiǎn)評(píng)估這一環(huán)節(jié)中，就主要對(duì)數(shù)字化校園的信息進(jìn)行安全測試，并對(duì)其中可能存在的漏洞進(jìn)行掃描，再根據(jù)掃描結(jié)果對(duì)風(fēng)險(xiǎn)等級(jí)進(jìn)行測評(píng)。而在安全策略這一環(huán)節(jié)中，則建立了對(duì)應(yīng)的安全模型，并制定相應(yīng)的安全指標(biāo)體系，對(duì)安全進(jìn)行定級(jí)和保護(hù)。通過這樣的策略管理，能夠?qū)崿F(xiàn)立體防御體系的主動(dòng)防御，從而彌補(bǔ)原有防御系統(tǒng)的缺陷。并且，APPDRRCC主動(dòng)防護(hù)安全模型，能夠隨時(shí)掌握數(shù)字校園的網(wǎng)絡(luò)運(yùn)行狀況，通過對(duì)各系統(tǒng)進(jìn)行布置，能夠在發(fā)現(xiàn)異常安全事件的第一時(shí)間消除異常，并及時(shí)恢復(fù)被破壞的數(shù)據(jù)。在消除異常后，系統(tǒng)還能追蹤到攻擊源，從而對(duì)其進(jìn)行反擊。數(shù)字化校園信息安全主動(dòng)防御策略。

1.3 數(shù)據(jù)安全層

數(shù)據(jù)安全層主要對(duì)數(shù)字化校園的數(shù)據(jù)信息進(jìn)行保護(hù)，確保其在存儲(chǔ)、傳輸和處理過程中的安全，從而避免其被竊取和篡改。通過數(shù)據(jù)安全層的保護(hù)，數(shù)據(jù)信息的真實(shí)性和完整性才能有所保障，并使這些數(shù)據(jù)信息具有不可抵賴性，在傳輸和處理過程中還具備可鑒別性，在這些安全屬性的保護(hù)下，數(shù)據(jù)信息的安全更有保障。目前，數(shù)據(jù)安全層采取的防護(hù)措施主要有兩種，一種是數(shù)據(jù)加密，另一種是數(shù)字簽名。

1.4 內(nèi)容安全層

內(nèi)容安全層的作用主要表現(xiàn)在四方面，一是隱藏?cái)?shù)字化校園信息的內(nèi)容；二是發(fā)現(xiàn)數(shù)字化校園信息的內(nèi)容；三是對(duì)這些內(nèi)容進(jìn)行分析；最后是對(duì)這些內(nèi)容進(jìn)行管理。具體來說，發(fā)現(xiàn)內(nèi)容是指發(fā)現(xiàn)隱藏內(nèi)容的真實(shí)性，并對(duì)其中特定的信息進(jìn)行過濾，然后再通過分析，將其中存在的大量潛在信息挖掘出來。內(nèi)容安全層比較常用的措施有以下幾種：其一，通過信息檢索獲取有用的信息；其二，對(duì)數(shù)據(jù)進(jìn)行挖掘，提取出有用的信息；其三，對(duì)暴力、色情等一些不良的網(wǎng)絡(luò)信息進(jìn)行過濾；最后，對(duì)網(wǎng)絡(luò)中存在的輿情信息進(jìn)行分析，再根據(jù)分析結(jié)果對(duì)這些信息進(jìn)行處理。

2 應(yīng)用實(shí)例

2.1 校園網(wǎng)的使用情況

以我國某高職院校為例，該院校通過路由器的作用，總共形成三個(gè)出口，一是教育網(wǎng)出口，二是中國移動(dòng)出口，三是中國電信出口。現(xiàn)階段，此高職院校校園網(wǎng)的節(jié)點(diǎn)有很多個(gè)，對(duì)教學(xué)樓、學(xué)生區(qū)、教職工區(qū)等進(jìn)行全方位的覆蓋，并為網(wǎng)絡(luò)系統(tǒng)中的用戶提供多種多樣的服務(wù)，符合數(shù)字化校園的應(yīng)用要求。但是，在教育信息化應(yīng)用越來越復(fù)雜的情況下，加上校園網(wǎng)中的用戶數(shù)量越來越多，校園網(wǎng)絡(luò)安全問題越來越嚴(yán)峻，發(fā)生的安全事故越來越多。尤其是在每年三四月份以及六月份，單招考試和高考前后一段時(shí)間，網(wǎng)頁掛馬的情況非常嚴(yán)重，網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的惡意代碼非常多。隨著近幾年校園網(wǎng)規(guī)模的增加，加上P2P軟件處于無序的使用狀態(tài)，使得校園網(wǎng)本身就不充裕的寬帶資源被占用。于是，在校園網(wǎng)使用的高峰期，常常出現(xiàn)無法打開網(wǎng)頁的情況，導(dǎo)致學(xué)校的關(guān)鍵業(yè)務(wù)難以正常的開展。此外，校園網(wǎng)用戶的網(wǎng)購賬號(hào)、QQ和MSN等聊天賬號(hào)，以及網(wǎng)絡(luò)游戲賬號(hào)等也經(jīng)常被盜，給師生造成不同程度的損失。出現(xiàn)這些情況的很大部分原因，在于該院校的二級(jí)單位沒有管理好二級(jí)網(wǎng)站，二級(jí)網(wǎng)站的防御功能太差，就會(huì)受到黑客、病毒等的入侵。并且，在網(wǎng)絡(luò)中還存在許多不良信息，如色情、暴力信息等，這些都會(huì)危害高職院校學(xué)生的身心健康，如何將此類信息隔離在校園網(wǎng)以外，是值得研究的問題。

2.2 網(wǎng)絡(luò)安全層的應(yīng)用及效果

在數(shù)字化校園信息安全立體防御體系中，網(wǎng)絡(luò)安全層的作用是最關(guān)鍵的，其主要對(duì)校園中的基礎(chǔ)網(wǎng)絡(luò)，以及信息系統(tǒng)的運(yùn)行過程進(jìn)行全方位的保護(hù)，并對(duì)運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控。所以，在信息化技術(shù)全面推廣和不斷更新的情況下，高職院校必須對(duì)網(wǎng)絡(luò)信息安全加強(qiáng)監(jiān)管，才能進(jìn)一步優(yōu)化校園網(wǎng)絡(luò)環(huán)境，從而降低意外事件發(fā)生的幾率。而針對(duì)APPDRRCC主動(dòng)防護(hù)模型中的風(fēng)險(xiǎn)評(píng)估，需要對(duì)校園網(wǎng)中的三種不同要素進(jìn)行風(fēng)險(xiǎn)評(píng)估，即資產(chǎn)、威脅和脆弱性，這樣才能對(duì)網(wǎng)絡(luò)安全中所面臨的威脅進(jìn)行全面的掌控。其中，對(duì)脆弱性的風(fēng)險(xiǎn)評(píng)估結(jié)果如表1所示：

表1 數(shù)字化校園信息系統(tǒng)脆弱性評(píng)估

根據(jù)在脆弱性評(píng)估中發(fā)現(xiàn)的漏洞，立即采取措施對(duì)其進(jìn)行修復(fù)，避免漏洞對(duì)校園網(wǎng)形成攻擊，從而提高職院校園網(wǎng)的安全防御能力。在漏洞修復(fù)完成后，校園網(wǎng)路由器中的掛馬幾率得到明顯的控制，系統(tǒng)的安全防護(hù)水平也有很大程度的提升。在系統(tǒng)的防護(hù)環(huán)節(jié)中，為進(jìn)一步提高職院校外網(wǎng)絡(luò)系統(tǒng)的防御能力，高職院校在系統(tǒng)中安裝了防病毒軟件，實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)中計(jì)算機(jī)病毒的實(shí)時(shí)防護(hù)。從而有效的提高職院校園網(wǎng)絡(luò)的安全性。而在監(jiān)測環(huán)節(jié)，能夠?qū)π@網(wǎng)的運(yùn)行狀態(tài)進(jìn)行全方位的監(jiān)督，一旦發(fā)生系統(tǒng)異常，就能及時(shí)采取措施排除異常，從而確保校園網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。

2.3 內(nèi)容安全層的應(yīng)用及效果

內(nèi)容安全層的合理設(shè)置，直接決定著校園網(wǎng)絡(luò)文化氛圍是否有利于學(xué)生的健康成長，也會(huì)影響高職院校的和諧穩(wěn)定發(fā)展。為保障校園網(wǎng)絡(luò)信息的安全，通過“人工+技能”的方式對(duì)信息進(jìn)行過濾，從而為在校學(xué)生提供健康的上網(wǎng)環(huán)境，創(chuàng)造積極的校園網(wǎng)絡(luò)文化氛圍。并且，該高職院校在技術(shù)上，利用專業(yè)的內(nèi)容監(jiān)控設(shè)備，對(duì)網(wǎng)路內(nèi)容進(jìn)行過濾，避免不良網(wǎng)絡(luò)信息進(jìn)入校園網(wǎng)中，從而為學(xué)生提供正面、積極的校園網(wǎng)絡(luò)信息。

此高職院校利用“人工+技術(shù)”的方式，在高考的網(wǎng)上錄取階段、全國英語等級(jí)考試前后，以及每年的政治敏感時(shí)期，都能將各種不利于學(xué)生成長的網(wǎng)絡(luò)信息過濾掉，從而為學(xué)生提供健康的上網(wǎng)環(huán)境，形成優(yōu)良的校園網(wǎng)絡(luò)文化。在網(wǎng)絡(luò)濫用行為中，垃圾郵件所占用的寬帶資源是比較多的，其不僅會(huì)損害用戶的利益，還可能在郵件中包含一些具有危險(xiǎn)性的信息，如釣魚鏈接、病毒鏈接等。因此，高職院校在校園網(wǎng)系統(tǒng)中設(shè)置了垃圾郵件過濾系統(tǒng)，將含有不良網(wǎng)絡(luò)信息的垃圾郵件過濾掉，從而釋放更多的寬帶空間。根據(jù)垃圾郵件過濾系統(tǒng)中記錄的數(shù)據(jù)，系統(tǒng)在1年內(nèi)攔截的垃圾郵件數(shù)量超過總郵件數(shù)量的83%，有效的提高了校園網(wǎng)系統(tǒng)的安全。

3 結(jié)語

綜上所述，傳統(tǒng)的數(shù)字化校園信息安全防御體系是靜態(tài)的，且防御過程比較被動(dòng)。隨著先進(jìn)信息技術(shù)的全面應(yīng)用，立體防御體系的構(gòu)建，則是以動(dòng)態(tài)形式運(yùn)行的，能夠主動(dòng)對(duì)校園網(wǎng)絡(luò)的攻擊者進(jìn)行防御。同時(shí)，在物理安全層、網(wǎng)絡(luò)安全層、數(shù)據(jù)安全層，以及內(nèi)容安全層的共同作用下，數(shù)字化信息安全防御體系的有效利用，能夠提升校園網(wǎng)絡(luò)系統(tǒng)的防御水平，過濾網(wǎng)絡(luò)中的不良信息，從而為學(xué)生提供健康的網(wǎng)絡(luò)環(huán)境。

[1]朱力緯，劉麗勤，王健等.高職院?；诖髷?shù)據(jù)時(shí)代的數(shù)字化校園建設(shè)探討[J].華東師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2015.

[2]王瑞娜.云計(jì)算技術(shù)在數(shù)字化校園中的應(yīng)用研究[J].安陽工學(xué)院學(xué)報(bào)，2014.

[3]朱力緯，劉麗勤，王健等.高職院校基于大數(shù)據(jù)時(shí)代的數(shù)字化校園建設(shè)探討[C].//中國高等教育學(xué)會(huì)教育信息化分會(huì)第十二次學(xué)術(shù)年會(huì)論文集，2014.

[4]朱亞瓊,馮楊.高職院校數(shù)字化校園建設(shè)與管理研究——以河南財(cái)政稅務(wù)高等?？茖W(xué)校為例[J].河南財(cái)政稅務(wù)高等?？茖W(xué)校學(xué)報(bào)，2015.

[5]潘杰.中職學(xué)校數(shù)字化校園建設(shè)若干問題探討[J].科技信息，2014.

[6]詹曉，馬明琮，沈軍等.如何加強(qiáng)數(shù)字化校園信息安全[J].電腦迷，2014.