文/姜鵬 趙正利

隨著各類高校智慧化校園的建設，校區(qū)的網(wǎng)絡承載了更加豐富的應用。有傳統(tǒng)的師生上網(wǎng)、網(wǎng)站發(fā)布、信息化系統(tǒng)運行等需求，也有近年涌現(xiàn)的物聯(lián)網(wǎng)、數(shù)據(jù)中心運轉等需求，而目前來自校園內(nèi)部和外部的網(wǎng)絡安全威脅不斷增加，需要重新規(guī)劃網(wǎng)絡安全的總體構架，部署落實并在實踐中逐步調(diào)整。同時對運維中產(chǎn)生的大量安全數(shù)據(jù)進行關聯(lián)分析，促進安全策略的優(yōu)化。異構的數(shù)據(jù)源和持續(xù)增長的數(shù)據(jù)量給分析人員帶來了繁重的負擔，可視化是當前大數(shù)據(jù)技術中一項重要的應用，在大數(shù)據(jù)分析中扮演著越來越重要的角色[1]，在網(wǎng)絡運維的場景中通過采用大數(shù)據(jù)可視化分析手段可以更快的掌握安全趨勢。從基礎網(wǎng)絡安全、信息安全、數(shù)據(jù)中心安全、大數(shù)據(jù)收集及分析平臺等部分探討了智慧校園網(wǎng)絡安全技術體系。在此技術路線基礎上融合現(xiàn)有軟硬件資源，逐步建立一套智慧化的網(wǎng)絡安全管理體系。

成功的安全體系是建立在統(tǒng)一管理的軟硬件網(wǎng)絡設備基礎上，而且是成本可控和方便運維的，充分利用現(xiàn)有網(wǎng)絡的軟硬件投入，節(jié)約后期維護的人工成本并具有基準以上的防御能力，而且后期可以通過運維中日志的分析自我修復提升。合理利用大數(shù)據(jù)收集、存儲、圖形化展現(xiàn)等方法解決網(wǎng)絡安全數(shù)據(jù)量大且格式各異的問題。由于基于網(wǎng)絡大數(shù)據(jù)分析的安全檢測技術可以實現(xiàn)海量網(wǎng)絡安全數(shù)據(jù)的深度關聯(lián)分析，也可對寬時間周期內(nèi)的多類型安全數(shù)據(jù)智能關聯(lián)，因此在檢測APT攻擊方面具有明顯優(yōu)勢[2]，利用大數(shù)據(jù)技術使整個體系具有對APT等攻擊威脅的告警和自我調(diào)整能力。

大數(shù)據(jù)可視化促進了對于信息安全事件類型、原因、關系和后果的假設的形成和新知識的積累的過程，有利于管理者的快速決策和安全調(diào)整。

基礎網(wǎng)絡安全

基礎物理網(wǎng)絡和其上網(wǎng)絡層運行策略是整個校區(qū)網(wǎng)絡的基礎，需要通過多種技術手段對其進行安全加固，而且保障網(wǎng)絡接入的安全。根據(jù)相關安全實踐和學校實際需求在其上建立多種相對獨立但有效互聯(lián)的區(qū)域網(wǎng)絡，按照各業(yè)務網(wǎng)絡的不同的安全等級采用差異化的安全策略。總體分為學校邊界區(qū)域、DMZ區(qū)、數(shù)據(jù)中心區(qū)、無線區(qū)域、多個業(yè)務網(wǎng)絡區(qū)、辦公區(qū)、宿舍區(qū)等，對每個區(qū)域做安全策略的邏輯隔離或物理隔離，并進行具體的安全配置。

1.校園邊界區(qū)域

學校校園內(nèi)部一般是獨立部署和運維網(wǎng)絡，在校園的邊界上與網(wǎng)絡運行商專線對接，從而使校區(qū)網(wǎng)路與互聯(lián)網(wǎng)互通。一般需要部署VPN、審計設備、NAT設備、日志設備等等。校園網(wǎng)邊界是校區(qū)網(wǎng)絡安全關鍵的外層環(huán)節(jié)?？梢杂幂^少的投入在這個層面解決來自外部的威脅，同時發(fā)現(xiàn)來自內(nèi)部的異常流量和設備。

（1）訪問控制

一般情況下學校內(nèi)部只有DMZ區(qū)域的網(wǎng)絡服務需要向校外直接公開提供數(shù)據(jù)服務。在邊界上至少啟用網(wǎng)絡三層防護策略，對來源地址、目的地址和服務端口做相應限制，只對外開放必要的服務。有從校外訪問非開放的高安全等級服務（例如內(nèi)部辦公自動化系統(tǒng)）的需求時，啟用VPN的方式進行認證后加密接入，必要時啟用雙因素認證。

（2）異常流量分析過濾

出于保障網(wǎng)絡安全和用戶有效上網(wǎng)帶寬的目標，對學校出口流量進行過濾，包括來自校內(nèi)外的IP段掃描、DDOS攻擊、惡意應用攻擊、返回地址不可達流量等。同時通過監(jiān)控校內(nèi)向外的流量，通過數(shù)據(jù)總量、連接數(shù)、對高危IP的連接數(shù)和數(shù)據(jù)包分析等及時發(fā)現(xiàn)校內(nèi)的僵尸網(wǎng)絡被控端、中毒設備、黑客用機，阻斷攻擊流量并通知用戶離線整改。尤其是檢測并限制僵尸網(wǎng)絡的校區(qū)內(nèi)擴散。在僵尸網(wǎng)絡檢測領域，基于網(wǎng)絡的僵尸主機檢測研究主要包括2個主要方向，垂直關聯(lián)檢測和水平關聯(lián)檢測[3]。通過對校內(nèi)主機網(wǎng)絡通訊特征的后期大數(shù)據(jù)關聯(lián)分析，列出高度疑似僵尸網(wǎng)絡的校內(nèi)地址，然后進行后續(xù)確認和處理工作。

（3）病毒阻斷

作為主要的信息入口的校園網(wǎng)出口是防病毒入侵的第一道防線，可以部署單獨或者集成功能的防病毒設備，過濾網(wǎng)頁、郵件等的病毒流量。尤其在特定病毒爆發(fā)高峰期，在校內(nèi)上網(wǎng)用戶獲知病毒信息并采取措施前，通過定制的過濾規(guī)則及時封堵住大多數(shù)的病毒傳入渠道，防止可能發(fā)生的病毒在校內(nèi)網(wǎng)絡擴散。

（4）安全審計記錄

在相關法規(guī)要求的范疇內(nèi)對校內(nèi)某些區(qū)域進行安全審計。安全審計記錄的信息類型和保存時長配置多種不同策略，包括延長來自校外的目標為DMZ網(wǎng)段的訪問記錄保存時間。記錄必要日志信息，在后期進行帶寬優(yōu)化、運維問題回溯、入侵分析、發(fā)現(xiàn)中毒設備等的數(shù)據(jù)分析。

2.校內(nèi)網(wǎng)絡監(jiān)控

在學校內(nèi)部網(wǎng)絡核心處部署旁路探針和串接監(jiān)控設備，對網(wǎng)絡主要節(jié)點和主要線路進行流量監(jiān)控和特征分析。預定義一些安全警報的閾值，包括一個局域網(wǎng)內(nèi)部總流量、某物理端口單位時間包數(shù)、特定病毒端口單位時間訪問數(shù)、某區(qū)域活躍用戶流量等的變化比例等。預先設定總控端自動程序進行一般情況的處理，復雜的情況及時報警，然后人工干預處理。

3.業(yè)務網(wǎng)絡的安全配置

校園網(wǎng)往往承載了多種滿足不同業(yè)務需求的邏輯專網(wǎng)。這些專網(wǎng)需要根據(jù)不同的安全需求分別配置安全策略。常見的有財務專網(wǎng)、智能卡專網(wǎng)、無線網(wǎng)絡、智慧物聯(lián)網(wǎng)、視頻監(jiān)控專網(wǎng)等。根據(jù)實際需求采用的安全技術如下，使用時是多種措施的結合。

（1）物理隔離

全部采用獨立硬件組網(wǎng)。網(wǎng)絡傳輸使用獨立光纖和獨立屏蔽雙絞線，使用單獨交換機、路由器和供電設備組網(wǎng)，形成一個物理獨立的內(nèi)部網(wǎng)絡。接入設備也僅僅包括專用服務器和管理PC等，做好嚴格準入控制。這種組網(wǎng)方式可以保證帶寬的穩(wěn)定和數(shù)據(jù)存儲及傳輸?shù)母叩燃壈踩健?/p>

（2）邏輯隔離

充分利用現(xiàn)有校區(qū)硬件網(wǎng)絡，采用訪問控制、跨區(qū)Vlan或路由策略等方式實現(xiàn)安全策略。多種業(yè)務共用一套校內(nèi)網(wǎng)絡硬件環(huán)境，具有節(jié)省投資、方便統(tǒng)一升級、維護方便的優(yōu)點；同時有帶寬不穩(wěn)定、數(shù)據(jù)安全性稍低等問題。

（3）虛擬隧道

此種方式一般常見于校外存在分支機構、分校區(qū)之間等需要組成業(yè)務專網(wǎng)的情形下。采用IPSEC等技術實現(xiàn)加密傳輸隧道。優(yōu)點是只要有網(wǎng)絡隨時可以接入、數(shù)據(jù)加密傳輸；缺點是需要兩端配置軟硬件設備，損耗部分網(wǎng)絡資源，校外接入點存在一定安全隱患。

（4）準入控制

（5）認證互信

配置用戶、網(wǎng)絡設備和服務器之間的日常通訊的嚴謹認證機制，只有在通過了預設的認證互信之后才可以互信并傳輸和接受數(shù)據(jù)。利用身份認證技術，計算機能識別用戶的數(shù)字身份，通過數(shù)字簽名的形式來確認用戶身份的授權[4]。在此基礎上對核心應用組合使用IP地址、MAC地址、U盾、手機令牌等的認證手段。

（6）專網(wǎng)邊界控制

采用和校區(qū)網(wǎng)絡總體配置類似的方式進行專網(wǎng)的控制，同一個專網(wǎng)下的跨物理區(qū)域傳輸啟用底層加密，在邊界放置各類防火墻，Vlan內(nèi)部控制廣播等流量，限制接入用戶的帶寬和連接數(shù)上限、訪問目標范圍、接入時間段等，部署內(nèi)部系統(tǒng)更新、病毒升級、時間同步等服務。

數(shù)據(jù)中心安全

數(shù)據(jù)中心是校區(qū)信息和數(shù)據(jù)集中的地方，部署在符合國標的托管機房之內(nèi)，是整個智慧化校園的存儲、計算和智慧控制中心。它自動化的匯集、分析和控制整個校區(qū)的各種物聯(lián)、無線、有線、探測、工作終端等設備。數(shù)據(jù)中心的安全是網(wǎng)絡安全中重要的一環(huán)。有的數(shù)據(jù)中心和DMZ區(qū)放置在臨近的區(qū)域，在這種情況下需要做好邏輯和物理隔離，并參考數(shù)據(jù)中心安全策略來保護DMZ區(qū)域。

1.邊界安全

在數(shù)據(jù)中心邊界構筑多層不同功能的軟硬件防護設備，對網(wǎng)絡層和應用層的數(shù)據(jù)數(shù)據(jù)進行分析、存儲和過濾，并記錄重要日志。

在此之后，英特諾面向亞洲和中國市場正式發(fā)布的英特諾新型模塊化輸送機平臺（MCP）、全球首款內(nèi)置渦流制動裝置的新型磁力速度控制器MS C 50等產(chǎn)品，證明了英特諾對中國客戶的需求有了更加深入的認識。

（1）軟硬件設備接入方式有串接、旁路、分光等方式，其中串接方式技術上具備即時攔截異常流量的功能。一般使用串聯(lián)方式接入防病毒、網(wǎng)站應用入侵防御系統(tǒng)和入侵防御系統(tǒng)等具有主動防御功能的設備。

（2）使用入侵防御系統(tǒng)抵御DDOS、蠕蟲、垃圾包探測、網(wǎng)絡病毒等攻擊；配置網(wǎng)站應用入侵防御系統(tǒng)，采用具有“自學習”功能的WAF設備，它將會完成主動防御[5]，對SQL注入、跨站腳本攻擊、0DAY漏洞、WEB惡意掃描等攻擊進行攔截。設置為發(fā)現(xiàn)異常信息立即進行攔截和記錄，聯(lián)動其他安全設備進行自動化協(xié)同處理。

（3）安裝審計設備對數(shù)據(jù)中心各種網(wǎng)絡數(shù)據(jù)進行收集和記錄，自動梳理后的數(shù)據(jù)發(fā)送給校級大數(shù)據(jù)平臺的日志中心。

2.虛擬化安全

虛擬化平臺的安全設備部署比較靈活，可以把大部分傳統(tǒng)安全功能虛擬化運行在自身平臺上。同時充分利用虛擬化技術的SDN功能進行安全的配置，對虛擬交換網(wǎng)關和虛擬局域網(wǎng)流量進行審計和過濾。首先建立一個Openflow交換的安全特征基準值，僅使用不小于基準值的Openflow交換在源和目標之間建立通道[6]。同時對運維管理進行全程的身份驗證和權限控制。學校云計算平臺應該建立統(tǒng)一的身份認證系統(tǒng)，對用戶的訪問權限進行管理，只有合法的用戶才能進入系統(tǒng)訪問數(shù)據(jù)[7]。虛擬化平臺技術中的重要組成部分hypervisor因自身的特點存在許多的安全隱患[8]，存在通過被攻陷的單臺設備入侵整個虛擬化平臺的風險，需要及時升級虛擬化平臺的軟硬件版本，持續(xù)跟蹤最新漏洞并采取應急措施。

3.服務及數(shù)據(jù)運維安全

采用集群技術保障服務的穩(wěn)定性和高效性，合理使用備份機制作為數(shù)據(jù)的最后一道保障，并使用壓縮技術節(jié)省備份空間。

（1）存儲雙活

采用多種本地和遠程集群技術對存儲進行多硬件同時在線配置，利用以太網(wǎng)或者裸光纖等傳輸手段和多路徑存儲技術做到兩地讀寫完全同步。在單臺故障的情況下依舊可以提供存儲服務。

（2）服務雙活

通常是在實現(xiàn)了存儲雙活的基礎上，通過軟件統(tǒng)一調(diào)度硬件資源（中心處理器、內(nèi)存、網(wǎng)絡交換等）實現(xiàn)軟件級別（服務、操作系統(tǒng)、虛擬化層等）的兩地服務雙活。

（3）備份機制

備份機制是數(shù)據(jù)安全的基礎要求，日常定期對數(shù)據(jù)進行異地備份，包括生產(chǎn)數(shù)據(jù)備份、各類設備日志備份、配置備份等。按照所運行業(yè)務的安全等級建立不同標準的備份機制，對于一般安全級別的數(shù)據(jù)每天本地全備份一次和增量數(shù)次，每周異地全備份一次和每天增量一次。

4. 日志中心

建立規(guī)范的日志中心是安全運維的基礎。使用大數(shù)據(jù)的分布式存儲技術建立穩(wěn)固的日志存儲平臺。在嚴格權限管理基礎上配置多類型的數(shù)據(jù)接口，供后期分析、運維查詢、安全審計等使用。Hadoop框架固有的特定結構可以將分布式應用部署到大型廉價集群上，非常適合海量數(shù)據(jù)的高效存儲與管理[9]，底層采用成熟的Hadoop大數(shù)據(jù)存儲技術建設。Java通過在不同的層級上分發(fā)程序的執(zhí)行以提高執(zhí)行效率[10]，日志通用接口使用Java語言編寫。在保證高性能和容錯性的同時合理利用現(xiàn)有服務器硬件。

信息安全

1.存儲安全

對核心服務配置高強度的存儲加密策略。建立密鑰服務器；對于僅滿足驗證需求的密碼等信息存儲使用不可逆加密；數(shù)據(jù)庫中的用戶身份等敏感數(shù)據(jù)進行非對稱雙向加密，解密程序配置為高安全等級的獨立運行服務，嚴格控制其訪問的授權。

2.傳輸安全

服務器之間傳輸數(shù)據(jù)的時候采用加密方式傳輸，包括在Web Service接口啟用Https加密。SSL協(xié)議在首次握手之后確定了所有的密鑰和加密算法，之后對話的安全性完全依賴于加密算法的復雜度[11]，運維中采用大于等于128位的密鑰。數(shù)據(jù)庫遠程讀寫的時候啟用數(shù)據(jù)庫的安全傳輸選項。根據(jù)實際情況（包括被傳輸數(shù)據(jù)的安全等級、服務器加解密負載和傳輸經(jīng)過網(wǎng)絡情況）統(tǒng)一配置安全策略，必要時使用加密隧道技術。

3.權限控制

嚴格控制信息的訪問權限，限定不同角色訪問的數(shù)據(jù)范圍、單次數(shù)據(jù)最大訪問量、訪問渠道和時間限期等。使用多因素認證的安全準入控制，記錄詳細運維和訪問記錄。

4. 數(shù)據(jù)庫審計

對數(shù)據(jù)庫的操作，對每條增刪等修改操作都進行來源審計和記錄。保存數(shù)據(jù)變更記錄，在意外情況下（包括誤操作、數(shù)據(jù)表運行異常、被篡改等）可以回滾到特定時間點，同時方便故障的定位。

安全大數(shù)據(jù)平臺

利用基于分布式存儲的日志中心收集和梳理全校安全數(shù)據(jù)。在關鍵位置（數(shù)據(jù)集中通過的地方）放置多個流量探針，還原并收集網(wǎng)絡流量數(shù)據(jù)。收集交換設備、服務器設備、安全設備、虛擬化、操作系統(tǒng)、中間件、數(shù)據(jù)庫等的日志，包括用戶訪問、異常數(shù)據(jù)、攻擊行為、服務運行、系統(tǒng)運行、管理員運維等行為。傳統(tǒng)的企業(yè)安全邊界正在消失，并演變成安全智能的范疇，具有海量的、加速增長、種類顯著變化的數(shù)據(jù)特征[12]。建立大數(shù)據(jù)平臺的時候需要在滿足現(xiàn)有日志存儲容量和計算分析能力基礎之上，至少額外預留30%的備用性能。基于大數(shù)據(jù)的信令監(jiān)測系統(tǒng)通過對各類攻擊方式的深度挖掘，能夠有效地對攻擊行為進行識別，并制定相應的防護方案[13]。大數(shù)據(jù)平臺對海量數(shù)據(jù)進行篩選和格式規(guī)整，然后利用關聯(lián)算法和分析引擎進行后期處理并保存結果，最后形成可視化展現(xiàn)和日常報表。大數(shù)據(jù)可視化促進了對于信息安全事件類型、原因、關系和后果的假設的形成和新知識的積累的過程[14]，有利于管理者的快速決策和安全調(diào)整。

本文從技術角度研究了目前校園網(wǎng)絡的安全需求，分析網(wǎng)絡安全面臨的內(nèi)部和外部風險，提出相應安全措施，形成了智慧校園的網(wǎng)絡安全整體方案。但是由于存在利益等多因素驅動，新型網(wǎng)絡攻擊手段不斷出現(xiàn)，網(wǎng)絡安全防御處于相對被動的狀態(tài)。因此需要加快網(wǎng)絡安全的發(fā)展，根據(jù)現(xiàn)實情況充分利用現(xiàn)有軟硬件資源，建立并持續(xù)完善校區(qū)網(wǎng)絡安全體系。