廖海生

(廣東科學(xué)技術(shù)職業(yè)學(xué)院 計(jì)算機(jī)工程技術(shù)學(xué)院， 廣東 珠海 519090)

0 引言

長(zhǎng)期以來(lái)，校園網(wǎng)絡(luò)安全體系的設(shè)計(jì)主要以防為主，受PDR、P2DR、IATF等指導(dǎo)模型的影響，以往校園網(wǎng)安全體系建設(shè)重點(diǎn)在檢測(cè)與防御上建設(shè)，通過(guò)實(shí)時(shí)的在線檢測(cè)御黑客于網(wǎng)絡(luò)之外。但從近些年發(fā)生的大量網(wǎng)絡(luò)攻擊案例發(fā)現(xiàn)，現(xiàn)有的安全防御體系并未能徹底抵御所有的網(wǎng)絡(luò)攻擊，如美國(guó)國(guó)家安全部、NASA、伊朗核設(shè)施等組織的網(wǎng)絡(luò)安全體系將檢測(cè)、防御技術(shù)建設(shè)到極致，但仍然被攻擊者成功滲透。

而隨著云計(jì)算、大數(shù)據(jù)的興起，高校信息化正從數(shù)字化進(jìn)入智慧化，智慧校園建設(shè)成為高校發(fā)展建設(shè)、綜合服務(wù)、競(jìng)爭(zhēng)力的驅(qū)動(dòng)力，智慧校園主要是利用云計(jì)算、大數(shù)據(jù)等技術(shù)構(gòu)建全面感知校園物理環(huán)境，智能識(shí)別師生個(gè)體特征和學(xué)習(xí)、工作情景、行為軌跡，將科研、辦公、管理、教學(xué)、生活等業(yè)務(wù)深度融合，將人與人、人與物、物與物的頻繁互動(dòng)行為進(jìn)行互通融合，因此智慧校園數(shù)據(jù)種類繁多、數(shù)據(jù)量將成幾何式的增長(zhǎng)，校園大數(shù)據(jù)將對(duì)高校網(wǎng)絡(luò)空間安全帶來(lái)極大的沖擊，特別是在日益猖獗的網(wǎng)絡(luò)攻擊面前，傳統(tǒng)的網(wǎng)絡(luò)安全防御手段已顯得力不從心，無(wú)法應(yīng)對(duì)當(dāng)前大數(shù)據(jù)背景下的校園網(wǎng)絡(luò)安全威脅。

1 大數(shù)據(jù)背景下校園網(wǎng)絡(luò)存在的安全隱患

隨著高校智慧校園建設(shè)的不斷推進(jìn)，各高校大力利用大數(shù)據(jù)、云技術(shù)與人工智能等新技術(shù)開(kāi)發(fā)并拓展學(xué)校管理與服務(wù)應(yīng)用，如AI攝像機(jī)構(gòu)建的平安校園、物聯(lián)網(wǎng)技術(shù)構(gòu)建的綠色校園、人臉識(shí)別技術(shù)構(gòu)建的行為管理系統(tǒng)、隨時(shí)隨地的網(wǎng)絡(luò)教學(xué)平臺(tái)、互聯(lián)互通的新媒體等，高校業(yè)務(wù)對(duì)互聯(lián)網(wǎng)越來(lái)越依賴，校園內(nèi)人、物的關(guān)聯(lián)性和復(fù)雜度不斷提高，網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)不斷集中化。因此，高校網(wǎng)絡(luò)空間安全將面臨新的挑戰(zhàn)，存在的安全隱患也將越來(lái)越多。

1.1 數(shù)據(jù)存儲(chǔ)傳輸存在安全隱患

一是在大數(shù)據(jù)背景下，高校智慧校園大數(shù)據(jù)中心實(shí)現(xiàn)高校數(shù)據(jù)高度共享，數(shù)據(jù)共享給學(xué)校教學(xué)管理、數(shù)據(jù)應(yīng)用等帶來(lái)便利的同時(shí)，高校大數(shù)據(jù)中心也成為黑客攻擊的重要對(duì)象；二是師生個(gè)人數(shù)據(jù)高度共享，個(gè)人數(shù)據(jù)完全暴露于網(wǎng)絡(luò)，將存在個(gè)人隱私泄露問(wèn)題；三是數(shù)據(jù)共享方便師生快速的查詢到自己所需的信息資料，在不斷普及信息共享意識(shí)和拓寬信息的獲取途徑的過(guò)程中也加大了信息被竊取的概率；四是隨著互聯(lián)網(wǎng)技術(shù)高速發(fā)展，高校萬(wàn)物互聯(lián)，互聯(lián)網(wǎng)高度互通，在方便用戶快捷傳輸數(shù)據(jù)的同時(shí)也給網(wǎng)絡(luò)黑客帶來(lái)可乘之機(jī)，在傳輸中可能存在信息被暴露或被截獲的安全隱患。

1.2 網(wǎng)絡(luò)物理設(shè)備存在安全隱患

一是高校智慧校園的建設(shè)使得服務(wù)器、存儲(chǔ)、交換機(jī)等網(wǎng)絡(luò)設(shè)備種類、數(shù)量不斷增加，網(wǎng)絡(luò)設(shè)備集成共享度也越來(lái)越高，高校業(yè)務(wù)對(duì)網(wǎng)絡(luò)設(shè)備的依賴性更加強(qiáng)，但由于經(jīng)濟(jì)問(wèn)題很多高校沒(méi)有建立容災(zāi)機(jī)制，網(wǎng)絡(luò)設(shè)備存在單點(diǎn)故障風(fēng)險(xiǎn)；二是智慧校園部署了感知層，感知層節(jié)點(diǎn)數(shù)量多、感知設(shè)備多，部署比較分散，感知層設(shè)備的安全管控難度大。

1.3 網(wǎng)絡(luò)安全管理機(jī)制存在隱患

一是高校智慧校園建設(shè)存在重建設(shè)、輕管理，重應(yīng)用、輕安全的現(xiàn)象，高校網(wǎng)絡(luò)安全管理工作受限于人員編制、運(yùn)維成本等因素，缺乏順暢的管理機(jī)制、精細(xì)的管控服務(wù)、規(guī)范的運(yùn)維流程[1]，網(wǎng)絡(luò)安全管理體系制度不健全以及組織機(jī)構(gòu)設(shè)置不合理，存在管理風(fēng)險(xiǎn)；二是未對(duì)智慧校園網(wǎng)絡(luò)安全進(jìn)行全面評(píng)估，技術(shù)對(duì)策具有滯后性，依舊還是采用訪問(wèn)控制技術(shù)、入侵檢測(cè)技術(shù)、防火墻等傳統(tǒng)防御技術(shù)防御連接層，潛在于應(yīng)用層的安全威脅難以及時(shí)預(yù)防和監(jiān)控，網(wǎng)絡(luò)管理對(duì)策也往往滯后于智慧校園安全管理，且都是被動(dòng)防疫，難以滿足大數(shù)據(jù)背景下的網(wǎng)絡(luò)安全管理需求[2]。

2 智慧校園網(wǎng)絡(luò)安全體系設(shè)計(jì)

2.1 安全風(fēng)險(xiǎn)分析

目前高校智慧校園建設(shè)體系主要分基礎(chǔ)設(shè)施層、支撐平臺(tái)層、智慧應(yīng)用層和表現(xiàn)層，如圖1所示。要有效防護(hù)整個(gè)智慧校園，就要針對(duì)智慧校園建設(shè)體系各層的應(yīng)用特征分析各層可能存在的安全問(wèn)題[3]。

圖1 智慧校園建設(shè)體系架構(gòu)

1)智慧校園基礎(chǔ)設(shè)施層安全問(wèn)題：智慧校園基礎(chǔ)設(shè)施層主要包括有線網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)、物聯(lián)網(wǎng)、云存儲(chǔ)與云計(jì)算架構(gòu)，根據(jù)基礎(chǔ)設(shè)施層的特征，主要存在服務(wù)器虛擬化安全、網(wǎng)絡(luò)邊界安全等安全問(wèn)題。

2)智慧校園支撐平臺(tái)層是整個(gè)智慧校園系統(tǒng)的核心部分，包括各種應(yīng)用引擎、開(kāi)發(fā)平臺(tái)、數(shù)據(jù)中心、認(rèn)證平臺(tái)等，支撐智慧校園應(yīng)用與服務(wù)，因此本層重點(diǎn)存在代碼安全以及各類支撐平臺(tái)的防御能力問(wèn)題。

3)智慧應(yīng)用層是智慧校園的各種應(yīng)用系統(tǒng)，為各級(jí)用戶提供智慧應(yīng)用和服務(wù)，是用戶體驗(yàn)感最強(qiáng)的部分，也是直接面對(duì)用戶的部分，這些應(yīng)用與服務(wù)大多采用微應(yīng)用、微服務(wù)架構(gòu)，每個(gè)微應(yīng)用、微服務(wù)都可獨(dú)立提供服務(wù)，因此本層主要需要考慮應(yīng)用系統(tǒng)代碼安全和系統(tǒng)應(yīng)用安全問(wèn)題，以及用戶的身份認(rèn)證安全、行為安全問(wèn)題。

4)表現(xiàn)層是利用各類終端設(shè)備和WEB系統(tǒng)實(shí)現(xiàn)信息的進(jìn)與出，即為信息采集和信息展示，所以本層安全主要存在終端設(shè)備的安全、WEB系統(tǒng)安全、新媒體安全、移動(dòng)終端的遠(yuǎn)程接入與工作安全問(wèn)題。

2.2 安全體系設(shè)計(jì)思路

高校智慧校園網(wǎng)絡(luò)安全體系設(shè)計(jì)總體思路是：基于智慧校園建設(shè)體系防護(hù)對(duì)象，遵循安全可靠、動(dòng)態(tài)兼容、融合創(chuàng)新、管理便捷、先進(jìn)與標(biāo)準(zhǔn)并存以及多重保護(hù)的原則，以數(shù)據(jù)安全為核心構(gòu)建云+端+邊界的互聯(lián)網(wǎng)絡(luò)安全生態(tài)體系，具有風(fēng)險(xiǎn)識(shí)別能力、安全防御能力、安全檢測(cè)能力、安全響應(yīng)能力與安全恢復(fù)能力，最終實(shí)現(xiàn)風(fēng)險(xiǎn)可見(jiàn)化，防御主動(dòng)化，運(yùn)行自動(dòng)化的安全目標(biāo)，保障學(xué)校業(yè)務(wù)的安全。

1)以數(shù)據(jù)為核心的設(shè)計(jì)思路。傳統(tǒng)的網(wǎng)絡(luò)安全防御體系設(shè)計(jì)思路是監(jiān)測(cè)某一時(shí)刻的攻擊行為，具有片面性，而以數(shù)據(jù)為核心的設(shè)計(jì)思路是監(jiān)測(cè)某微小數(shù)據(jù)，它能將整個(gè)攻擊過(guò)程都記錄下來(lái)，并且能回溯分析全過(guò)程，還原攻擊的全貌。

2)縱橫協(xié)同防御思想。以智慧校園硬件基礎(chǔ)架構(gòu)層次為縱向，建立從虛擬化安全到網(wǎng)絡(luò)層安全、應(yīng)用及數(shù)據(jù)層安全的多層安全防護(hù)；以智慧校園業(yè)務(wù)應(yīng)用為橫向，建立賬號(hào)及口令安全、文件權(quán)限、管理策略安全、運(yùn)營(yíng)安全等協(xié)同安全防護(hù)；針對(duì)外部攻擊，建立邊界安全防護(hù)、內(nèi)網(wǎng)安全防護(hù)及終端安全防護(hù)的協(xié)同防護(hù)體系[4]。

3)內(nèi)外兼顧的運(yùn)營(yíng)管理策略。應(yīng)對(duì)內(nèi)部應(yīng)用快速變化帶來(lái)的安全威脅，以漏洞為核心建立全生命周期的漏洞管理體系；應(yīng)對(duì)外部攻擊方式多樣化帶來(lái)的威脅，以威脅為核心結(jié)合威脅情報(bào)感知、應(yīng)急響應(yīng)和恢復(fù)過(guò)程流程，逐步擺脫被動(dòng)應(yīng)對(duì)方式，建立能夠主動(dòng)感知和預(yù)警的威脅防護(hù)體系[5]。

4)技術(shù)與管理相結(jié)合的思路。成立安全職責(zé)部門，設(shè)置專職安全運(yùn)營(yíng)崗位，完善信息安全管理制度、規(guī)定，組織安全培訓(xùn)并監(jiān)督安全制度的執(zhí)行情情況，實(shí)施獎(jiǎng)懲制度，對(duì)安全策略的執(zhí)行納入員工考核[5]。

3 智慧校園安全管控平臺(tái)設(shè)計(jì)

3.1 智慧校園安全管控平臺(tái)總體框架

智慧校園安全平臺(tái)是基于智慧校園體系而設(shè)計(jì)，針對(duì)智慧校園體系各層的應(yīng)用特征進(jìn)行安全防護(hù)設(shè)計(jì)，在智慧校園各層部署感知器以及在關(guān)鍵網(wǎng)絡(luò)口部署流探針，通過(guò)數(shù)據(jù)采集器及時(shí)采集感知器和流探針的數(shù)據(jù)，經(jīng)過(guò)預(yù)處理送智慧安全大腦，為智慧運(yùn)營(yíng)管理平臺(tái)全面感知智慧校園安全態(tài)勢(shì)提供數(shù)據(jù)支撐，及時(shí)分析處置安全威脅，預(yù)測(cè)智慧校園安全風(fēng)險(xiǎn)[6]。其總體架構(gòu)圖2所示。

圖2 智慧校園安全管控平臺(tái)總體框架

3.2 智慧校園基礎(chǔ)設(shè)施層安全設(shè)計(jì)

智慧校園基礎(chǔ)設(shè)施層主要包括有線網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)、物聯(lián)網(wǎng)、云存儲(chǔ)與云計(jì)算架構(gòu)，它既是智慧校園第一道防線又是最底防線，主要存在服務(wù)器虛擬化安全、網(wǎng)絡(luò)邊界安全等安全問(wèn)題。面對(duì)大數(shù)據(jù)時(shí)代安全風(fēng)險(xiǎn)，只依靠本地的高性能、多功能的安全產(chǎn)品來(lái)防護(hù)基礎(chǔ)層安全遠(yuǎn)遠(yuǎn)不夠，要從傳統(tǒng)的被動(dòng)防護(hù)轉(zhuǎn)為多層安全防線的主動(dòng)防御，采集大量網(wǎng)絡(luò)數(shù)據(jù)，通過(guò)智慧安全大腦智能分析，動(dòng)態(tài)感知安全威脅[7]，主動(dòng)防御攻擊。

1)服務(wù)器安全設(shè)計(jì)。智慧校園是把物理服務(wù)器資源虛擬化構(gòu)建云數(shù)據(jù)中心，不受物理的界限隔離，構(gòu)建計(jì)算、存儲(chǔ)動(dòng)態(tài)資源池，實(shí)現(xiàn)集中管理應(yīng)用。在設(shè)計(jì)服務(wù)器安全時(shí)，一是要設(shè)計(jì)智能病毒查殺功能。服務(wù)器虛擬化后，攻擊者一般是直接通過(guò)應(yīng)用侵入到虛擬機(jī)內(nèi)部，根植木馬病毒，因此需要設(shè)計(jì)云查殺+本地查殺相結(jié)合病毒防御模式，對(duì)虛擬機(jī)及服務(wù)器進(jìn)行掃描結(jié)果緩存共享，采用增量掃描模式提高掃描效率[8]；二是物理主機(jī)的安全防護(hù)重點(diǎn)是針對(duì)Windows或Linux等操作系統(tǒng)的漏洞設(shè)計(jì)，通過(guò)智慧安全大腦智能感知系統(tǒng)漏洞，并進(jìn)行統(tǒng)一管理和更新；三是智能安全策略更新機(jī)制。服務(wù)器虛擬化后各虛擬機(jī)數(shù)據(jù)將動(dòng)態(tài)互遷移，這就可能造成將不同安全策略的數(shù)據(jù)遷移到不同安全策略的虛擬機(jī)上，導(dǎo)致虛擬安全域混亂，因此需要在各虛擬機(jī)中安裝智能感知模塊，將感知信息傳回智慧安全大腦，智慧安全大腦匹對(duì)涉及的各虛擬機(jī)安全策略，并以增量模式更新各虛擬機(jī)安全策略，有效解決虛擬機(jī)漂移造成的虛擬機(jī)之間的互相攻擊問(wèn)題。

2)邊界安全設(shè)計(jì)。邊界安全是智慧校園網(wǎng)絡(luò)第一道防護(hù)，主要是保護(hù)校園網(wǎng)絡(luò)由外至內(nèi)，保障校園資源不受外部攻擊，以及由內(nèi)向外，防止外部網(wǎng)絡(luò)攻擊。傳統(tǒng)的邊界安全部署有防火墻、行為審計(jì)、VPN系統(tǒng)、入侵檢測(cè)系統(tǒng)等安全產(chǎn)品，重點(diǎn)是在高校網(wǎng)絡(luò)出入口的位置對(duì)攻擊進(jìn)行封堵，但網(wǎng)絡(luò)的物理出入口并不是攻擊者進(jìn)入到網(wǎng)絡(luò)的唯一途徑[9]，入侵到網(wǎng)絡(luò)內(nèi)部有很多可選擇的途徑與突破口，如PC、智能終端、師生用戶、應(yīng)用軟件、網(wǎng)絡(luò)服務(wù)等都將成為攻擊者攻擊的入口與突破口，因此網(wǎng)絡(luò)的安全邊界是邏輯邊界，不是傳統(tǒng)的物理邊界。其安全設(shè)計(jì)思路：一是設(shè)置多層級(jí)防護(hù)，延長(zhǎng)攻擊路線和攻擊時(shí)間，讓攻擊者盡可能多的暴露出異常行為，獲取攻擊行為數(shù)據(jù)，依靠大數(shù)據(jù)分析提前發(fā)現(xiàn)分析威脅，主動(dòng)出擊；二是設(shè)計(jì)精細(xì)化的用戶訪問(wèn)控制策略和數(shù)據(jù)進(jìn)出策略。即時(shí)在各邏輯邊界安裝威脅感知模塊，并與智慧安全大腦、云端威脅檢測(cè)中心聯(lián)動(dòng)，形成立體化分析檢測(cè)，對(duì)進(jìn)出數(shù)據(jù)和用戶訪問(wèn)請(qǐng)求進(jìn)行檢測(cè)分析，及時(shí)響應(yīng)，作出處置、防護(hù)[10]。

3.3 智慧校園平臺(tái)層安全設(shè)計(jì)

智慧校園支撐平臺(tái)層是整個(gè)智慧校園系統(tǒng)的核心部分，猶如應(yīng)用引擎主板，連接各種應(yīng)用，包括各種應(yīng)用引擎、開(kāi)發(fā)平臺(tái)、數(shù)據(jù)中心、認(rèn)證平臺(tái)等。支撐平臺(tái)是智慧校園系統(tǒng)的核心代碼，平臺(tái)軟件的代碼安全漏洞和未聲明功能(后門)是智慧校園支撐平臺(tái)的重要安全隱患，因此支撐平臺(tái)本身的代碼安全問(wèn)題和平臺(tái)防御能力是重點(diǎn)問(wèn)題。

智慧校園支撐平臺(tái)層的安全只依靠基礎(chǔ)設(shè)施層的安全防護(hù)遠(yuǎn)遠(yuǎn)不夠，無(wú)法解決自身代碼安全問(wèn)題，因此需要設(shè)計(jì)一款智能代碼安全管理平臺(tái)對(duì)平臺(tái)軟件的代碼安全進(jìn)行安全管理。一是代碼安全自動(dòng)檢測(cè)機(jī)制，智能代碼安全管理平臺(tái)實(shí)時(shí)監(jiān)測(cè)平臺(tái)軟件及各類接口應(yīng)用代碼，一旦源代碼變化即預(yù)警，自動(dòng)分析代碼與漏洞庫(kù)進(jìn)行匹配，一旦代碼存在漏洞也及時(shí)預(yù)警[11]；二是源代碼安全自動(dòng)加固機(jī)制。智能代碼安全管理平臺(tái)聯(lián)動(dòng)兩個(gè)以上成熟的第三方代碼安全加固軟件，檢測(cè)發(fā)現(xiàn)代碼變化或漏洞，將調(diào)用第三方代碼安全加固軟件修復(fù)代碼，同時(shí)對(duì)代碼進(jìn)行代碼混淆及代碼加固處理。

3.4 智慧應(yīng)用層安全設(shè)計(jì)

智慧應(yīng)用層主要包括門戶網(wǎng)站和其它業(yè)務(wù)系統(tǒng)，信息系統(tǒng)等級(jí)保護(hù)第三級(jí)要求業(yè)務(wù)系統(tǒng)自身應(yīng)具備“身份鑒別、訪問(wèn)控制、安全審計(jì)、通信完整性、通信保密性、軟件容錯(cuò)和資源控制”等安全功能[12]。因此本層主要需要考慮應(yīng)用系統(tǒng)代碼安全和系統(tǒng)應(yīng)用安全問(wèn)題。應(yīng)用系統(tǒng)代碼安全采用智能代碼安全管理平臺(tái)進(jìn)行防護(hù)，系統(tǒng)應(yīng)用安全問(wèn)題則重點(diǎn)考慮用戶身份認(rèn)證安全、行為安全問(wèn)題。

1)智能訪問(wèn)控制平臺(tái)設(shè)計(jì)。隨著高校智慧校園建設(shè)的推進(jìn)，學(xué)校應(yīng)用系統(tǒng)不斷豐富，為解決用戶賬戶繁多，方便用戶使用，智慧校園采用了統(tǒng)一身份認(rèn)證系統(tǒng)，但也使得各類應(yīng)用安全管理、用戶權(quán)限管理存在巨大難度。智能訪問(wèn)控制平臺(tái)就是解決應(yīng)用安全管理、用戶權(quán)限管理、賬戶安全管理等問(wèn)題，包括智能身份認(rèn)證、智能感知等功能。

智能身份認(rèn)證提供統(tǒng)一用戶身份管理服務(wù)和權(quán)限管理服務(wù)。(1)將各應(yīng)用系統(tǒng)的賬戶統(tǒng)一收回，集中管理，實(shí)現(xiàn)應(yīng)用統(tǒng)一入口認(rèn)證；(2)將各應(yīng)用系統(tǒng)訪問(wèn)權(quán)限收回，實(shí)現(xiàn)應(yīng)用權(quán)限統(tǒng)一管理，建立包括賬戶與應(yīng)用權(quán)限對(duì)應(yīng)的訪問(wèn)控制列表，實(shí)現(xiàn)細(xì)粒度的訪問(wèn)權(quán)限控制；(3)執(zhí)行過(guò)程。智能身份認(rèn)證模塊收到訪問(wèn)請(qǐng)求(包括賬戶信息、訪問(wèn)應(yīng)用)，將驗(yàn)證訪問(wèn)者的用戶身份信息，驗(yàn)證通過(guò)后由智能權(quán)限管理模塊驗(yàn)證應(yīng)用身份，從訪問(wèn)控制列表中匹對(duì)其訪問(wèn)權(quán)限，然后由智能權(quán)限管理模塊充當(dāng)代理與應(yīng)用系統(tǒng)建立應(yīng)用/API訪問(wèn)服務(wù)，提供授權(quán)訪問(wèn)，雖然該賬戶可能具有多個(gè)應(yīng)用訪問(wèn)權(quán)限，但是本次未申請(qǐng)?jiān)L問(wèn)的內(nèi)容不具有訪問(wèn)權(quán)限，實(shí)現(xiàn)一申請(qǐng)一訪問(wèn)[13]。

智能感知是感知用戶訪問(wèn)過(guò)程中的各種行為，通過(guò)行為日志如對(duì)用戶請(qǐng)求、身份認(rèn)證、訪問(wèn)授權(quán)、應(yīng)用訪問(wèn)等行為變化進(jìn)行風(fēng)險(xiǎn)分析與評(píng)估，并及時(shí)預(yù)警，根據(jù)訪問(wèn)風(fēng)險(xiǎn)行為和異常信息，進(jìn)行智能分析，及時(shí)更新用戶的身份及權(quán)限信息，實(shí)現(xiàn)自我學(xué)習(xí)能力，不斷提升風(fēng)險(xiǎn)防范能力。

2)智能行為安全管理設(shè)計(jì)。智能行為安全管理平臺(tái)包括數(shù)據(jù)采集、智能分析、智能預(yù)警等功能。通過(guò)采集用戶上網(wǎng)行為、網(wǎng)絡(luò)設(shè)備以及應(yīng)用系統(tǒng)日志等數(shù)據(jù)，利用大數(shù)據(jù)技術(shù)進(jìn)行分析，為智慧校園安全起到事前預(yù)警、事中控制，事后溯源的作用[14]。(1)校園輿情預(yù)警作用。通過(guò)師生上網(wǎng)行為數(shù)據(jù)分析，可及時(shí)發(fā)現(xiàn)師生異常動(dòng)態(tài)，如晚歸、高消費(fèi)、網(wǎng)貸趨向、沉溺網(wǎng)絡(luò)、思想動(dòng)態(tài)等，及時(shí)采取措施避免校內(nèi)輿情事件；(2)業(yè)務(wù)預(yù)警作用。通過(guò)學(xué)生學(xué)習(xí)、圖書(shū)資源等數(shù)據(jù)分析，可實(shí)現(xiàn)學(xué)生成績(jī)、資源利用效率等預(yù)警；(3)設(shè)備故障預(yù)警。通過(guò)設(shè)備日志數(shù)據(jù)分析，可提前分析出設(shè)備異常，提前做好維護(hù)，保障設(shè)備不間斷運(yùn)行。

3.5 表現(xiàn)層安全設(shè)計(jì)

表現(xiàn)層是用戶使用各種終端體驗(yàn)智慧校園各類應(yīng)用的入口，高校內(nèi)網(wǎng)終端設(shè)備數(shù)量多、種類豐富以及用戶種類多等原因給智慧校園網(wǎng)絡(luò)造成巨大安全隱患，其主要做好終端設(shè)備和WEB頁(yè)面的安全防護(hù)。

1)智能終端設(shè)備安全防護(hù)機(jī)制。為解決在終端設(shè)備安裝殺毒軟件只是被動(dòng)防范，而不能主動(dòng)發(fā)現(xiàn)未知安全威脅的問(wèn)題，本設(shè)計(jì)采用蜜罐原理設(shè)計(jì)多層次的終端威脅防護(hù)機(jī)制。第一層為引誘層，將空閑I P分配給蜜罐服務(wù)，將攻擊者流量重定向到隔離網(wǎng)絡(luò)內(nèi)的蜜罐環(huán)境中，在保護(hù)真實(shí)IP免受入侵的同時(shí)收集攻擊者信息；第二層為動(dòng)態(tài)虛擬層，當(dāng)攻擊者識(shí)破不是他們真正的目標(biāo)IP，發(fā)現(xiàn)攻擊者試圖改變攻擊路線，根據(jù)捕獲攻擊者日志，將真實(shí)IP切換到熱備IP，而將原來(lái)真實(shí)IP動(dòng)態(tài)構(gòu)建為虛擬環(huán)境，為了拉長(zhǎng)攻擊者攻擊路徑，捕獲攻擊者更多攻擊行為數(shù)據(jù)，動(dòng)態(tài)虛擬層將根據(jù)實(shí)際自動(dòng)構(gòu)建多層次，直到通過(guò)分析攻擊行為數(shù)據(jù)能有效捕殺攻擊者為止[15]。

2)智能WEB安全防護(hù)平臺(tái)。目前高校應(yīng)用系統(tǒng)都采用B/S架構(gòu)，通過(guò)WEB頁(yè)面直接與用戶打交道，因此WEB頁(yè)面也成為攻擊者首先對(duì)象，數(shù)據(jù)泄露、頁(yè)面篡改、掛黑鏈、錯(cuò)敏內(nèi)容等時(shí)有發(fā)生。結(jié)合當(dāng)前WEB攻擊內(nèi)容，利用大數(shù)據(jù)分析技術(shù)構(gòu)建基于公有云的智能WEB防護(hù)平臺(tái)。該平臺(tái)包括智能監(jiān)測(cè)、智能分析、智能處理等功能模塊。智能監(jiān)測(cè)是7*24小時(shí)服務(wù)模式，實(shí)時(shí)監(jiān)測(cè)網(wǎng)站內(nèi)容變化情況，如是否被篡改、網(wǎng)站是否有外鏈、是否存在敏感圖片、潛在問(wèn)題等，與原內(nèi)容模板進(jìn)行匹配，生成網(wǎng)站內(nèi)容安全監(jiān)測(cè)報(bào)告；依靠第三方云端安全大數(shù)據(jù)資源庫(kù)，智能分析模塊利用大數(shù)據(jù)技術(shù)分析網(wǎng)站內(nèi)容安全監(jiān)測(cè)報(bào)告，并提出可行的處理方案給管理者，管理者通過(guò)向?qū)椒椒ㄟM(jìn)行人工處理。

3.6 智能安全運(yùn)營(yíng)管理平臺(tái)

智慧校園各層都部署了各類安全設(shè)備，并收集了大量安全日志和行為數(shù)據(jù)，為了能實(shí)現(xiàn)各層安全防護(hù)的聯(lián)動(dòng)性，安全日志和行為數(shù)據(jù)的統(tǒng)一管理分析，依托智慧安全大腦構(gòu)建一個(gè)安全運(yùn)營(yíng)管理平臺(tái)，使管理者能夠全面感知智慧校園安全問(wèn)題，及時(shí)處置安全隱患。包括感知模塊、數(shù)據(jù)處理分析模塊、決策處置模塊[16]。

1)數(shù)據(jù)采集模塊。數(shù)據(jù)采集模塊主要的功能是采集各類安全數(shù)據(jù)。(1)通過(guò)在校園網(wǎng)出口、數(shù)據(jù)中心出口、各匯聚層等網(wǎng)絡(luò)出口安裝流探針監(jiān)聽(tīng)流量，實(shí)時(shí)感知網(wǎng)絡(luò)流量變化，生產(chǎn)流量日志；(2)通過(guò)在智慧校園各層部署數(shù)據(jù)采集器，捕獲各層安全設(shè)備和軟件的日志數(shù)據(jù)和行為數(shù)據(jù)。感知模塊對(duì)采集器和流探針采集來(lái)的數(shù)據(jù)進(jìn)行預(yù)處理，按照統(tǒng)一的歸一化數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換， 轉(zhuǎn)存到智慧安全大腦大數(shù)據(jù)平臺(tái)，為后期安全事件分析、威脅呈現(xiàn)、追蹤溯源等提供數(shù)據(jù)支撐。

2)數(shù)據(jù)處理分析模塊。智慧安全大腦大數(shù)據(jù)平臺(tái)對(duì)感知層采集的數(shù)據(jù)進(jìn)行分布式存儲(chǔ)、索引，利用數(shù)據(jù)關(guān)系規(guī)則引擎、資源管理引擎、數(shù)據(jù)搜索引擎、統(tǒng)計(jì)分析引擎等進(jìn)行進(jìn)行數(shù)據(jù)融合關(guān)聯(lián)分析，基于數(shù)據(jù)融合分析的基礎(chǔ)上，采用深度學(xué)習(xí)、機(jī)器學(xué)習(xí)、強(qiáng)化學(xué)習(xí)等技術(shù)分析識(shí)別并理解攻擊行為和攻擊意圖，生成分析報(bào)告，及時(shí)告警響應(yīng)。

3)決策處置模塊。決策處置模塊的主要任務(wù)是依據(jù)分析報(bào)告評(píng)估安全風(fēng)險(xiǎn)等級(jí)，預(yù)測(cè)威脅趨勢(shì)。(1)根據(jù)安全風(fēng)險(xiǎn)的級(jí)別，生成聯(lián)動(dòng)策略下發(fā)給防火墻、IPS、WAF 等網(wǎng)絡(luò)安全設(shè)備，采取相應(yīng)的執(zhí)行策略[17]；(2)根據(jù)安全威脅趨勢(shì)分析，生成一組命令集合，觸發(fā)各有關(guān)網(wǎng)絡(luò)安全設(shè)備或軟件進(jìn)行更新安全防護(hù)策略，加固安全防御；(3)通過(guò)關(guān)聯(lián)規(guī)則分析、同源分析、機(jī)器學(xué)習(xí)等技術(shù)對(duì)流量和日志數(shù)據(jù)進(jìn)行挖掘，分析不同攻擊階段的關(guān)聯(lián)流量元數(shù)據(jù)、行為、日志數(shù)據(jù)，重塑攻擊者攻擊全鏈，從而還原攻擊原貌，準(zhǔn)確反映出被攻擊的網(wǎng)絡(luò)資源、攻擊者信息、受害人信息等。

4 實(shí)驗(yàn)結(jié)果與分析

4.1 測(cè)試場(chǎng)景

為了驗(yàn)證本設(shè)計(jì)各安全層的有效性，選取作者所在學(xué)校的智慧校園實(shí)際場(chǎng)景進(jìn)行測(cè)試，測(cè)試場(chǎng)景主要選取智慧校園的邊界區(qū)W、隔離區(qū)DMZ、數(shù)據(jù)服務(wù)區(qū)D、終端設(shè)備區(qū)H、應(yīng)用服務(wù)區(qū)B等部分關(guān)鍵設(shè)備和應(yīng)用作為測(cè)試對(duì)象[18]，部署后的測(cè)試網(wǎng)絡(luò)拓?fù)鋱D如3所示，部署前W1、F1、F2、F3、F4都為普通級(jí)防火墻。

圖3 智慧校園安全平臺(tái)部署后測(cè)試網(wǎng)絡(luò)拓?fù)鋱D

DMZ是位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間[19]，該區(qū)域部署了WEB、Email、DNS等服務(wù)器，實(shí)驗(yàn)選取WEB服務(wù)器進(jìn)行測(cè)試；W區(qū)為網(wǎng)絡(luò)邊界區(qū)，部署了防火墻W1、邊界路由器W2、核心交換機(jī)W3等，選取防火墻W1進(jìn)行測(cè)試；D區(qū)為云數(shù)據(jù)中心，選取1臺(tái)虛擬數(shù)據(jù)服務(wù)器D1和一臺(tái)虛擬應(yīng)用服務(wù)器D2進(jìn)行測(cè)試；H區(qū)為終端設(shè)備區(qū)，選取終端主機(jī)H1和移動(dòng)終端H2,無(wú)線AP設(shè)備H3；B區(qū)放置應(yīng)用服務(wù)器，選取教務(wù)系統(tǒng)B1、OA辦公系統(tǒng)B2作為測(cè)試對(duì)象。智慧校園安全平臺(tái)部署前與部署后各測(cè)試對(duì)象網(wǎng)絡(luò)安全環(huán)境情況如表1所示。

表1 智慧校園安全平臺(tái)部署前后網(wǎng)絡(luò)安全環(huán)境情況

4.2 測(cè)試數(shù)據(jù)

為了進(jìn)行智慧校園安全性能測(cè)試，設(shè)計(jì)了4條測(cè)試攻擊路線，并使用不同攻擊方式進(jìn)行模擬測(cè)試[19]，如表2所示。

表2 智慧校園安全性能測(cè)試數(shù)據(jù)

4.3 模擬攻擊測(cè)試結(jié)果與分析

采取不同次數(shù)的循環(huán)攻擊，通過(guò)安全設(shè)備管理系統(tǒng)捕獲攻擊數(shù)據(jù)到達(dá)攻擊路線上各節(jié)點(diǎn)情況(以攻擊者為第一個(gè)節(jié)點(diǎn))[20]，各路線測(cè)試情況如圖4～圖7所示。

圖4 路線1測(cè)試結(jié)果

由圖4可知，安全平臺(tái)部署前在發(fā)起500次滲透時(shí)，在Web服務(wù)器端就收到攻擊信息，而部署后在進(jìn)行1 500次循環(huán)滲透，攻擊者還未通過(guò)邊界AI防火墻。

由圖5可知，安全平臺(tái)部署前在發(fā)起100次DDOS攻擊時(shí)，核心交換機(jī)W3就收到攻擊信息，在發(fā)起500次DDOS攻擊已經(jīng)攻破目標(biāo)系統(tǒng)B1，100次時(shí)目標(biāo)應(yīng)用系統(tǒng)癱瘓；而部署后在發(fā)起1 500次DDOS攻擊還未攻破邊界AI防火墻。

圖5 路線2測(cè)試結(jié)果

由圖6可知，安全平臺(tái)部署前在發(fā)起100次漏洞掃描時(shí)，D區(qū)防火墻已收到攻擊信息，并在500次時(shí)攻破D區(qū)防火墻，D1服務(wù)器收到攻擊信息，在1 000次時(shí)D1服務(wù)器宕機(jī)；而部署后在發(fā)起1 500次漏洞掃描時(shí)，F(xiàn)3才收到攻擊信息，并一直有效防御未被攻破。

圖6 路線3測(cè)試結(jié)果

由圖7可知，安全平臺(tái)部署前在發(fā)起100次病毒攻擊時(shí)，H區(qū)防火墻已收到攻擊信息，并在500次時(shí)攻破H區(qū)防火墻，H1主機(jī)收到攻擊信息，在1 000次時(shí)H1被病毒感染；而部署后在發(fā)起1 000次病毒攻擊時(shí)，W1才收到攻擊信息，1 500次攻擊時(shí)F4才收到攻擊信息，并一直有效防御，H1未被病毒感染。

圖7 路線4測(cè)試結(jié)果

由此可見(jiàn)，部署智慧校園安全平臺(tái)后，智慧校園各關(guān)鍵區(qū)域和關(guān)鍵設(shè)備安全防御能力明顯增強(qiáng),遭受多次循環(huán)攻擊后安全防護(hù)能力都趨于穩(wěn)定。

4.4 安全風(fēng)險(xiǎn)測(cè)試結(jié)果與分析

對(duì)智慧校園安全平臺(tái)部署前后進(jìn)行智慧校園安全風(fēng)險(xiǎn)評(píng)估，使用開(kāi)放式漏洞評(píng)估系統(tǒng)OpenVAS對(duì)智慧校園安全平臺(tái)部署前后各路線的各服務(wù)器和主機(jī)進(jìn)行漏洞掃描，獲取各關(guān)鍵漏洞脆弱性信息[21]，如圖8所示。從評(píng)估結(jié)果可看出部署了智慧校園安全平臺(tái)后整體漏洞數(shù)明顯減少，智慧校園安全水平明顯提升。

圖8 測(cè)試結(jié)果與分析圖

5 結(jié)束語(yǔ)

為了適應(yīng)智慧校園安全應(yīng)用的需求，提出了一種基于大數(shù)據(jù)技術(shù)的智慧校園安全管控平臺(tái)設(shè)計(jì)方案，針對(duì)智慧校園體系各層的特征設(shè)計(jì)不同安全防護(hù)機(jī)制，通過(guò)在智慧校園各層部署感知器和在關(guān)鍵網(wǎng)絡(luò)口部署流探針采集器設(shè)備、系統(tǒng)、攻擊者、網(wǎng)絡(luò)、用戶等日志和行為數(shù)據(jù)，利用大數(shù)據(jù)技術(shù)進(jìn)行數(shù)據(jù)融合分析，及時(shí)分析處置安全威脅，預(yù)測(cè)智慧校園安全風(fēng)險(xiǎn)，全面感知智慧校園安全態(tài)勢(shì)，通過(guò)近1年來(lái)智能運(yùn)營(yíng)管理平臺(tái)實(shí)際應(yīng)用數(shù)據(jù)分析，安全風(fēng)險(xiǎn)告警及時(shí)性以及自我處置能力明顯增強(qiáng)，有效推動(dòng)智慧校園建設(shè)與應(yīng)用進(jìn)一步深入。后期將進(jìn)一步研究智慧校園安全數(shù)據(jù)融合技術(shù)、數(shù)據(jù)關(guān)聯(lián)處理技術(shù)，并結(jié)合態(tài)勢(shì)感知技術(shù)，使之更加有效處理分析各類復(fù)雜的安全數(shù)據(jù)，真正實(shí)現(xiàn)全面實(shí)時(shí)感知智慧校園安全態(tài)勢(shì)。