滕薈蕓，胡進娟

(江蘇第二師范學院，江蘇 南京 210000)

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，高校信息化不斷地發(fā)展推進，各高校校園網(wǎng)絡已由傳統(tǒng)的校園網(wǎng)絡向智能化校園網(wǎng)絡轉(zhuǎn)變，如數(shù)字化校園、智慧校園等。雖然校園網(wǎng)信息化變革給學校管理、教師教學、學生學習帶來了諸多便利，極大地提升了學校的教學質(zhì)量和學生的學習效率，但是近年來校園網(wǎng)網(wǎng)絡安全問題頻現(xiàn)，給高校帶來了諸多困擾。因此，如何提升校園網(wǎng)的安全性，以保障校園網(wǎng)安全、穩(wěn)定、可靠運行，是各高校亟須解決的問題[1]。

因為校園網(wǎng)具有開放性、互通性、共享性等特性，所以校園網(wǎng)不僅面臨來自互聯(lián)網(wǎng)的攻擊風險，而且需應對來自校園網(wǎng)內(nèi)部的攻擊威脅。因此，高校需要一套全生命周期的網(wǎng)絡安全風險監(jiān)控分析預警機制來應對各種安全威脅。實時監(jiān)控校園網(wǎng)的網(wǎng)絡狀態(tài)，動態(tài)感知校園網(wǎng)的網(wǎng)絡安全態(tài)勢，對監(jiān)測到的安全事件進行多維度關(guān)聯(lián)分析，并生成較為可信的安全事件分析報告，便于網(wǎng)絡安全管理人員進行安全威脅研判，評估安全事件的影響范圍，為網(wǎng)絡安全應急處置提供決策依據(jù)[2-3]。

1 校園網(wǎng)現(xiàn)狀

教育行業(yè)由于信息龐大、應用復雜、數(shù)據(jù)價值高、老師和學生網(wǎng)絡安全意識薄弱、專業(yè)安全人員和技術(shù)能力不足等現(xiàn)狀，導致高校在信息化發(fā)展過程中一直是網(wǎng)絡惡意攻擊者的主要目標對象，給學校日常的教學、管理、學習等帶來巨大壓力。目前，校園網(wǎng)主要存在以下問題。

1.1 資產(chǎn)數(shù)量多，管理復雜

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，高校信息化也在不斷進行技術(shù)革新，由傳統(tǒng)的教學模式向數(shù)字信息化教學模式轉(zhuǎn)型。伴隨著大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、5G等新技術(shù)的應用，學校的網(wǎng)絡資產(chǎn)越來越龐大(如門戶網(wǎng)站、在線教學系統(tǒng)、一卡通系統(tǒng)、戶外LED大屏、網(wǎng)絡攝像頭等)。這些網(wǎng)絡資產(chǎn)種類繁多、管理困難，導致學校面臨的安全風險壓力也逐漸增大。

學?，F(xiàn)有的網(wǎng)絡資產(chǎn)管理手段仍然采用傳統(tǒng)的手工錄入和被動上報方式，依靠人工處理，不僅工作量大、責任劃分不明確，且存在資產(chǎn)錄入不全面、工作效率低下、資產(chǎn)變更不及時等問題。無法及時發(fā)現(xiàn)違規(guī)上線資產(chǎn)、廢棄資產(chǎn)、影子資產(chǎn)、僵尸資產(chǎn)等有害資產(chǎn)，缺乏有效管理手段，使得這些資產(chǎn)常常成為孤島網(wǎng)站，從而成為黑客攻擊、病毒入侵的有利目標，嚴重威脅了校園網(wǎng)絡安全。

1.2 安全設備多，單打獨斗

隨著高校信息化建設的不斷投入，安全管理逐漸完善，學校通常部署了防火墻、VPN、IPS、上網(wǎng)行為、漏洞掃描、WAF防護等安全設備。各種安全設備根據(jù)自身的規(guī)則及檢測策略對訪問行為、內(nèi)容進行匹配檢測，發(fā)現(xiàn)安全風險。各種安全設備所生產(chǎn)的安全數(shù)據(jù)相對獨立、分散，甚至重復、冗余。

隨著網(wǎng)絡攻擊技術(shù)的不斷提升，網(wǎng)絡攻擊行為不再是簡單的單一攻擊行為，而是慢慢演變成更加復雜、高級的攻擊行為(如APT攻擊、0 Day攻擊)。僅僅依靠單一的、孤立的安全日志，無法有效地反映出正在發(fā)生的或潛在發(fā)生的安全威脅。

1.3 安全日志雜，干擾判斷

隨著《網(wǎng)絡安全法》和《等級保護2.0》等相關(guān)法律法規(guī)的出臺，高校通常部署了多種類型的安全設備。這些設備每天都會產(chǎn)生海量的運行日志和安全日志，但是由于安全廠家不同、安全設備類型不同、檢測方式不同、規(guī)則定義不同、數(shù)據(jù)格式不同，造成了這些日志的千差萬別。因此，當一個安全事件發(fā)生時，通過不同的安全設備，發(fā)現(xiàn)的數(shù)據(jù)表述也是不一樣的，尤其當復雜安全事件發(fā)生時，單純地依靠雜亂的日志或者人工分析，無法及時有效地發(fā)現(xiàn)潛在的安全攻擊威脅。

同時，安全設備的海量日志中還存在大量的重復日志、噪聲數(shù)據(jù)、錯誤數(shù)據(jù)、誤報數(shù)據(jù)等，嚴重干擾了安全技術(shù)人員的專業(yè)判斷，導致真實的安全事件、安全告警被淹沒，給學校安全技術(shù)人員的日常安全工作帶來極大的負面影響。

1.4 安全人員不足，技術(shù)匱乏

根據(jù)高校網(wǎng)絡與信息化發(fā)展的歷程可以發(fā)現(xiàn)，早期的學校網(wǎng)絡信息化發(fā)展重點關(guān)注校園網(wǎng)的基礎設施、計算能力和應用系統(tǒng)的建設發(fā)展，而在網(wǎng)絡安全層面缺少人力、物力、財力的投入，多數(shù)情況下都是由網(wǎng)絡部門代管或者網(wǎng)絡運維人員兼管安全工作。專業(yè)的安全能力的缺失，導致學校在應對愈漸復雜的網(wǎng)絡安全威脅和安全事件時，缺乏對安全事件的理解、分析、預警、通報、處置及威脅感知等專業(yè)能力[4]。

2 校園網(wǎng)安全需求

針對校園網(wǎng)的現(xiàn)狀，在面對日漸嚴重的安全威脅時，學校需要通過創(chuàng)新的技術(shù)理念，構(gòu)建一套全生命周期的校園網(wǎng)網(wǎng)絡安全解決方案，將傳統(tǒng)的“被動防御”轉(zhuǎn)換為“主動防御”。(1)要“摸清家底”，實時掌握校園網(wǎng)的網(wǎng)絡資產(chǎn)情況，及時發(fā)現(xiàn)問題資產(chǎn)；(2)對網(wǎng)絡資產(chǎn)進行定期的漏洞檢查，主動發(fā)現(xiàn)安全漏洞；(3)聯(lián)動各類型安全設備，持續(xù)多維度地關(guān)聯(lián)分析，動態(tài)地感知校園網(wǎng)網(wǎng)絡安全威脅態(tài)勢的發(fā)展[5]，從而生成更為可信的安全事件分析報告，幫助網(wǎng)絡安全技術(shù)人員進行安全威脅研判；(4)完善應急響應機制，自動化處置安全威脅。

2.1 資產(chǎn)梳理自動化

摒棄傳統(tǒng)的人工管理資產(chǎn)方法，引入網(wǎng)絡資產(chǎn)統(tǒng)一管理設備，根據(jù)校園網(wǎng)的網(wǎng)絡環(huán)境特性，對學校網(wǎng)絡資產(chǎn)進行自動學習和梳理，自動化形成校園網(wǎng)網(wǎng)絡資產(chǎn)信息清單，建立資產(chǎn)信息倉庫。網(wǎng)絡資產(chǎn)統(tǒng)一管理設備通過對網(wǎng)站訪問態(tài)勢、維護狀態(tài)和運行狀態(tài)等維度的監(jiān)控分析，可以及時地發(fā)現(xiàn)“僵尸”網(wǎng)站、“私搭亂建”網(wǎng)站和未備案系統(tǒng)等問題資產(chǎn)，幫助學校發(fā)現(xiàn)校園網(wǎng)中存在的管理“疏漏點”和未知威脅，實現(xiàn)了學校網(wǎng)絡資產(chǎn)的自動化管理，為校園網(wǎng)安全能力的提升提供了基礎。

2.2 提升安全檢測能力

開放的校園網(wǎng)不僅為高校的師生提供了便利，也為網(wǎng)絡黑客等不法分子的惡意攻擊(如網(wǎng)站攻擊、頁面篡改、數(shù)據(jù)竊密等)提供了場所。隨著網(wǎng)絡攻擊門檻的降低，網(wǎng)絡攻擊手段不斷增多，高級APT攻擊、加密流量、隱秘隧道等攻擊行為逐漸成為主流的攻擊手法[6]，傳統(tǒng)的防火墻等安全設備已經(jīng)不能應對這些安全威脅。因此，高校校園網(wǎng)需要部署一系列新型安全防護系統(tǒng)，利用創(chuàng)新的AI智能引擎技術(shù)，對網(wǎng)絡流量進行深度分析，建模分析惡意攻擊會話的請求和響應，通過網(wǎng)絡入侵引擎、人工智能引擎、動態(tài)智能沙箱、威脅情報等模塊的交叉檢測能力，對網(wǎng)絡中的APT、加密流量、隱秘隧道、網(wǎng)絡入侵、惡意文件、變種木馬等高級威脅攻擊行為進行檢測發(fā)現(xiàn)，對未知的攻擊和0Day漏洞利用攻擊行為進行有效檢測防御，實現(xiàn)L4-7層的網(wǎng)絡攻擊防護，提升校園網(wǎng)的主動防御水平。

2.3 提升風險感知能力

隨著高校對信息安全重視度的提高，校園網(wǎng)中的安全設備種類也在增多，如漏洞掃描、流量分析和威脅監(jiān)測等。但是，當安全事件發(fā)生時，海量的安全日志中存在大量的噪聲數(shù)據(jù)需要甄別過濾，大大降低了安全事件的分析效率。同時，傳統(tǒng)的安全設備與網(wǎng)絡資產(chǎn)自身屬性的關(guān)聯(lián)信息較少，例如單純的漏洞信息或攻擊日志只記錄了相關(guān)的IP信息，缺少被影響資產(chǎn)的屬性和用途等信息，所以安全設備在進行風險研判時缺少支撐，難以做出準確判斷，仍然需要人工核對，影響安全事件處置效率。因此，可以利用大數(shù)據(jù)分析技術(shù)，采集全量安全事件數(shù)據(jù)，包括網(wǎng)絡資產(chǎn)、漏洞威脅、攻擊事件、流量威脅等多源數(shù)據(jù)，對安全事件日志進行統(tǒng)一處理、智能分析，為安全技術(shù)人員提供多維度的事件信息和決策依據(jù)，并通過溯源分析提取原始事件和歷史攻擊軌跡，幫助學校全面理解和跟蹤網(wǎng)絡安全事件態(tài)勢，做出合理準確的研判和處置。

安全問題無法避免，所以問題發(fā)生后的溯源和分析取證就顯得尤為重要。全面的攻擊路徑分析和可靠的風險行為畫像可以幫助學校準確地甄別安全風險點，制定可靠的修復方案，從而應對后續(xù)同類型的安全威脅。

2.4 完善應急響應機制

資產(chǎn)安全的另一個決定性因素是事件處置能否閉環(huán)。一般情況下，安全設備都是獨立部署的，按照不同的安全需求和政策要求進行合規(guī)建設，然后，再靠人工維護來建立關(guān)聯(lián)能力并形成閉環(huán)，更多的場景下做的是事前預防和事后補救的工作。當緊急事件發(fā)生時，獨立的安全設備缺少敏捷的響應手段，導致應急處置能力不足。因此，需要一種閉環(huán)的關(guān)聯(lián)策略，能夠根據(jù)預設的應急預案，自動化執(zhí)行相應的動作或聯(lián)動相應的安全設備，從而做到協(xié)同聯(lián)動、主動響應。

3 一種基于資產(chǎn)管理的智慧校園網(wǎng)絡安全解決方案

根據(jù)校園網(wǎng)的現(xiàn)狀和安全需求，本文提出了一種基于資產(chǎn)管理的智慧校園網(wǎng)絡安全解決方案，主要包括3方面：資產(chǎn)學習、感知預測、閉環(huán)處置，如圖1所示。

3.1 資產(chǎn)學習

利用資產(chǎn)管理平臺分析校園網(wǎng)內(nèi)流量，自動化學習校園網(wǎng)內(nèi)網(wǎng)絡資產(chǎn)，“摸清家底”，發(fā)現(xiàn)“僵尸”網(wǎng)站，及時發(fā)現(xiàn)“私搭亂建”網(wǎng)站和未備案系統(tǒng)，幫助學校發(fā)現(xiàn)可能存在的網(wǎng)絡安全管理“疏漏點”和未知威脅。

完善資產(chǎn)日常管理，責權(quán)明晰。建立平臺化網(wǎng)站安全準入備案制度，針對學習到的所有資產(chǎn)進行備案。全面掌握學校網(wǎng)絡資產(chǎn)的基礎信息，在突發(fā)事件發(fā)生時，可以快速定位到相關(guān)的負責人和關(guān)鍵信息，安排處置工作。

3.2 感知預測

圖1 智慧校園網(wǎng)絡安全的主要流程

使用感知預測平臺對已發(fā)現(xiàn)的網(wǎng)絡資產(chǎn)進行全生命周期動態(tài)化安全態(tài)勢檢測，定期執(zhí)行安全漏洞掃描、風險評估、漏洞跟蹤等，實現(xiàn)網(wǎng)絡資產(chǎn)安全漏洞態(tài)勢感知。同時，平臺聯(lián)動學校多種安全設備，關(guān)聯(lián)分析各類型安全事件，綜合研判校園網(wǎng)安全態(tài)勢，預測網(wǎng)絡安全風險，實時更新威脅情報。

3.3 閉環(huán)處置

支持微信、郵件、syslog等多種告警方式。當網(wǎng)站存在安全漏洞，遭受篡改、暗鏈等攻擊時，安全平臺進行及時告警，并提供詳細的處置建議，且擁有事件回溯能力，幫助學校找出問題點，避免同類型事件的再次發(fā)生。

4 結(jié)語

本文提出了一種基于資產(chǎn)管理的智慧校園網(wǎng)絡安全解決方案，利用資產(chǎn)統(tǒng)一管理設備，將傳統(tǒng)的人工備案改為自動化學習，改變了工作方式，減輕了安全運維的工作壓力。同時，通過校園網(wǎng)中網(wǎng)絡資產(chǎn)的實時監(jiān)控、各類型安全設備的安全聯(lián)動、海量安全日志的綜合分析，基于資產(chǎn)管理的智慧校園網(wǎng)絡安全解決方案可以有效地應對網(wǎng)絡攻擊威脅，并在安全事件發(fā)生后，對事件進行回溯，幫助學校從管理和技術(shù)等多維度提升網(wǎng)絡安全防護能力。