摘 要：隨著高校教學信息化系統(tǒng)的深入建設與擴展，教學信息化系統(tǒng)對日常教學的支撐和服務日益顯露出其重要性與必要性。新一代網絡安全技術和產品的引入對在現(xiàn)有網絡環(huán)境下加強教學信息化系統(tǒng)安全保證其安全穩(wěn)定運行給出了有益的幫助。本文從閩南師范大學教學信息化系統(tǒng)的安全建設的現(xiàn)狀和實踐出發(fā)就此問題進行研究和思考。

關鍵詞：教學信息化系統(tǒng);信息安全;態(tài)勢感知;行為管理

一、建設現(xiàn)狀

閩南師范大學教務處作為本校教學信息化系統(tǒng)的建設和管理單位多年來對教學信息化系統(tǒng)進行了持續(xù)的投入和建設，目前已初步建成了覆蓋“一江兩校區(qū)”的教學信息化系統(tǒng)。其中包括覆蓋兩校區(qū)所有教學樓和附屬設施的教學專用網絡和覆蓋全校238間教室的云多媒體教室系統(tǒng)，以及教務管理系統(tǒng)、教學可視化管理系統(tǒng)、音視頻信息發(fā)布系統(tǒng)、標準化考試巡考系統(tǒng)、智慧教學系統(tǒng)、在線教學直播錄播系統(tǒng)、教室物聯(lián)網管理系統(tǒng)等各種教學信息化應用系統(tǒng)。其中教學專用網絡是閩南師范大學各大教學信息化業(yè)務平臺及教務處信息系統(tǒng)的基礎核心，是校園網的一個重要的子網。因為有大量為廣大師生服務的重要信息（數(shù)據(jù)）平臺，所以信息系統(tǒng)安全是網絡保護的核心。

在現(xiàn)有系統(tǒng)結構下，閩南師范大學教學信息系統(tǒng)已穩(wěn)定運行多年。但隨著國家關于等級保護要求的提高以及信息系統(tǒng)在學校整體運行中的重要性日益提高，在現(xiàn)有教學專用網絡結構和安全設備基礎上，實施重點保護，對各應用系統(tǒng)深入開展信息安全保護工作，并在此基礎上指引后續(xù)信息化安全建設方向成為信息化系統(tǒng)建設新的工作重心。

二、現(xiàn)存問題

如閩南師范大學教學信息化系統(tǒng)拓撲圖所示，目前教學信息化系統(tǒng)全網使用RG-S8605E作為單獨核心，使用千兆光纖下聯(lián)RG-S2910接入交換機，由接入交換機接入RG-CT6300云桌面終端，其云桌面服務器及其他應用系統(tǒng)服務器全部通過直連千兆電纜接入核心交換機部署。該拓撲結構較為簡潔，但因此帶來的問題十分明顯：

（1）全網拓撲結構中現(xiàn)有設備，使用目的均為保障日常辦公、教學業(yè)務的開展，專網網絡出口及各分區(qū)均無安全設備部署。雖然學校校園網絡出口有網絡安全設備，但隨著信息化發(fā)展，專網內部各系統(tǒng)面臨的安全防護、應用控制、安全連接等各類安全問題的解決迫在眉睫;

（2）在目前情況下無法對用戶日常使用各類應用所產生的數(shù)據(jù)進行全面檢查和分析，對于可能存在的違規(guī)行為無法進行及時有效的深度識別、管控和審計;

（3）在網絡潛在攻擊和威脅層面，現(xiàn)有設備架構無法對網絡流量進行審計，無法對重要原始網絡數(shù)據(jù)包的保存、威脅情報檢測、攻擊檢測等進行操作，對于各類高風險的運維訪問協(xié)議，并在連接過程進行身份識別、行為分析、風險鑒別。

三、建設思路及方案

（一）建設思路

根據(jù)閩南師范大學教學信息化系統(tǒng)的現(xiàn)狀和存在的問題，筆者及團隊從以下幾個角度出發(fā)進行思考，開展如何實行信息系統(tǒng)及配套網絡系統(tǒng)的安全建設改造，力求通過從整個系統(tǒng)頂層架構的調整來解決現(xiàn)存的問題并為今后信息系統(tǒng)的建設做好準備。

1.網絡架構調整

通過在教學信息化專用網絡與校園網連接的邊界安全域部署防火墻，在各個安全域邊界部署防火墻實現(xiàn)各個安全域的邊界隔離和劃分，在防火墻上配置訪問控制策略對外部訪問和內部數(shù)據(jù)訪問進行控制。防火墻可根據(jù)會話狀態(tài)信息，對源地址、目的地址、源端口、目的端口和協(xié)議等進行訪問控制，做到允許/拒絕訪問，控制力度可設置為端口級。

2.建立訪問控制體系

通過在安全區(qū)域邊界設置自主和強制訪問控制機制，應對源及目標計算節(jié)點的身份、地址、端口和應用協(xié)議等進行可信驗證，對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制，阻止非授權訪問。

3.建立態(tài)勢感知系統(tǒng)

考慮在教學信息化專網內部建設態(tài)勢感知系統(tǒng)，對專網內部數(shù)據(jù)訪問進行動態(tài)監(jiān)控。該系統(tǒng)可根據(jù)采集的攻擊信息，對攻擊來源、目標等進行統(tǒng)計和計算，對攻擊來源進行溯源，讓管理員對全網的攻擊態(tài)勢進行動態(tài)的跟蹤了解，以及時進行處置干預，保證網內信息安全。

4.建設安全管理中心系統(tǒng)

安全管理中心是為提供集中安全管理功能的系統(tǒng)，是安全應用系統(tǒng)安全策略部署和控制的中心，對安全通信網絡、安全區(qū)域邊界和安全計算環(huán)境上的安全機制實施統(tǒng)一集中管理。安全管理中以大數(shù)據(jù)框架為基礎，結合威脅情報系統(tǒng)，協(xié)助建立和完善對網絡內部的安全態(tài)勢監(jiān)控、安全威脅實時預警、安全事故緊急響應的能力，利用智能化預警協(xié)助管理員快速發(fā)現(xiàn)和分析安全問題，并通過技術手段，實現(xiàn)安全問題閉環(huán)管理。

（二）設備選型要求

1.下一代防火墻設備

網關類安全產品作為整個網絡安全架構中的關鍵組成部分，承擔著安全防護、應用控制、安全連接、多運營商鏈路加速等多維度的復雜任務，因此在建設中要求具備以下要求：

（1）采用CPU+ASIC硬件芯片融合技術，以此解決現(xiàn)在設備采用的傳統(tǒng)X86架構在應用層數(shù)據(jù)檢測方面存在的性能瓶頸問題;

（2）在支持NAT、ACL、DDoS防御等傳統(tǒng)安全功能的同時也應支持多樣化的應用級安全功能，包括病毒查殺、入侵檢測、APP檢測、文件過濾、惡意URL過濾等;

（3）可對大量的網絡應用和地址進行快速識別，要求可識別超過3000個以上的互聯(lián)網應用和超過2.5億個URL地址;

（4）可針對應用、用戶、內容關聯(lián)分析，審計全網的事件日志并通過數(shù)據(jù)分析處理，將事件日志分類、整合，提供潛在威脅的預警;

（5）支持與在線安全系統(tǒng)如線上云安全中心的聯(lián)動，可以在線獲取有效的針對未知威脅的防護方案，以便應對超出傳統(tǒng)防御手段的威脅與攻擊。

2.上網行為管理設備

行為管理設備可以針對性的對系統(tǒng)和網內用戶的數(shù)據(jù)訪問和分發(fā)等行為進行管控，對特征用戶進行預警和跟蹤，對信息化系統(tǒng)的內部管理有重要的意義，因此從以下幾方面提出設備要求：

（1）可以精確識別用戶上網的URL、網絡搜索、外發(fā)文件、郵件、微博等，支持移動APP識別、用戶終端關聯(lián)無線AP MAC、SSID識別、HTTPS網頁及SSL加密郵件識別，可以進行全面的內容審計精細透視網絡行為;

（2）需要支持用戶、協(xié)議、接口上下行流量管理，支持帶寬多級嵌套管理、上網應用細分控制、上網總時長管理、會話控制，并可通過設置優(yōu)先級保障關鍵業(yè)務帶寬，實現(xiàn)多級帶寬管理;

（3）可以進行郵件收發(fā)管理和附件過濾、不良網站封堵、HTTP/FTP文件傳輸控制、搜索關鍵字過濾，異常流量檢測告警、異常行為檢測告警等精細化信息管理;

（4）要求具備上網行為審計許可及公共場所無線上網服務許可，滿足6個月以上的上網日志存儲要求，支持和上級網絡管理平臺數(shù)據(jù)對接;

（5）支持本地認證、支持微信認證、短信認證、LDAP、Radius、AD域認證，輕松滿足身份系統(tǒng)對接。

3.流量態(tài)勢感知系統(tǒng)

流量態(tài)勢感知設備可以進一步完善在網絡安全數(shù)據(jù)采集能力，在高速網絡環(huán)境下實行對主流網絡數(shù)據(jù)包的解碼、協(xié)議識別及會話重組/保存、重要原始網絡數(shù)據(jù)包的保存、威脅情報檢測、攻擊檢測等;對于相關重要的會話信息、攻擊檢測、威脅情報檢測等生成的安全事件轉發(fā)至BDS上層模塊作為進一步分析的數(shù)據(jù)來源，是對傳統(tǒng)安全防御系統(tǒng)的進一步完善和補充。其具體特點和選型要求有：

（1）要求采用零拷貝、全程無鎖化技術處理網絡流量數(shù)據(jù)包，利用CPU向量化指令對各類模式進行識別或匹配，保證在超大流量情況下，系統(tǒng)整體處理無延時;

（2）要求采用向量機、馬爾科夫轉移概率分析、距離分析、參數(shù)及非參數(shù)假設檢驗分析等智能分析方法對各類網絡連接及流量進行分析，對可能隱藏的問題進行深層級挖掘;

（3）可從已知簽名檢測、行為檢測、網絡會話異常檢測、威脅情報檢測及事件關聯(lián)分析等多個維度對URL、郵件、網絡通道、流量等威脅載體中各類安全威脅進行深度檢測，并在高級持續(xù)威脅的漏洞利用、后門植入、后門網絡通道，C&C回連、流量異常等多個階段、多個攻擊環(huán)節(jié)上形成比較縱深、完備的檢測體系;

（4）可對于HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等應用協(xié)議的元數(shù)據(jù)及會話數(shù)據(jù)，進行大數(shù)據(jù)存儲、搜索分析，識別、挖掘其中可疑的攻擊行為，進行安全分析效能持續(xù)改進。

結語

閩南師范大學教學信息化系統(tǒng)的安全建設方案依照“化被動為主動，防內與防外并重”的思路進行了整體設計，通過安全設備的多層級多方位部署防御，將原來的被動防御和消極防御轉變?yōu)橹鲃臃烙?，在信息系統(tǒng)和專網的管理中掌握優(yōu)先權。管理員可以跟蹤用戶在服務器上的操作，防御黑客的入侵攻擊，加強安全網絡的防御，及加強高級威脅檢測能力。并通過“文件+流量”雙維度分析，完善各信息系統(tǒng)和專用網絡的“安全墻”，把網絡中的非法分子擋在墻外，也對內部進行審計管理，將內部的“病魔”驅除。

同時安全設備盡量采用旁掛方式部署，避免了整體方案因為安全加固而出現(xiàn)新的安全問題。建設的中心思想是要解決當前安全問題，因此在增加安全設備為網絡保駕護航同時也考慮到安全設備造成的與校園網主連接出口單點故障風險，通過網絡架構和設備的合理配置盡量降低因物理鏈路原因而產生的新問題。

目前，以上建設方案已經進入分期建設階段，第一期專用網絡改造調整和流量分析系統(tǒng)、網絡運維管理平臺等安全系統(tǒng)已經采購安裝建設到位，完成經費投入約200萬元。目前，已經建設完成的系統(tǒng)和設備已經在日常教學信息化應用中發(fā)揮應有的作用。

參考文獻：

[1]熊書明，王謙，吳繼英.基于物聯(lián)網的統(tǒng)計大數(shù)據(jù)安全采集系統(tǒng)構建探索[J].統(tǒng)計與咨詢，2016.

[2]馬玉鵬.基于移動物聯(lián)網的安全生產系統(tǒng)構建及評價分析[D].中國科學院大學，2015.

[3]傅川，陳云.高校信息系統(tǒng)安全體系研究與實踐[J].中山大學學報（自然科學版），2009（增刊）：16-18.

[4]劉輝，葛淑杰，韓微微.數(shù)字化校園信息安全防護體系的設計[J].通信技術，2009（2）：20-21.

[5]王延明，許寧.高校信息安全風險分析與保障策略研究[J].情報科學，2014（10）：134-138.

[6]王宇.利用云桌面技術管理多媒體教室的應用研究[J].中國校外教育，2014（8）.

基金項目：福建省中青年教師教育科研項目：云安全技術在云多媒體教室系統(tǒng)中的整合和運用（項目編號：JAT191920）

作者簡介：董征（1981— ），男，福建漳州人，碩士，閩南師范大學助理研究員，研究方向：現(xiàn)代教育技術。