智慧校園的網絡安全規劃

文/姜鵬 趙正利

隨著各類高校智慧化校園的建設，校區的網絡承載了更加豐富的應用。有傳統的師生上網、網站發布、信息化系統運行等需求，也有近年涌現的物聯網、數據中心運轉等需求，而目前來自校園內部和外部的網絡安全威脅不斷增加，需要重新規劃網絡安全的總體構架，部署落實并在實踐中逐步調整。同時對運維中產生的大量安全數據進行關聯分析，促進安全策略的優化。異構的數據源和持續增長的數據量給分析人員帶來了繁重的負擔，可視化是當前大數據技術中一項重要的應用，在大數據分析中扮演著越來越重要的角色[1]，在網絡運維的場景中通過采用大數據可視化分析手段可以更快的掌握安全趨勢。從基礎網絡安全、信息安全、數據中心安全、大數據收集及分析平臺等部分探討了智慧校園網絡安全技術體系。在此技術路線基礎上融合現有軟硬件資源，逐步建立一套智慧化的網絡安全管理體系。

成功的安全體系是建立在統一管理的軟硬件網絡設備基礎上，而且是成本可控和方便運維的，充分利用現有網絡的軟硬件投入，節約后期維護的人工成本并具有基準以上的防御能力，而且后期可以通過運維中日志的分析自我修復提升。合理利用大數據收集、存儲、圖形化展現等方法解決網絡安全數據量大且格式各異的問題。由于基于網絡大數據分析的安全檢測技術可以實現海量網絡安全數據的深度關聯分析，也可對寬時間周期內的多類型安全數據智能關聯，因此在檢測APT攻擊方面具有明顯優勢[2]，利用大數據技術使整個體系具有對APT等攻擊威脅的告警和自我調整能力。

大數據可視化促進了對于信息安全事件類型、原因、關系和后果的假設的形成和新知識的積累的過程，有利于管理者的快速決策和安全調整。

基礎網絡安全

基礎物理網絡和其上網絡層運行策略是整個校區網絡的基礎，需要通過多種技術手段對其進行安全加固，而且保障網絡接入的安全。根據相關安全實踐和學校實際需求在其上建立多種相對獨立但有效互聯的區域網絡，按照各業務網絡的不同的安全等級采用差異化的安全策略。總體分為學校邊界區域、DMZ區、數據中心區、無線區域、多個業務網絡區、辦公區、宿舍區等，對每個區域做安全策略的邏輯隔離或物理隔離，并進行具體的安全配置。

1.校園邊界區域

學校校園內部一般是獨立部署和運維網絡，在校園的邊界上與網絡運行商專線對接，從而使校區網路與互聯網互通。一般需要部署VPN、審計設備、NAT設備、日志設備等等。校園網邊界是校區網絡安全關鍵的外層環節。可以用較少的投入在這個層面解決來自外部的威脅，同時發現來自內部的異常流量和設備。

（1）訪問控制

一般情況下學校內部只有DMZ區域的網絡服務需要向校外直接公開提供數據服務。在邊界上至少啟用網絡三層防護策略，對來源地址、目的地址和服務端口做相應限制，只對外開放必要的服務。有從校外訪問非開放的高安全等級服務（例如內部辦公自動化系統）的需求時，啟用VPN的方式進行認證后加密接入，必要時啟用雙因素認證。

（2）異常流量分析過濾

出于保障網絡安全和用戶有效上網帶寬的目標，對學校出口流量進行過濾，包括來自校內外的IP段掃描、DDOS攻擊、惡意應用攻擊、返回地址不可達流量等。同時通過監控校內向外的流量，通過數據總量、連接數、對高危IP的連接數和數據包分析等及時發現校內的僵尸網絡被控端、中毒設備、黑客用機，阻斷攻擊流量并通知用戶離線整改。尤其是檢測并限制僵尸網絡的校區內擴散。在僵尸網絡檢測領域，基于網絡的僵尸主機檢測研究主要包括2個主要方向，垂直關聯檢測和水平關聯檢測[3]。通過對校內主機網絡通訊特征的后期大數據關聯分析，列出高度疑似僵尸網絡的校內地址，然后進行后續確認和處理工作。

（3）病毒阻斷

作為主要的信息入口的校園網出口是防病毒入侵的第一道防線，可以部署單獨或者集成功能的防病毒設備，過濾網頁、郵件等的病毒流量。尤其在特定病毒爆發高峰期，在校內上網用戶獲知病毒信息并采取措施前，通過定制的過濾規則及時封堵住大多數的病毒傳入渠道，防止可能發生的病毒在校內網絡擴散。

（4）安全審計記錄

在相關法規要求的范疇內對校內某些區域進行安全審計。安全審計記錄的信息類型和保存時長配置多種不同策略，包括延長來自校外的目標為DMZ網段的訪問記錄保存時間。記錄必要日志信息，在后期進行帶寬優化、運維問題回溯、入侵分析、發現中毒設備等的數據分析。

2.校內網絡監控

在學校內部網絡核心處部署旁路探針和串接監控設備，對網絡主要節點和主要線路進行流量監控和特征分析。預定義一些安全警報的閾值，包括一個局域網內部總流量、某物理端口單位時間包數、特定病毒端口單位時間訪問數、某區域活躍用戶流量等的變化比例等。預先設定總控端自動程序進行一般情況的處理，復雜的情況及時報警，然后人工干預處理。

3.業務網絡的安全配置

校園網往往承載了多種滿足不同業務需求的邏輯專網。這些專網需要根據不同的安全需求分別配置安全策略。常見的有財務專網、智能卡專網、無線網絡、智慧物聯網、視頻監控專網等。根據實際需求采用的安全技術如下，使用時是多種措施的結合。

（1）物理隔離

全部采用獨立硬件組網。網絡傳輸使用獨立光纖和獨立屏蔽雙絞線，使用單獨交換機、路由器和供電設備組網，形成一個物理獨立的內部網絡。接入設備也僅僅包括專用服務器和管理PC等，做好嚴格準入控制。這種組網方式可以保證帶寬的穩定和數據存儲及傳輸的高等級安全水平。

（2）邏輯隔離

充分利用現有校區硬件網絡，采用訪問控制、跨區Vlan或路由策略等方式實現安全策略。多種業務共用一套校內網絡硬件環境，具有節省投資、方便統一升級、維護方便的優點；同時有帶寬不穩定、數據安全性稍低等問題。

（3）虛擬隧道

此種方式一般常見于校外存在分支機構、分校區之間等需要組成業務專網的情形下。采用IPSEC等技術實現加密傳輸隧道。優點是只要有網絡隨時可以接入、數據加密傳輸；缺點是需要兩端配置軟硬件設備，損耗部分網絡資源，校外接入點存在一定安全隱患。

（4）準入控制

（5）認證互信

配置用戶、網絡設備和服務器之間的日常通訊的嚴謹認證機制，只有在通過了預設的認證互信之后才可以互信并傳輸和接受數據。利用身份認證技術，計算機能識別用戶的數字身份，通過數字簽名的形式來確認用戶身份的授權[4]。在此基礎上對核心應用組合使用IP地址、MAC地址、U盾、手機令牌等的認證手段。

（6）專網邊界控制

采用和校區網絡總體配置類似的方式進行專網的控制，同一個專網下的跨物理區域傳輸啟用底層加密，在邊界放置各類防火墻，Vlan內部控制廣播等流量，限制接入用戶的帶寬和連接數上限、訪問目標范圍、接入時間段等，部署內部系統更新、病毒升級、時間同步等服務。

數據中心安全

數據中心是校區信息和數據集中的地方，部署在符合國標的托管機房之內，是整個智慧化校園的存儲、計算和智慧控制中心。它自動化的匯集、分析和控制整個校區的各種物聯、無線、有線、探測、工作終端等設備。數據中心的安全是網絡安全中重要的一環。有的數據中心和DMZ區放置在臨近的區域，在這種情況下需要做好邏輯和物理隔離，并參考數據中心安全策略來保護DMZ區域。

1.邊界安全

在數據中心邊界構筑多層不同功能的軟硬件防護設備，對網絡層和應用層的數據數據進行分析、存儲和過濾，并記錄重要日志。

在此之后，英特諾面向亞洲和中國市場正式發布的英特諾新型模塊化輸送機平臺（MCP）、全球首款內置渦流制動裝置的新型磁力速度控制器MS C 50等產品，證明了英特諾對中國客戶的需求有了更加深入的認識。

（1）軟硬件設備接入方式有串接、旁路、分光等方式，其中串接方式技術上具備即時攔截異常流量的功能。一般使用串聯方式接入防病毒、網站應用入侵防御系統和入侵防御系統等具有主動防御功能的設備。

（2）使用入侵防御系統抵御DDOS、蠕蟲、垃圾包探測、網絡病毒等攻擊；配置網站應用入侵防御系統，采用具有“自學習”功能的WAF設備，它將會完成主動防御[5]，對SQL注入、跨站腳本攻擊、0DAY漏洞、WEB惡意掃描等攻擊進行攔截。設置為發現異常信息立即進行攔截和記錄，聯動其他安全設備進行自動化協同處理。

（3）安裝審計設備對數據中心各種網絡數據進行收集和記錄，自動梳理后的數據發送給校級大數據平臺的日志中心。

2.虛擬化安全

虛擬化平臺的安全設備部署比較靈活，可以把大部分傳統安全功能虛擬化運行在自身平臺上。同時充分利用虛擬化技術的SDN功能進行安全的配置，對虛擬交換網關和虛擬局域網流量進行審計和過濾。首先建立一個Openflow交換的安全特征基準值，僅使用不小于基準值的Openflow交換在源和目標之間建立通道[6]。同時對運維管理進行全程的身份驗證和權限控制。學校云計算平臺應該建立統一的身份認證系統，對用戶的訪問權限進行管理，只有合法的用戶才能進入系統訪問數據[7]。虛擬化平臺技術中的重要組成部分hypervisor因自身的特點存在許多的安全隱患[8]，存在通過被攻陷的單臺設備入侵整個虛擬化平臺的風險，需要及時升級虛擬化平臺的軟硬件版本，持續跟蹤最新漏洞并采取應急措施。

3.服務及數據運維安全

采用集群技術保障服務的穩定性和高效性，合理使用備份機制作為數據的最后一道保障，并使用壓縮技術節省備份空間。

（1）存儲雙活

采用多種本地和遠程集群技術對存儲進行多硬件同時在線配置，利用以太網或者裸光纖等傳輸手段和多路徑存儲技術做到兩地讀寫完全同步。在單臺故障的情況下依舊可以提供存儲服務。

（2）服務雙活

通常是在實現了存儲雙活的基礎上，通過軟件統一調度硬件資源（中心處理器、內存、網絡交換等）實現軟件級別（服務、操作系統、虛擬化層等）的兩地服務雙活。

（3）備份機制

備份機制是數據安全的基礎要求，日常定期對數據進行異地備份，包括生產數據備份、各類設備日志備份、配置備份等。按照所運行業務的安全等級建立不同標準的備份機制，對于一般安全級別的數據每天本地全備份一次和增量數次，每周異地全備份一次和每天增量一次。

4. 日志中心

建立規范的日志中心是安全運維的基礎。使用大數據的分布式存儲技術建立穩固的日志存儲平臺。在嚴格權限管理基礎上配置多類型的數據接口，供后期分析、運維查詢、安全審計等使用。Hadoop框架固有的特定結構可以將分布式應用部署到大型廉價集群上，非常適合海量數據的高效存儲與管理[9]，底層采用成熟的Hadoop大數據存儲技術建設。Java通過在不同的層級上分發程序的執行以提高執行效率[10]，日志通用接口使用Java語言編寫。在保證高性能和容錯性的同時合理利用現有服務器硬件。

信息安全

1.存儲安全

對核心服務配置高強度的存儲加密策略。建立密鑰服務器；對于僅滿足驗證需求的密碼等信息存儲使用不可逆加密；數據庫中的用戶身份等敏感數據進行非對稱雙向加密，解密程序配置為高安全等級的獨立運行服務，嚴格控制其訪問的授權。

2.傳輸安全

服務器之間傳輸數據的時候采用加密方式傳輸，包括在Web Service接口啟用Https加密。SSL協議在首次握手之后確定了所有的密鑰和加密算法，之后對話的安全性完全依賴于加密算法的復雜度[11]，運維中采用大于等于128位的密鑰。數據庫遠程讀寫的時候啟用數據庫的安全傳輸選項。根據實際情況（包括被傳輸數據的安全等級、服務器加解密負載和傳輸經過網絡情況）統一配置安全策略，必要時使用加密隧道技術。

3.權限控制

嚴格控制信息的訪問權限，限定不同角色訪問的數據范圍、單次數據最大訪問量、訪問渠道和時間限期等。使用多因素認證的安全準入控制，記錄詳細運維和訪問記錄。

4. 數據庫審計

對數據庫的操作，對每條增刪等修改操作都進行來源審計和記錄。保存數據變更記錄，在意外情況下（包括誤操作、數據表運行異常、被篡改等）可以回滾到特定時間點，同時方便故障的定位。

安全大數據平臺

利用基于分布式存儲的日志中心收集和梳理全校安全數據。在關鍵位置（數據集中通過的地方）放置多個流量探針，還原并收集網絡流量數據。收集交換設備、服務器設備、安全設備、虛擬化、操作系統、中間件、數據庫等的日志，包括用戶訪問、異常數據、攻擊行為、服務運行、系統運行、管理員運維等行為。傳統的企業安全邊界正在消失，并演變成安全智能的范疇，具有海量的、加速增長、種類顯著變化的數據特征[12]。建立大數據平臺的時候需要在滿足現有日志存儲容量和計算分析能力基礎之上，至少額外預留30%的備用性能。基于大數據的信令監測系統通過對各類攻擊方式的深度挖掘，能夠有效地對攻擊行為進行識別，并制定相應的防護方案[13]。大數據平臺對海量數據進行篩選和格式規整，然后利用關聯算法和分析引擎進行后期處理并保存結果，最后形成可視化展現和日常報表。大數據可視化促進了對于信息安全事件類型、原因、關系和后果的假設的形成和新知識的積累的過程[14]，有利于管理者的快速決策和安全調整。

本文從技術角度研究了目前校園網絡的安全需求，分析網絡安全面臨的內部和外部風險，提出相應安全措施，形成了智慧校園的網絡安全整體方案。但是由于存在利益等多因素驅動，新型網絡攻擊手段不斷出現，網絡安全防御處于相對被動的狀態。因此需要加快網絡安全的發展，根據現實情況充分利用現有軟硬件資源，建立并持續完善校區網絡安全體系。