智慧校園環境下的數據安全研究與實踐

沈輝賢

【摘?要】隨著網絡技術的快速發展，在高校的智慧校園里建立起統一的數據交換和存儲平臺，促進數據在校內的互聯互通，加速教育信息化進程。而隨著數據的日益集中，統一數據平臺的數據安全越來越受到重視。本文分析了當前數據安全面臨的新形勢，并試從本校統一數據平臺的數據安全實踐著手，探討保障智慧校園數據安全的可行措施。

【關鍵詞】智慧校園;數據安全;實踐

引言

隨著云計算、機器學習、大數據、物聯網等技術不斷同高校信息化建設發展相融合，各高校紛紛進入從數字化校園向智慧校園發展的快速轉型階段，為“用數據說話、用數據決策、用數據管理、用數據創新”的管理決策機制打下基礎，但隨著教學、流程、管理逐漸線上化，學校數據規模急劇增大，如何管理海量數據和確保數據安全，成為高校信息化發展的一大挑戰。同時，國家高度重視數據安全，在2019年，國家互聯網信息辦公室發布了《數據安全管理辦法（征求意見稿）》;其中數據安全建設是該標準的核心內容之一。基于此，本研究將討論智慧校園建設下高校數據的安全管理。

1當前數據安全面臨的新形勢

隨著互聯網的快速發展，信息化產生的數據呈現出爆發增長和不斷集中的態勢。據國際數據公司（IDC）發布的對全球數字化的白皮書預測，全球數據圈正在經歷著快速擴張，預計從2018年的33ZB數據量增至2025年的175ZB，其中中國數據圈以30%的年平均增長速度領先全球，并將在2025年成為最大的數據圈。在數字化程度與日俱增的世界里，數據資源的價值和重要性慢慢被人們所發現，如何保護用戶數據安全已成為人們普遍關心的問題。近年來，數據安全總體形勢不容樂觀，信息泄露、勒索病毒等各種數據安全事件常有發生。

2智慧校園建設背景下數據安全管理面臨的挑戰

2.1云計算帶來的安全隱患

云計算技術的發展為高校智慧校園建設提供了強大技術支撐，但因其具有體系架構復雜、邊界模糊等特性，為數據存儲帶來了新的安全隱患，云虛擬化安全方面就面臨著竊取服務的攻擊、網絡惡意代碼的注入攻擊、信道攻擊等。例如目前各高校中，服務器虛擬化逐漸代替了實體服務器，其使運維人員可通過相關界面就可以管理眾多服務器，不需進入機房去尋找各個實體服務器，但是同駐在一臺物理機上的多個虛擬機可以不通過下一代防火墻、web應用防火墻等網絡安全防護設備直接進行數據交換，無法對虛擬機之間的通信進行有效的監控和安全隔離，為網絡攻擊和病毒在云平臺內部擴散提供了更多的機會。

2.2共享數據中心管理

高校智慧校園建設的進行，各業務系統的核心數據經梳理集中于共享數據中心平臺，為在大數據分析階段挖掘數據的潛藏價值做好了準備。隨著其蘊含各種形式的數據量日益增多，對數據的存儲、處理、運算提出了新的技術需求，但因應運而生的新型技術不夠成熟、數據量大等原因，導致數據安全風險極大，重要敏感數據存在泄露的風險，同時共享數據中心平臺一旦發生數據泄露、受到重大病毒攻擊等，將對學校數據安全產生嚴重的后果。

3本校統一數據平臺的數據安全實踐

高校智慧校園項目建設的統一數據平臺一般都有如下特點：（1）作為數據交換的樞紐，匯集的數據具有容量大、種類多、權威性高的特點;（2）部分數據交換有速度和頻度要求，不能為了安全性犧牲可用性;（3）一般高校都有外包公司協助進行智慧校園建設，數據流轉的下游系統也同樣由外包公司協助建設，各種敏感和重要數據無可避免要給外包公司人員經手，而外包人員一般流動性較大，這給出現問題后的追查取證帶來很大障礙，大大增加發生安全問題的概率，成為數據安全的最大隱患。在智慧校園項目的實施過程中，針對數據平臺存在的安全問題、網絡安全等級保護制度2.0二級（下稱等保2.0）的相關要求并結合本校實際，采取了一系列措施，從技術和管理兩方面有效地預防和減少上述數據安全問題的發生。

3.1硬件安全

統一數據平臺存放于智慧校園一體機上，保護支撐其運作的硬件設施也是重中之重。在等保2.0中提出了對支撐信息系統運作的硬件及其保管空間（機房）的要求，包括供電、溫度、濕度、防塵、防火等方面，停電時能夠保證支撐數據庫及業務系統正常運行超過1小時，并可迅速切換至后備運行環境。

3.2構建密碼管理機制

密碼是信息系統最容易出現的安全問題，也是最容易受到黑客攻擊的脆弱點。為了保證密碼的長期安全，需要建立一套長期有效的密碼管理機制。（1）使用密碼生成工具生成密碼并定期更換。統一數據平臺前臺、后臺有多個管理賬號，可使用密碼生成工具統一生成長度足夠、字符種類多樣且無規律的密碼并統一進行更改，部分賬號的密碼可能還用于其他系統訪問的，可以考慮編寫腳本統一修改。（2）形成密碼交付記錄。通過簽訂協議等方式，保留交付密碼的記錄，對數據平臺的密碼的去向有大致掌握，通過定期更換密碼，可以將知道密碼的人數控制在一定范圍內。

3.3訪問控制

統一數據平臺非常重要，必須嚴格控制可登錄統一數據平臺的人員，確保除了通過各種應用入口合法訪問數據庫外，只有數據庫管理員能夠從管理入口進入。利用網絡防火墻，對數據庫的訪問作出基于白名單的訪問控制。而對于可以合法訪問的人員，在數據庫內部和應用入口對不同用戶的訪問進行了權限劃分和租戶隔離，能夠更好地防范對統一數據平臺的有害操作。除此之外，網絡防火墻還肩負防范應用層網絡攻擊的任務，如識別出疑似的注入、遠程代碼，木馬上傳等網絡攻擊行為，可通過封鎖IP和賬號等方式禁止用戶進行數據訪問操作，并記錄網絡攻擊行為日志供日后研究和追責。

3.4數據加密

在面向不可靠用戶環境的情況下，數據加密是有效防止嗅探和篡改的重要手段，我們采取了三種數據加密方式：傳輸加密、庫加密和字段加密。（1）傳輸加密：針對應用層面的數據訪問，采用HTTPS協議和對稱加密算法，對傳輸參數和HTTP報頭本身進行加密，是防止網絡嗅探的有效手段。（2）庫加密：針對備份環境下的數據庫，實行全庫加密。備份服務器上的數據庫以文件形式存儲，也存在被黑客入侵的風險。對備份環境的數據庫進行整庫加密是對備份文件的一道保險，當需要啟用備份庫時再進行全庫的解密即可。（3）字段加密：對于一些重要的敏感字段，例如密碼、銀行卡號等，如果不得已必須存到數據庫，需要以加密形式進行存儲，這些敏感數據直接以加密的形式進行數據流轉。

3.5數據脫敏

數據脫敏是有效防止數據泄露的技術手段，脫敏方式主要分為靜態脫敏和動態脫敏兩種。（1）靜態脫敏：靜態脫敏是直接針對數據庫中的敏感字段施行數據遮蔽、字符轉換等手段，應用于測試專用的測試庫和科研專用的科研庫，這樣可以方便開放這兩個庫給更大范圍人員進行測試和科研工作。（2）動態脫敏：針對業務層面的應用，在數據出口處對數據進行遮蔽、字符轉換等脫敏操作，動態脫敏可以針對不同用戶和用戶組制定不同的脫敏規則，在滿足業務需求的同時進行有效的數據保護。

結束語

智慧校園加快了高校信息化建設的步伐，為師生提供了便捷的服務，為實現高效化、智慧化的校園服務奠定了基礎。數據作為智慧校園建設中的重要資產，高校在充分發揮數據價值的同時，要把數據安全放在第一位，從技術、管理等多角度出發，加強數據安全的監督、管理，建立有效的數據安全防護體系，營造健康的數據安全環境。

參考文獻：

[1]張玉清，王曉菲，劉雪峰，等.云計算環境安全綜述[J].軟件學報，2016，27（6）：1328-1348.

[2]魏楚元，彭升輝，任彥龍，等.從數據中找到"黃金"構建高校數據治理框架[J].中國教育網絡，2019（4）：61-63.

（作者身份證號碼：450924198203075118）