智慧校園網(wǎng)絡(luò)信息安全及容災(zāi)備份機(jī)制研究

陶昀翔 吳雷 王鈞

摘要：針對(duì)高校智慧校園面臨的安全問題，該文研究了網(wǎng)絡(luò)信息安全體系構(gòu)建，提出了如何建立容災(zāi)備份機(jī)制。圍繞物理設(shè)備、網(wǎng)絡(luò)傳輸、主機(jī)系統(tǒng)、業(yè)務(wù)數(shù)據(jù)等維度設(shè)計(jì)智慧校園網(wǎng)絡(luò)信息安全體系，從物理層面和邏輯層面構(gòu)建容災(zāi)備份機(jī)制，通過安全體系和容災(zāi)機(jī)制的設(shè)計(jì)為高校智慧校園平臺(tái)安全建設(shè)精準(zhǔn)落地提供理論支撐。

關(guān)鍵詞：智慧校園;網(wǎng)絡(luò);安全;容災(zāi);備份

Abstract：Aiming at the security problems faced by smart campus， the paper studies the construction of network information security system， and puts forward how to establish disaster recovery and backup mechanism. Smart campus network information security system is designed through physical equipment， network transmission， host communication， system business， data and other dimensions， disaster recovery and backup mechanism is built from the physical and logical levels， and the design of security system and disaster recovery mechanism provides theoretical support for accurate landing of security construction of smart campus platform in universities. The design of safety system and disaster recovery mechanism provides theoretical support for the accurate implementation of smart campus platform security construction in colleges and universities.

Key words：smart campus; network; security; disaster recovery; backup

高校智慧校園網(wǎng)絡(luò)信息安全涉及面廣，如：校園出口防護(hù)，通用病毒端口，用戶認(rèn)證登錄，用戶日志記錄，數(shù)據(jù)中心出口防護(hù)，抗DDOS攻擊，防站點(diǎn)攻擊，數(shù)據(jù)中心內(nèi)防護(hù)，服務(wù)器級(jí)別安全加固，業(yè)務(wù)系統(tǒng)等級(jí)保護(hù)，數(shù)據(jù)備份恢復(fù)，網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)監(jiān)控等都屬于高校網(wǎng)絡(luò)信息安全體系防護(hù)范疇。為了保證智慧校園系統(tǒng)安全、穩(wěn)定、可靠的運(yùn)行，高校須針對(duì)各類安全問題制定相應(yīng)的防護(hù)方案。

1 智慧校園面臨的安全問題

高校智慧校園體系結(jié)構(gòu)復(fù)雜，易受攻擊，從基本物理設(shè)備到網(wǎng)絡(luò)鏈路、從主機(jī)到系統(tǒng)、從業(yè)務(wù)應(yīng)用到數(shù)據(jù)安全，各層面均可能存在漏洞風(fēng)險(xiǎn)。為此，構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)信息環(huán)境是高校信息化建設(shè)過程中不可或缺的重要一環(huán)。高校智慧校園安全問題主要集中在以下方面：

一是物理層面臨的安全風(fēng)險(xiǎn)，諸如設(shè)備老化以及鏈路不穩(wěn)定，網(wǎng)絡(luò)設(shè)計(jì)不規(guī)范，無鏈路冗余備份機(jī)制等，均可能產(chǎn)生網(wǎng)絡(luò)層面的安全問題;

二是網(wǎng)絡(luò)傳輸層面的安全隱患，具有代表性的如DHCP、ARP欺騙等;

三是終端主機(jī)面臨的風(fēng)險(xiǎn)，諸如服務(wù)器版本信息泄漏、系統(tǒng)服務(wù)的賬號(hào)管理不妥當(dāng)、賬號(hào)分權(quán)不明確、弱口令、身份鑒別方式不當(dāng)、非法訪問控制、惡意入侵等;

四是業(yè)務(wù)、數(shù)據(jù)層面的風(fēng)險(xiǎn)，諸如SQL注入、XSS攻擊、爬蟲攻擊、惡意掃描等安全威脅，數(shù)據(jù)面臨著不完整、不可用及泄密的安全隱患，不法分子利用系統(tǒng)漏洞，竊取系統(tǒng)數(shù)據(jù)，篡改業(yè)務(wù)數(shù)據(jù)，破壞數(shù)據(jù)的完整性。

2 智慧校園安全體系構(gòu)建

針對(duì)以上的安全問題，智慧校園網(wǎng)絡(luò)信息安全體系可以從物理層面、網(wǎng)絡(luò)傳輸層面、系統(tǒng)終端層面及業(yè)務(wù)數(shù)據(jù)層面構(gòu)建，如圖1所示。

2.1 數(shù)據(jù)中心物理安全

數(shù)據(jù)中心是智慧校園體系的核心構(gòu)成，數(shù)據(jù)中心的物理基礎(chǔ)設(shè)施安全，包括設(shè)備安全、電力安全、消防安全等。

數(shù)據(jù)中心應(yīng)配備動(dòng)態(tài)環(huán)境檢測(cè)系統(tǒng)，對(duì)數(shù)據(jù)中心內(nèi)的機(jī)密空調(diào)、溫濕度傳感器、UPS、UPS電池中電阻電流、配電機(jī)柜、漏水檢測(cè)器等進(jìn)行實(shí)時(shí)監(jiān)控告警。各類設(shè)備須定期檢修，發(fā)現(xiàn)故障及時(shí)排除。

數(shù)據(jù)中心應(yīng)配備多路電源，多路UPS電池為數(shù)據(jù)中心提供備份電力，數(shù)據(jù)中心內(nèi)重要業(yè)務(wù)核心設(shè)備均應(yīng)配備主備電。

數(shù)據(jù)中心應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使數(shù)據(jù)中心溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。按照數(shù)據(jù)中心的使用面積合理的配備機(jī)密空調(diào)的數(shù)量，全天候不間斷輪詢散熱，確保核心數(shù)據(jù)中心溫濕度均衡設(shè)備穩(wěn)定可靠運(yùn)行。

數(shù)據(jù)中心內(nèi)應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，通過煙感或紅外檢測(cè)自動(dòng)發(fā)現(xiàn)火情，自動(dòng)報(bào)警并啟動(dòng)滅火程序。

2.2 網(wǎng)絡(luò)傳輸及鏈路安全

高校網(wǎng)絡(luò)是安全攻擊中的“重災(zāi)區(qū)”，攻擊者通過網(wǎng)絡(luò)中的漏洞進(jìn)行攻擊，高校網(wǎng)絡(luò)安全應(yīng)從校園出口防護(hù)、校園網(wǎng)絡(luò)鏈路、校園用戶認(rèn)證等維度進(jìn)行保障。

校園出口防護(hù)方面，可使用高端防火墻做主備策略，并對(duì)所有的訪問策略做出精細(xì)化調(diào)整：對(duì)個(gè)別地區(qū)地址進(jìn)行過濾，對(duì)高風(fēng)險(xiǎn)端口做訪問策略，例如135，137，139，445，3389等端口，對(duì)部分敏感軟件進(jìn)行攔截，內(nèi)網(wǎng)訪問策略做到逐條匹配。對(duì)內(nèi)網(wǎng)地址映射公網(wǎng)地址所在的服務(wù)器嚴(yán)格審查，并做好備案。

校園用戶認(rèn)證應(yīng)采用統(tǒng)一賬號(hào)認(rèn)證登錄上網(wǎng)，所有用戶上網(wǎng)行為皆應(yīng)有記錄日志，日志記錄保留時(shí)長(zhǎng)不少于6個(gè)月。認(rèn)證設(shè)備也須做到冗余備份，保障設(shè)備穩(wěn)定。有條件的情況下，對(duì)日志系統(tǒng)以及行為管理日志服務(wù)器系統(tǒng)進(jìn)行雙備份，在單一日志服務(wù)器出現(xiàn)故障時(shí)，保障用戶日志可查。