基于大數(shù)據(jù)技術(shù)的智慧校園安全管控平臺設(shè)計研究

廖海生

(廣東科學(xué)技術(shù)職業(yè)學(xué)院 計算機工程技術(shù)學(xué)院， 廣東 珠海 519090)

0 引言

長期以來，校園網(wǎng)絡(luò)安全體系的設(shè)計主要以防為主，受PDR、P2DR、IATF等指導(dǎo)模型的影響，以往校園網(wǎng)安全體系建設(shè)重點在檢測與防御上建設(shè)，通過實時的在線檢測御黑客于網(wǎng)絡(luò)之外。但從近些年發(fā)生的大量網(wǎng)絡(luò)攻擊案例發(fā)現(xiàn)，現(xiàn)有的安全防御體系并未能徹底抵御所有的網(wǎng)絡(luò)攻擊，如美國國家安全部、NASA、伊朗核設(shè)施等組織的網(wǎng)絡(luò)安全體系將檢測、防御技術(shù)建設(shè)到極致，但仍然被攻擊者成功滲透。

而隨著云計算、大數(shù)據(jù)的興起，高校信息化正從數(shù)字化進入智慧化，智慧校園建設(shè)成為高校發(fā)展建設(shè)、綜合服務(wù)、競爭力的驅(qū)動力，智慧校園主要是利用云計算、大數(shù)據(jù)等技術(shù)構(gòu)建全面感知校園物理環(huán)境，智能識別師生個體特征和學(xué)習(xí)、工作情景、行為軌跡，將科研、辦公、管理、教學(xué)、生活等業(yè)務(wù)深度融合，將人與人、人與物、物與物的頻繁互動行為進行互通融合，因此智慧校園數(shù)據(jù)種類繁多、數(shù)據(jù)量將成幾何式的增長，校園大數(shù)據(jù)將對高校網(wǎng)絡(luò)空間安全帶來極大的沖擊，特別是在日益猖獗的網(wǎng)絡(luò)攻擊面前，傳統(tǒng)的網(wǎng)絡(luò)安全防御手段已顯得力不從心，無法應(yīng)對當(dāng)前大數(shù)據(jù)背景下的校園網(wǎng)絡(luò)安全威脅。

1 大數(shù)據(jù)背景下校園網(wǎng)絡(luò)存在的安全隱患

隨著高校智慧校園建設(shè)的不斷推進，各高校大力利用大數(shù)據(jù)、云技術(shù)與人工智能等新技術(shù)開發(fā)并拓展學(xué)校管理與服務(wù)應(yīng)用，如AI攝像機構(gòu)建的平安校園、物聯(lián)網(wǎng)技術(shù)構(gòu)建的綠色校園、人臉識別技術(shù)構(gòu)建的行為管理系統(tǒng)、隨時隨地的網(wǎng)絡(luò)教學(xué)平臺、互聯(lián)互通的新媒體等，高校業(yè)務(wù)對互聯(lián)網(wǎng)越來越依賴，校園內(nèi)人、物的關(guān)聯(lián)性和復(fù)雜度不斷提高，網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)不斷集中化。因此，高校網(wǎng)絡(luò)空間安全將面臨新的挑戰(zhàn)，存在的安全隱患也將越來越多。

1.1 數(shù)據(jù)存儲傳輸存在安全隱患

一是在大數(shù)據(jù)背景下，高校智慧校園大數(shù)據(jù)中心實現(xiàn)高校數(shù)據(jù)高度共享，數(shù)據(jù)共享給學(xué)校教學(xué)管理、數(shù)據(jù)應(yīng)用等帶來便利的同時，高校大數(shù)據(jù)中心也成為黑客攻擊的重要對象；二是師生個人數(shù)據(jù)高度共享，個人數(shù)據(jù)完全暴露于網(wǎng)絡(luò)，將存在個人隱私泄露問題；三是數(shù)據(jù)共享方便師生快速的查詢到自己所需的信息資料，在不斷普及信息共享意識和拓寬信息的獲取途徑的過程中也加大了信息被竊取的概率；四是隨著互聯(lián)網(wǎng)技術(shù)高速發(fā)展，高校萬物互聯(lián)，互聯(lián)網(wǎng)高度互通，在方便用戶快捷傳輸數(shù)據(jù)的同時也給網(wǎng)絡(luò)黑客帶來可乘之機，在傳輸中可能存在信息被暴露或被截獲的安全隱患。

1.2 網(wǎng)絡(luò)物理設(shè)備存在安全隱患

一是高校智慧校園的建設(shè)使得服務(wù)器、存儲、交換機等網(wǎng)絡(luò)設(shè)備種類、數(shù)量不斷增加，網(wǎng)絡(luò)設(shè)備集成共享度也越來越高，高校業(yè)務(wù)對網(wǎng)絡(luò)設(shè)備的依賴性更加強，但由于經(jīng)濟問題很多高校沒有建立容災(zāi)機制，網(wǎng)絡(luò)設(shè)備存在單點故障風(fēng)險；二是智慧校園部署了感知層，感知層節(jié)點數(shù)量多、感知設(shè)備多，部署比較分散，感知層設(shè)備的安全管控難度大。

1.3 網(wǎng)絡(luò)安全管理機制存在隱患

一是高校智慧校園建設(shè)存在重建設(shè)、輕管理，重應(yīng)用、輕安全的現(xiàn)象，高校網(wǎng)絡(luò)安全管理工作受限于人員編制、運維成本等因素，缺乏順暢的管理機制、精細(xì)的管控服務(wù)、規(guī)范的運維流程[1]，網(wǎng)絡(luò)安全管理體系制度不健全以及組織機構(gòu)設(shè)置不合理，存在管理風(fēng)險；二是未對智慧校園網(wǎng)絡(luò)安全進行全面評估，技術(shù)對策具有滯后性，依舊還是采用訪問控制技術(shù)、入侵檢測技術(shù)、防火墻等傳統(tǒng)防御技術(shù)防御連接層，潛在于應(yīng)用層的安全威脅難以及時預(yù)防和監(jiān)控，網(wǎng)絡(luò)管理對策也往往滯后于智慧校園安全管理，且都是被動防疫，難以滿足大數(shù)據(jù)背景下的網(wǎng)絡(luò)安全管理需求[2]。

2 智慧校園網(wǎng)絡(luò)安全體系設(shè)計

2.1 安全風(fēng)險分析

目前高校智慧校園建設(shè)體系主要分基礎(chǔ)設(shè)施層、支撐平臺層、智慧應(yīng)用層和表現(xiàn)層，如圖1所示。要有效防護整個智慧校園，就要針對智慧校園建設(shè)體系各層的應(yīng)用特征分析各層可能存在的安全問題[3]。

圖1 智慧校園建設(shè)體系架構(gòu)

1)智慧校園基礎(chǔ)設(shè)施層安全問題：智慧校園基礎(chǔ)設(shè)施層主要包括有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、物聯(lián)網(wǎng)、云存儲與云計算架構(gòu)，根據(jù)基礎(chǔ)設(shè)施層的特征，主要存在服務(wù)器虛擬化安全、網(wǎng)絡(luò)邊界安全等安全問題。

2)智慧校園支撐平臺層是整個智慧校園系統(tǒng)的核心部分，包括各種應(yīng)用引擎、開發(fā)平臺、數(shù)據(jù)中心、認(rèn)證平臺等，支撐智慧校園應(yīng)用與服務(wù)，因此本層重點存在代碼安全以及各類支撐平臺的防御能力問題。

3)智慧應(yīng)用層是智慧校園的各種應(yīng)用系統(tǒng)，為各級用戶提供智慧應(yīng)用和服務(wù)，是用戶體驗感最強的部分，也是直接面對用戶的部分，這些應(yīng)用與服務(wù)大多采用微應(yīng)用、微服務(wù)架構(gòu)，每個微應(yīng)用、微服務(wù)都可獨立提供服務(wù)，因此本層主要需要考慮應(yīng)用系統(tǒng)代碼安全和系統(tǒng)應(yīng)用安全問題，以及用戶的身份認(rèn)證安全、行為安全問題。

4)表現(xiàn)層是利用各類終端設(shè)備和WEB系統(tǒng)實現(xiàn)信息的進與出，即為信息采集和信息展示，所以本層安全主要存在終端設(shè)備的安全、WEB系統(tǒng)安全、新媒體安全、移動終端的遠(yuǎn)程接入與工作安全問題。

2.2 安全體系設(shè)計思路

高校智慧校園網(wǎng)絡(luò)安全體系設(shè)計總體思路是：基于智慧校園建設(shè)體系防護對象，遵循安全可靠、動態(tài)兼容、融合創(chuàng)新、管理便捷、先進與標(biāo)準(zhǔn)并存以及多重保護的原則，以數(shù)據(jù)安全為核心構(gòu)建云+端+邊界的互聯(lián)網(wǎng)絡(luò)安全生態(tài)體系，具有風(fēng)險識別能力、安全防御能力、安全檢測能力、安全響應(yīng)能力與安全恢復(fù)能力，最終實現(xiàn)風(fēng)險可見化，防御主動化，運行自動化的安全目標(biāo)，保障學(xué)校業(yè)務(wù)的安全。

1)以數(shù)據(jù)為核心的設(shè)計思路。傳統(tǒng)的網(wǎng)絡(luò)安全防御體系設(shè)計思路是監(jiān)測某一時刻的攻擊行為，具有片面性，而以數(shù)據(jù)為核心的設(shè)計思路是監(jiān)測某微小數(shù)據(jù)，它能將整個攻擊過程都記錄下來，并且能回溯分析全過程，還原攻擊的全貌。

2)縱橫協(xié)同防御思想。以智慧校園硬件基礎(chǔ)架構(gòu)層次為縱向，建立從虛擬化安全到網(wǎng)絡(luò)層安全、應(yīng)用及數(shù)據(jù)層安全的多層安全防護；以智慧校園業(yè)務(wù)應(yīng)用為橫向，建立賬號及口令安全、文件權(quán)限、管理策略安全、運營安全等協(xié)同安全防護；針對外部攻擊，建立邊界安全防護、內(nèi)網(wǎng)安全防護及終端安全防護的協(xié)同防護體系[4]。

3)內(nèi)外兼顧的運營管理策略。應(yīng)對內(nèi)部應(yīng)用快速變化帶來的安全威脅，以漏洞為核心建立全生命周期的漏洞管理體系；應(yīng)對外部攻擊方式多樣化帶來的威脅，以威脅為核心結(jié)合威脅情報感知、應(yīng)急響應(yīng)和恢復(fù)過程流程，逐步擺脫被動應(yīng)對方式，建立能夠主動感知和預(yù)警的威脅防護體系[5]。

4)技術(shù)與管理相結(jié)合的思路。成立安全職責(zé)部門，設(shè)置專職安全運營崗位，完善信息安全管理制度、規(guī)定，組織安全培訓(xùn)并監(jiān)督安全制度的執(zhí)行情情況，實施獎懲制度，對安全策略的執(zhí)行納入員工考核[5]。

3 智慧校園安全管控平臺設(shè)計

3.1 智慧校園安全管控平臺總體框架

智慧校園安全平臺是基于智慧校園體系而設(shè)計，針對智慧校園體系各層的應(yīng)用特征進行安全防護設(shè)計，在智慧校園各層部署感知器以及在關(guān)鍵網(wǎng)絡(luò)口部署流探針，通過數(shù)據(jù)采集器及時采集感知器和流探針的數(shù)據(jù)，經(jīng)過預(yù)處理送智慧安全大腦，為智慧運營管理平臺全面感知智慧校園安全態(tài)勢提供數(shù)據(jù)支撐，及時分析處置安全威脅，預(yù)測智慧校園安全風(fēng)險[6]。其總體架構(gòu)圖2所示。

圖2 智慧校園安全管控平臺總體框架

3.2 智慧校園基礎(chǔ)設(shè)施層安全設(shè)計

智慧校園基礎(chǔ)設(shè)施層主要包括有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、物聯(lián)網(wǎng)、云存儲與云計算架構(gòu)，它既是智慧校園第一道防線又是最底防線，主要存在服務(wù)器虛擬化安全、網(wǎng)絡(luò)邊界安全等安全問題。面對大數(shù)據(jù)時代安全風(fēng)險，只依靠本地的高性能、多功能的安全產(chǎn)品來防護基礎(chǔ)層安全遠(yuǎn)遠(yuǎn)不夠，要從傳統(tǒng)的被動防護轉(zhuǎn)為多層安全防線的主動防御，采集大量網(wǎng)絡(luò)數(shù)據(jù)，通過智慧安全大腦智能分析，動態(tài)感知安全威脅[7]，主動防御攻擊。

1)服務(wù)器安全設(shè)計。智慧校園是把物理服務(wù)器資源虛擬化構(gòu)建云數(shù)據(jù)中心，不受物理的界限隔離，構(gòu)建計算、存儲動態(tài)資源池，實現(xiàn)集中管理應(yīng)用。在設(shè)計服務(wù)器安全時，一是要設(shè)計智能病毒查殺功能。服務(wù)器虛擬化后，攻擊者一般是直接通過應(yīng)用侵入到虛擬機內(nèi)部，根植木馬病毒，因此需要設(shè)計云查殺+本地查殺相結(jié)合病毒防御模式，對虛擬機及服務(wù)器進行掃描結(jié)果緩存共享，采用增量掃描模式提高掃描效率[8]；二是物理主機的安全防護重點是針對Windows或Linux等操作系統(tǒng)的漏洞設(shè)計，通過智慧安全大腦智能感知系統(tǒng)漏洞，并進行統(tǒng)一管理和更新；三是智能安全策略更新機制。服務(wù)器虛擬化后各虛擬機數(shù)據(jù)將動態(tài)互遷移，這就可能造成將不同安全策略的數(shù)據(jù)遷移到不同安全策略的虛擬機上，導(dǎo)致虛擬安全域混亂，因此需要在各虛擬機中安裝智能感知模塊，將感知信息傳回智慧安全大腦，智慧安全大腦匹對涉及的各虛擬機安全策略，并以增量模式更新各虛擬機安全策略，有效解決虛擬機漂移造成的虛擬機之間的互相攻擊問題。

2)邊界安全設(shè)計。邊界安全是智慧校園網(wǎng)絡(luò)第一道防護，主要是保護校園網(wǎng)絡(luò)由外至內(nèi)，保障校園資源不受外部攻擊，以及由內(nèi)向外，防止外部網(wǎng)絡(luò)攻擊。傳統(tǒng)的邊界安全部署有防火墻、行為審計、VPN系統(tǒng)、入侵檢測系統(tǒng)等安全產(chǎn)品，重點是在高校網(wǎng)絡(luò)出入口的位置對攻擊進行封堵，但網(wǎng)絡(luò)的物理出入口并不是攻擊者進入到網(wǎng)絡(luò)的唯一途徑[9]，入侵到網(wǎng)絡(luò)內(nèi)部有很多可選擇的途徑與突破口，如PC、智能終端、師生用戶、應(yīng)用軟件、網(wǎng)絡(luò)服務(wù)等都將成為攻擊者攻擊的入口與突破口，因此網(wǎng)絡(luò)的安全邊界是邏輯邊界，不是傳統(tǒng)的物理邊界。其安全設(shè)計思路：一是設(shè)置多層級防護，延長攻擊路線和攻擊時間，讓攻擊者盡可能多的暴露出異常行為，獲取攻擊行為數(shù)據(jù)，依靠大數(shù)據(jù)分析提前發(fā)現(xiàn)分析威脅，主動出擊；二是設(shè)計精細(xì)化的用戶訪問控制策略和數(shù)據(jù)進出策略。即時在各邏輯邊界安裝威脅感知模塊，并與智慧安全大腦、云端威脅檢測中心聯(lián)動，形成立體化分析檢測，對進出數(shù)據(jù)和用戶訪問請求進行檢測分析，及時響應(yīng)，作出處置、防護[10]。

3.3 智慧校園平臺層安全設(shè)計

智慧校園支撐平臺層是整個智慧校園系統(tǒng)的核心部分，猶如應(yīng)用引擎主板，連接各種應(yīng)用，包括各種應(yīng)用引擎、開發(fā)平臺、數(shù)據(jù)中心、認(rèn)證平臺等。支撐平臺是智慧校園系統(tǒng)的核心代碼，平臺軟件的代碼安全漏洞和未聲明功能(后門)是智慧校園支撐平臺的重要安全隱患，因此支撐平臺本身的代碼安全問題和平臺防御能力是重點問題。

智慧校園支撐平臺層的安全只依靠基礎(chǔ)設(shè)施層的安全防護遠(yuǎn)遠(yuǎn)不夠，無法解決自身代碼安全問題，因此需要設(shè)計一款智能代碼安全管理平臺對平臺軟件的代碼安全進行安全管理。一是代碼安全自動檢測機制，智能代碼安全管理平臺實時監(jiān)測平臺軟件及各類接口應(yīng)用代碼，一旦源代碼變化即預(yù)警，自動分析代碼與漏洞庫進行匹配，一旦代碼存在漏洞也及時預(yù)警[11]；二是源代碼安全自動加固機制。智能代碼安全管理平臺聯(lián)動兩個以上成熟的第三方代碼安全加固軟件，檢測發(fā)現(xiàn)代碼變化或漏洞，將調(diào)用第三方代碼安全加固軟件修復(fù)代碼，同時對代碼進行代碼混淆及代碼加固處理。

3.4 智慧應(yīng)用層安全設(shè)計

智慧應(yīng)用層主要包括門戶網(wǎng)站和其它業(yè)務(wù)系統(tǒng)，信息系統(tǒng)等級保護第三級要求業(yè)務(wù)系統(tǒng)自身應(yīng)具備“身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件容錯和資源控制”等安全功能[12]。因此本層主要需要考慮應(yīng)用系統(tǒng)代碼安全和系統(tǒng)應(yīng)用安全問題。應(yīng)用系統(tǒng)代碼安全采用智能代碼安全管理平臺進行防護，系統(tǒng)應(yīng)用安全問題則重點考慮用戶身份認(rèn)證安全、行為安全問題。

1)智能訪問控制平臺設(shè)計。隨著高校智慧校園建設(shè)的推進，學(xué)校應(yīng)用系統(tǒng)不斷豐富，為解決用戶賬戶繁多，方便用戶使用，智慧校園采用了統(tǒng)一身份認(rèn)證系統(tǒng)，但也使得各類應(yīng)用安全管理、用戶權(quán)限管理存在巨大難度。智能訪問控制平臺就是解決應(yīng)用安全管理、用戶權(quán)限管理、賬戶安全管理等問題，包括智能身份認(rèn)證、智能感知等功能。

智能身份認(rèn)證提供統(tǒng)一用戶身份管理服務(wù)和權(quán)限管理服務(wù)。(1)將各應(yīng)用系統(tǒng)的賬戶統(tǒng)一收回，集中管理，實現(xiàn)應(yīng)用統(tǒng)一入口認(rèn)證；(2)將各應(yīng)用系統(tǒng)訪問權(quán)限收回，實現(xiàn)應(yīng)用權(quán)限統(tǒng)一管理，建立包括賬戶與應(yīng)用權(quán)限對應(yīng)的訪問控制列表，實現(xiàn)細(xì)粒度的訪問權(quán)限控制；(3)執(zhí)行過程。智能身份認(rèn)證模塊收到訪問請求(包括賬戶信息、訪問應(yīng)用)，將驗證訪問者的用戶身份信息，驗證通過后由智能權(quán)限管理模塊驗證應(yīng)用身份，從訪問控制列表中匹對其訪問權(quán)限，然后由智能權(quán)限管理模塊充當(dāng)代理與應(yīng)用系統(tǒng)建立應(yīng)用/API訪問服務(wù)，提供授權(quán)訪問，雖然該賬戶可能具有多個應(yīng)用訪問權(quán)限，但是本次未申請訪問的內(nèi)容不具有訪問權(quán)限，實現(xiàn)一申請一訪問[13]。

智能感知是感知用戶訪問過程中的各種行為，通過行為日志如對用戶請求、身份認(rèn)證、訪問授權(quán)、應(yīng)用訪問等行為變化進行風(fēng)險分析與評估，并及時預(yù)警，根據(jù)訪問風(fēng)險行為和異常信息，進行智能分析，及時更新用戶的身份及權(quán)限信息，實現(xiàn)自我學(xué)習(xí)能力，不斷提升風(fēng)險防范能力。

2)智能行為安全管理設(shè)計。智能行為安全管理平臺包括數(shù)據(jù)采集、智能分析、智能預(yù)警等功能。通過采集用戶上網(wǎng)行為、網(wǎng)絡(luò)設(shè)備以及應(yīng)用系統(tǒng)日志等數(shù)據(jù)，利用大數(shù)據(jù)技術(shù)進行分析，為智慧校園安全起到事前預(yù)警、事中控制，事后溯源的作用[14]。(1)校園輿情預(yù)警作用。通過師生上網(wǎng)行為數(shù)據(jù)分析，可及時發(fā)現(xiàn)師生異常動態(tài)，如晚歸、高消費、網(wǎng)貸趨向、沉溺網(wǎng)絡(luò)、思想動態(tài)等，及時采取措施避免校內(nèi)輿情事件；(2)業(yè)務(wù)預(yù)警作用。通過學(xué)生學(xué)習(xí)、圖書資源等數(shù)據(jù)分析，可實現(xiàn)學(xué)生成績、資源利用效率等預(yù)警；(3)設(shè)備故障預(yù)警。通過設(shè)備日志數(shù)據(jù)分析，可提前分析出設(shè)備異常，提前做好維護，保障設(shè)備不間斷運行。

3.5 表現(xiàn)層安全設(shè)計

表現(xiàn)層是用戶使用各種終端體驗智慧校園各類應(yīng)用的入口，高校內(nèi)網(wǎng)終端設(shè)備數(shù)量多、種類豐富以及用戶種類多等原因給智慧校園網(wǎng)絡(luò)造成巨大安全隱患，其主要做好終端設(shè)備和WEB頁面的安全防護。

1)智能終端設(shè)備安全防護機制。為解決在終端設(shè)備安裝殺毒軟件只是被動防范，而不能主動發(fā)現(xiàn)未知安全威脅的問題，本設(shè)計采用蜜罐原理設(shè)計多層次的終端威脅防護機制。第一層為引誘層，將空閑I P分配給蜜罐服務(wù)，將攻擊者流量重定向到隔離網(wǎng)絡(luò)內(nèi)的蜜罐環(huán)境中，在保護真實IP免受入侵的同時收集攻擊者信息；第二層為動態(tài)虛擬層，當(dāng)攻擊者識破不是他們真正的目標(biāo)IP，發(fā)現(xiàn)攻擊者試圖改變攻擊路線，根據(jù)捕獲攻擊者日志，將真實IP切換到熱備IP，而將原來真實IP動態(tài)構(gòu)建為虛擬環(huán)境，為了拉長攻擊者攻擊路徑，捕獲攻擊者更多攻擊行為數(shù)據(jù)，動態(tài)虛擬層將根據(jù)實際自動構(gòu)建多層次，直到通過分析攻擊行為數(shù)據(jù)能有效捕殺攻擊者為止[15]。

2)智能WEB安全防護平臺。目前高校應(yīng)用系統(tǒng)都采用B/S架構(gòu)，通過WEB頁面直接與用戶打交道，因此WEB頁面也成為攻擊者首先對象，數(shù)據(jù)泄露、頁面篡改、掛黑鏈、錯敏內(nèi)容等時有發(fā)生。結(jié)合當(dāng)前WEB攻擊內(nèi)容，利用大數(shù)據(jù)分析技術(shù)構(gòu)建基于公有云的智能WEB防護平臺。該平臺包括智能監(jiān)測、智能分析、智能處理等功能模塊。智能監(jiān)測是7*24小時服務(wù)模式，實時監(jiān)測網(wǎng)站內(nèi)容變化情況，如是否被篡改、網(wǎng)站是否有外鏈、是否存在敏感圖片、潛在問題等，與原內(nèi)容模板進行匹配，生成網(wǎng)站內(nèi)容安全監(jiān)測報告；依靠第三方云端安全大數(shù)據(jù)資源庫，智能分析模塊利用大數(shù)據(jù)技術(shù)分析網(wǎng)站內(nèi)容安全監(jiān)測報告，并提出可行的處理方案給管理者，管理者通過向?qū)椒椒ㄟM行人工處理。

3.6 智能安全運營管理平臺

智慧校園各層都部署了各類安全設(shè)備，并收集了大量安全日志和行為數(shù)據(jù)，為了能實現(xiàn)各層安全防護的聯(lián)動性，安全日志和行為數(shù)據(jù)的統(tǒng)一管理分析，依托智慧安全大腦構(gòu)建一個安全運營管理平臺，使管理者能夠全面感知智慧校園安全問題，及時處置安全隱患。包括感知模塊、數(shù)據(jù)處理分析模塊、決策處置模塊[16]。

1)數(shù)據(jù)采集模塊。數(shù)據(jù)采集模塊主要的功能是采集各類安全數(shù)據(jù)。(1)通過在校園網(wǎng)出口、數(shù)據(jù)中心出口、各匯聚層等網(wǎng)絡(luò)出口安裝流探針監(jiān)聽流量，實時感知網(wǎng)絡(luò)流量變化，生產(chǎn)流量日志；(2)通過在智慧校園各層部署數(shù)據(jù)采集器，捕獲各層安全設(shè)備和軟件的日志數(shù)據(jù)和行為數(shù)據(jù)。感知模塊對采集器和流探針采集來的數(shù)據(jù)進行預(yù)處理，按照統(tǒng)一的歸一化數(shù)據(jù)格式進行轉(zhuǎn)換， 轉(zhuǎn)存到智慧安全大腦大數(shù)據(jù)平臺，為后期安全事件分析、威脅呈現(xiàn)、追蹤溯源等提供數(shù)據(jù)支撐。

2)數(shù)據(jù)處理分析模塊。智慧安全大腦大數(shù)據(jù)平臺對感知層采集的數(shù)據(jù)進行分布式存儲、索引，利用數(shù)據(jù)關(guān)系規(guī)則引擎、資源管理引擎、數(shù)據(jù)搜索引擎、統(tǒng)計分析引擎等進行進行數(shù)據(jù)融合關(guān)聯(lián)分析，基于數(shù)據(jù)融合分析的基礎(chǔ)上，采用深度學(xué)習(xí)、機器學(xué)習(xí)、強化學(xué)習(xí)等技術(shù)分析識別并理解攻擊行為和攻擊意圖，生成分析報告，及時告警響應(yīng)。

3)決策處置模塊。決策處置模塊的主要任務(wù)是依據(jù)分析報告評估安全風(fēng)險等級，預(yù)測威脅趨勢。(1)根據(jù)安全風(fēng)險的級別，生成聯(lián)動策略下發(fā)給防火墻、IPS、WAF 等網(wǎng)絡(luò)安全設(shè)備，采取相應(yīng)的執(zhí)行策略[17]；(2)根據(jù)安全威脅趨勢分析，生成一組命令集合，觸發(fā)各有關(guān)網(wǎng)絡(luò)安全設(shè)備或軟件進行更新安全防護策略，加固安全防御；(3)通過關(guān)聯(lián)規(guī)則分析、同源分析、機器學(xué)習(xí)等技術(shù)對流量和日志數(shù)據(jù)進行挖掘，分析不同攻擊階段的關(guān)聯(lián)流量元數(shù)據(jù)、行為、日志數(shù)據(jù)，重塑攻擊者攻擊全鏈，從而還原攻擊原貌，準(zhǔn)確反映出被攻擊的網(wǎng)絡(luò)資源、攻擊者信息、受害人信息等。

4 實驗結(jié)果與分析

4.1 測試場景

為了驗證本設(shè)計各安全層的有效性，選取作者所在學(xué)校的智慧校園實際場景進行測試，測試場景主要選取智慧校園的邊界區(qū)W、隔離區(qū)DMZ、數(shù)據(jù)服務(wù)區(qū)D、終端設(shè)備區(qū)H、應(yīng)用服務(wù)區(qū)B等部分關(guān)鍵設(shè)備和應(yīng)用作為測試對象[18]，部署后的測試網(wǎng)絡(luò)拓?fù)鋱D如3所示，部署前W1、F1、F2、F3、F4都為普通級防火墻。

圖3 智慧校園安全平臺部署后測試網(wǎng)絡(luò)拓?fù)鋱D

DMZ是位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間[19]，該區(qū)域部署了WEB、Email、DNS等服務(wù)器，實驗選取WEB服務(wù)器進行測試；W區(qū)為網(wǎng)絡(luò)邊界區(qū)，部署了防火墻W1、邊界路由器W2、核心交換機W3等，選取防火墻W1進行測試；D區(qū)為云數(shù)據(jù)中心，選取1臺虛擬數(shù)據(jù)服務(wù)器D1和一臺虛擬應(yīng)用服務(wù)器D2進行測試；H區(qū)為終端設(shè)備區(qū)，選取終端主機H1和移動終端H2,無線AP設(shè)備H3；B區(qū)放置應(yīng)用服務(wù)器，選取教務(wù)系統(tǒng)B1、OA辦公系統(tǒng)B2作為測試對象。智慧校園安全平臺部署前與部署后各測試對象網(wǎng)絡(luò)安全環(huán)境情況如表1所示。

表1 智慧校園安全平臺部署前后網(wǎng)絡(luò)安全環(huán)境情況

4.2 測試數(shù)據(jù)

為了進行智慧校園安全性能測試，設(shè)計了4條測試攻擊路線，并使用不同攻擊方式進行模擬測試[19]，如表2所示。

表2 智慧校園安全性能測試數(shù)據(jù)

4.3 模擬攻擊測試結(jié)果與分析

采取不同次數(shù)的循環(huán)攻擊，通過安全設(shè)備管理系統(tǒng)捕獲攻擊數(shù)據(jù)到達攻擊路線上各節(jié)點情況(以攻擊者為第一個節(jié)點)[20]，各路線測試情況如圖4～圖7所示。

圖4 路線1測試結(jié)果

由圖4可知，安全平臺部署前在發(fā)起500次滲透時，在Web服務(wù)器端就收到攻擊信息，而部署后在進行1 500次循環(huán)滲透，攻擊者還未通過邊界AI防火墻。

由圖5可知，安全平臺部署前在發(fā)起100次DDOS攻擊時，核心交換機W3就收到攻擊信息，在發(fā)起500次DDOS攻擊已經(jīng)攻破目標(biāo)系統(tǒng)B1，100次時目標(biāo)應(yīng)用系統(tǒng)癱瘓；而部署后在發(fā)起1 500次DDOS攻擊還未攻破邊界AI防火墻。

圖5 路線2測試結(jié)果

由圖6可知，安全平臺部署前在發(fā)起100次漏洞掃描時，D區(qū)防火墻已收到攻擊信息，并在500次時攻破D區(qū)防火墻，D1服務(wù)器收到攻擊信息，在1 000次時D1服務(wù)器宕機；而部署后在發(fā)起1 500次漏洞掃描時，F(xiàn)3才收到攻擊信息，并一直有效防御未被攻破。

圖6 路線3測試結(jié)果

由圖7可知，安全平臺部署前在發(fā)起100次病毒攻擊時，H區(qū)防火墻已收到攻擊信息，并在500次時攻破H區(qū)防火墻，H1主機收到攻擊信息，在1 000次時H1被病毒感染；而部署后在發(fā)起1 000次病毒攻擊時，W1才收到攻擊信息，1 500次攻擊時F4才收到攻擊信息，并一直有效防御，H1未被病毒感染。

圖7 路線4測試結(jié)果

由此可見，部署智慧校園安全平臺后，智慧校園各關(guān)鍵區(qū)域和關(guān)鍵設(shè)備安全防御能力明顯增強,遭受多次循環(huán)攻擊后安全防護能力都趨于穩(wěn)定。

4.4 安全風(fēng)險測試結(jié)果與分析

對智慧校園安全平臺部署前后進行智慧校園安全風(fēng)險評估，使用開放式漏洞評估系統(tǒng)OpenVAS對智慧校園安全平臺部署前后各路線的各服務(wù)器和主機進行漏洞掃描，獲取各關(guān)鍵漏洞脆弱性信息[21]，如圖8所示。從評估結(jié)果可看出部署了智慧校園安全平臺后整體漏洞數(shù)明顯減少，智慧校園安全水平明顯提升。

圖8 測試結(jié)果與分析圖

5 結(jié)束語

為了適應(yīng)智慧校園安全應(yīng)用的需求，提出了一種基于大數(shù)據(jù)技術(shù)的智慧校園安全管控平臺設(shè)計方案，針對智慧校園體系各層的特征設(shè)計不同安全防護機制，通過在智慧校園各層部署感知器和在關(guān)鍵網(wǎng)絡(luò)口部署流探針采集器設(shè)備、系統(tǒng)、攻擊者、網(wǎng)絡(luò)、用戶等日志和行為數(shù)據(jù)，利用大數(shù)據(jù)技術(shù)進行數(shù)據(jù)融合分析，及時分析處置安全威脅，預(yù)測智慧校園安全風(fēng)險，全面感知智慧校園安全態(tài)勢，通過近1年來智能運營管理平臺實際應(yīng)用數(shù)據(jù)分析，安全風(fēng)險告警及時性以及自我處置能力明顯增強，有效推動智慧校園建設(shè)與應(yīng)用進一步深入。后期將進一步研究智慧校園安全數(shù)據(jù)融合技術(shù)、數(shù)據(jù)關(guān)聯(lián)處理技術(shù)，并結(jié)合態(tài)勢感知技術(shù)，使之更加有效處理分析各類復(fù)雜的安全數(shù)據(jù)，真正實現(xiàn)全面實時感知智慧校園安全態(tài)勢。