高校應急信息平臺安全技術研究*

史兆偉

（蘭州資源環境職業技術大學，甘肅 蘭州 730021）

近年來，高校在新一輪工業化改革浪潮中結合“大應急”思想，普遍建立了應急信息平臺，旨在提升應急管理水平，為突發公共事件提供應急保障技術支持。從實踐經驗看，此類應急信息平臺作為實施應急預案、進行應急指揮決策的重要載體，核心內容主要集中在值守、準備、處置、評價四大方面，其功能包括了日常管理→風險監測→預測預警→風險識別→風險處置→應急聯動→總結評估等。在量子計算機未推廣應用之前，此類平臺始終面臨著網絡安全問題，因而高校在新時期應結合應急信息平臺安全管理需求，持續加強對相關安全技術的研討及應用。

1 高校應急信息平臺安全隱患

1.1 軟件安全隱患

高校應急信息平臺主要采用“大平臺+小系統”框架，需要應用多種軟件才能保障其有效運行。但是，部分軟件需要直接購買并下載安裝，部分則由高校信息部門自行研發。無論選擇哪一類的軟件，在設計環節與運行過程中均不能排除產生安全漏洞的可能性，在殺毒軟件配置不全、漏洞補丁安裝不及時的情況下，可能對整個平臺的安全運行造成嚴重威脅。從近年來發生的網絡安全事件看，接入平臺的小系統使用主體較多，不排除非授權登錄條件下由小系統向大平臺傳播病毒風險的產生。

1.2 硬件安全隱患

近年來，高校建設應急信息平臺期間，普遍提高了對硬件設備的配置。具體包括計算機、物理服務器、網絡電纜（專線、光纜、電話線）、360°攝像頭、溫濕度監測裝置等[1]。目前，隨著電視電話會議的增加，高校結合視頻監控系統、視頻會議系統同步增加了相關硬件設備。此類硬件在使用過程中，一方面不排除機房動物損壞，另一方面可能受到不法分子的偷竊、破壞，進而導致信號傳輸中斷、機密信息被竊取等。

1.3 系統安全隱患

高校應急信息平臺需要在計算機系統上進行運行，目前應用的主流操作系統沒有實現100%安全操作目標，當不法分子發現其中的漏洞并對其進行攻擊時，輕者會造成系統癱瘓，嚴重時可以造成永久性破壞。例如，“千年蟲”“熊貓燒香”“諾如病毒”“勒索病毒”等，在各類計算機操作系統中的傳播速度較快、影響較大，不僅導致了系統癱瘓，還以此向用戶收取相關的解鎖費用，給社會造成了較大影響[2]。尤其在近幾年，木馬程序入侵事件有所增多，給高校的知識產權造成了嚴重威脅，著名的“西工大網絡入侵事件”標志著高校正式進入了網絡“大風險”時代。在這種前提下，十分需要增強對各類安全技術的聯合應用，降低危害。

1.4 網絡安全隱患

自2018年我國高校全面實施“互聯網+”改革至今，高校應急信息平臺中先后應用了SQL 數據庫、大數據、物聯網、數字孿生技術等，大幅度提升了技術應用水平與數據管理水平。然后，在提升平臺整體應用水平的同時，也擴大了風險，使安全管理難度越來越大。尤其在當前階段，多數高校應急信息平臺中對大數據技術的應用相對增多，包括直接購買的大數據軟件與基于大數據技術建立的應急信息管理平臺等，部分高校配套設計了安全模型，部分高校仍使用安全隔離技術，效果差強人意，數據存儲、數據共享方面的隱患相對較大。對于應用云計算的應急信息平臺，通常由第三方云安全技術企業提供相關服務。盡管其網絡監控機制比較先進與齊全，但在拒絕服務攻擊、編程與網絡接口、數據存儲方面仍存在不安全因素。圖1 為基于云計算的高校應急信息平臺網絡監控機制示意圖。

圖1 基于云計算的高校應急信息平臺網絡監控機制示意圖

2 高校應急信息平臺安全技術概況

高校應急信息平臺中常用的安全技術主要包括防火墻技術、入侵檢測技術、身份認證技術、虛擬專用網技術，以及其他技術。從表面上看，此類技術屬于常見技術。實質上此類技術一直處于更新狀態，隨著應急信息平臺安全問題的逐漸變化，其技術也有所變化。

2.1 防火墻技術

新時期，高校應急信息平臺安全管理中應用的防火墻技術與傳統防火墻技術不同，一方面彌補了其缺陷與弊端，另一方面形成了混合型防火墻結構，應用功能更加強大。具體而言，這一類防火墻主要由4 個部分組成：基站主機服務器、堡壘主機、外部防火墻、內部防火墻[3]。其中，后兩個防火墻可以將外網與內網統籌起來，在二者之間建立一個安全子網，從而利用安全子網實現對公用服務器的屏蔽等。

從功能方面看：一是基站主機服務器設置有若干數據庫，可滿足網絡安全、過濾策略、網絡資源、網絡安全知識等數據庫建設需求，并在數據庫建設基礎上結合安全決策提升應急信息平臺管理水平。尤其是其中的安全數據庫中，安全管理人員可以根據應急信息平臺安全管理需求配置相應的安全策略，對所有的網絡攻擊信息進行采集→存儲→保存→分析→生成風險報告，風險報告包括病毒攻擊報告、網絡專家判斷報告、網絡供給處理報告等。尤其是服務器能夠針對新攻擊快速生成相應的日志文件，利用智能響應模塊存儲相關日志文件，實現對相關指令的過濾等，預防新攻擊造成的破壞。二是堡壘主機設置在內外網絡的接點位置，通過對程序代碼的清除（部分工具程序） 可以設置相應的過濾管理模塊，進而將網絡應用服務項目分為多個服務項目，提高安全管理效率。三是外部防火墻主要設置在安全子網與Internet 之間，可以有效預防來自外部攻擊造成的風險，具體應用時經過其檢測確認網絡安全后，可以將堡壘主機端口接入外部系統訪問，從而實現信息從外部網絡向內部網絡的傳輸。四是內部防火墻屬于一個IP 包，一般安裝在內部網絡與安全子網之間，當內部網絡主機發送請求后，可以通過該安全途徑對相關信息進行認證，若發現其為非法訪問則直接拒絕等。為了實現上述功能，高校應在應急信息平臺中配置相應的設備與技術。

從當前部分應急信息平臺中對這項技術的應用經驗方面看：當防火墻進入運行狀態后，堡壘主機服務器能夠對通信協議做進一步分析（層層分解），并結合過濾管理模塊完成對主機數據包的過濾處理，進而把提取的安全信息發送到基站主服務器，再經過“回傳過濾”流程之后，完成對相關信息的使用等。

2.2 入侵檢測技術

入侵檢測技術包括異常入侵檢測技術與誤用入侵檢測技術兩大類型。以異常入侵檢測技術為例，以行為作為基礎，檢測系統可以通過對入侵性動作信息的采集建立“異常活動子集”，然后通過比較系統正常活動下的數據與異常活動下的數據，判別入侵攻擊活動，確認應急信息平臺是否被入侵。如果確認其屬于異常入侵行為，則通過差異識別方式向平臺發送分析報告。目前，應用異常入侵檢測技術時要求對用戶正常行為特征輪廓進行勾勒（也稱“畫像”），再利用審計數據與特征輪廓之間的差異完成識別任務。具體技術包括3 種：統計分析技術、神經網絡技術、計算機免疫技術。其中，應用較多的是神經網絡技術，容易操作與實現。以誤用入侵檢測技術為例，安全管理人員應提前預設具體的入侵模式，然后通過確定模式識別誤用入侵行為。通常情況下，可以用專家系統實現誤用入侵檢測技術的檢測功能，操作時安全管理人員應選擇入侵行為編碼技術，在“IF 條件THEN 動作”規則下完成相關審計數據的寫入等。除此之外，部分高校應用了入侵簽名分析技術或狀態遷移分析技術。從筆者近年的對入侵檢測技術的學習、與同行交流來看，入侵簽名分析技術和狀態遷移分析技術在企業的適用性較好，在高校的應用相對較少，應用效果尚待進一步統計。

2.3 身份認證技術

身份認證中使用的技術相對較多，早期以鑰匙、口令為主，近年來隨著對生物技術、人工智能技術的應用，普遍擴大了對指紋、視網膜等認證技術的使用。需要注意的是，在當前使用的鑰匙技術中，采用數字簽名、數據證書、第三方數據憑證時，均可以采用即時生成認證證書的辦法，包括簽名、證書、憑證的隨機化等[4]。例如，常用的短信認證屬于第三方數據憑證，當用戶登錄應急信息平臺時，第三方機構可以向用戶提供隨機生成的短信驗證碼，減少非授權用戶登錄發生的概率，提升其安全性。目前，在此類平臺中對指紋、視網膜認證技術的應用相對增多，可以有效規避登錄方面存在的風險。

2.4 虛擬專用網技術

虛擬專用網技術屬于網絡安全技術，主要是高校根據自身的應急信息平臺安全管理需求，向通信企業直接申請一條專用的虛擬專用網絡（Virtual Private Network，VPN） 通道。目前，多數高校已經采用了該安全技術，一方面能夠實現對敏感數據的物理隔離，另一方面可以及時地發現網絡“翻墻”事件并由公安人員進行及時處理。

3 結束語

高校應急信息平臺中的安全隱患主要集中在軟件、硬件、平臺系統、用戶、網絡等方面，建議在當前階段積極吸收前期安全管理經驗，在思路決定出路的基本原則下，根據實際需求選擇多樣化的安全技術，并在擴大此類技術要素配置比例的基礎上，提升應急信息平臺運行與使用的安全性。