文/姜鹏 赵正利

随着各类高校智慧化校园的建设，校区的网络承载了更加丰富的应用。有传统的师生上网、网站发布、信息化系统运行等需求，也有近年涌现的物联网、数据中心运转等需求，而目前来自校园内部和外部的网络安全威胁不断增加，需要重新规划网络安全的总体构架，部署落实并在实践中逐步调整。同时对运维中产生的大量安全数据进行关联分析，促进安全策略的优化。异构的数据源和持续增长的数据量给分析人员带来了繁重的负担，可视化是当前大数据技术中一项重要的应用，在大数据分析中扮演着越来越重要的角色[1]，在网络运维的场景中通过采用大数据可视化分析手段可以更快的掌握安全趋势。从基础网络安全、信息安全、数据中心安全、大数据收集及分析平台等部分探讨了智慧校园网络安全技术体系。在此技术路线基础上融合现有软硬件资源，逐步建立一套智慧化的网络安全管理体系。

成功的安全体系是建立在统一管理的软硬件网络设备基础上，而且是成本可控和方便运维的，充分利用现有网络的软硬件投入，节约后期维护的人工成本并具有基准以上的防御能力，而且后期可以通过运维中日志的分析自我修复提升。合理利用大数据收集、存储、图形化展现等方法解决网络安全数据量大且格式各异的问题。由于基于网络大数据分析的安全检测技术可以实现海量网络安全数据的深度关联分析，也可对宽时间周期内的多类型安全数据智能关联，因此在检测APT攻击方面具有明显优势[2]，利用大数据技术使整个体系具有对APT等攻击威胁的告警和自我调整能力。

大数据可视化促进了对于信息安全事件类型、原因、关系和后果的假设的形成和新知识的积累的过程，有利于管理者的快速决策和安全调整。

基础网络安全

基础物理网络和其上网络层运行策略是整个校区网络的基础，需要通过多种技术手段对其进行安全加固，而且保障网络接入的安全。根据相关安全实践和学校实际需求在其上建立多种相对独立但有效互联的区域网络，按照各业务网络的不同的安全等级采用差异化的安全策略。总体分为学校边界区域、DMZ区、数据中心区、无线区域、多个业务网络区、办公区、宿舍区等，对每个区域做安全策略的逻辑隔离或物理隔离，并进行具体的安全配置。

1.校园边界区域

学校校园内部一般是独立部署和运维网络，在校园的边界上与网络运行商专线对接，从而使校区网路与互联网互通。一般需要部署VPN、审计设备、NAT设备、日志设备等等。校园网边界是校区网络安全关键的外层环节。可以用较少的投入在这个层面解决来自外部的威胁，同时发现来自内部的异常流量和设备。

（1）访问控制

一般情况下学校内部只有DMZ区域的网络服务需要向校外直接公开提供数据服务。在边界上至少启用网络三层防护策略，对来源地址、目的地址和服务端口做相应限制，只对外开放必要的服务。有从校外访问非开放的高安全等级服务（例如内部办公自动化系统）的需求时，启用VPN的方式进行认证后加密接入，必要时启用双因素认证。

（2）异常流量分析过滤

出于保障网络安全和用户有效上网带宽的目标，对学校出口流量进行过滤，包括来自校内外的IP段扫描、DDOS攻击、恶意应用攻击、返回地址不可达流量等。同时通过监控校内向外的流量，通过数据总量、连接数、对高危IP的连接数和数据包分析等及时发现校内的僵尸网络被控端、中毒设备、黑客用机，阻断攻击流量并通知用户离线整改。尤其是检测并限制僵尸网络的校区内扩散。在僵尸网络检测领域，基于网络的僵尸主机检测研究主要包括2个主要方向，垂直关联检测和水平关联检测[3]。通过对校内主机网络通讯特征的后期大数据关联分析，列出高度疑似僵尸网络的校内地址，然后进行后续确认和处理工作。

（3）病毒阻断

作为主要的信息入口的校园网出口是防病毒入侵的第一道防线，可以部署单独或者集成功能的防病毒设备，过滤网页、邮件等的病毒流量。尤其在特定病毒爆发高峰期，在校内上网用户获知病毒信息并采取措施前，通过定制的过滤规则及时封堵住大多数的病毒传入渠道，防止可能发生的病毒在校内网络扩散。

（4）安全审计记录

在相关法规要求的范畴内对校内某些区域进行安全审计。安全审计记录的信息类型和保存时长配置多种不同策略，包括延长来自校外的目标为DMZ网段的访问记录保存时间。记录必要日志信息，在后期进行带宽优化、运维问题回溯、入侵分析、发现中毒设备等的数据分析。

2.校内网络监控

在学校内部网络核心处部署旁路探针和串接监控设备，对网络主要节点和主要线路进行流量监控和特征分析。预定义一些安全警报的阈值，包括一个局域网内部总流量、某物理端口单位时间包数、特定病毒端口单位时间访问数、某区域活跃用户流量等的变化比例等。预先设定总控端自动程序进行一般情况的处理，复杂的情况及时报警，然后人工干预处理。

3.业务网络的安全配置

校园网往往承载了多种满足不同业务需求的逻辑专网。这些专网需要根据不同的安全需求分别配置安全策略。常见的有财务专网、智能卡专网、无线网络、智慧物联网、视频监控专网等。根据实际需求采用的安全技术如下，使用时是多种措施的结合。

（1）物理隔离

全部采用独立硬件组网。网络传输使用独立光纤和独立屏蔽双绞线，使用单独交换机、路由器和供电设备组网，形成一个物理独立的内部网络。接入设备也仅仅包括专用服务器和管理PC等，做好严格准入控制。这种组网方式可以保证带宽的稳定和数据存储及传输的高等级安全水平。

（2）逻辑隔离

充分利用现有校区硬件网络，采用访问控制、跨区Vlan或路由策略等方式实现安全策略。多种业务共用一套校内网络硬件环境，具有节省投资、方便统一升级、维护方便的优点；同时有带宽不稳定、数据安全性稍低等问题。

（3）虚拟隧道

此种方式一般常见于校外存在分支机构、分校区之间等需要组成业务专网的情形下。采用IPSEC等技术实现加密传输隧道。优点是只要有网络随时可以接入、数据加密传输；缺点是需要两端配置软硬件设备，损耗部分网络资源，校外接入点存在一定安全隐患。

（4）准入控制

（5）认证互信

配置用户、网络设备和服务器之间的日常通讯的严谨认证机制，只有在通过了预设的认证互信之后才可以互信并传输和接受数据。利用身份认证技术，计算机能识别用户的数字身份，通过数字签名的形式来确认用户身份的授权[4]。在此基础上对核心应用组合使用IP地址、MAC地址、U盾、手机令牌等的认证手段。

（6）专网边界控制

采用和校区网络总体配置类似的方式进行专网的控制，同一个专网下的跨物理区域传输启用底层加密，在边界放置各类防火墙，Vlan内部控制广播等流量，限制接入用户的带宽和连接数上限、访问目标范围、接入时间段等，部署内部系统更新、病毒升级、时间同步等服务。

数据中心安全

数据中心是校区信息和数据集中的地方，部署在符合国标的托管机房之内，是整个智慧化校园的存储、计算和智慧控制中心。它自动化的汇集、分析和控制整个校区的各种物联、无线、有线、探测、工作终端等设备。数据中心的安全是网络安全中重要的一环。有的数据中心和DMZ区放置在临近的区域，在这种情况下需要做好逻辑和物理隔离，并参考数据中心安全策略来保护DMZ区域。

1.边界安全

在数据中心边界构筑多层不同功能的软硬件防护设备，对网络层和应用层的数据数据进行分析、存储和过滤，并记录重要日志。

在此之后，英特诺面向亚洲和中国市场正式发布的英特诺新型模块化输送机平台（MCP）、全球首款内置涡流制动装置的新型磁力速度控制器MS C 50等产品，证明了英特诺对中国客户的需求有了更加深入的认识。

（1）软硬件设备接入方式有串接、旁路、分光等方式，其中串接方式技术上具备即时拦截异常流量的功能。一般使用串联方式接入防病毒、网站应用入侵防御系统和入侵防御系统等具有主动防御功能的设备。

（2）使用入侵防御系统抵御DDOS、蠕虫、垃圾包探测、网络病毒等攻击；配置网站应用入侵防御系统，采用具有“自学习”功能的WAF设备，它将会完成主动防御[5]，对SQL注入、跨站脚本攻击、0DAY漏洞、WEB恶意扫描等攻击进行拦截。设置为发现异常信息立即进行拦截和记录，联动其他安全设备进行自动化协同处理。

（3）安装审计设备对数据中心各种网络数据进行收集和记录，自动梳理后的数据发送给校级大数据平台的日志中心。

2.虚拟化安全

虚拟化平台的安全设备部署比较灵活，可以把大部分传统安全功能虚拟化运行在自身平台上。同时充分利用虚拟化技术的SDN功能进行安全的配置，对虚拟交换网关和虚拟局域网流量进行审计和过滤。首先建立一个Openflow交换的安全特征基准值，仅使用不小于基准值的Openflow交换在源和目标之间建立通道[6]。同时对运维管理进行全程的身份验证和权限控制。学校云计算平台应该建立统一的身份认证系统，对用户的访问权限进行管理，只有合法的用户才能进入系统访问数据[7]。虚拟化平台技术中的重要组成部分hypervisor因自身的特点存在许多的安全隐患[8]，存在通过被攻陷的单台设备入侵整个虚拟化平台的风险，需要及时升级虚拟化平台的软硬件版本，持续跟踪最新漏洞并采取应急措施。

3.服务及数据运维安全

采用集群技术保障服务的稳定性和高效性，合理使用备份机制作为数据的最后一道保障，并使用压缩技术节省备份空间。

（1）存储双活

采用多种本地和远程集群技术对存储进行多硬件同时在线配置，利用以太网或者裸光纤等传输手段和多路径存储技术做到两地读写完全同步。在单台故障的情况下依旧可以提供存储服务。

（2）服务双活

通常是在实现了存储双活的基础上，通过软件统一调度硬件资源（中心处理器、内存、网络交换等）实现软件级别（服务、操作系统、虚拟化层等）的两地服务双活。

（3）备份机制

备份机制是数据安全的基础要求，日常定期对数据进行异地备份，包括生产数据备份、各类设备日志备份、配置备份等。按照所运行业务的安全等级建立不同标准的备份机制，对于一般安全级别的数据每天本地全备份一次和增量数次，每周异地全备份一次和每天增量一次。

4. 日志中心

建立规范的日志中心是安全运维的基础。使用大数据的分布式存储技术建立稳固的日志存储平台。在严格权限管理基础上配置多类型的数据接口，供后期分析、运维查询、安全审计等使用。Hadoop框架固有的特定结构可以将分布式应用部署到大型廉价集群上，非常适合海量数据的高效存储与管理[9]，底层采用成熟的Hadoop大数据存储技术建设。Java通过在不同的层级上分发程序的执行以提高执行效率[10]，日志通用接口使用Java语言编写。在保证高性能和容错性的同时合理利用现有服务器硬件。

信息安全

1.存储安全

对核心服务配置高强度的存储加密策略。建立密钥服务器；对于仅满足验证需求的密码等信息存储使用不可逆加密；数据库中的用户身份等敏感数据进行非对称双向加密，解密程序配置为高安全等级的独立运行服务，严格控制其访问的授权。

2.传输安全

服务器之间传输数据的时候采用加密方式传输，包括在Web Service接口启用Https加密。SSL协议在首次握手之后确定了所有的密钥和加密算法，之后对话的安全性完全依赖于加密算法的复杂度[11]，运维中采用大于等于128位的密钥。数据库远程读写的时候启用数据库的安全传输选项。根据实际情况（包括被传输数据的安全等级、服务器加解密负载和传输经过网络情况）统一配置安全策略，必要时使用加密隧道技术。

3.权限控制

严格控制信息的访问权限，限定不同角色访问的数据范围、单次数据最大访问量、访问渠道和时间限期等。使用多因素认证的安全准入控制，记录详细运维和访问记录。

4. 数据库审计

对数据库的操作，对每条增删等修改操作都进行来源审计和记录。保存数据变更记录，在意外情况下（包括误操作、数据表运行异常、被篡改等）可以回滚到特定时间点，同时方便故障的定位。

安全大数据平台

利用基于分布式存储的日志中心收集和梳理全校安全数据。在关键位置（数据集中通过的地方）放置多个流量探针，还原并收集网络流量数据。收集交换设备、服务器设备、安全设备、虚拟化、操作系统、中间件、数据库等的日志，包括用户访问、异常数据、攻击行为、服务运行、系统运行、管理员运维等行为。传统的企业安全边界正在消失，并演变成安全智能的范畴，具有海量的、加速增长、种类显著变化的数据特征[12]。建立大数据平台的时候需要在满足现有日志存储容量和计算分析能力基础之上，至少额外预留30%的备用性能。基于大数据的信令监测系统通过对各类攻击方式的深度挖掘，能够有效地对攻击行为进行识别，并制定相应的防护方案[13]。大数据平台对海量数据进行筛选和格式规整，然后利用关联算法和分析引擎进行后期处理并保存结果，最后形成可视化展现和日常报表。大数据可视化促进了对于信息安全事件类型、原因、关系和后果的假设的形成和新知识的积累的过程[14]，有利于管理者的快速决策和安全调整。

本文从技术角度研究了目前校园网络的安全需求，分析网络安全面临的内部和外部风险，提出相应安全措施，形成了智慧校园的网络安全整体方案。但是由于存在利益等多因素驱动，新型网络攻击手段不断出现，网络安全防御处于相对被动的状态。因此需要加快网络安全的发展，根据现实情况充分利用现有软硬件资源，建立并持续完善校区网络安全体系。