◆李俊磊

（广东司法警官职业学院 广东 510520）

近年来，在“互联网+”的大环境下，教育信息化发展迅猛，信息化像“空气与水分”一样渗透到高校工作的方方面面。高校校园网络正在经历从“数字校园”向“智慧校园”升级，加快推进教育现代化和实现教育强国。智慧校园是结合物联网和虚拟化、云计算、移动技术等新兴技术构建一个全方位全覆盖的校园网络，实现教师教学科研管理信息化、学生学习生活智能化，达到智慧化服务和管理的校园模式。因此，智慧校园的网络结构更为复杂，网络安全防护的范围更大、安全边界更模糊、安全管理更繁杂，加上网络环境日益严峻，使得网络安全面临威胁的可能性更大。高校作为意识形态安全的重要领地，在开放自由的校园网络中，校园网络安全问题无疑是校园安全中潜在的威胁，如何确保网络安全，保障平安校园是校园网络安全管理部门必须重视的一项常态化工作。随着以网络为载体的网络犯罪行为的不断增加，网络黑客技术的不断变革，病毒类型和数量也在剧增，使得传统的网络安全防护技术措施难以应对日益严峻的网络环境，虽然各高校都在不断地加大对网络安全建设的投入，但是校园网络安全备受考验。

1 高校校园网网络的安全特点

随着各高校对教育信息化建设的逐步推进，高校从数字校园正迈进智慧化校园，条件优越的高校更是已经建设好了智慧校园，校园网络已成为高校信息化建设的中枢神经系统，在师生的日常工作和生活各个方面都起着关键性的作用。然而我国教育领域特别是高校网络安全管理工作目前还处于探索阶段，部分高校网络安全管理体制仍没有理顺，导致高校的网络安全形势严峻，网络安全成了高校安全的重点工作之一。

1.1 网络规模大、安全防护不一

我国高校的占地面积都比较大，有些高校甚至多个校区，学生人数规模庞大，因此，网络规模大，应用也多，软硬件设备也相应配套，涉及日常的办公、科研、学生管理等多方面的应用，到智慧校园网络覆盖面积更广、网络结构日趋复杂，产生的数据量大，对安全的要求更高，需要防护的网络设施与资源也随之增多，高校为了保证安全，从主机安全、物理安全、信息安全、网络安全和数据安全等各个层面部署了相应的安全设备，形成了基本的安全防护系统，但是业务系统的建设部门、使用部门以及管理部门往往不一，安全防护系统很难做到统一，这给网络安全管理者带来了很大的挑战。

1.2 使用者安全意识薄弱

我国高校大学每年扩招，大学规模逐年递增，校园网络的使用群体越来越多，而且是高校学生为主的特殊的用户群，具有好奇性强、敢于挑战的特点，可能会使用诸如“翻墙”等手段甚至自学黑客攻击技术来探索网络世界，对高校网络安全带来一定的影响与威胁。另高校作为意识形态的重要阵地，大部分高校大学生对网络安全意识薄弱，认为网络空间是绝对自由和安全的，可以为所欲为，对触犯网络安全问题的严重后果认识不足、理解不深，也是导致网络安全问题的关键隐患之一。

1.3 高校缺失安全力量

许多高校信息化部门的人员都存在人员不足、能力有限。一方面高校网络管理人员的处境比较尴尬，较专职教师和行政人员来说，其工作性质、待遇和发展空间是有限的，加之现在进入高校体制的门槛高，满足招聘条件的人才对高校网络工作不太感兴趣，导致高校信息化部门人员紧缺，高素质人才难留难求的现象，一般都由网络技术人员兼顾网络安全工作，在人员和技术力量上都有很大的不足，面对繁重的任务及较大的工作内容，没法做到实时监控，网络安全人员的心理承受的压力和肩负责任非常大，对网络安全的管理往往力不从心。

1.4 校园网络隐患显著

由于用户角色繁多，权限的多样性，高校网络环境相对比较开放，对高校网络资源管理较为宽松，导致网络隐患较其他行业较为突出。特别是智慧校园中的业务系统多、用户杂、数据量大、各数据之间关系紧密存在共享互通，网络攻击技术不断革新，网络不法分子一般会借助各种新型攻击技术对校园网络进行攻击和入侵，常有的技术有钓鱼邮件和恶意软件、网页篡改、漏洞入侵等方式，一旦攻击成功，病毒和木马将会在高校的局域网网络中大范围快速传播。牵一发而动全身，如果校园内一处发生安全事件，后果将不堪设想。

2 网络安全态势感知的相关知识

态势感知（Situation Awareness，SA）是指在一定的时空范围内，对环境因素的获取、理解及对未来趋势的预测。整个态势感知分为三个部分组成，对环境态势要素的获取、态势理解、态势预测。首先对环境中的态势要素进行获取汇总，然后通过分析理解，最后呈现及根据模型预测最近的发展趋势，从而帮助决策者进行决策和行动。

图1态势感知模型

目前，我国高校的计算机网络应用越来越广泛，其规模越来越大，多层面的网络安全威胁和安全风险也与日俱增，网络病毒、DOS/DOS攻击等构成的威胁和损失令人恐惧，网络攻击的手段和攻击力复杂多变，让高校网络安全管理部门防不胜防，仅仅依靠增设网络安全设施防火墙、WAF、入侵检测、网页防篡改系统、杀毒软件、上网行为管理等单一的网络安全防护技术，已不能适应当前复杂的网络安全工作，急需借助新的技术，让网络安全工作变被动为主动，及时发现网络中的异常事件，实时掌握网络安全状况，为网络工作人员7*24值守减负，将之前亡羊补牢的安全事件发生的事后才响应处理，造成的损失和安全事故无法挽回，转为事前自动评估预测，提前加固网络，降低网络安全风险，提高网络安全防护能力，从而减少损失，避免完全事故发生。

近年来，随着《网络安全法》和《国家网络安全战略》的相继出台，习近平总书记也曾指出过“加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”，网络安全已提升至国家安全地位。由于传统安全防御体系主要是以被动为主，无法做到实时监测网络状态更难实现事前预测，为进一步提高教育网络信息安全工作水平，促进教育信息化健康发展，态势感知开始应用到网络安全领域。

网络安全态势感知技术能够对网络中所有影响网络安全的诸多数据信息进行针对性的获取、经过数据处理和理解、构建模型对数据进行分析和评估以及对预测未来的发展趋势，从信息安全、网络安全、数据安全等多维度打造“检测、预防、响应、加固”的服务模式，能够全面实时把握网络及各软硬件设备运行状态、感知网络安全威胁态势、通过全流量分析技术判断异常事件同时可以对网络攻击溯源进行取证，帮助安全人员采取针对性响应处置措施，同时也能为网络管理决策者提供决策依据，具备事前有效预警、事中及时处理、事后查补漏洞的有效的信息安全防范手段。因此，高校建立网络安全态势感知是大势所趋。

3 高校校园网络安全态势感知的建设实施

网络安全态势感知是对网络安全性定量分析的一种手段，可以实现对网络安全性的精细度量，是网络安全2.0时代安全技术的闪耀者。它是利用数据融合、数据挖掘、智能分析和可视化等先进技术，直观显示网络环境的实时安全状况，为网络安全提供保障。借助网络安全态势感知，高校网络监管人员可以及时了解校园网络的健康状况、受攻击情况、威胁等级、攻击来源、攻击类型和哪些业务系统易受攻击等情况，化被动为主动，能够最快的速度发现问题、解决问题，避免损失的发生，同时高校应急响应组织也能从网络安全态势感知中了解所有网络的安全状况和发展趋势，当预测可能出现严重安全事件时提供预警功能，为制定有预见性的应急预案提供基础。

高校网络安全态势感知平台架构整体由四层组成，分别为采集层、数据处理层、应用分析层和呈现层。平台架构如图2所示。

图2高校网络安全态势感知平台架构

3.1 采集层

采集“层部署”各种采集探针、包括网络入侵探针、异常流量探针、僵木蠕探针、系统漏洞探针、网站安全探针五种类型探针，从多层次、多角度、多粒度进行数据采集，获取影响校园网络安全的所有安全信息，作为态势感知信息来源的基础，是态势感知的前提。采集数据的来源主要是校园网中的各个网络安全设备，包括：防火墙、入侵监测、终端管理、网络设备、网闸、入侵防御、VPN设备、网络审计、数据库审计、4A系统、漏洞扫描、舆情设备、流量管理、网络防护、WEB防火墙、IPS、WAF以及各种服务器等设备。

3.2 数据处理层

数据处理层“部署”大数据处理引擎，用于采集上来的数据进行处理、存储。通过特征提取、数据融合、关联分析等方式对原始数据进行数据预处理，包括数据清洗、数据融合和数据关联几个流程，提取出有用的安全数据，得出影响的整体安全状况，这是态势感知的基础。

3.3 应用分析层

应用分析层“部署”各子系统及溯源追踪子系统，是平台的核心，用于分析各类安全数据，为呈现层提供技术支撑。依托建立好的分析模型，对处理好的数据进行实时、离线的分析运算，通过数据挖掘手段分析出异常。如网络入侵态势感知可以对每日的校园网络中的日志通过“入侵威胁感知引擎“分析，收集的日志有防火墙日志、主要服务区日志、入侵检测日志、上网认证和行为管理日志、网络中关键主机日志以及主机漏洞信息，通过融合分析收集的日志信息，经过处理分析，形成攻击成功的事件，通过流量分析系统可以发现异常流量是的DDoS攻击事件并可以掌握其攻击源。

3.4 呈现层

呈现层则是可视化界面，是态势感知平台的目标，主要部署态势感知呈现门户，用于底层分析结果呈现。通过形成图形化或者报表化等可视化方式对安全状态展示，为学校领导、网络安全管理人员、维护人员、业务部门提供实时的网络安全态势感知服务。同时可以与云端安全情报中心建立实时联动，可实时获取最新的安全威胁数据，结合客户网络风险的分析结果，对未来安全趋势进行预判及风险预警，提前进行安全加固防范。

3.5 高校网络安全日常管理流程

建立了网络安全态势感知平台，高校的日常安全管理流程也随之完善，利用网络安全态势感知平台，可将整个IT安全”运维“分为预警、报警、处理、知识储备四个阶段，如图3所示，利用网络安全设备监控功能对校园网络安全的异常情况和未来安全趋势进行预判及当达到预定的风险等级时触发风险预警，并将预警信息告知网络安全管理人员，对于达到出现安全事件的安全状态发出报警信息，第一时间要求网络安全管理人员予以解决，当管理人员处理好工单后将结果反馈存入平台系统中补充知识库。通过定期生成网络安全信息报告，使学校领导和管理人员能够了解全校的信息安全状态。

4 总结

现在的高校校园网络建设不断扩大，作为校园安全重要地位的网络安全而言，学校除了在加固校园网的软硬件设备的安全防护，加强校内师生网络安全意识，强化网络安全值班的同时，高校应对网络安全问题应化被动为主动，利用网络安全态势感知平台对校园的网络状态进行实时监控，及时掌握到网络运行状态，预测未来的网络形势，针对排查和预测情况及时整改，堵塞安全漏洞，做到事前有效预警、事中及时处理、事后插补漏洞的一体化管理，真正做到“安全态势可感知、安全威胁可预警、异常行为可监控、安全价值可呈现”。从而提升校园网络安全的管理能力，更好地维护网络安全，确保网络安全稳定高效。