试论校园网安全防御体系的构建

2021-01-06杜骏震常松丽

山西广播电视大学学报 2021年2期

□杜骏震常松丽

(山西广播电视大学,山西太原 030027)

随着校园网创新业务的深入应用，校园网面临的信息安全问题日益严重。如何有效地保障校园网的安全是用户极为关注的要点。高校校园网络安全保障应贯彻以安全管理为中心、对通信网络、区域边界和计算环境进行深度防护的理念，从技术应用层面上构建一个集检测预警、主动防御、整体防控为一体的多重网络环境下的校园网络安全防御体系。

一、通信网络安全保护的内涵解析

通信网络的安全是指在通信双方通信前要进行单向或双向的身份验证，在信息交互过程中要保障传输数据的完整性和机密性，防止传输数据被劫持、篡改和泄露。要为校园业务提供充足的网络带宽与可用性，在网络区域划分基础上实施安全管控。要对通信设备的引导程序、系统程序与应用程序等进行可信验证。

(一)网络架构的优化设计

校园网络架构的设计或升级要满足创新业务的需求，紧密跟踪网络架构技术的发展趋势。目前，采用扁平化大二层网络架构，并利用软件定义网络(SDN)和网络功能虚拟化(NFV)等新技术来自定义与优化网络基础设施架构及网络功能是支撑校园网多网融合、业务融合、云计算环境、高速数据传输以及提供动态差异化服务的一种良好选择。

网络设备性能、网络带宽与可用性保障。选择具有较高性能技术指标的设备可充分保障业务高峰期的流量处理能力，大大降低设备CPU及内存使用率的峰值。网络监控平台始终不产生任何网络设备宕机的告警日志。精心梳理与分析业务网络流量及途径的网络路径，利用流控设备对校园网各业务流量带宽进行调控，配置网络设备服务质量QoS，保障业务流量途径的网络有充足的带宽，网络设备端口带宽远高于业务高峰时的链路流量带宽。从设备级、链路级、协议级对网络高可用性进行冗余设计。关键网络及安全设备采用冗余结构。对设备物理端口进行链路聚合，进行多链路的备份和流量负载分担。通过网络设备虚拟化技术的实时协议热备份，实现协议级别的可用性。

网络区域划分与安全管控。在网络架构安全层面上，按照等级保护对象的重要程度和应用系统的安全级别等，将校园网络划分成不同的网络区域，为各网络区域分配不同的网络地址，各网络区域之间利用VLAN、VxLAN和防火墙进行逻辑隔离，实施访问控制、边界防护、入侵防范、恶意代码防护以及安全审计等防御。通过综合网络监控系统实时监测网络设备、网络链路与安全设备的运行状况，通过安全态势感知平台监控资产运行状态，发现资产配置脆弱性及存在的漏洞，关联安全设备的各种告警事件，实时监测全网流量，发现各种安全威胁行为，全面分析校园网络的安全态势。

(二)通信传输的安全保障

网络通信过程中，必须保障传输过程中数据的完整性与保密性，以获得安全的数据传输。其中，网络通信中的数据完整性可通过安全传输协议中采用的哈希算法来实现，如MD5、SHA256、SHA512和SM3。网络通信中的数据保密性可通过安全传输协议中采用的加密算法来实现，如SM1、SM2、SM4、DES、3DES、RSA、AES、ECC等。根据不同应用场合，采用相应的安全通信协议来确保数据的传输安全。

SSL/TLS 安全协议具有身份验证、信息加密和完整性校验的功能。通过SSL/TLS协议，客户端从服务器端获取携带公钥的数字签名证书，使用CA公钥对证书的数字签名验证，可鉴别服务器的真实身份。在服务器端设置对客户端鉴别，可实现服务器对客户端身份的验证。SSL/TLS协议介于传输层TCP协议与应用层协议之间，因此，SSL/TLS可为基于TCP协议的应用层协议所传输的数据进行加密，保证端到端应用程序通信数据的完整性和保密性。

Web访问是校园网最广泛的应用，为保障浏览器与服务器之间的信息交换安全，Web网站应实施全站HTTPS化。安全超文本传输协议HTTPS利用SSL/TLS协议提供的身份验证、消息完整性和数据加密等安全机制，为Web通信提供端到端的数据传输安全保证。在WEB服务器上安装并配置由可信任CA颁发的具有强签名算法的SSL证书，浏览器利用集成的SSL安全技术来验证Web网站身份，防止钓鱼网站。HTTPS协议通过对传输信息的加密，防止传输数据被劫持、篡改和泄露，从而确保了数据传输的完整性和保密性。

校外用户远程访问校园内网资源是校园网的一大需求，在这种应用场合下，可采用SSL VPN技术来实现。SSL VPN是一种基于SSL技术的VPN，可以为校外用户使用浏览器访问校园内网资源提供信息传输的安全保障。校外用户通过SSL VPN在远程用户与校园网SSL VPN网关之间建立的一条SSL通信安全连接访问校园内网的WEB资源。VPN用户接入后，SSL VPN网关及统一身份认证平台对远程接入用户进行身份验证，认证通过后，用户按照系统设定的角色与权限访问校园内网资源。

(三)可信验证系统

校园网中各种网络设备与安全设备是构成通信网络的重要基石，这些设备自身的安全关系到通信网络的安全，而确保设备自身安全的有效方法是采用可信链架构技术。因此，在设备选型时，应选择内置有可信根RoT及可信软件基TSB技术的设备。可信根在设备硬件内部存储着证书、安全算法、秘钥、配置信息等重要文件，可信根通过安全芯片来保障设备系统与应用的完整性，使系统及软件始终在预期的可信状态下启动与运行，实现设备固件引导程序、操作系统内核、操作系统引导程序、配置参数和应用程序启动时的静态度量及运行时的动态度量，为设备构建一条由内层到外层的逐级信任链传递。目前，可利用国产TPCM可信安全芯片来构建可信根。可信软件基与设备操作系统内核深度融合，在可信根实体与硬件基础上运行，起承上启下的作用。它利用可信根实体的安全特性保证自身安全，同时，又在可信根实体的支撑下对应用程序运行过程中的行为进行动态度量，根据判定机制的判定结果，进行相应的控制。当检测到信任链遭到破坏时发出报警，并将可信验证结果记录发送至可信管理平台。可信管理平台负责完成可信节点的安全策略统一管理与分发。

二、区域边界安全防护的设计

区域划分遵循的原则是将校园网络中具有同等安全防御需求、同等访问控制策略及同等边界控制策略的子网分配到一个安全区域。校园网通常可划分为互联网接入区、分校专线接入区、对外信息发布区、骨干交换区、业务区、终端用户区、无线网络区、物联网区以及安全管理区。各区域内部可继续划分出多个子区域。

(一)区域边界总防护策略

各区域边界的保护可采取访问控制、边界防护、入侵防范、恶意代码防护、垃圾邮件防御、安全审计以及可信验证等措施。

边界隔离、访问控制与边界防护。传统物理交换网络利用VLAN、PVLAN等技术进行隔离，云计算虚拟网络利用VxLAN等技术进行隔离。各区域采用最小权限双向访问控制策略，设置基于业务、应用与用户的细粒度访问控制策略，动态检测区域之间的通信数据包，根据会话状态信息允许或拒绝数据包通行。利用下一代防火墙的虚拟化功能对各区域边界进行保护。防火墙每个接口连接一个区域，各接口设置不同的安全级别，各区域之间的双向数据通信均通过防火墙的过滤与动态检测。采用安全组、安全资源池实现云数据中心业务区东西向虚拟网络之间的访问控制。通过终端准入系统限制非授权设备联到校园网。堡垒机完成运维人员的统一登录认证与管理。统一身份认证平台及上网行为管理系统实现用户的网络访问控制。

入侵防范、恶意代码防护及垃圾邮件防御。在各区域边界部署下一代入侵防御系统NGIPS，检测并防御从区域内外发起的各种网络攻击。对于云数据中心的业务区，利用NGIPS实现云边界南北向的入侵防御，利用虚拟IPS防御来自虚拟网络之外的东西向网络攻击行为。邮件服务器前部署反垃圾邮件网关，实现对滥发、匿名、非法、伪造等行为的垃圾邮件的防范及对病毒、欺诈、钓鱼等邮件的防御。

边界安全审计与可信验证。综合日志审计平台采集校园网各种网络设备、安全设备、服务器及终端的日志，分析与审计各区域边界的异常情况、用户行为和安全事件，形成审计记录并定期备份。边界网络设备及安全设备应选择内置有可信根RoT及可信软件基TSB的设备。

(二)各区域的边界防控

互联网接入区。互联网接入区是校园网与各通信运营商通信的边界，互联网接入区面临的主要安全威胁有来自互联网的黑客入侵、拒绝服务攻击、恶意代码、恶意文件、APT高级持续攻击、漏洞利用、暴力破解攻击、非授权接入和未知威胁的攻击，以及来自校园网内部发起的各种网络攻击行为等。对互联网接入区的保护可通过边界路由器的安全功能及下一代防火墙NGFW、新一代入侵防御系统NGIPS、抗DDOS系统和上网行为管控系统等措施来实现。边界路由器是互联网接入区对外的第一道安全防护，在利用内置的可信根RoT及可信软件基TSB技术保障自身安全体系的基础上，边界路由器要做好安全加固配置及网络安全防护。在下一代防火墙上实施安全域隔离、网络地址转换、流量控制、ISP负载均衡和VPN。设置基于业务、应用、用户的细粒度访问控制策略，动态检测边界数据包各层协议，实现对应用协议和内容的识别与分析。将防火墙与网络监控系统、日志服务器、认证服务器、上网行为控制系统、邮件网关等系统联动实现互联网出口的全方位安全防御。新一代入侵防御系统智能分析网络各层流量，深度检测及全面阻断诸如恶意代码、恶意文件、间谍软件、地址欺骗攻击、扫描攻击、异常流量攻击、勒索攻击、恶意挖矿攻击、APT攻击及未知威胁的双向攻击行为。为抵御大规模大流量的DDoS攻击，可选用安全服务商提供的DDoS防御云服务。上网行为管控系统实现校园网用户实名访问互联网及校内应用的上网行为审计与管控、在线聊天管控、上网泄密管控以及上网流量管控等。

分校互联区。在总校与各分校连接的每条链路两侧分别部署一路下一代防火墙与新一代入侵防御系统NGIPS进行独立防护，在防火墙上启用相应的双向访问控制策略，入侵防御系统NGIPS对链路上网络各层流量进行深度检测，实时阻断各种攻击行为。

核心骨干区。在大二层网络架构下，核心骨干区承担着路由、高速数据转发、认证、安全控制等重任。针对安全控制，利用下一代防火墙并启用虚拟防火墙功能对划分的各安全区域进行逻辑边界防护与安全访问控制，不同区域实施各自相应的安全策略。通过入侵检测系统实现对区域之间内部攻击行为及异常流量的检测。

对外发布区。将校园对外应用发布集中部署于非军事区域，利用虚拟防火墙、抗DDOS系统、WEB应用防火墙、Web防篡改以及Web攻击监控等措施，对非军事区域的对外WEB服务器进行安全监测与防护。该区域内Web服务器之间禁止直接通信，只能通过特定端口与应用服务器分别通信。

业务区。该区域是校园网的计算环境，承担校园网大量内部业务的运行。对本区域的边界防护可从访问控制、入侵检测及安全审计三方面保障。在访问控制方面，采用下一代防火墙，WEB应用防火墙、Web防篡改来实现南北向访问控制及抵御外部对服务器的安全威胁，采用VPC、安全组、安全资源池实现东西向虚拟网络之间的隔离及访问控制。在入侵检测方面，采用新一代入侵防御系统进行南北向的入侵防御，采用虚拟IPS防御来自虚拟网络之外的东西向网络攻击行为。在安全审计方面，通过堡垒机登录业务区服务器进行远程管理操作的细粒度管控，实现运维过程的全程监控与审计。

无线网络区。对无线网络区的边界防护可通过部署无线控制器AC、新一代无线入侵防御系统WIPS等措施来实现。通过无线控制器AC实现对AP配置参数与策略的统一下发、AP的无感知漫游管理、非法AP检测、无线接入安全控制以及无线协议攻击防御等。通过新一代无线入侵防御系统实现无线网络环境下无线非法接入、非法外联及网络攻击行为的发现、阻断与定位。

物联网区。物联网区承载着以物联网技术为基础的各种智慧校园应用系统。从物联网的构成角度来分析，物联网自身的安全应该从感知层、网络层和应用层进行多层次的保护。物联网与校园网的边界体现在网络层，可通过物联网智能网关实现对感知节点与感知网关的细粒度访问控制，将不同物联系统分隔到不同的虚拟子网，实施差异化安全策略，对传输数据进行动态检测，对感知节点、感知网关进行身份认证、网络准入控制，对物联网异常流量及行为进行检测与过滤，实现感知层的入侵防御。

终端用户区。用户终端包括校内有线终端、无线终端以及校外远程接入终端。对本区域边界的保护涉及边界防护、访问控制、入侵防范、恶意代码防护、安全审计等。通过终端准入控制系统、SSL VPN网关、无线控制器AC以及下一代防火墙实现边界的防护与访问控制。通过新一代入侵防御系统NGIPS实现对来自终端的入侵攻击行为的防范及恶意代码攻击防护。通过上网行为管控系统及综合日志审计系统实现终端用户的上网行为和安全事件的审计。通过交换机VLAN、PVLAN、VLAN Pool等技术将不同群体终端划分到不同子网进行逻辑隔离。

安全管理区。校园网安全管理区域完成系统管理、审计管理、安全管理和集中管控任务。对本区域边界的保护涉及边界防护、访问控制、入侵防范、恶意代码防护、安全审计等。通过下一代防火墙实现边界的防护与访问控制。通过新一代入侵防御系统实现各种入侵攻击行为的防范及恶意代码攻击防护。通过综合日志审计系统实现安全事件的审计。

三、计算环境安全防护的设计

计算环境承载着校园网业务应用系统的运行，存储和处理着业务应用的重要数据。计算环境的安全应从主机安全、数据安全、应用安全与终端安全几个方面来保障。

(一)主机安全

校园网服务器主机面临的安全风险包括黑客入侵、拒绝服务攻击、恶意代码、APT高级持续攻击、漏洞利用、密码暴力破解、恶意文件、数据篡改、非授权接入、内部人员越权和滥用、操作失误及来自校园网内部发起的网络攻击行为等。为确保服务器主机的安全，应在多个层面进行安全防御。采用内置有可信根RoT及可信软件基TSB技术的服务器，保障服务器的引导程序、操作系统内核与引导程序、配置参数和应用程序始终处于可信任的环境中。设置BIOS高强度密码，设置BIOS禁用U盘，防止恶意代码从移动介质传入服务器，及时更新BIOS版本，避免BIOS安全漏洞。按照信息安全技术标准中的主机安全加固系统安全技术要求规范，在主机的登录身份鉴别、访问控制、剩余信息保护、入侵防范、恶意代码防范、系统资源控制、备份与恢复及安全审计策略方面对操作系统进行检查与安全加固，以增强本地主机操作系统的安全。在此基础上还可以部署专业的主机安全防护系统，进行深度的安全防护。

(二)数据安全

校园网数据面临的主要风险是数据被泄露、篡改及破坏。针对数据安全，应该对数据进行分类定级，区分敏感与普通数据，梳理数据的使用状态，集中管理分散数据，采取各种数据保护策略，对数据进行全生命周期的管理。数据库是校园网数据的主要载体，数据库安全是数据安全的核心。因此，应通过数据库防火墙、数据库加密、数据库脱敏、数据库同步、数据库审计和数据库备份等技术来保障数据安全。

数据库防火墙。将数据库防火墙置于数据库服务器与应用服务器之间，实现数据库的安全访问控制与风险防范。安全策略要素包括：利用多因素验证机制认证数据库用户的身份。设置数据库管理员最小操作权限。对重要的数据进行字段、行及语句级的细粒度访问控制。通过对数据库通信协议解析和SQL语法分析，及时发现与阻断SQL注入、跨站脚本攻击行为。阻止批量删除与修改等操作。对低级别权限的用户，仅提供脱敏数据。监控数据库运行状态、性能与安全指标。记录用户访问与操作数据库的行为并提供给数据库审计及日志审计系统。

数据库加密、脱敏与销毁。对数据库中的鉴别数据、重要业务数据和个人重要信息执行按列、按行或按记录方式的加密。不同权限数据使用不同密钥进行加密，密钥与数据分离存储，密钥之间相互隔离，密钥强度满足长度与随机性要求，密钥分层加密存储与管理，采用密钥安全策略保护密钥，避免数据库文件被复制、数据文件丢失造成的数据泄密。对应用系统之间流转的数据进行加密传输及加密存储。为满足测试、开发、分析、演示等场景中需要使用校园网数据，同时又要保护敏感和隐私数据的要求，利用不可逆脱敏算法对数据库中的敏感数据进行数据变形、随机替换、数据屏蔽、数据加密、数据漂白等处理。数据脱敏过程在主机内存中完成，内存释放或重新分配前清除掉敏感数据。存储与处理过重要数据的介质与设备不再使用时，应进行数据粉碎、磁盘消磁或物理销毁，避免数据被盗或泄露。

数据库审计与备份。数据库审计系统完成数据库操作行为的记录与审计，对数据库状态进行实时监控，发现数据库异常操作行为并告警，对数据库访问行为进行多维度的统计分析，通过与业务应用的关联分析，实现对数据库访问者的轨迹追溯。数据库备份可采取增量备份、差异备份、完全备份、和日志备份。重要数据库采取异地备份策略，备份数据实行加密传输。数据库恢复前，先在测试服务器上还原数据库以检测备份的可用性。

(三)应用安全

应用软件开发安全。将安全设计融入软件开发生命周期的各个阶段，最大限度地减少软件漏洞与安全缺陷，缩小软件上线后受到的攻击面。软件开发应遵循一些安全开发策略，如：选择安全的开发环境，对开发框架和组件做渗透测试。网站架构采用站库分离、前后端分离技术。对口令长度与复杂度进行校验以提高身份的鉴别强度，进行身份多次组合鉴别。锁定多次登录鉴别失败的账号。实施基于业务所需的最小授权机制。前端应对页面输入数据的合法性进行校验，使用SQL参数化代替SQL拼接以减少SQL注入。过滤页面危险字符减少跨站脚本的攻击。通过短信验证码、一次性令牌等方式减少跨站请求伪造。通过上传文件扩展名类型的限定、上传文件目录下禁止脚本执行、上传图片保存前预处理等方式减少文件上传漏洞。采用加解密技术保护程序中的敏感数据。采用哈希算法保障数据的完整性。程序中加入序列号、时间戳防止数据重放攻击。开发详细的用户登录、访问、操作、业务日志以及日志备份功能。使用RASP技术获取程序运行的上下文，识别并拦截攻击行为，进行程序的自身保护。使用多种渗透测试工具对应用软件安全性进行入侵性测试，对经过安全修护后的应用软件进行回归测试，验证漏洞修复结果。

WEB应用防护、网站身份保护与网站群管理。在业务应用服务器前集群部署WEB应用防火墙来识别、清洗和过滤Web应用的各种恶意流量，将正常、安全的流量转发给WEB应用服务器，动态地防御已知、未知、0Day的应用攻击，保障Web应用安全。在WEB应用服务器上安装与配置CA颁发的具有强签名算法的OV SSL证书或EV SSL证书，客户端浏览器利用集成SSL技术对网站真实身份认证，可防止钓鱼网站。浏览器与服务端通过HTTPS协议建立的端到端加密链路进行信息交互，可防止数据被劫持、篡改及泄露。使用网站群管理系统对校园多级网站进行统一建设与管理，各分站使用独立的应用服务器、数据库及顶级域名。网站群使用前后端分离与动静态分离技术。利用安全词库对敏感内容进行过滤，保障网页内容安全。

另外，还要保障终端安全，即利用终端准入控制系统对各种有线终端、移动终端及哑终端的入网进行安全基线合规性检测，对联网终端行为进行监测，与NGIPS联动识别并防御来自终端的安全威胁。

四、安全管理中心的设计

安全管理中心对校园网的安全策略、通信网络、区域边界和计算环境进行集中管控、统一审计、安全管理、综合分析与协同防御。

(一)统一身份认证

统一身份认证平台对多种网络架构下的有线无线网用户进行无感知统一认证，实现多种操作系统终端在双栈协议下的无感接入，提供多种接入认证方式下的认证，如：有线Portal认证、无线IPoE+Portal认证、Portal+MAC无感知认证、Portal+双因素认证、VPN接入认证和生物特征识别认证等。认证、授权与计费可通过RADIUS、HWTACACS或LDAP等多种协议实现。统一实名身份认证平台为各应用系统提供身份的互认互信，身份标识始终贯穿于应用，实行校园网各种应用和服务的单点登录、动态授权及持续认证。通过分布式部署，实现多地多校区统一身份认证，总校集中管理。为自带设备的不同类型临时访客提供不同的认证方式，如短信、微信、二维码。对访客设定独立的VLAN。对不同场合访客实施相应的审核管理权限，严格控制访客的资源访问权。对访客上线、离线及上网过程进行监控、分析和审计。与上网行为管理系统对接，实现上网行为实名联查。

(二)终端统一管理

终端的安全直接影响到校园网络的安全稳定运行及数据信息安全。对终端的安全管理是校园网安全防御的一个重要环节。终端统一管理系统对各类终端进行实名身份认证、设备信息登记与审核、安全准入控制和接入日志审计。通过终端分类分析、角色权限分配及IP地址绑定等措施，实现终端与用户双重可信。对各类终端进行识别与定位，对终端安全基线进行合规与合法性检测，隔离不合格及有安全隐患的终端。持续检测与发现终端联网中产生的安全威胁及异常行为并发出预警，与安全设备联动，实现对终端的安全防御与漏洞自动修复。通过持续验证手段，保证终端动态访问应用程序和数据的安全性。终端接入的日志实时采集到综合日志审计平台。对移动终端进行应用安全加固、SO文件加密压缩和HTML5应用加密，保障移动终端自身安全。对移动终端应用环境进行安全检测。终端上隔离校园应用数据与隐私数据，敏感数据进行加密。通过终端远程锁定、远程擦除、加密封存、禁止复制等措施，防止数据泄露。

(三)安全运行维护

校园网各种IT资产需要不同的运维人员来维护，如：系统管理员、网络管理员、安全管理员、应用管理员以及数据库管理员等，为保障运维过程的安全，防止出现运维的误操作、越权访问、资源滥用、数据泄露、蓄意破坏等现象，各类运维人员必须通过统一的安全运维平台来维护校园网传统设备、物联网、私有云及公有云的IT资产。借助堡垒机，实现运维的事前授权、事中监控与事后审计。

事前授权。为运维人员分配主账号，按照运维人员权限建立主账号与被管理IT资源账号的关联，对堡垒机登陆人员进行双因素身份鉴别。授予运维人员最小权限并设置细粒度访问策略。为同一目标设备的不同运维角色设置不同的运维策略，实现对运维人员操作目标IT资源的限制。事中控制。运维人员访问堡垒机统一门户进行双因素强身份认证后单点登录堡垒机，按照被赋予的权限对被管理设备进行维护。堡垒机全程记录运维过程，对误操作、越权访问、资源滥用进行告警与阻断，取消违规操作者权限并对操作行为进行追溯。对运维管理过程中的安全威胁进行安全提醒。事后审计。操作过程全程录像，操作指令全程记录，对操作行为深度分析与多维度关联审计。

堡垒机的系统数据与用户数据隔离存储，对用户的数据进行加密存储，运维审计日志自动备份。堡垒机与被管理IT资源的管理数据通过隔离加密的传输通道交互信息。堡垒机的操作系统要安全加固，在堡垒机前采用防火墙进行安全防护。

(四)统一网络监控

统一网络监控平台采用传统网络监控技术与多云环境监控技术相结合的方式实现对校园网链路、流量、带宽，物理的和虚拟的网络设备、安全设备、服务器、中间件应用、数据库服务及自定义应用服务的监控及性能分析，对故障快速定位并排障，对安全事件告警并分析，将各种网络日志发送至综合日志审计平台进行集中审计。

(五)综合日志审计

综合日志审计平台对校园网各类IT资源产生的日志进行采集、存储、综合管理、关联分析、搜索查询和事件告警，保障日志的完整性，确保事件的回溯与取证。综合日志审计平台以多种方式采集异构网络环境下分散的、彼此割裂的各类IT资源产生的海量异构日志，采集器与审计平台之间以加密方式传输数据。采用多种解析方法对采集日志进行范式化处理。原始日志和处理后的日志均加密保存并自动备份，确保事件的回溯与取证。采取自定义日志字段格式方式对日志进行分类与归并。通过字段关联、规则关联、漏洞关联、事件关联、指纹关联、基于统计或时序的审计等方法，实现多维度日志关联分析。对攻击行为及安全威胁给出判断与预警，与其他安全系统联动进行联合防御。查询终端通过安全传输协议访问日志平台，按照关键字或全文搜索方式进行原始与范式化日志及事件告警信息的查询。

(六)安全态势感知

安全态势感知平台实现对校园网安全威胁的发现识别、理解分析与响应处置，全面动态地管控各种安全风险。安全态势感知平台获取校园网各种IT资产的配置信息与日志信息，监控资产运行状态，发现资产配置脆弱性及存在的漏洞，关联安全设备的各种告警事件，发现各种安全威胁行为，借助威胁情报、用户及实体行为分析、行为分析建模、图关联分析、大数据关联分析、人工智能和可视化技术等，对校园网络进行全面监测、威胁发现、安全告警、攻击链回溯、安全态势分析以及安全风险评估。

此外，通过漏洞扫描平台对校园网异构网络环境下的主机、数据库、应用、中间件、Web网站、终端设备固件等进行扫描，检测其安全脆弱性，及时察觉网络信息系统中的安全隐患和问题，对发现的漏洞提供修复解决方案，最大限度地消除安全隐患。