顾士星

摘要：为了加快推进教育现代化、教育强国的建设，全国各类学校都在推进智慧校园项目建设。通过建设各类信息系统及应用，为广大师生的科研、教学、生活等提供较多的便利。前期信息系统建设存在重建设、轻安全的现象，导致目前校内各类信息系统安全问题频发。专业的网络安全设备能够在一定程度上保护各类信息系统，网络安全设备采购于不同的厂家，厂家之间设备无法联动，导致网络安全设备各自为政，无法协同处理网络安全问题。管理上由于人员分工不同，存在安全设备和基础设施配置信息不一致的情况，带来一定程度的网络安全风险。该文提出网络安全数据中台的方案来解决网络安全数据不一致、网络安全设备各自为政的问题。

关键词：数据中台;网络安全;智慧校园

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2021）16-0052-03

开放科学（资源服务）标识码（OSID）：

Research on Campus Information Security Scheme Based on Data Middle Platform

GU Shi-xing

（Information Department of Jiangsu University， Zhenjiang 212013， China）

Abstract： In order to speed up the construction of modern education and strong educational country， all kinds of schools are promoting the construction of smart campus projects. Through the construction of various information systems and applications， more convenience are provided for teachers and students' scientific research， teaching， life and so on. In the early stage of information system construction， there is a phenomenon that the construction is more important than the security， which leads to the frequent security problems. Professional network security devices can protect all kinds of information systems to a certain extent. However， network security devices are always purchased from different manufacturers. Devices created by different manufacturers cannot be linked， which are unable to work together to deal with network security attack. Due to the different division of labor， Network safety devices and infrastructure is not consistent， brought a certain degree of network security risk. This paper puts forward a scheme of network security data middle platform to solve the problems of inconsistent network security data and separate network security devices.

Key words： data middle platform; network security; smart campus

1背景

智慧校園是以数字校园的基础发展而来的另外一种形态，基于数字校园的基础上利用云计算、大数据及人工智能等技术手段，通过各种智能的终端以及应用为高校师生提供更加智能、个性化的服务，形成智慧化的数字校园[1]。智慧校园建设的不断深入，众多的信息系统的软硬件设施和上层应用使得高校师生对智慧校园的建设成果依赖程度越来越高，提供高可靠、高稳定性的服务以及保护好师生的敏感数据信息、维护好校园网络积极向上的氛围变得越来越重要。目前，高校信息化管理部门存在人手不足、管理人员技术能力参差不齐、职责分工不同，导致每个人对信息系统管控局限于某一部分，如DNS维护、反向代理维护等，无法做到统筹管理，存在信息系统游离于管理之外的情况。近年来，随着《网络安全法》《等级保护规范文件》等一系列针对网络安全的政策及规范的出台，针对网络安全的建设方面，各高校采购了不同的安全厂商的设备，包括出口防火墙、WAF、日志审计、运维堡垒机、虚拟化防病毒等，目前网络安全设备存在不同安全厂家生产的设备无法做到相互通信，通过协作的方式来保护校园网络，减低了对校园网络安全的防护能力。目前各个安全设备系统单独维护一套适合自身的数据信息，导致存在数据冗余、数据错误，结果数据无法复用的情况，各个网络安全设备可以提供标准的API的接口，通过接口来抽取网络安全设备的数据至数据中台，可以有效地规避数据烟囱和不一致性，实现标准化规范统一的、可以重用共享的数据。系统建设之初缺乏统一顶层设计和规划，各个子系统之间的数据交互，已经成为高校信息化发张的瓶颈，“烟囱林立”式的系统架构已经严重的制约高校信息化深入发展的步伐[2]。

当前信息安全已经上升到与政治安全、经济安全、领土安全并驾齐驱的战略高度，2016年4月，习总书记主持召开的网信工作座谈会时也指出：“维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险”，所谓“聪者听于无声，明者见于未形”，维护好信息安全相关的数据，保证数据一致性，摸清家底，对于建立一套数据标准、信息共享、协调联动的网络安全数据中台的整体方案具有很重要的意义。

2校园信息安全方案架构设计

当前对校园网络安全管理人员来说，网络安全碎片化越来越严重、烟囱式的安全技术收效甚微、网络安全运维能力薄弱、安全事件的响应时间无法保证。通过引入安全中台的理念来协助网络安全人员把分散开的信息集中汇总至安全中台，让网络安全人员从整体的角度去把握校园网络安全的态势，进而做到保证正常的用户访问并及时的封堵住恶意访问[3]。

校园信息安全数据中台方案共分为四层，基础资源平台层、数据抽取与标准化层、安全中台、数据开放层。

基础资源平台层主要包括虚拟化服务器、机架服务器、DNS、反向代理、出口防火墙以及其他各类成熟的网络安全硬件。数据抽取与标准化层主要实现将基础资源平台层的数据通过各类技术方法抽取并按照标准化的格式存储至安全中台。安全中台中包含决策分析功能模块，基于数据中台中的数据使用回归分析、神经网络预测模型等分析手段分析恶意用户访问、恶意IP地址、脆弱性主机、安全加固建议，并动态反馈至基础资源平台层，形成安全闭环。数据开放层也会通过标准的API接口，将基于数据中台的分析结果作为安全公共基础数据开放出去，其他应用服务在使用过程中直接调用接口对恶意用户、恶意访问IP等行为进行封堵。

3基础资源平台数据采集

3.1数据源类型

基于安全的数据涉及方方面面，涉及安全方面的数据较多，概括起来可以分为以下几类[4]：

1）平台配置数据主要包括网络设备、DNS解析、反向代理、虚拟化防病毒、威胁感知设备、资产性能监控设备等的配置信息。

2）原始流量数据 来源于核心交换设备旁路的流量镜像，是全量数据，便于溯源追踪。

3）设备及系统日志信息 网络设备、安全设备、系统及应用的运行日志信息和审计操作日志等，反映设备或系统的运行状态。

4）漏扫数据 安全设备根据特定规则对主机或系统进行安全扫描产生的数据，包括主机漏扫和WEB漏掃数据等。

5）资产数据 硬件资产和信息资产，硬件资产包括资产安装的操作系统类型，系统中运行的服务名称、版本等信息，信息资产主要包括网站及信息系统，包括资产的所属部门、所属主机等信息。

6）漏洞及威胁情报数据 各类基础架构和应用程序的漏洞信息，提供完整的漏洞修复建议及方法，包含但不限于打补丁、修改配置、严格的访问控制措施等。威胁情报信息来源于社会以及行业内的安全威胁情报，给校园相应部门提供威胁预警、提早进行防范。

3.2数据抽取与标准化层

安全中台中的数据来源广泛，并且数据字段定义、数据类型等不尽相同，采集安全数据并在存储该类数据之前对数据进行标准化对于提高后期数据使用效率具有很大的意义。

4 技术方案

4.1安全中台数据存储方案

安全中台的数据存储方案主要根据网络安全数据异构数据源分为：结构化数据、非结构化数据、时序数据等。

结构化数据存储的选择，根据数据量大小分为基于列存储和基于行存储的数据。基于行的存储采用开源Mysql集群高可用方式部署（图3），可以实现数据读写分离。

非结构化数据的存储，根据数据中台存在实时插入、更新和查询的功能需求，同时在实际使用过程中实时数据存储所需的复制及高度伸缩性。选择使用MongoDB，该非结构化数据库系统使用C++语言编写，在系统负载较高时，可以通过添加更多的节点来保证服务器的性能。根据网络安全事件数据一次写入、多次读取的特征，大数据存储平台采用HDFS（HadoopDistributedFileSystem）文件系统。Hadoop是一个开源的分布式存储和分布式计算平台，HDFS分布式文件系统能够存储海量的数据，MapReduce并行处理框架可以对计算任务进行分解和调度，不依赖于高端硬件，使用校园淘汰的硬件服务器即可以完成扩展，提高资源利用效率、降低成本。Hadoop具有成熟的生态圈，具有很多的开源工具，降低使用门槛、提高适用性。

4.2数据采集同步方案

离线数据采集采用开源的DataX工具，DataX是阿里巴巴集团开源的离线数据同步工具，可以实现MySQL、Oracle、SqlServer、Postgrel、HDFS、Hive、HBase等各种异构数据源之间高效的数据同步[5-7]。DataX将传统复杂的网状同步链路转变成星型数据链路，作为中间传输载体来连接各种数据源。对接新的数据源时，仅需要将数据源对接到DataX即可实现数据源的同步。DataX可以根据实际业务需求对数据的同步过程中按照一定的规则进行清洗、过滤以及转换，提高数据准确度和数据质量。

实时数据采集采用Logstash组件，Logstash是一款分布式数据收集引擎，可以实时采集Web日志、安全设备产生的日志。根据不同的数据来源选择Logstash中模块化的Input组件，动态的读取源数据，Output组件可以根据数据源的类型保存至相应的数据库或者文件系统[8]。

4.3数据服务API方案

数据服务API采用一款基于OpenResty编写的高可用、易扩展的KongAPI网关[9]。Kong可以通过插件扩展已有的功能，插件在API请求响应的生命周期中执行，插件包含了HTTP基本认证、负载均衡、CORS、API请求限流、请求转发、CAS认证等功能。基于Kong可扩展性的特点，通过自行开发插件可以实现对敏感的安全数据加解密、数据模糊化、数据脱敏等。基于API的方案可以将基于安全数据中台的业务与安全设备等之间的直接耦合和依赖性隔离开，实现安全设备独立更新、升级的同时不影响其他设备调用数据。统一通过API的方式能够保证数据的一致性、实现统一监控和流量管理等功能。

5结束语

基于数据中台的校园信息安全方案可以解决多个数据源数据不一致的问题。从日常运维角度，通过统一集中的管控平台可以检查信息系统DNS域名解析与信息系统的物理服务器是否一致，反向代理转发的HTTP请求是否准确的达到相应的应用系统等。从网络安全角度，通过集中的数据平台可以信息系统在漏洞扫描平台中是否存在漏洞，根据信息系统的健壮性采取相应的安全措施，包括限制校内访问、停止DNS解析、关停系统等，针对校外频繁攻击校内信息系统的恶意IP地址，从反向代理层或者网络层进行封锁。从用户安全角度，当用户在极短的时间内登录不同的信息系统、从不同的地址位置登录或存在恶意攻击校园网络的行为，及时地采取短信通知、锁定用户账号等措施保护用户个人信息，保护校内信息系统能够正常地提供对外服务。从校园管理人员角度出发，可以实现在统一的管控平台中从整体的角度把握校园网络的安全态势。各种安全设备之间可以通过调用安全中台的API来实现协同保护校园网络的安全，完成设备之间的信息交互及信息共享。

参考文献：

[1] 李有增，周全，钊剑.关于高校智慧校园建设的若干思考[J].中国电化教育，2018（1）：112-117.

[2] 史昕.中台技术在高校智慧校园中的应用[J].计算机产品与流通，2020（3）：198.

[3] 宋健伟.企业信息化管理中台系统建设研究[J].电脑知识与技术，2020，16（32）：247-248.

[4] 刘蓓，禄凯，程浩，等.基于异构数据融合的政务网络安全监测平台设计与实现[J].信息安全研究，2020，6（6）：491-498.

[5] GitHub-alibaba/DataX[EB/OL]. [2021/3/2]. https：//github.com/alibaba/DataX.

[6] 田翠姣，苏义武.DataX工具在新冠肺炎數据上报中的应用[J].计算机技术与发展，2020，30（11）：216-220.

[7] 陈宇收.基于Datax的数据同步方案研究[J].电脑编程技巧与维护，2018（9）：97-98，131.

[8] 谢磊，张冰，杨猛.基于ELK的日志分析系统研究与实践[J].科技经济市场，2020（10）：17-18.

[9] 张虎，张秋萍.基于KONG的API集成系统的设计与实现[J].计算机技术与发展，2019，29（8）：102-106.

【通联编辑：代影】