智慧校園的網(wǎng)絡(luò)安全規(guī)劃

文/姜鵬 趙正利

隨著各類高校智慧化校園的建設(shè)，校區(qū)的網(wǎng)絡(luò)承載了更加豐富的應(yīng)用。有傳統(tǒng)的師生上網(wǎng)、網(wǎng)站發(fā)布、信息化系統(tǒng)運(yùn)行等需求，也有近年涌現(xiàn)的物聯(lián)網(wǎng)、數(shù)據(jù)中心運(yùn)轉(zhuǎn)等需求，而目前來(lái)自校園內(nèi)部和外部的網(wǎng)絡(luò)安全威脅不斷增加，需要重新規(guī)劃網(wǎng)絡(luò)安全的總體構(gòu)架，部署落實(shí)并在實(shí)踐中逐步調(diào)整。同時(shí)對(duì)運(yùn)維中產(chǎn)生的大量安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，促進(jìn)安全策略的優(yōu)化。異構(gòu)的數(shù)據(jù)源和持續(xù)增長(zhǎng)的數(shù)據(jù)量給分析人員帶來(lái)了繁重的負(fù)擔(dān)，可視化是當(dāng)前大數(shù)據(jù)技術(shù)中一項(xiàng)重要的應(yīng)用，在大數(shù)據(jù)分析中扮演著越來(lái)越重要的角色[1]，在網(wǎng)絡(luò)運(yùn)維的場(chǎng)景中通過采用大數(shù)據(jù)可視化分析手段可以更快的掌握安全趨勢(shì)。從基礎(chǔ)網(wǎng)絡(luò)安全、信息安全、數(shù)據(jù)中心安全、大數(shù)據(jù)收集及分析平臺(tái)等部分探討了智慧校園網(wǎng)絡(luò)安全技術(shù)體系。在此技術(shù)路線基礎(chǔ)上融合現(xiàn)有軟硬件資源，逐步建立一套智慧化的網(wǎng)絡(luò)安全管理體系。

成功的安全體系是建立在統(tǒng)一管理的軟硬件網(wǎng)絡(luò)設(shè)備基礎(chǔ)上，而且是成本可控和方便運(yùn)維的，充分利用現(xiàn)有網(wǎng)絡(luò)的軟硬件投入，節(jié)約后期維護(hù)的人工成本并具有基準(zhǔn)以上的防御能力，而且后期可以通過運(yùn)維中日志的分析自我修復(fù)提升。合理利用大數(shù)據(jù)收集、存儲(chǔ)、圖形化展現(xiàn)等方法解決網(wǎng)絡(luò)安全數(shù)據(jù)量大且格式各異的問題。由于基于網(wǎng)絡(luò)大數(shù)據(jù)分析的安全檢測(cè)技術(shù)可以實(shí)現(xiàn)海量網(wǎng)絡(luò)安全數(shù)據(jù)的深度關(guān)聯(lián)分析，也可對(duì)寬時(shí)間周期內(nèi)的多類型安全數(shù)據(jù)智能關(guān)聯(lián)，因此在檢測(cè)APT攻擊方面具有明顯優(yōu)勢(shì)[2]，利用大數(shù)據(jù)技術(shù)使整個(gè)體系具有對(duì)APT等攻擊威脅的告警和自我調(diào)整能力。

大數(shù)據(jù)可視化促進(jìn)了對(duì)于信息安全事件類型、原因、關(guān)系和后果的假設(shè)的形成和新知識(shí)的積累的過程，有利于管理者的快速?zèng)Q策和安全調(diào)整。

基礎(chǔ)網(wǎng)絡(luò)安全

基礎(chǔ)物理網(wǎng)絡(luò)和其上網(wǎng)絡(luò)層運(yùn)行策略是整個(gè)校區(qū)網(wǎng)絡(luò)的基礎(chǔ)，需要通過多種技術(shù)手段對(duì)其進(jìn)行安全加固，而且保障網(wǎng)絡(luò)接入的安全。根據(jù)相關(guān)安全實(shí)踐和學(xué)校實(shí)際需求在其上建立多種相對(duì)獨(dú)立但有效互聯(lián)的區(qū)域網(wǎng)絡(luò)，按照各業(yè)務(wù)網(wǎng)絡(luò)的不同的安全等級(jí)采用差異化的安全策略。總體分為學(xué)校邊界區(qū)域、DMZ區(qū)、數(shù)據(jù)中心區(qū)、無(wú)線區(qū)域、多個(gè)業(yè)務(wù)網(wǎng)絡(luò)區(qū)、辦公區(qū)、宿舍區(qū)等，對(duì)每個(gè)區(qū)域做安全策略的邏輯隔離或物理隔離，并進(jìn)行具體的安全配置。

1.校園邊界區(qū)域

學(xué)校校園內(nèi)部一般是獨(dú)立部署和運(yùn)維網(wǎng)絡(luò)，在校園的邊界上與網(wǎng)絡(luò)運(yùn)行商專線對(duì)接，從而使校區(qū)網(wǎng)路與互聯(lián)網(wǎng)互通。一般需要部署VPN、審計(jì)設(shè)備、NAT設(shè)備、日志設(shè)備等等。校園網(wǎng)邊界是校區(qū)網(wǎng)絡(luò)安全關(guān)鍵的外層環(huán)節(jié)?？梢杂幂^少的投入在這個(gè)層面解決來(lái)自外部的威脅，同時(shí)發(fā)現(xiàn)來(lái)自內(nèi)部的異常流量和設(shè)備。

（1）訪問控制

一般情況下學(xué)校內(nèi)部只有DMZ區(qū)域的網(wǎng)絡(luò)服務(wù)需要向校外直接公開提供數(shù)據(jù)服務(wù)。在邊界上至少啟用網(wǎng)絡(luò)三層防護(hù)策略，對(duì)來(lái)源地址、目的地址和服務(wù)端口做相應(yīng)限制，只對(duì)外開放必要的服務(wù)。有從校外訪問非開放的高安全等級(jí)服務(wù)（例如內(nèi)部辦公自動(dòng)化系統(tǒng)）的需求時(shí)，啟用VPN的方式進(jìn)行認(rèn)證后加密接入，必要時(shí)啟用雙因素認(rèn)證。

（2）異常流量分析過濾

出于保障網(wǎng)絡(luò)安全和用戶有效上網(wǎng)帶寬的目標(biāo)，對(duì)學(xué)校出口流量進(jìn)行過濾，包括來(lái)自校內(nèi)外的IP段掃描、DDOS攻擊、惡意應(yīng)用攻擊、返回地址不可達(dá)流量等。同時(shí)通過監(jiān)控校內(nèi)向外的流量，通過數(shù)據(jù)總量、連接數(shù)、對(duì)高危IP的連接數(shù)和數(shù)據(jù)包分析等及時(shí)發(fā)現(xiàn)校內(nèi)的僵尸網(wǎng)絡(luò)被控端、中毒設(shè)備、黑客用機(jī)，阻斷攻擊流量并通知用戶離線整改。尤其是檢測(cè)并限制僵尸網(wǎng)絡(luò)的校區(qū)內(nèi)擴(kuò)散。在僵尸網(wǎng)絡(luò)檢測(cè)領(lǐng)域，基于網(wǎng)絡(luò)的僵尸主機(jī)檢測(cè)研究主要包括2個(gè)主要方向，垂直關(guān)聯(lián)檢測(cè)和水平關(guān)聯(lián)檢測(cè)[3]。通過對(duì)校內(nèi)主機(jī)網(wǎng)絡(luò)通訊特征的后期大數(shù)據(jù)關(guān)聯(lián)分析，列出高度疑似僵尸網(wǎng)絡(luò)的校內(nèi)地址，然后進(jìn)行后續(xù)確認(rèn)和處理工作。

（3）病毒阻斷

作為主要的信息入口的校園網(wǎng)出口是防病毒入侵的第一道防線，可以部署單獨(dú)或者集成功能的防病毒設(shè)備，過濾網(wǎng)頁(yè)、郵件等的病毒流量。尤其在特定病毒爆發(fā)高峰期，在校內(nèi)上網(wǎng)用戶獲知病毒信息并采取措施前，通過定制的過濾規(guī)則及時(shí)封堵住大多數(shù)的病毒傳入渠道，防止可能發(fā)生的病毒在校內(nèi)網(wǎng)絡(luò)擴(kuò)散。

（4）安全審計(jì)記錄

在相關(guān)法規(guī)要求的范疇內(nèi)對(duì)校內(nèi)某些區(qū)域進(jìn)行安全審計(jì)。安全審計(jì)記錄的信息類型和保存時(shí)長(zhǎng)配置多種不同策略，包括延長(zhǎng)來(lái)自校外的目標(biāo)為DMZ網(wǎng)段的訪問記錄保存時(shí)間。記錄必要日志信息，在后期進(jìn)行帶寬優(yōu)化、運(yùn)維問題回溯、入侵分析、發(fā)現(xiàn)中毒設(shè)備等的數(shù)據(jù)分析。

2.校內(nèi)網(wǎng)絡(luò)監(jiān)控

在學(xué)校內(nèi)部網(wǎng)絡(luò)核心處部署旁路探針和串接監(jiān)控設(shè)備，對(duì)網(wǎng)絡(luò)主要節(jié)點(diǎn)和主要線路進(jìn)行流量監(jiān)控和特征分析。預(yù)定義一些安全警報(bào)的閾值，包括一個(gè)局域網(wǎng)內(nèi)部總流量、某物理端口單位時(shí)間包數(shù)、特定病毒端口單位時(shí)間訪問數(shù)、某區(qū)域活躍用戶流量等的變化比例等。預(yù)先設(shè)定總控端自動(dòng)程序進(jìn)行一般情況的處理，復(fù)雜的情況及時(shí)報(bào)警，然后人工干預(yù)處理。

3.業(yè)務(wù)網(wǎng)絡(luò)的安全配置

校園網(wǎng)往往承載了多種滿足不同業(yè)務(wù)需求的邏輯專網(wǎng)。這些專網(wǎng)需要根據(jù)不同的安全需求分別配置安全策略。常見的有財(cái)務(wù)專網(wǎng)、智能卡專網(wǎng)、無(wú)線網(wǎng)絡(luò)、智慧物聯(lián)網(wǎng)、視頻監(jiān)控專網(wǎng)等。根據(jù)實(shí)際需求采用的安全技術(shù)如下，使用時(shí)是多種措施的結(jié)合。

（1）物理隔離

全部采用獨(dú)立硬件組網(wǎng)。網(wǎng)絡(luò)傳輸使用獨(dú)立光纖和獨(dú)立屏蔽雙絞線，使用單獨(dú)交換機(jī)、路由器和供電設(shè)備組網(wǎng)，形成一個(gè)物理獨(dú)立的內(nèi)部網(wǎng)絡(luò)。接入設(shè)備也僅僅包括專用服務(wù)器和管理PC等，做好嚴(yán)格準(zhǔn)入控制。這種組網(wǎng)方式可以保證帶寬的穩(wěn)定和數(shù)據(jù)存儲(chǔ)及傳輸?shù)母叩燃?jí)安全水平。

（2）邏輯隔離

充分利用現(xiàn)有校區(qū)硬件網(wǎng)絡(luò)，采用訪問控制、跨區(qū)Vlan或路由策略等方式實(shí)現(xiàn)安全策略。多種業(yè)務(wù)共用一套校內(nèi)網(wǎng)絡(luò)硬件環(huán)境，具有節(jié)省投資、方便統(tǒng)一升級(jí)、維護(hù)方便的優(yōu)點(diǎn)；同時(shí)有帶寬不穩(wěn)定、數(shù)據(jù)安全性稍低等問題。

（3）虛擬隧道

此種方式一般常見于校外存在分支機(jī)構(gòu)、分校區(qū)之間等需要組成業(yè)務(wù)專網(wǎng)的情形下。采用IPSEC等技術(shù)實(shí)現(xiàn)加密傳輸隧道。優(yōu)點(diǎn)是只要有網(wǎng)絡(luò)隨時(shí)可以接入、數(shù)據(jù)加密傳輸；缺點(diǎn)是需要兩端配置軟硬件設(shè)備，損耗部分網(wǎng)絡(luò)資源，校外接入點(diǎn)存在一定安全隱患。

（4）準(zhǔn)入控制

（5）認(rèn)證互信

配置用戶、網(wǎng)絡(luò)設(shè)備和服務(wù)器之間的日常通訊的嚴(yán)謹(jǐn)認(rèn)證機(jī)制，只有在通過了預(yù)設(shè)的認(rèn)證互信之后才可以互信并傳輸和接受數(shù)據(jù)。利用身份認(rèn)證技術(shù)，計(jì)算機(jī)能識(shí)別用戶的數(shù)字身份，通過數(shù)字簽名的形式來(lái)確認(rèn)用戶身份的授權(quán)[4]。在此基礎(chǔ)上對(duì)核心應(yīng)用組合使用IP地址、MAC地址、U盾、手機(jī)令牌等的認(rèn)證手段。

（6）專網(wǎng)邊界控制

采用和校區(qū)網(wǎng)絡(luò)總體配置類似的方式進(jìn)行專網(wǎng)的控制，同一個(gè)專網(wǎng)下的跨物理區(qū)域傳輸啟用底層加密，在邊界放置各類防火墻，Vlan內(nèi)部控制廣播等流量，限制接入用戶的帶寬和連接數(shù)上限、訪問目標(biāo)范圍、接入時(shí)間段等，部署內(nèi)部系統(tǒng)更新、病毒升級(jí)、時(shí)間同步等服務(wù)。

數(shù)據(jù)中心安全

數(shù)據(jù)中心是校區(qū)信息和數(shù)據(jù)集中的地方，部署在符合國(guó)標(biāo)的托管機(jī)房之內(nèi)，是整個(gè)智慧化校園的存儲(chǔ)、計(jì)算和智慧控制中心。它自動(dòng)化的匯集、分析和控制整個(gè)校區(qū)的各種物聯(lián)、無(wú)線、有線、探測(cè)、工作終端等設(shè)備。數(shù)據(jù)中心的安全是網(wǎng)絡(luò)安全中重要的一環(huán)。有的數(shù)據(jù)中心和DMZ區(qū)放置在臨近的區(qū)域，在這種情況下需要做好邏輯和物理隔離，并參考數(shù)據(jù)中心安全策略來(lái)保護(hù)DMZ區(qū)域。

1.邊界安全

在數(shù)據(jù)中心邊界構(gòu)筑多層不同功能的軟硬件防護(hù)設(shè)備，對(duì)網(wǎng)絡(luò)層和應(yīng)用層的數(shù)據(jù)數(shù)據(jù)進(jìn)行分析、存儲(chǔ)和過濾，并記錄重要日志。

在此之后，英特諾面向亞洲和中國(guó)市場(chǎng)正式發(fā)布的英特諾新型模塊化輸送機(jī)平臺(tái)（MCP）、全球首款內(nèi)置渦流制動(dòng)裝置的新型磁力速度控制器MS C 50等產(chǎn)品，證明了英特諾對(duì)中國(guó)客戶的需求有了更加深入的認(rèn)識(shí)。

（1）軟硬件設(shè)備接入方式有串接、旁路、分光等方式，其中串接方式技術(shù)上具備即時(shí)攔截異常流量的功能。一般使用串聯(lián)方式接入防病毒、網(wǎng)站應(yīng)用入侵防御系統(tǒng)和入侵防御系統(tǒng)等具有主動(dòng)防御功能的設(shè)備。

（2）使用入侵防御系統(tǒng)抵御DDOS、蠕蟲、垃圾包探測(cè)、網(wǎng)絡(luò)病毒等攻擊；配置網(wǎng)站應(yīng)用入侵防御系統(tǒng)，采用具有“自學(xué)習(xí)”功能的WAF設(shè)備，它將會(huì)完成主動(dòng)防御[5]，對(duì)SQL注入、跨站腳本攻擊、0DAY漏洞、WEB惡意掃描等攻擊進(jìn)行攔截。設(shè)置為發(fā)現(xiàn)異常信息立即進(jìn)行攔截和記錄，聯(lián)動(dòng)其他安全設(shè)備進(jìn)行自動(dòng)化協(xié)同處理。

（3）安裝審計(jì)設(shè)備對(duì)數(shù)據(jù)中心各種網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行收集和記錄，自動(dòng)梳理后的數(shù)據(jù)發(fā)送給校級(jí)大數(shù)據(jù)平臺(tái)的日志中心。

2.虛擬化安全

虛擬化平臺(tái)的安全設(shè)備部署比較靈活，可以把大部分傳統(tǒng)安全功能虛擬化運(yùn)行在自身平臺(tái)上。同時(shí)充分利用虛擬化技術(shù)的SDN功能進(jìn)行安全的配置，對(duì)虛擬交換網(wǎng)關(guān)和虛擬局域網(wǎng)流量進(jìn)行審計(jì)和過濾。首先建立一個(gè)Openflow交換的安全特征基準(zhǔn)值，僅使用不小于基準(zhǔn)值的Openflow交換在源和目標(biāo)之間建立通道[6]。同時(shí)對(duì)運(yùn)維管理進(jìn)行全程的身份驗(yàn)證和權(quán)限控制。學(xué)校云計(jì)算平臺(tái)應(yīng)該建立統(tǒng)一的身份認(rèn)證系統(tǒng)，對(duì)用戶的訪問權(quán)限進(jìn)行管理，只有合法的用戶才能進(jìn)入系統(tǒng)訪問數(shù)據(jù)[7]。虛擬化平臺(tái)技術(shù)中的重要組成部分hypervisor因自身的特點(diǎn)存在許多的安全隱患[8]，存在通過被攻陷的單臺(tái)設(shè)備入侵整個(gè)虛擬化平臺(tái)的風(fēng)險(xiǎn)，需要及時(shí)升級(jí)虛擬化平臺(tái)的軟硬件版本，持續(xù)跟蹤最新漏洞并采取應(yīng)急措施。

3.服務(wù)及數(shù)據(jù)運(yùn)維安全

采用集群技術(shù)保障服務(wù)的穩(wěn)定性和高效性，合理使用備份機(jī)制作為數(shù)據(jù)的最后一道保障，并使用壓縮技術(shù)節(jié)省備份空間。

（1）存儲(chǔ)雙活

采用多種本地和遠(yuǎn)程集群技術(shù)對(duì)存儲(chǔ)進(jìn)行多硬件同時(shí)在線配置，利用以太網(wǎng)或者裸光纖等傳輸手段和多路徑存儲(chǔ)技術(shù)做到兩地讀寫完全同步。在單臺(tái)故障的情況下依舊可以提供存儲(chǔ)服務(wù)。

（2）服務(wù)雙活

通常是在實(shí)現(xiàn)了存儲(chǔ)雙活的基礎(chǔ)上，通過軟件統(tǒng)一調(diào)度硬件資源（中心處理器、內(nèi)存、網(wǎng)絡(luò)交換等）實(shí)現(xiàn)軟件級(jí)別（服務(wù)、操作系統(tǒng)、虛擬化層等）的兩地服務(wù)雙活。

（3）備份機(jī)制

備份機(jī)制是數(shù)據(jù)安全的基礎(chǔ)要求，日常定期對(duì)數(shù)據(jù)進(jìn)行異地備份，包括生產(chǎn)數(shù)據(jù)備份、各類設(shè)備日志備份、配置備份等。按照所運(yùn)行業(yè)務(wù)的安全等級(jí)建立不同標(biāo)準(zhǔn)的備份機(jī)制，對(duì)于一般安全級(jí)別的數(shù)據(jù)每天本地全備份一次和增量數(shù)次，每周異地全備份一次和每天增量一次。

4. 日志中心

建立規(guī)范的日志中心是安全運(yùn)維的基礎(chǔ)。使用大數(shù)據(jù)的分布式存儲(chǔ)技術(shù)建立穩(wěn)固的日志存儲(chǔ)平臺(tái)。在嚴(yán)格權(quán)限管理基礎(chǔ)上配置多類型的數(shù)據(jù)接口，供后期分析、運(yùn)維查詢、安全審計(jì)等使用。Hadoop框架固有的特定結(jié)構(gòu)可以將分布式應(yīng)用部署到大型廉價(jià)集群上，非常適合海量數(shù)據(jù)的高效存儲(chǔ)與管理[9]，底層采用成熟的Hadoop大數(shù)據(jù)存儲(chǔ)技術(shù)建設(shè)。Java通過在不同的層級(jí)上分發(fā)程序的執(zhí)行以提高執(zhí)行效率[10]，日志通用接口使用Java語(yǔ)言編寫。在保證高性能和容錯(cuò)性的同時(shí)合理利用現(xiàn)有服務(wù)器硬件。

信息安全

1.存儲(chǔ)安全

對(duì)核心服務(wù)配置高強(qiáng)度的存儲(chǔ)加密策略。建立密鑰服務(wù)器；對(duì)于僅滿足驗(yàn)證需求的密碼等信息存儲(chǔ)使用不可逆加密；數(shù)據(jù)庫(kù)中的用戶身份等敏感數(shù)據(jù)進(jìn)行非對(duì)稱雙向加密，解密程序配置為高安全等級(jí)的獨(dú)立運(yùn)行服務(wù)，嚴(yán)格控制其訪問的授權(quán)。

2.傳輸安全

服務(wù)器之間傳輸數(shù)據(jù)的時(shí)候采用加密方式傳輸，包括在Web Service接口啟用Https加密。SSL協(xié)議在首次握手之后確定了所有的密鑰和加密算法，之后對(duì)話的安全性完全依賴于加密算法的復(fù)雜度[11]，運(yùn)維中采用大于等于128位的密鑰。數(shù)據(jù)庫(kù)遠(yuǎn)程讀寫的時(shí)候啟用數(shù)據(jù)庫(kù)的安全傳輸選項(xiàng)。根據(jù)實(shí)際情況（包括被傳輸數(shù)據(jù)的安全等級(jí)、服務(wù)器加解密負(fù)載和傳輸經(jīng)過網(wǎng)絡(luò)情況）統(tǒng)一配置安全策略，必要時(shí)使用加密隧道技術(shù)。

3.權(quán)限控制

嚴(yán)格控制信息的訪問權(quán)限，限定不同角色訪問的數(shù)據(jù)范圍、單次數(shù)據(jù)最大訪問量、訪問渠道和時(shí)間限期等。使用多因素認(rèn)證的安全準(zhǔn)入控制，記錄詳細(xì)運(yùn)維和訪問記錄。

4. 數(shù)據(jù)庫(kù)審計(jì)

對(duì)數(shù)據(jù)庫(kù)的操作，對(duì)每條增刪等修改操作都進(jìn)行來(lái)源審計(jì)和記錄。保存數(shù)據(jù)變更記錄，在意外情況下（包括誤操作、數(shù)據(jù)表運(yùn)行異常、被篡改等）可以回滾到特定時(shí)間點(diǎn)，同時(shí)方便故障的定位。

安全大數(shù)據(jù)平臺(tái)

利用基于分布式存儲(chǔ)的日志中心收集和梳理全校安全數(shù)據(jù)。在關(guān)鍵位置（數(shù)據(jù)集中通過的地方）放置多個(gè)流量探針，還原并收集網(wǎng)絡(luò)流量數(shù)據(jù)。收集交換設(shè)備、服務(wù)器設(shè)備、安全設(shè)備、虛擬化、操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等的日志，包括用戶訪問、異常數(shù)據(jù)、攻擊行為、服務(wù)運(yùn)行、系統(tǒng)運(yùn)行、管理員運(yùn)維等行為。傳統(tǒng)的企業(yè)安全邊界正在消失，并演變成安全智能的范疇，具有海量的、加速增長(zhǎng)、種類顯著變化的數(shù)據(jù)特征[12]。建立大數(shù)據(jù)平臺(tái)的時(shí)候需要在滿足現(xiàn)有日志存儲(chǔ)容量和計(jì)算分析能力基礎(chǔ)之上，至少額外預(yù)留30%的備用性能?；诖髷?shù)據(jù)的信令監(jiān)測(cè)系統(tǒng)通過對(duì)各類攻擊方式的深度挖掘，能夠有效地對(duì)攻擊行為進(jìn)行識(shí)別，并制定相應(yīng)的防護(hù)方案[13]。大數(shù)據(jù)平臺(tái)對(duì)海量數(shù)據(jù)進(jìn)行篩選和格式規(guī)整，然后利用關(guān)聯(lián)算法和分析引擎進(jìn)行后期處理并保存結(jié)果，最后形成可視化展現(xiàn)和日常報(bào)表。大數(shù)據(jù)可視化促進(jìn)了對(duì)于信息安全事件類型、原因、關(guān)系和后果的假設(shè)的形成和新知識(shí)的積累的過程[14]，有利于管理者的快速?zèng)Q策和安全調(diào)整。

本文從技術(shù)角度研究了目前校園網(wǎng)絡(luò)的安全需求，分析網(wǎng)絡(luò)安全面臨的內(nèi)部和外部風(fēng)險(xiǎn)，提出相應(yīng)安全措施，形成了智慧校園的網(wǎng)絡(luò)安全整體方案。但是由于存在利益等多因素驅(qū)動(dòng)，新型網(wǎng)絡(luò)攻擊手段不斷出現(xiàn)，網(wǎng)絡(luò)安全防御處于相對(duì)被動(dòng)的狀態(tài)。因此需要加快網(wǎng)絡(luò)安全的發(fā)展，根據(jù)現(xiàn)實(shí)情況充分利用現(xiàn)有軟硬件資源，建立并持續(xù)完善校區(qū)網(wǎng)絡(luò)安全體系。