智慧校園環(huán)境下的數(shù)據(jù)安全研究與實踐

沈輝賢

【摘?要】隨著網絡技術的快速發(fā)展，在高校的智慧校園里建立起統(tǒng)一的數(shù)據(jù)交換和存儲平臺，促進數(shù)據(jù)在校內的互聯(lián)互通，加速教育信息化進程。而隨著數(shù)據(jù)的日益集中，統(tǒng)一數(shù)據(jù)平臺的數(shù)據(jù)安全越來越受到重視。本文分析了當前數(shù)據(jù)安全面臨的新形勢，并試從本校統(tǒng)一數(shù)據(jù)平臺的數(shù)據(jù)安全實踐著手，探討保障智慧校園數(shù)據(jù)安全的可行措施。

【關鍵詞】智慧校園;數(shù)據(jù)安全;實踐

引言

隨著云計算、機器學習、大數(shù)據(jù)、物聯(lián)網等技術不斷同高校信息化建設發(fā)展相融合，各高校紛紛進入從數(shù)字化校園向智慧校園發(fā)展的快速轉型階段，為“用數(shù)據(jù)說話、用數(shù)據(jù)決策、用數(shù)據(jù)管理、用數(shù)據(jù)創(chuàng)新”的管理決策機制打下基礎，但隨著教學、流程、管理逐漸線上化，學校數(shù)據(jù)規(guī)模急劇增大，如何管理海量數(shù)據(jù)和確保數(shù)據(jù)安全，成為高校信息化發(fā)展的一大挑戰(zhàn)。同時，國家高度重視數(shù)據(jù)安全，在2019年，國家互聯(lián)網信息辦公室發(fā)布了《數(shù)據(jù)安全管理辦法（征求意見稿）》;其中數(shù)據(jù)安全建設是該標準的核心內容之一?；诖?，本研究將討論智慧校園建設下高校數(shù)據(jù)的安全管理。

1當前數(shù)據(jù)安全面臨的新形勢

隨著互聯(lián)網的快速發(fā)展，信息化產生的數(shù)據(jù)呈現(xiàn)出爆發(fā)增長和不斷集中的態(tài)勢。據(jù)國際數(shù)據(jù)公司（IDC）發(fā)布的對全球數(shù)字化的白皮書預測，全球數(shù)據(jù)圈正在經歷著快速擴張，預計從2018年的33ZB數(shù)據(jù)量增至2025年的175ZB，其中中國數(shù)據(jù)圈以30%的年平均增長速度領先全球，并將在2025年成為最大的數(shù)據(jù)圈。在數(shù)字化程度與日俱增的世界里，數(shù)據(jù)資源的價值和重要性慢慢被人們所發(fā)現(xiàn)，如何保護用戶數(shù)據(jù)安全已成為人們普遍關心的問題。近年來，數(shù)據(jù)安全總體形勢不容樂觀，信息泄露、勒索病毒等各種數(shù)據(jù)安全事件常有發(fā)生。

2智慧校園建設背景下數(shù)據(jù)安全管理面臨的挑戰(zhàn)

2.1云計算帶來的安全隱患

云計算技術的發(fā)展為高校智慧校園建設提供了強大技術支撐，但因其具有體系架構復雜、邊界模糊等特性，為數(shù)據(jù)存儲帶來了新的安全隱患，云虛擬化安全方面就面臨著竊取服務的攻擊、網絡惡意代碼的注入攻擊、信道攻擊等。例如目前各高校中，服務器虛擬化逐漸代替了實體服務器，其使運維人員可通過相關界面就可以管理眾多服務器，不需進入機房去尋找各個實體服務器，但是同駐在一臺物理機上的多個虛擬機可以不通過下一代防火墻、web應用防火墻等網絡安全防護設備直接進行數(shù)據(jù)交換，無法對虛擬機之間的通信進行有效的監(jiān)控和安全隔離，為網絡攻擊和病毒在云平臺內部擴散提供了更多的機會。

2.2共享數(shù)據(jù)中心管理

高校智慧校園建設的進行，各業(yè)務系統(tǒng)的核心數(shù)據(jù)經梳理集中于共享數(shù)據(jù)中心平臺，為在大數(shù)據(jù)分析階段挖掘數(shù)據(jù)的潛藏價值做好了準備。隨著其蘊含各種形式的數(shù)據(jù)量日益增多，對數(shù)據(jù)的存儲、處理、運算提出了新的技術需求，但因應運而生的新型技術不夠成熟、數(shù)據(jù)量大等原因，導致數(shù)據(jù)安全風險極大，重要敏感數(shù)據(jù)存在泄露的風險，同時共享數(shù)據(jù)中心平臺一旦發(fā)生數(shù)據(jù)泄露、受到重大病毒攻擊等，將對學校數(shù)據(jù)安全產生嚴重的后果。

3本校統(tǒng)一數(shù)據(jù)平臺的數(shù)據(jù)安全實踐

高校智慧校園項目建設的統(tǒng)一數(shù)據(jù)平臺一般都有如下特點：（1）作為數(shù)據(jù)交換的樞紐，匯集的數(shù)據(jù)具有容量大、種類多、權威性高的特點;（2）部分數(shù)據(jù)交換有速度和頻度要求，不能為了安全性犧牲可用性;（3）一般高校都有外包公司協(xié)助進行智慧校園建設，數(shù)據(jù)流轉的下游系統(tǒng)也同樣由外包公司協(xié)助建設，各種敏感和重要數(shù)據(jù)無可避免要給外包公司人員經手，而外包人員一般流動性較大，這給出現(xiàn)問題后的追查取證帶來很大障礙，大大增加發(fā)生安全問題的概率，成為數(shù)據(jù)安全的最大隱患。在智慧校園項目的實施過程中，針對數(shù)據(jù)平臺存在的安全問題、網絡安全等級保護制度2.0二級（下稱等保2.0）的相關要求并結合本校實際，采取了一系列措施，從技術和管理兩方面有效地預防和減少上述數(shù)據(jù)安全問題的發(fā)生。

3.1硬件安全

統(tǒng)一數(shù)據(jù)平臺存放于智慧校園一體機上，保護支撐其運作的硬件設施也是重中之重。在等保2.0中提出了對支撐信息系統(tǒng)運作的硬件及其保管空間（機房）的要求，包括供電、溫度、濕度、防塵、防火等方面，停電時能夠保證支撐數(shù)據(jù)庫及業(yè)務系統(tǒng)正常運行超過1小時，并可迅速切換至后備運行環(huán)境。

3.2構建密碼管理機制

密碼是信息系統(tǒng)最容易出現(xiàn)的安全問題，也是最容易受到黑客攻擊的脆弱點。為了保證密碼的長期安全，需要建立一套長期有效的密碼管理機制。（1）使用密碼生成工具生成密碼并定期更換。統(tǒng)一數(shù)據(jù)平臺前臺、后臺有多個管理賬號，可使用密碼生成工具統(tǒng)一生成長度足夠、字符種類多樣且無規(guī)律的密碼并統(tǒng)一進行更改，部分賬號的密碼可能還用于其他系統(tǒng)訪問的，可以考慮編寫腳本統(tǒng)一修改。（2）形成密碼交付記錄。通過簽訂協(xié)議等方式，保留交付密碼的記錄，對數(shù)據(jù)平臺的密碼的去向有大致掌握，通過定期更換密碼，可以將知道密碼的人數(shù)控制在一定范圍內。

3.3訪問控制

統(tǒng)一數(shù)據(jù)平臺非常重要，必須嚴格控制可登錄統(tǒng)一數(shù)據(jù)平臺的人員，確保除了通過各種應用入口合法訪問數(shù)據(jù)庫外，只有數(shù)據(jù)庫管理員能夠從管理入口進入。利用網絡防火墻，對數(shù)據(jù)庫的訪問作出基于白名單的訪問控制。而對于可以合法訪問的人員，在數(shù)據(jù)庫內部和應用入口對不同用戶的訪問進行了權限劃分和租戶隔離，能夠更好地防范對統(tǒng)一數(shù)據(jù)平臺的有害操作。除此之外，網絡防火墻還肩負防范應用層網絡攻擊的任務，如識別出疑似的注入、遠程代碼，木馬上傳等網絡攻擊行為，可通過封鎖IP和賬號等方式禁止用戶進行數(shù)據(jù)訪問操作，并記錄網絡攻擊行為日志供日后研究和追責。

3.4數(shù)據(jù)加密

在面向不可靠用戶環(huán)境的情況下，數(shù)據(jù)加密是有效防止嗅探和篡改的重要手段，我們采取了三種數(shù)據(jù)加密方式：傳輸加密、庫加密和字段加密。（1）傳輸加密：針對應用層面的數(shù)據(jù)訪問，采用HTTPS協(xié)議和對稱加密算法，對傳輸參數(shù)和HTTP報頭本身進行加密，是防止網絡嗅探的有效手段。（2）庫加密：針對備份環(huán)境下的數(shù)據(jù)庫，實行全庫加密。備份服務器上的數(shù)據(jù)庫以文件形式存儲，也存在被黑客入侵的風險。對備份環(huán)境的數(shù)據(jù)庫進行整庫加密是對備份文件的一道保險，當需要啟用備份庫時再進行全庫的解密即可。（3）字段加密：對于一些重要的敏感字段，例如密碼、銀行卡號等，如果不得已必須存到數(shù)據(jù)庫，需要以加密形式進行存儲，這些敏感數(shù)據(jù)直接以加密的形式進行數(shù)據(jù)流轉。

3.5數(shù)據(jù)脫敏

數(shù)據(jù)脫敏是有效防止數(shù)據(jù)泄露的技術手段，脫敏方式主要分為靜態(tài)脫敏和動態(tài)脫敏兩種。（1）靜態(tài)脫敏：靜態(tài)脫敏是直接針對數(shù)據(jù)庫中的敏感字段施行數(shù)據(jù)遮蔽、字符轉換等手段，應用于測試專用的測試庫和科研專用的科研庫，這樣可以方便開放這兩個庫給更大范圍人員進行測試和科研工作。（2）動態(tài)脫敏：針對業(yè)務層面的應用，在數(shù)據(jù)出口處對數(shù)據(jù)進行遮蔽、字符轉換等脫敏操作，動態(tài)脫敏可以針對不同用戶和用戶組制定不同的脫敏規(guī)則，在滿足業(yè)務需求的同時進行有效的數(shù)據(jù)保護。

結束語

智慧校園加快了高校信息化建設的步伐，為師生提供了便捷的服務，為實現(xiàn)高效化、智慧化的校園服務奠定了基礎。數(shù)據(jù)作為智慧校園建設中的重要資產，高校在充分發(fā)揮數(shù)據(jù)價值的同時，要把數(shù)據(jù)安全放在第一位，從技術、管理等多角度出發(fā)，加強數(shù)據(jù)安全的監(jiān)督、管理，建立有效的數(shù)據(jù)安全防護體系，營造健康的數(shù)據(jù)安全環(huán)境。

參考文獻：

[1]張玉清，王曉菲，劉雪峰，等.云計算環(huán)境安全綜述[J].軟件學報，2016，27（6）：1328-1348.

[2]魏楚元，彭升輝，任彥龍，等.從數(shù)據(jù)中找到"黃金"構建高校數(shù)據(jù)治理框架[J].中國教育網絡，2019（4）：61-63.

（作者身份證號碼：450924198203075118）