基于數(shù)據(jù)中臺的校園信息安全方案研究

顧士星

摘要：為了加快推進教育現(xiàn)代化、教育強國的建設(shè)，全國各類學(xué)校都在推進智慧校園項目建設(shè)。通過建設(shè)各類信息系統(tǒng)及應(yīng)用，為廣大師生的科研、教學(xué)、生活等提供較多的便利。前期信息系統(tǒng)建設(shè)存在重建設(shè)、輕安全的現(xiàn)象，導(dǎo)致目前校內(nèi)各類信息系統(tǒng)安全問題頻發(fā)。專業(yè)的網(wǎng)絡(luò)安全設(shè)備能夠在一定程度上保護各類信息系統(tǒng)，網(wǎng)絡(luò)安全設(shè)備采購于不同的廠家，廠家之間設(shè)備無法聯(lián)動，導(dǎo)致網(wǎng)絡(luò)安全設(shè)備各自為政，無法協(xié)同處理網(wǎng)絡(luò)安全問題。管理上由于人員分工不同，存在安全設(shè)備和基礎(chǔ)設(shè)施配置信息不一致的情況，帶來一定程度的網(wǎng)絡(luò)安全風(fēng)險。該文提出網(wǎng)絡(luò)安全數(shù)據(jù)中臺的方案來解決網(wǎng)絡(luò)安全數(shù)據(jù)不一致、網(wǎng)絡(luò)安全設(shè)備各自為政的問題。

關(guān)鍵詞：數(shù)據(jù)中臺;網(wǎng)絡(luò)安全;智慧校園

中圖分類號：TP393? ? ? 文獻標(biāo)識碼：A

文章編號：1009-3044（2021）16-0052-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

Research on Campus Information Security Scheme Based on Data Middle Platform

GU Shi-xing

（Information Department of Jiangsu University， Zhenjiang 212013， China）

Abstract： In order to speed up the construction of modern education and strong educational country， all kinds of schools are promoting the construction of smart campus projects. Through the construction of various information systems and applications， more convenience are provided for teachers and students' scientific research， teaching， life and so on. In the early stage of information system construction， there is a phenomenon that the construction is more important than the security， which leads to the frequent security problems. Professional network security devices can protect all kinds of information systems to a certain extent. However， network security devices are always purchased from different manufacturers. Devices created by different manufacturers cannot be linked， which are unable to work together to deal with network security attack. Due to the different division of labor， Network safety devices and infrastructure is not consistent， brought a certain degree of network security risk. This paper puts forward a scheme of network security data middle platform to solve the problems of inconsistent network security data and separate network security devices.

Key words： data middle platform; network security; smart campus

1背景

智慧校園是以數(shù)字校園的基礎(chǔ)發(fā)展而來的另外一種形態(tài)，基于數(shù)字校園的基礎(chǔ)上利用云計算、大數(shù)據(jù)及人工智能等技術(shù)手段，通過各種智能的終端以及應(yīng)用為高校師生提供更加智能、個性化的服務(wù)，形成智慧化的數(shù)字校園[1]。智慧校園建設(shè)的不斷深入，眾多的信息系統(tǒng)的軟硬件設(shè)施和上層應(yīng)用使得高校師生對智慧校園的建設(shè)成果依賴程度越來越高，提供高可靠、高穩(wěn)定性的服務(wù)以及保護好師生的敏感數(shù)據(jù)信息、維護好校園網(wǎng)絡(luò)積極向上的氛圍變得越來越重要。目前，高校信息化管理部門存在人手不足、管理人員技術(shù)能力參差不齊、職責(zé)分工不同，導(dǎo)致每個人對信息系統(tǒng)管控局限于某一部分，如DNS維護、反向代理維護等，無法做到統(tǒng)籌管理，存在信息系統(tǒng)游離于管理之外的情況。近年來，隨著《網(wǎng)絡(luò)安全法》《等級保護規(guī)范文件》等一系列針對網(wǎng)絡(luò)安全的政策及規(guī)范的出臺，針對網(wǎng)絡(luò)安全的建設(shè)方面，各高校采購了不同的安全廠商的設(shè)備，包括出口防火墻、WAF、日志審計、運維堡壘機、虛擬化防病毒等，目前網(wǎng)絡(luò)安全設(shè)備存在不同安全廠家生產(chǎn)的設(shè)備無法做到相互通信，通過協(xié)作的方式來保護校園網(wǎng)絡(luò)，減低了對校園網(wǎng)絡(luò)安全的防護能力。目前各個安全設(shè)備系統(tǒng)單獨維護一套適合自身的數(shù)據(jù)信息，導(dǎo)致存在數(shù)據(jù)冗余、數(shù)據(jù)錯誤，結(jié)果數(shù)據(jù)無法復(fù)用的情況，各個網(wǎng)絡(luò)安全設(shè)備可以提供標(biāo)準(zhǔn)的API的接口，通過接口來抽取網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)至數(shù)據(jù)中臺，可以有效地規(guī)避數(shù)據(jù)煙囪和不一致性，實現(xiàn)標(biāo)準(zhǔn)化規(guī)范統(tǒng)一的、可以重用共享的數(shù)據(jù)。系統(tǒng)建設(shè)之初缺乏統(tǒng)一頂層設(shè)計和規(guī)劃，各個子系統(tǒng)之間的數(shù)據(jù)交互，已經(jīng)成為高校信息化發(fā)張的瓶頸，“煙囪林立”式的系統(tǒng)架構(gòu)已經(jīng)嚴(yán)重的制約高校信息化深入發(fā)展的步伐[2]。

當(dāng)前信息安全已經(jīng)上升到與政治安全、經(jīng)濟安全、領(lǐng)土安全并駕齊驅(qū)的戰(zhàn)略高度，2016年4月，習(xí)總書記主持召開的網(wǎng)信工作座談會時也指出：“維護網(wǎng)絡(luò)安全，首先要知道風(fēng)險在哪里，是什么樣的風(fēng)險，什么時候發(fā)生風(fēng)險”，所謂“聰者聽于無聲，明者見于未形”，維護好信息安全相關(guān)的數(shù)據(jù)，保證數(shù)據(jù)一致性，摸清家底，對于建立一套數(shù)據(jù)標(biāo)準(zhǔn)、信息共享、協(xié)調(diào)聯(lián)動的網(wǎng)絡(luò)安全數(shù)據(jù)中臺的整體方案具有很重要的意義。

2校園信息安全方案架構(gòu)設(shè)計

當(dāng)前對校園網(wǎng)絡(luò)安全管理人員來說，網(wǎng)絡(luò)安全碎片化越來越嚴(yán)重、煙囪式的安全技術(shù)收效甚微、網(wǎng)絡(luò)安全運維能力薄弱、安全事件的響應(yīng)時間無法保證。通過引入安全中臺的理念來協(xié)助網(wǎng)絡(luò)安全人員把分散開的信息集中匯總至安全中臺，讓網(wǎng)絡(luò)安全人員從整體的角度去把握校園網(wǎng)絡(luò)安全的態(tài)勢，進而做到保證正常的用戶訪問并及時的封堵住惡意訪問[3]。

校園信息安全數(shù)據(jù)中臺方案共分為四層，基礎(chǔ)資源平臺層、數(shù)據(jù)抽取與標(biāo)準(zhǔn)化層、安全中臺、數(shù)據(jù)開放層。

基礎(chǔ)資源平臺層主要包括虛擬化服務(wù)器、機架服務(wù)器、DNS、反向代理、出口防火墻以及其他各類成熟的網(wǎng)絡(luò)安全硬件。數(shù)據(jù)抽取與標(biāo)準(zhǔn)化層主要實現(xiàn)將基礎(chǔ)資源平臺層的數(shù)據(jù)通過各類技術(shù)方法抽取并按照標(biāo)準(zhǔn)化的格式存儲至安全中臺。安全中臺中包含決策分析功能模塊，基于數(shù)據(jù)中臺中的數(shù)據(jù)使用回歸分析、神經(jīng)網(wǎng)絡(luò)預(yù)測模型等分析手段分析惡意用戶訪問、惡意IP地址、脆弱性主機、安全加固建議，并動態(tài)反饋至基礎(chǔ)資源平臺層，形成安全閉環(huán)。數(shù)據(jù)開放層也會通過標(biāo)準(zhǔn)的API接口，將基于數(shù)據(jù)中臺的分析結(jié)果作為安全公共基礎(chǔ)數(shù)據(jù)開放出去，其他應(yīng)用服務(wù)在使用過程中直接調(diào)用接口對惡意用戶、惡意訪問IP等行為進行封堵。

3基礎(chǔ)資源平臺數(shù)據(jù)采集

3.1數(shù)據(jù)源類型

基于安全的數(shù)據(jù)涉及方方面面，涉及安全方面的數(shù)據(jù)較多，概括起來可以分為以下幾類[4]：

1）平臺配置數(shù)據(jù)主要包括網(wǎng)絡(luò)設(shè)備、DNS解析、反向代理、虛擬化防病毒、威脅感知設(shè)備、資產(chǎn)性能監(jiān)控設(shè)備等的配置信息。

2）原始流量數(shù)據(jù) 來源于核心交換設(shè)備旁路的流量鏡像，是全量數(shù)據(jù)，便于溯源追蹤。

3）設(shè)備及系統(tǒng)日志信息 網(wǎng)絡(luò)設(shè)備、安全設(shè)備、系統(tǒng)及應(yīng)用的運行日志信息和審計操作日志等，反映設(shè)備或系統(tǒng)的運行狀態(tài)。

4）漏掃數(shù)據(jù) 安全設(shè)備根據(jù)特定規(guī)則對主機或系統(tǒng)進行安全掃描產(chǎn)生的數(shù)據(jù)，包括主機漏掃和WEB漏掃數(shù)據(jù)等。

5）資產(chǎn)數(shù)據(jù) 硬件資產(chǎn)和信息資產(chǎn)，硬件資產(chǎn)包括資產(chǎn)安裝的操作系統(tǒng)類型，系統(tǒng)中運行的服務(wù)名稱、版本等信息，信息資產(chǎn)主要包括網(wǎng)站及信息系統(tǒng)，包括資產(chǎn)的所屬部門、所屬主機等信息。

6）漏洞及威脅情報數(shù)據(jù) 各類基礎(chǔ)架構(gòu)和應(yīng)用程序的漏洞信息，提供完整的漏洞修復(fù)建議及方法，包含但不限于打補丁、修改配置、嚴(yán)格的訪問控制措施等。威脅情報信息來源于社會以及行業(yè)內(nèi)的安全威脅情報，給校園相應(yīng)部門提供威脅預(yù)警、提早進行防范。

3.2數(shù)據(jù)抽取與標(biāo)準(zhǔn)化層

安全中臺中的數(shù)據(jù)來源廣泛，并且數(shù)據(jù)字段定義、數(shù)據(jù)類型等不盡相同，采集安全數(shù)據(jù)并在存儲該類數(shù)據(jù)之前對數(shù)據(jù)進行標(biāo)準(zhǔn)化對于提高后期數(shù)據(jù)使用效率具有很大的意義。

4 技術(shù)方案

4.1安全中臺數(shù)據(jù)存儲方案

安全中臺的數(shù)據(jù)存儲方案主要根據(jù)網(wǎng)絡(luò)安全數(shù)據(jù)異構(gòu)數(shù)據(jù)源分為：結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)、時序數(shù)據(jù)等。

結(jié)構(gòu)化數(shù)據(jù)存儲的選擇，根據(jù)數(shù)據(jù)量大小分為基于列存儲和基于行存儲的數(shù)據(jù)。基于行的存儲采用開源Mysql集群高可用方式部署（圖3），可以實現(xiàn)數(shù)據(jù)讀寫分離。

非結(jié)構(gòu)化數(shù)據(jù)的存儲，根據(jù)數(shù)據(jù)中臺存在實時插入、更新和查詢的功能需求，同時在實際使用過程中實時數(shù)據(jù)存儲所需的復(fù)制及高度伸縮性。選擇使用MongoDB，該非結(jié)構(gòu)化數(shù)據(jù)庫系統(tǒng)使用C++語言編寫，在系統(tǒng)負(fù)載較高時，可以通過添加更多的節(jié)點來保證服務(wù)器的性能。根據(jù)網(wǎng)絡(luò)安全事件數(shù)據(jù)一次寫入、多次讀取的特征，大數(shù)據(jù)存儲平臺采用HDFS（HadoopDistributedFileSystem）文件系統(tǒng)。Hadoop是一個開源的分布式存儲和分布式計算平臺，HDFS分布式文件系統(tǒng)能夠存儲海量的數(shù)據(jù)，MapReduce并行處理框架可以對計算任務(wù)進行分解和調(diào)度，不依賴于高端硬件，使用校園淘汰的硬件服務(wù)器即可以完成擴展，提高資源利用效率、降低成本。Hadoop具有成熟的生態(tài)圈，具有很多的開源工具，降低使用門檻、提高適用性。

4.2數(shù)據(jù)采集同步方案

離線數(shù)據(jù)采集采用開源的DataX工具，DataX是阿里巴巴集團開源的離線數(shù)據(jù)同步工具，可以實現(xiàn)MySQL、Oracle、SqlServer、Postgrel、HDFS、Hive、HBase等各種異構(gòu)數(shù)據(jù)源之間高效的數(shù)據(jù)同步[5-7]。DataX將傳統(tǒng)復(fù)雜的網(wǎng)狀同步鏈路轉(zhuǎn)變成星型數(shù)據(jù)鏈路，作為中間傳輸載體來連接各種數(shù)據(jù)源。對接新的數(shù)據(jù)源時，僅需要將數(shù)據(jù)源對接到DataX即可實現(xiàn)數(shù)據(jù)源的同步。DataX可以根據(jù)實際業(yè)務(wù)需求對數(shù)據(jù)的同步過程中按照一定的規(guī)則進行清洗、過濾以及轉(zhuǎn)換，提高數(shù)據(jù)準(zhǔn)確度和數(shù)據(jù)質(zhì)量。

實時數(shù)據(jù)采集采用Logstash組件，Logstash是一款分布式數(shù)據(jù)收集引擎，可以實時采集Web日志、安全設(shè)備產(chǎn)生的日志。根據(jù)不同的數(shù)據(jù)來源選擇Logstash中模塊化的Input組件，動態(tài)的讀取源數(shù)據(jù)，Output組件可以根據(jù)數(shù)據(jù)源的類型保存至相應(yīng)的數(shù)據(jù)庫或者文件系統(tǒng)[8]。

4.3數(shù)據(jù)服務(wù)API方案

數(shù)據(jù)服務(wù)API采用一款基于OpenResty編寫的高可用、易擴展的KongAPI網(wǎng)關(guān)[9]。Kong可以通過插件擴展已有的功能，插件在API請求響應(yīng)的生命周期中執(zhí)行，插件包含了HTTP基本認(rèn)證、負(fù)載均衡、CORS、API請求限流、請求轉(zhuǎn)發(fā)、CAS認(rèn)證等功能。基于Kong可擴展性的特點，通過自行開發(fā)插件可以實現(xiàn)對敏感的安全數(shù)據(jù)加解密、數(shù)據(jù)模糊化、數(shù)據(jù)脫敏等?；贏PI的方案可以將基于安全數(shù)據(jù)中臺的業(yè)務(wù)與安全設(shè)備等之間的直接耦合和依賴性隔離開，實現(xiàn)安全設(shè)備獨立更新、升級的同時不影響其他設(shè)備調(diào)用數(shù)據(jù)。統(tǒng)一通過API的方式能夠保證數(shù)據(jù)的一致性、實現(xiàn)統(tǒng)一監(jiān)控和流量管理等功能。

5結(jié)束語

基于數(shù)據(jù)中臺的校園信息安全方案可以解決多個數(shù)據(jù)源數(shù)據(jù)不一致的問題。從日常運維角度，通過統(tǒng)一集中的管控平臺可以檢查信息系統(tǒng)DNS域名解析與信息系統(tǒng)的物理服務(wù)器是否一致，反向代理轉(zhuǎn)發(fā)的HTTP請求是否準(zhǔn)確的達到相應(yīng)的應(yīng)用系統(tǒng)等。從網(wǎng)絡(luò)安全角度，通過集中的數(shù)據(jù)平臺可以信息系統(tǒng)在漏洞掃描平臺中是否存在漏洞，根據(jù)信息系統(tǒng)的健壯性采取相應(yīng)的安全措施，包括限制校內(nèi)訪問、停止DNS解析、關(guān)停系統(tǒng)等，針對校外頻繁攻擊校內(nèi)信息系統(tǒng)的惡意IP地址，從反向代理層或者網(wǎng)絡(luò)層進行封鎖。從用戶安全角度，當(dāng)用戶在極短的時間內(nèi)登錄不同的信息系統(tǒng)、從不同的地址位置登錄或存在惡意攻擊校園網(wǎng)絡(luò)的行為，及時地采取短信通知、鎖定用戶賬號等措施保護用戶個人信息，保護校內(nèi)信息系統(tǒng)能夠正常地提供對外服務(wù)。從校園管理人員角度出發(fā)，可以實現(xiàn)在統(tǒng)一的管控平臺中從整體的角度把握校園網(wǎng)絡(luò)的安全態(tài)勢。各種安全設(shè)備之間可以通過調(diào)用安全中臺的API來實現(xiàn)協(xié)同保護校園網(wǎng)絡(luò)的安全，完成設(shè)備之間的信息交互及信息共享。

參考文獻：

[1] 李有增，周全，釗劍.關(guān)于高校智慧校園建設(shè)的若干思考[J].中國電化教育，2018（1）：112-117.

[2] 史昕.中臺技術(shù)在高校智慧校園中的應(yīng)用[J].計算機產(chǎn)品與流通，2020（3）：198.

[3] 宋健偉.企業(yè)信息化管理中臺系統(tǒng)建設(shè)研究[J].電腦知識與技術(shù)，2020，16（32）：247-248.

[4] 劉蓓，祿凱，程浩，等.基于異構(gòu)數(shù)據(jù)融合的政務(wù)網(wǎng)絡(luò)安全監(jiān)測平臺設(shè)計與實現(xiàn)[J].信息安全研究，2020，6（6）：491-498.

[5] GitHub-alibaba/DataX[EB/OL]. [2021/3/2]. https：//github.com/alibaba/DataX.

[6] 田翠姣，蘇義武.DataX工具在新冠肺炎數(shù)據(jù)上報中的應(yīng)用[J].計算機技術(shù)與發(fā)展，2020，30（11）：216-220.

[7] 陳宇收.基于Datax的數(shù)據(jù)同步方案研究[J].電腦編程技巧與維護，2018（9）：97-98，131.

[8] 謝磊，張冰，楊猛.基于ELK的日志分析系統(tǒng)研究與實踐[J].科技經(jīng)濟市場，2020（10）：17-18.

[9] 張虎，張秋萍.基于KONG的API集成系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機技術(shù)與發(fā)展，2019，29（8）：102-106.

【通聯(lián)編輯：代影】