基于大數(shù)據(jù)技術(shù)的智慧校園安全管控平臺設(shè)計

何 強

（長沙學(xué)院 湖南 長沙 410022）

0 引言

國內(nèi)校園網(wǎng)絡(luò)安全體系主要是防御，受信息保障技術(shù)架構(gòu)（information assurance technical framework， IATF）、保護(hù)檢測響應(yīng)（protection detection response， PDR）及動態(tài)信息安全理論模型（policy protection detection response，P2DR）等模型制約，之前學(xué)校網(wǎng)絡(luò)的安全系統(tǒng)主要是建立在對網(wǎng)絡(luò)進(jìn)行實時監(jiān)控的基礎(chǔ)上，對網(wǎng)絡(luò)中的攻擊展開有效防范［1］。 近年來，網(wǎng)絡(luò)襲擊事件頻發(fā)，當(dāng)前的安全防范系統(tǒng)已不能防范所有網(wǎng)絡(luò)襲擊。 國外很多國家創(chuàng)建有網(wǎng)絡(luò)安全防御體系，充分發(fā)揮防御、探測技術(shù)的優(yōu)勢，依舊無法徹底抵御網(wǎng)絡(luò)攻擊。 隨著大數(shù)據(jù)與云計算的興起，教育行業(yè)逐漸呈現(xiàn)信息化、國際化、智能化特征，智慧校園已成為各教育機(jī)構(gòu)建設(shè)的重點內(nèi)容。 智慧校園建設(shè)工程比較復(fù)雜，需要融合應(yīng)用大量數(shù)據(jù)信息，所以建設(shè)難度較大。大數(shù)據(jù)技術(shù)可高效處理海量的數(shù)據(jù)信息，尤其是在智慧校園安全管控平臺建設(shè)中應(yīng)用大數(shù)據(jù)技術(shù)，可構(gòu)建智慧校園安全防護(hù)機(jī)制，為校園安全提供保障。

1 大數(shù)據(jù)技術(shù)概述

信息化時代背景下，大數(shù)據(jù)技術(shù)極大地改變了人們的生活方式。 目前，大數(shù)據(jù)技術(shù)包括3 類：一是大數(shù)據(jù)分析，即通過現(xiàn)代技術(shù)收集并深層挖掘計算數(shù)據(jù)，從數(shù)據(jù)中找到有助于人們工作或生活的信息，充分發(fā)揮以上數(shù)據(jù)的功能；二是云數(shù)據(jù)庫技術(shù)，包括分布式存儲、關(guān)系數(shù)據(jù)庫、鍵值存儲（key-value， K／V）；三是內(nèi)存數(shù)據(jù)庫，它為磁盤數(shù)據(jù)管理的一種優(yōu)化載體，可在內(nèi)存中直接存儲數(shù)據(jù)信息。

2 校園網(wǎng)絡(luò)安全隱患

互聯(lián)網(wǎng)時代背景下，校園對網(wǎng)絡(luò)的依賴度逐漸增加，各高校紛紛利用人工智能（artificial intelligence， AI）、大數(shù)據(jù)等技術(shù)構(gòu)建校園網(wǎng)絡(luò)平臺，如基于AI 的平安校園、基于人臉識別的行為管理系統(tǒng)、基于物聯(lián)網(wǎng)的綠色校園等，但隨著網(wǎng)絡(luò)、數(shù)據(jù)與設(shè)備的集中化，校園網(wǎng)絡(luò)安全也會面臨很多挑戰(zhàn)和安全隱患。 智慧校園建設(shè)目標(biāo)架構(gòu)如圖1所示。

圖1 智慧校園建設(shè)目標(biāo)

2.1 校園網(wǎng)絡(luò)安全管理隱患

智慧校園建設(shè)普遍存在重應(yīng)用輕安全、重建設(shè)輕管理問題。 運維成本高、人員編制不完善等問題，會導(dǎo)致智慧校園管控服務(wù)、管理機(jī)制、運維流程不符合規(guī)范，由此極易引發(fā)網(wǎng)絡(luò)安全管理隱患。 如果沒有客觀評估智慧校園網(wǎng)絡(luò)安全，技術(shù)對策滯后，難以防控應(yīng)用層潛在的安全威脅，則很難滿足網(wǎng)絡(luò)安全管理需求。

2.2 校園網(wǎng)絡(luò)設(shè)備隱患

一是，建設(shè)智慧校園必然會使用到服務(wù)器、交換機(jī)、存儲器等諸多網(wǎng)絡(luò)設(shè)備。 網(wǎng)絡(luò)設(shè)備共享度與校園業(yè)務(wù)依賴設(shè)備的程度呈正相關(guān)性，但因資金問題，部分高校并未創(chuàng)建容災(zāi)機(jī)制，由此就導(dǎo)致校園網(wǎng)絡(luò)設(shè)備故障風(fēng)險的增加［2］。 二是，智慧校園設(shè)置感知層，通常高層面所安裝設(shè)備和節(jié)點都比較多，部署分散，會加大感知層設(shè)備安全管控難度。

2.3 數(shù)據(jù)存儲傳輸安全隱患

智慧校園大數(shù)據(jù)中心可高度共享數(shù)據(jù)信息，便于學(xué)校師生應(yīng)用數(shù)據(jù)開展教學(xué)活動，而隨之而來的是，大數(shù)據(jù)中心會成為很多黑客的重點攻擊對象。 與此同時，師生共享大數(shù)據(jù)下的信息會暴露個人隱私，雖然數(shù)據(jù)共享有助于師生搜索查詢資料或信息，但也會提高信息被竊取的可能性。

3 智慧校園網(wǎng)絡(luò)安全體系設(shè)計

3.1 安全風(fēng)險分析

現(xiàn)階段，高校智慧校園建設(shè)體系包括展現(xiàn)層、智慧應(yīng)用層、平臺層以及基礎(chǔ)設(shè)施層，如果要全面維護(hù)智慧校園，重點是根據(jù)智慧校園特性，對不同層面的安全問題展開逐一分析。

一是基礎(chǔ)設(shè)施層。 該層內(nèi)容包括云存儲、無線網(wǎng)絡(luò)、物聯(lián)網(wǎng)以及有線網(wǎng)絡(luò)等，根據(jù)基礎(chǔ)設(shè)施層特性，其安全問題主要為網(wǎng)絡(luò)邊界安全、服務(wù)器虛擬化安全等問題。

二是平臺層。 平臺層是智慧校園系統(tǒng)的重點，具體內(nèi)容包括應(yīng)用引擎、數(shù)據(jù)中心、認(rèn)證平臺和開發(fā)平臺等，能夠?qū)χ腔坌@提供支撐作用，所以平臺層極易存在平臺防御、代碼安全等問題。

三是應(yīng)用層。 應(yīng)用層歸屬智慧校園應(yīng)用系統(tǒng)，將智慧化應(yīng)用服務(wù)提供給各級用戶，此為用戶體驗感最強的一個環(huán)節(jié)，且應(yīng)用層直面網(wǎng)絡(luò)用戶，多數(shù)應(yīng)用和服務(wù)都采用微服務(wù)或微應(yīng)用架構(gòu)，且各微服務(wù)與微應(yīng)用均能獨立提供服務(wù)，因此，智慧應(yīng)用層的應(yīng)用程序、代碼、用戶行為和用戶身份等都是安全的。

四是展現(xiàn)層。 智慧校園的表現(xiàn)層通常是借助Web 系統(tǒng)和終端設(shè)備完成信息的輸入和輸出，該層的安全需要重點關(guān)注的問題有：終端設(shè)備的安全、新媒體的安全和Web系統(tǒng)的安全。 例如，可借助智慧校園網(wǎng)絡(luò)安全體系中的表現(xiàn)層實現(xiàn)手機(jī)的遠(yuǎn)距離訪問等。

3.2 基于智慧校園的網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建思想

高校智慧校園網(wǎng)絡(luò)安全體系的設(shè)計思想是，以智慧校園建設(shè)體系的防御目標(biāo)為基礎(chǔ)，嚴(yán)格遵循動態(tài)兼容、安全可靠、先進(jìn)標(biāo)準(zhǔn)并存的原則。 將創(chuàng)新、多種保護(hù)和方便管理等原則結(jié)合起來，以數(shù)據(jù)安全為重點，創(chuàng)建“云端+便利”的網(wǎng)絡(luò)安全生態(tài)體系，可有效增強高校智慧校園安全檢測能力、風(fēng)險識別能力、安全響應(yīng)能力以及安全防御能力等，能夠?qū)崿F(xiàn)風(fēng)險可視化、防御自動化目標(biāo)，為校園網(wǎng)絡(luò)業(yè)務(wù)提供安全保障。

一是基于數(shù)據(jù)的設(shè)計理念。 以往網(wǎng)絡(luò)安全防御，多是對某時刻的外界攻擊行為進(jìn)行監(jiān)測，具有較大片面性，基于數(shù)據(jù)的設(shè)計理念，可監(jiān)測大量微小數(shù)據(jù)，并記錄整個監(jiān)測過程，同時展開反向分析，從而恢復(fù)出該設(shè)計的完整形態(tài)。

二是橫向和縱向的聯(lián)合防守思想。 縱坐標(biāo)為智慧校園硬件體系，創(chuàng)建自虛擬化安全至數(shù)據(jù)層、網(wǎng)絡(luò)層的多層安全防護(hù)。 橫坐標(biāo)為智慧校園商業(yè)應(yīng)用，創(chuàng)建管理策略、賬號安全、運作和文件權(quán)限等協(xié)作式的安全保護(hù)。 面向外部，建立內(nèi)部網(wǎng)絡(luò)安全保護(hù)、邊界安全保護(hù)、終端安全保護(hù)系統(tǒng)。

三是內(nèi)部和外部的經(jīng)營管理。 對內(nèi)部應(yīng)用改變所造成的安全威脅進(jìn)行了有效的回應(yīng)，針對所出現(xiàn)的缺陷，建立了一個全生命周期的缺陷管理系統(tǒng)，對外部累計多樣化所造成的威脅進(jìn)行了有效的回應(yīng)，根據(jù)威脅情報的感知、響應(yīng)以及恢復(fù)過程，更改傳統(tǒng)的防御模式，創(chuàng)建一套可以自主預(yù)警、感知的網(wǎng)絡(luò)防御系統(tǒng)。

四是技術(shù)和管理的融合理念。 創(chuàng)建保安責(zé)任單位，由專門的保安作業(yè)，進(jìn)一步優(yōu)化資訊保安制度，并進(jìn)行保安訓(xùn)練；做好對安全體系實施的監(jiān)管工作，健全獎勵和懲罰體系，將其納入對企業(yè)的評估范圍。

4 基于大數(shù)據(jù)設(shè)計智慧校園安全管控平臺

4.1 安全管控平臺框架

根據(jù)智慧校園安全平臺的特性，在安全管控平臺安裝感知器，同時將流探針設(shè)于關(guān)鍵網(wǎng)絡(luò)口，采用數(shù)據(jù)采集器實時采集感知器、流探針中的相關(guān)數(shù)據(jù)信息，從而為感知智慧校園安全狀態(tài)奠定數(shù)據(jù)基礎(chǔ)，以精準(zhǔn)預(yù)測智慧校園潛在的安全風(fēng)險并進(jìn)行規(guī)避，智慧校園安全管控平臺架構(gòu)如圖2 所示。

圖2 智慧校園安全管控平臺架構(gòu)

4.2 基礎(chǔ)設(shè)施層安全設(shè)計

安全管控平臺的基礎(chǔ)設(shè)施層包括互聯(lián)網(wǎng)接入、計算中心等，此為智慧校園的最底層，也是首道防線，通常存在網(wǎng)絡(luò)邊界安全、服務(wù)器虛擬化安全等隱患。 大數(shù)據(jù)時代下，必須主動防御多層安全防線，才能抵御安全風(fēng)險。

一是服務(wù)器安全設(shè)計。 智慧校園是通過在云計算中心存儲虛擬化的物理服務(wù)器資源，借助動態(tài)資源計算、存儲平臺，達(dá)到集中化管理資源目標(biāo)。 服務(wù)器安全設(shè)計中：首先，要充分發(fā)揮病毒查殺功能，一般攻擊者會在運行情況下入侵虛擬機(jī)，同時向虛擬機(jī)內(nèi)填充木馬等病毒，由此就要做好病毒云查殺、本地查殺等設(shè)計工作，達(dá)到虛擬機(jī)、服務(wù)器掃描的緩存與共享目標(biāo)；其次，物理主機(jī)安全防御關(guān)鍵在于根據(jù)Windows 系統(tǒng)設(shè)計漏洞，由智慧安全大腦對系統(tǒng)漏洞進(jìn)行智能化感知，并做出統(tǒng)一更新與管理［3］。

二是邊界安全設(shè)計。 作為智慧校園安全網(wǎng)絡(luò)的首道防線，邊界安全能避免校園資源受外網(wǎng)攻擊。 邊界安全設(shè)計思路：（1）創(chuàng)建多層次防護(hù)，盡可能延長攻擊路線和時間，使攻擊者的異常行為暴露出來，由此收集到更多攻擊數(shù)據(jù)，借助大數(shù)據(jù)對網(wǎng)絡(luò)攻擊威脅進(jìn)行預(yù)測，最后主動出擊；（2）設(shè)計用戶訪問和數(shù)據(jù)進(jìn)出控制模式，將威脅感知模塊及時安裝于各個邏輯邊界，以實現(xiàn)立體化檢測，檢測分析用戶訪問請求與進(jìn)出數(shù)據(jù)。

4.3 基礎(chǔ)平臺層安全設(shè)計

智慧校園系統(tǒng)中，基礎(chǔ)平臺層為其核心層，例如平臺層的引擎主板能夠高效連接相關(guān)應(yīng)用，其內(nèi)容包括開發(fā)平臺、數(shù)據(jù)中心、認(rèn)證平臺和應(yīng)用引擎等。 基礎(chǔ)平臺層則為智慧校園系統(tǒng)關(guān)鍵代碼，有效規(guī)避平臺軟件代碼漏洞。 因此，智慧校園的核心問題就是平臺層的密碼安全和防護(hù)能力。 為保證該層的安全，有必要設(shè)計代碼安全智能管控平臺，確保代碼安全。 （1）代碼安全自檢模式，智能代碼安全管控平臺對各軟件、接口代碼等進(jìn)行實時監(jiān)測，源代碼一旦被改變，會即刻發(fā)出預(yù)警信號。 （2）加固源代碼安全［4］。 代碼安全管控平臺聯(lián)合第三方加固軟件，對代碼中存在的漏洞與安全風(fēng)險進(jìn)行檢測，并對代碼做出加固處理。

4.4 應(yīng)用層安全設(shè)計

4.4.1 設(shè)計智能訪問控制平臺

智慧校園建設(shè)中，為便于用戶訪問、解決賬戶繁多的問題，會采用身份認(rèn)證系統(tǒng)，同時也增加了使用者的安全性，以及對使用者的權(quán)限控制。 而一個智能化的接入控制系統(tǒng)，有助于解決應(yīng)用程序安全、賬戶安全和用戶權(quán)限等問題。 （1）統(tǒng)一的進(jìn)口驗證。 對每個系統(tǒng)的賬戶進(jìn)行統(tǒng)一回收，并進(jìn)行統(tǒng)一管理，從而達(dá)到對申請進(jìn)行統(tǒng)一的進(jìn)口驗證。 （2）對用戶進(jìn)行精細(xì)的存取授權(quán)管理。 將每個系統(tǒng)的接入權(quán)都回收，對申請的授權(quán)進(jìn)行了統(tǒng)一的管理，并建立了一個接入控制清單，實現(xiàn)了對細(xì)粒度接入的控制。 （3）實施步驟。 在收到該接入要求的信息之后，該智能認(rèn)證模塊將其發(fā)送給用戶，一般會自動驗證用戶身份信息，若驗證通過，會通過權(quán)限管理模塊對其應(yīng)用信息進(jìn)行驗證，雖然賬戶可能會有超過2 個的應(yīng)用訪問權(quán)限，但若未申請訪問，就沒有訪問的權(quán)利。

4.4.2 智能行為安全管理設(shè)計

該平臺功能主要為智能分析、數(shù)據(jù)采集、智能預(yù)警等，對用戶網(wǎng)絡(luò)行為、互聯(lián)網(wǎng)設(shè)備和系統(tǒng)日志等信息進(jìn)行有效采集，在大數(shù)據(jù)分析過程中，充分發(fā)揮智慧校園安全控制、預(yù)警以及溯源等諸多功能。

4.5 展現(xiàn)層安全設(shè)計

作為智慧校園安全管控平臺應(yīng)用入口，展現(xiàn)層終端設(shè)備種類豐富、數(shù)量眾多，由此會導(dǎo)致巨大的智慧校園網(wǎng)絡(luò)安全隱患，所以展現(xiàn)層需要有效設(shè)計終端設(shè)備、Web 網(wǎng)頁的安全防護(hù)工作［5］。

首先，設(shè)計智能安全防護(hù)終端。 根據(jù)蜜罐原理，對各層終端安全防護(hù)模式進(jìn)行設(shè)計：首層為引誘層，把空閑網(wǎng)際協(xié)議（internet protocol， IP）地址分配至蜜罐服務(wù)平臺，該情況下的網(wǎng)絡(luò)攻擊者會在隔離網(wǎng)蜜罐中定位，可對IP進(jìn)行有效保護(hù)，避免黑客入侵，同時還能實時采集攻擊者的個人信息；次層為動態(tài)虛擬層，如果攻擊者被檢測出不是目標(biāo)IP 地址，且檢測出攻擊者在更改攻擊路線，此時會通過捕獲攻擊者日志，切換IP 至熱備IP，構(gòu)建真實IP 為虛擬環(huán)境，以捕獲攻擊者行為，根據(jù)實際情況構(gòu)建多層次，以有效捕殺網(wǎng)絡(luò)攻擊者。

其次，智能Web 的安全防護(hù)設(shè)計。 目前智慧校園所用系統(tǒng)主要為瀏覽器／服務(wù)器（browser／server， B／S）結(jié)構(gòu)，借助Web 網(wǎng)頁和用戶直接交互，Web 頁面同樣為被攻擊的第一目標(biāo)，經(jīng)常會產(chǎn)生頁面篡改、數(shù)據(jù)泄露、掛黑鏈及錯誤敏感內(nèi)容等問題。 在此基礎(chǔ)上，通過對現(xiàn)有Web 攻擊的研究，建立面向公共云的Web 安全保護(hù)系統(tǒng)，系統(tǒng)主要包括智能監(jiān)控、智能分析和智能處理3 個部分。 Web 監(jiān)控采用7×24 h 的監(jiān)控方式，對網(wǎng)站的內(nèi)容進(jìn)行監(jiān)控，如有無被篡改、外鏈或者敏感照片等，對可能存在的問題進(jìn)行分析，并匹配原始內(nèi)容模板，最后形成安全監(jiān)控報告。 通過第三方云計算數(shù)據(jù)資源庫，實時分析網(wǎng)站監(jiān)控報告，第一時間給出處理方案。

5 結(jié)語

綜上所述，為符合智慧校園安全建設(shè)與應(yīng)用需求，在智慧校園安全管理平臺中運用大數(shù)據(jù)技術(shù)，根據(jù)智慧校園安全防控平臺特征，對安全防護(hù)模式進(jìn)行有效設(shè)計，并將感知器裝于智慧校園各層面，采集系統(tǒng)、設(shè)備、用戶等行為數(shù)據(jù)，通過大數(shù)據(jù)展開數(shù)據(jù)信息的融合分析，及時解決智慧校園中的網(wǎng)絡(luò)風(fēng)險，全面感知校園安全情況，提高安全風(fēng)險告警速度，提升智慧校園安全問題處置能力，對智慧校園深入建設(shè)具有推動作用。