基于數(shù)字化校園的安全基線技術(shù)探析

黃侃

摘要：隨著《教育信息化2.0行動(dòng)計(jì)劃》的實(shí)施，數(shù)字化校園的建設(shè)必然會(huì)迎來(lái)一個(gè)大發(fā)展的時(shí)期。通過(guò)對(duì)安全基線技術(shù)的概念、組成和作用進(jìn)行梳理，并以方濱興院士提出的信息安全四個(gè)層次理論為基礎(chǔ)，研究安全基線技術(shù)在數(shù)字化校園中的應(yīng)用。

關(guān)鍵詞：數(shù)字化校園；安全基線；技術(shù)探析

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）26-0038-02

Abstract：With the implementation of The 2 action plan of educational informatization ， the construction of digital campus is bound to usher in a period of great development. By combing the concept， composition and function of the safety baseline technology， and Based on the four level theory of information security proposed by Fang bin Xing academician， the application of safety baseline technology in digital campus is studied.

Key words： digital campus； safety baseline； technical analysis

隨著信息技術(shù)的高度發(fā)展，信息技術(shù)逐漸已經(jīng)成為國(guó)家競(jìng)爭(zhēng)力重要體現(xiàn)，世界各國(guó)都在大力發(fā)展本國(guó)的信息技術(shù)，以提高國(guó)家的綜合國(guó)力。在教育領(lǐng)域，我國(guó)在2018年發(fā)布了《教育信息化2.0行動(dòng)計(jì)劃》，全面提高教育領(lǐng)域的信息化水平，在該行動(dòng)計(jì)劃中，明確提出要“促進(jìn)數(shù)字校園建設(shè)全面普及、推動(dòng)實(shí)現(xiàn)各級(jí)各類學(xué)校數(shù)字校園全覆蓋[1]”。可以預(yù)見(jiàn)，作為教育信息化重要內(nèi)容的數(shù)字化校園建設(shè)將步入一個(gè)快速發(fā)展和基本普及的時(shí)期。

1 研究的意義

數(shù)字化校園不是一個(gè)新的概念，有很多高校在多年前就已經(jīng)開(kāi)始在進(jìn)行數(shù)字化校園建設(shè)，長(zhǎng)期以來(lái)，由于數(shù)字化校園業(yè)務(wù)系統(tǒng)開(kāi)發(fā)水平的不同以及運(yùn)維管理人員技術(shù)水平參差不齊，數(shù)字化校園就一直備受信息安全問(wèn)題的困擾。隨著《教育信息化2.0行動(dòng)計(jì)劃》的推進(jìn)，數(shù)字化校園的快速發(fā)展，快速增長(zhǎng)的網(wǎng)絡(luò)設(shè)備、應(yīng)用服務(wù)及相關(guān)數(shù)據(jù)給高校帶來(lái)了信息安全管理上的巨大壓力，數(shù)字化校園的信息安全問(wèn)題必然日漸突出。以數(shù)字化校園作為基礎(chǔ)，開(kāi)展安全基線技術(shù)的研究，正當(dāng)其時(shí)。

1.1 研究基于數(shù)字化校園的安全基線技術(shù)有利于促進(jìn)教育信息化的安全發(fā)展

數(shù)字化校園的建設(shè)是高校教育信息化的核心，也是高校教育信息化的基礎(chǔ)平臺(tái)，其不僅僅為高校的教學(xué)科研提供技術(shù)支撐，也為高校的學(xué)生和高校的管理提供平臺(tái)服務(wù)?；跀?shù)字化校園開(kāi)展安全基線的研究，可以促進(jìn)數(shù)字化校園安全保障體系的建立，從而促進(jìn)高校教育信息化的安全發(fā)展。

1.2 安全基線研究是加強(qiáng)數(shù)字化校園信息安全管理工作的關(guān)鍵環(huán)節(jié)

隨著數(shù)字化校園建設(shè)的發(fā)展，規(guī)模和復(fù)雜度都不斷的在擴(kuò)大。如何針對(duì)復(fù)雜化的信息化環(huán)境，對(duì)威脅信息設(shè)備、信息內(nèi)容和信息系統(tǒng)等安全的漏洞、危險(xiǎn)進(jìn)行安全配置，補(bǔ)齊數(shù)字化校園系統(tǒng)的脆弱環(huán)節(jié)，是安全基線的研究?jī)?nèi)容。因此，安全基線的研究是加強(qiáng)數(shù)字化校園信息安全管理工作的關(guān)鍵環(huán)節(jié)。

1.3 有利于促進(jìn)信息安全技術(shù)的進(jìn)步

信息安全問(wèn)題一直是高校乃至社會(huì)長(zhǎng)期以來(lái)的困擾，開(kāi)展安全基線的研究，其結(jié)果必然會(huì)帶來(lái)新的信息安全技術(shù)和新的管理思路，為高校數(shù)字化校園和社會(huì)信息安全管理提供一種新的手段和新的方法，從而在一定程度上促進(jìn)信息安全技術(shù)的進(jìn)步。

2 安全基線技術(shù)梳理

2.1 安全基線的概念

從現(xiàn)有的研究來(lái)看，并沒(méi)有一個(gè)權(quán)威的組織能為安全基線給出一個(gè)標(biāo)準(zhǔn)的定義。根據(jù)信息行業(yè)比較公允看法，其被描述為：安全基線是一個(gè)業(yè)務(wù)系統(tǒng)的最小安全保證，即該業(yè)務(wù)系統(tǒng)最基本需要滿足的安全要求，構(gòu)造業(yè)務(wù)系統(tǒng)安全基線是系統(tǒng)安全工程的首要步驟，同時(shí)也是進(jìn)行安全評(píng)估、發(fā)現(xiàn)和解決業(yè)務(wù)系統(tǒng)安全問(wèn)題的先決條件[2]。

從描述可知，安全基線實(shí)際是信息系統(tǒng)最低安全配置的配置項(xiàng)及配置參數(shù)的集合。是從信息系統(tǒng)統(tǒng)一管理的目的出發(fā)，以保障信息系統(tǒng)最低安全要求，統(tǒng)一開(kāi)發(fā)的對(duì)信息系統(tǒng)各層面、各組成元素需要配置的配置項(xiàng)目和配置參數(shù)的要求。

2.2 安全基線的組成

安全基線的組成包括系統(tǒng)安全漏洞、系統(tǒng)安全配置和系統(tǒng)狀態(tài)檢查三部分。系統(tǒng)安全漏洞與系統(tǒng)、時(shí)間緊密相關(guān)，是硬件、協(xié)議和軟件等信息系統(tǒng)組成部分在設(shè)計(jì)和實(shí)現(xiàn)時(shí)無(wú)意中留下的缺陷，其隨著時(shí)間的推移有可能被修復(fù)；系統(tǒng)安全配置是為了使信息系統(tǒng)所包含的軟硬件達(dá)到某一程度的安全目標(biāo)所進(jìn)行的主動(dòng)設(shè)置，包含操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等軟硬件的配置；系統(tǒng)狀態(tài)檢查與用戶的具體需求相關(guān)，反映了各類的業(yè)務(wù)系統(tǒng)對(duì)信息系統(tǒng)安全配置的個(gè)性化需求，與業(yè)務(wù)系統(tǒng)相關(guān)，反映了信息系統(tǒng)對(duì)運(yùn)行狀態(tài)的安全要求。

2.3 安全基線的作用

安全基線是信息系統(tǒng)的最低安全配置，其作用有三個(gè)方面：①避免安全木桶的短板：一個(gè)系統(tǒng)的安全程度不在于其最安全的配置，而在于其是否存在安全的短板，統(tǒng)一開(kāi)發(fā)安全基線并部署，有助于減少安全短板；②規(guī)范用戶安全行為：在多用戶的共同使用的信息系統(tǒng)中，設(shè)置安全基線，有助于規(guī)范多用戶的安全配置，保障信息系統(tǒng)的最低安全；③便于安全核查：利用安全基線，有助于組織對(duì)信息系統(tǒng)的安全性進(jìn)行安全檢查。

3 基于數(shù)字化校園的安全基線技術(shù)應(yīng)用

針對(duì)數(shù)字化校園的信息安全，借鑒方濱興院士提出的信息安全四個(gè)層次理論：物理安全層、網(wǎng)絡(luò)安全層、數(shù)據(jù)安全層和內(nèi)容安全層[3]，將數(shù)字化校園的信息安全劃分為四層以對(duì)安全基線技術(shù)的應(yīng)用進(jìn)行探析。

3.1 物理安全層的安全基線應(yīng)用

3.1.1 設(shè)備容災(zāi)安全基線

針對(duì)可能出現(xiàn)的不可預(yù)測(cè)災(zāi)難性事件和后果，可設(shè)置設(shè)備容災(zāi)安全基線，設(shè)置物理設(shè)備支持雙機(jī)熱備份、遠(yuǎn)程備份、多機(jī)冗余等配置項(xiàng)的要求，提高物理設(shè)備備份及容災(zāi)能力。

3.1.2 設(shè)備防護(hù)安全基線

可對(duì)數(shù)字化校園機(jī)房的防塵、濕度及溫度的最低要求，不間斷電源的供電時(shí)間、信息系統(tǒng)硬件設(shè)備的防雷擊、防輻射等屬性設(shè)置安全基線，保障設(shè)備安全。

3.2 網(wǎng)絡(luò)安全層的安全基線應(yīng)用

3.2.1 安全漏洞安全基線

安全漏洞是數(shù)字化校園最容易出現(xiàn)的安全隱患，主要是由于系統(tǒng)用戶缺乏必要的安全常識(shí)，不注意定期更新和升級(jí)所造成，注入漏洞、緩沖區(qū)溢出漏洞、敏感數(shù)據(jù)泄露和認(rèn)證漏洞和會(huì)話管理攻擊漏洞等是最常見(jiàn)的安全漏洞。公共漏洞和暴露CVE（Common Vulnerabilities & Exposures），為每一個(gè)公共的安全漏洞做了相關(guān)定義，并提供了修補(bǔ)方案。安全漏洞的安全基線可依據(jù)CVE進(jìn)行標(biāo)準(zhǔn)化設(shè)置。

3.2.2 網(wǎng)絡(luò)設(shè)備安全基線

數(shù)字化校園的基礎(chǔ)是其覆蓋高校校園的以太網(wǎng)，網(wǎng)絡(luò)設(shè)備是其核心和關(guān)鍵，有研究表明，信息安全的很大原因在于其網(wǎng)絡(luò)設(shè)備的配置不當(dāng)。網(wǎng)絡(luò)設(shè)備的安全基線可針對(duì)數(shù)字化校園當(dāng)中的路由器、交換機(jī)、服務(wù)器，以主流品牌如HUAWEI、RUIJIE、CISCO等為樣本，對(duì)認(rèn)證技術(shù)、服務(wù)優(yōu)化、訪問(wèn)控制等做配置項(xiàng)和配置參數(shù)的開(kāi)發(fā)。

3.2.3 安全設(shè)備安全基線

網(wǎng)絡(luò)安全設(shè)備是數(shù)字化校園網(wǎng)絡(luò)安全的核心保證，目前數(shù)字化校園的網(wǎng)絡(luò)安全設(shè)備以防火墻、入侵檢測(cè)防御系統(tǒng)和病毒防護(hù)系統(tǒng)為主。安全設(shè)備安全基線可以基于上述設(shè)備對(duì)登陸方式（SSH或者HTTPS）、HTTP監(jiān)聽(tīng)端口號(hào)和防火墻安全選項(xiàng)（SYN Attack、ICMP Flood、UDP Flood）等做配置項(xiàng)和配置參數(shù)開(kāi)發(fā)。

3.2.4 操作系統(tǒng)安全基線

數(shù)字化校園中的網(wǎng)絡(luò)操作系統(tǒng)以Windows、Linux和Unix為主，可以從操作系統(tǒng)的賬號(hào)和口令、日志和審計(jì)、訪問(wèn)權(quán)限控制、安全域設(shè)置、服務(wù)優(yōu)化、補(bǔ)丁管理等幾個(gè)方面來(lái)開(kāi)發(fā)其安全基線。

3.2.5 應(yīng)用系統(tǒng)安全基線

應(yīng)用系統(tǒng)安全基線屬于安全基線技術(shù)系統(tǒng)狀態(tài)檢查的內(nèi)容，主要針對(duì)數(shù)字化校園中日益龐大的各類教學(xué)、科研、管理和學(xué)生生活等應(yīng)用系統(tǒng)，應(yīng)用安全基線來(lái)定義各類應(yīng)用系統(tǒng)統(tǒng)一遵守的基本安全準(zhǔn)則，在應(yīng)用系統(tǒng)部署、系統(tǒng)設(shè)置等方面設(shè)置安全配置項(xiàng)。

3.3 數(shù)據(jù)安全層的安全基線應(yīng)用

3.3.1 數(shù)字簽名安全基線

數(shù)字化校園中引入數(shù)字簽名技術(shù)，能夠確保信息的不可偽造性和不可抵賴性， 提高了數(shù)字化校園的數(shù)據(jù)安全性[4]。數(shù)字簽名安全基線可以通過(guò)設(shè)置單人簽名、門(mén)限簽名、多級(jí)簽名和代理簽名等數(shù)字簽名組合策略的來(lái)進(jìn)行開(kāi)發(fā)。

3.3.2 認(rèn)證技術(shù)安全基線

目前國(guó)內(nèi)高校的數(shù)字化校園基本都具有了統(tǒng)一身份認(rèn)證的功能，設(shè)置認(rèn)證技術(shù)安全基線是保證用戶數(shù)據(jù)安全的重點(diǎn)。認(rèn)證技術(shù)的安全基線包括用戶賬號(hào)策略、用戶密碼策略和多用戶共享賬號(hào)的策略等。

3.3.3 數(shù)據(jù)加密安全基線

數(shù)據(jù)加密安全基線是數(shù)字化校園用戶數(shù)據(jù)安全的另一個(gè)重要保障。數(shù)據(jù)加密安全基線可以從操作系統(tǒng)的磁盤(pán)加密策略和網(wǎng)絡(luò)信息傳輸?shù)募用軈f(xié)議配置策略等方面來(lái)進(jìn)行開(kāi)發(fā)。

3.3.4 日志記錄安全基線

數(shù)據(jù)安全的另一個(gè)保障措施在于其工作日志的記錄，對(duì)工作日志進(jìn)行記錄和審計(jì)可以在數(shù)據(jù)出現(xiàn)災(zāi)難時(shí)提供數(shù)據(jù)恢復(fù)、應(yīng)急響應(yīng)和問(wèn)題追蹤定位等提供依據(jù)。日志記錄安全基線可以包含日志信息選擇、日志保存時(shí)間、日志文件保存位置、日志文件訪問(wèn)權(quán)限等選項(xiàng)。

3.4 內(nèi)容安全層的安全基線應(yīng)用

3.4.1 信息過(guò)濾安全基線

高校數(shù)字化校園，主要的服務(wù)對(duì)象為涉世未深、缺乏控制能力和辨別是非的能力的學(xué)生，因此，信息過(guò)濾也應(yīng)該是其信息安全的一項(xiàng)重要內(nèi)容。其一要能過(guò)濾掉暴力黃色內(nèi)容的信息，二是要根據(jù)管理的要求，對(duì)部分游戲、娛樂(lè)等內(nèi)容信息進(jìn)行適度的屏蔽。安全基線可在限制可登錄的訪問(wèn)地址、流量控制等方面設(shè)置必要的參數(shù)。

3.4.2 隱私保護(hù)安全基線

隱私保護(hù)在近年來(lái)的網(wǎng)絡(luò)安全管理中越來(lái)越受到重視，高校數(shù)字化校園的隱私保護(hù)安全基線的內(nèi)容可以包含系統(tǒng)終端隱私選項(xiàng)的配置（操作系統(tǒng)、瀏覽器等）、服務(wù)器端訪問(wèn)記錄的保存配置和訪問(wèn)權(quán)限等。

3.4.3 輿情監(jiān)測(cè)安全基線

輿情監(jiān)測(cè)是高校數(shù)字化校園管理的一個(gè)重要工作，目前國(guó)家在網(wǎng)絡(luò)輿情方面的原則是“誰(shuí)使用，誰(shuí)負(fù)責(zé)，誰(shuí)管理，誰(shuí)負(fù)責(zé)”。設(shè)置輿情監(jiān)測(cè)安全基線，是對(duì)數(shù)字化校園內(nèi)容安全層的安全底線。

4 結(jié)束語(yǔ)

通過(guò)對(duì)基于數(shù)字化校園的安全基線技術(shù)進(jìn)行探析，在方濱興院士提出的信息安全四個(gè)層次對(duì)數(shù)字化校園的安全基線進(jìn)行了系統(tǒng)分析，為教育信息化2.0的實(shí)施在信息安全保障提供了一種新的思路和新的技術(shù)。

參考文獻(xiàn)：

[1] 中華人民共和國(guó)教育部.教育部關(guān)于印發(fā)教育信息化2.0行動(dòng)計(jì)劃的通知[Z].教技[2018]6號(hào).

[2] 桂永宏.業(yè)務(wù)系統(tǒng)安全基線的研究及應(yīng)用[J].計(jì)算機(jī)安全，2011（10）：23-27.

[3] 方濱興，殷麗華.關(guān)于信息安全定義的研究[J].信息網(wǎng)絡(luò)安全，2008（01）：8-10.

[4] 江林升，朱學(xué)芳.基于數(shù)字簽名技術(shù)的數(shù)字化校園數(shù)據(jù)安全策略[J].現(xiàn)代情報(bào)，2011，31（01）：59-62

[通聯(lián)編輯：光文玲]