試論新技術(shù)融合下的校園網(wǎng)絡(luò)安全防御

杜駿震 常松麗

(山西開放大學(xué),山西 太原 030027)

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新型技術(shù)在校園網(wǎng)的融合應(yīng)用，校園網(wǎng)面臨的網(wǎng)絡(luò)信息安全問題日益嚴(yán)重。針對新技術(shù)融合下的校園網(wǎng)絡(luò)的安全保護是用戶極為關(guān)注的焦點。從技術(shù)應(yīng)用層面上，新技術(shù)融合下的高校校園網(wǎng)絡(luò)的安全防御應(yīng)在滿足網(wǎng)絡(luò)安全等級保護2.0安全通用要求的基礎(chǔ)上，通過無線接入點管控、邊界防護、訪問控制、入侵防御、移動終端管控、移動應(yīng)用管控、云邊界的安全防護、云計算環(huán)境的安全防護、云安全控制平臺、物聯(lián)網(wǎng)的感知層、網(wǎng)絡(luò)層和應(yīng)用層保護等，實現(xiàn)新技術(shù)融合環(huán)境下的校園網(wǎng)絡(luò)擴展安全保護。

一、移動網(wǎng)絡(luò)的安全防護策略

校園無線網(wǎng)絡(luò)的開放性、移動性和動態(tài)性使得無線網(wǎng)絡(luò)相比有線網(wǎng)絡(luò)面臨更高的安全風(fēng)險。校園無線網(wǎng)絡(luò)面臨的安全風(fēng)險包括數(shù)據(jù)泄露、網(wǎng)絡(luò)釣魚攻擊、自動化攻擊、爬蟲威脅等。校園無線網(wǎng)絡(luò)的安全應(yīng)該從無線接入點管控、邊界防護、訪問控制、入侵防范、移動終端管控、移動應(yīng)用管控、移動應(yīng)用軟件開發(fā)等方面來加強防護。

無線接入點管控。高校校園網(wǎng)部署的AP數(shù)量和接入的無線終端數(shù)量成千上萬，各類無線接入點，包括室內(nèi)AP、室外AP、面板AP、特殊AP，要按分布密度和發(fā)射功率限制范圍原則來部署，覆蓋整個校園網(wǎng)。所有AP零配置、免維護、自適應(yīng)IPV4/ IPv6雙棧協(xié)議。各AP使用不同的鑒別密鑰。AP接收到用戶數(shù)據(jù)包后采用CAPWAP數(shù)據(jù)加密隧道協(xié)議封裝后穿過以太網(wǎng)絡(luò)傳送到在網(wǎng)絡(luò)核心層部署的無線控制器AC進行數(shù)據(jù)流的管控。

邊界防護與訪問控制。在數(shù)據(jù)中心的網(wǎng)絡(luò)核心層部署的多臺無線控制器AC，通過對全部AP的統(tǒng)一管理、配置參數(shù)與策略的統(tǒng)一下發(fā)、AP配置自動更新、AP無感知漫游管理、射頻智能管理、無線接入安全控制、非法AP檢測、無線協(xié)議攻擊防御、QoS控制、無線流量集中策略控制與帶寬分配，采用集中控制轉(zhuǎn)發(fā)數(shù)據(jù)流量方式實現(xiàn)對無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間數(shù)據(jù)包傳輸?shù)娜炭刂?。將無線WLAN劃分到若干VLAN，使教職工、學(xué)生、訪客屬于不同的VLAN。使用VLAN Pool技術(shù)減小無線終端的廣播域。對于無線訪客，使用手機短信密碼、微信、身份證刷卡或人臉識別等方式認(rèn)證上網(wǎng)，按照訪客安全策略，僅允許訪問校園網(wǎng)公共數(shù)字資源。

無線控制器安全配置加固。無線控制器的自身安全可以從管理層面、控制層面及轉(zhuǎn)發(fā)層面進行安全配置加固。如：管理層面的一些安全配置可以包含：設(shè)置用戶名加復(fù)雜密碼方式登錄Console口及USB口；修改SSH端口號；配置ACL規(guī)則中的SSH客戶地址白名單；限制SSH同時在線用戶數(shù)目；利用AAA與數(shù)字簽名組合對客戶端身份認(rèn)證；配置無線控制器作為SSL服務(wù)器端時的安全策略來增強利用HTTPS協(xié)議登錄設(shè)備的安全性；采用SFTP協(xié)議進行無線控制器的文件管理操作，配置文件進行加密?？刂茖用娴囊恍┌踩渲每梢园号渲冒踩呗苑乐笲PDU與TC-BPDU報文攻擊；配置安全策略防止ARP欺騙攻擊，實施ARP網(wǎng)關(guān)保護策略；配置ND攻擊防御安全策略；使用DHCP Snooping;指定DNS信任接口避免DNS攻擊；關(guān)閉ICMP報文的發(fā)送；啟用DTLS數(shù)據(jù)包傳輸層安全性協(xié)議對CAPWAP隧道中的報文加密。轉(zhuǎn)發(fā)層面的一些安全配置可以包含：無線控制器AC與無線接入點AP禁用SSID廣播、WEP認(rèn)證、WPA加密；對具有相同SSID的無線設(shè)備進行隔離，對同一VLAN下的設(shè)備進行隔離。

入侵防范。針對無線網(wǎng)絡(luò)的攻擊，可分布式部署無線入侵防御系統(tǒng)WIPS，在多個頻段的多個頻道上實時監(jiān)測無線網(wǎng)絡(luò)，及早發(fā)現(xiàn)與阻斷惡意無線接入點AP,精準(zhǔn)識別并快速防御各種無線網(wǎng)絡(luò)攻擊行為，確保無線網(wǎng)絡(luò)邊界的安全。

移動終端管控與移動應(yīng)用管控。通過終端統(tǒng)一管理平臺實現(xiàn)對移動終端的身份鑒別、安全加固、環(huán)境安全檢測、數(shù)據(jù)隔離、遠(yuǎn)程控制，以及對終端從注冊使用到停用回收的全周期管控。通過開發(fā)校園網(wǎng)專屬移動應(yīng)用商店來管理本校所有移動應(yīng)用的分發(fā)、許可以及手機原生市場和第三方市場應(yīng)用商店中的應(yīng)用鏈接，保證學(xué)校移動應(yīng)用來源的可靠性。專屬移動應(yīng)用商店僅允許具備數(shù)字證書簽名且符合白名單策略的應(yīng)用軟件才能安裝與運行。通過對移動應(yīng)用的安全檢測與安全加固以及使用安全沙箱技術(shù)，實現(xiàn)移動應(yīng)用的自身安全與運行安全。通過移動應(yīng)用軟件管理策略，實現(xiàn)應(yīng)用上傳、分發(fā)、安裝、運行與下線的全生命周期管理。

移動應(yīng)用軟件數(shù)字簽名證書。自行開發(fā)或委托第三方開發(fā)的校園移動應(yīng)用軟件上線前，應(yīng)使用可信任的電子認(rèn)證服務(wù)機構(gòu)頒發(fā)的數(shù)字簽名證書對新移動業(yè)務(wù)應(yīng)用軟件進行簽名，并在應(yīng)用程序上顯示數(shù)字簽名認(rèn)證標(biāo)識，為APP使用者提供數(shù)字證書信息查驗功能。如果購買移動應(yīng)用軟件，則只采購使用了可靠證書簽名的移動應(yīng)用軟件，從而使每個移動應(yīng)用是可信且可追溯的。

二、私有云的安全防護策略

私有云為學(xué)校高效地開展教務(wù)教學(xué)、科學(xué)研究、大數(shù)據(jù)及人工智能的研發(fā)提供了有力支撐。許多學(xué)校陸續(xù)建設(shè)了虛擬化平臺與私有云，但傳統(tǒng)架構(gòu)下的私有云難以防范云環(huán)境下的內(nèi)部攻擊、數(shù)據(jù)泄露等風(fēng)險，無法按需提供彈性的網(wǎng)絡(luò)安全防護功能。目前，一種融合了基于SDN/NFV的安全服務(wù)鏈、軟件定義安全SDS等新技術(shù)的新一代私有云，為云計算環(huán)境提供了可自定義的安全防御功能。私有云的安全防護的原則是在滿足等級保護安全通用要求的基礎(chǔ)上，進一步進行云計算環(huán)境下的特殊安全保護。私有云的安全涉及到云基礎(chǔ)設(shè)施、云服務(wù)平臺、云安全產(chǎn)品以及云端用戶業(yè)務(wù)的安全。其中，云基礎(chǔ)設(shè)施、云服務(wù)平臺的安全由云計算服務(wù)商保障，云安全產(chǎn)品由安全廠商保障，而云端業(yè)務(wù)的安全防護可以在安全云控制平臺的支持下利用基于SDN/NFV技術(shù)、SDS技術(shù)的安全資源池內(nèi)的安全服務(wù)組件實施可自定義的各種云安全防護策略。

(一)云邊界的安全防護

云計算網(wǎng)絡(luò)架構(gòu)是扁平化的，私有云數(shù)據(jù)中心的邊界安全可從訪問控制、入侵檢測及安全審計三方面來保障。

訪問控制。在訪問控制方面，實施南北向流量與東西向流量的訪問控制策略。南北向流量的訪問控制可以在私有云邊界部署下一代防火墻NGFW來抵御來自私有云外部的安全威脅。東西向流量的訪問控制可以在私有云內(nèi)部利用虛擬私有云VPC技術(shù)為學(xué)校各部門業(yè)務(wù)應(yīng)用分配不同的虛擬網(wǎng)絡(luò)，實現(xiàn)各虛擬網(wǎng)絡(luò)之間的二層邏輯隔離。在每個虛擬網(wǎng)絡(luò)內(nèi)，通過定義與配置虛擬路由器、虛擬防火墻VFW等組件實現(xiàn)各虛擬網(wǎng)絡(luò)之間的邊界隔離與安全域隔離。使用網(wǎng)絡(luò)ACL進行子網(wǎng)之間的訪問控制。不同業(yè)務(wù)系統(tǒng)劃分到不同的安全組，利用安全組實現(xiàn)組內(nèi)和組間虛擬機的訪問控制。為每臺虛擬機設(shè)置一組訪問控制策略，并可實現(xiàn)控制策略隨虛擬機遷移自動更新。在每臺虛擬機上僅安裝必要的程序和組件并關(guān)閉不需要的服務(wù)和端口。利用進程級微隔離技術(shù)進一步縮小攻擊面，防止東西向的橫向滲透攻擊。

入侵防范。在入侵防范方面，實施南北向流量與東西向流量的入侵防范策略。南北向流量的入侵防范可以在私有云邊界部署新一代入侵防御系統(tǒng)NGIPS與Web應(yīng)用防火墻WAF來檢測并抵御來自私有云外部的網(wǎng)絡(luò)攻擊及異常流量。而東西向流量的入侵防范是在每個虛擬網(wǎng)絡(luò)中創(chuàng)建一個虛擬IPS，整體檢測與防御來自該虛擬網(wǎng)絡(luò)之外的入侵行為。對于虛擬網(wǎng)絡(luò)內(nèi)的虛擬機之間及虛擬機與宿主機之間的入侵防護，可將東西向流量牽引到虛擬化安全資源池或硬件安全資源池進行檢測和防護。

安全審計。在安全審計方面，運維人員要通過堡壘機登錄云平臺才能進行遠(yuǎn)程管理操作，堡壘機與綜合日志管理平臺可以完成對云環(huán)境下運維操作的全程監(jiān)控與日志審計，保障云環(huán)境日志的完整性，實現(xiàn)各種安全事件的回溯與取證。

(二)云計算環(huán)境的安全防護

私有云的安全計算環(huán)境是在進行通用安全計算環(huán)境防護的基礎(chǔ)上，在身份鑒別、訪問控制、入侵防范、鏡像和快照保護、數(shù)據(jù)完整性和保密性、數(shù)據(jù)備份恢復(fù)和剩余信息保護方面進行特殊的保護。

雙向身份鑒別。當(dāng)管理終端通過HTTPS協(xié)議訪問云平臺設(shè)備時，要通過終端上預(yù)裝的由云平臺自簽發(fā)的數(shù)字證書來驗證云平臺的身份。同時，云平臺則檢查終端上是否安裝了由該云平臺簽發(fā)的數(shù)字證書來驗證終端的身份，從而實現(xiàn)雙向身份鑒別。

訪問控制與入侵防范。當(dāng)虛擬機遷移時，用戶在虛擬機上配置的訪問控制策略自動遷移更新。通過云管理平臺自動檢測虛擬機資源隔離失效及非授權(quán)新建虛擬機或重啟虛擬機事件。通過進程級微隔離技術(shù)，防止虛擬機之間的橫向滲透攻擊。

鏡像和快照保護。為安全加固的虛擬機操作系統(tǒng)生成鏡像，同時對鏡像進行保護。調(diào)用虛擬機鏡像時，要對鏡像目錄中的數(shù)據(jù)源文件包含的MD5屬性值進行完整性校驗，以檢測虛擬機鏡像未被篡改。通過云管理平臺提供的秘鑰管理KMS或通過加密機實現(xiàn)對鏡像或快照的加密，可以防止鏡像或快照中敏感數(shù)據(jù)泄露。

數(shù)據(jù)完整性與保密性。部署秘鑰管理系統(tǒng)KMS，實現(xiàn)對業(yè)務(wù)系統(tǒng)的數(shù)據(jù)自動加解密。虛擬機動態(tài)遷移中，KVM或XEN技術(shù)對虛擬機遷移數(shù)據(jù)的完整性自動檢測，若遷移失敗，自動回滾。當(dāng)虛擬機冷遷移時，要利用相應(yīng)工具驗證遷移后的完整性。

數(shù)據(jù)備份恢復(fù)與剩余信息保護。對于私有云非關(guān)鍵應(yīng)用數(shù)據(jù)，可通過存儲底層復(fù)制功能將其備份至云災(zāi)備中心，進行數(shù)據(jù)塊級別的數(shù)據(jù)保護。對于關(guān)鍵應(yīng)用數(shù)據(jù)，可在私有云數(shù)據(jù)中心與云災(zāi)備中心進行應(yīng)用級雙活。利用云計算平臺刪除虛擬機后，其存儲的用戶文件與對象隨即被刪除。將原虛擬機占用過的存儲區(qū)重新分配給新用戶前，應(yīng)該使用專業(yè)工具有效地定位該存儲區(qū)并進行完全徹底的數(shù)據(jù)粉碎，保證數(shù)據(jù)無法被恢復(fù)，防止數(shù)據(jù)泄露。當(dāng)部門用戶刪除業(yè)務(wù)應(yīng)用數(shù)據(jù)后，云計算管理平臺可根據(jù)安全策略自動刪除其對應(yīng)的數(shù)據(jù)備份。

(三)云安全控制平臺

云端業(yè)務(wù)應(yīng)用的安全防護是在安全云控制平臺的支持下利用安全資源池內(nèi)安全服務(wù)組件實施各種云安全策略的。安全云控制平臺借助軟件定義資源、軟件定義流量、軟件定義威脅等技術(shù)，建立起一個動態(tài)的、彈性的軟件定義云安全服務(wù)鏈。安全云控制平臺由虛擬化安全資源池、引流系統(tǒng)和流調(diào)度與轉(zhuǎn)發(fā)系統(tǒng)構(gòu)成。安全資源池利用NFV技術(shù)創(chuàng)建各種虛擬網(wǎng)絡(luò)安全功能，為各類業(yè)務(wù)提供所需的安全組件。引流系統(tǒng)負(fù)責(zé)將云計算環(huán)境中東西向流量牽引至安全資源池進行深度檢測。流調(diào)度與轉(zhuǎn)發(fā)系統(tǒng)負(fù)責(zé)對安全服務(wù)鏈提供由用戶可自定義的編排功能。安全云控制平臺對異構(gòu)安全產(chǎn)品的狀態(tài)進行實時監(jiān)視與控制，根據(jù)業(yè)務(wù)需求,動態(tài)并彈性地分配虛擬安全資源。云安全控制平臺與云管理平臺高度解耦。為實現(xiàn)業(yè)務(wù)流量與管理流量的分離，用不同的物理交換機分別轉(zhuǎn)發(fā)業(yè)務(wù)流量與管理流量。

三、公有云的安全防護策略

校園網(wǎng)中一些公開的業(yè)務(wù)應(yīng)用以及新的應(yīng)用會遷移到公有云。公有云的安全防護責(zé)任由云服務(wù)提供商、云安全服務(wù)商、用戶三方共擔(dān)。云服務(wù)提供商負(fù)責(zé)云環(huán)境基礎(chǔ)設(shè)施的安全，云安全服務(wù)商負(fù)責(zé)云服務(wù)平臺的安全，學(xué)校負(fù)責(zé)業(yè)務(wù)應(yīng)用的安全。

選擇公有云服務(wù)提供商時，應(yīng)確認(rèn)服務(wù)提供商已獲得常用的安全資質(zhì)，根據(jù)校園業(yè)務(wù)安全需求與風(fēng)險，選擇云安全服務(wù)商提供的云安全產(chǎn)品及服務(wù)，確認(rèn)服務(wù)商提供的安全服務(wù)和服務(wù)等級能夠滿足校園網(wǎng)云安全服務(wù)的需求。

在云網(wǎng)絡(luò)安全方面，利用VPC技術(shù)在不同虛擬私有網(wǎng)絡(luò)之間實施網(wǎng)絡(luò)安全域隔離與邊界安全防護。利用安全組在公有云上劃分安全域及安全子域，形成分布式虛擬化防火墻。就近選擇地域，將IT資源部署在同一區(qū)域的不同可用區(qū)，并在各可用區(qū)啟用不同云產(chǎn)品實例。選購云安全服務(wù)商提供的DDoS防御云服務(wù)，抵御大流量DDoS攻擊，保障云網(wǎng)絡(luò)安全。

在云主機安全方面，利用云服務(wù)商提供的可信驗證技術(shù)來保障云服務(wù)器的引導(dǎo)程序、操作系統(tǒng)內(nèi)核、操作系統(tǒng)引導(dǎo)程序、配置參數(shù)和應(yīng)用程序處于一種可信任的環(huán)境中。在可信的基礎(chǔ)上，進行云主機的安全配置加固以及在彈性云服務(wù)器上部署專業(yè)主機安全防護系統(tǒng)。

在應(yīng)用系統(tǒng)安全與云數(shù)據(jù)安全方面，選用安全廠商的Web應(yīng)用云防護服務(wù)，實現(xiàn)web應(yīng)用安全。利用云服務(wù)商提供的存儲透明加解密服務(wù)確保數(shù)據(jù)云存儲安全，采用SSL/TLS、HTTPS安全傳輸協(xié)議來保障數(shù)據(jù)傳輸安全。采用數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密、密鑰管理、數(shù)據(jù)庫脫敏、數(shù)據(jù)庫審計等技術(shù)來保障數(shù)據(jù)庫的安全。

在公有云VPC與校園本地私有云連接方面，可使用公網(wǎng)VPN方式或物理專線方式。使用公網(wǎng)VPN方式時，在校園互聯(lián)網(wǎng)區(qū)部署VPN網(wǎng)關(guān)，通過IPSec VPN的加密隧道將公有云VPC與本地私有云連接。使用云物理專線方式時，借助公有云端的虛擬網(wǎng)關(guān)將虛擬接口與公有云VPC關(guān)聯(lián)，實現(xiàn)本地校園云數(shù)據(jù)中心訪問公有云VPC。

四、物聯(lián)網(wǎng)的安全防護策略

隨著智慧校園戰(zhàn)略的實施，以物聯(lián)網(wǎng)技術(shù)為基礎(chǔ)的各種智慧校園應(yīng)用系統(tǒng)逐步接入校園網(wǎng)絡(luò)，如智慧教學(xué)、智慧科研、智慧圖書館、智慧實驗室、智慧安防系統(tǒng)、現(xiàn)代化節(jié)能系統(tǒng)、數(shù)字化后勤系統(tǒng)、智能環(huán)境系統(tǒng)、智能供水系統(tǒng)、智慧餐廳等，共同形成了校園物聯(lián)網(wǎng)。然而，校園物聯(lián)網(wǎng)面臨著感知設(shè)備惡意克隆、數(shù)據(jù)失竊、數(shù)據(jù)泄露、數(shù)據(jù)篡改、勒索軟件攻擊、僵尸網(wǎng)絡(luò)攻擊、中間人攻擊、假冒攻擊和非授權(quán)訪問與控制等各種類型的安全威脅。從物聯(lián)網(wǎng)的構(gòu)成角度來分析，物聯(lián)網(wǎng)安全應(yīng)該從感知層、網(wǎng)絡(luò)層和應(yīng)用層進行多層面的保護。

(一)感知層的安全保護

感知層是物聯(lián)網(wǎng)的最低層，包括各類感知節(jié)點、感知網(wǎng)關(guān)以及傳感網(wǎng)絡(luò)。感知層的安全是物聯(lián)網(wǎng)安全的基礎(chǔ)，應(yīng)從物理環(huán)境、接入控制、訪問控制、通信、設(shè)備、數(shù)據(jù)等方面進行安全防護。

物理環(huán)境安全防護。感知節(jié)點應(yīng)安裝到無強振動、無強干擾、無阻擋屏蔽、防盜竊、防破壞、防雷擊、防靜電、防水、防潮的位置。為保證設(shè)備供電持久穩(wěn)定，關(guān)鍵感知節(jié)點及網(wǎng)關(guān)應(yīng)提供備用電源。戶外安裝的關(guān)鍵感知節(jié)點可啟用定位功能，當(dāng)探測到節(jié)點離開固定位置時，自動啟動封鎖或自毀程序，確保節(jié)點數(shù)據(jù)的安全。

接入控制。為感知節(jié)點設(shè)置唯一的身份標(biāo)識，該身份標(biāo)識可以使用終端的MAC地址、LoRaWAN DevEUI、IMSI等。本地感知網(wǎng)關(guān)負(fù)責(zé)感知節(jié)點接入本地網(wǎng)絡(luò)的認(rèn)證。云端物聯(lián)網(wǎng)平臺負(fù)責(zé)感知節(jié)點接入互聯(lián)網(wǎng)的認(rèn)證。感知節(jié)點與感知網(wǎng)關(guān)采用相同的安全接入認(rèn)證協(xié)議。本地感知網(wǎng)關(guān)對感知節(jié)點初始接入申請進行身份認(rèn)證，通信中進行輕量級連續(xù)認(rèn)證，鑒別整個會話期間感知節(jié)點的身份標(biāo)識。節(jié)點鑒別失敗次數(shù)超過設(shè)定次數(shù),則拒絕感知節(jié)點接入，防止鑒別信息的暴力破解及假冒感知節(jié)點的接入。另一方面，感知節(jié)點對其它感知節(jié)點、網(wǎng)關(guān)或物聯(lián)網(wǎng)平臺進行反向接入身份認(rèn)證，防止假冒的節(jié)點、網(wǎng)關(guān)及平臺。鑒別失敗次數(shù)超過設(shè)定值將不再發(fā)起接入請求。

訪問控制與通信安全。在感知節(jié)點上關(guān)閉不用的通信端口，通過IP白名單等策略實現(xiàn)初步訪問控制。在感知網(wǎng)關(guān)上設(shè)定訪問控制策略，僅允許授權(quán)用戶本地或遠(yuǎn)程訪問資源。通過改變感知節(jié)點通信頻段、提高器件抗干擾力等方法提高數(shù)據(jù)采集的正確性。啟用完整性校驗機制，通過消息校驗碼、消息摘要、數(shù)字簽名等方式保障通信數(shù)據(jù)的完整性。感知網(wǎng)關(guān)與感知節(jié)點傳輸數(shù)據(jù)前對數(shù)據(jù)加密，同時再使用安全通信協(xié)議傳輸數(shù)據(jù)，確保通信數(shù)據(jù)的機密性。

數(shù)據(jù)安全。感知節(jié)點與感知網(wǎng)關(guān)的敏感代碼和重要數(shù)據(jù)與普通代碼和數(shù)據(jù)存儲實行隔離。對鑒別信息與重要數(shù)據(jù)等進行完整性檢測。僅允許授權(quán)用戶訪問存儲數(shù)據(jù)。對密鑰信息進行加密存儲，通過密鑰交換協(xié)議進行密鑰傳輸，保證密鑰存儲和交換安全。利用白盒密碼算法隱藏密鑰信息，防止感知節(jié)點失竊后受到密鑰提取攻擊。

設(shè)備安全。為用戶分配最小權(quán)限，消除弱口令，利用批量模式修改終端參數(shù)。設(shè)置IP白名單，僅允許授權(quán)用戶從堡壘機登錄，通過安全通信協(xié)議并按權(quán)限遠(yuǎn)程配置節(jié)點參數(shù)、關(guān)鍵密鑰及程序應(yīng)用在線更新，防止惡意操作及非授權(quán)數(shù)據(jù)訪問。在感知網(wǎng)關(guān)上設(shè)置最大并發(fā)連接數(shù)，防止DOS攻擊。使用代碼簽名機制保證感知網(wǎng)關(guān)及重要感知節(jié)點的運行代碼是被授權(quán)的，從而使感知設(shè)備能確信運行代碼的真實性和完整性，避免惡意代碼插入、篡改或覆蓋正常運行的代碼，形成僵尸網(wǎng)絡(luò)，對外發(fā)起網(wǎng)絡(luò)攻擊。

入侵防范與數(shù)據(jù)重放攻擊防范。將同一系統(tǒng)的感知節(jié)點與感知網(wǎng)關(guān)劃分到獨立VLAN, 設(shè)置默認(rèn)網(wǎng)關(guān)地址，配置訪問控制策略，避免某些節(jié)點被攻陷后可能對其它子網(wǎng)發(fā)起攻擊。通過在數(shù)據(jù)上附加時間戳、序號等信息來鑒別數(shù)據(jù)的非法篡改及防止數(shù)據(jù)重放攻擊。

數(shù)據(jù)審計。開啟感知網(wǎng)關(guān)審計功能，審計記錄進行加密存儲，定時將審計數(shù)據(jù)發(fā)送至綜合日志審計平臺。

(二)網(wǎng)絡(luò)層的安全保護

網(wǎng)絡(luò)層是感知層與應(yīng)用層的連接紐帶，物聯(lián)網(wǎng)的傳輸通信安全保護應(yīng)從多個層面來進行。

從傳感網(wǎng)絡(luò)到網(wǎng)絡(luò)層的安全防護可借助物聯(lián)網(wǎng)網(wǎng)關(guān)的功能來實現(xiàn)。物聯(lián)網(wǎng)網(wǎng)關(guān)承擔(dān)傳感網(wǎng)絡(luò)到通信網(wǎng)絡(luò)的協(xié)議轉(zhuǎn)換、異構(gòu)傳感網(wǎng)絡(luò)之間的協(xié)議轉(zhuǎn)換、數(shù)據(jù)匯總、數(shù)據(jù)轉(zhuǎn)發(fā)前的預(yù)處理、邊緣計算、下發(fā)數(shù)據(jù)執(zhí)行命令的解析以及通信安全的重任。物聯(lián)網(wǎng)網(wǎng)關(guān)通過其軟硬件雙重加密機制與加密通信協(xié)議，實現(xiàn)點到點與端到端的數(shù)據(jù)加密，保障通信數(shù)據(jù)的機密性。通過消息校驗碼、消息摘要、數(shù)字簽名等方式確保通信數(shù)據(jù)的完整性。通過防火墻特性，實現(xiàn)對感知節(jié)點與感知網(wǎng)關(guān)的細(xì)粒度訪問控制；通過安全域隔離，將不同物聯(lián)系統(tǒng)分隔成不同的虛擬子網(wǎng)，實施差異化安全策略。對傳輸中的數(shù)據(jù)包進行異常流量及行為的檢測，降低來自感知層的安全風(fēng)險，同時減少來自網(wǎng)絡(luò)層的攻擊行為。利用多層級用戶角色權(quán)限管理機制保障網(wǎng)關(guān)設(shè)備的自身管理安全。通過對感知節(jié)點、感知網(wǎng)關(guān)的安全標(biāo)識識別，實現(xiàn)其身份認(rèn)證、網(wǎng)絡(luò)準(zhǔn)入的安全防護。

物聯(lián)網(wǎng)通信網(wǎng)絡(luò)層的安全可利用傳統(tǒng)IP網(wǎng)絡(luò)、云計算的一系列安全防御技術(shù)，例如，在物聯(lián)網(wǎng)區(qū)域邊界部署下一代防火墻對物聯(lián)網(wǎng)系統(tǒng)進行安全區(qū)域劃分，實施相應(yīng)的網(wǎng)絡(luò)訪問控制策略。通過網(wǎng)絡(luò)監(jiān)控系統(tǒng)對物聯(lián)網(wǎng)區(qū)域的通信網(wǎng)絡(luò)進行流量監(jiān)控與分析，通過安全態(tài)勢感知平臺發(fā)現(xiàn)物聯(lián)網(wǎng)區(qū)域網(wǎng)絡(luò)通信中的異常行為和網(wǎng)絡(luò)攻擊，做出告警和應(yīng)急響應(yīng)，完成對通信網(wǎng)絡(luò)的脆弱性評估及安全態(tài)勢感知的可視化展示。

(三)應(yīng)用層的安全保護

物聯(lián)網(wǎng)應(yīng)用層完成物聯(lián)網(wǎng)信息和數(shù)據(jù)的融合處理和利用。物聯(lián)網(wǎng)應(yīng)用層的安全應(yīng)從隱私保護、數(shù)據(jù)保護、攻擊檢測與防御、漏洞挖掘、身份認(rèn)證、訪問控制以及安全審計等方面進行防御。

隱私保護與數(shù)據(jù)保護。物聯(lián)網(wǎng)應(yīng)用系統(tǒng)在數(shù)據(jù)共享、存儲和分析處理過程中極易發(fā)生敏感數(shù)據(jù)的泄露，因此，應(yīng)用層業(yè)務(wù)系統(tǒng)要采用數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)自動透明加密技術(shù)全程保護敏感數(shù)據(jù)。

攻擊檢測與防御。在物聯(lián)網(wǎng)應(yīng)用系統(tǒng)前部署Web應(yīng)用防火墻WAF來識別、清洗和過濾Web應(yīng)用的各種惡意流量，將正常、安全的流量轉(zhuǎn)發(fā)給Web應(yīng)用服務(wù)器，動態(tài)地檢測與防御各種的Web應(yīng)用攻擊，保障Web應(yīng)用安全。

漏洞挖掘。通過漏洞掃描系統(tǒng)對物聯(lián)網(wǎng)服務(wù)平臺、物聯(lián)網(wǎng)協(xié)議以及嵌入式操作系統(tǒng)等進行漏洞挖掘，以檢測其安全脆弱性，及時發(fā)現(xiàn)漏洞，針對每種漏洞提供修復(fù)解決方案，消除安全隱患。

身份認(rèn)證與訪問控制。用戶對物聯(lián)網(wǎng)應(yīng)用系統(tǒng)的訪問需通過校園統(tǒng)一身份認(rèn)證平臺，實行用戶訪問的身份驗證、單點登錄、動態(tài)授權(quán)及持續(xù)認(rèn)證。各種角色的運維人員需通過堡壘機才能訪問物聯(lián)網(wǎng)設(shè)備，通過堡壘機，實現(xiàn)對運維管理人員訪問操作、命令和動作的全程監(jiān)視、記錄、控制與審計。

安全審計與安全態(tài)勢感知。綜合日志審計平臺定時收集并存儲物聯(lián)網(wǎng)網(wǎng)關(guān)形成的日志審計記錄，進行日志分析，及時發(fā)現(xiàn)各類異常行為事件并發(fā)出告警，保障物聯(lián)網(wǎng)事件的數(shù)據(jù)回溯與取證。通過安全態(tài)勢感知平臺，對物聯(lián)網(wǎng)資產(chǎn)進行注冊、認(rèn)證及狀態(tài)檢查，對各層協(xié)議流量進行全網(wǎng)異常行為檢測和分析，對物聯(lián)網(wǎng)海量數(shù)據(jù)進行融合處理及關(guān)聯(lián)分析，實現(xiàn)安全威脅可視化、網(wǎng)絡(luò)攻擊可視化及安全風(fēng)險整體評估化。

五、結(jié)語

校園網(wǎng)中各種新型技術(shù)的融合應(yīng)用使得校園網(wǎng)不斷面臨新的安全挑戰(zhàn)。在技術(shù)應(yīng)用層面上，新技術(shù)融合下的校園網(wǎng)絡(luò)的安全防御可以在滿足網(wǎng)絡(luò)安全等級保護2.0安全通用要求的基礎(chǔ)上，通過無線接入點管控、邊界防護、訪問控制、入侵防御、移動終端管控、移動應(yīng)用管控、云邊界的安全防護、云計算環(huán)境的安全防護、云安全控制平臺、物聯(lián)網(wǎng)的感知層、網(wǎng)絡(luò)層和應(yīng)用層保護等，實現(xiàn)融合環(huán)境下的校園網(wǎng)絡(luò)擴展安全防御。