◆王志剛 王辰陽 李恒武 郭輝
智慧校園環(huán)境下的網(wǎng)絡(luò)安全問題探析與對策研究
◆王志剛 王辰陽 李恒武 郭輝
(信息工程大學 河南 45000)
隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)等先進信息技術(shù)在智慧校園建設(shè)中的應用,有線、無線等各種類型終端逐漸增多,校園網(wǎng)覆蓋范圍和接入規(guī)模逐漸擴大,網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)結(jié)構(gòu)也日趨復雜,尤其是各種類型、不同密級的應用系統(tǒng)逐漸增多,網(wǎng)絡(luò)管理難度加大,網(wǎng)絡(luò)安全問題也面臨著新的挑戰(zhàn)。本文對智慧校園建設(shè)中普遍存在的安全問題進行了分析,并針對這些問題提出了優(yōu)化措施和改進方法。
智慧校園;網(wǎng)絡(luò)安全;安全防護;網(wǎng)絡(luò)結(jié)構(gòu)
智慧校園指的是以物聯(lián)網(wǎng)為基礎(chǔ)的智慧化的校園工作、學習和生活一體化環(huán)境,這個一體化環(huán)境以各種應用服務系統(tǒng)為載體,將教學、科研、管理和校園生活充分融合。智慧校園給學校教學、科研和行政、管理等方面來巨大效益的同時,對網(wǎng)絡(luò)的依賴性日益凸顯,如何構(gòu)建安全完備的網(wǎng)絡(luò)安全防護體系,確保信息系統(tǒng)和數(shù)據(jù)安全是亟待解決的問題。
在智慧校園建設(shè)中,隨著網(wǎng)絡(luò)應用的日益增多,有線、無線傳感器的接入,網(wǎng)絡(luò)規(guī)模將逐漸擴大,網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)結(jié)構(gòu)日益復雜,由于缺少頂層設(shè)計和整體規(guī)劃,網(wǎng)絡(luò)隨意擴展,應用系統(tǒng)使用對象,數(shù)據(jù)敏感程度以及涉密等級不清,難以制定統(tǒng)一的控制策略,也無法形成立體長效的縱深安全防護體系,極大地降低了網(wǎng)絡(luò)抵御風險能力。
智慧校園條件下數(shù)據(jù)信息數(shù)量急劇增長,不同部門不同類別的信息系統(tǒng)數(shù)量眾多,難以做到統(tǒng)一管理,信息系統(tǒng)大多數(shù)沒有進行檢測評估,安全防護等級和保密防護要求不明確,缺少針對性強的安全防護策略,存在安全隱患。
智慧校園條件下,需要通過有線、無線、藍牙、紅外等各種類型傳感器獲取物理網(wǎng)數(shù)據(jù),攝像頭、生物設(shè)備、傳感探測設(shè)備、智能穿戴設(shè)備、PC終端等各種類型終端接入校園網(wǎng),網(wǎng)絡(luò)終端類型多,操作系統(tǒng)多樣,缺少統(tǒng)一的、有效的監(jiān)管手段,存在網(wǎng)絡(luò)隨意擴展,偽冒終端接入等問題;校外人員終端接入或校內(nèi)人員終端外聯(lián)也存在泄密風險;用戶終端網(wǎng)絡(luò)安全防護水平參差不齊,操作系統(tǒng)存在高危漏洞、弱口令、感染病毒等問題,嚴重影響網(wǎng)絡(luò)安全。
智慧校園建設(shè)中,由于在內(nèi)、外網(wǎng)邊界不清,難以對出入內(nèi)網(wǎng)的數(shù)據(jù)做到集中管控,無線網(wǎng)、物聯(lián)網(wǎng)與基礎(chǔ)承載網(wǎng)缺少網(wǎng)絡(luò)隔離設(shè)備,不同密級安全域間缺少數(shù)據(jù)流控或加密保護,校園網(wǎng)存在信息泄露、感染木馬病毒和被入侵的風險。
智慧校園運維管理中,由于運維管理機制不健全或缺失,缺少行之有效的聯(lián)防機制;受限于人員編制、運維成本等因素,缺少專職安全管理人員,難以對網(wǎng)絡(luò)安全設(shè)備和防護策略做到精細化管控;安全設(shè)備多,缺少聯(lián)動,難以形成統(tǒng)一態(tài)勢,運維效率低,不利于人員決策。
加強智慧校園頂層設(shè)計,從運維保障體系、安全保密體系、用戶和終端、智慧應用層、服務支持層、設(shè)施資源層進行設(shè)計和規(guī)劃,網(wǎng)絡(luò)應按照方便管理和控制的原則,劃分為不同的安全域,不同密級網(wǎng)絡(luò)安全域間應采取可靠的技術(shù)隔離手段。
部署內(nèi)網(wǎng)終端準入系統(tǒng),減少或杜絕來自外部人員和單位內(nèi)部人員的各類違規(guī)操作,對所有入網(wǎng)終端進行準入控制,禁止未授權(quán)終端入網(wǎng),對上網(wǎng)用戶進行身份鑒別,禁止未授權(quán)用戶使用網(wǎng)絡(luò);部署違規(guī)外聯(lián)系統(tǒng),及時阻斷終端違規(guī)外聯(lián)行為,并可對用戶終端變更、違規(guī)軟件使用等進行安全監(jiān)測;部署漏洞掃描和防病毒系統(tǒng),強化用戶終端管理;部署網(wǎng)絡(luò)防火墻強化邊界管理,制定訪問控制策略,嚴控外網(wǎng)用戶訪問內(nèi)網(wǎng)及重要服務;無線網(wǎng)絡(luò)和物理網(wǎng)感知設(shè)備的使用,要采用隔離設(shè)備,確保通過受控的設(shè)備進入內(nèi)部網(wǎng)絡(luò)。
圖1 智慧校園整體框架
圖2 智慧校園基礎(chǔ)設(shè)施結(jié)構(gòu)
關(guān)鍵節(jié)點處檢測、防止或限制從外部或外部發(fā)起的網(wǎng)絡(luò)攻擊行為,對網(wǎng)絡(luò)行為進行分析,實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析,當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目標、時間,在發(fā)生嚴重事件時提供報警;網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則,只允許通信受控接口通信;根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,對進出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于協(xié)議和應用內(nèi)容的訪問控制。
設(shè)置異地備份中心,對重要數(shù)據(jù)進行本地數(shù)據(jù)備份和異地備份,重要數(shù)據(jù)提供冗余保證數(shù)據(jù)可用性;在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計,審計覆蓋到每個用戶,對重要用戶行為和重要安全事件進行審計。
智慧校園運維管理中,除了技術(shù)防范外,更重要的在于制度約束,健全網(wǎng)絡(luò)安全管理制度,有法可依,有章可循,提高用戶安全意識,加強用戶安全管理;設(shè)置校級網(wǎng)絡(luò)安全管理機制,制定應急響應預案,發(fā)生網(wǎng)絡(luò)安全事件時,可快速處置;設(shè)置專職網(wǎng)絡(luò)安全管理人員,加強網(wǎng)絡(luò)安全系統(tǒng)和設(shè)備精細化管理,及時發(fā)現(xiàn)網(wǎng)絡(luò)安全問題和薄弱環(huán)節(jié),調(diào)整網(wǎng)絡(luò)安全防護策略,修補網(wǎng)絡(luò)安全管理漏洞,確保網(wǎng)絡(luò)安全。
智慧校園環(huán)境下的網(wǎng)絡(luò)安全體系建設(shè),除要加強頂層設(shè)計外,在各個項目規(guī)劃建設(shè)時還要同步考慮安全防護能力建設(shè),要充分結(jié)合本單位網(wǎng)絡(luò)實際,構(gòu)建符合自身特點的網(wǎng)絡(luò)安全防護體系,確保智慧校園安全運行和穩(wěn)步推進。
[1]史蕊.智慧校園建設(shè)與網(wǎng)絡(luò)安全管理探索[J].軟件,2021,42(02):041-043.
[2]智慧校園一體化信息安全綜合服務體系建設(shè)研究[J].網(wǎng)絡(luò)安全技術(shù)與應用,2020(10):98-99.
[3]王新法.基于安全域的高校網(wǎng)絡(luò)信息安全立體防護體系的構(gòu)建探討[J].信息與電腦,2017(19):202-204.
[4]翟永剛,李金亮.智慧校園網(wǎng)絡(luò)安全等級保護問題研究與對策[J].中國信息技術(shù)教育,2020(20):107-109.
[5]孫毓鴻.論智慧校園的網(wǎng)絡(luò)安全保障體系建設(shè)[J].電腦知識與技術(shù),2020,16(8):23-24.
[6]朱海亮.智慧校園網(wǎng)絡(luò)建設(shè)與網(wǎng)絡(luò)安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應用.2021(4):84-85.