智慧校園環(huán)境下的數(shù)據(jù)安全研究與實(shí)踐

沈輝賢

【摘?要】隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，在高校的智慧校園里建立起統(tǒng)一的數(shù)據(jù)交換和存儲(chǔ)平臺(tái)，促進(jìn)數(shù)據(jù)在校內(nèi)的互聯(lián)互通，加速教育信息化進(jìn)程。而隨著數(shù)據(jù)的日益集中，統(tǒng)一數(shù)據(jù)平臺(tái)的數(shù)據(jù)安全越來(lái)越受到重視。本文分析了當(dāng)前數(shù)據(jù)安全面臨的新形勢(shì)，并試從本校統(tǒng)一數(shù)據(jù)平臺(tái)的數(shù)據(jù)安全實(shí)踐著手，探討保障智慧校園數(shù)據(jù)安全的可行措施。

【關(guān)鍵詞】智慧校園;數(shù)據(jù)安全;實(shí)踐

引言

隨著云計(jì)算、機(jī)器學(xué)習(xí)、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)不斷同高校信息化建設(shè)發(fā)展相融合，各高校紛紛進(jìn)入從數(shù)字化校園向智慧校園發(fā)展的快速轉(zhuǎn)型階段，為“用數(shù)據(jù)說(shuō)話(huà)、用數(shù)據(jù)決策、用數(shù)據(jù)管理、用數(shù)據(jù)創(chuàng)新”的管理決策機(jī)制打下基礎(chǔ)，但隨著教學(xué)、流程、管理逐漸線(xiàn)上化，學(xué)校數(shù)據(jù)規(guī)模急劇增大，如何管理海量數(shù)據(jù)和確保數(shù)據(jù)安全，成為高校信息化發(fā)展的一大挑戰(zhàn)。同時(shí)，國(guó)家高度重視數(shù)據(jù)安全，在2019年，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》;其中數(shù)據(jù)安全建設(shè)是該標(biāo)準(zhǔn)的核心內(nèi)容之一。基于此，本研究將討論智慧校園建設(shè)下高校數(shù)據(jù)的安全管理。

1當(dāng)前數(shù)據(jù)安全面臨的新形勢(shì)

隨著互聯(lián)網(wǎng)的快速發(fā)展，信息化產(chǎn)生的數(shù)據(jù)呈現(xiàn)出爆發(fā)增長(zhǎng)和不斷集中的態(tài)勢(shì)。據(jù)國(guó)際數(shù)據(jù)公司（IDC）發(fā)布的對(duì)全球數(shù)字化的白皮書(shū)預(yù)測(cè)，全球數(shù)據(jù)圈正在經(jīng)歷著快速擴(kuò)張，預(yù)計(jì)從2018年的33ZB數(shù)據(jù)量增至2025年的175ZB，其中中國(guó)數(shù)據(jù)圈以30%的年平均增長(zhǎng)速度領(lǐng)先全球，并將在2025年成為最大的數(shù)據(jù)圈。在數(shù)字化程度與日俱增的世界里，數(shù)據(jù)資源的價(jià)值和重要性慢慢被人們所發(fā)現(xiàn)，如何保護(hù)用戶(hù)數(shù)據(jù)安全已成為人們普遍關(guān)心的問(wèn)題。近年來(lái)，數(shù)據(jù)安全總體形勢(shì)不容樂(lè)觀，信息泄露、勒索病毒等各種數(shù)據(jù)安全事件常有發(fā)生。

2智慧校園建設(shè)背景下數(shù)據(jù)安全管理面臨的挑戰(zhàn)

2.1云計(jì)算帶來(lái)的安全隱患

云計(jì)算技術(shù)的發(fā)展為高校智慧校園建設(shè)提供了強(qiáng)大技術(shù)支撐，但因其具有體系架構(gòu)復(fù)雜、邊界模糊等特性，為數(shù)據(jù)存儲(chǔ)帶來(lái)了新的安全隱患，云虛擬化安全方面就面臨著竊取服務(wù)的攻擊、網(wǎng)絡(luò)惡意代碼的注入攻擊、信道攻擊等。例如目前各高校中，服務(wù)器虛擬化逐漸代替了實(shí)體服務(wù)器，其使運(yùn)維人員可通過(guò)相關(guān)界面就可以管理眾多服務(wù)器，不需進(jìn)入機(jī)房去尋找各個(gè)實(shí)體服務(wù)器，但是同駐在一臺(tái)物理機(jī)上的多個(gè)虛擬機(jī)可以不通過(guò)下一代防火墻、web應(yīng)用防火墻等網(wǎng)絡(luò)安全防護(hù)設(shè)備直接進(jìn)行數(shù)據(jù)交換，無(wú)法對(duì)虛擬機(jī)之間的通信進(jìn)行有效的監(jiān)控和安全隔離，為網(wǎng)絡(luò)攻擊和病毒在云平臺(tái)內(nèi)部擴(kuò)散提供了更多的機(jī)會(huì)。

2.2共享數(shù)據(jù)中心管理

高校智慧校園建設(shè)的進(jìn)行，各業(yè)務(wù)系統(tǒng)的核心數(shù)據(jù)經(jīng)梳理集中于共享數(shù)據(jù)中心平臺(tái)，為在大數(shù)據(jù)分析階段挖掘數(shù)據(jù)的潛藏價(jià)值做好了準(zhǔn)備。隨著其蘊(yùn)含各種形式的數(shù)據(jù)量日益增多，對(duì)數(shù)據(jù)的存儲(chǔ)、處理、運(yùn)算提出了新的技術(shù)需求，但因應(yīng)運(yùn)而生的新型技術(shù)不夠成熟、數(shù)據(jù)量大等原因，導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)極大，重要敏感數(shù)據(jù)存在泄露的風(fēng)險(xiǎn)，同時(shí)共享數(shù)據(jù)中心平臺(tái)一旦發(fā)生數(shù)據(jù)泄露、受到重大病毒攻擊等，將對(duì)學(xué)校數(shù)據(jù)安全產(chǎn)生嚴(yán)重的后果。

3本校統(tǒng)一數(shù)據(jù)平臺(tái)的數(shù)據(jù)安全實(shí)踐

高校智慧校園項(xiàng)目建設(shè)的統(tǒng)一數(shù)據(jù)平臺(tái)一般都有如下特點(diǎn)：（1）作為數(shù)據(jù)交換的樞紐，匯集的數(shù)據(jù)具有容量大、種類(lèi)多、權(quán)威性高的特點(diǎn);（2）部分?jǐn)?shù)據(jù)交換有速度和頻度要求，不能為了安全性犧牲可用性;（3）一般高校都有外包公司協(xié)助進(jìn)行智慧校園建設(shè)，數(shù)據(jù)流轉(zhuǎn)的下游系統(tǒng)也同樣由外包公司協(xié)助建設(shè)，各種敏感和重要數(shù)據(jù)無(wú)可避免要給外包公司人員經(jīng)手，而外包人員一般流動(dòng)性較大，這給出現(xiàn)問(wèn)題后的追查取證帶來(lái)很大障礙，大大增加發(fā)生安全問(wèn)題的概率，成為數(shù)據(jù)安全的最大隱患。在智慧校園項(xiàng)目的實(shí)施過(guò)程中，針對(duì)數(shù)據(jù)平臺(tái)存在的安全問(wèn)題、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0二級(jí)（下稱(chēng)等保2.0）的相關(guān)要求并結(jié)合本校實(shí)際，采取了一系列措施，從技術(shù)和管理兩方面有效地預(yù)防和減少上述數(shù)據(jù)安全問(wèn)題的發(fā)生。

3.1硬件安全

統(tǒng)一數(shù)據(jù)平臺(tái)存放于智慧校園一體機(jī)上，保護(hù)支撐其運(yùn)作的硬件設(shè)施也是重中之重。在等保2.0中提出了對(duì)支撐信息系統(tǒng)運(yùn)作的硬件及其保管空間（機(jī)房）的要求，包括供電、溫度、濕度、防塵、防火等方面，停電時(shí)能夠保證支撐數(shù)據(jù)庫(kù)及業(yè)務(wù)系統(tǒng)正常運(yùn)行超過(guò)1小時(shí)，并可迅速切換至后備運(yùn)行環(huán)境。

3.2構(gòu)建密碼管理機(jī)制

密碼是信息系統(tǒng)最容易出現(xiàn)的安全問(wèn)題，也是最容易受到黑客攻擊的脆弱點(diǎn)。為了保證密碼的長(zhǎng)期安全，需要建立一套長(zhǎng)期有效的密碼管理機(jī)制。（1）使用密碼生成工具生成密碼并定期更換。統(tǒng)一數(shù)據(jù)平臺(tái)前臺(tái)、后臺(tái)有多個(gè)管理賬號(hào)，可使用密碼生成工具統(tǒng)一生成長(zhǎng)度足夠、字符種類(lèi)多樣且無(wú)規(guī)律的密碼并統(tǒng)一進(jìn)行更改，部分賬號(hào)的密碼可能還用于其他系統(tǒng)訪問(wèn)的，可以考慮編寫(xiě)腳本統(tǒng)一修改。（2）形成密碼交付記錄。通過(guò)簽訂協(xié)議等方式，保留交付密碼的記錄，對(duì)數(shù)據(jù)平臺(tái)的密碼的去向有大致掌握，通過(guò)定期更換密碼，可以將知道密碼的人數(shù)控制在一定范圍內(nèi)。

3.3訪問(wèn)控制

統(tǒng)一數(shù)據(jù)平臺(tái)非常重要，必須嚴(yán)格控制可登錄統(tǒng)一數(shù)據(jù)平臺(tái)的人員，確保除了通過(guò)各種應(yīng)用入口合法訪問(wèn)數(shù)據(jù)庫(kù)外，只有數(shù)據(jù)庫(kù)管理員能夠從管理入口進(jìn)入。利用網(wǎng)絡(luò)防火墻，對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)作出基于白名單的訪問(wèn)控制。而對(duì)于可以合法訪問(wèn)的人員，在數(shù)據(jù)庫(kù)內(nèi)部和應(yīng)用入口對(duì)不同用戶(hù)的訪問(wèn)進(jìn)行了權(quán)限劃分和租戶(hù)隔離，能夠更好地防范對(duì)統(tǒng)一數(shù)據(jù)平臺(tái)的有害操作。除此之外，網(wǎng)絡(luò)防火墻還肩負(fù)防范應(yīng)用層網(wǎng)絡(luò)攻擊的任務(wù)，如識(shí)別出疑似的注入、遠(yuǎn)程代碼，木馬上傳等網(wǎng)絡(luò)攻擊行為，可通過(guò)封鎖IP和賬號(hào)等方式禁止用戶(hù)進(jìn)行數(shù)據(jù)訪問(wèn)操作，并記錄網(wǎng)絡(luò)攻擊行為日志供日后研究和追責(zé)。

3.4數(shù)據(jù)加密

在面向不可靠用戶(hù)環(huán)境的情況下，數(shù)據(jù)加密是有效防止嗅探和篡改的重要手段，我們采取了三種數(shù)據(jù)加密方式：傳輸加密、庫(kù)加密和字段加密。（1）傳輸加密：針對(duì)應(yīng)用層面的數(shù)據(jù)訪問(wèn)，采用HTTPS協(xié)議和對(duì)稱(chēng)加密算法，對(duì)傳輸參數(shù)和HTTP報(bào)頭本身進(jìn)行加密，是防止網(wǎng)絡(luò)嗅探的有效手段。（2）庫(kù)加密：針對(duì)備份環(huán)境下的數(shù)據(jù)庫(kù)，實(shí)行全庫(kù)加密。備份服務(wù)器上的數(shù)據(jù)庫(kù)以文件形式存儲(chǔ)，也存在被黑客入侵的風(fēng)險(xiǎn)。對(duì)備份環(huán)境的數(shù)據(jù)庫(kù)進(jìn)行整庫(kù)加密是對(duì)備份文件的一道保險(xiǎn)，當(dāng)需要啟用備份庫(kù)時(shí)再進(jìn)行全庫(kù)的解密即可。（3）字段加密：對(duì)于一些重要的敏感字段，例如密碼、銀行卡號(hào)等，如果不得已必須存到數(shù)據(jù)庫(kù)，需要以加密形式進(jìn)行存儲(chǔ)，這些敏感數(shù)據(jù)直接以加密的形式進(jìn)行數(shù)據(jù)流轉(zhuǎn)。

3.5數(shù)據(jù)脫敏

數(shù)據(jù)脫敏是有效防止數(shù)據(jù)泄露的技術(shù)手段，脫敏方式主要分為靜態(tài)脫敏和動(dòng)態(tài)脫敏兩種。（1）靜態(tài)脫敏：靜態(tài)脫敏是直接針對(duì)數(shù)據(jù)庫(kù)中的敏感字段施行數(shù)據(jù)遮蔽、字符轉(zhuǎn)換等手段，應(yīng)用于測(cè)試專(zhuān)用的測(cè)試庫(kù)和科研專(zhuān)用的科研庫(kù)，這樣可以方便開(kāi)放這兩個(gè)庫(kù)給更大范圍人員進(jìn)行測(cè)試和科研工作。（2）動(dòng)態(tài)脫敏：針對(duì)業(yè)務(wù)層面的應(yīng)用，在數(shù)據(jù)出口處對(duì)數(shù)據(jù)進(jìn)行遮蔽、字符轉(zhuǎn)換等脫敏操作，動(dòng)態(tài)脫敏可以針對(duì)不同用戶(hù)和用戶(hù)組制定不同的脫敏規(guī)則，在滿(mǎn)足業(yè)務(wù)需求的同時(shí)進(jìn)行有效的數(shù)據(jù)保護(hù)。

結(jié)束語(yǔ)

智慧校園加快了高校信息化建設(shè)的步伐，為師生提供了便捷的服務(wù)，為實(shí)現(xiàn)高效化、智慧化的校園服務(wù)奠定了基礎(chǔ)。數(shù)據(jù)作為智慧校園建設(shè)中的重要資產(chǎn)，高校在充分發(fā)揮數(shù)據(jù)價(jià)值的同時(shí)，要把數(shù)據(jù)安全放在第一位，從技術(shù)、管理等多角度出發(fā)，加強(qiáng)數(shù)據(jù)安全的監(jiān)督、管理，建立有效的數(shù)據(jù)安全防護(hù)體系，營(yíng)造健康的數(shù)據(jù)安全環(huán)境。

參考文獻(xiàn)：

[1]張玉清，王曉菲，劉雪峰，等.云計(jì)算環(huán)境安全綜述[J].軟件學(xué)報(bào)，2016，27（6）：1328-1348.

[2]魏楚元，彭升輝，任彥龍，等.從數(shù)據(jù)中找到"黃金"構(gòu)建高校數(shù)據(jù)治理框架[J].中國(guó)教育網(wǎng)絡(luò)，2019（4）：61-63.

（作者身份證號(hào)碼：450924198203075118）