高校校園網網絡安全態勢感知建設研究

◆李俊磊

（廣東司法警官職業學院 廣東 510520）

近年來，在“互聯網+”的大環境下，教育信息化發展迅猛，信息化像“空氣與水分”一樣滲透到高校工作的方方面面。高校校園網絡正在經歷從“數字校園”向“智慧校園”升級，加快推進教育現代化和實現教育強國。智慧校園是結合物聯網和虛擬化、云計算、移動技術等新興技術構建一個全方位全覆蓋的校園網絡，實現教師教學科研管理信息化、學生學習生活智能化，達到智慧化服務和管理的校園模式。因此，智慧校園的網絡結構更為復雜，網絡安全防護的范圍更大、安全邊界更模糊、安全管理更繁雜，加上網絡環境日益嚴峻，使得網絡安全面臨威脅的可能性更大。高校作為意識形態安全的重要領地，在開放自由的校園網絡中，校園網絡安全問題無疑是校園安全中潛在的威脅，如何確保網絡安全，保障平安校園是校園網絡安全管理部門必須重視的一項常態化工作。隨著以網絡為載體的網絡犯罪行為的不斷增加，網絡黑客技術的不斷變革，病毒類型和數量也在劇增，使得傳統的網絡安全防護技術措施難以應對日益嚴峻的網絡環境，雖然各高校都在不斷地加大對網絡安全建設的投入，但是校園網絡安全備受考驗。

1 高校校園網網絡的安全特點

隨著各高校對教育信息化建設的逐步推進，高校從數字校園正邁進智慧化校園，條件優越的高校更是已經建設好了智慧校園，校園網絡已成為高校信息化建設的中樞神經系統，在師生的日常工作和生活各個方面都起著關鍵性的作用。然而我國教育領域特別是高校網絡安全管理工作目前還處于探索階段，部分高校網絡安全管理體制仍沒有理順，導致高校的網絡安全形勢嚴峻，網絡安全成了高校安全的重點工作之一。

1.1 網絡規模大、安全防護不一

我國高校的占地面積都比較大，有些高校甚至多個校區，學生人數規模龐大，因此，網絡規模大，應用也多，軟硬件設備也相應配套，涉及日常的辦公、科研、學生管理等多方面的應用，到智慧校園網絡覆蓋面積更廣、網絡結構日趨復雜，產生的數據量大，對安全的要求更高，需要防護的網絡設施與資源也隨之增多，高校為了保證安全，從主機安全、物理安全、信息安全、網絡安全和數據安全等各個層面部署了相應的安全設備，形成了基本的安全防護系統，但是業務系統的建設部門、使用部門以及管理部門往往不一，安全防護系統很難做到統一，這給網絡安全管理者帶來了很大的挑戰。

1.2 使用者安全意識薄弱

我國高校大學每年擴招，大學規模逐年遞增，校園網絡的使用群體越來越多，而且是高校學生為主的特殊的用戶群，具有好奇性強、敢于挑戰的特點，可能會使用諸如“翻墻”等手段甚至自學黑客攻擊技術來探索網絡世界，對高校網絡安全帶來一定的影響與威脅。另高校作為意識形態的重要陣地，大部分高校大學生對網絡安全意識薄弱，認為網絡空間是絕對自由和安全的，可以為所欲為，對觸犯網絡安全問題的嚴重后果認識不足、理解不深，也是導致網絡安全問題的關鍵隱患之一。

1.3 高校缺失安全力量

許多高校信息化部門的人員都存在人員不足、能力有限。一方面高校網絡管理人員的處境比較尷尬，較專職教師和行政人員來說，其工作性質、待遇和發展空間是有限的，加之現在進入高校體制的門檻高，滿足招聘條件的人才對高校網絡工作不太感興趣，導致高校信息化部門人員緊缺，高素質人才難留難求的現象，一般都由網絡技術人員兼顧網絡安全工作，在人員和技術力量上都有很大的不足，面對繁重的任務及較大的工作內容，沒法做到實時監控，網絡安全人員的心理承受的壓力和肩負責任非常大，對網絡安全的管理往往力不從心。

1.4 校園網絡隱患顯著

由于用戶角色繁多，權限的多樣性，高校網絡環境相對比較開放，對高校網絡資源管理較為寬松，導致網絡隱患較其他行業較為突出。特別是智慧校園中的業務系統多、用戶雜、數據量大、各數據之間關系緊密存在共享互通，網絡攻擊技術不斷革新，網絡不法分子一般會借助各種新型攻擊技術對校園網絡進行攻擊和入侵，常有的技術有釣魚郵件和惡意軟件、網頁篡改、漏洞入侵等方式，一旦攻擊成功，病毒和木馬將會在高校的局域網網絡中大范圍快速傳播。牽一發而動全身，如果校園內一處發生安全事件，后果將不堪設想。

2 網絡安全態勢感知的相關知識

態勢感知（Situation Awareness，SA）是指在一定的時空范圍內，對環境因素的獲取、理解及對未來趨勢的預測。整個態勢感知分為三個部分組成，對環境態勢要素的獲取、態勢理解、態勢預測。首先對環境中的態勢要素進行獲取匯總，然后通過分析理解，最后呈現及根據模型預測最近的發展趨勢，從而幫助決策者進行決策和行動。

圖1態勢感知模型

目前，我國高校的計算機網絡應用越來越廣泛，其規模越來越大，多層面的網絡安全威脅和安全風險也與日俱增，網絡病毒、DOS/DOS攻擊等構成的威脅和損失令人恐懼，網絡攻擊的手段和攻擊力復雜多變，讓高校網絡安全管理部門防不勝防，僅僅依靠增設網絡安全設施防火墻、WAF、入侵檢測、網頁防篡改系統、殺毒軟件、上網行為管理等單一的網絡安全防護技術，已不能適應當前復雜的網絡安全工作，急需借助新的技術，讓網絡安全工作變被動為主動，及時發現網絡中的異常事件，實時掌握網絡安全狀況，為網絡工作人員7*24值守減負，將之前亡羊補牢的安全事件發生的事后才響應處理，造成的損失和安全事故無法挽回，轉為事前自動評估預測，提前加固網絡，降低網絡安全風險，提高網絡安全防護能力，從而減少損失，避免完全事故發生。

近年來，隨著《網絡安全法》和《國家網絡安全戰略》的相繼出臺，習近平總書記也曾指出過“加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力。”，網絡安全已提升至國家安全地位。由于傳統安全防御體系主要是以被動為主，無法做到實時監測網絡狀態更難實現事前預測，為進一步提高教育網絡信息安全工作水平，促進教育信息化健康發展，態勢感知開始應用到網絡安全領域。

網絡安全態勢感知技術能夠對網絡中所有影響網絡安全的諸多數據信息進行針對性的獲取、經過數據處理和理解、構建模型對數據進行分析和評估以及對預測未來的發展趨勢，從信息安全、網絡安全、數據安全等多維度打造“檢測、預防、響應、加固”的服務模式，能夠全面實時把握網絡及各軟硬件設備運行狀態、感知網絡安全威脅態勢、通過全流量分析技術判斷異常事件同時可以對網絡攻擊溯源進行取證，幫助安全人員采取針對性響應處置措施，同時也能為網絡管理決策者提供決策依據，具備事前有效預警、事中及時處理、事后查補漏洞的有效的信息安全防范手段。因此，高校建立網絡安全態勢感知是大勢所趨。

3 高校校園網絡安全態勢感知的建設實施

網絡安全態勢感知是對網絡安全性定量分析的一種手段，可以實現對網絡安全性的精細度量，是網絡安全2.0時代安全技術的閃耀者。它是利用數據融合、數據挖掘、智能分析和可視化等先進技術，直觀顯示網絡環境的實時安全狀況，為網絡安全提供保障。借助網絡安全態勢感知，高校網絡監管人員可以及時了解校園網絡的健康狀況、受攻擊情況、威脅等級、攻擊來源、攻擊類型和哪些業務系統易受攻擊等情況，化被動為主動，能夠最快的速度發現問題、解決問題，避免損失的發生，同時高校應急響應組織也能從網絡安全態勢感知中了解所有網絡的安全狀況和發展趨勢，當預測可能出現嚴重安全事件時提供預警功能，為制定有預見性的應急預案提供基礎。

高校網絡安全態勢感知平臺架構整體由四層組成，分別為采集層、數據處理層、應用分析層和呈現層。平臺架構如圖2所示。

圖2高校網絡安全態勢感知平臺架構

3.1 采集層

采集“層部署”各種采集探針、包括網絡入侵探針、異常流量探針、僵木蠕探針、系統漏洞探針、網站安全探針五種類型探針，從多層次、多角度、多粒度進行數據采集，獲取影響校園網絡安全的所有安全信息，作為態勢感知信息來源的基礎，是態勢感知的前提。采集數據的來源主要是校園網中的各個網絡安全設備，包括：防火墻、入侵監測、終端管理、網絡設備、網閘、入侵防御、VPN設備、網絡審計、數據庫審計、4A系統、漏洞掃描、輿情設備、流量管理、網絡防護、WEB防火墻、IPS、WAF以及各種服務器等設備。

3.2 數據處理層

數據處理層“部署”大數據處理引擎，用于采集上來的數據進行處理、存儲。通過特征提取、數據融合、關聯分析等方式對原始數據進行數據預處理，包括數據清洗、數據融合和數據關聯幾個流程，提取出有用的安全數據，得出影響的整體安全狀況，這是態勢感知的基礎。

3.3 應用分析層

應用分析層“部署”各子系統及溯源追蹤子系統，是平臺的核心，用于分析各類安全數據，為呈現層提供技術支撐。依托建立好的分析模型，對處理好的數據進行實時、離線的分析運算，通過數據挖掘手段分析出異常。如網絡入侵態勢感知可以對每日的校園網絡中的日志通過“入侵威脅感知引擎“分析，收集的日志有防火墻日志、主要服務區日志、入侵檢測日志、上網認證和行為管理日志、網絡中關鍵主機日志以及主機漏洞信息，通過融合分析收集的日志信息，經過處理分析，形成攻擊成功的事件，通過流量分析系統可以發現異常流量是的DDoS攻擊事件并可以掌握其攻擊源。

3.4 呈現層

呈現層則是可視化界面，是態勢感知平臺的目標，主要部署態勢感知呈現門戶，用于底層分析結果呈現。通過形成圖形化或者報表化等可視化方式對安全狀態展示，為學校領導、網絡安全管理人員、維護人員、業務部門提供實時的網絡安全態勢感知服務。同時可以與云端安全情報中心建立實時聯動，可實時獲取最新的安全威脅數據，結合客戶網絡風險的分析結果，對未來安全趨勢進行預判及風險預警，提前進行安全加固防范。

3.5 高校網絡安全日常管理流程

建立了網絡安全態勢感知平臺，高校的日常安全管理流程也隨之完善，利用網絡安全態勢感知平臺，可將整個IT安全”運維“分為預警、報警、處理、知識儲備四個階段，如圖3所示，利用網絡安全設備監控功能對校園網絡安全的異常情況和未來安全趨勢進行預判及當達到預定的風險等級時觸發風險預警，并將預警信息告知網絡安全管理人員，對于達到出現安全事件的安全狀態發出報警信息，第一時間要求網絡安全管理人員予以解決，當管理人員處理好工單后將結果反饋存入平臺系統中補充知識庫。通過定期生成網絡安全信息報告，使學校領導和管理人員能夠了解全校的信息安全狀態。

4 總結

現在的高校校園網絡建設不斷擴大，作為校園安全重要地位的網絡安全而言，學校除了在加固校園網的軟硬件設備的安全防護，加強校內師生網絡安全意識，強化網絡安全值班的同時，高校應對網絡安全問題應化被動為主動，利用網絡安全態勢感知平臺對校園的網絡狀態進行實時監控，及時掌握到網絡運行狀態，預測未來的網絡形勢，針對排查和預測情況及時整改，堵塞安全漏洞，做到事前有效預警、事中及時處理、事后插補漏洞的一體化管理，真正做到“安全態勢可感知、安全威脅可預警、異常行為可監控、安全價值可呈現”。從而提升校園網絡安全的管理能力，更好地維護網絡安全，確保網絡安全穩定高效。