試論校園網安全防御體系的構建

□杜駿震 常松麗

(山西廣播電視大學,山西 太原 030027)

隨著校園網創新業務的深入應用，校園網面臨的信息安全問題日益嚴重。如何有效地保障校園網的安全是用戶極為關注的要點。高校校園網絡安全保障應貫徹以安全管理為中心、對通信網絡、區域邊界和計算環境進行深度防護的理念，從技術應用層面上構建一個集檢測預警、主動防御、整體防控為一體的多重網絡環境下的校園網絡安全防御體系。

一、通信網絡安全保護的內涵解析

通信網絡的安全是指在通信雙方通信前要進行單向或雙向的身份驗證，在信息交互過程中要保障傳輸數據的完整性和機密性，防止傳輸數據被劫持、篡改和泄露。要為校園業務提供充足的網絡帶寬與可用性，在網絡區域劃分基礎上實施安全管控。要對通信設備的引導程序、系統程序與應用程序等進行可信驗證。

(一)網絡架構的優化設計

校園網絡架構的設計或升級要滿足創新業務的需求，緊密跟蹤網絡架構技術的發展趨勢。目前，采用扁平化大二層網絡架構，并利用軟件定義網絡(SDN)和網絡功能虛擬化(NFV)等新技術來自定義與優化網絡基礎設施架構及網絡功能是支撐校園網多網融合、業務融合、云計算環境、高速數據傳輸以及提供動態差異化服務的一種良好選擇。

網絡設備性能、網絡帶寬與可用性保障。選擇具有較高性能技術指標的設備可充分保障業務高峰期的流量處理能力，大大降低設備CPU及內存使用率的峰值。網絡監控平臺始終不產生任何網絡設備宕機的告警日志。精心梳理與分析業務網絡流量及途徑的網絡路徑，利用流控設備對校園網各業務流量帶寬進行調控，配置網絡設備服務質量QoS，保障業務流量途徑的網絡有充足的帶寬，網絡設備端口帶寬遠高于業務高峰時的鏈路流量帶寬。從設備級、鏈路級、協議級對網絡高可用性進行冗余設計。關鍵網絡及安全設備采用冗余結構。對設備物理端口進行鏈路聚合，進行多鏈路的備份和流量負載分擔。通過網絡設備虛擬化技術的實時協議熱備份，實現協議級別的可用性。

網絡區域劃分與安全管控。在網絡架構安全層面上，按照等級保護對象的重要程度和應用系統的安全級別等，將校園網絡劃分成不同的網絡區域，為各網絡區域分配不同的網絡地址，各網絡區域之間利用VLAN、VxLAN和防火墻進行邏輯隔離，實施訪問控制、邊界防護、入侵防范、惡意代碼防護以及安全審計等防御。通過綜合網絡監控系統實時監測網絡設備、網絡鏈路與安全設備的運行狀況，通過安全態勢感知平臺監控資產運行狀態，發現資產配置脆弱性及存在的漏洞，關聯安全設備的各種告警事件，實時監測全網流量，發現各種安全威脅行為，全面分析校園網絡的安全態勢。

(二)通信傳輸的安全保障

網絡通信過程中，必須保障傳輸過程中數據的完整性與保密性，以獲得安全的數據傳輸。其中，網絡通信中的數據完整性可通過安全傳輸協議中采用的哈希算法來實現，如MD5、SHA256、SHA512和SM3。網絡通信中的數據保密性可通過安全傳輸協議中采用的加密算法來實現，如SM1、SM2、SM4、DES、3DES、RSA、AES、ECC等。根據不同應用場合，采用相應的安全通信協議來確保數據的傳輸安全。

SSL/TLS 安全協議具有身份驗證、信息加密和完整性校驗的功能。通過SSL/TLS協議，客戶端從服務器端獲取攜帶公鑰的數字簽名證書，使用CA公鑰對證書的數字簽名驗證，可鑒別服務器的真實身份。在服務器端設置對客戶端鑒別，可實現服務器對客戶端身份的驗證。SSL/TLS協議介于傳輸層TCP協議與應用層協議之間，因此，SSL/TLS可為基于TCP協議的應用層協議所傳輸的數據進行加密，保證端到端應用程序通信數據的完整性和保密性。

Web訪問是校園網最廣泛的應用，為保障瀏覽器與服務器之間的信息交換安全，Web網站應實施全站HTTPS化。安全超文本傳輸協議HTTPS利用SSL/TLS協議提供的身份驗證、消息完整性和數據加密等安全機制，為Web通信提供端到端的數據傳輸安全保證。在WEB服務器上安裝并配置由可信任CA頒發的具有強簽名算法的SSL證書，瀏覽器利用集成的SSL安全技術來驗證Web網站身份，防止釣魚網站。HTTPS協議通過對傳輸信息的加密，防止傳輸數據被劫持、篡改和泄露，從而確保了數據傳輸的完整性和保密性。

校外用戶遠程訪問校園內網資源是校園網的一大需求，在這種應用場合下，可采用SSL VPN技術來實現。SSL VPN是一種基于SSL技術的VPN，可以為校外用戶使用瀏覽器訪問校園內網資源提供信息傳輸的安全保障。校外用戶通過SSL VPN在遠程用戶與校園網SSL VPN網關之間建立的一條SSL通信安全連接訪問校園內網的WEB資源。VPN用戶接入后，SSL VPN網關及統一身份認證平臺對遠程接入用戶進行身份驗證，認證通過后，用戶按照系統設定的角色與權限訪問校園內網資源。

(三)可信驗證系統

校園網中各種網絡設備與安全設備是構成通信網絡的重要基石，這些設備自身的安全關系到通信網絡的安全，而確保設備自身安全的有效方法是采用可信鏈架構技術。因此，在設備選型時，應選擇內置有可信根RoT及可信軟件基TSB技術的設備。可信根在設備硬件內部存儲著證書、安全算法、秘鑰、配置信息等重要文件，可信根通過安全芯片來保障設備系統與應用的完整性，使系統及軟件始終在預期的可信狀態下啟動與運行，實現設備固件引導程序、操作系統內核、操作系統引導程序、配置參數和應用程序啟動時的靜態度量及運行時的動態度量，為設備構建一條由內層到外層的逐級信任鏈傳遞。目前，可利用國產TPCM可信安全芯片來構建可信根。可信軟件基與設備操作系統內核深度融合，在可信根實體與硬件基礎上運行，起承上啟下的作用。它利用可信根實體的安全特性保證自身安全，同時，又在可信根實體的支撐下對應用程序運行過程中的行為進行動態度量，根據判定機制的判定結果，進行相應的控制。當檢測到信任鏈遭到破壞時發出報警，并將可信驗證結果記錄發送至可信管理平臺。可信管理平臺負責完成可信節點的安全策略統一管理與分發。

二、區域邊界安全防護的設計

區域劃分遵循的原則是將校園網絡中具有同等安全防御需求、同等訪問控制策略及同等邊界控制策略的子網分配到一個安全區域。校園網通常可劃分為互聯網接入區、分校專線接入區、對外信息發布區、骨干交換區、業務區、終端用戶區、無線網絡區、物聯網區以及安全管理區。各區域內部可繼續劃分出多個子區域。

(一)區域邊界總防護策略

各區域邊界的保護可采取訪問控制、邊界防護、入侵防范、惡意代碼防護、垃圾郵件防御、安全審計以及可信驗證等措施。

邊界隔離、訪問控制與邊界防護。傳統物理交換網絡利用VLAN、PVLAN等技術進行隔離，云計算虛擬網絡利用VxLAN等技術進行隔離。各區域采用最小權限雙向訪問控制策略，設置基于業務、應用與用戶的細粒度訪問控制策略，動態檢測區域之間的通信數據包，根據會話狀態信息允許或拒絕數據包通行。利用下一代防火墻的虛擬化功能對各區域邊界進行保護。防火墻每個接口連接一個區域，各接口設置不同的安全級別，各區域之間的雙向數據通信均通過防火墻的過濾與動態檢測。采用安全組、安全資源池實現云數據中心業務區東西向虛擬網絡之間的訪問控制。通過終端準入系統限制非授權設備聯到校園網。堡壘機完成運維人員的統一登錄認證與管理。統一身份認證平臺及上網行為管理系統實現用戶的網絡訪問控制。

入侵防范、惡意代碼防護及垃圾郵件防御。在各區域邊界部署下一代入侵防御系統NGIPS，檢測并防御從區域內外發起的各種網絡攻擊。對于云數據中心的業務區，利用NGIPS實現云邊界南北向的入侵防御，利用虛擬IPS防御來自虛擬網絡之外的東西向網絡攻擊行為。郵件服務器前部署反垃圾郵件網關，實現對濫發、匿名、非法、偽造等行為的垃圾郵件的防范及對病毒、欺詐、釣魚等郵件的防御。

邊界安全審計與可信驗證。綜合日志審計平臺采集校園網各種網絡設備、安全設備、服務器及終端的日志，分析與審計各區域邊界的異常情況、用戶行為和安全事件，形成審計記錄并定期備份。邊界網絡設備及安全設備應選擇內置有可信根RoT及可信軟件基TSB的設備。

(二)各區域的邊界防控

互聯網接入區。互聯網接入區是校園網與各通信運營商通信的邊界，互聯網接入區面臨的主要安全威脅有來自互聯網的黑客入侵、拒絕服務攻擊、惡意代碼、惡意文件、APT高級持續攻擊、漏洞利用、暴力破解攻擊、非授權接入和未知威脅的攻擊，以及來自校園網內部發起的各種網絡攻擊行為等。對互聯網接入區的保護可通過邊界路由器的安全功能及下一代防火墻NGFW、新一代入侵防御系統NGIPS、抗DDOS系統和上網行為管控系統等措施來實現。邊界路由器是互聯網接入區對外的第一道安全防護，在利用內置的可信根RoT及可信軟件基TSB技術保障自身安全體系的基礎上，邊界路由器要做好安全加固配置及網絡安全防護。在下一代防火墻上實施安全域隔離、網絡地址轉換、流量控制、ISP負載均衡和VPN。設置基于業務、應用、用戶的細粒度訪問控制策略，動態檢測邊界數據包各層協議，實現對應用協議和內容的識別與分析。將防火墻與網絡監控系統、日志服務器、認證服務器、上網行為控制系統、郵件網關等系統聯動實現互聯網出口的全方位安全防御。新一代入侵防御系統智能分析網絡各層流量，深度檢測及全面阻斷諸如惡意代碼、惡意文件、間諜軟件、地址欺騙攻擊、掃描攻擊、異常流量攻擊、勒索攻擊、惡意挖礦攻擊、APT攻擊及未知威脅的雙向攻擊行為。為抵御大規模大流量的DDoS攻擊，可選用安全服務商提供的DDoS防御云服務。上網行為管控系統實現校園網用戶實名訪問互聯網及校內應用的上網行為審計與管控、在線聊天管控、上網泄密管控以及上網流量管控等。

分校互聯區。在總校與各分校連接的每條鏈路兩側分別部署一路下一代防火墻與新一代入侵防御系統NGIPS進行獨立防護，在防火墻上啟用相應的雙向訪問控制策略，入侵防御系統NGIPS對鏈路上網絡各層流量進行深度檢測，實時阻斷各種攻擊行為。

核心骨干區。在大二層網絡架構下，核心骨干區承擔著路由、高速數據轉發、認證、安全控制等重任。針對安全控制，利用下一代防火墻并啟用虛擬防火墻功能對劃分的各安全區域進行邏輯邊界防護與安全訪問控制，不同區域實施各自相應的安全策略。通過入侵檢測系統實現對區域之間內部攻擊行為及異常流量的檢測。

對外發布區。將校園對外應用發布集中部署于非軍事區域，利用虛擬防火墻、抗DDOS系統、WEB應用防火墻、Web防篡改以及Web攻擊監控等措施，對非軍事區域的對外WEB服務器進行安全監測與防護。該區域內Web服務器之間禁止直接通信，只能通過特定端口與應用服務器分別通信。

業務區。該區域是校園網的計算環境，承擔校園網大量內部業務的運行。對本區域的邊界防護可從訪問控制、入侵檢測及安全審計三方面保障。在訪問控制方面，采用下一代防火墻，WEB應用防火墻、Web防篡改來實現南北向訪問控制及抵御外部對服務器的安全威脅，采用VPC、安全組、安全資源池實現東西向虛擬網絡之間的隔離及訪問控制。在入侵檢測方面，采用新一代入侵防御系統進行南北向的入侵防御，采用虛擬IPS防御來自虛擬網絡之外的東西向網絡攻擊行為。在安全審計方面，通過堡壘機登錄業務區服務器進行遠程管理操作的細粒度管控，實現運維過程的全程監控與審計。

無線網絡區。對無線網絡區的邊界防護可通過部署無線控制器AC、新一代無線入侵防御系統WIPS等措施來實現。通過無線控制器AC實現對AP配置參數與策略的統一下發、AP的無感知漫游管理、非法AP檢測、無線接入安全控制以及無線協議攻擊防御等。通過新一代無線入侵防御系統實現無線網絡環境下無線非法接入、非法外聯及網絡攻擊行為的發現、阻斷與定位。

物聯網區。物聯網區承載著以物聯網技術為基礎的各種智慧校園應用系統。從物聯網的構成角度來分析，物聯網自身的安全應該從感知層、網絡層和應用層進行多層次的保護。物聯網與校園網的邊界體現在網絡層，可通過物聯網智能網關實現對感知節點與感知網關的細粒度訪問控制，將不同物聯系統分隔到不同的虛擬子網，實施差異化安全策略，對傳輸數據進行動態檢測，對感知節點、感知網關進行身份認證、網絡準入控制，對物聯網異常流量及行為進行檢測與過濾，實現感知層的入侵防御。

終端用戶區。用戶終端包括校內有線終端、無線終端以及校外遠程接入終端。對本區域邊界的保護涉及邊界防護、訪問控制、入侵防范、惡意代碼防護、安全審計等。通過終端準入控制系統、SSL VPN網關、無線控制器AC以及下一代防火墻實現邊界的防護與訪問控制。通過新一代入侵防御系統NGIPS實現對來自終端的入侵攻擊行為的防范及惡意代碼攻擊防護。通過上網行為管控系統及綜合日志審計系統實現終端用戶的上網行為和安全事件的審計。通過交換機VLAN、PVLAN、VLAN Pool等技術將不同群體終端劃分到不同子網進行邏輯隔離。

安全管理區。校園網安全管理區域完成系統管理、審計管理、安全管理和集中管控任務。對本區域邊界的保護涉及邊界防護、訪問控制、入侵防范、惡意代碼防護、安全審計等。通過下一代防火墻實現邊界的防護與訪問控制。通過新一代入侵防御系統實現各種入侵攻擊行為的防范及惡意代碼攻擊防護。通過綜合日志審計系統實現安全事件的審計。

三、計算環境安全防護的設計

計算環境承載著校園網業務應用系統的運行，存儲和處理著業務應用的重要數據。計算環境的安全應從主機安全、數據安全、應用安全與終端安全幾個方面來保障。

(一)主機安全

校園網服務器主機面臨的安全風險包括黑客入侵、拒絕服務攻擊、惡意代碼、APT高級持續攻擊、漏洞利用、密碼暴力破解、惡意文件、數據篡改、非授權接入、內部人員越權和濫用、操作失誤及來自校園網內部發起的網絡攻擊行為等。為確保服務器主機的安全，應在多個層面進行安全防御。采用內置有可信根RoT及可信軟件基TSB技術的服務器，保障服務器的引導程序、操作系統內核與引導程序、配置參數和應用程序始終處于可信任的環境中。設置BIOS高強度密碼，設置BIOS禁用U盤，防止惡意代碼從移動介質傳入服務器，及時更新BIOS版本，避免BIOS安全漏洞。按照信息安全技術標準中的主機安全加固系統安全技術要求規范，在主機的登錄身份鑒別、訪問控制、剩余信息保護、入侵防范、惡意代碼防范、系統資源控制、備份與恢復及安全審計策略方面對操作系統進行檢查與安全加固，以增強本地主機操作系統的安全。在此基礎上還可以部署專業的主機安全防護系統，進行深度的安全防護。

(二)數據安全

校園網數據面臨的主要風險是數據被泄露、篡改及破壞。針對數據安全，應該對數據進行分類定級，區分敏感與普通數據，梳理數據的使用狀態，集中管理分散數據，采取各種數據保護策略，對數據進行全生命周期的管理。數據庫是校園網數據的主要載體，數據庫安全是數據安全的核心。因此，應通過數據庫防火墻、數據庫加密、數據庫脫敏、數據庫同步、數據庫審計和數據庫備份等技術來保障數據安全。

數據庫防火墻。將數據庫防火墻置于數據庫服務器與應用服務器之間，實現數據庫的安全訪問控制與風險防范。安全策略要素包括：利用多因素驗證機制認證數據庫用戶的身份。設置數據庫管理員最小操作權限。對重要的數據進行字段、行及語句級的細粒度訪問控制。通過對數據庫通信協議解析和SQL語法分析，及時發現與阻斷SQL注入、跨站腳本攻擊行為。阻止批量刪除與修改等操作。對低級別權限的用戶，僅提供脫敏數據。監控數據庫運行狀態、性能與安全指標。記錄用戶訪問與操作數據庫的行為并提供給數據庫審計及日志審計系統。

數據庫加密、脫敏與銷毀。對數據庫中的鑒別數據、重要業務數據和個人重要信息執行按列、按行或按記錄方式的加密。不同權限數據使用不同密鑰進行加密，密鑰與數據分離存儲，密鑰之間相互隔離，密鑰強度滿足長度與隨機性要求，密鑰分層加密存儲與管理，采用密鑰安全策略保護密鑰，避免數據庫文件被復制、數據文件丟失造成的數據泄密。對應用系統之間流轉的數據進行加密傳輸及加密存儲。為滿足測試、開發、分析、演示等場景中需要使用校園網數據，同時又要保護敏感和隱私數據的要求，利用不可逆脫敏算法對數據庫中的敏感數據進行數據變形、隨機替換、數據屏蔽、數據加密、數據漂白等處理。數據脫敏過程在主機內存中完成，內存釋放或重新分配前清除掉敏感數據。存儲與處理過重要數據的介質與設備不再使用時，應進行數據粉碎、磁盤消磁或物理銷毀，避免數據被盜或泄露。

數據庫審計與備份。數據庫審計系統完成數據庫操作行為的記錄與審計，對數據庫狀態進行實時監控，發現數據庫異常操作行為并告警，對數據庫訪問行為進行多維度的統計分析，通過與業務應用的關聯分析，實現對數據庫訪問者的軌跡追溯。數據庫備份可采取增量備份、差異備份、完全備份、和日志備份。重要數據庫采取異地備份策略，備份數據實行加密傳輸。數據庫恢復前，先在測試服務器上還原數據庫以檢測備份的可用性。

(三)應用安全

應用軟件開發安全。將安全設計融入軟件開發生命周期的各個階段，最大限度地減少軟件漏洞與安全缺陷，縮小軟件上線后受到的攻擊面。軟件開發應遵循一些安全開發策略，如：選擇安全的開發環境，對開發框架和組件做滲透測試。網站架構采用站庫分離、前后端分離技術。對口令長度與復雜度進行校驗以提高身份的鑒別強度，進行身份多次組合鑒別。鎖定多次登錄鑒別失敗的賬號。實施基于業務所需的最小授權機制。前端應對頁面輸入數據的合法性進行校驗，使用SQL參數化代替SQL拼接以減少SQL注入。過濾頁面危險字符減少跨站腳本的攻擊。通過短信驗證碼、一次性令牌等方式減少跨站請求偽造。通過上傳文件擴展名類型的限定、上傳文件目錄下禁止腳本執行、上傳圖片保存前預處理等方式減少文件上傳漏洞。采用加解密技術保護程序中的敏感數據。采用哈希算法保障數據的完整性。程序中加入序列號、時間戳防止數據重放攻擊。開發詳細的用戶登錄、訪問、操作、業務日志以及日志備份功能。使用RASP技術獲取程序運行的上下文，識別并攔截攻擊行為，進行程序的自身保護。使用多種滲透測試工具對應用軟件安全性進行入侵性測試，對經過安全修護后的應用軟件進行回歸測試，驗證漏洞修復結果。

WEB應用防護、網站身份保護與網站群管理。在業務應用服務器前集群部署WEB應用防火墻來識別、清洗和過濾Web應用的各種惡意流量，將正常、安全的流量轉發給WEB應用服務器，動態地防御已知、未知、0Day的應用攻擊，保障Web應用安全。在WEB應用服務器上安裝與配置CA頒發的具有強簽名算法的OV SSL證書或EV SSL證書，客戶端瀏覽器利用集成SSL技術對網站真實身份認證，可防止釣魚網站。瀏覽器與服務端通過HTTPS協議建立的端到端加密鏈路進行信息交互，可防止數據被劫持、篡改及泄露。使用網站群管理系統對校園多級網站進行統一建設與管理，各分站使用獨立的應用服務器、數據庫及頂級域名。網站群使用前后端分離與動靜態分離技術。利用安全詞庫對敏感內容進行過濾，保障網頁內容安全。

另外，還要保障終端安全，即利用終端準入控制系統對各種有線終端、移動終端及啞終端的入網進行安全基線合規性檢測，對聯網終端行為進行監測，與NGIPS聯動識別并防御來自終端的安全威脅。

四、安全管理中心的設計

安全管理中心對校園網的安全策略、通信網絡、區域邊界和計算環境進行集中管控、統一審計、安全管理、綜合分析與協同防御。

(一)統一身份認證

統一身份認證平臺對多種網絡架構下的有線無線網用戶進行無感知統一認證，實現多種操作系統終端在雙棧協議下的無感接入，提供多種接入認證方式下的認證，如：有線Portal認證、無線IPoE+Portal認證、Portal+MAC無感知認證、Portal+雙因素認證、VPN接入認證和生物特征識別認證等。認證、授權與計費可通過RADIUS、HWTACACS或LDAP等多種協議實現。統一實名身份認證平臺為各應用系統提供身份的互認互信，身份標識始終貫穿于應用，實行校園網各種應用和服務的單點登錄、動態授權及持續認證。通過分布式部署，實現多地多校區統一身份認證，總校集中管理。為自帶設備的不同類型臨時訪客提供不同的認證方式，如短信、微信、二維碼。對訪客設定獨立的VLAN。對不同場合訪客實施相應的審核管理權限，嚴格控制訪客的資源訪問權。對訪客上線、離線及上網過程進行監控、分析和審計。與上網行為管理系統對接，實現上網行為實名聯查。

(二)終端統一管理

終端的安全直接影響到校園網絡的安全穩定運行及數據信息安全。對終端的安全管理是校園網安全防御的一個重要環節。終端統一管理系統對各類終端進行實名身份認證、設備信息登記與審核、安全準入控制和接入日志審計。通過終端分類分析、角色權限分配及IP地址綁定等措施，實現終端與用戶雙重可信。對各類終端進行識別與定位，對終端安全基線進行合規與合法性檢測，隔離不合格及有安全隱患的終端。持續檢測與發現終端聯網中產生的安全威脅及異常行為并發出預警，與安全設備聯動，實現對終端的安全防御與漏洞自動修復。通過持續驗證手段，保證終端動態訪問應用程序和數據的安全性。終端接入的日志實時采集到綜合日志審計平臺。對移動終端進行應用安全加固、SO文件加密壓縮和HTML5應用加密，保障移動終端自身安全。對移動終端應用環境進行安全檢測。終端上隔離校園應用數據與隱私數據，敏感數據進行加密。通過終端遠程鎖定、遠程擦除、加密封存、禁止復制等措施，防止數據泄露。

(三)安全運行維護

校園網各種IT資產需要不同的運維人員來維護，如：系統管理員、網絡管理員、安全管理員、應用管理員以及數據庫管理員等，為保障運維過程的安全，防止出現運維的誤操作、越權訪問、資源濫用、數據泄露、蓄意破壞等現象，各類運維人員必須通過統一的安全運維平臺來維護校園網傳統設備、物聯網、私有云及公有云的IT資產。借助堡壘機，實現運維的事前授權、事中監控與事后審計。

事前授權。為運維人員分配主賬號，按照運維人員權限建立主賬號與被管理IT資源賬號的關聯，對堡壘機登陸人員進行雙因素身份鑒別。授予運維人員最小權限并設置細粒度訪問策略。為同一目標設備的不同運維角色設置不同的運維策略，實現對運維人員操作目標IT資源的限制。事中控制。運維人員訪問堡壘機統一門戶進行雙因素強身份認證后單點登錄堡壘機，按照被賦予的權限對被管理設備進行維護。堡壘機全程記錄運維過程，對誤操作、越權訪問、資源濫用進行告警與阻斷，取消違規操作者權限并對操作行為進行追溯。對運維管理過程中的安全威脅進行安全提醒。事后審計。操作過程全程錄像，操作指令全程記錄，對操作行為深度分析與多維度關聯審計。

堡壘機的系統數據與用戶數據隔離存儲，對用戶的數據進行加密存儲，運維審計日志自動備份。堡壘機與被管理IT資源的管理數據通過隔離加密的傳輸通道交互信息。堡壘機的操作系統要安全加固，在堡壘機前采用防火墻進行安全防護。

(四)統一網絡監控

統一網絡監控平臺采用傳統網絡監控技術與多云環境監控技術相結合的方式實現對校園網鏈路、流量、帶寬，物理的和虛擬的網絡設備、安全設備、服務器、中間件應用、數據庫服務及自定義應用服務的監控及性能分析，對故障快速定位并排障，對安全事件告警并分析，將各種網絡日志發送至綜合日志審計平臺進行集中審計。

(五)綜合日志審計

綜合日志審計平臺對校園網各類IT資源產生的日志進行采集、存儲、綜合管理、關聯分析、搜索查詢和事件告警，保障日志的完整性，確保事件的回溯與取證。綜合日志審計平臺以多種方式采集異構網絡環境下分散的、彼此割裂的各類IT資源產生的海量異構日志，采集器與審計平臺之間以加密方式傳輸數據。采用多種解析方法對采集日志進行范式化處理。原始日志和處理后的日志均加密保存并自動備份，確保事件的回溯與取證。采取自定義日志字段格式方式對日志進行分類與歸并。通過字段關聯、規則關聯、漏洞關聯、事件關聯、指紋關聯、基于統計或時序的審計等方法，實現多維度日志關聯分析。對攻擊行為及安全威脅給出判斷與預警，與其他安全系統聯動進行聯合防御。查詢終端通過安全傳輸協議訪問日志平臺，按照關鍵字或全文搜索方式進行原始與范式化日志及事件告警信息的查詢。

(六)安全態勢感知

安全態勢感知平臺實現對校園網安全威脅的發現識別、理解分析與響應處置，全面動態地管控各種安全風險。安全態勢感知平臺獲取校園網各種IT資產的配置信息與日志信息，監控資產運行狀態，發現資產配置脆弱性及存在的漏洞，關聯安全設備的各種告警事件，發現各種安全威脅行為，借助威脅情報、用戶及實體行為分析、行為分析建模、圖關聯分析、大數據關聯分析、人工智能和可視化技術等，對校園網絡進行全面監測、威脅發現、安全告警、攻擊鏈回溯、安全態勢分析以及安全風險評估。

此外，通過漏洞掃描平臺對校園網異構網絡環境下的主機、數據庫、應用、中間件、Web網站、終端設備固件等進行掃描，檢測其安全脆弱性，及時察覺網絡信息系統中的安全隱患和問題，對發現的漏洞提供修復解決方案，最大限度地消除安全隱患。

五、結語

校園網中各種創新業務的深入應用使得校園網不斷面臨新的安全挑戰。在技術應用層面上，要對網絡、主機、應用、數據和業務等進行多層次的整體安全防御，在安全管理中心的統一管理、監控和協調下，實現校園網多種網絡環境下的通信網絡、區域邊界和計算環境的檢測預警、主動防御和整體防控。