基于數據中臺的校園信息安全方案研究

顧士星

摘要：為了加快推進教育現代化、教育強國的建設，全國各類學校都在推進智慧校園項目建設。通過建設各類信息系統及應用，為廣大師生的科研、教學、生活等提供較多的便利。前期信息系統建設存在重建設、輕安全的現象，導致目前校內各類信息系統安全問題頻發。專業的網絡安全設備能夠在一定程度上保護各類信息系統，網絡安全設備采購于不同的廠家，廠家之間設備無法聯動，導致網絡安全設備各自為政，無法協同處理網絡安全問題。管理上由于人員分工不同，存在安全設備和基礎設施配置信息不一致的情況，帶來一定程度的網絡安全風險。該文提出網絡安全數據中臺的方案來解決網絡安全數據不一致、網絡安全設備各自為政的問題。

關鍵詞：數據中臺;網絡安全;智慧校園

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）16-0052-03

開放科學（資源服務）標識碼（OSID）：

Research on Campus Information Security Scheme Based on Data Middle Platform

GU Shi-xing

（Information Department of Jiangsu University， Zhenjiang 212013， China）

Abstract： In order to speed up the construction of modern education and strong educational country， all kinds of schools are promoting the construction of smart campus projects. Through the construction of various information systems and applications， more convenience are provided for teachers and students' scientific research， teaching， life and so on. In the early stage of information system construction， there is a phenomenon that the construction is more important than the security， which leads to the frequent security problems. Professional network security devices can protect all kinds of information systems to a certain extent. However， network security devices are always purchased from different manufacturers. Devices created by different manufacturers cannot be linked， which are unable to work together to deal with network security attack. Due to the different division of labor， Network safety devices and infrastructure is not consistent， brought a certain degree of network security risk. This paper puts forward a scheme of network security data middle platform to solve the problems of inconsistent network security data and separate network security devices.

Key words： data middle platform; network security; smart campus

1背景

智慧校園是以數字校園的基礎發展而來的另外一種形態，基于數字校園的基礎上利用云計算、大數據及人工智能等技術手段，通過各種智能的終端以及應用為高校師生提供更加智能、個性化的服務，形成智慧化的數字校園[1]。智慧校園建設的不斷深入，眾多的信息系統的軟硬件設施和上層應用使得高校師生對智慧校園的建設成果依賴程度越來越高，提供高可靠、高穩定性的服務以及保護好師生的敏感數據信息、維護好校園網絡積極向上的氛圍變得越來越重要。目前，高校信息化管理部門存在人手不足、管理人員技術能力參差不齊、職責分工不同，導致每個人對信息系統管控局限于某一部分，如DNS維護、反向代理維護等，無法做到統籌管理，存在信息系統游離于管理之外的情況。近年來，隨著《網絡安全法》《等級保護規范文件》等一系列針對網絡安全的政策及規范的出臺，針對網絡安全的建設方面，各高校采購了不同的安全廠商的設備，包括出口防火墻、WAF、日志審計、運維堡壘機、虛擬化防病毒等，目前網絡安全設備存在不同安全廠家生產的設備無法做到相互通信，通過協作的方式來保護校園網絡，減低了對校園網絡安全的防護能力。目前各個安全設備系統單獨維護一套適合自身的數據信息，導致存在數據冗余、數據錯誤，結果數據無法復用的情況，各個網絡安全設備可以提供標準的API的接口，通過接口來抽取網絡安全設備的數據至數據中臺，可以有效地規避數據煙囪和不一致性，實現標準化規范統一的、可以重用共享的數據。系統建設之初缺乏統一頂層設計和規劃，各個子系統之間的數據交互，已經成為高校信息化發張的瓶頸，“煙囪林立”式的系統架構已經嚴重的制約高校信息化深入發展的步伐[2]。

當前信息安全已經上升到與政治安全、經濟安全、領土安全并駕齊驅的戰略高度，2016年4月，習總書記主持召開的網信工作座談會時也指出：“維護網絡安全，首先要知道風險在哪里，是什么樣的風險，什么時候發生風險”，所謂“聰者聽于無聲，明者見于未形”，維護好信息安全相關的數據，保證數據一致性，摸清家底，對于建立一套數據標準、信息共享、協調聯動的網絡安全數據中臺的整體方案具有很重要的意義。

2校園信息安全方案架構設計

當前對校園網絡安全管理人員來說，網絡安全碎片化越來越嚴重、煙囪式的安全技術收效甚微、網絡安全運維能力薄弱、安全事件的響應時間無法保證。通過引入安全中臺的理念來協助網絡安全人員把分散開的信息集中匯總至安全中臺，讓網絡安全人員從整體的角度去把握校園網絡安全的態勢，進而做到保證正常的用戶訪問并及時的封堵住惡意訪問[3]。

校園信息安全數據中臺方案共分為四層，基礎資源平臺層、數據抽取與標準化層、安全中臺、數據開放層。

基礎資源平臺層主要包括虛擬化服務器、機架服務器、DNS、反向代理、出口防火墻以及其他各類成熟的網絡安全硬件。數據抽取與標準化層主要實現將基礎資源平臺層的數據通過各類技術方法抽取并按照標準化的格式存儲至安全中臺。安全中臺中包含決策分析功能模塊，基于數據中臺中的數據使用回歸分析、神經網絡預測模型等分析手段分析惡意用戶訪問、惡意IP地址、脆弱性主機、安全加固建議，并動態反饋至基礎資源平臺層，形成安全閉環。數據開放層也會通過標準的API接口，將基于數據中臺的分析結果作為安全公共基礎數據開放出去，其他應用服務在使用過程中直接調用接口對惡意用戶、惡意訪問IP等行為進行封堵。

3基礎資源平臺數據采集

3.1數據源類型

基于安全的數據涉及方方面面，涉及安全方面的數據較多，概括起來可以分為以下幾類[4]：

1）平臺配置數據主要包括網絡設備、DNS解析、反向代理、虛擬化防病毒、威脅感知設備、資產性能監控設備等的配置信息。

2）原始流量數據 來源于核心交換設備旁路的流量鏡像，是全量數據，便于溯源追蹤。

3）設備及系統日志信息 網絡設備、安全設備、系統及應用的運行日志信息和審計操作日志等，反映設備或系統的運行狀態。

4）漏掃數據 安全設備根據特定規則對主機或系統進行安全掃描產生的數據，包括主機漏掃和WEB漏掃數據等。

5）資產數據 硬件資產和信息資產，硬件資產包括資產安裝的操作系統類型，系統中運行的服務名稱、版本等信息，信息資產主要包括網站及信息系統，包括資產的所屬部門、所屬主機等信息。

6）漏洞及威脅情報數據 各類基礎架構和應用程序的漏洞信息，提供完整的漏洞修復建議及方法，包含但不限于打補丁、修改配置、嚴格的訪問控制措施等。威脅情報信息來源于社會以及行業內的安全威脅情報，給校園相應部門提供威脅預警、提早進行防范。

3.2數據抽取與標準化層

安全中臺中的數據來源廣泛，并且數據字段定義、數據類型等不盡相同，采集安全數據并在存儲該類數據之前對數據進行標準化對于提高后期數據使用效率具有很大的意義。

4 技術方案

4.1安全中臺數據存儲方案

安全中臺的數據存儲方案主要根據網絡安全數據異構數據源分為：結構化數據、非結構化數據、時序數據等。

結構化數據存儲的選擇，根據數據量大小分為基于列存儲和基于行存儲的數據。基于行的存儲采用開源Mysql集群高可用方式部署（圖3），可以實現數據讀寫分離。

非結構化數據的存儲，根據數據中臺存在實時插入、更新和查詢的功能需求，同時在實際使用過程中實時數據存儲所需的復制及高度伸縮性。選擇使用MongoDB，該非結構化數據庫系統使用C++語言編寫，在系統負載較高時，可以通過添加更多的節點來保證服務器的性能。根據網絡安全事件數據一次寫入、多次讀取的特征，大數據存儲平臺采用HDFS（HadoopDistributedFileSystem）文件系統。Hadoop是一個開源的分布式存儲和分布式計算平臺，HDFS分布式文件系統能夠存儲海量的數據，MapReduce并行處理框架可以對計算任務進行分解和調度，不依賴于高端硬件，使用校園淘汰的硬件服務器即可以完成擴展，提高資源利用效率、降低成本。Hadoop具有成熟的生態圈，具有很多的開源工具，降低使用門檻、提高適用性。

4.2數據采集同步方案

離線數據采集采用開源的DataX工具，DataX是阿里巴巴集團開源的離線數據同步工具，可以實現MySQL、Oracle、SqlServer、Postgrel、HDFS、Hive、HBase等各種異構數據源之間高效的數據同步[5-7]。DataX將傳統復雜的網狀同步鏈路轉變成星型數據鏈路，作為中間傳輸載體來連接各種數據源。對接新的數據源時，僅需要將數據源對接到DataX即可實現數據源的同步。DataX可以根據實際業務需求對數據的同步過程中按照一定的規則進行清洗、過濾以及轉換，提高數據準確度和數據質量。

實時數據采集采用Logstash組件，Logstash是一款分布式數據收集引擎，可以實時采集Web日志、安全設備產生的日志。根據不同的數據來源選擇Logstash中模塊化的Input組件，動態的讀取源數據，Output組件可以根據數據源的類型保存至相應的數據庫或者文件系統[8]。

4.3數據服務API方案

數據服務API采用一款基于OpenResty編寫的高可用、易擴展的KongAPI網關[9]。Kong可以通過插件擴展已有的功能，插件在API請求響應的生命周期中執行，插件包含了HTTP基本認證、負載均衡、CORS、API請求限流、請求轉發、CAS認證等功能。基于Kong可擴展性的特點，通過自行開發插件可以實現對敏感的安全數據加解密、數據模糊化、數據脫敏等?；贏PI的方案可以將基于安全數據中臺的業務與安全設備等之間的直接耦合和依賴性隔離開，實現安全設備獨立更新、升級的同時不影響其他設備調用數據。統一通過API的方式能夠保證數據的一致性、實現統一監控和流量管理等功能。

5結束語

基于數據中臺的校園信息安全方案可以解決多個數據源數據不一致的問題。從日常運維角度，通過統一集中的管控平臺可以檢查信息系統DNS域名解析與信息系統的物理服務器是否一致，反向代理轉發的HTTP請求是否準確的達到相應的應用系統等。從網絡安全角度，通過集中的數據平臺可以信息系統在漏洞掃描平臺中是否存在漏洞，根據信息系統的健壯性采取相應的安全措施，包括限制校內訪問、停止DNS解析、關停系統等，針對校外頻繁攻擊校內信息系統的惡意IP地址，從反向代理層或者網絡層進行封鎖。從用戶安全角度，當用戶在極短的時間內登錄不同的信息系統、從不同的地址位置登錄或存在惡意攻擊校園網絡的行為，及時地采取短信通知、鎖定用戶賬號等措施保護用戶個人信息，保護校內信息系統能夠正常地提供對外服務。從校園管理人員角度出發，可以實現在統一的管控平臺中從整體的角度把握校園網絡的安全態勢。各種安全設備之間可以通過調用安全中臺的API來實現協同保護校園網絡的安全，完成設備之間的信息交互及信息共享。

參考文獻：

[1] 李有增，周全，釗劍.關于高校智慧校園建設的若干思考[J].中國電化教育，2018（1）：112-117.

[2] 史昕.中臺技術在高校智慧校園中的應用[J].計算機產品與流通，2020（3）：198.

[3] 宋健偉.企業信息化管理中臺系統建設研究[J].電腦知識與技術，2020，16（32）：247-248.

[4] 劉蓓，祿凱，程浩，等.基于異構數據融合的政務網絡安全監測平臺設計與實現[J].信息安全研究，2020，6（6）：491-498.

[5] GitHub-alibaba/DataX[EB/OL]. [2021/3/2]. https：//github.com/alibaba/DataX.

[6] 田翠姣，蘇義武.DataX工具在新冠肺炎數據上報中的應用[J].計算機技術與發展，2020，30（11）：216-220.

[7] 陳宇收.基于Datax的數據同步方案研究[J].電腦編程技巧與維護，2018（9）：97-98，131.

[8] 謝磊，張冰，楊猛.基于ELK的日志分析系統研究與實踐[J].科技經濟市場，2020（10）：17-18.

[9] 張虎，張秋萍.基于KONG的API集成系統的設計與實現[J].計算機技術與發展，2019，29（8）：102-106.

【通聯編輯：代影】