智慧校園網絡信息安全及容災備份機制研究

陶昀翔 吳雷 王鈞

摘要：針對高校智慧校園面臨的安全問題，該文研究了網絡信息安全體系構建，提出了如何建立容災備份機制。圍繞物理設備、網絡傳輸、主機系統、業務數據等維度設計智慧校園網絡信息安全體系，從物理層面和邏輯層面構建容災備份機制，通過安全體系和容災機制的設計為高校智慧校園平臺安全建設精準落地提供理論支撐。

關鍵詞：智慧校園;網絡;安全;容災;備份

Abstract：Aiming at the security problems faced by smart campus， the paper studies the construction of network information security system， and puts forward how to establish disaster recovery and backup mechanism. Smart campus network information security system is designed through physical equipment， network transmission， host communication， system business， data and other dimensions， disaster recovery and backup mechanism is built from the physical and logical levels， and the design of security system and disaster recovery mechanism provides theoretical support for accurate landing of security construction of smart campus platform in universities. The design of safety system and disaster recovery mechanism provides theoretical support for the accurate implementation of smart campus platform security construction in colleges and universities.

Key words：smart campus; network; security; disaster recovery; backup

高校智慧校園網絡信息安全涉及面廣，如：校園出口防護，通用病毒端口，用戶認證登錄，用戶日志記錄，數據中心出口防護，抗DDOS攻擊，防站點攻擊，數據中心內防護，服務器級別安全加固，業務系統等級保護，數據備份恢復，網絡、業務系統監控等都屬于高校網絡信息安全體系防護范疇。為了保證智慧校園系統安全、穩定、可靠的運行，高校須針對各類安全問題制定相應的防護方案。

1 智慧校園面臨的安全問題

高校智慧校園體系結構復雜，易受攻擊，從基本物理設備到網絡鏈路、從主機到系統、從業務應用到數據安全，各層面均可能存在漏洞風險。為此，構建安全穩定的網絡信息環境是高校信息化建設過程中不可或缺的重要一環。高校智慧校園安全問題主要集中在以下方面：

一是物理層面臨的安全風險，諸如設備老化以及鏈路不穩定，網絡設計不規范，無鏈路冗余備份機制等，均可能產生網絡層面的安全問題;

二是網絡傳輸層面的安全隱患，具有代表性的如DHCP、ARP欺騙等;

三是終端主機面臨的風險，諸如服務器版本信息泄漏、系統服務的賬號管理不妥當、賬號分權不明確、弱口令、身份鑒別方式不當、非法訪問控制、惡意入侵等;

四是業務、數據層面的風險，諸如SQL注入、XSS攻擊、爬蟲攻擊、惡意掃描等安全威脅，數據面臨著不完整、不可用及泄密的安全隱患，不法分子利用系統漏洞，竊取系統數據，篡改業務數據，破壞數據的完整性。

2 智慧校園安全體系構建

針對以上的安全問題，智慧校園網絡信息安全體系可以從物理層面、網絡傳輸層面、系統終端層面及業務數據層面構建，如圖1所示。

2.1 數據中心物理安全

數據中心是智慧校園體系的核心構成，數據中心的物理基礎設施安全，包括設備安全、電力安全、消防安全等。

數據中心應配備動態環境檢測系統，對數據中心內的機密空調、溫濕度傳感器、UPS、UPS電池中電阻電流、配電機柜、漏水檢測器等進行實時監控告警。各類設備須定期檢修，發現故障及時排除。

數據中心應配備多路電源，多路UPS電池為數據中心提供備份電力，數據中心內重要業務核心設備均應配備主備電。

數據中心應設置溫、濕度自動調節設施，使數據中心溫、濕度的變化在設備運行所允許的范圍之內。按照數據中心的使用面積合理的配備機密空調的數量，全天候不間斷輪詢散熱，確保核心數據中心溫濕度均衡設備穩定可靠運行。

數據中心內應設置火災自動消防系統，通過煙感或紅外檢測自動發現火情，自動報警并啟動滅火程序。

2.2 網絡傳輸及鏈路安全

高校網絡是安全攻擊中的“重災區”，攻擊者通過網絡中的漏洞進行攻擊，高校網絡安全應從校園出口防護、校園網絡鏈路、校園用戶認證等維度進行保障。

校園出口防護方面，可使用高端防火墻做主備策略，并對所有的訪問策略做出精細化調整：對個別地區地址進行過濾，對高風險端口做訪問策略，例如135，137，139，445，3389等端口，對部分敏感軟件進行攔截，內網訪問策略做到逐條匹配。對內網地址映射公網地址所在的服務器嚴格審查，并做好備案。

校園用戶認證應采用統一賬號認證登錄上網，所有用戶上網行為皆應有記錄日志，日志記錄保留時長不少于6個月。認證設備也須做到冗余備份，保障設備穩定。有條件的情況下，對日志系統以及行為管理日志服務器系統進行雙備份，在單一日志服務器出現故障時，保障用戶日志可查。