智慧校園環境下網絡安全體系建設研究

聞帥梁云

（安徽財經大學，安徽 蚌埠 233030）

一、智慧校園環境下的網絡安全

智慧校園是數字化校園的進一步發展和提升，是教育信息化的高級形態，是物理空間和信息空間的有機結合，它以物聯網為基礎環境，將教學、科研、管理和服務進行充分融合，將師生的校園工作、學習和生活數字化、智能化、智慧化，最終實現任何人、任何地點、任何時間都能便捷地獲取資源與服務。目前這個階段，智慧校園建設應以“數字化、移動化、服務化”為導向，融合“大數據、物聯網、云計算、虛擬化、人工智能、區塊鏈、元宇宙”等熱點，積極開展智慧教育、智慧科研、智慧管理和服務創新研究和示范，推動新技術環境下教學科研的模式變革和生態重構的系統性工程。隨著智慧校園環境下各種系統的深入應用，復雜多樣的網絡學習、科學研究、校園文化、校園生活給師生帶來了諸多便利，網絡安全方面也存在一定的隱患，這就要求我們一方面在享受智慧校園帶來便利的同時，另一方面也要重視校園網絡的安全，努力構建安全、穩定、暢通、高速、節能的校園網絡。本文分析各大高校校園網絡安全的常見問題，提出一些網絡安全使用技術、建設原則、建設思路和建設內容，為智慧校園環境下的網絡安全建設提供一些參考[1]。

二、智慧校園環境下應用的網絡安全技術

（一）智慧校園環境下應用的加密技術

加密技術是指利用技術手段把網絡中傳輸的數據變為亂碼（加密）傳送，到達目的地后再用相同或不同的技術手段進行數據還原（解密），它是確保網絡中傳輸數據安全性的最基本方法。加密技術應用很廣，比如VPN技術，也是受到高校使用較多的技術手段之一，目前很多高校都會建立相應的VPN系統，應用在校園內的日常工作學習中，以此保證數據的安全有效傳輸。學校主頁或各應用系統中采用https數字證書的方式訪問，https能夠加密客戶端和服務器端之間的數據傳輸，防止隱私信息被截取、監聽或篡改，保證了數據的安全性和完整性，讓用戶可以放心地訪問學校的站點和應用。

（二）智慧校園環境下應用的數字簽名技術

數字簽名技術又稱公鑰數字簽名，是只有信息的發送者才能產生的別人無法偽造的一段數字串，這段數字串同時也是對信息的發送者發送信息真實性的一個有效證明[2]。使用數字簽名技術可以代替傳統的手工簽字和公章，例如辦公自動化系統中的公文傳閱，教務系統中的電子成績單，人事系統中的身份證明，財務系統中的財產證明等，這些都是數字簽名技術的典型應用，解決了數據偽造等常見問題，完善的數字簽名技術還具有不可抵賴性。

（三）智慧校園環境下應用的訪問控制技術

訪問控制技術指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的一種技術手段。防火墻的訪問控制策略和業務系統的授權訪問是高校常見的應用。通過防火墻配置基于源和目的IP地址的訪問控制技術確保只有授權的地址才能訪問特定的資源列表，通過業務系統的權限管理確保只有授權用戶才可以訪問業務系統，以此確定外網可訪問的具體應用，保證業務訪問的合規性。

（四）智慧校園環境下應用的認證技術

認證技術作為網絡通訊中重要的技術手段之一，主要解決了通訊中的身份認可，通過身份認證來確認認證對象的真實有效性。認證技術主要有三類：基于共享密鑰認證，基于重放攻擊的認證，基于公鑰的認證。例如在智慧校園建設中通常采用用戶名密碼認證、短信認證、二維碼認證、人臉識別等方式作為智慧校園終端的認證管理入口，實現PC端和移動端的應用系統單點登錄認證。

（五）智慧校園環境下應用的大數據技術

大數據簡單來說就是針對大量的數據進行分析處理，他能夠處理類型多樣且風格迥異的海量數據，相對于傳統的網絡安全技術而言，大數據為海量的網絡信息安全數據的存儲、分析、管理和預判提供了可能。高校中普遍采用網絡安全態勢感知系統，主要就是通過對校園網出口或數據中心接口數據的采集和梳理，進而對當前的網絡以及未來將出現的可能性威脅進行判斷和預警，并且給出出口和服務器區域分析報告，幫助學校做好網絡安全的預判以及進一步需要完善的防范措施[3]。相對于傳統的網絡安全設備，網絡安全態勢感知系統是建立在大量的數據收集論證的基礎上，并結合系統廠商的網絡安全威脅庫進行匹配，因此判斷的處理結果會更加精確有效[4]。

（六）智慧校園環境下應用的區塊鏈技術

區塊鏈技術我們通常說有兩種理解方式，廣義的和狹義的，廣義理解是以區塊結構為特點，使用密碼學等技術實現數據傳輸和數據存儲的技術體系，狹義地理解是在結合具體產品來說的時候，是一種鏈式存儲的數據存儲方式。簡單來說就是分布式的共享賬本和共享數據庫，在這個系統中，數據是不可偽造的，以此來實現傳輸數據雙方的可信任度。高校中的典型應用場景是將原有的中心化的數據通過區塊鏈技術進行改造，實現數據安全存儲、共享的分布式鏈式數據庫。改造后的數據具有去中心化、可信任化、不可篡改、可追溯性等特點，為學校提高網絡安全防御系統的可靠性、安全性，保護數據信息和資產安全性提供了很好的解決思路[5]。

三、智慧校園環境下網絡安全存在的問題

（一）智慧校園環境下網絡安全風險復雜多樣

隨著高校智慧校園建設的不斷深入，大數據、人工智能、物聯網、云計算、區塊鏈、元宇宙等新技術手段的廣泛應用，網絡安全也呈現出技術更加復雜，管控難度更大的特點[6]。同時高校網絡具有覆蓋面廣、用戶基數大、網絡結構復雜、多廠商疊加、軟硬件集成難度大等特點，來自系統本身、內網、外網的潛在安全風險具有不可預知、不能枚舉等特征，因此網絡安全的風險復雜多樣[7]。高校的安全風險主要來自系統及軟件漏洞、病毒木馬、外部網絡的惡意破壞、內部網絡的測試攻擊、垃圾郵件、不良信息的傳播以及網絡安全意識淡薄等因素，因此要在聯網時提防病毒入侵、拒絕服務攻擊、數據被篡改、網頁篡改等破壞網絡安全的非法手段[8]。

（二）智慧校園環境下網絡安全制度不健全

高校網絡與信息化建設的快速推進，網絡安全規章制度相對滯后，在管理制度上面也沒有完全建立與發展相適應的網絡安全機制。自從《網絡安全法》《數據安全法》《個人信息保護法》《網絡安全審查辦法》等法律法規建立以后，在智慧校園安全建設中需要根據國家的法律法規完善具有高校業務特點的規章制度。因此，有效的日常安全檢查督導、堅強的網絡安全組織領導、科學的網絡安全管控策略、完善的網絡安全應急響應機制以及細致的網絡安全教育培訓，都需要制定相應制度機制來明確權責、規范運行，才能保障校園網絡及信息系統安全、穩定、暢通地運行。

（三）智慧校園環境下網絡安全防御手段不足

高校互聯網的出口數據流量大，安全功能疊加在一臺設備可能性較小，因此串接的網絡設備較多，單點故障頻發，同時數據中心內部缺少防火墻管控機制，云平臺下虛擬機東西向流量的安全往往被忽視。另外，應用系統相對數量多、漏洞多、網頁被篡改、信息泄漏等問題時有發生[9]。由于校內學生用戶數量較多，不少同學對網絡安全感興趣，對學校的內部網絡進行安全測試，學校難以及時察覺分散的威脅信息，進而無法及時調整安全策略。同時在智慧校園建設過程中重建設輕管理、重應用、輕安全的現象普遍存在，網絡安全缺乏宏觀層面的頂層設計。比如有些學校網絡安全管理的組織機構不健全，安全管理的責、權不明確；有些學校核心業務與互聯網隔離，如果沒有配套的系統更新和漏洞掃描機制，容易受到來自內部的嗅探和蠕蟲攻擊[10]。因此，智慧校園系統級的安全監測、評估、預警及防護手段還需進一步形成體系建設。

（四）智慧校園環境下網絡安全人才匱乏

網絡安全技術從本質上說其實就是人與人、人與機器、機器與機器之間的對弈。高校智慧校園建設中，網絡安全人才匱乏，從長遠發展來看，應統籌規劃網絡安全體系的人才建設，著力培養網絡安全型人才，通過人才培養加實踐教學擴充高校網絡安全人才隊伍。網絡安全的競爭其實就是人才的競爭，要采取多種方式培養網絡安全人才，例如定期參加各種網絡安全培訓、廠商新產品發布會、各種網絡安全比賽等形式豐富網絡安全相關的知識。如今高校、企業、政府也不斷“發力”創新人才培養模式，科教融合、以賽促學等方式方法培養網絡安全專業技術人才，只有填上“人才缺口”，網絡安全才有進一步發展的基礎，同時讓學生參與到學校的網絡安全體系建設過程中，以實踐教學的方式方法對學校的網絡進行安全測試，發現相關的安全問題，及時補缺補漏，不斷完善校園網絡的安全。

（五）智慧校園環境下網絡安全投入不足

目前很多高校已經意識到網絡安全問題，但由于無暇顧及潛在風險，再加之網絡安全成本比較大，特別是普通高校，網絡與信息化建設任務重，人員少，導致網絡安全工作無暇全面顧及，對于他們來說就相當于無形中增加巨大的工作量，主要的精力和資金都用在基礎網絡建設和信息化應用系統建設，直接導致網絡安全投入不足，網絡安全設備的日常維護、技術支持、特征庫的及時更新都需要資金的持續投入，顯然有限的資金無法支持網絡安全的持續建設，因此在網絡與信息化建設的同時，同步考慮網絡安全的投入，才能保證網絡安全設備的正常運行。

四、智慧校園網絡安全體系建設原則

（一）智慧校園環境下遵循的主要領導人負責原則

習近平總書記強調沒有網絡安全就沒有國家安全，信息化和網絡安全是事關人民群眾生活、工作、國家安全和國家發展的重大戰略問題，我們要從國際國內大勢出發，總體布局，創新發展，統籌各方，努力把我國建設成為網絡強國。習近平總書記還說中央網絡安全和信息化委員會要發揮集中統一領導作用，統籌協調各個領域的網絡安全和信息化重大問題，制定實施國家網絡安全和信息化發展戰略、宏觀規劃和重大政策，不斷增強安全保障能力。要加大對技術專利、數字版權、數字內容產品及個人隱私等的保護力度，維護廣大人民群眾利益、社會穩定、國家安全[11]。智慧校園建設過程中也應遵循主要領導人負責原則，“誰主管、誰負責、誰應用、誰負責”，各部門主要領導人負責本單位網絡信息系統的安全問題。

根據設計松鋪厚度（25cm）、施工寬度（32.64m）及自卸車容量（10.5m3）等確定上土網格（寬8.4m×長10m）、每格上土量21m3（2車），按照設計松鋪厚度安排人工在網格交叉點位置培置松鋪厚度控制墩。

（二）智慧校園環境下遵循的規范定級原則

隨著互聯網技術的飛速發展，大數據、人工智能、物聯網、云計算、區塊鏈等新興技術應用不斷深入，在給校園工作、學習和生活帶來便利的同時，也存在著信息泄露、隱私侵犯等網絡安全問題。公安機關通過安全設備和技術手段實現身份鑒別、訪問控制、入侵防范等安全防護措施，實現平臺的全方位安全防護，同時，組織開展信息技術新領域等級保護重點標準申報國家標準的工作，制定了國家信息系統安全等級保護。高校校園網絡的數據庫及各種應用系統等應該進行系統等級保護定級，學校主頁、中心數據庫、核心應用系統一般進行三級等保測評，其他應用系統根據安全級別進行相應等級備案工作。

（三）智慧校園環境下遵循的依法行政原則

隨著網絡發展，網絡安全問題日漸凸顯，國家也越來越重視網絡安全問題，因此針對網絡安全方面也建立了相關的法律法規，通過相關法律法規約束網絡行為[12]。高校師生員工如果有實施危害國家網絡安全的行為，由有關部門依法予以處分，國家安全機關也可以予以警告，構成犯罪的，依法追究刑事責任，對于違反學校網絡安全相關規定的，學校根據相關的規章制度對師生員工進行處罰。

（四）智慧校園環境下遵循的注重實效性原則

時效性影響著決策的生效時間，時效性決定了決策在特定時間內是否有效。針對校園網內的一些系統安全問題也有他的時效性，高校中硬件設備類型種類繁多，應用系統復雜多樣，實驗教學軟硬件繁雜，例如操作系統、中間件、數據庫管理系統、應用系統、防火墻、路由器、交換機、殺毒軟件病毒庫、IDS、IPS特征庫等，都要及時進行升級等操作。

五、智慧校園網絡安全體系建設內容

（一）智慧校園環境下基礎設施安全建設

校園網作為高校重要的基礎設施，對校園內的教學、管理、科研和對外宣傳等諸多角色起著重要的作用[13]。因此校園網是否安全直接影響著高校的各項教學、科研和管理服務活動。校園網設備一般集中在機房，良好的機房環境可以延長設備的使用壽命，減少故障的發生概率，便于維護和定期檢查。如果設備處在惡劣的環境中，故障發生率會提高，硬件頻頻發生故障，會占用了大量時間和人力，所以一個良好的機房環境可以節省成本和提高效率。如果沒辦法保證機房的安全，那么我們的整個校園網絡的運行都會存在問題。對于校園網機房的安全性，既要保證它的溫度、濕度在一定的范圍內，還要防雷、防火、防水、防鼠等，平時還要定期維護等。機房要進行定期打掃，保證機房的整體干凈整潔，對于意外斷電或者短路也要有備用的電源，能確保在斷電的瞬間切換到備用電源，保證機房基礎環境的安全性和穩定性。

（二）智慧校園環境下操作系統安全建設

校園網的運行離不開各個平臺的安全運行。要保證系統的穩定運行，就要能夠識別系統中的隱患，并采取有效的措施使其危險性最小，從而使系統在規定的性能、時間以及成本范圍內達到最佳的工作狀態。操作系統的安全性我們要尤其重視，操作系統是信息系統的重要組成部分。首先，操作系統位于軟件系統的底層，需要為各類應用服務提供支持；其次，操作系統是系統資源的管理者，對所有系統軟、硬件資源實施統一管理；此外，作為軟硬件的接口，操作系統起到承上啟下的作用，應用軟件對系統資源的使用與改變都是通過操作系統來實施[14]。因此，操作系統的安全在整個信息系統的安全性中起到至關重要的作用，沒有操作系統的安全，信息系統的安全性將猶如建在沙丘上的城堡一樣沒有牢固的根基。操作系統的防火墻為信息系統安全構建了基本網絡安全屏障，實現東西南北方向，基于源和目標地址的訪問控制策略，尤其一個應用系統存在多個虛擬服務器，虛擬服務器之間相互信任，只提供一個虛擬服務器對外部訪問的授權。在Linux操作系統中啟用以Netfilter框架為基礎，IPTables構建了網絡層防火墻工具，在Windows系統下啟用Windows防火墻，為操作系統平臺層構建基礎的網絡安全。

（三）智慧校園環境下數據安全建設

隨著網絡的普及，紙質的保存形式已經不是唯一保存數據途徑，很多數據都會保存在存儲設備上，特別是一些重要數據的保存，這個時候數據的安全性顯得尤為重要。我們首先要保證信息系統的安全，例如個人信息泄露事件頻發，主要問題是個人信息沒有規范采集，再者公民缺乏足夠的信息保護意識，隨意地在網上定位個人信息以及經常性地發出一些泄露個人信息的事件，都是信息泄露的主要原因。總的來說對于信息安全的問題，個人也要加強重視。針對數據的增、刪、改、查等操作，也會有對應的安全措施，例如數據庫操作監控系統，針對出現的不明信息，相應的數據監控系統及時顯示出來，采取必要的補救措施。針對數據丟失也是屬于數據安全的一種，會有數據容災備份等一系列應對措施。

（四）智慧校園環境下通信安全建設

網絡和安全作為通信基礎設施，其硬件性能、可靠性以及網絡架構設計在一定程度上決定了數據傳輸的效率。帶寬或硬件性能不足會帶來延遲過高、服務穩定性差等風險，也更容易因拒絕服務攻擊導致業務中斷等嚴重影響，架構設計得不合理，如設備單點故障，可能會造成嚴重的可用性問題。網絡通信協議帶來的風險更多地體現在協議層設計缺陷方面，雖然事件發生的可能性較低，但是缺陷一旦被安全研究人員披露，特別是安全通信協議，可能會對網絡安全造成嚴重影響。校園網內可以采取多鏈路負載均衡、設備多機部署，通信加密等方式實現通信安全。

（五）智慧校園環境下應用系統安全建設

（六）智慧校園環境下運行安全建設

智慧校園三大基礎應用平臺的建設對于學校的統一規劃、統一實施、統一建設是很有必要的。由于各種應用平臺建設是不同時期、不同階段、不同廠商建設的，肯定會不定時出現各種問題，對于可能出現的軟硬版本問題，應及時做出最合適的軟硬件與故障應急處置方案；對于操作系統、業務系統也要在保證業務系統穩定運行的前提下適當地進行版本升級；同時也要定期對網絡環境進行定期檢查評估，盡量能把控可能存在的隱患并有相對應的解決措施。

（七）智慧校園環境下管理安全建設

安全建設管理風險主要來源于管理體系的不健全，信息工程規劃設計、軟件開發、工程實施、測試驗收及系統交付等階段工作內容和工作流程的不全面、不規范問題，進而有可能導致信息系統或信息工程在安全功能和相關控制措施方面的缺陷，為合規性和信息系統埋下隱患。

（八）智慧校園環境下授權和審計安全建設

校園網的正常運行，離不開審計系統，審計過程是對信息系統真實性審計、信息系統安全性審計以及信息系統績效進行審計，所以要收集系統日志、應用系統日志、數據庫日志、上網日志等，保證數據存儲在6個月以上，同時也要對歷史上網日志進行統計、分析和匯總。高校中普遍使用防火墻+VPN+堡壘機模式，VPN采用最小授權原則進行業務系統的訪問授權，堡壘機實現全網內部服務器、網絡設備、數據庫等資源的安全運維入口，對授權人員的運維操作進行記錄、分析、展現，有效加強內部業務操作行為監管，避免核心資產損失。在保障系統正常運營管理的同時，使運維管理更加合理化和專業化，進而提升內部資源安全防護能力，為安全審計和追蹤溯源提供重要依據。

（九）智慧校園環境下運維保障體系建設

《GB/T 36626-2018信息安全技術 信息系統安全運維管理指南》將安全運維活動分為了安全運維策略，安全運維組織，安全運維規程，安全運維支撐系統四項，高校網絡安全服務保障體系一方面通過本單位專業技術人員從事相關工作，另一方面可以通過購買第三方安全運維服務，第三方安全運維服務參考安全運維指南并嚴格執行管理指南，通過專業工具對學校內所有存在安全問題的軟硬件設備進行漏洞掃描，定時生成安全報告，并對安全漏洞進行及時修復，特殊時間節點第三方運維服務提供7*24小時服務，確保網絡與信息系統的安全。

隨著我國信息化建設的不斷深入，智慧校園建設呈逐年加快趨勢，構建智慧校園環境下的安全體系建設是建設智慧校園首先要思考的問題。本文分析了目前高校網絡安全建設的現狀，并提出智慧校園網絡安全建設的原則以及網絡安全整個體系架構，對構建智慧校園網絡安全立體防護體系有一定的參考價值。智慧校園平臺的建設是一個系統性工程，在建設過程中務必開展安全建設先行或同步進行，才能使這個龐大工程安全、穩定、暢通地運行。在實施網絡安全策略時不能僅僅依靠傳統網絡安全技術的堆砌，而應從實際情況出發，綜合考慮安全需求，根據需求采取對應措施，將安全技術手段與管理制度結合起來，才能提供一個高效、穩定、暢通的校園安全網絡系統，支撐智慧校園平臺的正常運行[15]。