智慧校園環境下的校園信息安全縱深防御體系的應用研究

李海蓉

(朔州師范高等專科學校 山西 朔州 036000)

0 引言

高質量教育體系是以智慧校園為載體,以新興信息技術為依托,以教育數據資源和智能化教學、管理、服務平臺為驅動力加以建立起來的。而智慧校園建設在新興信息技術的加持下為現代化教育管理和監測體系的形成奠定了基礎,進一步拓寬了校園領域包括教學活動、科研計劃、管理措施及數字化之間進行有效融合的廣度和深度,在此基礎上形成的綜合網絡資源從根本上確保了學校各項活動和業務的順利開展、高效運行,最終為智慧校園建設的應用層次向更高水平邁進奠定基礎[1]。近幾年,隨著我國對信息安全建設的重視力度越來越大,信息安全領域的立法進程也隨之不斷推進,一系列信息安全法律法規如《數據安全法》、《個人信息保護法》等的相繼出臺,學校信息安全建設標準隨之提升,廣大師生教學、學習、生活等的開展在智慧校園各種業務的廣泛應用中變得更為便利,但智慧校園面臨的安全威脅和挑戰也日趨多樣化。因此,校園信息安全縱深防御體系的應用勢在必行。

1 智慧校園信息安全現狀

1.1 物理設備安全隱患

隨著智慧校園系統的日益改進優化,網絡設備如路由器、交換機、服務器等的數量也隨之大幅增加,提高了共享集成度的同時智慧校園各項業務的運行也越來越依賴網絡設備。而我國大部分校園網絡建設初期采用的是分期形式,在長期規劃中忽視了網絡安全的重要性,后期對網絡的完善方式大多通過打補丁來提高系統安全性,使得對網絡的統一管理較為困難。此外,智慧校園部署的網絡系統較多且分散,大幅提升了系統安全管控的難度,智慧校園環境下,大量數據的獲取路徑是各種有線、無線設備,而校園網需要接入各種終端如PC終端、傳感探測設備、生物識別設備、網絡攝像頭等,使得網絡隨意擴展、偽冒終端接入的發生風險大幅增加,同時操作系統重中弱口令、高危漏洞等問題頻出,給智慧校園網絡信息安全帶來了嚴重威脅[2]。

1.2 平臺數據安全隱患

智慧校園環境下,高校大數據平臺為數據的共享交互提供了切實保障,學校各項應用服務在數據共享的加持下更加便捷、高效,但信息發生被竊取的可能性也隨之上升,使得數據中心成了黑客的關鍵攻擊對象。此外,對數據泄露的防護是傳統安全策略的重點,這種防護級別普遍不高,在面對全域跨部門攻擊時毫無防護能力。智慧校園建設的首要任務是為各級應用系統數據的安全性和可靠性提供保障,高校要重視對網絡信息安全保障體系的完善和構建,還要重視對各類數據信息的保護,進而為智慧校園基礎硬軟件設施的應用穩定性和數據平臺的可靠運行奠定基礎。

1.3 網絡運維安全隱患

目前,高校智慧校園網建設大多存在著很多不足之處,其中重應用、輕管理問題較為普遍,一方面,對校園網絡系統的整體安全性評估不到位,技術上對于底層攻擊的抵御采用的防御措施較為常規,主要采用的是防火墻及訪問控制等較為傳統的技術,這些傳統技術對潛在于高層的攻擊抵御能力嚴重不足,且聯防聯控機制缺乏有效性,使得安全態勢的統一較為困難,運維效率嚴重偏低;另一方面,運維成本、人員編制等的限制,校園網系統的運維人員具備的專業性不強,對智慧平臺的運維缺乏規范性,難以對平臺管控實現精細化。此外,缺乏完善健全的網絡安全管理體系和管理制度,使得對潛在的安全管理風險和漏洞難以有效防御和修補。

2 智慧校園典型的信息安全威脅

2.1 高級可持續威脅攻擊

高級可持續威脅攻擊(advanced persistent threat,APT)是一種針對性極強的可持續威脅攻擊。所使用的攻擊技術較為先進、高級,攻擊手法具有規模性、組織性、隱匿性和持續性,攻擊目標多為特定對象,包括政府機構的核心數據、工業控制信息系統等,傳統安全檢測系統對其攻擊行為的檢測作用不大。國家發布的相關權威網絡安全數據報告顯示,我國網絡安全威脅治理所取得的成效較為理想,但APT攻擊行為出現的頻率仍較高,數據泄露風險較為嚴峻,同時APT組織還通過對社會熱點、供應鏈攻擊等方式的違法利用對我國重要行業進行持續攻擊,尤其是在線教育、遠程辦公等在一些原因的影響下驟升,使得網絡暴露風險也隨之上升,進而導致APT攻擊范圍的進一步擴大。而在2020年中旬(3～7月),境外APT組織——“響尾蛇”對我國某重點高校進行了持續性的攻擊,并對該高校主機進行了隱蔽控制,高校多份資料和數據遭到持續竊取,給高校的網絡信息安全帶來了嚴重威脅[3]。

2.2 分布式拒絕服務攻擊

分布式拒絕服務攻擊(distributed denial of service,DDOS)是以DOS特殊形式為依據并利用網絡協議和操作系統等存在的漏洞對其進行大規模的分布式、協同式攻擊。DDOS攻擊方式在發起攻擊時會先偽造源IP地址,以確保攻擊行為的隱蔽性,同時通過將大量服務請求數據包發送至目標主機,經過偽裝后的數據包無法對其來源進行直接識別,這樣攻擊者就可以隱藏攻擊足跡來逃避追蹤,而大量系統資源被數據包所請求的服務占用并消耗,使得目標主機的正常運行難以開展,最終導致網絡癱瘓或系統崩潰,給社會和用戶帶來了巨大的經濟損失。因此,互聯網領域中DDOS攻擊是威脅最大、檢測及防范難度最高的攻擊類型之一。而高校校園網絡平臺的高網絡寬帶、多主機資源、用戶密集及開放性、共享性特征使其易成為DDOS攻擊對象,此外很多網站發起的DDOS攻擊大部分都是基于校園網絡發起的[4]。

3 智慧校園環境下的校園信息安全縱深防御體系

3.1 信息安全的構成要素

安全威脅、安全保障和安全主體是智慧校園信息安全的主要構成要素,三者之間既相互聯系又相互制約,安全保障是以安全主體作為主要的保護目標和對象,包括路由器、終端主機、操作系統、應用平臺等;安全主體受安全威脅的攻擊,包括信息泄露、信息篡改、網絡攻擊、系統攻擊、非授權使用等;安全主體在安全保障提供的針對性保護措施下得以對抗安全威脅,包括設備安全、系統安全、病毒防控、訪問控制、數據的傳輸、存儲安全等(如圖1所示)。

圖1 信息安全要素構成圖

3.2 信息安全縱深防御體系

為使智慧校園信息安全面對威脅和攻擊時能夠更好地防御應對,確保智慧校園各項業務系統運行時更具安全性、穩定性和可靠性,并依托于立體化和動態化構建智慧校園信息安全防御體系,因此形成了智慧校園信息安全縱深防御體系,其模型(如圖2所示)。該模型依托大數據、云計算等信息技術為智慧校園信息安全防御提供了技術支持,模型的構建核心是智慧校園信息安全三維立體化分層防護體系,該體系對智慧校園信息安全狀況實現了層次化、立體化的展示。從網絡結構角度看,可將智慧校園信息安全的層次從上到下可分為四層,即應用安全層、網絡安全層、系統安全層和物理安全層。應用安全層的安全主要針對應用程序和協議,如Web服務和域名系統(domain name system,DNS)協議等;網絡安全層是指數據的傳輸、存儲等過程中可能存在的安全風險,包括數據竊取、數據偽造等安全風險;系統安全層的安全主要來自于操作系統安全,如自身缺陷、身份認證、病毒攻擊、隱私挖掘等一系列威脅;物理安全層主要是網絡設備在正常運行過程中出現的如線路故障、端口故障等運行故障所引發的安全問題。

圖2 信息安全縱深防御體系模型

智慧校園信息安全防御體系中的關鍵在于數據安全防護體系,該模型促使防御體系的防護核心由傳統的系統安全逐步向網絡數據安全轉變,但目前的網絡數據安全防護工作仍存在著一些不足之處,如教育系統數據分類和分級保護標準尚未有完善明確的規范體系,數據利用的邊界不清晰等,使得智慧校園信息安全防護中應急響應處置體系成了重要防線。面對智慧校園可能或已經發生的信息安全突發事件,應急響應處置體系通過利用自身的應急處置能力來監控、分析、研判突發事件,及時給予應急保障并進行有效應對,盡可能降低和縮小破壞程度和影響范圍。智慧校園網網絡安全的主動防御能力是以安全態勢感知體系為依據得以實現的,并基于網絡防御視域對當前智慧校園的安全態勢通過數據挖掘、推演等方式,最終實現對其感知理解的全面性、準確性和實時性,并能夠第一時間感知智慧校園的網絡安全攻擊,促使該體系不斷提升對未來網絡安全趨勢的預測能力,進而在制定網絡安全防御決策時提供可參考價值[7]。此外,智慧校園信息安全體系要以信息安全政策法規體系作為建設原則,隨著我國對網絡信息安全問題重視力度的不斷加強,促使在該領域的立法進程不斷提速,在此基礎上頒布和出臺的法律法規和標準規范更為完善。安全力量協同體系為智慧校園信息安全的集成化實現提供了多要素的保護,學校信息化部門通過與相關部門如上級教育信息化主管部門、電信運營商、第三方技術公司、公安機關等的協同聯動,為業務聯動、教育資源和教育數據的交互共享機制的構建奠定了基礎,有助于應急處置協同作用的充分發揮。

4 防御體系的部署

智慧校園信息安全防御體系是以真實、準確、直觀反映校園網網絡安全狀態為目的加以建立的,在實踐中還需對該體系應用部署的合理性進行檢驗測試,且必須在智慧校園的網絡環境下進行測試才具有效性,校園網絡拓撲結構(如圖3所示)。在此網絡環境中,路由器、日志、策略等功能由應用層防火墻啟動,其中隔離區主要放置的是外網服務器如文件傳輸協議(file transfer protocol,FTP)、Web服務器等,對網絡數據的監控由入侵防御檢測系統(intrusion detection and prevention,IDP)負責。

圖3 部分校園網絡拓撲圖

第一步,網絡攻擊測試工具。此次網絡攻擊的模擬工具選用的是IDS Informer,其作為一個高級包重發工具,攻擊測試所使用的數據包具有真實、安全、無威脅等特征,對真實網絡不會造成任何干擾和不良影響,其在進行攻擊測試時不需要選中特定的攻擊目標,且對任意源IP和目的地IP都可進行模擬,并可對大量不同的攻擊類型進行模擬,攻擊頻率、IP、端口、持續時間等都靈活配置以滿足不同的測試需求[8]。

第二步,從入侵檢測系統(intrusion detection systems,IDS)攻擊庫中選擇DDOS攻擊,不同時間段的攻擊模擬采用單一形式,假設在08:00～09:00、09:00～10:00、10:00～11:00三個時間段的攻擊強度分別為強、中、弱,攻擊持續時間為180min,攻擊模擬結束后采集、處理并分析所產生的數據包、IDS檢測出的報警事件等數據,再采用模糊層次分析法計算網絡態勢維指標,并基于同一標準評估指標。

第三步,通過測試得出,網絡態勢指標中DDOS攻擊指數和威脅指數的波動最明顯,并且在08:00～11:00的這三個時間段中,DDOS攻擊狀態和威脅指數的攻擊狀態所呈現出的波動趨勢均一致。可見,智慧校園信息安全縱深防御體系的應用部署具有較高的合理性。

5 結語

綜上所述,智慧校園環境下的校園信息安全現狀以及面臨的安全威脅不容客觀,而智慧校園信息安全縱深防御體系模型的構建與應用,為校園信息安全實現立體化、實時性的安全防御提供了技術支持,該模型對智慧校園信息安全防護能力的增強有重要影響。通過對該模型應用部署合理性進行檢驗,最終得出校園網網絡的整體安全狀況可通過對該模型的應用部署實現全面、準確、實時反映,具有較高的可行性和可信度。