陶昀翔 吳雷 王鈞

摘要：針對高校智慧校園面臨的安全問題，該文研究了網(wǎng)絡(luò)信息安全體系構(gòu)建，提出了如何建立容災(zāi)備份機制。圍繞物理設(shè)備、網(wǎng)絡(luò)傳輸、主機系統(tǒng)、業(yè)務(wù)數(shù)據(jù)等維度設(shè)計智慧校園網(wǎng)絡(luò)信息安全體系，從物理層面和邏輯層面構(gòu)建容災(zāi)備份機制，通過安全體系和容災(zāi)機制的設(shè)計為高校智慧校園平臺安全建設(shè)精準落地提供理論支撐。

關(guān)鍵詞：智慧校園;網(wǎng)絡(luò);安全;容災(zāi);備份

Abstract：Aiming at the security problems faced by smart campus， the paper studies the construction of network information security system， and puts forward how to establish disaster recovery and backup mechanism. Smart campus network information security system is designed through physical equipment， network transmission， host communication， system business， data and other dimensions， disaster recovery and backup mechanism is built from the physical and logical levels， and the design of security system and disaster recovery mechanism provides theoretical support for accurate landing of security construction of smart campus platform in universities. The design of safety system and disaster recovery mechanism provides theoretical support for the accurate implementation of smart campus platform security construction in colleges and universities.

Key words：smart campus; network; security; disaster recovery; backup

高校智慧校園網(wǎng)絡(luò)信息安全涉及面廣，如：校園出口防護，通用病毒端口，用戶認證登錄，用戶日志記錄，數(shù)據(jù)中心出口防護，抗DDOS攻擊，防站點攻擊，數(shù)據(jù)中心內(nèi)防護，服務(wù)器級別安全加固，業(yè)務(wù)系統(tǒng)等級保護，數(shù)據(jù)備份恢復(fù)，網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)監(jiān)控等都屬于高校網(wǎng)絡(luò)信息安全體系防護范疇。為了保證智慧校園系統(tǒng)安全、穩(wěn)定、可靠的運行，高校須針對各類安全問題制定相應(yīng)的防護方案。

1 智慧校園面臨的安全問題

高校智慧校園體系結(jié)構(gòu)復(fù)雜，易受攻擊，從基本物理設(shè)備到網(wǎng)絡(luò)鏈路、從主機到系統(tǒng)、從業(yè)務(wù)應(yīng)用到數(shù)據(jù)安全，各層面均可能存在漏洞風(fēng)險。為此，構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)信息環(huán)境是高校信息化建設(shè)過程中不可或缺的重要一環(huán)。高校智慧校園安全問題主要集中在以下方面：

一是物理層面臨的安全風(fēng)險，諸如設(shè)備老化以及鏈路不穩(wěn)定，網(wǎng)絡(luò)設(shè)計不規(guī)范，無鏈路冗余備份機制等，均可能產(chǎn)生網(wǎng)絡(luò)層面的安全問題;

二是網(wǎng)絡(luò)傳輸層面的安全隱患，具有代表性的如DHCP、ARP欺騙等;

三是終端主機面臨的風(fēng)險，諸如服務(wù)器版本信息泄漏、系統(tǒng)服務(wù)的賬號管理不妥當、賬號分權(quán)不明確、弱口令、身份鑒別方式不當、非法訪問控制、惡意入侵等;

四是業(yè)務(wù)、數(shù)據(jù)層面的風(fēng)險，諸如SQL注入、XSS攻擊、爬蟲攻擊、惡意掃描等安全威脅，數(shù)據(jù)面臨著不完整、不可用及泄密的安全隱患，不法分子利用系統(tǒng)漏洞，竊取系統(tǒng)數(shù)據(jù)，篡改業(yè)務(wù)數(shù)據(jù)，破壞數(shù)據(jù)的完整性。

2 智慧校園安全體系構(gòu)建

針對以上的安全問題，智慧校園網(wǎng)絡(luò)信息安全體系可以從物理層面、網(wǎng)絡(luò)傳輸層面、系統(tǒng)終端層面及業(yè)務(wù)數(shù)據(jù)層面構(gòu)建，如圖1所示。

2.1 數(shù)據(jù)中心物理安全

數(shù)據(jù)中心是智慧校園體系的核心構(gòu)成，數(shù)據(jù)中心的物理基礎(chǔ)設(shè)施安全，包括設(shè)備安全、電力安全、消防安全等。

數(shù)據(jù)中心應(yīng)配備動態(tài)環(huán)境檢測系統(tǒng)，對數(shù)據(jù)中心內(nèi)的機密空調(diào)、溫濕度傳感器、UPS、UPS電池中電阻電流、配電機柜、漏水檢測器等進行實時監(jiān)控告警。各類設(shè)備須定期檢修，發(fā)現(xiàn)故障及時排除。

數(shù)據(jù)中心應(yīng)配備多路電源，多路UPS電池為數(shù)據(jù)中心提供備份電力，數(shù)據(jù)中心內(nèi)重要業(yè)務(wù)核心設(shè)備均應(yīng)配備主備電。

數(shù)據(jù)中心應(yīng)設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使數(shù)據(jù)中心溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。按照數(shù)據(jù)中心的使用面積合理的配備機密空調(diào)的數(shù)量，全天候不間斷輪詢散熱，確保核心數(shù)據(jù)中心溫濕度均衡設(shè)備穩(wěn)定可靠運行。

數(shù)據(jù)中心內(nèi)應(yīng)設(shè)置火災(zāi)自動消防系統(tǒng)，通過煙感或紅外檢測自動發(fā)現(xiàn)火情，自動報警并啟動滅火程序。

2.2 網(wǎng)絡(luò)傳輸及鏈路安全

高校網(wǎng)絡(luò)是安全攻擊中的“重災(zāi)區(qū)”，攻擊者通過網(wǎng)絡(luò)中的漏洞進行攻擊，高校網(wǎng)絡(luò)安全應(yīng)從校園出口防護、校園網(wǎng)絡(luò)鏈路、校園用戶認證等維度進行保障。

校園出口防護方面，可使用高端防火墻做主備策略，并對所有的訪問策略做出精細化調(diào)整：對個別地區(qū)地址進行過濾，對高風(fēng)險端口做訪問策略，例如135，137，139，445，3389等端口，對部分敏感軟件進行攔截，內(nèi)網(wǎng)訪問策略做到逐條匹配。對內(nèi)網(wǎng)地址映射公網(wǎng)地址所在的服務(wù)器嚴格審查，并做好備案。

校園用戶認證應(yīng)采用統(tǒng)一賬號認證登錄上網(wǎng)，所有用戶上網(wǎng)行為皆應(yīng)有記錄日志，日志記錄保留時長不少于6個月。認證設(shè)備也須做到冗余備份，保障設(shè)備穩(wěn)定。有條件的情況下，對日志系統(tǒng)以及行為管理日志服務(wù)器系統(tǒng)進行雙備份，在單一日志服務(wù)器出現(xiàn)故障時，保障用戶日志可查。