2022年 4月 April    2022
Digital  Technology  &Application 第40卷 第4期Vol.40    No.4数字技术与应用
238
中图分类号:TP393                  文献标识码:A                                文章编号:1007-9416(2022)04-0238-05DOI:10.19695/jki12-1369.2022.04.78
智慧校园信息安全立体化纵深防御体系的构建与应用*
南阳师范学院计算机科学与技术学院  张新刚  孙晓林  王保平  李贺  刘泉
智慧校园环境下信息安全面临着新的威胁和挑战。分析了智慧校园环境下若干典型的信息安全威胁,设计了智慧校园信息安全立体化纵深防御体系模型,分析了该模型各部分功能模块。该模型在校园网的部署应用结果表明,能够进一步提高智慧校园的信息安全水平,这对于智慧校园信息安全建设具有一定的借鉴意义和参考价值。
数字化赋能智慧校园建设,推动教学、科研、管理和数字化的深度融合,为学校各项业务工作的高效运行提供了充分的网络资源保障,智慧校园建设应用进入了一个新的层次[1]。近年来我国高度重视信息安全建
设,加快了在信息安全领域的立法进程,《网络安全法》、《数据安全法》等一系列法律法规出台,这对学校信息安全建设提出了更高的要求。智慧校园的各种业务应用在给广大师生带来便利的同时,智慧校园自身也面临着多样化的安全威胁和挑战,如数据安全、APT攻击等,因此亟需构建信息安全立体化纵深防御体系,通过部署实施来进一步提升信息安全防护水平,保障智慧校园各项业务应用的正常开展。
1 智慧校园信息安全若干典型威胁分析
智慧校园面临着多样化的信息安全风险,对学校各种业务信息系统的运行构成了巨大的威胁。特别是在疫情防控期间,传统威胁和新型威胁叠加,隐私泄露、数据安全、DDoS攻击、APT攻击等频发,对学校的智慧化应用造成了严重的威胁。下面就简单列举其中的几种典型安全威胁进行分析。
1.1 数据安全风险加剧
大数据和云计算环境下,智慧校园中师生教学、科研、管理等网络行为产生了海量数据,这些数据包括收稿日期:2022-02-11
*基金项目:河南省科技攻关项目(222102320369);河南省高校科技研究重点项目(21A520032,21A520033);河南省社科规划项
目(2020BZH003)
作者简介:张新刚(1979—),男,河南漯河人,硕士,副教授,研究方向:网络信息安全。学习记录、社交信息、搜索记录、地理信息、身份信息等,这些信息一旦泄露,被不法攻击者数据挖掘和关联分析后,将不法获取师生更多的重要隐私信息,师生有可能面临精准信息营销和网络的风险,影响学校的安全稳定[2]。此外,新技术环境下新应用的推广会带来数据安全问题,如何避免新应用过度采集和使用师生的隐私信息也十分重要,如何确保数据安全的前提下合理共享利用数据是当前的努力方向。
1.2 高级可持续威胁攻击
高级可持续威胁攻击(Advanced Persistent Threat, 简称APT)一般是利用社会工程学、0Day漏洞等,采取复杂多样化的渗透技术,对政府机构的核心资源、工业控制信息系统等进行大规模、有组织、持续性的破坏性攻击。国家计算机网络应急技术处理协调中心发布的《2020年中国互联网网络安全报告》(以下简称“安全报告”)显示,APT组织多次运用供应链对我国的一些重要行业进行攻击,特别是在疫情防控期间我国在线教育、远程办公急剧增多更是扩大了网络暴露风险,扩大了APT的攻击范围。例如2020年3~7月,“响尾蛇”组织隐蔽控制我国某重点高校主机,持续窃取了多份文件,带来了巨大的安全隐患[3]。
1.3 分布式拒绝服务攻击
分布式拒绝服务攻击(Distributed Denial of Service ,简称DDoS )一般是利用某些网络协议的漏洞,采用协同式、分布式攻击方法,发动多个攻击者针对某个攻击目标实施攻击。DDoS攻击已成为互联网上最常见且危害性较大的攻击类型之一。常见的是综合运用多种攻击方式伪造IP源地址,瞬时大流量攻击而使攻击目标瘫痪而获得某种利益,并且还呈现攻击者向迁移的趋势。
2022年第 4 期
239
2 智慧校园信息安全立体化纵深防御体系模型构建
首先从安全威胁、安全保障和安全主体三个维度分析了智慧校园信息安全基本要素,为了实现立体化全周期动态化安全防护,提出了智慧校园信息安全立体化纵深防御体系模型,并分析了各功能模块的功能。
2.1 智慧校园信息安全基本要素
智慧校园信息安全要素结构如图1所示,主要由安全威胁、安全保障和安全主体构成。三者之间的关系是,安全主体是安全保障的目标和对象,安全威胁是对安全主体可能发生的威胁和攻击,安全保障是为了保护安全主体,对抗安全威胁而采取的针对性保障措施[4]。
2.2 智慧校园信息安全整体框架设计
智慧校园信息安全整体框架如图2所示,该架构主要由信息安全技术防护体系、信息安全管理体系和信息安全保障体系、网络基础设施、网络信息资产等部分组成。该框架的各功能模块情况如下:信息安全
图1  智慧校园信息安全要素结构
Fig.1 Smart campus information security element structure
管理体系主要是为了提高信息安全综合管理能力和水平,主要包括信息安全责任落实、信息资产管理、信息安全风险管理等。信息安全技术防护体系侧重于运用技术手段做好信息安全的顶层设计,做好安全区域
图2  智慧校园信息安全整体框架
Fig.2  Overall framework of smart campus information security
张新刚 孙晓林 王保平等:智慧校园信息安全立体化纵深防御体系的构建与应用
数字技术与应用    www.szjsyyy
第  40  卷240
和安全层次划分,构建信息安全综合管理中心,实现纵深安全防御,包括风险评估、安全审计、容灾备份等。信息安全保障体系用于做好信息安全的基础保障工作,主要包括组织机构、宣传培训等。网络基
础设施是智慧校园信息安全运行的基础和载体,主要包括校园有线网、无线网、物联网、私有云平台等。网络信息资产是智慧校园信息安全的重要组成部分。按照要求做好网络信息资产测绘,全面准确梳理网络信息资产,做好网络信息资产的全链条全周期管理[5]。网络使用主体包括校内用户和校外用户,应采用合理的访问控制策略分配不同的访问操作权限。
2.3 智慧校园信息安全立体化纵深防御体系模型根据《数据安全法》等相关法律法规,为了更好地应对智慧校园的各种信息安全威胁,保障智慧校园各项业务系统的安全可靠稳定运行,实现智慧校园信息安全的立体化动态化防御,设计了智慧校园信息安全立体化纵深防御体系模型如图3所示。
该模型主要考虑了大数据云计算等环境下智慧校园信息安全防御的关键因素,构建了以智慧校园信息安全立体化全周期防护体系为核心的纵深防御系统模型,包括智慧校园信息安全立体化全周期防护体系,
以及数据安全防护体系、应急响应处置体系、安全态势感知体系、政策法规标准规范体系和安全力量协同体系,各体系功能模块之间相互协同。该模型的各功能模块分析如下:
智慧校园信息安全立体化全周期防护体系呈现了智慧校园层次化、全生命周期的信息安全状况。从全生命周期来看,智慧校园信息安全分为风险评估、动态防护、实时监测等六个流程。从逻辑结构上来看,智慧校园信息安全自上而下分别为内容安全、数据安全、系统安全、设备安全等四个层次。内容安全层主要包括网络舆情、信息泄露、有害信息等[6]。数据安全主要包括数据在采集、存储等全过程的一系列
安全问题,包括情报窃取、密码破解等问题。近年来数据安全事件频发,社会危害严重。系统安全层主要指信息系统面临的安全挑战和威胁,包括黑客攻击、软件故障等问题。设备安全层指校园网网络设备的安全问题,包括电磁干扰、设备故障等问题。
数据安全防护体系是智慧校园信息安全体系中的重要组成部分,目前的安全体系正在逐步从以传统的系统安全、网络安全为核心转变为以数据安全为核心的防护
体系。当前数据安全防护工作还面临一些严峻挑战,例
图3  智慧校园信息安全立体化纵深防御体系模型
Fig.3  Intelligent campus information security three-dimensional defense in depth
system model
2022年第 4 期
241
如教育系统数据分类和分级保护标准不明确,数据利用的边界模糊等。应急响应处置体系已成为信息安全防护中的最后一道屏障和防线。它主要通过监控、分析、研判等方式,有效应对智慧校园各种可能发生或已经发生的信息安全突发事件,力争将造成的破坏程度和影响范围降到最低水平。安全态势感知体系是网络安全主动防御的重要基础,它是在网络防御视角下,采用数据挖掘和推演等方法,全面、准确、实时地感知理解当前智慧校园的安全态势,及时发现智慧校园的网络安全攻击,预测未来的网络安全趋势,为网络安全防御提供辅助决策支持[7]。政策法规标准规范体系是智慧校园信息安全体系建设的基本遵循。近年来我国加快了在网络信息安全领域的立法进程,一系列法律法规标准规范密集出台。安全力量协同体系主要是为了形成集成化的信息安
全多要素保障力量,学校信息化部门协同上级教育信息
图4  智慧校园网络安全态势可视化展示图
Fig.4 Visual display of smart campus network security situation
化主管部门、电信运营商、第三方技术公司、公安机关等相关部门,构建业务联动、资源支撑和数据共享的畅通联动机制,有效协同应急处置。
3 应用部署
将上述设计的智慧校园信息安全立体化纵深防御体系模型在校园网中进行了部署应用,加强外部防御、内部控制、态势感知和应急处置,重新划分安全域,实施7×24小时实时监测防护。对智慧校园的业务应用系统进行资产测绘和梳理,全面筛查清理僵尸网站,对访问控制等各种系统进行测评加固。部署应用后智慧校园的整体安全水平得到了进一步提升。
智慧校园部署应用的网络安全态势感知系统效果如图4所示。该系统能够实时监控智慧校园风险态势和最近30天的风险趋势,通过可视化展示系统可以直观了解智慧校园整体安全态势和当前系统管理的资产数量、脆
张新刚 孙晓林 王保平等:智慧校园信息安全立体化纵深防御体系的构建与应用
图5  全部业务资产风险态势图
Fig.5  Risk situation chart of all business assets
数字技术与应用    www.szjsyyy
第  40  卷242
弱性数量和威胁告警数量等。
智慧校园全部业务资产风险态势情况如图5所示,从该图中可以直观展示全局风险态势指数、业务资产数量、校园网络拓扑结构、待处置告警级别分布情况、告警历史趋势等,从宏观上感知智慧校园全局业务资产的风险态势和趋势发展情况。
重要资产持续监测风险态势情况如图6所示,从该图中可以直观展示校园网中的Web攻击数量、攻击者IP 数量、受害域名数量、攻击类型等分别情况。
4 结语
近年来我国高度重视信息安全建设,加快了在信息安全领域的立法进程,《网络安全法》、《数据安全法》、《个人信息保护法》等一系列法律法规相继出台,大数据、云计算和人工智能环境下智慧校园信息安全面临着新的威胁和挑战。首先分析了智慧校园环境下数据安全风险加剧、分布式拒绝服务攻击等若干典型的信息安全威胁,设计分析了智慧校园信息安全立体化纵深防御体系模型,实现了信息安全防御的全周期、立体化和动态化,该模型对于提高智慧校园信息安全水平具有一定的借鉴价值和参考意义。该模型在智慧校园的应
用部署结果表明,能够进一步提高智慧校园信息安全的防御水平。今后,随着人工智能、区块链等新技术新应用的发展,智慧校园面临着更加复杂多样化的信息安全威胁,这需要我们不断实践探索中逐步完善解决。
引用
[1] ,时金桥,王忠儒,等.人工智能赋能网络攻击的安全威胁及应对策略[J].中国工程科学,2021,23(3):60-66.
web应用防护系统[2] 刘爱东.高校网络安全体系四大建设重点[J].中国教育网络, 2021(9):59-60.
[3] 国家计算机网络应急技术处理协调中心.2020年中国互联网网络安全报告[M].北京:人民邮电出版社,2021.
[4] 张新刚,于波,田燕,等.大数据时代高校网络空间安全层次化保障体系分析[J].网络安全技术与应用,2017(1):104-105.[5] 贾焰,,李爱平,等.基于人工智能的网络空间安全防御战略研究[J].中国工程科学,2021,23(3):98-105.
[6] 张新刚,田燕,孙晓林,等.大数据环境下高校信息安全全生命周期协同防御体系研究[J].信息技术与信息化,2020(3):78-80.[7] 贾焰,韩伟红,杨行.网络安全态势感知研究现状与发展趋势[J].广州大学学报:自然科学版,2019,18(3):1-10.
图6  重要资产持续监测风险态势图
Fig.6 Continuous monitoring of risk situation of important assets