论文部分内容阅读
摘要:针对高校智慧校园面临的安全问题,该文研究了网络信息安全体系构建,提出了如何建立容灾备份机制。围绕物理设备、网络传输、主机系统、业务数据等维度设计智慧校园网络信息安全体系,从物理层面和逻辑层面构建容灾备份机制,通过安全体系和容灾机制的设计为高校智慧校园平台安全建设精准落地提供理论支撑。
关键词:智慧校园;网络;安全;容灾;备份
Abstract:Aiming at the security problems faced by smart campus, the paper studies the construction of network information security system, and puts forward how to establish disaster recovery and backup mechanism. Smart campus network information security system is designed through physical equipment, network transmission, host communication, system business, data and other dimensions, disaster recovery and backup mechanism is built from the physical and logical levels, and the design of security system and disaster recovery mechanism provides theoretical support for accurate landing of security construction of smart campus platform in universities. The design of safety system and disaster recovery mechanism provides theoretical support for the accurate implementation of smart campus platform security construction in colleges and universities.
Key words:smart campus; network; security; disaster recovery; backup
高校智慧校园网络信息安全涉及面广,如:校园出口防护,通用病毒端口,用户认证登录,用户日志记录,数据中心出口防护,抗DDOS攻击,防站点攻击,数据中心内防护,服务器级别安全加固,业务系统等级保护,数据备份恢复,网络、业务系统监控等都属于高校网络信息安全体系防护范畴。为了保证智慧校园系统安全、稳定、可靠的运行,高校须针对各类安全问题制定相应的防护方案。
1 智慧校园面临的安全问题
高校智慧校园体系结构复杂,易受攻击,从基本物理设备到网络链路、从主机到系统、从业务应用到数据安全,各层面均可能存在漏洞风险。为此,构建安全稳定的网络信息环境是高校信息化建设过程中不可或缺的重要一环。高校智慧校园安全问题主要集中在以下方面:
一是物理层面临的安全风险,诸如设备老化以及链路不稳定,网络设计不规范,无链路冗余备份机制等,均可能产生网络层面的安全问题;
二是网络传输层面的安全隐患,具有代表性的如DHCP、ARP欺骗等;
三是终端主机面临的风险,诸如服务器版本信息泄漏、系统服务的账号管理不妥当、账号分权不明确、弱口令、身份鉴别方式不当、非法访问控制、恶意入侵等;
四是业务、数据层面的风险,诸如SQL注入、XSS攻擊、爬虫攻击、恶意扫描等安全威胁,数据面临着不完整、不可用及泄密的安全隐患,不法分子利用系统漏洞,窃取系统数据,篡改业务数据,破坏数据的完整性。
2 智慧校园安全体系构建
针对以上的安全问题,智慧校园网络信息安全体系可以从物理层面、网络传输层面、系统终端层面及业务数据层面构建,如图1所示。
2.1 数据中心物理安全
数据中心是智慧校园体系的核心构成,数据中心的物理基础设施安全,包括设备安全、电力安全、消防安全等。
数据中心应配备动态环境检测系统,对数据中心内的机密空调、温湿度传感器、UPS、UPS电池中电阻电流、配电机柜、漏水检测器等进行实时监控告警。各类设备须定期检修,发现故障及时排除。
数据中心应配备多路电源,多路UPS电池为数据中心提供备份电力,数据中心内重要业务核心设备均应配备主备电。
数据中心应设置温、湿度自动调节设施,使数据中心温、湿度的变化在设备运行所允许的范围之内。按照数据中心的使用面积合理的配备机密空调的数量,全天候不间断轮询散热,确保核心数据中心温湿度均衡设备稳定可靠运行。
数据中心内应设置火灾自动消防系统,通过烟感或红外检测自动发现火情,自动报警并启动灭火程序。
2.2 网络传输及链路安全
高校网络是安全攻击中的“重灾区”,攻击者通过网络中的漏洞进行攻击,高校网络安全应从校园出口防护、校园网络链路、校园用户认证等维度进行保障。
校园出口防护方面,可使用高端防火墙做主备策略,并对所有的访问策略做出精细化调整:对个别地区地址进行过滤,对高风险端口做访问策略,例如135,137,139,445,3389等端口,对部分敏感软件进行拦截,内网访问策略做到逐条匹配。对内网地址映射公网地址所在的服务器严格审查,并做好备案。
校园用户认证应采用统一账号认证登录上网,所有用户上网行为皆应有记录日志,日志记录保留时长不少于6个月。认证设备也须做到冗余备份,保障设备稳定。有条件的情况下,对日志系统以及行为管理日志服务器系统进行双备份,在单一日志服务器出现故障时,保障用户日志可查。 校园网络出口链路可采用软件定义网络的方式将防火墙、IPS、WAF等安全设备串联在其中,数据流量会依次经过这些安全设备,流量通过检测后确认安全再进入数据中心内部。若其中某一台安全设备故障,数据流量可自动切换,不再经过此故障设备,直至设备恢复,不会造成单点故障,提高了设备的可用性。此外,在数据中心链路出口部署的安全软件能够有效地应对恶意攻击,非法访问等有效的防护,并能实时监测数据,对所有数据流量进行分析。
2.3 主机系统安全
终端个人计算机、网站服务器、业务工作站等计算层面的安全均属于主机安全。主机系统终端中的硬件、固件、系统软件方面均面临如病毒入侵、木马等攻击对信息的窃取。保障主机安全应从以下方面进行:
针对服务器本身,定期安全扫描加固,同时做好访问控制,实现文件、进程、服务、网络、注册表等对象的访问控制。
定期对文件和服务进行完整性检测,当发现文件或者服务存在被篡改的可能时进行告警,同时定位发生改变的文件,并将发生改变的文件进行隔离处理。
做好系统安全审计,实时监控记录系统的内存消耗、CPU利用率、磁盘空间占比、网络带宽与传输速率等,当系统资源消耗超过设定的阈值时告警,以提高资源利用率,解决资源浪费等问题。
2.4 业务及数据安全
在数据驱动的信息化时代,数据已成为核心资产和重要的生产要素,数据的重要性不言而喻。各类数据通常包括用户数据、系统数据、业务数据等,数据易发生泄漏、被篡改、毁坏等。数据在信息通信的各个节点都会以不同的编码形式存在,在对数据传输、存储、加工处理等环节应注意校验、安全及备份。
保障数据安全,应对数据库安全进行防护,可以通过数据库审计,对数据库的查询、新增、删除、修改、授权等各种操作行为进行解析和智能关联、实时告警响应。保障数据完整性,要定期对数据进行校验,及时发现数据是否被篡改。对于敏感数据要进行加密、脱敏处理。另外,数据备份也是防止数据被破坏后无法恢复的重要手段,以下将介绍智慧校园容灾备份机制。
3 智慧校园容灾备份机制
高校智慧校园应建立容灾备份机制,当系统的硬件、存储媒体或软件发生故障,“备份”可以保护数据免受意外的损失。容灾备份机制可分为物理层面的备份和逻辑层面备份,如图2所示。
物理层面的备份包括对物理硬件设备的备份,硬件备份的主要对象是服务器、网络设备及存储,当系统中的物理设备发生故障时,为保障业务连续性,应将业务应用及时切换到备用设备上运行。
逻辑层面的备份可以是对系统或业务数据逻辑设定备份,重要业务及数据应设置冗余,在灾难发生时,可通過数据恢复等手段恢复丢失的业务数据。备份作为网络信息安全的最后一道防线在保障业务连续性方面起到不可替代的关键作用。
4 结束语
本文分析了智慧校园体系面临的风险,研究了智慧校园网络信息安全体系构建,从物理层面和逻辑层面介绍了容灾备份机制。高校智慧校园建设中,面对不可预期的诸多风险,应从物理、网络传输、主机系统、业务数据等方面加强安全防护,做好容灾备份,防患于未然。
参考文献:
[1] 田由辉.教育信息化2.0背景下智慧校园的网络信息安全治理研究[J].信息技术与信息化,2020(10):184-187.
[2] 黄俊.智慧校园一体化信息安全综合服务体系建设研究[J].网络安全技术与应用,2020(10):99-100.
[3] 陈广勇,祝国邦,范春玲.《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)标准解读[J].信息网络安全,2019(7):1-7.
[4] 周立志,朱尚明.高校网络信息安全体系建设实践和思考[J].深圳大学学报(理工版),2020,37(S1):73-77.
[5] 陈跃辉,王以伍.高校网络安全现状分析及风险应对策略[J].中国医学教育技术,2019,33(1):68-71.
[6] 龚汉明.高校网络安全问题与应对研究[J].北京教育(高教),2019(2):8-12.
【通联编辑:代影】
关键词:智慧校园;网络;安全;容灾;备份
Abstract:Aiming at the security problems faced by smart campus, the paper studies the construction of network information security system, and puts forward how to establish disaster recovery and backup mechanism. Smart campus network information security system is designed through physical equipment, network transmission, host communication, system business, data and other dimensions, disaster recovery and backup mechanism is built from the physical and logical levels, and the design of security system and disaster recovery mechanism provides theoretical support for accurate landing of security construction of smart campus platform in universities. The design of safety system and disaster recovery mechanism provides theoretical support for the accurate implementation of smart campus platform security construction in colleges and universities.
Key words:smart campus; network; security; disaster recovery; backup
高校智慧校园网络信息安全涉及面广,如:校园出口防护,通用病毒端口,用户认证登录,用户日志记录,数据中心出口防护,抗DDOS攻击,防站点攻击,数据中心内防护,服务器级别安全加固,业务系统等级保护,数据备份恢复,网络、业务系统监控等都属于高校网络信息安全体系防护范畴。为了保证智慧校园系统安全、稳定、可靠的运行,高校须针对各类安全问题制定相应的防护方案。
1 智慧校园面临的安全问题
高校智慧校园体系结构复杂,易受攻击,从基本物理设备到网络链路、从主机到系统、从业务应用到数据安全,各层面均可能存在漏洞风险。为此,构建安全稳定的网络信息环境是高校信息化建设过程中不可或缺的重要一环。高校智慧校园安全问题主要集中在以下方面:
一是物理层面临的安全风险,诸如设备老化以及链路不稳定,网络设计不规范,无链路冗余备份机制等,均可能产生网络层面的安全问题;
二是网络传输层面的安全隐患,具有代表性的如DHCP、ARP欺骗等;
三是终端主机面临的风险,诸如服务器版本信息泄漏、系统服务的账号管理不妥当、账号分权不明确、弱口令、身份鉴别方式不当、非法访问控制、恶意入侵等;
四是业务、数据层面的风险,诸如SQL注入、XSS攻擊、爬虫攻击、恶意扫描等安全威胁,数据面临着不完整、不可用及泄密的安全隐患,不法分子利用系统漏洞,窃取系统数据,篡改业务数据,破坏数据的完整性。
2 智慧校园安全体系构建
针对以上的安全问题,智慧校园网络信息安全体系可以从物理层面、网络传输层面、系统终端层面及业务数据层面构建,如图1所示。
2.1 数据中心物理安全
数据中心是智慧校园体系的核心构成,数据中心的物理基础设施安全,包括设备安全、电力安全、消防安全等。
数据中心应配备动态环境检测系统,对数据中心内的机密空调、温湿度传感器、UPS、UPS电池中电阻电流、配电机柜、漏水检测器等进行实时监控告警。各类设备须定期检修,发现故障及时排除。
数据中心应配备多路电源,多路UPS电池为数据中心提供备份电力,数据中心内重要业务核心设备均应配备主备电。
数据中心应设置温、湿度自动调节设施,使数据中心温、湿度的变化在设备运行所允许的范围之内。按照数据中心的使用面积合理的配备机密空调的数量,全天候不间断轮询散热,确保核心数据中心温湿度均衡设备稳定可靠运行。
数据中心内应设置火灾自动消防系统,通过烟感或红外检测自动发现火情,自动报警并启动灭火程序。
2.2 网络传输及链路安全
高校网络是安全攻击中的“重灾区”,攻击者通过网络中的漏洞进行攻击,高校网络安全应从校园出口防护、校园网络链路、校园用户认证等维度进行保障。
校园出口防护方面,可使用高端防火墙做主备策略,并对所有的访问策略做出精细化调整:对个别地区地址进行过滤,对高风险端口做访问策略,例如135,137,139,445,3389等端口,对部分敏感软件进行拦截,内网访问策略做到逐条匹配。对内网地址映射公网地址所在的服务器严格审查,并做好备案。
校园用户认证应采用统一账号认证登录上网,所有用户上网行为皆应有记录日志,日志记录保留时长不少于6个月。认证设备也须做到冗余备份,保障设备稳定。有条件的情况下,对日志系统以及行为管理日志服务器系统进行双备份,在单一日志服务器出现故障时,保障用户日志可查。 校园网络出口链路可采用软件定义网络的方式将防火墙、IPS、WAF等安全设备串联在其中,数据流量会依次经过这些安全设备,流量通过检测后确认安全再进入数据中心内部。若其中某一台安全设备故障,数据流量可自动切换,不再经过此故障设备,直至设备恢复,不会造成单点故障,提高了设备的可用性。此外,在数据中心链路出口部署的安全软件能够有效地应对恶意攻击,非法访问等有效的防护,并能实时监测数据,对所有数据流量进行分析。
2.3 主机系统安全
终端个人计算机、网站服务器、业务工作站等计算层面的安全均属于主机安全。主机系统终端中的硬件、固件、系统软件方面均面临如病毒入侵、木马等攻击对信息的窃取。保障主机安全应从以下方面进行:
针对服务器本身,定期安全扫描加固,同时做好访问控制,实现文件、进程、服务、网络、注册表等对象的访问控制。
定期对文件和服务进行完整性检测,当发现文件或者服务存在被篡改的可能时进行告警,同时定位发生改变的文件,并将发生改变的文件进行隔离处理。
做好系统安全审计,实时监控记录系统的内存消耗、CPU利用率、磁盘空间占比、网络带宽与传输速率等,当系统资源消耗超过设定的阈值时告警,以提高资源利用率,解决资源浪费等问题。
2.4 业务及数据安全
在数据驱动的信息化时代,数据已成为核心资产和重要的生产要素,数据的重要性不言而喻。各类数据通常包括用户数据、系统数据、业务数据等,数据易发生泄漏、被篡改、毁坏等。数据在信息通信的各个节点都会以不同的编码形式存在,在对数据传输、存储、加工处理等环节应注意校验、安全及备份。
保障数据安全,应对数据库安全进行防护,可以通过数据库审计,对数据库的查询、新增、删除、修改、授权等各种操作行为进行解析和智能关联、实时告警响应。保障数据完整性,要定期对数据进行校验,及时发现数据是否被篡改。对于敏感数据要进行加密、脱敏处理。另外,数据备份也是防止数据被破坏后无法恢复的重要手段,以下将介绍智慧校园容灾备份机制。
3 智慧校园容灾备份机制
高校智慧校园应建立容灾备份机制,当系统的硬件、存储媒体或软件发生故障,“备份”可以保护数据免受意外的损失。容灾备份机制可分为物理层面的备份和逻辑层面备份,如图2所示。
物理层面的备份包括对物理硬件设备的备份,硬件备份的主要对象是服务器、网络设备及存储,当系统中的物理设备发生故障时,为保障业务连续性,应将业务应用及时切换到备用设备上运行。
逻辑层面的备份可以是对系统或业务数据逻辑设定备份,重要业务及数据应设置冗余,在灾难发生时,可通過数据恢复等手段恢复丢失的业务数据。备份作为网络信息安全的最后一道防线在保障业务连续性方面起到不可替代的关键作用。
4 结束语
本文分析了智慧校园体系面临的风险,研究了智慧校园网络信息安全体系构建,从物理层面和逻辑层面介绍了容灾备份机制。高校智慧校园建设中,面对不可预期的诸多风险,应从物理、网络传输、主机系统、业务数据等方面加强安全防护,做好容灾备份,防患于未然。
参考文献:
[1] 田由辉.教育信息化2.0背景下智慧校园的网络信息安全治理研究[J].信息技术与信息化,2020(10):184-187.
[2] 黄俊.智慧校园一体化信息安全综合服务体系建设研究[J].网络安全技术与应用,2020(10):99-100.
[3] 陈广勇,祝国邦,范春玲.《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)标准解读[J].信息网络安全,2019(7):1-7.
[4] 周立志,朱尚明.高校网络信息安全体系建设实践和思考[J].深圳大学学报(理工版),2020,37(S1):73-77.
[5] 陈跃辉,王以伍.高校网络安全现状分析及风险应对策略[J].中国医学教育技术,2019,33(1):68-71.
[6] 龚汉明.高校网络安全问题与应对研究[J].北京教育(高教),2019(2):8-12.
【通联编辑:代影】