試論新技術融合下的校園網絡安全防御

杜駿震 常松麗

(山西開放大學,山西 太原 030027)

隨著云計算、大數據、物聯網、移動互聯網等新型技術在校園網的融合應用，校園網面臨的網絡信息安全問題日益嚴重。針對新技術融合下的校園網絡的安全保護是用戶極為關注的焦點。從技術應用層面上，新技術融合下的高校校園網絡的安全防御應在滿足網絡安全等級保護2.0安全通用要求的基礎上，通過無線接入點管控、邊界防護、訪問控制、入侵防御、移動終端管控、移動應用管控、云邊界的安全防護、云計算環境的安全防護、云安全控制平臺、物聯網的感知層、網絡層和應用層保護等，實現新技術融合環境下的校園網絡擴展安全保護。

一、移動網絡的安全防護策略

校園無線網絡的開放性、移動性和動態性使得無線網絡相比有線網絡面臨更高的安全風險。校園無線網絡面臨的安全風險包括數據泄露、網絡釣魚攻擊、自動化攻擊、爬蟲威脅等。校園無線網絡的安全應該從無線接入點管控、邊界防護、訪問控制、入侵防范、移動終端管控、移動應用管控、移動應用軟件開發等方面來加強防護。

無線接入點管控。高校校園網部署的AP數量和接入的無線終端數量成千上萬，各類無線接入點，包括室內AP、室外AP、面板AP、特殊AP，要按分布密度和發射功率限制范圍原則來部署，覆蓋整個校園網。所有AP零配置、免維護、自適應IPV4/ IPv6雙棧協議。各AP使用不同的鑒別密鑰。AP接收到用戶數據包后采用CAPWAP數據加密隧道協議封裝后穿過以太網絡傳送到在網絡核心層部署的無線控制器AC進行數據流的管控。

邊界防護與訪問控制。在數據中心的網絡核心層部署的多臺無線控制器AC，通過對全部AP的統一管理、配置參數與策略的統一下發、AP配置自動更新、AP無感知漫游管理、射頻智能管理、無線接入安全控制、非法AP檢測、無線協議攻擊防御、QoS控制、無線流量集中策略控制與帶寬分配，采用集中控制轉發數據流量方式實現對無線網絡與有線網絡之間數據包傳輸的全程控制。將無線WLAN劃分到若干VLAN，使教職工、學生、訪客屬于不同的VLAN。使用VLAN Pool技術減小無線終端的廣播域。對于無線訪客，使用手機短信密碼、微信、身份證刷卡或人臉識別等方式認證上網，按照訪客安全策略，僅允許訪問校園網公共數字資源。

無線控制器安全配置加固。無線控制器的自身安全可以從管理層面、控制層面及轉發層面進行安全配置加固。如：管理層面的一些安全配置可以包含：設置用戶名加復雜密碼方式登錄Console口及USB口；修改SSH端口號；配置ACL規則中的SSH客戶地址白名單；限制SSH同時在線用戶數目；利用AAA與數字簽名組合對客戶端身份認證；配置無線控制器作為SSL服務器端時的安全策略來增強利用HTTPS協議登錄設備的安全性；采用SFTP協議進行無線控制器的文件管理操作，配置文件進行加密?？刂茖用娴囊恍┌踩渲每梢园号渲冒踩呗苑乐笲PDU與TC-BPDU報文攻擊；配置安全策略防止ARP欺騙攻擊，實施ARP網關保護策略；配置ND攻擊防御安全策略；使用DHCP Snooping;指定DNS信任接口避免DNS攻擊；關閉ICMP報文的發送；啟用DTLS數據包傳輸層安全性協議對CAPWAP隧道中的報文加密。轉發層面的一些安全配置可以包含：無線控制器AC與無線接入點AP禁用SSID廣播、WEP認證、WPA加密；對具有相同SSID的無線設備進行隔離，對同一VLAN下的設備進行隔離。

入侵防范。針對無線網絡的攻擊，可分布式部署無線入侵防御系統WIPS，在多個頻段的多個頻道上實時監測無線網絡，及早發現與阻斷惡意無線接入點AP,精準識別并快速防御各種無線網絡攻擊行為，確保無線網絡邊界的安全。

移動終端管控與移動應用管控。通過終端統一管理平臺實現對移動終端的身份鑒別、安全加固、環境安全檢測、數據隔離、遠程控制，以及對終端從注冊使用到停用回收的全周期管控。通過開發校園網專屬移動應用商店來管理本校所有移動應用的分發、許可以及手機原生市場和第三方市場應用商店中的應用鏈接，保證學校移動應用來源的可靠性。專屬移動應用商店僅允許具備數字證書簽名且符合白名單策略的應用軟件才能安裝與運行。通過對移動應用的安全檢測與安全加固以及使用安全沙箱技術，實現移動應用的自身安全與運行安全。通過移動應用軟件管理策略，實現應用上傳、分發、安裝、運行與下線的全生命周期管理。

移動應用軟件數字簽名證書。自行開發或委托第三方開發的校園移動應用軟件上線前，應使用可信任的電子認證服務機構頒發的數字簽名證書對新移動業務應用軟件進行簽名，并在應用程序上顯示數字簽名認證標識，為APP使用者提供數字證書信息查驗功能。如果購買移動應用軟件，則只采購使用了可靠證書簽名的移動應用軟件，從而使每個移動應用是可信且可追溯的。

二、私有云的安全防護策略

私有云為學校高效地開展教務教學、科學研究、大數據及人工智能的研發提供了有力支撐。許多學校陸續建設了虛擬化平臺與私有云，但傳統架構下的私有云難以防范云環境下的內部攻擊、數據泄露等風險，無法按需提供彈性的網絡安全防護功能。目前，一種融合了基于SDN/NFV的安全服務鏈、軟件定義安全SDS等新技術的新一代私有云，為云計算環境提供了可自定義的安全防御功能。私有云的安全防護的原則是在滿足等級保護安全通用要求的基礎上，進一步進行云計算環境下的特殊安全保護。私有云的安全涉及到云基礎設施、云服務平臺、云安全產品以及云端用戶業務的安全。其中，云基礎設施、云服務平臺的安全由云計算服務商保障，云安全產品由安全廠商保障，而云端業務的安全防護可以在安全云控制平臺的支持下利用基于SDN/NFV技術、SDS技術的安全資源池內的安全服務組件實施可自定義的各種云安全防護策略。

(一)云邊界的安全防護

云計算網絡架構是扁平化的，私有云數據中心的邊界安全可從訪問控制、入侵檢測及安全審計三方面來保障。

訪問控制。在訪問控制方面，實施南北向流量與東西向流量的訪問控制策略。南北向流量的訪問控制可以在私有云邊界部署下一代防火墻NGFW來抵御來自私有云外部的安全威脅。東西向流量的訪問控制可以在私有云內部利用虛擬私有云VPC技術為學校各部門業務應用分配不同的虛擬網絡，實現各虛擬網絡之間的二層邏輯隔離。在每個虛擬網絡內，通過定義與配置虛擬路由器、虛擬防火墻VFW等組件實現各虛擬網絡之間的邊界隔離與安全域隔離。使用網絡ACL進行子網之間的訪問控制。不同業務系統劃分到不同的安全組，利用安全組實現組內和組間虛擬機的訪問控制。為每臺虛擬機設置一組訪問控制策略，并可實現控制策略隨虛擬機遷移自動更新。在每臺虛擬機上僅安裝必要的程序和組件并關閉不需要的服務和端口。利用進程級微隔離技術進一步縮小攻擊面，防止東西向的橫向滲透攻擊。

入侵防范。在入侵防范方面，實施南北向流量與東西向流量的入侵防范策略。南北向流量的入侵防范可以在私有云邊界部署新一代入侵防御系統NGIPS與Web應用防火墻WAF來檢測并抵御來自私有云外部的網絡攻擊及異常流量。而東西向流量的入侵防范是在每個虛擬網絡中創建一個虛擬IPS，整體檢測與防御來自該虛擬網絡之外的入侵行為。對于虛擬網絡內的虛擬機之間及虛擬機與宿主機之間的入侵防護，可將東西向流量牽引到虛擬化安全資源池或硬件安全資源池進行檢測和防護。

安全審計。在安全審計方面，運維人員要通過堡壘機登錄云平臺才能進行遠程管理操作，堡壘機與綜合日志管理平臺可以完成對云環境下運維操作的全程監控與日志審計，保障云環境日志的完整性，實現各種安全事件的回溯與取證。

(二)云計算環境的安全防護

私有云的安全計算環境是在進行通用安全計算環境防護的基礎上，在身份鑒別、訪問控制、入侵防范、鏡像和快照保護、數據完整性和保密性、數據備份恢復和剩余信息保護方面進行特殊的保護。

雙向身份鑒別。當管理終端通過HTTPS協議訪問云平臺設備時，要通過終端上預裝的由云平臺自簽發的數字證書來驗證云平臺的身份。同時，云平臺則檢查終端上是否安裝了由該云平臺簽發的數字證書來驗證終端的身份，從而實現雙向身份鑒別。

訪問控制與入侵防范。當虛擬機遷移時，用戶在虛擬機上配置的訪問控制策略自動遷移更新。通過云管理平臺自動檢測虛擬機資源隔離失效及非授權新建虛擬機或重啟虛擬機事件。通過進程級微隔離技術，防止虛擬機之間的橫向滲透攻擊。

鏡像和快照保護。為安全加固的虛擬機操作系統生成鏡像，同時對鏡像進行保護。調用虛擬機鏡像時，要對鏡像目錄中的數據源文件包含的MD5屬性值進行完整性校驗，以檢測虛擬機鏡像未被篡改。通過云管理平臺提供的秘鑰管理KMS或通過加密機實現對鏡像或快照的加密，可以防止鏡像或快照中敏感數據泄露。

數據完整性與保密性。部署秘鑰管理系統KMS，實現對業務系統的數據自動加解密。虛擬機動態遷移中，KVM或XEN技術對虛擬機遷移數據的完整性自動檢測，若遷移失敗，自動回滾。當虛擬機冷遷移時，要利用相應工具驗證遷移后的完整性。

數據備份恢復與剩余信息保護。對于私有云非關鍵應用數據，可通過存儲底層復制功能將其備份至云災備中心，進行數據塊級別的數據保護。對于關鍵應用數據，可在私有云數據中心與云災備中心進行應用級雙活。利用云計算平臺刪除虛擬機后，其存儲的用戶文件與對象隨即被刪除。將原虛擬機占用過的存儲區重新分配給新用戶前，應該使用專業工具有效地定位該存儲區并進行完全徹底的數據粉碎，保證數據無法被恢復，防止數據泄露。當部門用戶刪除業務應用數據后，云計算管理平臺可根據安全策略自動刪除其對應的數據備份。

(三)云安全控制平臺

云端業務應用的安全防護是在安全云控制平臺的支持下利用安全資源池內安全服務組件實施各種云安全策略的。安全云控制平臺借助軟件定義資源、軟件定義流量、軟件定義威脅等技術，建立起一個動態的、彈性的軟件定義云安全服務鏈。安全云控制平臺由虛擬化安全資源池、引流系統和流調度與轉發系統構成。安全資源池利用NFV技術創建各種虛擬網絡安全功能，為各類業務提供所需的安全組件。引流系統負責將云計算環境中東西向流量牽引至安全資源池進行深度檢測。流調度與轉發系統負責對安全服務鏈提供由用戶可自定義的編排功能。安全云控制平臺對異構安全產品的狀態進行實時監視與控制，根據業務需求,動態并彈性地分配虛擬安全資源。云安全控制平臺與云管理平臺高度解耦。為實現業務流量與管理流量的分離，用不同的物理交換機分別轉發業務流量與管理流量。

三、公有云的安全防護策略

校園網中一些公開的業務應用以及新的應用會遷移到公有云。公有云的安全防護責任由云服務提供商、云安全服務商、用戶三方共擔。云服務提供商負責云環境基礎設施的安全，云安全服務商負責云服務平臺的安全，學校負責業務應用的安全。

選擇公有云服務提供商時，應確認服務提供商已獲得常用的安全資質，根據校園業務安全需求與風險，選擇云安全服務商提供的云安全產品及服務，確認服務商提供的安全服務和服務等級能夠滿足校園網云安全服務的需求。

在云網絡安全方面，利用VPC技術在不同虛擬私有網絡之間實施網絡安全域隔離與邊界安全防護。利用安全組在公有云上劃分安全域及安全子域，形成分布式虛擬化防火墻。就近選擇地域，將IT資源部署在同一區域的不同可用區，并在各可用區啟用不同云產品實例。選購云安全服務商提供的DDoS防御云服務，抵御大流量DDoS攻擊，保障云網絡安全。

在云主機安全方面，利用云服務商提供的可信驗證技術來保障云服務器的引導程序、操作系統內核、操作系統引導程序、配置參數和應用程序處于一種可信任的環境中。在可信的基礎上，進行云主機的安全配置加固以及在彈性云服務器上部署專業主機安全防護系統。

在應用系統安全與云數據安全方面，選用安全廠商的Web應用云防護服務，實現web應用安全。利用云服務商提供的存儲透明加解密服務確保數據云存儲安全，采用SSL/TLS、HTTPS安全傳輸協議來保障數據傳輸安全。采用數據庫防火墻、數據庫加密、密鑰管理、數據庫脫敏、數據庫審計等技術來保障數據庫的安全。

在公有云VPC與校園本地私有云連接方面，可使用公網VPN方式或物理專線方式。使用公網VPN方式時，在校園互聯網區部署VPN網關，通過IPSec VPN的加密隧道將公有云VPC與本地私有云連接。使用云物理專線方式時，借助公有云端的虛擬網關將虛擬接口與公有云VPC關聯，實現本地校園云數據中心訪問公有云VPC。

四、物聯網的安全防護策略

隨著智慧校園戰略的實施，以物聯網技術為基礎的各種智慧校園應用系統逐步接入校園網絡，如智慧教學、智慧科研、智慧圖書館、智慧實驗室、智慧安防系統、現代化節能系統、數字化后勤系統、智能環境系統、智能供水系統、智慧餐廳等，共同形成了校園物聯網。然而，校園物聯網面臨著感知設備惡意克隆、數據失竊、數據泄露、數據篡改、勒索軟件攻擊、僵尸網絡攻擊、中間人攻擊、假冒攻擊和非授權訪問與控制等各種類型的安全威脅。從物聯網的構成角度來分析，物聯網安全應該從感知層、網絡層和應用層進行多層面的保護。

(一)感知層的安全保護

感知層是物聯網的最低層，包括各類感知節點、感知網關以及傳感網絡。感知層的安全是物聯網安全的基礎，應從物理環境、接入控制、訪問控制、通信、設備、數據等方面進行安全防護。

物理環境安全防護。感知節點應安裝到無強振動、無強干擾、無阻擋屏蔽、防盜竊、防破壞、防雷擊、防靜電、防水、防潮的位置。為保證設備供電持久穩定，關鍵感知節點及網關應提供備用電源。戶外安裝的關鍵感知節點可啟用定位功能，當探測到節點離開固定位置時，自動啟動封鎖或自毀程序，確保節點數據的安全。

接入控制。為感知節點設置唯一的身份標識，該身份標識可以使用終端的MAC地址、LoRaWAN DevEUI、IMSI等。本地感知網關負責感知節點接入本地網絡的認證。云端物聯網平臺負責感知節點接入互聯網的認證。感知節點與感知網關采用相同的安全接入認證協議。本地感知網關對感知節點初始接入申請進行身份認證，通信中進行輕量級連續認證，鑒別整個會話期間感知節點的身份標識。節點鑒別失敗次數超過設定次數,則拒絕感知節點接入，防止鑒別信息的暴力破解及假冒感知節點的接入。另一方面，感知節點對其它感知節點、網關或物聯網平臺進行反向接入身份認證，防止假冒的節點、網關及平臺。鑒別失敗次數超過設定值將不再發起接入請求。

訪問控制與通信安全。在感知節點上關閉不用的通信端口，通過IP白名單等策略實現初步訪問控制。在感知網關上設定訪問控制策略，僅允許授權用戶本地或遠程訪問資源。通過改變感知節點通信頻段、提高器件抗干擾力等方法提高數據采集的正確性。啟用完整性校驗機制，通過消息校驗碼、消息摘要、數字簽名等方式保障通信數據的完整性。感知網關與感知節點傳輸數據前對數據加密，同時再使用安全通信協議傳輸數據，確保通信數據的機密性。

數據安全。感知節點與感知網關的敏感代碼和重要數據與普通代碼和數據存儲實行隔離。對鑒別信息與重要數據等進行完整性檢測。僅允許授權用戶訪問存儲數據。對密鑰信息進行加密存儲，通過密鑰交換協議進行密鑰傳輸，保證密鑰存儲和交換安全。利用白盒密碼算法隱藏密鑰信息，防止感知節點失竊后受到密鑰提取攻擊。

設備安全。為用戶分配最小權限，消除弱口令，利用批量模式修改終端參數。設置IP白名單，僅允許授權用戶從堡壘機登錄，通過安全通信協議并按權限遠程配置節點參數、關鍵密鑰及程序應用在線更新，防止惡意操作及非授權數據訪問。在感知網關上設置最大并發連接數，防止DOS攻擊。使用代碼簽名機制保證感知網關及重要感知節點的運行代碼是被授權的，從而使感知設備能確信運行代碼的真實性和完整性，避免惡意代碼插入、篡改或覆蓋正常運行的代碼，形成僵尸網絡，對外發起網絡攻擊。

入侵防范與數據重放攻擊防范。將同一系統的感知節點與感知網關劃分到獨立VLAN, 設置默認網關地址，配置訪問控制策略，避免某些節點被攻陷后可能對其它子網發起攻擊。通過在數據上附加時間戳、序號等信息來鑒別數據的非法篡改及防止數據重放攻擊。

數據審計。開啟感知網關審計功能，審計記錄進行加密存儲，定時將審計數據發送至綜合日志審計平臺。

(二)網絡層的安全保護

網絡層是感知層與應用層的連接紐帶，物聯網的傳輸通信安全保護應從多個層面來進行。

從傳感網絡到網絡層的安全防護可借助物聯網網關的功能來實現。物聯網網關承擔傳感網絡到通信網絡的協議轉換、異構傳感網絡之間的協議轉換、數據匯總、數據轉發前的預處理、邊緣計算、下發數據執行命令的解析以及通信安全的重任。物聯網網關通過其軟硬件雙重加密機制與加密通信協議，實現點到點與端到端的數據加密，保障通信數據的機密性。通過消息校驗碼、消息摘要、數字簽名等方式確保通信數據的完整性。通過防火墻特性，實現對感知節點與感知網關的細粒度訪問控制；通過安全域隔離，將不同物聯系統分隔成不同的虛擬子網，實施差異化安全策略。對傳輸中的數據包進行異常流量及行為的檢測，降低來自感知層的安全風險，同時減少來自網絡層的攻擊行為。利用多層級用戶角色權限管理機制保障網關設備的自身管理安全。通過對感知節點、感知網關的安全標識識別，實現其身份認證、網絡準入的安全防護。

物聯網通信網絡層的安全可利用傳統IP網絡、云計算的一系列安全防御技術，例如，在物聯網區域邊界部署下一代防火墻對物聯網系統進行安全區域劃分，實施相應的網絡訪問控制策略。通過網絡監控系統對物聯網區域的通信網絡進行流量監控與分析，通過安全態勢感知平臺發現物聯網區域網絡通信中的異常行為和網絡攻擊，做出告警和應急響應，完成對通信網絡的脆弱性評估及安全態勢感知的可視化展示。

(三)應用層的安全保護

物聯網應用層完成物聯網信息和數據的融合處理和利用。物聯網應用層的安全應從隱私保護、數據保護、攻擊檢測與防御、漏洞挖掘、身份認證、訪問控制以及安全審計等方面進行防御。

隱私保護與數據保護。物聯網應用系統在數據共享、存儲和分析處理過程中極易發生敏感數據的泄露，因此，應用層業務系統要采用數據加密、數據脫敏、數據自動透明加密技術全程保護敏感數據。

攻擊檢測與防御。在物聯網應用系統前部署Web應用防火墻WAF來識別、清洗和過濾Web應用的各種惡意流量，將正常、安全的流量轉發給Web應用服務器，動態地檢測與防御各種的Web應用攻擊，保障Web應用安全。

漏洞挖掘。通過漏洞掃描系統對物聯網服務平臺、物聯網協議以及嵌入式操作系統等進行漏洞挖掘，以檢測其安全脆弱性，及時發現漏洞，針對每種漏洞提供修復解決方案，消除安全隱患。

身份認證與訪問控制。用戶對物聯網應用系統的訪問需通過校園統一身份認證平臺，實行用戶訪問的身份驗證、單點登錄、動態授權及持續認證。各種角色的運維人員需通過堡壘機才能訪問物聯網設備，通過堡壘機，實現對運維管理人員訪問操作、命令和動作的全程監視、記錄、控制與審計。

安全審計與安全態勢感知。綜合日志審計平臺定時收集并存儲物聯網網關形成的日志審計記錄，進行日志分析，及時發現各類異常行為事件并發出告警，保障物聯網事件的數據回溯與取證。通過安全態勢感知平臺，對物聯網資產進行注冊、認證及狀態檢查，對各層協議流量進行全網異常行為檢測和分析，對物聯網海量數據進行融合處理及關聯分析，實現安全威脅可視化、網絡攻擊可視化及安全風險整體評估化。

五、結語

校園網中各種新型技術的融合應用使得校園網不斷面臨新的安全挑戰。在技術應用層面上，新技術融合下的校園網絡的安全防御可以在滿足網絡安全等級保護2.0安全通用要求的基礎上，通過無線接入點管控、邊界防護、訪問控制、入侵防御、移動終端管控、移動應用管控、云邊界的安全防護、云計算環境的安全防護、云安全控制平臺、物聯網的感知層、網絡層和應用層保護等，實現融合環境下的校園網絡擴展安全防御。