基于数字化校园的安全基线技术探析

黄侃

摘要：随着《教育信息化2.0行动计划》的实施，数字化校园的建设必然会迎来一个大发展的时期。通过对安全基线技术的概念、组成和作用进行梳理，并以方滨兴院士提出的信息安全四个层次理论为基础，研究安全基线技术在数字化校园中的应用。

关键词：数字化校园；安全基线；技术探析

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）26-0038-02

Abstract：With the implementation of The 2 action plan of educational informatization ， the construction of digital campus is bound to usher in a period of great development. By combing the concept， composition and function of the safety baseline technology， and Based on the four level theory of information security proposed by Fang bin Xing academician， the application of safety baseline technology in digital campus is studied.

Key words： digital campus； safety baseline； technical analysis

随着信息技术的高度发展，信息技术逐渐已经成为国家竞争力重要体现，世界各国都在大力发展本国的信息技术，以提高国家的综合国力。在教育领域，我国在2018年发布了《教育信息化2.0行动计划》，全面提高教育领域的信息化水平，在该行动计划中，明确提出要“促进数字校园建设全面普及、推动实现各级各类学校数字校园全覆盖[1]”。可以预见，作为教育信息化重要内容的数字化校园建设将步入一个快速发展和基本普及的时期。

1 研究的意义

数字化校园不是一个新的概念，有很多高校在多年前就已经开始在进行数字化校园建设，长期以来，由于数字化校园业务系统开发水平的不同以及运维管理人员技术水平参差不齐，数字化校园就一直备受信息安全问题的困扰。随着《教育信息化2.0行动计划》的推进，数字化校园的快速发展，快速增长的网络设备、应用服务及相关数据给高校带来了信息安全管理上的巨大压力，数字化校园的信息安全问题必然日渐突出。以数字化校园作为基础，开展安全基线技术的研究，正当其时。

1.1 研究基于数字化校园的安全基线技术有利于促进教育信息化的安全发展

数字化校园的建设是高校教育信息化的核心，也是高校教育信息化的基础平台，其不仅仅为高校的教学科研提供技术支撑，也为高校的学生和高校的管理提供平台服务。基于數字化校园开展安全基线的研究，可以促进数字化校园安全保障体系的建立，从而促进高校教育信息化的安全发展。

1.2 安全基线研究是加强数字化校园信息安全管理工作的关键环节

随着数字化校园建设的发展，规模和复杂度都不断的在扩大。如何针对复杂化的信息化环境，对威胁信息设备、信息内容和信息系统等安全的漏洞、危险进行安全配置，补齐数字化校园系统的脆弱环节，是安全基线的研究内容。因此，安全基线的研究是加强数字化校园信息安全管理工作的关键环节。

1.3 有利于促进信息安全技术的进步

信息安全问题一直是高校乃至社会长期以来的困扰，开展安全基线的研究，其结果必然会带来新的信息安全技术和新的管理思路，为高校数字化校园和社会信息安全管理提供一种新的手段和新的方法，从而在一定程度上促进信息安全技术的进步。

2 安全基线技术梳理

2.1 安全基线的概念

从现有的研究来看，并没有一个权威的组织能为安全基线给出一个标准的定义。根据信息行业比较公允看法，其被描述为：安全基线是一个业务系统的最小安全保证，即该业务系统最基本需要满足的安全要求，构造业务系统安全基线是系统安全工程的首要步骤，同时也是进行安全评估、发现和解决业务系统安全问题的先决条件[2]。

从描述可知，安全基线实际是信息系统最低安全配置的配置项及配置参数的集合。是从信息系统统一管理的目的出发，以保障信息系统最低安全要求，统一开发的对信息系统各层面、各组成元素需要配置的配置项目和配置参数的要求。

2.2 安全基线的组成

安全基线的组成包括系统安全漏洞、系统安全配置和系统状态检查三部分。系统安全漏洞与系统、时间紧密相关，是硬件、协议和软件等信息系统组成部分在设计和实现时无意中留下的缺陷，其随着时间的推移有可能被修复；系统安全配置是为了使信息系统所包含的软硬件达到某一程度的安全目标所进行的主动设置，包含操作系统、网络设备、安全设备等软硬件的配置；系统状态检查与用户的具体需求相关，反映了各类的业务系统对信息系统安全配置的个性化需求，与业务系统相关，反映了信息系统对运行状态的安全要求。

2.3 安全基线的作用

安全基线是信息系统的最低安全配置，其作用有三个方面：①避免安全木桶的短板：一个系统的安全程度不在于其最安全的配置，而在于其是否存在安全的短板，统一开发安全基线并部署，有助于减少安全短板；②规范用户安全行为：在多用户的共同使用的信息系统中，设置安全基线，有助于规范多用户的安全配置，保障信息系统的最低安全；③便于安全核查：利用安全基线，有助于组织对信息系统的安全性进行安全检查。

3 基于数字化校园的安全基线技术应用

针对数字化校园的信息安全，借鉴方滨兴院士提出的信息安全四个层次理论：物理安全层、网络安全层、数据安全层和内容安全层[3]，将数字化校园的信息安全划分为四层以对安全基线技术的应用进行探析。

3.1 物理安全层的安全基线应用

3.1.1 设备容灾安全基线

针对可能出现的不可预测灾难性事件和后果，可设置设备容灾安全基线，设置物理设备支持双机热备份、远程备份、多机冗余等配置项的要求，提高物理设备备份及容灾能力。

3.1.2 设备防护安全基线

可对数字化校园机房的防尘、湿度及温度的最低要求，不间断电源的供电时间、信息系统硬件设备的防雷击、防辐射等属性设置安全基线，保障设备安全。

3.2 网络安全层的安全基线应用

3.2.1 安全漏洞安全基线

安全漏洞是数字化校园最容易出现的安全隐患，主要是由于系统用户缺乏必要的安全常识，不注意定期更新和升级所造成，注入漏洞、缓冲區溢出漏洞、敏感数据泄露和认证漏洞和会话管理攻击漏洞等是最常见的安全漏洞。公共漏洞和暴露CVE（Common Vulnerabilities & Exposures），为每一个公共的安全漏洞做了相关定义，并提供了修补方案。安全漏洞的安全基线可依据CVE进行标准化设置。

3.2.2 网络设备安全基线

数字化校园的基础是其覆盖高校校园的以太网，网络设备是其核心和关键，有研究表明，信息安全的很大原因在于其网络设备的配置不当。网络设备的安全基线可针对数字化校园当中的路由器、交换机、服务器，以主流品牌如HUAWEI、RUIJIE、CISCO等为样本，对认证技术、服务优化、访问控制等做配置项和配置参数的开发。

3.2.3 安全设备安全基线

网络安全设备是数字化校园网络安全的核心保证，目前数字化校园的网络安全设备以防火墙、入侵检测防御系统和病毒防护系统为主。安全设备安全基线可以基于上述设备对登陆方式（SSH或者HTTPS）、HTTP监听端口号和防火墙安全选项（SYN Attack、ICMP Flood、UDP Flood）等做配置项和配置参数开发。

3.2.4 操作系统安全基线

数字化校园中的网络操作系统以Windows、Linux和Unix为主，可以从操作系统的账号和口令、日志和审计、访问权限控制、安全域设置、服务优化、补丁管理等几个方面来开发其安全基线。

3.2.5 应用系统安全基线

应用系统安全基线属于安全基线技术系统状态检查的内容，主要针对数字化校园中日益庞大的各类教学、科研、管理和学生生活等应用系统，应用安全基线来定义各类应用系统统一遵守的基本安全准则，在应用系统部署、系统设置等方面设置安全配置项。

3.3 数据安全层的安全基线应用

3.3.1 数字签名安全基线

数字化校园中引入数字签名技术，能够确保信息的不可伪造性和不可抵赖性， 提高了数字化校园的数据安全性[4]。数字签名安全基线可以通过设置单人签名、门限签名、多级签名和代理签名等数字签名组合策略的来进行开发。

3.3.2 认证技术安全基线

目前国内高校的数字化校园基本都具有了统一身份认证的功能，设置认证技术安全基线是保证用户数据安全的重点。认证技术的安全基线包括用户账号策略、用户密码策略和多用户共享账号的策略等。

3.3.3 数据加密安全基线

数据加密安全基线是数字化校园用户数据安全的另一个重要保障。数据加密安全基线可以从操作系统的磁盘加密策略和网络信息传输的加密协议配置策略等方面来进行开发。

3.3.4 日志记录安全基线

数据安全的另一个保障措施在于其工作日志的记录，对工作日志进行记录和审计可以在数据出现灾难时提供数据恢复、应急响应和问题追踪定位等提供依据。日志记录安全基线可以包含日志信息选择、日志保存时间、日志文件保存位置、日志文件访问权限等选项。

3.4 内容安全层的安全基线应用

3.4.1 信息过滤安全基线

高校数字化校园，主要的服务对象为涉世未深、缺乏控制能力和辨别是非的能力的学生，因此，信息过滤也应该是其信息安全的一项重要内容。其一要能过滤掉暴力黄色内容的信息，二是要根据管理的要求，对部分游戏、娱乐等内容信息进行适度的屏蔽。安全基线可在限制可登录的访问地址、流量控制等方面设置必要的参数。

3.4.2 隐私保护安全基线

隐私保护在近年来的网络安全管理中越来越受到重视，高校数字化校园的隐私保护安全基线的内容可以包含系统终端隐私选项的配置（操作系统、浏览器等）、服务器端访问记录的保存配置和访问权限等。

3.4.3 舆情监测安全基线

舆情监测是高校数字化校园管理的一个重要工作，目前国家在网络舆情方面的原则是“谁使用，谁负责，谁管理，谁负责”。设置舆情监测安全基线，是对数字化校园内容安全层的安全底线。

4 结束语

通过对基于数字化校园的安全基线技术进行探析，在方滨兴院士提出的信息安全四个层次对数字化校园的安全基线进行了系统分析，为教育信息化2.0的实施在信息安全保障提供了一种新的思路和新的技术。

参考文献：

[1] 中华人民共和国教育部.教育部关于印发教育信息化2.0行动计划的通知[Z].教技[2018]6号.

[2] 桂永宏.业务系统安全基线的研究及应用[J].计算机安全，2011（10）：23-27.

[3] 方滨兴，殷丽华.关于信息安全定义的研究[J].信息网络安全，2008（01）：8-10.

[4] 江林升，朱学芳.基于数字签名技术的数字化校园数据安全策略[J].现代情报，2011，31（01）：59-62

[通联编辑：光文玲]