智慧校园网络信息安全及容灾备份机制研究

陶昀翔 吴雷 王钧

摘要：针对高校智慧校园面临的安全问题，该文研究了网络信息安全体系构建，提出了如何建立容灾备份机制。围绕物理设备、网络传输、主机系统、业务数据等维度设计智慧校园网络信息安全体系，从物理层面和逻辑层面构建容灾备份机制，通过安全体系和容灾机制的设计为高校智慧校园平台安全建设精准落地提供理论支撑。

关键词：智慧校园;网络;安全;容灾;备份

Abstract：Aiming at the security problems faced by smart campus， the paper studies the construction of network information security system， and puts forward how to establish disaster recovery and backup mechanism. Smart campus network information security system is designed through physical equipment， network transmission， host communication， system business， data and other dimensions， disaster recovery and backup mechanism is built from the physical and logical levels， and the design of security system and disaster recovery mechanism provides theoretical support for accurate landing of security construction of smart campus platform in universities. The design of safety system and disaster recovery mechanism provides theoretical support for the accurate implementation of smart campus platform security construction in colleges and universities.

Key words：smart campus; network; security; disaster recovery; backup

高校智慧校园网络信息安全涉及面广，如：校园出口防护，通用病毒端口，用户认证登录，用户日志记录，数据中心出口防护，抗DDOS攻击，防站点攻击，数据中心内防护，服务器级别安全加固，业务系统等级保护，数据备份恢复，网络、业务系统监控等都属于高校网络信息安全体系防护范畴。为了保证智慧校园系统安全、稳定、可靠的运行，高校须针对各类安全问题制定相应的防护方案。

1 智慧校园面临的安全问题

高校智慧校园体系结构复杂，易受攻击，从基本物理设备到网络链路、从主机到系统、从业务应用到数据安全，各层面均可能存在漏洞风险。为此，构建安全稳定的网络信息环境是高校信息化建设过程中不可或缺的重要一环。高校智慧校园安全问题主要集中在以下方面：

一是物理层面临的安全风险，诸如设备老化以及链路不稳定，网络设计不规范，无链路冗余备份机制等，均可能产生网络层面的安全问题;

二是网络传输层面的安全隐患，具有代表性的如DHCP、ARP欺骗等;

三是终端主机面临的风险，诸如服务器版本信息泄漏、系统服务的账号管理不妥当、账号分权不明确、弱口令、身份鉴别方式不当、非法访问控制、恶意入侵等;

四是业务、数据层面的风险，诸如SQL注入、XSS攻擊、爬虫攻击、恶意扫描等安全威胁，数据面临着不完整、不可用及泄密的安全隐患，不法分子利用系统漏洞，窃取系统数据，篡改业务数据，破坏数据的完整性。

2 智慧校园安全体系构建

针对以上的安全问题，智慧校园网络信息安全体系可以从物理层面、网络传输层面、系统终端层面及业务数据层面构建，如图1所示。

2.1 数据中心物理安全

数据中心是智慧校园体系的核心构成，数据中心的物理基础设施安全，包括设备安全、电力安全、消防安全等。

数据中心应配备动态环境检测系统，对数据中心内的机密空调、温湿度传感器、UPS、UPS电池中电阻电流、配电机柜、漏水检测器等进行实时监控告警。各类设备须定期检修，发现故障及时排除。

数据中心应配备多路电源，多路UPS电池为数据中心提供备份电力，数据中心内重要业务核心设备均应配备主备电。

数据中心应设置温、湿度自动调节设施，使数据中心温、湿度的变化在设备运行所允许的范围之内。按照数据中心的使用面积合理的配备机密空调的数量，全天候不间断轮询散热，确保核心数据中心温湿度均衡设备稳定可靠运行。

数据中心内应设置火灾自动消防系统，通过烟感或红外检测自动发现火情，自动报警并启动灭火程序。

2.2 网络传输及链路安全

高校网络是安全攻击中的“重灾区”，攻击者通过网络中的漏洞进行攻击，高校网络安全应从校园出口防护、校园网络链路、校园用户认证等维度进行保障。

校园出口防护方面，可使用高端防火墙做主备策略，并对所有的访问策略做出精细化调整：对个别地区地址进行过滤，对高风险端口做访问策略，例如135，137，139，445，3389等端口，对部分敏感软件进行拦截，内网访问策略做到逐条匹配。对内网地址映射公网地址所在的服务器严格审查，并做好备案。

校园用户认证应采用统一账号认证登录上网，所有用户上网行为皆应有记录日志，日志记录保留时长不少于6个月。认证设备也须做到冗余备份，保障设备稳定。有条件的情况下，对日志系统以及行为管理日志服务器系统进行双备份，在单一日志服务器出现故障时，保障用户日志可查。