试论新技术融合下的校园网络安全防御

杜骏震 常松丽

(山西开放大学,山西 太原 030027)

随着云计算、大数据、物联网、移动互联网等新型技术在校园网的融合应用，校园网面临的网络信息安全问题日益严重。针对新技术融合下的校园网络的安全保护是用户极为关注的焦点。从技术应用层面上，新技术融合下的高校校园网络的安全防御应在满足网络安全等级保护2.0安全通用要求的基础上，通过无线接入点管控、边界防护、访问控制、入侵防御、移动终端管控、移动应用管控、云边界的安全防护、云计算环境的安全防护、云安全控制平台、物联网的感知层、网络层和应用层保护等，实现新技术融合环境下的校园网络扩展安全保护。

一、移动网络的安全防护策略

校园无线网络的开放性、移动性和动态性使得无线网络相比有线网络面临更高的安全风险。校园无线网络面临的安全风险包括数据泄露、网络钓鱼攻击、自动化攻击、爬虫威胁等。校园无线网络的安全应该从无线接入点管控、边界防护、访问控制、入侵防范、移动终端管控、移动应用管控、移动应用软件开发等方面来加强防护。

无线接入点管控。高校校园网部署的AP数量和接入的无线终端数量成千上万，各类无线接入点，包括室内AP、室外AP、面板AP、特殊AP，要按分布密度和发射功率限制范围原则来部署，覆盖整个校园网。所有AP零配置、免维护、自适应IPV4/ IPv6双栈协议。各AP使用不同的鉴别密钥。AP接收到用户数据包后采用CAPWAP数据加密隧道协议封装后穿过以太网络传送到在网络核心层部署的无线控制器AC进行数据流的管控。

边界防护与访问控制。在数据中心的网络核心层部署的多台无线控制器AC，通过对全部AP的统一管理、配置参数与策略的统一下发、AP配置自动更新、AP无感知漫游管理、射频智能管理、无线接入安全控制、非法AP检测、无线协议攻击防御、QoS控制、无线流量集中策略控制与带宽分配，采用集中控制转发数据流量方式实现对无线网络与有线网络之间数据包传输的全程控制。将无线WLAN划分到若干VLAN，使教职工、学生、访客属于不同的VLAN。使用VLAN Pool技术减小无线终端的广播域。对于无线访客，使用手机短信密码、微信、身份证刷卡或人脸识别等方式认证上网，按照访客安全策略，仅允许访问校园网公共数字资源。

无线控制器安全配置加固。无线控制器的自身安全可以从管理层面、控制层面及转发层面进行安全配置加固。如：管理层面的一些安全配置可以包含：设置用户名加复杂密码方式登录Console口及USB口；修改SSH端口号；配置ACL规则中的SSH客户地址白名单；限制SSH同时在线用户数目；利用AAA与数字签名组合对客户端身份认证；配置无线控制器作为SSL服务器端时的安全策略来增强利用HTTPS协议登录设备的安全性；采用SFTP协议进行无线控制器的文件管理操作，配置文件进行加密。控制层面的一些安全配置可以包含：配置安全策略防止BPDU与TC-BPDU报文攻击；配置安全策略防止ARP欺骗攻击，实施ARP网关保护策略；配置ND攻击防御安全策略；使用DHCP Snooping;指定DNS信任接口避免DNS攻击；关闭ICMP报文的发送；启用DTLS数据包传输层安全性协议对CAPWAP隧道中的报文加密。转发层面的一些安全配置可以包含：无线控制器AC与无线接入点AP禁用SSID广播、WEP认证、WPA加密；对具有相同SSID的无线设备进行隔离，对同一VLAN下的设备进行隔离。

入侵防范。针对无线网络的攻击，可分布式部署无线入侵防御系统WIPS，在多个频段的多个频道上实时监测无线网络，及早发现与阻断恶意无线接入点AP,精准识别并快速防御各种无线网络攻击行为，确保无线网络边界的安全。

移动终端管控与移动应用管控。通过终端统一管理平台实现对移动终端的身份鉴别、安全加固、环境安全检测、数据隔离、远程控制，以及对终端从注册使用到停用回收的全周期管控。通过开发校园网专属移动应用商店来管理本校所有移动应用的分发、许可以及手机原生市场和第三方市场应用商店中的应用链接，保证学校移动应用来源的可靠性。专属移动应用商店仅允许具备数字证书签名且符合白名单策略的应用软件才能安装与运行。通过对移动应用的安全检测与安全加固以及使用安全沙箱技术，实现移动应用的自身安全与运行安全。通过移动应用软件管理策略，实现应用上传、分发、安装、运行与下线的全生命周期管理。

移动应用软件数字签名证书。自行开发或委托第三方开发的校园移动应用软件上线前，应使用可信任的电子认证服务机构颁发的数字签名证书对新移动业务应用软件进行签名，并在应用程序上显示数字签名认证标识，为APP使用者提供数字证书信息查验功能。如果购买移动应用软件，则只采购使用了可靠证书签名的移动应用软件，从而使每个移动应用是可信且可追溯的。

二、私有云的安全防护策略

私有云为学校高效地开展教务教学、科学研究、大数据及人工智能的研发提供了有力支撑。许多学校陆续建设了虚拟化平台与私有云，但传统架构下的私有云难以防范云环境下的内部攻击、数据泄露等风险，无法按需提供弹性的网络安全防护功能。目前，一种融合了基于SDN/NFV的安全服务链、软件定义安全SDS等新技术的新一代私有云，为云计算环境提供了可自定义的安全防御功能。私有云的安全防护的原则是在满足等级保护安全通用要求的基础上，进一步进行云计算环境下的特殊安全保护。私有云的安全涉及到云基础设施、云服务平台、云安全产品以及云端用户业务的安全。其中，云基础设施、云服务平台的安全由云计算服务商保障，云安全产品由安全厂商保障，而云端业务的安全防护可以在安全云控制平台的支持下利用基于SDN/NFV技术、SDS技术的安全资源池内的安全服务组件实施可自定义的各种云安全防护策略。

(一)云边界的安全防护

云计算网络架构是扁平化的，私有云数据中心的边界安全可从访问控制、入侵检测及安全审计三方面来保障。

访问控制。在访问控制方面，实施南北向流量与东西向流量的访问控制策略。南北向流量的访问控制可以在私有云边界部署下一代防火墙NGFW来抵御来自私有云外部的安全威胁。东西向流量的访问控制可以在私有云内部利用虚拟私有云VPC技术为学校各部门业务应用分配不同的虚拟网络，实现各虚拟网络之间的二层逻辑隔离。在每个虚拟网络内，通过定义与配置虚拟路由器、虚拟防火墙VFW等组件实现各虚拟网络之间的边界隔离与安全域隔离。使用网络ACL进行子网之间的访问控制。不同业务系统划分到不同的安全组，利用安全组实现组内和组间虚拟机的访问控制。为每台虚拟机设置一组访问控制策略，并可实现控制策略随虚拟机迁移自动更新。在每台虚拟机上仅安装必要的程序和组件并关闭不需要的服务和端口。利用进程级微隔离技术进一步缩小攻击面，防止东西向的横向渗透攻击。

入侵防范。在入侵防范方面，实施南北向流量与东西向流量的入侵防范策略。南北向流量的入侵防范可以在私有云边界部署新一代入侵防御系统NGIPS与Web应用防火墙WAF来检测并抵御来自私有云外部的网络攻击及异常流量。而东西向流量的入侵防范是在每个虚拟网络中创建一个虚拟IPS，整体检测与防御来自该虚拟网络之外的入侵行为。对于虚拟网络内的虚拟机之间及虚拟机与宿主机之间的入侵防护，可将东西向流量牵引到虚拟化安全资源池或硬件安全资源池进行检测和防护。

安全审计。在安全审计方面，运维人员要通过堡垒机登录云平台才能进行远程管理操作，堡垒机与综合日志管理平台可以完成对云环境下运维操作的全程监控与日志审计，保障云环境日志的完整性，实现各种安全事件的回溯与取证。

(二)云计算环境的安全防护

私有云的安全计算环境是在进行通用安全计算环境防护的基础上，在身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复和剩余信息保护方面进行特殊的保护。

双向身份鉴别。当管理终端通过HTTPS协议访问云平台设备时，要通过终端上预装的由云平台自签发的数字证书来验证云平台的身份。同时，云平台则检查终端上是否安装了由该云平台签发的数字证书来验证终端的身份，从而实现双向身份鉴别。

访问控制与入侵防范。当虚拟机迁移时，用户在虚拟机上配置的访问控制策略自动迁移更新。通过云管理平台自动检测虚拟机资源隔离失效及非授权新建虚拟机或重启虚拟机事件。通过进程级微隔离技术，防止虚拟机之间的横向渗透攻击。

镜像和快照保护。为安全加固的虚拟机操作系统生成镜像，同时对镜像进行保护。调用虚拟机镜像时，要对镜像目录中的数据源文件包含的MD5属性值进行完整性校验，以检测虚拟机镜像未被篡改。通过云管理平台提供的秘钥管理KMS或通过加密机实现对镜像或快照的加密，可以防止镜像或快照中敏感数据泄露。

数据完整性与保密性。部署秘钥管理系统KMS，实现对业务系统的数据自动加解密。虚拟机动态迁移中，KVM或XEN技术对虚拟机迁移数据的完整性自动检测，若迁移失败，自动回滚。当虚拟机冷迁移时，要利用相应工具验证迁移后的完整性。

数据备份恢复与剩余信息保护。对于私有云非关键应用数据，可通过存储底层复制功能将其备份至云灾备中心，进行数据块级别的数据保护。对于关键应用数据，可在私有云数据中心与云灾备中心进行应用级双活。利用云计算平台删除虚拟机后，其存储的用户文件与对象随即被删除。将原虚拟机占用过的存储区重新分配给新用户前，应该使用专业工具有效地定位该存储区并进行完全彻底的数据粉碎，保证数据无法被恢复，防止数据泄露。当部门用户删除业务应用数据后，云计算管理平台可根据安全策略自动删除其对应的数据备份。

(三)云安全控制平台

云端业务应用的安全防护是在安全云控制平台的支持下利用安全资源池内安全服务组件实施各种云安全策略的。安全云控制平台借助软件定义资源、软件定义流量、软件定义威胁等技术，建立起一个动态的、弹性的软件定义云安全服务链。安全云控制平台由虚拟化安全资源池、引流系统和流调度与转发系统构成。安全资源池利用NFV技术创建各种虚拟网络安全功能，为各类业务提供所需的安全组件。引流系统负责将云计算环境中东西向流量牵引至安全资源池进行深度检测。流调度与转发系统负责对安全服务链提供由用户可自定义的编排功能。安全云控制平台对异构安全产品的状态进行实时监视与控制，根据业务需求,动态并弹性地分配虚拟安全资源。云安全控制平台与云管理平台高度解耦。为实现业务流量与管理流量的分离，用不同的物理交换机分别转发业务流量与管理流量。

三、公有云的安全防护策略

校园网中一些公开的业务应用以及新的应用会迁移到公有云。公有云的安全防护责任由云服务提供商、云安全服务商、用户三方共担。云服务提供商负责云环境基础设施的安全，云安全服务商负责云服务平台的安全，学校负责业务应用的安全。

选择公有云服务提供商时，应确认服务提供商已获得常用的安全资质，根据校园业务安全需求与风险，选择云安全服务商提供的云安全产品及服务，确认服务商提供的安全服务和服务等级能够满足校园网云安全服务的需求。

在云网络安全方面，利用VPC技术在不同虚拟私有网络之间实施网络安全域隔离与边界安全防护。利用安全组在公有云上划分安全域及安全子域，形成分布式虚拟化防火墙。就近选择地域，将IT资源部署在同一区域的不同可用区，并在各可用区启用不同云产品实例。选购云安全服务商提供的DDoS防御云服务，抵御大流量DDoS攻击，保障云网络安全。

在云主机安全方面，利用云服务商提供的可信验证技术来保障云服务器的引导程序、操作系统内核、操作系统引导程序、配置参数和应用程序处于一种可信任的环境中。在可信的基础上，进行云主机的安全配置加固以及在弹性云服务器上部署专业主机安全防护系统。

在应用系统安全与云数据安全方面，选用安全厂商的Web应用云防护服务，实现web应用安全。利用云服务商提供的存储透明加解密服务确保数据云存储安全，采用SSL/TLS、HTTPS安全传输协议来保障数据传输安全。采用数据库防火墙、数据库加密、密钥管理、数据库脱敏、数据库审计等技术来保障数据库的安全。

在公有云VPC与校园本地私有云连接方面，可使用公网VPN方式或物理专线方式。使用公网VPN方式时，在校园互联网区部署VPN网关，通过IPSec VPN的加密隧道将公有云VPC与本地私有云连接。使用云物理专线方式时，借助公有云端的虚拟网关将虚拟接口与公有云VPC关联，实现本地校园云数据中心访问公有云VPC。

四、物联网的安全防护策略

随着智慧校园战略的实施，以物联网技术为基础的各种智慧校园应用系统逐步接入校园网络，如智慧教学、智慧科研、智慧图书馆、智慧实验室、智慧安防系统、现代化节能系统、数字化后勤系统、智能环境系统、智能供水系统、智慧餐厅等，共同形成了校园物联网。然而，校园物联网面临着感知设备恶意克隆、数据失窃、数据泄露、数据篡改、勒索软件攻击、僵尸网络攻击、中间人攻击、假冒攻击和非授权访问与控制等各种类型的安全威胁。从物联网的构成角度来分析，物联网安全应该从感知层、网络层和应用层进行多层面的保护。

(一)感知层的安全保护

感知层是物联网的最低层，包括各类感知节点、感知网关以及传感网络。感知层的安全是物联网安全的基础，应从物理环境、接入控制、访问控制、通信、设备、数据等方面进行安全防护。

物理环境安全防护。感知节点应安装到无强振动、无强干扰、无阻挡屏蔽、防盗窃、防破坏、防雷击、防静电、防水、防潮的位置。为保证设备供电持久稳定，关键感知节点及网关应提供备用电源。户外安装的关键感知节点可启用定位功能，当探测到节点离开固定位置时，自动启动封锁或自毁程序，确保节点数据的安全。

接入控制。为感知节点设置唯一的身份标识，该身份标识可以使用终端的MAC地址、LoRaWAN DevEUI、IMSI等。本地感知网关负责感知节点接入本地网络的认证。云端物联网平台负责感知节点接入互联网的认证。感知节点与感知网关采用相同的安全接入认证协议。本地感知网关对感知节点初始接入申请进行身份认证，通信中进行轻量级连续认证，鉴别整个会话期间感知节点的身份标识。节点鉴别失败次数超过设定次数,则拒绝感知节点接入，防止鉴别信息的暴力破解及假冒感知节点的接入。另一方面，感知节点对其它感知节点、网关或物联网平台进行反向接入身份认证，防止假冒的节点、网关及平台。鉴别失败次数超过设定值将不再发起接入请求。

访问控制与通信安全。在感知节点上关闭不用的通信端口，通过IP白名单等策略实现初步访问控制。在感知网关上设定访问控制策略，仅允许授权用户本地或远程访问资源。通过改变感知节点通信频段、提高器件抗干扰力等方法提高数据采集的正确性。启用完整性校验机制，通过消息校验码、消息摘要、数字签名等方式保障通信数据的完整性。感知网关与感知节点传输数据前对数据加密，同时再使用安全通信协议传输数据，确保通信数据的机密性。

数据安全。感知节点与感知网关的敏感代码和重要数据与普通代码和数据存储实行隔离。对鉴别信息与重要数据等进行完整性检测。仅允许授权用户访问存储数据。对密钥信息进行加密存储，通过密钥交换协议进行密钥传输，保证密钥存储和交换安全。利用白盒密码算法隐藏密钥信息，防止感知节点失窃后受到密钥提取攻击。

设备安全。为用户分配最小权限，消除弱口令，利用批量模式修改终端参数。设置IP白名单，仅允许授权用户从堡垒机登录，通过安全通信协议并按权限远程配置节点参数、关键密钥及程序应用在线更新，防止恶意操作及非授权数据访问。在感知网关上设置最大并发连接数，防止DOS攻击。使用代码签名机制保证感知网关及重要感知节点的运行代码是被授权的，从而使感知设备能确信运行代码的真实性和完整性，避免恶意代码插入、篡改或覆盖正常运行的代码，形成僵尸网络，对外发起网络攻击。

入侵防范与数据重放攻击防范。将同一系统的感知节点与感知网关划分到独立VLAN, 设置默认网关地址，配置访问控制策略，避免某些节点被攻陷后可能对其它子网发起攻击。通过在数据上附加时间戳、序号等信息来鉴别数据的非法篡改及防止数据重放攻击。

数据审计。开启感知网关审计功能，审计记录进行加密存储，定时将审计数据发送至综合日志审计平台。

(二)网络层的安全保护

网络层是感知层与应用层的连接纽带，物联网的传输通信安全保护应从多个层面来进行。

从传感网络到网络层的安全防护可借助物联网网关的功能来实现。物联网网关承担传感网络到通信网络的协议转换、异构传感网络之间的协议转换、数据汇总、数据转发前的预处理、边缘计算、下发数据执行命令的解析以及通信安全的重任。物联网网关通过其软硬件双重加密机制与加密通信协议，实现点到点与端到端的数据加密，保障通信数据的机密性。通过消息校验码、消息摘要、数字签名等方式确保通信数据的完整性。通过防火墙特性，实现对感知节点与感知网关的细粒度访问控制；通过安全域隔离，将不同物联系统分隔成不同的虚拟子网，实施差异化安全策略。对传输中的数据包进行异常流量及行为的检测，降低来自感知层的安全风险，同时减少来自网络层的攻击行为。利用多层级用户角色权限管理机制保障网关设备的自身管理安全。通过对感知节点、感知网关的安全标识识别，实现其身份认证、网络准入的安全防护。

物联网通信网络层的安全可利用传统IP网络、云计算的一系列安全防御技术，例如，在物联网区域边界部署下一代防火墙对物联网系统进行安全区域划分，实施相应的网络访问控制策略。通过网络监控系统对物联网区域的通信网络进行流量监控与分析，通过安全态势感知平台发现物联网区域网络通信中的异常行为和网络攻击，做出告警和应急响应，完成对通信网络的脆弱性评估及安全态势感知的可视化展示。

(三)应用层的安全保护

物联网应用层完成物联网信息和数据的融合处理和利用。物联网应用层的安全应从隐私保护、数据保护、攻击检测与防御、漏洞挖掘、身份认证、访问控制以及安全审计等方面进行防御。

隐私保护与数据保护。物联网应用系统在数据共享、存储和分析处理过程中极易发生敏感数据的泄露，因此，应用层业务系统要采用数据加密、数据脱敏、数据自动透明加密技术全程保护敏感数据。

攻击检测与防御。在物联网应用系统前部署Web应用防火墙WAF来识别、清洗和过滤Web应用的各种恶意流量，将正常、安全的流量转发给Web应用服务器，动态地检测与防御各种的Web应用攻击，保障Web应用安全。

漏洞挖掘。通过漏洞扫描系统对物联网服务平台、物联网协议以及嵌入式操作系统等进行漏洞挖掘，以检测其安全脆弱性，及时发现漏洞，针对每种漏洞提供修复解决方案，消除安全隐患。

身份认证与访问控制。用户对物联网应用系统的访问需通过校园统一身份认证平台，实行用户访问的身份验证、单点登录、动态授权及持续认证。各种角色的运维人员需通过堡垒机才能访问物联网设备，通过堡垒机，实现对运维管理人员访问操作、命令和动作的全程监视、记录、控制与审计。

安全审计与安全态势感知。综合日志审计平台定时收集并存储物联网网关形成的日志审计记录，进行日志分析，及时发现各类异常行为事件并发出告警，保障物联网事件的数据回溯与取证。通过安全态势感知平台，对物联网资产进行注册、认证及状态检查，对各层协议流量进行全网异常行为检测和分析，对物联网海量数据进行融合处理及关联分析，实现安全威胁可视化、网络攻击可视化及安全风险整体评估化。

五、结语

校园网中各种新型技术的融合应用使得校园网不断面临新的安全挑战。在技术应用层面上，新技术融合下的校园网络的安全防御可以在满足网络安全等级保护2.0安全通用要求的基础上，通过无线接入点管控、边界防护、访问控制、入侵防御、移动终端管控、移动应用管控、云边界的安全防护、云计算环境的安全防护、云安全控制平台、物联网的感知层、网络层和应用层保护等，实现融合环境下的校园网络扩展安全防御。