智慧校园环境下网络安全体系建设研究

闻帅梁云

（安徽财经大学，安徽 蚌埠 233030）

一、智慧校园环境下的网络安全

智慧校园是数字化校园的进一步发展和提升，是教育信息化的高级形态，是物理空间和信息空间的有机结合，它以物联网为基础环境，将教学、科研、管理和服务进行充分融合，将师生的校园工作、学习和生活数字化、智能化、智慧化，最终实现任何人、任何地点、任何时间都能便捷地获取资源与服务。目前这个阶段，智慧校园建设应以“数字化、移动化、服务化”为导向，融合“大数据、物联网、云计算、虚拟化、人工智能、区块链、元宇宙”等热点，积极开展智慧教育、智慧科研、智慧管理和服务创新研究和示范，推动新技术环境下教学科研的模式变革和生态重构的系统性工程。随着智慧校园环境下各种系统的深入应用，复杂多样的网络学习、科学研究、校园文化、校园生活给师生带来了诸多便利，网络安全方面也存在一定的隐患，这就要求我们一方面在享受智慧校园带来便利的同时，另一方面也要重视校园网络的安全，努力构建安全、稳定、畅通、高速、节能的校园网络。本文分析各大高校校园网络安全的常见问题，提出一些网络安全使用技术、建设原则、建设思路和建设内容，为智慧校园环境下的网络安全建设提供一些参考[1]。

二、智慧校园环境下应用的网络安全技术

（一）智慧校园环境下应用的加密技术

加密技术是指利用技术手段把网络中传输的数据变为乱码（加密）传送，到达目的地后再用相同或不同的技术手段进行数据还原（解密），它是确保网络中传输数据安全性的最基本方法。加密技术应用很广，比如VPN技术，也是受到高校使用较多的技术手段之一，目前很多高校都会建立相应的VPN系统，应用在校园内的日常工作学习中，以此保证数据的安全有效传输。学校主页或各应用系统中采用https数字证书的方式访问，https能够加密客户端和服务器端之间的数据传输，防止隐私信息被截取、监听或篡改，保证了数据的安全性和完整性，让用户可以放心地访问学校的站点和应用。

（二）智慧校园环境下应用的数字签名技术

数字签名技术又称公钥数字签名，是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明[2]。使用数字签名技术可以代替传统的手工签字和公章，例如办公自动化系统中的公文传阅，教务系统中的电子成绩单，人事系统中的身份证明，财务系统中的财产证明等，这些都是数字签名技术的典型应用，解决了数据伪造等常见问题，完善的数字签名技术还具有不可抵赖性。

（三）智慧校园环境下应用的访问控制技术

访问控制技术指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的一种技术手段。防火墙的访问控制策略和业务系统的授权访问是高校常见的应用。通过防火墙配置基于源和目的IP地址的访问控制技术确保只有授权的地址才能访问特定的资源列表，通过业务系统的权限管理确保只有授权用户才可以访问业务系统，以此确定外网可访问的具体应用，保证业务访问的合规性。

（四）智慧校园环境下应用的认证技术

认证技术作为网络通讯中重要的技术手段之一，主要解决了通讯中的身份认可，通过身份认证来确认认证对象的真实有效性。认证技术主要有三类：基于共享密钥认证，基于重放攻击的认证，基于公钥的认证。例如在智慧校园建设中通常采用用户名密码认证、短信认证、二维码认证、人脸识别等方式作为智慧校园终端的认证管理入口，实现PC端和移动端的应用系统单点登录认证。

（五）智慧校园环境下应用的大数据技术

大数据简单来说就是针对大量的数据进行分析处理，他能够处理类型多样且风格迥异的海量数据，相对于传统的网络安全技术而言，大数据为海量的网络信息安全数据的存储、分析、管理和预判提供了可能。高校中普遍采用网络安全态势感知系统，主要就是通过对校园网出口或数据中心接口数据的采集和梳理，进而对当前的网络以及未来将出现的可能性威胁进行判断和预警，并且给出出口和服务器区域分析报告，帮助学校做好网络安全的预判以及进一步需要完善的防范措施[3]。相对于传统的网络安全设备，网络安全态势感知系统是建立在大量的数据收集论证的基础上，并结合系统厂商的网络安全威胁库进行匹配，因此判断的处理结果会更加精确有效[4]。

（六）智慧校园环境下应用的区块链技术

区块链技术我们通常说有两种理解方式，广义的和狭义的，广义理解是以区块结构为特点，使用密码学等技术实现数据传输和数据存储的技术体系，狭义地理解是在结合具体产品来说的时候，是一种链式存储的数据存储方式。简单来说就是分布式的共享账本和共享数据库，在这个系统中，数据是不可伪造的，以此来实现传输数据双方的可信任度。高校中的典型应用场景是将原有的中心化的数据通过区块链技术进行改造，实现数据安全存储、共享的分布式链式数据库。改造后的数据具有去中心化、可信任化、不可篡改、可追溯性等特点，为学校提高网络安全防御系统的可靠性、安全性，保护数据信息和资产安全性提供了很好的解决思路[5]。

三、智慧校园环境下网络安全存在的问题

（一）智慧校园环境下网络安全风险复杂多样

随着高校智慧校园建设的不断深入，大数据、人工智能、物联网、云计算、区块链、元宇宙等新技术手段的广泛应用，网络安全也呈现出技术更加复杂，管控难度更大的特点[6]。同时高校网络具有覆盖面广、用户基数大、网络结构复杂、多厂商叠加、软硬件集成难度大等特点，来自系统本身、内网、外网的潜在安全风险具有不可预知、不能枚举等特征，因此网络安全的风险复杂多样[7]。高校的安全风险主要来自系统及软件漏洞、病毒木马、外部网络的恶意破坏、内部网络的测试攻击、垃圾邮件、不良信息的传播以及网络安全意识淡薄等因素，因此要在联网时提防病毒入侵、拒绝服务攻击、数据被篡改、网页篡改等破坏网络安全的非法手段[8]。

（二）智慧校园环境下网络安全制度不健全

高校网络与信息化建设的快速推进，网络安全规章制度相对滞后，在管理制度上面也没有完全建立与发展相适应的网络安全机制。自从《网络安全法》《数据安全法》《个人信息保护法》《网络安全审查办法》等法律法规建立以后，在智慧校园安全建设中需要根据国家的法律法规完善具有高校业务特点的规章制度。因此，有效的日常安全检查督导、坚强的网络安全组织领导、科学的网络安全管控策略、完善的网络安全应急响应机制以及细致的网络安全教育培训，都需要制定相应制度机制来明确权责、规范运行，才能保障校园网络及信息系统安全、稳定、畅通地运行。

（三）智慧校园环境下网络安全防御手段不足

高校互联网的出口数据流量大，安全功能叠加在一台设备可能性较小，因此串接的网络设备较多，单点故障频发，同时数据中心内部缺少防火墙管控机制，云平台下虚拟机东西向流量的安全往往被忽视。另外，应用系统相对数量多、漏洞多、网页被篡改、信息泄漏等问题时有发生[9]。由于校内学生用户数量较多，不少同学对网络安全感兴趣，对学校的内部网络进行安全测试，学校难以及时察觉分散的威胁信息，进而无法及时调整安全策略。同时在智慧校园建设过程中重建设轻管理、重应用、轻安全的现象普遍存在，网络安全缺乏宏观层面的顶层设计。比如有些学校网络安全管理的组织机构不健全，安全管理的责、权不明确；有些学校核心业务与互联网隔离，如果没有配套的系统更新和漏洞扫描机制，容易受到来自内部的嗅探和蠕虫攻击[10]。因此，智慧校园系统级的安全监测、评估、预警及防护手段还需进一步形成体系建设。

（四）智慧校园环境下网络安全人才匮乏

网络安全技术从本质上说其实就是人与人、人与机器、机器与机器之间的对弈。高校智慧校园建设中，网络安全人才匮乏，从长远发展来看，应统筹规划网络安全体系的人才建设，着力培养网络安全型人才，通过人才培养加实践教学扩充高校网络安全人才队伍。网络安全的竞争其实就是人才的竞争，要采取多种方式培养网络安全人才，例如定期参加各种网络安全培训、厂商新产品发布会、各种网络安全比赛等形式丰富网络安全相关的知识。如今高校、企业、政府也不断“发力”创新人才培养模式，科教融合、以赛促学等方式方法培养网络安全专业技术人才，只有填上“人才缺口”，网络安全才有进一步发展的基础，同时让学生参与到学校的网络安全体系建设过程中，以实践教学的方式方法对学校的网络进行安全测试，发现相关的安全问题，及时补缺补漏，不断完善校园网络的安全。

（五）智慧校园环境下网络安全投入不足

目前很多高校已经意识到网络安全问题，但由于无暇顾及潜在风险，再加之网络安全成本比较大，特别是普通高校，网络与信息化建设任务重，人员少，导致网络安全工作无暇全面顾及，对于他们来说就相当于无形中增加巨大的工作量，主要的精力和资金都用在基础网络建设和信息化应用系统建设，直接导致网络安全投入不足，网络安全设备的日常维护、技术支持、特征库的及时更新都需要资金的持续投入，显然有限的资金无法支持网络安全的持续建设，因此在网络与信息化建设的同时，同步考虑网络安全的投入，才能保证网络安全设备的正常运行。

四、智慧校园网络安全体系建设原则

（一）智慧校园环境下遵循的主要领导人负责原则

习近平总书记强调没有网络安全就没有国家安全，信息化和网络安全是事关人民群众生活、工作、国家安全和国家发展的重大战略问题，我们要从国际国内大势出发，总体布局，创新发展，统筹各方，努力把我国建设成为网络强国。习近平总书记还说中央网络安全和信息化委员会要发挥集中统一领导作用，统筹协调各个领域的网络安全和信息化重大问题，制定实施国家网络安全和信息化发展战略、宏观规划和重大政策，不断增强安全保障能力。要加大对技术专利、数字版权、数字内容产品及个人隐私等的保护力度，维护广大人民群众利益、社会稳定、国家安全[11]。智慧校园建设过程中也应遵循主要领导人负责原则，“谁主管、谁负责、谁应用、谁负责”，各部门主要领导人负责本单位网络信息系统的安全问题。

根据设计松铺厚度（25cm）、施工宽度（32.64m）及自卸车容量（10.5m3）等确定上土网格（宽8.4m×长10m）、每格上土量21m3（2车），按照设计松铺厚度安排人工在网格交叉点位置培置松铺厚度控制墩。

（二）智慧校园环境下遵循的规范定级原则

随着互联网技术的飞速发展，大数据、人工智能、物联网、云计算、区块链等新兴技术应用不断深入，在给校园工作、学习和生活带来便利的同时，也存在着信息泄露、隐私侵犯等网络安全问题。公安机关通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范等安全防护措施，实现平台的全方位安全防护，同时，组织开展信息技术新领域等级保护重点标准申报国家标准的工作，制定了国家信息系统安全等级保护。高校校园网络的数据库及各种应用系统等应该进行系统等级保护定级，学校主页、中心数据库、核心应用系统一般进行三级等保测评，其他应用系统根据安全级别进行相应等级备案工作。

（三）智慧校园环境下遵循的依法行政原则

随着网络发展，网络安全问题日渐凸显，国家也越来越重视网络安全问题，因此针对网络安全方面也建立了相关的法律法规，通过相关法律法规约束网络行为[12]。高校师生员工如果有实施危害国家网络安全的行为，由有关部门依法予以处分，国家安全机关也可以予以警告，构成犯罪的，依法追究刑事责任，对于违反学校网络安全相关规定的，学校根据相关的规章制度对师生员工进行处罚。

（四）智慧校园环境下遵循的注重实效性原则

时效性影响着决策的生效时间，时效性决定了决策在特定时间内是否有效。针对校园网内的一些系统安全问题也有他的时效性，高校中硬件设备类型种类繁多，应用系统复杂多样，实验教学软硬件繁杂，例如操作系统、中间件、数据库管理系统、应用系统、防火墙、路由器、交换机、杀毒软件病毒库、IDS、IPS特征库等，都要及时进行升级等操作。

五、智慧校园网络安全体系建设内容

（一）智慧校园环境下基础设施安全建设

校园网作为高校重要的基础设施，对校园内的教学、管理、科研和对外宣传等诸多角色起着重要的作用[13]。因此校园网是否安全直接影响着高校的各项教学、科研和管理服务活动。校园网设备一般集中在机房，良好的机房环境可以延长设备的使用寿命，减少故障的发生概率，便于维护和定期检查。如果设备处在恶劣的环境中，故障发生率会提高，硬件频频发生故障，会占用了大量时间和人力，所以一个良好的机房环境可以节省成本和提高效率。如果没办法保证机房的安全，那么我们的整个校园网络的运行都会存在问题。对于校园网机房的安全性，既要保证它的温度、湿度在一定的范围内，还要防雷、防火、防水、防鼠等，平时还要定期维护等。机房要进行定期打扫，保证机房的整体干净整洁，对于意外断电或者短路也要有备用的电源，能确保在断电的瞬间切换到备用电源，保证机房基础环境的安全性和稳定性。

（二）智慧校园环境下操作系统安全建设

校园网的运行离不开各个平台的安全运行。要保证系统的稳定运行，就要能够识别系统中的隐患，并采取有效的措施使其危险性最小，从而使系统在规定的性能、时间以及成本范围内达到最佳的工作状态。操作系统的安全性我们要尤其重视，操作系统是信息系统的重要组成部分。首先，操作系统位于软件系统的底层，需要为各类应用服务提供支持；其次，操作系统是系统资源的管理者，对所有系统软、硬件资源实施统一管理；此外，作为软硬件的接口，操作系统起到承上启下的作用，应用软件对系统资源的使用与改变都是通过操作系统来实施[14]。因此，操作系统的安全在整个信息系统的安全性中起到至关重要的作用，没有操作系统的安全，信息系统的安全性将犹如建在沙丘上的城堡一样没有牢固的根基。操作系统的防火墙为信息系统安全构建了基本网络安全屏障，实现东西南北方向，基于源和目标地址的访问控制策略，尤其一个应用系统存在多个虚拟服务器，虚拟服务器之间相互信任，只提供一个虚拟服务器对外部访问的授权。在Linux操作系统中启用以Netfilter框架为基础，IPTables构建了网络层防火墙工具，在Windows系统下启用Windows防火墙，为操作系统平台层构建基础的网络安全。

（三）智慧校园环境下数据安全建设

随着网络的普及，纸质的保存形式已经不是唯一保存数据途径，很多数据都会保存在存储设备上，特别是一些重要数据的保存，这个时候数据的安全性显得尤为重要。我们首先要保证信息系统的安全，例如个人信息泄露事件频发，主要问题是个人信息没有规范采集，再者公民缺乏足够的信息保护意识，随意地在网上定位个人信息以及经常性地发出一些泄露个人信息的事件，都是信息泄露的主要原因。总的来说对于信息安全的问题，个人也要加强重视。针对数据的增、删、改、查等操作，也会有对应的安全措施，例如数据库操作监控系统，针对出现的不明信息，相应的数据监控系统及时显示出来，采取必要的补救措施。针对数据丢失也是属于数据安全的一种，会有数据容灾备份等一系列应对措施。

（四）智慧校园环境下通信安全建设

网络和安全作为通信基础设施，其硬件性能、可靠性以及网络架构设计在一定程度上决定了数据传输的效率。带宽或硬件性能不足会带来延迟过高、服务稳定性差等风险，也更容易因拒绝服务攻击导致业务中断等严重影响，架构设计得不合理，如设备单点故障，可能会造成严重的可用性问题。网络通信协议带来的风险更多地体现在协议层设计缺陷方面，虽然事件发生的可能性较低，但是缺陷一旦被安全研究人员披露，特别是安全通信协议，可能会对网络安全造成严重影响。校园网内可以采取多链路负载均衡、设备多机部署，通信加密等方式实现通信安全。

（五）智慧校园环境下应用系统安全建设

（六）智慧校园环境下运行安全建设

智慧校园三大基础应用平台的建设对于学校的统一规划、统一实施、统一建设是很有必要的。由于各种应用平台建设是不同时期、不同阶段、不同厂商建设的，肯定会不定时出现各种问题，对于可能出现的软硬版本问题，应及时做出最合适的软硬件与故障应急处置方案；对于操作系统、业务系统也要在保证业务系统稳定运行的前提下适当地进行版本升级；同时也要定期对网络环境进行定期检查评估，尽量能把控可能存在的隐患并有相对应的解决措施。

（七）智慧校园环境下管理安全建设

安全建设管理风险主要来源于管理体系的不健全，信息工程规划设计、软件开发、工程实施、测试验收及系统交付等阶段工作内容和工作流程的不全面、不规范问题，进而有可能导致信息系统或信息工程在安全功能和相关控制措施方面的缺陷，为合规性和信息系统埋下隐患。

（八）智慧校园环境下授权和审计安全建设

校园网的正常运行，离不开审计系统，审计过程是对信息系统真实性审计、信息系统安全性审计以及信息系统绩效进行审计，所以要收集系统日志、应用系统日志、数据库日志、上网日志等，保证数据存储在6个月以上，同时也要对历史上网日志进行统计、分析和汇总。高校中普遍使用防火墙+VPN+堡垒机模式，VPN采用最小授权原则进行业务系统的访问授权，堡垒机实现全网内部服务器、网络设备、数据库等资源的安全运维入口，对授权人员的运维操作进行记录、分析、展现，有效加强内部业务操作行为监管，避免核心资产损失。在保障系统正常运营管理的同时，使运维管理更加合理化和专业化，进而提升内部资源安全防护能力，为安全审计和追踪溯源提供重要依据。

（九）智慧校园环境下运维保障体系建设

《GB/T 36626-2018信息安全技术 信息系统安全运维管理指南》将安全运维活动分为了安全运维策略，安全运维组织，安全运维规程，安全运维支撑系统四项，高校网络安全服务保障体系一方面通过本单位专业技术人员从事相关工作，另一方面可以通过购买第三方安全运维服务，第三方安全运维服务参考安全运维指南并严格执行管理指南，通过专业工具对学校内所有存在安全问题的软硬件设备进行漏洞扫描，定时生成安全报告，并对安全漏洞进行及时修复，特殊时间节点第三方运维服务提供7*24小时服务，确保网络与信息系统的安全。

随着我国信息化建设的不断深入，智慧校园建设呈逐年加快趋势，构建智慧校园环境下的安全体系建设是建设智慧校园首先要思考的问题。本文分析了目前高校网络安全建设的现状，并提出智慧校园网络安全建设的原则以及网络安全整个体系架构，对构建智慧校园网络安全立体防护体系有一定的参考价值。智慧校园平台的建设是一个系统性工程，在建设过程中务必开展安全建设先行或同步进行，才能使这个庞大工程安全、稳定、畅通地运行。在实施网络安全策略时不能仅仅依靠传统网络安全技术的堆砌，而应从实际情况出发，综合考虑安全需求，根据需求采取对应措施，将安全技术手段与管理制度结合起来，才能提供一个高效、稳定、畅通的校园安全网络系统，支撑智慧校园平台的正常运行[15]。