高校应急信息平台安全技术研究*

史兆伟

（兰州资源环境职业技术大学，甘肃 兰州 730021）

近年来，高校在新一轮工业化改革浪潮中结合“大应急”思想，普遍建立了应急信息平台，旨在提升应急管理水平，为突发公共事件提供应急保障技术支持。从实践经验看，此类应急信息平台作为实施应急预案、进行应急指挥决策的重要载体，核心内容主要集中在值守、准备、处置、评价四大方面，其功能包括了日常管理→风险监测→预测预警→风险识别→风险处置→应急联动→总结评估等。在量子计算机未推广应用之前，此类平台始终面临着网络安全问题，因而高校在新时期应结合应急信息平台安全管理需求，持续加强对相关安全技术的研讨及应用。

1 高校应急信息平台安全隐患

1.1 软件安全隐患

高校应急信息平台主要采用“大平台+小系统”框架，需要应用多种软件才能保障其有效运行。但是，部分软件需要直接购买并下载安装，部分则由高校信息部门自行研发。无论选择哪一类的软件，在设计环节与运行过程中均不能排除产生安全漏洞的可能性，在杀毒软件配置不全、漏洞补丁安装不及时的情况下，可能对整个平台的安全运行造成严重威胁。从近年来发生的网络安全事件看，接入平台的小系统使用主体较多，不排除非授权登录条件下由小系统向大平台传播病毒风险的产生。

1.2 硬件安全隐患

近年来，高校建设应急信息平台期间，普遍提高了对硬件设备的配置。具体包括计算机、物理服务器、网络电缆（专线、光缆、电话线）、360°摄像头、温湿度监测装置等[1]。目前，随着电视电话会议的增加，高校结合视频监控系统、视频会议系统同步增加了相关硬件设备。此类硬件在使用过程中，一方面不排除机房动物损坏，另一方面可能受到不法分子的偷窃、破坏，进而导致信号传输中断、机密信息被窃取等。

1.3 系统安全隐患

高校应急信息平台需要在计算机系统上进行运行，目前应用的主流操作系统没有实现100%安全操作目标，当不法分子发现其中的漏洞并对其进行攻击时，轻者会造成系统瘫痪，严重时可以造成永久性破坏。例如，“千年虫”“熊猫烧香”“诺如病毒”“勒索病毒”等，在各类计算机操作系统中的传播速度较快、影响较大，不仅导致了系统瘫痪，还以此向用户收取相关的解锁费用，给社会造成了较大影响[2]。尤其在近几年，木马程序入侵事件有所增多，给高校的知识产权造成了严重威胁，著名的“西工大网络入侵事件”标志着高校正式进入了网络“大风险”时代。在这种前提下，十分需要增强对各类安全技术的联合应用，降低危害。

1.4 网络安全隐患

自2018年我国高校全面实施“互联网+”改革至今，高校应急信息平台中先后应用了SQL 数据库、大数据、物联网、数字孪生技术等，大幅度提升了技术应用水平与数据管理水平。然后，在提升平台整体应用水平的同时，也扩大了风险，使安全管理难度越来越大。尤其在当前阶段，多数高校应急信息平台中对大数据技术的应用相对增多，包括直接购买的大数据软件与基于大数据技术建立的应急信息管理平台等，部分高校配套设计了安全模型，部分高校仍使用安全隔离技术，效果差强人意，数据存储、数据共享方面的隐患相对较大。对于应用云计算的应急信息平台，通常由第三方云安全技术企业提供相关服务。尽管其网络监控机制比较先进与齐全，但在拒绝服务攻击、编程与网络接口、数据存储方面仍存在不安全因素。图1 为基于云计算的高校应急信息平台网络监控机制示意图。

图1 基于云计算的高校应急信息平台网络监控机制示意图

2 高校应急信息平台安全技术概况

高校应急信息平台中常用的安全技术主要包括防火墙技术、入侵检测技术、身份认证技术、虚拟专用网技术，以及其他技术。从表面上看，此类技术属于常见技术。实质上此类技术一直处于更新状态，随着应急信息平台安全问题的逐渐变化，其技术也有所变化。

2.1 防火墙技术

新时期，高校应急信息平台安全管理中应用的防火墙技术与传统防火墙技术不同，一方面弥补了其缺陷与弊端，另一方面形成了混合型防火墙结构，应用功能更加强大。具体而言，这一类防火墙主要由4 个部分组成：基站主机服务器、堡垒主机、外部防火墙、内部防火墙[3]。其中，后两个防火墙可以将外网与内网统筹起来，在二者之间建立一个安全子网，从而利用安全子网实现对公用服务器的屏蔽等。

从功能方面看：一是基站主机服务器设置有若干数据库，可满足网络安全、过滤策略、网络资源、网络安全知识等数据库建设需求，并在数据库建设基础上结合安全决策提升应急信息平台管理水平。尤其是其中的安全数据库中，安全管理人员可以根据应急信息平台安全管理需求配置相应的安全策略，对所有的网络攻击信息进行采集→存储→保存→分析→生成风险报告，风险报告包括病毒攻击报告、网络专家判断报告、网络供给处理报告等。尤其是服务器能够针对新攻击快速生成相应的日志文件，利用智能响应模块存储相关日志文件，实现对相关指令的过滤等，预防新攻击造成的破坏。二是堡垒主机设置在内外网络的接点位置，通过对程序代码的清除（部分工具程序） 可以设置相应的过滤管理模块，进而将网络应用服务项目分为多个服务项目，提高安全管理效率。三是外部防火墙主要设置在安全子网与Internet 之间，可以有效预防来自外部攻击造成的风险，具体应用时经过其检测确认网络安全后，可以将堡垒主机端口接入外部系统访问，从而实现信息从外部网络向内部网络的传输。四是内部防火墙属于一个IP 包，一般安装在内部网络与安全子网之间，当内部网络主机发送请求后，可以通过该安全途径对相关信息进行认证，若发现其为非法访问则直接拒绝等。为了实现上述功能，高校应在应急信息平台中配置相应的设备与技术。

从当前部分应急信息平台中对这项技术的应用经验方面看：当防火墙进入运行状态后，堡垒主机服务器能够对通信协议做进一步分析（层层分解），并结合过滤管理模块完成对主机数据包的过滤处理，进而把提取的安全信息发送到基站主服务器，再经过“回传过滤”流程之后，完成对相关信息的使用等。

2.2 入侵检测技术

入侵检测技术包括异常入侵检测技术与误用入侵检测技术两大类型。以异常入侵检测技术为例，以行为作为基础，检测系统可以通过对入侵性动作信息的采集建立“异常活动子集”，然后通过比较系统正常活动下的数据与异常活动下的数据，判别入侵攻击活动，确认应急信息平台是否被入侵。如果确认其属于异常入侵行为，则通过差异识别方式向平台发送分析报告。目前，应用异常入侵检测技术时要求对用户正常行为特征轮廓进行勾勒（也称“画像”），再利用审计数据与特征轮廓之间的差异完成识别任务。具体技术包括3 种：统计分析技术、神经网络技术、计算机免疫技术。其中，应用较多的是神经网络技术，容易操作与实现。以误用入侵检测技术为例，安全管理人员应提前预设具体的入侵模式，然后通过确定模式识别误用入侵行为。通常情况下，可以用专家系统实现误用入侵检测技术的检测功能，操作时安全管理人员应选择入侵行为编码技术，在“IF 条件THEN 动作”规则下完成相关审计数据的写入等。除此之外，部分高校应用了入侵签名分析技术或状态迁移分析技术。从笔者近年的对入侵检测技术的学习、与同行交流来看，入侵签名分析技术和状态迁移分析技术在企业的适用性较好，在高校的应用相对较少，应用效果尚待进一步统计。

2.3 身份认证技术

身份认证中使用的技术相对较多，早期以钥匙、口令为主，近年来随着对生物技术、人工智能技术的应用，普遍扩大了对指纹、视网膜等认证技术的使用。需要注意的是，在当前使用的钥匙技术中，采用数字签名、数据证书、第三方数据凭证时，均可以采用即时生成认证证书的办法，包括签名、证书、凭证的随机化等[4]。例如，常用的短信认证属于第三方数据凭证，当用户登录应急信息平台时，第三方机构可以向用户提供随机生成的短信验证码，减少非授权用户登录发生的概率，提升其安全性。目前，在此类平台中对指纹、视网膜认证技术的应用相对增多，可以有效规避登录方面存在的风险。

2.4 虚拟专用网技术

虚拟专用网技术属于网络安全技术，主要是高校根据自身的应急信息平台安全管理需求，向通信企业直接申请一条专用的虚拟专用网络（Virtual Private Network，VPN） 通道。目前，多数高校已经采用了该安全技术，一方面能够实现对敏感数据的物理隔离，另一方面可以及时地发现网络“翻墙”事件并由公安人员进行及时处理。

3 结束语

高校应急信息平台中的安全隐患主要集中在软件、硬件、平台系统、用户、网络等方面，建议在当前阶段积极吸收前期安全管理经验，在思路决定出路的基本原则下，根据实际需求选择多样化的安全技术，并在扩大此类技术要素配置比例的基础上，提升应急信息平台运行与使用的安全性。