顧士星

摘要：為了加快推進(jìn)教育現(xiàn)代化、教育強(qiáng)國(guó)的建設(shè)，全國(guó)各類學(xué)校都在推進(jìn)智慧校園項(xiàng)目建設(shè)。通過建設(shè)各類信息系統(tǒng)及應(yīng)用，為廣大師生的科研、教學(xué)、生活等提供較多的便利。前期信息系統(tǒng)建設(shè)存在重建設(shè)、輕安全的現(xiàn)象，導(dǎo)致目前校內(nèi)各類信息系統(tǒng)安全問題頻發(fā)。專業(yè)的網(wǎng)絡(luò)安全設(shè)備能夠在一定程度上保護(hù)各類信息系統(tǒng)，網(wǎng)絡(luò)安全設(shè)備采購(gòu)于不同的廠家，廠家之間設(shè)備無法聯(lián)動(dòng)，導(dǎo)致網(wǎng)絡(luò)安全設(shè)備各自為政，無法協(xié)同處理網(wǎng)絡(luò)安全問題。管理上由于人員分工不同，存在安全設(shè)備和基礎(chǔ)設(shè)施配置信息不一致的情況，帶來一定程度的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。該文提出網(wǎng)絡(luò)安全數(shù)據(jù)中臺(tái)的方案來解決網(wǎng)絡(luò)安全數(shù)據(jù)不一致、網(wǎng)絡(luò)安全設(shè)備各自為政的問題。

關(guān)鍵詞：數(shù)據(jù)中臺(tái);網(wǎng)絡(luò)安全;智慧校園

中圖分類號(hào)：TP393? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）16-0052-03

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

Research on Campus Information Security Scheme Based on Data Middle Platform

GU Shi-xing

（Information Department of Jiangsu University， Zhenjiang 212013， China）

Abstract： In order to speed up the construction of modern education and strong educational country， all kinds of schools are promoting the construction of smart campus projects. Through the construction of various information systems and applications， more convenience are provided for teachers and students' scientific research， teaching， life and so on. In the early stage of information system construction， there is a phenomenon that the construction is more important than the security， which leads to the frequent security problems. Professional network security devices can protect all kinds of information systems to a certain extent. However， network security devices are always purchased from different manufacturers. Devices created by different manufacturers cannot be linked， which are unable to work together to deal with network security attack. Due to the different division of labor， Network safety devices and infrastructure is not consistent， brought a certain degree of network security risk. This paper puts forward a scheme of network security data middle platform to solve the problems of inconsistent network security data and separate network security devices.

Key words： data middle platform; network security; smart campus

1背景

智慧校園是以數(shù)字校園的基礎(chǔ)發(fā)展而來的另外一種形態(tài)，基于數(shù)字校園的基礎(chǔ)上利用云計(jì)算、大數(shù)據(jù)及人工智能等技術(shù)手段，通過各種智能的終端以及應(yīng)用為高校師生提供更加智能、個(gè)性化的服務(wù)，形成智慧化的數(shù)字校園[1]。智慧校園建設(shè)的不斷深入，眾多的信息系統(tǒng)的軟硬件設(shè)施和上層應(yīng)用使得高校師生對(duì)智慧校園的建設(shè)成果依賴程度越來越高，提供高可靠、高穩(wěn)定性的服務(wù)以及保護(hù)好師生的敏感數(shù)據(jù)信息、維護(hù)好校園網(wǎng)絡(luò)積極向上的氛圍變得越來越重要。目前，高校信息化管理部門存在人手不足、管理人員技術(shù)能力參差不齊、職責(zé)分工不同，導(dǎo)致每個(gè)人對(duì)信息系統(tǒng)管控局限于某一部分，如DNS維護(hù)、反向代理維護(hù)等，無法做到統(tǒng)籌管理，存在信息系統(tǒng)游離于管理之外的情況。近年來，隨著《網(wǎng)絡(luò)安全法》《等級(jí)保護(hù)規(guī)范文件》等一系列針對(duì)網(wǎng)絡(luò)安全的政策及規(guī)范的出臺(tái)，針對(duì)網(wǎng)絡(luò)安全的建設(shè)方面，各高校采購(gòu)了不同的安全廠商的設(shè)備，包括出口防火墻、WAF、日志審計(jì)、運(yùn)維堡壘機(jī)、虛擬化防病毒等，目前網(wǎng)絡(luò)安全設(shè)備存在不同安全廠家生產(chǎn)的設(shè)備無法做到相互通信，通過協(xié)作的方式來保護(hù)校園網(wǎng)絡(luò)，減低了對(duì)校園網(wǎng)絡(luò)安全的防護(hù)能力。目前各個(gè)安全設(shè)備系統(tǒng)單獨(dú)維護(hù)一套適合自身的數(shù)據(jù)信息，導(dǎo)致存在數(shù)據(jù)冗余、數(shù)據(jù)錯(cuò)誤，結(jié)果數(shù)據(jù)無法復(fù)用的情況，各個(gè)網(wǎng)絡(luò)安全設(shè)備可以提供標(biāo)準(zhǔn)的API的接口，通過接口來抽取網(wǎng)絡(luò)安全設(shè)備的數(shù)據(jù)至數(shù)據(jù)中臺(tái)，可以有效地規(guī)避數(shù)據(jù)煙囪和不一致性，實(shí)現(xiàn)標(biāo)準(zhǔn)化規(guī)范統(tǒng)一的、可以重用共享的數(shù)據(jù)。系統(tǒng)建設(shè)之初缺乏統(tǒng)一頂層設(shè)計(jì)和規(guī)劃，各個(gè)子系統(tǒng)之間的數(shù)據(jù)交互，已經(jīng)成為高校信息化發(fā)張的瓶頸，“煙囪林立”式的系統(tǒng)架構(gòu)已經(jīng)嚴(yán)重的制約高校信息化深入發(fā)展的步伐[2]。

當(dāng)前信息安全已經(jīng)上升到與政治安全、經(jīng)濟(jì)安全、領(lǐng)土安全并駕齊驅(qū)的戰(zhàn)略高度，2016年4月，習(xí)總書記主持召開的網(wǎng)信工作座談會(huì)時(shí)也指出：“維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)”，所謂“聰者聽于無聲，明者見于未形”，維護(hù)好信息安全相關(guān)的數(shù)據(jù)，保證數(shù)據(jù)一致性，摸清家底，對(duì)于建立一套數(shù)據(jù)標(biāo)準(zhǔn)、信息共享、協(xié)調(diào)聯(lián)動(dòng)的網(wǎng)絡(luò)安全數(shù)據(jù)中臺(tái)的整體方案具有很重要的意義。

2校園信息安全方案架構(gòu)設(shè)計(jì)

當(dāng)前對(duì)校園網(wǎng)絡(luò)安全管理人員來說，網(wǎng)絡(luò)安全碎片化越來越嚴(yán)重、煙囪式的安全技術(shù)收效甚微、網(wǎng)絡(luò)安全運(yùn)維能力薄弱、安全事件的響應(yīng)時(shí)間無法保證。通過引入安全中臺(tái)的理念來協(xié)助網(wǎng)絡(luò)安全人員把分散開的信息集中匯總至安全中臺(tái)，讓網(wǎng)絡(luò)安全人員從整體的角度去把握校園網(wǎng)絡(luò)安全的態(tài)勢(shì)，進(jìn)而做到保證正常的用戶訪問并及時(shí)的封堵住惡意訪問[3]。

校園信息安全數(shù)據(jù)中臺(tái)方案共分為四層，基礎(chǔ)資源平臺(tái)層、數(shù)據(jù)抽取與標(biāo)準(zhǔn)化層、安全中臺(tái)、數(shù)據(jù)開放層。

基礎(chǔ)資源平臺(tái)層主要包括虛擬化服務(wù)器、機(jī)架服務(wù)器、DNS、反向代理、出口防火墻以及其他各類成熟的網(wǎng)絡(luò)安全硬件。數(shù)據(jù)抽取與標(biāo)準(zhǔn)化層主要實(shí)現(xiàn)將基礎(chǔ)資源平臺(tái)層的數(shù)據(jù)通過各類技術(shù)方法抽取并按照標(biāo)準(zhǔn)化的格式存儲(chǔ)至安全中臺(tái)。安全中臺(tái)中包含決策分析功能模塊，基于數(shù)據(jù)中臺(tái)中的數(shù)據(jù)使用回歸分析、神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)模型等分析手段分析惡意用戶訪問、惡意IP地址、脆弱性主機(jī)、安全加固建議，并動(dòng)態(tài)反饋至基礎(chǔ)資源平臺(tái)層，形成安全閉環(huán)。數(shù)據(jù)開放層也會(huì)通過標(biāo)準(zhǔn)的API接口，將基于數(shù)據(jù)中臺(tái)的分析結(jié)果作為安全公共基礎(chǔ)數(shù)據(jù)開放出去，其他應(yīng)用服務(wù)在使用過程中直接調(diào)用接口對(duì)惡意用戶、惡意訪問IP等行為進(jìn)行封堵。

3基礎(chǔ)資源平臺(tái)數(shù)據(jù)采集

3.1數(shù)據(jù)源類型

基于安全的數(shù)據(jù)涉及方方面面，涉及安全方面的數(shù)據(jù)較多，概括起來可以分為以下幾類[4]：

1）平臺(tái)配置數(shù)據(jù)主要包括網(wǎng)絡(luò)設(shè)備、DNS解析、反向代理、虛擬化防病毒、威脅感知設(shè)備、資產(chǎn)性能監(jiān)控設(shè)備等的配置信息。

2）原始流量數(shù)據(jù) 來源于核心交換設(shè)備旁路的流量鏡像，是全量數(shù)據(jù)，便于溯源追蹤。

3）設(shè)備及系統(tǒng)日志信息 網(wǎng)絡(luò)設(shè)備、安全設(shè)備、系統(tǒng)及應(yīng)用的運(yùn)行日志信息和審計(jì)操作日志等，反映設(shè)備或系統(tǒng)的運(yùn)行狀態(tài)。

4）漏掃數(shù)據(jù) 安全設(shè)備根據(jù)特定規(guī)則對(duì)主機(jī)或系統(tǒng)進(jìn)行安全掃描產(chǎn)生的數(shù)據(jù)，包括主機(jī)漏掃和WEB漏掃數(shù)據(jù)等。

5）資產(chǎn)數(shù)據(jù) 硬件資產(chǎn)和信息資產(chǎn)，硬件資產(chǎn)包括資產(chǎn)安裝的操作系統(tǒng)類型，系統(tǒng)中運(yùn)行的服務(wù)名稱、版本等信息，信息資產(chǎn)主要包括網(wǎng)站及信息系統(tǒng)，包括資產(chǎn)的所屬部門、所屬主機(jī)等信息。

6）漏洞及威脅情報(bào)數(shù)據(jù) 各類基礎(chǔ)架構(gòu)和應(yīng)用程序的漏洞信息，提供完整的漏洞修復(fù)建議及方法，包含但不限于打補(bǔ)丁、修改配置、嚴(yán)格的訪問控制措施等。威脅情報(bào)信息來源于社會(huì)以及行業(yè)內(nèi)的安全威脅情報(bào)，給校園相應(yīng)部門提供威脅預(yù)警、提早進(jìn)行防范。

3.2數(shù)據(jù)抽取與標(biāo)準(zhǔn)化層

安全中臺(tái)中的數(shù)據(jù)來源廣泛，并且數(shù)據(jù)字段定義、數(shù)據(jù)類型等不盡相同，采集安全數(shù)據(jù)并在存儲(chǔ)該類數(shù)據(jù)之前對(duì)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化對(duì)于提高后期數(shù)據(jù)使用效率具有很大的意義。

4 技術(shù)方案

4.1安全中臺(tái)數(shù)據(jù)存儲(chǔ)方案

安全中臺(tái)的數(shù)據(jù)存儲(chǔ)方案主要根據(jù)網(wǎng)絡(luò)安全數(shù)據(jù)異構(gòu)數(shù)據(jù)源分為：結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)、時(shí)序數(shù)據(jù)等。

結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)的選擇，根據(jù)數(shù)據(jù)量大小分為基于列存儲(chǔ)和基于行存儲(chǔ)的數(shù)據(jù)?；谛械拇鎯?chǔ)采用開源Mysql集群高可用方式部署（圖3），可以實(shí)現(xiàn)數(shù)據(jù)讀寫分離。

非結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)，根據(jù)數(shù)據(jù)中臺(tái)存在實(shí)時(shí)插入、更新和查詢的功能需求，同時(shí)在實(shí)際使用過程中實(shí)時(shí)數(shù)據(jù)存儲(chǔ)所需的復(fù)制及高度伸縮性。選擇使用MongoDB，該非結(jié)構(gòu)化數(shù)據(jù)庫(kù)系統(tǒng)使用C++語(yǔ)言編寫，在系統(tǒng)負(fù)載較高時(shí)，可以通過添加更多的節(jié)點(diǎn)來保證服務(wù)器的性能。根據(jù)網(wǎng)絡(luò)安全事件數(shù)據(jù)一次寫入、多次讀取的特征，大數(shù)據(jù)存儲(chǔ)平臺(tái)采用HDFS（HadoopDistributedFileSystem）文件系統(tǒng)。Hadoop是一個(gè)開源的分布式存儲(chǔ)和分布式計(jì)算平臺(tái)，HDFS分布式文件系統(tǒng)能夠存儲(chǔ)海量的數(shù)據(jù)，MapReduce并行處理框架可以對(duì)計(jì)算任務(wù)進(jìn)行分解和調(diào)度，不依賴于高端硬件，使用校園淘汰的硬件服務(wù)器即可以完成擴(kuò)展，提高資源利用效率、降低成本。Hadoop具有成熟的生態(tài)圈，具有很多的開源工具，降低使用門檻、提高適用性。

4.2數(shù)據(jù)采集同步方案

離線數(shù)據(jù)采集采用開源的DataX工具，DataX是阿里巴巴集團(tuán)開源的離線數(shù)據(jù)同步工具，可以實(shí)現(xiàn)MySQL、Oracle、SqlServer、Postgrel、HDFS、Hive、HBase等各種異構(gòu)數(shù)據(jù)源之間高效的數(shù)據(jù)同步[5-7]。DataX將傳統(tǒng)復(fù)雜的網(wǎng)狀同步鏈路轉(zhuǎn)變成星型數(shù)據(jù)鏈路，作為中間傳輸載體來連接各種數(shù)據(jù)源。對(duì)接新的數(shù)據(jù)源時(shí)，僅需要將數(shù)據(jù)源對(duì)接到DataX即可實(shí)現(xiàn)數(shù)據(jù)源的同步。DataX可以根據(jù)實(shí)際業(yè)務(wù)需求對(duì)數(shù)據(jù)的同步過程中按照一定的規(guī)則進(jìn)行清洗、過濾以及轉(zhuǎn)換，提高數(shù)據(jù)準(zhǔn)確度和數(shù)據(jù)質(zhì)量。

實(shí)時(shí)數(shù)據(jù)采集采用Logstash組件，Logstash是一款分布式數(shù)據(jù)收集引擎，可以實(shí)時(shí)采集Web日志、安全設(shè)備產(chǎn)生的日志。根據(jù)不同的數(shù)據(jù)來源選擇Logstash中模塊化的Input組件，動(dòng)態(tài)的讀取源數(shù)據(jù)，Output組件可以根據(jù)數(shù)據(jù)源的類型保存至相應(yīng)的數(shù)據(jù)庫(kù)或者文件系統(tǒng)[8]。

4.3數(shù)據(jù)服務(wù)API方案

數(shù)據(jù)服務(wù)API采用一款基于OpenResty編寫的高可用、易擴(kuò)展的KongAPI網(wǎng)關(guān)[9]。Kong可以通過插件擴(kuò)展已有的功能，插件在API請(qǐng)求響應(yīng)的生命周期中執(zhí)行，插件包含了HTTP基本認(rèn)證、負(fù)載均衡、CORS、API請(qǐng)求限流、請(qǐng)求轉(zhuǎn)發(fā)、CAS認(rèn)證等功能?；贙ong可擴(kuò)展性的特點(diǎn)，通過自行開發(fā)插件可以實(shí)現(xiàn)對(duì)敏感的安全數(shù)據(jù)加解密、數(shù)據(jù)模糊化、數(shù)據(jù)脫敏等?；贏PI的方案可以將基于安全數(shù)據(jù)中臺(tái)的業(yè)務(wù)與安全設(shè)備等之間的直接耦合和依賴性隔離開，實(shí)現(xiàn)安全設(shè)備獨(dú)立更新、升級(jí)的同時(shí)不影響其他設(shè)備調(diào)用數(shù)據(jù)。統(tǒng)一通過API的方式能夠保證數(shù)據(jù)的一致性、實(shí)現(xiàn)統(tǒng)一監(jiān)控和流量管理等功能。

5結(jié)束語(yǔ)

基于數(shù)據(jù)中臺(tái)的校園信息安全方案可以解決多個(gè)數(shù)據(jù)源數(shù)據(jù)不一致的問題。從日常運(yùn)維角度，通過統(tǒng)一集中的管控平臺(tái)可以檢查信息系統(tǒng)DNS域名解析與信息系統(tǒng)的物理服務(wù)器是否一致，反向代理轉(zhuǎn)發(fā)的HTTP請(qǐng)求是否準(zhǔn)確的達(dá)到相應(yīng)的應(yīng)用系統(tǒng)等。從網(wǎng)絡(luò)安全角度，通過集中的數(shù)據(jù)平臺(tái)可以信息系統(tǒng)在漏洞掃描平臺(tái)中是否存在漏洞，根據(jù)信息系統(tǒng)的健壯性采取相應(yīng)的安全措施，包括限制校內(nèi)訪問、停止DNS解析、關(guān)停系統(tǒng)等，針對(duì)校外頻繁攻擊校內(nèi)信息系統(tǒng)的惡意IP地址，從反向代理層或者網(wǎng)絡(luò)層進(jìn)行封鎖。從用戶安全角度，當(dāng)用戶在極短的時(shí)間內(nèi)登錄不同的信息系統(tǒng)、從不同的地址位置登錄或存在惡意攻擊校園網(wǎng)絡(luò)的行為，及時(shí)地采取短信通知、鎖定用戶賬號(hào)等措施保護(hù)用戶個(gè)人信息，保護(hù)校內(nèi)信息系統(tǒng)能夠正常地提供對(duì)外服務(wù)。從校園管理人員角度出發(fā)，可以實(shí)現(xiàn)在統(tǒng)一的管控平臺(tái)中從整體的角度把握校園網(wǎng)絡(luò)的安全態(tài)勢(shì)。各種安全設(shè)備之間可以通過調(diào)用安全中臺(tái)的API來實(shí)現(xiàn)協(xié)同保護(hù)校園網(wǎng)絡(luò)的安全，完成設(shè)備之間的信息交互及信息共享。

參考文獻(xiàn)：

[1] 李有增，周全，釗劍.關(guān)于高校智慧校園建設(shè)的若干思考[J].中國(guó)電化教育，2018（1）：112-117.

[2] 史昕.中臺(tái)技術(shù)在高校智慧校園中的應(yīng)用[J].計(jì)算機(jī)產(chǎn)品與流通，2020（3）：198.

[3] 宋健偉.企業(yè)信息化管理中臺(tái)系統(tǒng)建設(shè)研究[J].電腦知識(shí)與技術(shù)，2020，16（32）：247-248.

[4] 劉蓓，祿凱，程浩，等.基于異構(gòu)數(shù)據(jù)融合的政務(wù)網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J].信息安全研究，2020，6（6）：491-498.

[5] GitHub-alibaba/DataX[EB/OL]. [2021/3/2]. https：//github.com/alibaba/DataX.

[6] 田翠姣，蘇義武.DataX工具在新冠肺炎數(shù)據(jù)上報(bào)中的應(yīng)用[J].計(jì)算機(jī)技術(shù)與發(fā)展，2020，30（11）：216-220.

[7] 陳宇收.基于Datax的數(shù)據(jù)同步方案研究[J].電腦編程技巧與維護(hù)，2018（9）：97-98，131.

[8] 謝磊，張冰，楊猛.基于ELK的日志分析系統(tǒng)研究與實(shí)踐[J].科技經(jīng)濟(jì)市場(chǎng)，2020（10）：17-18.

[9] 張虎，張秋萍.基于KONG的API集成系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2019，29（8）：102-106.

【通聯(lián)編輯：代影】