打开文本图片集

摘要：随着网络安全等保 2.0 标准的实施，主动防御已成为校园网络防护的重要安全举措，进而也推动着智慧校园安全策略的建设。通过对态势感知技术在信息资产、业务逻辑、数据采集、架构设计以及安全预警等方面的深入研究，本文提出基于态势感知技术的智慧校园安全策略解决方案，及时捕获校园网络中的漏洞或异常事件，增强对网络攻击行为的主动防御能力，为学校提供精准的网络安全态势信息，从而提高智慧校园安全策略，实现智慧校园高质量的安全防御目标。

关键词：态势感知技术；智慧校园；安全策略

【中图分类号】G434

Abstract：With the implementation of the Cybersecurity Grade Protection 2.0 standard， proactive defense has emerged as a crucial security measure for campus network protection， further driving the development of smart campus security strategies. Through in-depth research on situation awareness technology in areas such as information assets， business logic， data collection， architectural design， and security warnings， this article proposes a smart campus security strategy solution based on situation awareness technology. This solution aims to promptly detect vulnerabilities or abnormal events within the campus network， enhance proactive defense capabilities against cyberattacks， and provide schools with accurate network security situation information. By doing so， it elevates the security strategy of smart campuses and achieves high-quality security defense objectives for smart campus environments.

Keywords：Situation Awareness Technology; Smart Campus; Security Strategy

随着教育信息化进程的推进，信息技术已深度融入在校师生的日常学习、工作和生活，为适应这一趋势，众多学校都定制了自己的智慧校园信息系统。然而，近年来网络安全事件频发，如勒索病毒、DDos、木马、恶意代码及软硬件漏洞等，使智慧校园面临着严峻的网络安全挑战。因此，通过态势感知技术对智慧校园安全策略实现动态管控，以确保智慧校园信息系统的安全稳定运行。

1 态势感知技术概述

态势感知技术在智慧校园中的应用主要涵盖数据采集、特征提取、态势评估和安全预警等四个层次，该技术通过收集和分析网络设备运行状态、网络流量、系统日志、应用程序日志等海量数据，及时预警并阻止潜在的网络攻击和病毒传播等安全威胁。它的核心目标在于实现风险的检测、分析、预测以及防御，它是确保网络安全能力实现的关键手段。当前，态势感知技术在教育信息化领域得到了广泛应用，成为保障校园网络中信息系统、应用程序及网络设备等安全防护的重要技术[1]。

2 智慧校园网络安全问题

智慧校园是以智能化的高标准来推动教育信息化建设，旨在实现物理空间和信息空间的有机衔接，它主要依赖于传感器网络、智能硬件以及部署在数据中心内的服务器等构成的智慧化系统，让任何人、任何时间、任何地点都能便捷地获取资源和服务，包括但不限于智慧教学环境、智慧教学资源、智慧校园管理和智慧校园服务。例如，人脸识别系统实现身份认证与门禁管理，确保校园内各个区域的安全控制；一卡通系统作为智慧校园的核心，实现了校内消费的便捷与安全；学生信息管理功能则整合了学生的个人档案、成绩记录和奖惩信息等，提供了全面、一站式的学生信息管理服务。目前，智慧校园安全问题主要涉及以下几个方面：

2.1 恶意攻击与黑客入侵

黑客可能利用校园网络的漏洞，发起各种形式的攻击，包括拒绝服务攻击、跨站脚本攻击等，窃取或篡改敏感数据，破坏网络设施，甚至控制关键系统。这些攻击不仅可能导致重要信息的泄露，还可能影响智慧校园的正常运行，对教学和管理工作造成严重影响。

2.2 数据泄露与隐私侵犯

校园网络中存储着大量的师生个人信息、学术成果和教学资料等敏感数据。一旦这些数据被非法获取或泄露，将对个人隐私和学校的声誉造成严重损害。同时，这些数据也可能成为黑客进行勒索或其他非法活动的目标。

2.3 病毒与恶意软件传播

智慧校园中的设备和系统可能成为计算机病毒和恶意软件的传播源，这些计算机病毒或恶意软件可能通过共享文件、电子邮件、网络下载等途径传播，破坏系统文件、窃取用户信息，甚至导致校园网络瘫痪。

2.4 网络滥用与不良信息传播

一些学生可能利用校园网络进行非法活动，如翻墙、传播色情、暴力、反动等不良信息，或进行网络赌博、诈骗等违法行为。这些行为不仅违反了法律法规，也破坏了智慧校园的健康使用环境。

2.5 网络设备与系统的脆弱性

智慧校园中使用的一些设备和系统可能存在老化、安全漏洞或配置不当等问题，使得黑客能够利用这些 Bug 进行攻击。此外，有些学校可能缺乏足够的网络安全意识和资源投入，导致智慧校园安全防护措施不到位。

3 智慧校园态势感知平台构建的解决方案

借助态势感知技术的力量，以精准满足校园网络安全防护需求为基础，构建一个集检测、预警和应急响应处置为一体的智慧校园态势感知平台是保障校园网络中信息系统、应用程序和网络设备等安全的理想策略。

3.1 平台构建目标

智慧校园态势感知平台的构建目标不仅能够有效地防止校园网络中任何形式的信息被泄露、篡改或破坏，还能确保智慧校园各信息系统、核心网络设备以及应用平台等联网信息资产的集中管理，实现快速响应各类高危攻击。

（1）信息资产识别

通过对智慧校园中各项业务系统和应用程序进行全面统计和深入分析，梳理2出物理层、逻辑层及其相关业务流程和功能，并对其中核心数据、信息系统和数字资源等重要信息资产进行甄别、初判和确认。接着，通过分析这些信息资产与其他业务系统之间的物理连接、网络通信和数据交换等关系，得以逻辑推断出智慧校园各业务系统如何访问和使用核心信息资产的具体细节。

（2）可视化安全预警

智慧校园态势感知平台通过实时检测监控校园网络中相关设备、应用平台、信息系统以及特定操作用户等关键节点，开展大数据和机器学习聚类算法分析，及时捕获异常情况并预测预警安全风险，从而有效预防安全事故。通过数据和可视化展示帮助安全技术人员发现潜在威胁并处理，如用户联网操作异常轨迹、设备和系统的故障，平台通过邮件、短信、红色图示或警报声等途径发出告警信息，提醒相关人员及时处理。平台具备大数据采集、分析和处理等方面能力，对智慧校园运行状况进行实时“体检”，预测未来趋势和变化，为学校安全技术人员制定科学的管理策略提供支持。

（3）网络安全辅助运营

智慧校园态势感知平台对校园网络中相关数据和信息进行必要的加密和备份等安全保护，确保其机密性、完整性和可用性，有效防范各种形式的攻击和破坏，实现数据和信息的有效保护；另外，对校园网中相关信息系统、核心网络设备、联网信息资产实现集中统一管理，对相关数据和信息进行深入分析，准确识别不同威胁事件之间的关联，并生成全面的安全威胁分析报告；此外，能够实时监测和分析校园网络中的安全事件和攻击行为，并及时响应、采取相应的安全措施和提供建议，帮助学校做出正确的校园网络安全决策[2]。

3.2 平台构建思路

构建智慧校园态势感知平台时，学校可推动大数据、云计算和智能化技术的深度融合，实现数据的实时采集、深入分析和挖掘，以感知智慧校园的运行状态。平台构建思路包括几个方面。

（1）梳理逻辑

摸清校园网络信息资产情况，精准把握智慧校园的网络关系和业务逻辑，从而为建立智慧校园态势感知平台提供清晰的方向，确保平台构建与实际需求相符合的最基本方法。同时，对平台构建的整体架构进行全面的分析，以明确各个组成部分之间的关系。

（2）数据采集

利用各种传感器、监控设备等，实时采集智慧校园中的各种数据，如人员流动、设备运行和环境参数等。

（3）数据处理

3利用云计算技术对收集的数据进行高效清洗、整合及挖掘，提炼核心信息。运用大数据分析方法，全面深入地对平台运行风险进行剖析，并适时采取防控措施，确保用户能够迅速发现风险、准确评估风险等级及影响范围，进而开展源头定位、分析、举证和告警等工作。

（4）态势感知

利用大数据技术和智能化技术，对处理后的数据进行深入分析，以感知智慧校园的运行状态，包括异常检测、预测性分析等，并能够实现全面化、内外联动的监控与防御，及时发现异常情况，并采取应对措施。

（5）辅助分析

通过平台可视化服务，可以直观地展示智慧校园关键信息资产所面临的安全威胁，为学校提供决策支持。例如，根据可视化成果，制定应急预案、调整和优化资源配置等措施，以确保校园信息资产安全。

3.3 平台架构设计

在构建智慧校园态势感知平台的过程中，必须全面规划整体架构与技术架构，以保障其稳定高效运行；明确多元化功能，以满足各类用户的需求；同时关注可扩展性与可维护性，确保平台长期稳定运行。

（1）平台整体架构设计

平台架构设计依据中心建设与边缘计算两大原则，实现上层、中间层和底层等多管理层次多级协同以及业务数据的全面覆盖。它通过选用统一管理模式，既能实现集中式态势感知目标，又同时支持多主体访问任务。此外，平台具备多角度、多层级和多维度的数据分析和展示功能，在此基础上实现感知数据关联，即上级监管单位与校园网络之间的数据对接与联合应用，为智慧校园网络安全远程管控提供数据支持。

（2）平台技术架构设计

平台技术架构由业务应用层、平台应用层和基础设施层三个层级构成，该架构的设计目标在于有效采集、存储、分析和应用。首先，业务应用层作为直接面向用户的部分，大数据技术在此层中得以应用，用于数据采集和处理，进而为用户提供更加个性化的服务。其次，平台应用层充当业务应用层与基础设施层之间的纽带，负责整合与协调各业务应用需求，并提供统一接口与服务，其借助云计算技术，实现了资源弹性伸缩与自动化管理。最后，基础设施层作为整个技术架构的基础，承担数据存储、计算与网络连接等关键任务，其借助人工智能技术对海量数据进行深度挖掘与分析，为业务应用层与平台应用层提供强大的数据支持。

（3）平台功能架构设计

4智慧校园态势感知平台需具备网络流量捕获、系统日志采集、威胁感知及可视化等功能模块，并可根据学校需求进行定制。网络流量捕获模块通过流量镜像技术实现数据转发，确保校园网络状态监测与数据捕获的稳定运行。系统日志采集模块采用 Agent 代理模式采集和监控校园网中的安全设备、网络设备、应用程序以及服务器主机的操作行为及报警日志等，为智慧校园的安全态势感知与安全风险分析提供数据支持。威胁感知模块基于全流量威胁特征的深度报文解析，并运用机器学习聚类算法提升漏洞检测与威胁分析的准确性及效率。可视化模块依托态势可视化，有效展示态势感知结构，提升系统实用性[3]。

4 智慧校园态势感知平台的应用策略

智慧校园态势感知平台是一个集检测、预警和响应处置为一体的网络安全分析平台，它借助云计算、大数据、人工智能等新一代信息技术和智能硬件，实现了校园网络安全策略的数字化、网络化、智能化和多媒体化等全要素，其应用策略主要如下：

4.1 信息资产管理

智慧校园态势感知平台具备资产发现、资产扫描、资产导入和资产审核等功能，可对校园网络中的各类资产及业务对象进行识别和梳理，包括但不限于受危害的资产、存在弱点的资产、遭受攻击的资产等。接着依据已开放的禁用端口、已开放的禁用协议、异常类型、匹配规则、IP 地址、MAC 地址和所属资产组等属性来配置资产异常基线，一旦检测到异常行为，立即自动开展分析，并采取有效防范和应对措施。此外，在资产数量较少或变化不大的情况下，平台支持手动添加信息资产方式；平台还可以根据资产的不同特点进行自定义分类，满足用户不同的管理需求，进而对资产业务对象进行识别和梳理，达到实时监控智慧校园安全状况，及时发现潜在风险并采取相应措施加以应对。

4.2 可视化综合展示

借助平台的大屏幕可视化功能，可以全面、直观地了解当前智慧校园的综合安全感知、服务器安全感知、终端安全感知、用户安全感知、资产感知以及威胁感知等方面情况，在 7×24 小时检测下能够迅速发现异常事件，并能第一时间通知 IT 运维技术员处理，及时消除安全风险隐患。

（1）综合安全感知

综合安全感知涵盖了综合评级、处置中心和热点时间等三个方面。综合评级围绕全网资产的安全状态进行综合分析，通过设定评分规则得出全网的安全等级，如表 1、表 2 所示；处置中心则展示待处置服务器、待处置终端、待处置物联网等信息，并联动到应急响应处置；热点事件则展示当前是否发生了飞客蠕虫、“驱动人生”木马、DDG 挖矿病毒、虚拟货币“挖矿”、勒索病毒、黑链等安5全事件。这些信息展示便于安全技术人员直观感知智慧校园安全轻重缓急。

（2）服务器安全感知

服务器安全感知是一个多维度、综合性的评估体系，它涵盖了漏洞风险、配置风险、弱密码和明文传输等多个关键指标，用于全面衡量服务器的安全性能。同时通过 IP 地址追踪、信息资产组、安全事件和风险等级等指标体系对服务器进行 TOP 排序，即按照安全性能的高低进行排序。这有助于优先处理安全风险较高的服务器，提高整体安全水平。

（3）终端安全感知

终端安全感知是指对智慧校园中计算机、手机和平板等终端设备安全状态进行实时监测和评估的过程。这包括检查终端是否受到恶意软件的感染、是否存在配置不当的安全隐患、是否使用了弱密码等。通过终端安全感知，学校可以及时发现并应对潜在的安全威胁，确保终端的安全运行。根据图 1 可以得到以下信息：

1）已失陷终端 6 个，这意味着有 6 个终端设备已经被攻击者成功入侵或控制，这些终端上可能已经被安装了恶意软件或存在其他安全隐患。学校应立即对这些已失陷的终端进行隔离、清理和修复，以防止攻击者进一步利用这些终端进行恶意活动。

2）风险终端分为高危和中危两个等级，但图 1 提供的数据中，高危和中危的终端数量均为 0 个。这表示在当前状态下，没有检测到处于高危或中危状态的终端。然而，这并不意味着可以放松警惕，因为安全威胁是动态变化的，学校应持续进行终端安全感知和风险评估[4]。

4.3 应急响应处置

利用大数据、人工智能以及云计算等技术，智慧校园态势感知平台将数据源、研判取证以及应急响应等过程深度融合，同时通过内置的安全策略构建出校园网络安全事件应急响应处置的流程或步骤，自动触发各类校园网络安全设备的应急响应动作。

（1）风险资产视角

风险资产视角是用户在智慧校园态势感知平台查看风险资产相关信息的界面，内置过滤选项或搜索条件有处置状态、风险等级、EDR 状态、时间范围、IP/IP段/主机名等字段名，用户可以使用它们来筛选想要查看的风险资产。同时智慧校园态势感知平台还预定义了全部风险资产、我的关注、服务器、终端、物联网、反复出现、今日新增、已失陷资产和核心资产等筛选条件或分类，用户可以直接点击来选择想要查看的资产类型或状态。

（2）风险用户视角

风险用户视角涉及到普通用户、严重用户、中风险用户和高风险用户等不同类型用户，以及办公网（有线需认证）、办公网（无线免认证）、宿舍网和业务区等资产组。用户可以根据需要筛选、查看不同风险等级和来源的主机信息，并执行刷新间隔、导出数据和查看详情等相应操作。

风险用户视角提供了一个全面的网络安全风险管理视图，允许用户根据不同的风险等级、用户类型和资产组来筛选和查看风险资产的信息，并采取必要的操作来降低或消除这些风险。刷新间隔功能确保用户始终获得最新的数据，而导出功能则提供了额外的灵活性和便利性。

（3）响应策略管理

响应策略管理由策略模板和策略管理两部分构成。策略模板的功能按钮有刷新、导入和导出，即允许用户从外部文件导入策略模板到系统中，同时也允许将当前策略模板列表导出为文件作为备份或在不同系统间迁移数据。

7策略模板的列表字段包括序号、模板名称、关联威胁类型、联动设备、引用动作和更新时间，当触发策略时，需要联动的安全设备或系统，如防火墙、入侵检测系统（IDS）、终端安全管理系统等；当检测到关联的威胁类型时，策略模板定义的一系列自动化执行操作，如阻断连接、隔离主机、发送警报等。策略管理的列表字段包括序号、策略名称、关联威胁类型、执行方式、设备 IP、状态和更新时间等，其中策略的执行方式，可能是自动执行、手动触发或基于特定条件的触发。策略模板和策略管理能帮助用户更有效地管理和应对网络安全威胁，通过自动化和手动操作的结合，提高组织的整体安全性和响应速度。

4.4 综合报表管理

根据智慧校园安全事件分析结果，平台可自动生成综合安全风险报告、摘要报告、主机安全风险报告、脆弱性感知报告、外部威胁感知报告和处置报告等多种详尽的综合报表，以满足管理者或运维者的不同需求。在安全事件分析、外部威胁分析、脆弱性分析、服务器威胁分析、终端威胁分析的基础上，提出网络安全加固、主机安全加固、应用安全加固以及管理加固等系列措施。综合报表管理提供了准确、及时的安全态势信息，使用户能够更好地了解和管理网络安全问题

5 结论

基于态势感知技术的智慧校园安全策略不仅能够有效提升校园网络安全管理的数字化、智能化水平，还可以进一步深化校园网安全业务协同管理与数据安全运营。同时，智慧校园态势感知平台可以提高对危险源的敏锐度，进而更准确地识别智慧校园面临的安全风险，为制定精准有效的网络安全风险防控决策提供重要依据，从而保障智慧校园的安全稳定运行。

参考文献：

[1]刘阳.基于实战化安全运营的智慧医院网络安全保护体系构建与应用[J].中国医疗设备，2023（38）：127-132.

[2]刘洋.铁路重载货车检修工控网络安全态势感知平台方案研究[J].信息安全研究，2019（8）：673-678.

[3]殷莉.基于深度神经网络的机房信息安全态势感知研究[J].计算机时代，2023（11）：112-115.

[4]杨继君.大数据智能背景下突发事件态势感知研究综述与展望[J].现代信息科技，2023（17）：21-26.

[5]丁铁.职业院校教育信息化项目管理的问题与推进策略[J].连云港职业技术学院学报，2022（01）：89-92.

作者简介：丁铁（1980—），男，湖南长沙人，高级工程师，硕士，研究方向：教育信息化、计算机科学与技术。

基金项目：2023年度中山职业技术学院科研项目“态势感知技术在校园网安全中的应用研究”（项目编号：KYB2321）。