高校網絡安全平臺建設探討

◆崔 鍇

（南京大學信息化建設管理服務中心 江蘇 210093）

教育信息化建設正經歷從“數字校園”到“智慧校園”的升級，智慧校園將運用云計算、虛擬化、大數據等新技術改變學校教育管理、教師、學生、家長及社會大眾間相互交互的方式，將學校的教學、科研、辦公與校園資源和應用系統進行整合，實現智慧化服務和管理的校園模式。因此，無論是業務系統，還是安全管理，都面臨新的挑戰。此外，高校日益成為信息安全的主戰場，需要積極落實安全防護措施，全面提高信息安全防護能力，創建安全健康的網絡環境，保護國家利益，促進教育信息化的深入發展。

1 威脅與需求分析

南京大學業務系統在提高行政效能、提升公信力等方面發揮重要作用的同時，在建設、運維等環節存在著技術或管理上的漏洞與隱患，在日常工作中經常遇到以下問題：

（1）安全管理難實現：由于業務系統眾多，二級學院開發、維護水平不一致，業務系統面臨的系統架構、業務邏輯、漏洞等各種問題難以從根本上解決，而且對于僵尸網站（網站長時間無人更新，或者網站雖然正常更新卻無人訪問）、服務質量（網站可用性、訪問速度等）等問題也難以集中管理。

（2）安全預警難實現：安全漏洞層出不窮，安全問題日新月異，很難在安全事件發生前進行及時預警。

（3）攻擊行為難防護：針對DDOS、CC類型的攻擊，即使及時發現，也難以靠安全設備進行防護，影響正常業務應用。

（4）攻擊行為難發現：當網站被入侵后，如果不是發生如重要頁面篡改等安全事件，通常很難發現掛暗鏈、掛馬、信息竊取等入侵行為。

（5）安全事件難處理：即便在發現了攻擊行為或者安全事件，問題也得不到及時有效的處理。

（6）事件處理難跟蹤：安全是一個長期的過程，需要持續的跟蹤。而實際情況往往是事件發生之后，需要投入大量精力去跟蹤進展，不能自動化對事件的處理情況進行追蹤。

通過對南京大學業務系統安全需求進行總結分析，規劃建設統一的防護和監測服務，全面掌握學校業務系統整體安全態勢，及時掌握相關網絡安全威脅、風險和隱患，及時監測和防護漏洞、后門、網絡攻擊情況，及時發現網絡安全案（事）件線索，掌握有關情報和情況信息，進而提升南京大學業務系統監測、防護與安全態勢感知能力。

2 安全管理分析

高校一般最先采用先進網絡技術，網絡應用普及，用戶群密集而且活躍，高校由于自身的特點也是安全問題比較突出的地方，既是大量攻擊的發源地，也是攻擊者最容易攻破的目標，因此，安全管理也更為復雜、困難。

隨著網絡、服務器、應用、安全、終端等設備的增加，傳統的日志審計設備存在接入日志源單一、缺乏存儲和性能的擴展能力、缺乏分析建模能力、缺少有效回溯能力、缺少整體安全態勢感知能力。目前在安全管理方面有以下需求：

（1）面對網絡安全的復雜性和多樣性，為了能夠掌握全網的安全動態，能夠為網絡安全態勢感知預警體系提供全面、豐富的安全數據，根據安全業務場景，采集安全設備日志、流量數據、中間件、應用系統日志等。

（2）通過大數據架構、分布式部署，提供優秀的擴展性，能夠對日志、流量、安全事件進行統一存儲、管理和分析，通過統計分析、機器學習、人工智能、關聯分析發現全網威脅動態及全網安全態勢，并對威脅進行分類定級。

（3）及時發現各種安全威脅、異常行為事件，形成統一規格的安全風險報告、預警信息，為管理人員提供全局的視角，確保客戶業務的不間斷運營安全。

本設計以我校的網絡環境和業務應用系統為基礎，分析安全建設需求，結合國家等級保護建設規范、網絡安全法而編制，為南京大學的信息安全合規性建設、重保期間安全防護機制建設提供參考和指導。

3 方案設計

參考《國家信息化領導小組關于加強信息安全保障工作的意見》和“安全態勢可視化”的思想，本方案安全體系建設的原則如下：

加強信息安全保障工作的總體要求是：堅持主動防護、綜合安全態勢感知的方針，全面提高信息安全防護能力，重點保障基礎信息網絡和重要信息系統安全，創建安全健康的網絡環境，保障業務系統的穩定運行，提高高校網絡安保能力。本方案重點把握以下幾方面的原則：

（1）堅持主動防護的原則

要特別重視攻擊者源頭分析，通過對安全事件深度溯源分析、攻擊者滲透分析，預先感知高危的IP和系統的威脅風險點，將被動防御轉變為主動防護。

（2）綜合安全態勢感知的原則

要特別重視制定好安全防范整體方案，從系統整體和全局的角度考慮；要結合實際，針對每一種安全威脅、安全風險和每一個具體環節，堅持分析過去的安全環境、當前的安全現狀，綜合感知未來的安全風險點。

（3）管理與技術并重的原則

在信息安全保障體系的建設中，管理是根本，技術是手段。管理以技術為基礎，技術以管理做保障，本方案通過對安全態勢的可視化，為安全維護人員提供高價值的輔助決策。

（4）安全與投入相平衡的原則

安保能力的提升不可避免地要占用系統資源，加大系統應用開發的成本。因此，安全系統的建設應當全面考慮不同高?，F有的軟硬件設施，權衡利弊，在服務、安全和成本之間找到一個最佳平衡點。一方面要認識到安全是相對的，花多大代價都不可能絕對消除系統的安全隱患，系統的安全建設需要一個不斷認識、不斷更新和不斷完善的過程；另一方面也要明確，盡管安全是相對的，但是還是應當立足當前實際，采用最佳的技術防范策略和經濟有效的防范措施，想方設法地提高系統的安全保密強度。

（5）統一規劃與分步實施的原則

統一規劃就是要從整體考慮、統一要求、統籌安排，強調整體性、完整性和一致性。規劃的實施要根據應用實際，可以有計劃地分階段進行，也就是分步實施，在不同階段均有里程碑式交付物。在系統建設進程中，在不斷完善對系統安全認識的基礎上，逐步采用先進技術與管理措施，不斷強化安全保障體系。安全建設是一項長期、復雜而艱巨的任務，而且安全本身也是一個不斷變化的過程，在安全建設中沒有一勞永逸。因此需要在統一規劃的基礎上，采取分階段實施的方式來逐步建設安全體系，并且建立威脅情報，以便及時了解最新的國內外安全威脅事件。

4 平臺架構與部署

4.1 平臺架構

平臺主要由數據源、大數據分析層、功能呈現層以及整個平臺對外接口共四部分組成，如圖1。

圖1 平臺架構

4.2 平臺資源需求和部署

智能安全平臺采用模塊化思想設計，支持分析功能和模型的模塊化擴展，考慮平臺的擴展和安全業務增加的需求，系統采用開源的組件規劃，支持硬件的動態擴展。

基于實時流數據為用戶提供安全分析能力和風險告警及多維度可視化展示。該平臺具有實時流數據分析系統、交互式在線分析系統、超大規模存儲查詢控制系統、用戶行為分析（UEBA）系統、深度感知智能引擎、大數據可視化引擎，提供大規模數據存儲、高壓縮比及快速檢索能力、追溯取證能力以滿足高校合規要求。智能分析與防護設備形成安全聯動能力。提供深度機器學習技術提高數據挖掘能力，為高校安全提供決策依據、提高高校信息安全的縱深防御能力。

平臺部署示意圖如圖2所示。

圖2 部署示意圖

（1）部署1臺DPI（全流量審計引擎）設備，通過核心交換機流量鏡像用于全流量數據的采集和深度分析。

（2）預留1臺APT（沙箱分析引擎）設備，通過核心交換機流量鏡像對流量文件進行分析。

（3）部署1臺SOC（日志采集引擎）設備，用于日志數據采集。

（4）部署1臺大數據平臺，用于數據集中存儲、分析、展示。

（5）將DPI、SOC、APT采集后的數據匯聚至大數據平臺，支撐數據挖掘和分析應用。

5 結束語

通過部署安全平臺應對安全事件進行監控、分析、溯源、處置、報告，使安全管理形成一個完整的閉環。一鍵式分析報告的導出，能夠輕松實現智能化安全運維管理。全局、智能、融合的大數據分析，提高安全事件調查效率，真正實現“one solution to rule them all”。

“永恒之藍”勒索病毒事件再次證明，沒有攻不破的網絡，甚至隔離網絡也不能成為避風港。這次事件也證明，安全應急響應的速度和質量，對保障網絡安全至關重要。通過建設協同聯動的應急響應技術手段充分利用大數據智能安全系統：終端、網絡、服務器，組成聯動的防護體系，為響應贏得寶貴時間。