高校网络安全平台建设探讨

◆崔 锴

（南京大学信息化建设管理服务中心 江苏 210093）

教育信息化建设正经历从“数字校园”到“智慧校园”的升级，智慧校园将运用云计算、虚拟化、大数据等新技术改变学校教育管理、教师、学生、家长及社会大众间相互交互的方式，将学校的教学、科研、办公与校园资源和应用系统进行整合，实现智慧化服务和管理的校园模式。因此，无论是业务系统，还是安全管理，都面临新的挑战。此外，高校日益成为信息安全的主战场，需要积极落实安全防护措施，全面提高信息安全防护能力，创建安全健康的网络环境，保护国家利益，促进教育信息化的深入发展。

1 威胁与需求分析

南京大学业务系统在提高行政效能、提升公信力等方面发挥重要作用的同时，在建设、运维等环节存在着技术或管理上的漏洞与隐患，在日常工作中经常遇到以下问题：

（1）安全管理难实现：由于业务系统众多，二级学院开发、维护水平不一致，业务系统面临的系统架构、业务逻辑、漏洞等各种问题难以从根本上解决，而且对于僵尸网站（网站长时间无人更新，或者网站虽然正常更新却无人访问）、服务质量（网站可用性、访问速度等）等问题也难以集中管理。

（2）安全预警难实现：安全漏洞层出不穷，安全问题日新月异，很难在安全事件发生前进行及时预警。

（3）攻击行为难防护：针对DDOS、CC类型的攻击，即使及时发现，也难以靠安全设备进行防护，影响正常业务应用。

（4）攻击行为难发现：当网站被入侵后，如果不是发生如重要页面篡改等安全事件，通常很难发现挂暗链、挂马、信息窃取等入侵行为。

（5）安全事件难处理：即便在发现了攻击行为或者安全事件，问题也得不到及时有效的处理。

（6）事件处理难跟踪：安全是一个长期的过程，需要持续的跟踪。而实际情况往往是事件发生之后，需要投入大量精力去跟踪进展，不能自动化对事件的处理情况进行追踪。

通过对南京大学业务系统安全需求进行总结分析，规划建设统一的防护和监测服务，全面掌握学校业务系统整体安全态势，及时掌握相关网络安全威胁、风险和隐患，及时监测和防护漏洞、后门、网络攻击情况，及时发现网络安全案（事）件线索，掌握有关情报和情况信息，进而提升南京大学业务系统监测、防护与安全态势感知能力。

2 安全管理分析

高校一般最先采用先进网络技术，网络应用普及，用户群密集而且活跃，高校由于自身的特点也是安全问题比较突出的地方，既是大量攻击的发源地，也是攻击者最容易攻破的目标，因此，安全管理也更为复杂、困难。

随着网络、服务器、应用、安全、终端等设备的增加，传统的日志审计设备存在接入日志源单一、缺乏存储和性能的扩展能力、缺乏分析建模能力、缺少有效回溯能力、缺少整体安全态势感知能力。目前在安全管理方面有以下需求：

（1）面对网络安全的复杂性和多样性，为了能够掌握全网的安全动态，能够为网络安全态势感知预警体系提供全面、丰富的安全数据，根据安全业务场景，采集安全设备日志、流量数据、中间件、应用系统日志等。

（2）通过大数据架构、分布式部署，提供优秀的扩展性，能够对日志、流量、安全事件进行统一存储、管理和分析，通过统计分析、机器学习、人工智能、关联分析发现全网威胁动态及全网安全态势，并对威胁进行分类定级。

（3）及时发现各种安全威胁、异常行为事件，形成统一规格的安全风险报告、预警信息，为管理人员提供全局的视角，确保客户业务的不间断运营安全。

本设计以我校的网络环境和业务应用系统为基础，分析安全建设需求，结合国家等级保护建设规范、网络安全法而编制，为南京大学的信息安全合规性建设、重保期间安全防护机制建设提供参考和指导。

3 方案设计

参考《国家信息化领导小组关于加强信息安全保障工作的意见》和“安全态势可视化”的思想，本方案安全体系建设的原则如下：

加强信息安全保障工作的总体要求是：坚持主动防护、综合安全态势感知的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障业务系统的稳定运行，提高高校网络安保能力。本方案重点把握以下几方面的原则：

（1）坚持主动防护的原则

要特别重视攻击者源头分析，通过对安全事件深度溯源分析、攻击者渗透分析，预先感知高危的IP和系统的威胁风险点，将被动防御转变为主动防护。

（2）综合安全态势感知的原则

要特别重视制定好安全防范整体方案，从系统整体和全局的角度考虑；要结合实际，针对每一种安全威胁、安全风险和每一个具体环节，坚持分析过去的安全环境、当前的安全现状，综合感知未来的安全风险点。

（3）管理与技术并重的原则

在信息安全保障体系的建设中，管理是根本，技术是手段。管理以技术为基础，技术以管理做保障，本方案通过对安全态势的可视化，为安全维护人员提供高价值的辅助决策。

（4）安全与投入相平衡的原则

安保能力的提升不可避免地要占用系统资源，加大系统应用开发的成本。因此，安全系统的建设应当全面考虑不同高校现有的软硬件设施，权衡利弊，在服务、安全和成本之间找到一个最佳平衡点。一方面要认识到安全是相对的，花多大代价都不可能绝对消除系统的安全隐患，系统的安全建设需要一个不断认识、不断更新和不断完善的过程；另一方面也要明确，尽管安全是相对的，但是还是应当立足当前实际，采用最佳的技术防范策略和经济有效的防范措施，想方设法地提高系统的安全保密强度。

（5）统一规划与分步实施的原则

统一规划就是要从整体考虑、统一要求、统筹安排，强调整体性、完整性和一致性。规划的实施要根据应用实际，可以有计划地分阶段进行，也就是分步实施，在不同阶段均有里程碑式交付物。在系统建设进程中，在不断完善对系统安全认识的基础上，逐步采用先进技术与管理措施，不断强化安全保障体系。安全建设是一项长期、复杂而艰巨的任务，而且安全本身也是一个不断变化的过程，在安全建设中没有一劳永逸。因此需要在统一规划的基础上，采取分阶段实施的方式来逐步建设安全体系，并且建立威胁情报，以便及时了解最新的国内外安全威胁事件。

4 平台架构与部署

4.1 平台架构

平台主要由数据源、大数据分析层、功能呈现层以及整个平台对外接口共四部分组成，如图1。

图1 平台架构

4.2 平台资源需求和部署

智能安全平台采用模块化思想设计，支持分析功能和模型的模块化扩展，考虑平台的扩展和安全业务增加的需求，系统采用开源的组件规划，支持硬件的动态扩展。

基于实时流数据为用户提供安全分析能力和风险告警及多维度可视化展示。该平台具有实时流数据分析系统、交互式在线分析系统、超大规模存储查询控制系统、用户行为分析（UEBA）系统、深度感知智能引擎、大数据可视化引擎，提供大规模数据存储、高压缩比及快速检索能力、追溯取证能力以满足高校合规要求。智能分析与防护设备形成安全联动能力。提供深度机器学习技术提高数据挖掘能力，为高校安全提供决策依据、提高高校信息安全的纵深防御能力。

平台部署示意图如图2所示。

图2 部署示意图

（1）部署1台DPI（全流量审计引擎）设备，通过核心交换机流量镜像用于全流量数据的采集和深度分析。

（2）预留1台APT（沙箱分析引擎）设备，通过核心交换机流量镜像对流量文件进行分析。

（3）部署1台SOC（日志采集引擎）设备，用于日志数据采集。

（4）部署1台大数据平台，用于数据集中存储、分析、展示。

（5）将DPI、SOC、APT采集后的数据汇聚至大数据平台，支撑数据挖掘和分析应用。

5 结束语

通过部署安全平台应对安全事件进行监控、分析、溯源、处置、报告，使安全管理形成一个完整的闭环。一键式分析报告的导出，能够轻松实现智能化安全运维管理。全局、智能、融合的大数据分析，提高安全事件调查效率，真正实现“one solution to rule them all”。

“永恒之蓝”勒索病毒事件再次证明，没有攻不破的网络，甚至隔离网络也不能成为避风港。这次事件也证明，安全应急响应的速度和质量，对保障网络安全至关重要。通过建设协同联动的应急响应技术手段充分利用大数据智能安全系统：终端、网络、服务器，组成联动的防护体系，为响应赢得宝贵时间。