財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)安全加固方案設(shè)計(jì)實(shí)踐

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)安全加固方案設(shè)計(jì)實(shí)踐范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

［摘要］按《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的要求，在現(xiàn)有的架構(gòu)下進(jìn)行了東北財(cái)經(jīng)大學(xué)校園網(wǎng)絡(luò)安全加固設(shè)計(jì)，提升主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)的能力。

［關(guān)鍵詞］網(wǎng)絡(luò)安全；校園網(wǎng)；防火墻

前言

東北財(cái)經(jīng)大學(xué)經(jīng)過(guò)不斷發(fā)展、完善的信息化歷程，完成校園網(wǎng)絡(luò)廣泛覆蓋和帶寬升級(jí)。同時(shí)學(xué)校數(shù)據(jù)服務(wù)區(qū)運(yùn)行著包括門(mén)戶網(wǎng)站、電子郵箱、數(shù)字校園、移動(dòng)辦公等重要業(yè)務(wù)系統(tǒng)，隨著各類應(yīng)用系統(tǒng)的不斷上線，逐步構(gòu)成了一個(gè)服務(wù)于學(xué)校師生的重要綜合性校園網(wǎng)絡(luò)平臺(tái)。但另一方面，承載學(xué)校業(yè)務(wù)流程的信息系統(tǒng)安全防護(hù)與檢測(cè)的技術(shù)手段卻仍然相對(duì)落后。在當(dāng)前復(fù)雜多變的信息安全形勢(shì)下，無(wú)論是外部黑客入侵、內(nèi)部惡意使用，還是大多數(shù)情況下內(nèi)部用戶無(wú)意造成的安全隱患，都給學(xué)校的網(wǎng)絡(luò)安全管理工作帶來(lái)較大壓力。而同時(shí)，勒索病毒爆發(fā)、信息泄露、上級(jí)部門(mén)要求、法律法規(guī)監(jiān)管等，都在無(wú)形中讓學(xué)校的信息安全管理壓力越來(lái)越大。筆者根據(jù)《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級(jí)保護(hù)2．0標(biāo)準(zhǔn)的要求，在現(xiàn)有的架構(gòu)下對(duì)東北財(cái)經(jīng)大學(xué)校園網(wǎng)絡(luò)進(jìn)行了安全加固設(shè)計(jì)，提升了校園網(wǎng)主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)的能力。

1現(xiàn)狀及問(wèn)題

在互聯(lián)網(wǎng)攻擊逐漸從網(wǎng)絡(luò)層轉(zhuǎn)移到應(yīng)用層的大背景下，學(xué)校各類業(yè)務(wù)系統(tǒng)在開(kāi)發(fā)時(shí)難免遺留一些安全漏洞，目前學(xué)校安全防護(hù)僅在校園網(wǎng)出口部署了網(wǎng)絡(luò)層面的安全網(wǎng)關(guān)設(shè)備，傳統(tǒng)網(wǎng)絡(luò)層防火墻在面對(duì)層出不窮的應(yīng)用層安全威脅日漸乏力。黑客利用各種各樣的漏洞發(fā)動(dòng)緩沖區(qū)溢出，SQL注入、XSS、CSRF等應(yīng)用層攻擊，并獲得系統(tǒng)管理員權(quán)限，從而進(jìn)行數(shù)據(jù)竊取和破壞，對(duì)學(xué)校核心業(yè)務(wù)數(shù)據(jù)的安全造成了嚴(yán)重的威脅。數(shù)據(jù)的重要性不言而喻，尤其對(duì)學(xué)校的各類學(xué)生信息、一卡通等財(cái)務(wù)數(shù)據(jù)信息更是安全防護(hù)的重中之重，如有閃失，在損害學(xué)校師生利益的同時(shí)也造成很大的不良影響和法律追責(zé)問(wèn)題。東北財(cái)經(jīng)大學(xué)出口7Gbps帶寬，由電信、聯(lián)通、移動(dòng)、教育網(wǎng)等多家運(yùn)營(yíng)商組成。隨著學(xué)校的網(wǎng)絡(luò)規(guī)模擴(kuò)大以及提速降費(fèi)的背景，互聯(lián)網(wǎng)出口將會(huì)達(dá)到15Gbps帶寬以上，原有的帶寬出口網(wǎng)關(guān)弊端顯露：具體包括網(wǎng)關(guān)性能不足，無(wú)法支持大帶寬，老舊設(shè)備無(wú)法勝任大流量的轉(zhuǎn)發(fā)工作；IPv6網(wǎng)絡(luò)不兼容，無(wú)法平滑升級(jí)，后續(xù)無(wú)法滿足國(guó)家政策進(jìn)行IPv6改造的規(guī)劃；上網(wǎng)審計(jì)和流量控制功能不完善，原有網(wǎng)關(guān)未集成上網(wǎng)行為審計(jì)功能，未能完全滿足網(wǎng)絡(luò)安全法，保障合規(guī)上網(wǎng)；不支持基于應(yīng)用的流量控制，帶寬出口的流量控制效果不佳；對(duì)上網(wǎng)行為缺乏有效管理和分析手段，針對(duì)學(xué)生上網(wǎng)行為沒(méi)有好的管理手段和分析方法。同時(shí)等級(jí)保護(hù)2．0也對(duì)云安全和虛擬化環(huán)境下的網(wǎng)絡(luò)安全問(wèn)題作了要求。東北財(cái)經(jīng)大學(xué)信息化建設(shè)起步較早，目前校內(nèi)數(shù)據(jù)中心的絕大部分已經(jīng)實(shí)現(xiàn)了虛擬化，主要業(yè)務(wù)系統(tǒng)均在虛擬機(jī)上運(yùn)行，虛擬化技術(shù)極大地提升了硬件資源的利用率和業(yè)務(wù)的高可用性，但現(xiàn)有的120余臺(tái)虛擬機(jī)的安全隔離和虛擬化環(huán)境的東西向流量控制成為安全建設(shè)的新問(wèn)題。為了響應(yīng)《網(wǎng)絡(luò)安全法》以及國(guó)家新頒發(fā)的網(wǎng)絡(luò)安全等級(jí)保護(hù)2．0的相關(guān)要求，提高東北財(cái)經(jīng)大學(xué)數(shù)據(jù)中心的整體安全防護(hù)與檢測(cè)能力，需要在以下幾個(gè)方面進(jìn)行安全建設(shè)：（1）構(gòu)建安全有效的網(wǎng)絡(luò)邊界。主要通過(guò)增加學(xué)校數(shù)據(jù)中心的邊界隔離防護(hù)、入侵防護(hù)、Web應(yīng)用防護(hù)、惡意代碼檢測(cè)、網(wǎng)頁(yè)防篡改等安全防護(hù)能力，減少威脅的攻擊面和漏洞暴露時(shí)間。（2）加強(qiáng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)識(shí)別與威脅檢測(cè)。針對(duì)突破或繞過(guò)邊界防御的威脅，需要增強(qiáng)內(nèi)網(wǎng)的持續(xù)檢測(cè)和外部的安全風(fēng)險(xiǎn)監(jiān)測(cè)能力，主要技術(shù)手段包括：網(wǎng)絡(luò)流量威脅檢測(cè)、僵尸主機(jī)檢測(cè)、安全事件感知、橫向攻擊檢測(cè)、終端檢測(cè)響應(yīng)、異常行為感知等。（3）形成全網(wǎng)流量與行為可視的能力。優(yōu)化帶寬分配，提升師生上網(wǎng)體驗(yàn)；過(guò)濾不良網(wǎng)站和違法言論，保障學(xué)生健康上網(wǎng)和安全上網(wǎng)；全面審計(jì)所有網(wǎng)絡(luò)行為，滿足《網(wǎng)絡(luò)安全法》等法律法規(guī)要求；在網(wǎng)絡(luò)行為可視可控的基礎(chǔ)之上，需要進(jìn)一步形成校園網(wǎng)絡(luò)全局態(tài)勢(shì)可視的能力。

2網(wǎng)絡(luò)安全加固技術(shù)方案

按原有拓?fù)洌瑢|北財(cái)經(jīng)大學(xué)校園網(wǎng)劃分為校園網(wǎng)出口區(qū)、核心網(wǎng)絡(luò)區(qū)域、數(shù)據(jù)業(yè)務(wù)區(qū)域、運(yùn)維管理區(qū)域、校園網(wǎng)接入?yún)^(qū)五個(gè)安全區(qū)域，并疊加云端的安全服務(wù)。各個(gè)區(qū)域通過(guò)核心網(wǎng)絡(luò)區(qū)域的匯聚交換與核心交換機(jī)相互連接；校園網(wǎng)出口區(qū)域有多條外網(wǎng)線路接入，合計(jì)帶寬7Gb，為校園網(wǎng)提供互聯(lián)網(wǎng)及教育網(wǎng)資源訪問(wèn)服務(wù)；數(shù)據(jù)業(yè)務(wù)區(qū)部署2套VMware虛擬化集群和1套超云虛擬化集群，承載了學(xué)校門(mén)戶網(wǎng)站、電子郵件、數(shù)字化校園、DNS等各類業(yè)務(wù)系統(tǒng)；運(yùn)維管理區(qū)域主要負(fù)責(zé)對(duì)整體網(wǎng)絡(luò)進(jìn)行統(tǒng)一安全管理和日志收集；校園網(wǎng)接入?yún)^(qū)教學(xué)樓、辦公樓、圖書(shū)館、宿舍樓等子網(wǎng)，存在大量PC終端供學(xué)校師生使用；另外學(xué)校的教學(xué)樓、辦公樓均已實(shí)現(xiàn)了無(wú)線網(wǎng)絡(luò)的覆蓋。在數(shù)據(jù)業(yè)務(wù)區(qū)域與核心網(wǎng)絡(luò)區(qū)域邊界部署一臺(tái)萬(wàn)兆高性能下一代防火墻，開(kāi)啟IPS、WAF、僵尸網(wǎng)絡(luò)檢測(cè)等安全防護(hù)模塊，構(gòu)建數(shù)據(jù)業(yè)務(wù)區(qū)融合安全邊界。通過(guò)部署下一代防火墻提供網(wǎng)絡(luò)層至應(yīng)用層的訪問(wèn)控制能力，能夠?qū)崿F(xiàn)基于IP地址、源／目的端口、應(yīng)用／服務(wù)、用戶、區(qū)域／地域、時(shí)間等元素進(jìn)行精細(xì)化的訪問(wèn)控制規(guī)則設(shè)置；提供專業(yè)的漏洞攻擊檢測(cè)與防護(hù)能力，支持對(duì)服務(wù)器、口令暴力破解、惡意軟件等漏洞攻擊防護(hù)，同時(shí)IPS模塊可結(jié)合最新威脅情報(bào)對(duì)高危漏洞進(jìn)行預(yù)警和自動(dòng)檢測(cè)；提供專業(yè)的Web應(yīng)用防護(hù)能力，針對(duì)SQL注入、XSS、系統(tǒng)命令注入等OWASP十大Web安全威脅進(jìn)行有效防護(hù)，同時(shí)提供網(wǎng)頁(yè)防篡改、黑鏈檢測(cè)以及惡意掃描防護(hù)能力，全面保障Web業(yè)務(wù)安全；提供內(nèi)網(wǎng)僵尸主機(jī)檢測(cè)能力，通過(guò)雙向流量檢測(cè)和熱門(mén)威脅特征庫(kù)結(jié)合，實(shí)現(xiàn)對(duì)木馬遠(yuǎn)控、惡意腳本、勒索病毒、僵尸網(wǎng)絡(luò)、挖礦病毒等威脅進(jìn)行有效識(shí)別，快速定位感染主機(jī)真實(shí)IP地址。在校園網(wǎng)出口區(qū)部署高性能上網(wǎng)行為管理，對(duì)校園網(wǎng)出口流量進(jìn)行全面管控，上網(wǎng)行為管理設(shè)備部署在核心交換機(jī)和出口路由器之間，所有流量都通過(guò)上網(wǎng)行為管理處理，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計(jì)等功能，設(shè)備提供IPv4／IPv6雙棧協(xié)議兼容，有效滿足IPv6建設(shè)趨勢(shì)下網(wǎng)絡(luò)的平滑改造。為了有效管控和審計(jì)，設(shè)備選型必須能夠全面識(shí)別各種應(yīng)用：（1）支持千萬(wàn)級(jí)URL庫(kù)、支持基于關(guān)鍵字管控、網(wǎng)頁(yè)智能分析系統(tǒng)IWAS從容應(yīng)對(duì)互聯(lián)網(wǎng)上數(shù)以萬(wàn)億的網(wǎng)頁(yè)、SSL內(nèi)容識(shí)別技術(shù)；（2）擁有強(qiáng)大的應(yīng)用識(shí)別庫(kù)；（3）識(shí)別并過(guò)濾HTTP、FTP、mail方式上傳下載的文件；（4）深度內(nèi)容檢測(cè)：IM聊天、網(wǎng)絡(luò)游戲、在線流媒體、P2P應(yīng)用、Email、常用TCP／IP協(xié)議等；（5）通過(guò)P2P智能識(shí)別技術(shù)，識(shí)別出不常見(jiàn)、未來(lái)可能出現(xiàn)的P2P行為，進(jìn)而封堵、流控和審計(jì)。通過(guò)強(qiáng)大的應(yīng)用識(shí)別技術(shù)，無(wú)論網(wǎng)頁(yè)訪問(wèn)行為、文件傳輸行為、郵件行為、應(yīng)用行為等都能有效實(shí)現(xiàn)對(duì)上網(wǎng)行為的封堵、流控、審計(jì)等管理。同時(shí)，也要提供網(wǎng)絡(luò)流量可視化方案，管理員可以查看出口流量曲線圖、當(dāng)前流量應(yīng)用、用戶流量排名、當(dāng)前網(wǎng)絡(luò)異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當(dāng)前網(wǎng)絡(luò)運(yùn)行狀況。對(duì)內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為流量進(jìn)行記錄、審計(jì)，借助圖形化報(bào)表直觀顯示統(tǒng)計(jì)結(jié)果等，幫助管理員了解流量用戶排名、應(yīng)用排名等，并自動(dòng)形成報(bào)表文檔，全面掌控用戶網(wǎng)絡(luò)行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準(zhǔn)確依據(jù)。同時(shí)支持多線路復(fù)用和智能選路功能，通過(guò)多線路復(fù)用及帶寬疊加技術(shù)，復(fù)用多條鏈路形成一條互聯(lián)網(wǎng)總出口，提升整體帶寬水平。再結(jié)合多線路智能選路專利技術(shù)，將網(wǎng)流量自動(dòng)匹配最佳出口。具備全面的合規(guī)審計(jì)及管控功能，支持對(duì)內(nèi)網(wǎng)用戶的所有上網(wǎng)行為進(jìn)行審計(jì)記錄，滿足《網(wǎng)絡(luò)安全法》的要求，能有效防范學(xué)生網(wǎng)上不良言論、訪問(wèn)非法網(wǎng)站等高風(fēng)險(xiǎn)行為，規(guī)避法律風(fēng)險(xiǎn)。在數(shù)據(jù)業(yè)務(wù)區(qū)物理服務(wù)和3個(gè)虛擬化服務(wù)器集群上每臺(tái)虛擬機(jī)安裝EDR客戶端，針對(duì)終端維度提供惡意代碼防護(hù)、安全基線核查、微隔離、攻擊檢測(cè)等安全能力，打通物理服務(wù)器、Vmware集群和超云集群，進(jìn)行統(tǒng)一的主機(jī)／虛擬機(jī)邏輯安全域劃分，同時(shí)實(shí)現(xiàn)云內(nèi)流量可視、可控，滿足等保2．0云計(jì)算擴(kuò)展項(xiàng)要求。通過(guò)部署EDR構(gòu)建立體可視的端點(diǎn)安全能力，實(shí)現(xiàn)全網(wǎng)風(fēng)險(xiǎn)可視，展示全網(wǎng)終端狀態(tài)分布，顯示當(dāng)前安全事件總覽及安全時(shí)間分布全網(wǎng)終端安全概覽，支持針對(duì)主機(jī)參照等級(jí)保護(hù)標(biāo)準(zhǔn)進(jìn)行安全基線核查，快速發(fā)現(xiàn)不合規(guī)項(xiàng)。部署于每臺(tái)VM上的端點(diǎn)agent，能夠?qū)υ苾?nèi)不同VM、不同業(yè)務(wù)系統(tǒng)之間的訪問(wèn)關(guān)系、訪問(wèn)路徑、橫向威脅進(jìn)行檢測(cè)與響應(yīng)，EDR與虛擬化底層平臺(tái)解耦合，解決多虛擬化環(huán)境下的兼容性問(wèn)題，構(gòu)建動(dòng)態(tài)安全邊界。構(gòu)建多維度漏斗型檢測(cè)框架，EDR平臺(tái)內(nèi)置文件信譽(yù)檢測(cè)引擎、基因特征檢測(cè)引擎、人工智能檢測(cè)引擎、行為分析檢測(cè)引擎、安全云檢測(cè)引擎，從多維度全面發(fā)現(xiàn)各類終端威脅。

3結(jié)語(yǔ)

通過(guò)該方案，提升了威脅防護(hù)、風(fēng)險(xiǎn)應(yīng)對(duì)能力。能夠從容應(yīng)應(yīng)對(duì)勒索病毒、0Day攻擊、APT攻擊、社會(huì)工程學(xué)、釣魚(yú)等新型威脅手段。通過(guò)全面的安全可視能力，簡(jiǎn)化運(yùn)維壓力，可以極大降低運(yùn)維的復(fù)雜度，提升安全治理水平，達(dá)到了設(shè)計(jì)要求。

參考文獻(xiàn)

［1］李鍇淞．對(duì)于校園網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)安全的探討［J］．?dāng)?shù)字通信世界息，2019（8）．

［2］李鍇淞，鄒鵬．高校校園網(wǎng)合作運(yùn)營(yíng)探索［J］．網(wǎng)絡(luò)安全和信息化，2019（9）．

［3］臧齊圣．淺談校園網(wǎng)絡(luò)安全防控［J］．計(jì)算機(jī)產(chǎn)品與流通，2019（9）．

［4］王巖紅．高校校園網(wǎng)安全現(xiàn)狀及優(yōu)化探討［J］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（8）．

［5］奚竹安．上網(wǎng)行為管理系統(tǒng)在數(shù)字校園中的運(yùn)用［J］．中國(guó)現(xiàn)代教育裝備，2015（7）．

作者：鄒鵬 李鍇淞 任永奎 劉世忠 安文 單位：東北財(cái)經(jīng)大學(xué)