財經(jīng)大學網(wǎng)絡安全加固方案設計實踐

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了財經(jīng)大學網(wǎng)絡安全加固方案設計實踐范文，希望能給你帶來靈感和參考，敬請閱讀。

［摘要］按《網(wǎng)絡安全法》和網(wǎng)絡安全等級保護2.0標準的要求，在現(xiàn)有的架構(gòu)下進行了東北財經(jīng)大學校園網(wǎng)絡安全加固設計，提升主動防御、動態(tài)防御、整體防控和精準防護的能力。

［關(guān)鍵詞］網(wǎng)絡安全；校園網(wǎng)；防火墻

前言

東北財經(jīng)大學經(jīng)過不斷發(fā)展、完善的信息化歷程，完成校園網(wǎng)絡廣泛覆蓋和帶寬升級。同時學校數(shù)據(jù)服務區(qū)運行著包括門戶網(wǎng)站、電子郵箱、數(shù)字校園、移動辦公等重要業(yè)務系統(tǒng)，隨著各類應用系統(tǒng)的不斷上線，逐步構(gòu)成了一個服務于學校師生的重要綜合性校園網(wǎng)絡平臺。但另一方面，承載學校業(yè)務流程的信息系統(tǒng)安全防護與檢測的技術(shù)手段卻仍然相對落后。在當前復雜多變的信息安全形勢下，無論是外部黑客入侵、內(nèi)部惡意使用，還是大多數(shù)情況下內(nèi)部用戶無意造成的安全隱患，都給學校的網(wǎng)絡安全管理工作帶來較大壓力。而同時，勒索病毒爆發(fā)、信息泄露、上級部門要求、法律法規(guī)監(jiān)管等，都在無形中讓學校的信息安全管理壓力越來越大。筆者根據(jù)《網(wǎng)絡安全法》和網(wǎng)絡安全等級保護2．0標準的要求，在現(xiàn)有的架構(gòu)下對東北財經(jīng)大學校園網(wǎng)絡進行了安全加固設計，提升了校園網(wǎng)主動防御、動態(tài)防御、整體防控和精準防護的能力。

1現(xiàn)狀及問題

在互聯(lián)網(wǎng)攻擊逐漸從網(wǎng)絡層轉(zhuǎn)移到應用層的大背景下，學校各類業(yè)務系統(tǒng)在開發(fā)時難免遺留一些安全漏洞，目前學校安全防護僅在校園網(wǎng)出口部署了網(wǎng)絡層面的安全網(wǎng)關(guān)設備，傳統(tǒng)網(wǎng)絡層防火墻在面對層出不窮的應用層安全威脅日漸乏力。黑客利用各種各樣的漏洞發(fā)動緩沖區(qū)溢出，SQL注入、XSS、CSRF等應用層攻擊，并獲得系統(tǒng)管理員權(quán)限，從而進行數(shù)據(jù)竊取和破壞，對學校核心業(yè)務數(shù)據(jù)的安全造成了嚴重的威脅。數(shù)據(jù)的重要性不言而喻，尤其對學校的各類學生信息、一卡通等財務數(shù)據(jù)信息更是安全防護的重中之重，如有閃失，在損害學校師生利益的同時也造成很大的不良影響和法律追責問題。東北財經(jīng)大學出口7Gbps帶寬，由電信、聯(lián)通、移動、教育網(wǎng)等多家運營商組成。隨著學校的網(wǎng)絡規(guī)模擴大以及提速降費的背景，互聯(lián)網(wǎng)出口將會達到15Gbps帶寬以上，原有的帶寬出口網(wǎng)關(guān)弊端顯露：具體包括網(wǎng)關(guān)性能不足，無法支持大帶寬，老舊設備無法勝任大流量的轉(zhuǎn)發(fā)工作；IPv6網(wǎng)絡不兼容，無法平滑升級，后續(xù)無法滿足國家政策進行IPv6改造的規(guī)劃；上網(wǎng)審計和流量控制功能不完善，原有網(wǎng)關(guān)未集成上網(wǎng)行為審計功能，未能完全滿足網(wǎng)絡安全法，保障合規(guī)上網(wǎng)；不支持基于應用的流量控制，帶寬出口的流量控制效果不佳；對上網(wǎng)行為缺乏有效管理和分析手段，針對學生上網(wǎng)行為沒有好的管理手段和分析方法。同時等級保護2．0也對云安全和虛擬化環(huán)境下的網(wǎng)絡安全問題作了要求。東北財經(jīng)大學信息化建設起步較早，目前校內(nèi)數(shù)據(jù)中心的絕大部分已經(jīng)實現(xiàn)了虛擬化，主要業(yè)務系統(tǒng)均在虛擬機上運行，虛擬化技術(shù)極大地提升了硬件資源的利用率和業(yè)務的高可用性，但現(xiàn)有的120余臺虛擬機的安全隔離和虛擬化環(huán)境的東西向流量控制成為安全建設的新問題。為了響應《網(wǎng)絡安全法》以及國家新頒發(fā)的網(wǎng)絡安全等級保護2．0的相關(guān)要求，提高東北財經(jīng)大學數(shù)據(jù)中心的整體安全防護與檢測能力，需要在以下幾個方面進行安全建設：（1）構(gòu)建安全有效的網(wǎng)絡邊界。主要通過增加學校數(shù)據(jù)中心的邊界隔離防護、入侵防護、Web應用防護、惡意代碼檢測、網(wǎng)頁防篡改等安全防護能力，減少威脅的攻擊面和漏洞暴露時間。（2）加強對網(wǎng)絡風險識別與威脅檢測。針對突破或繞過邊界防御的威脅，需要增強內(nèi)網(wǎng)的持續(xù)檢測和外部的安全風險監(jiān)測能力，主要技術(shù)手段包括：網(wǎng)絡流量威脅檢測、僵尸主機檢測、安全事件感知、橫向攻擊檢測、終端檢測響應、異常行為感知等。（3）形成全網(wǎng)流量與行為可視的能力。優(yōu)化帶寬分配，提升師生上網(wǎng)體驗；過濾不良網(wǎng)站和違法言論，保障學生健康上網(wǎng)和安全上網(wǎng)；全面審計所有網(wǎng)絡行為，滿足《網(wǎng)絡安全法》等法律法規(guī)要求；在網(wǎng)絡行為可視可控的基礎之上，需要進一步形成校園網(wǎng)絡全局態(tài)勢可視的能力。

2網(wǎng)絡安全加固技術(shù)方案

按原有拓撲，將東北財經(jīng)大學校園網(wǎng)劃分為校園網(wǎng)出口區(qū)、核心網(wǎng)絡區(qū)域、數(shù)據(jù)業(yè)務區(qū)域、運維管理區(qū)域、校園網(wǎng)接入?yún)^(qū)五個安全區(qū)域，并疊加云端的安全服務。各個區(qū)域通過核心網(wǎng)絡區(qū)域的匯聚交換與核心交換機相互連接；校園網(wǎng)出口區(qū)域有多條外網(wǎng)線路接入，合計帶寬7Gb，為校園網(wǎng)提供互聯(lián)網(wǎng)及教育網(wǎng)資源訪問服務；數(shù)據(jù)業(yè)務區(qū)部署2套VMware虛擬化集群和1套超云虛擬化集群，承載了學校門戶網(wǎng)站、電子郵件、數(shù)字化校園、DNS等各類業(yè)務系統(tǒng)；運維管理區(qū)域主要負責對整體網(wǎng)絡進行統(tǒng)一安全管理和日志收集；校園網(wǎng)接入?yún)^(qū)教學樓、辦公樓、圖書館、宿舍樓等子網(wǎng)，存在大量PC終端供學校師生使用；另外學校的教學樓、辦公樓均已實現(xiàn)了無線網(wǎng)絡的覆蓋。在數(shù)據(jù)業(yè)務區(qū)域與核心網(wǎng)絡區(qū)域邊界部署一臺萬兆高性能下一代防火墻，開啟IPS、WAF、僵尸網(wǎng)絡檢測等安全防護模塊，構(gòu)建數(shù)據(jù)業(yè)務區(qū)融合安全邊界。通過部署下一代防火墻提供網(wǎng)絡層至應用層的訪問控制能力，能夠?qū)崿F(xiàn)基于IP地址、源／目的端口、應用／服務、用戶、區(qū)域／地域、時間等元素進行精細化的訪問控制規(guī)則設置；提供專業(yè)的漏洞攻擊檢測與防護能力，支持對服務器、口令暴力破解、惡意軟件等漏洞攻擊防護，同時IPS模塊可結(jié)合最新威脅情報對高危漏洞進行預警和自動檢測；提供專業(yè)的Web應用防護能力，針對SQL注入、XSS、系統(tǒng)命令注入等OWASP十大Web安全威脅進行有效防護，同時提供網(wǎng)頁防篡改、黑鏈檢測以及惡意掃描防護能力，全面保障Web業(yè)務安全；提供內(nèi)網(wǎng)僵尸主機檢測能力，通過雙向流量檢測和熱門威脅特征庫結(jié)合，實現(xiàn)對木馬遠控、惡意腳本、勒索病毒、僵尸網(wǎng)絡、挖礦病毒等威脅進行有效識別，快速定位感染主機真實IP地址。在校園網(wǎng)出口區(qū)部署高性能上網(wǎng)行為管理，對校園網(wǎng)出口流量進行全面管控，上網(wǎng)行為管理設備部署在核心交換機和出口路由器之間，所有流量都通過上網(wǎng)行為管理處理，實現(xiàn)對內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計等功能，設備提供IPv4／IPv6雙棧協(xié)議兼容，有效滿足IPv6建設趨勢下網(wǎng)絡的平滑改造。為了有效管控和審計，設備選型必須能夠全面識別各種應用：（1）支持千萬級URL庫、支持基于關(guān)鍵字管控、網(wǎng)頁智能分析系統(tǒng)IWAS從容應對互聯(lián)網(wǎng)上數(shù)以萬億的網(wǎng)頁、SSL內(nèi)容識別技術(shù)；（2）擁有強大的應用識別庫；（3）識別并過濾HTTP、FTP、mail方式上傳下載的文件；（4）深度內(nèi)容檢測：IM聊天、網(wǎng)絡游戲、在線流媒體、P2P應用、Email、常用TCP／IP協(xié)議等；（5）通過P2P智能識別技術(shù)，識別出不常見、未來可能出現(xiàn)的P2P行為，進而封堵、流控和審計。通過強大的應用識別技術(shù)，無論網(wǎng)頁訪問行為、文件傳輸行為、郵件行為、應用行為等都能有效實現(xiàn)對上網(wǎng)行為的封堵、流控、審計等管理。同時，也要提供網(wǎng)絡流量可視化方案，管理員可以查看出口流量曲線圖、當前流量應用、用戶流量排名、當前網(wǎng)絡異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當前網(wǎng)絡運行狀況。對內(nèi)網(wǎng)用戶的各種網(wǎng)絡行為流量進行記錄、審計，借助圖形化報表直觀顯示統(tǒng)計結(jié)果等，幫助管理員了解流量用戶排名、應用排名等，并自動形成報表文檔，全面掌控用戶網(wǎng)絡行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準確依據(jù)。同時支持多線路復用和智能選路功能，通過多線路復用及帶寬疊加技術(shù)，復用多條鏈路形成一條互聯(lián)網(wǎng)總出口，提升整體帶寬水平。再結(jié)合多線路智能選路專利技術(shù)，將網(wǎng)流量自動匹配最佳出口。具備全面的合規(guī)審計及管控功能，支持對內(nèi)網(wǎng)用戶的所有上網(wǎng)行為進行審計記錄，滿足《網(wǎng)絡安全法》的要求，能有效防范學生網(wǎng)上不良言論、訪問非法網(wǎng)站等高風險行為，規(guī)避法律風險。在數(shù)據(jù)業(yè)務區(qū)物理服務和3個虛擬化服務器集群上每臺虛擬機安裝EDR客戶端，針對終端維度提供惡意代碼防護、安全基線核查、微隔離、攻擊檢測等安全能力，打通物理服務器、Vmware集群和超云集群，進行統(tǒng)一的主機／虛擬機邏輯安全域劃分，同時實現(xiàn)云內(nèi)流量可視、可控，滿足等保2．0云計算擴展項要求。通過部署EDR構(gòu)建立體可視的端點安全能力，實現(xiàn)全網(wǎng)風險可視，展示全網(wǎng)終端狀態(tài)分布，顯示當前安全事件總覽及安全時間分布全網(wǎng)終端安全概覽，支持針對主機參照等級保護標準進行安全基線核查，快速發(fā)現(xiàn)不合規(guī)項。部署于每臺VM上的端點agent，能夠?qū)υ苾?nèi)不同VM、不同業(yè)務系統(tǒng)之間的訪問關(guān)系、訪問路徑、橫向威脅進行檢測與響應，EDR與虛擬化底層平臺解耦合，解決多虛擬化環(huán)境下的兼容性問題，構(gòu)建動態(tài)安全邊界。構(gòu)建多維度漏斗型檢測框架，EDR平臺內(nèi)置文件信譽檢測引擎、基因特征檢測引擎、人工智能檢測引擎、行為分析檢測引擎、安全云檢測引擎，從多維度全面發(fā)現(xiàn)各類終端威脅。

3結(jié)語

通過該方案，提升了威脅防護、風險應對能力。能夠從容應應對勒索病毒、0Day攻擊、APT攻擊、社會工程學、釣魚等新型威脅手段。通過全面的安全可視能力，簡化運維壓力，可以極大降低運維的復雜度，提升安全治理水平，達到了設計要求。

參考文獻

［1］李鍇淞．對于校園網(wǎng)絡建設及網(wǎng)絡安全的探討［J］．數(shù)字通信世界息，2019（8）．

［2］李鍇淞，鄒鵬．高校校園網(wǎng)合作運營探索［J］．網(wǎng)絡安全和信息化，2019（9）．

［3］臧齊圣．淺談校園網(wǎng)絡安全防控［J］．計算機產(chǎn)品與流通，2019（9）．

［4］王巖紅．高校校園網(wǎng)安全現(xiàn)狀及優(yōu)化探討［J］．網(wǎng)絡安全技術(shù)與應用，2019（8）．

［5］奚竹安．上網(wǎng)行為管理系統(tǒng)在數(shù)字校園中的運用［J］．中國現(xiàn)代教育裝備，2015（7）．

作者：鄒鵬 李鍇淞 任永奎 劉世忠 安文 單位：東北財經(jīng)大學