財經(jīng)大學(xué)網(wǎng)絡(luò)安全加固方案設(shè)計實踐

財經(jīng)大學(xué)網(wǎng)絡(luò)平安加固方案設(shè)計理論

［摘要］按?網(wǎng)絡(luò)平安法?和網(wǎng)絡(luò)平安等級保護2.0標(biāo)準的要求，在現(xiàn)有的架構(gòu)下進展了東北財經(jīng)大學(xué)校園網(wǎng)絡(luò)平安加固設(shè)計，提升主動防御、動態(tài)防御、整體防控和精準防護的才能。

［關(guān)鍵詞］網(wǎng)絡(luò)平安；校園網(wǎng)；防火墻

前言

東北財經(jīng)大學(xué)經(jīng)過不斷開展、完善的信息化歷程，完成校園網(wǎng)絡(luò)廣泛覆蓋和帶寬晉級。同時學(xué)校數(shù)據(jù)效勞區(qū)運行著包括門戶網(wǎng)站、電子郵箱、數(shù)字校園、挪動辦公等重要業(yè)務(wù)系統(tǒng)，隨著各類應(yīng)用系統(tǒng)的不斷上線，逐步構(gòu)成了一個效勞于學(xué)校師生的重要綜合性校園網(wǎng)絡(luò)平臺。但另一方面，承載學(xué)校業(yè)務(wù)流程的信息系統(tǒng)平安防護與檢測的技術(shù)手段卻仍然相對落后。在當(dāng)前復(fù)雜多變的信息平安形勢下，無論是外部黑客入侵、內(nèi)部惡意使用，還是大多數(shù)情況下內(nèi)部用戶無意造成的平安隱患，都給學(xué)校的網(wǎng)絡(luò)平安管理工作帶來較大壓力。而同時，訛詐病毒爆發(fā)、信息泄露、上級部門要求、法律法規(guī)監(jiān)管等，都在無形中讓學(xué)校的信息平安管理壓力越來越大。筆者根據(jù)?網(wǎng)絡(luò)平安法?和網(wǎng)絡(luò)平安等級保護2．0標(biāo)準的要求，在現(xiàn)有的架構(gòu)下對東北財經(jīng)大學(xué)校園網(wǎng)絡(luò)進展了平安加固設(shè)計，提升了校園網(wǎng)主動防御、動態(tài)防御、整體防控和精準防護的才能。

1現(xiàn)狀及問題

在互聯(lián)網(wǎng)攻擊逐漸從網(wǎng)絡(luò)層轉(zhuǎn)移到應(yīng)用層的大背景下，學(xué)校各類業(yè)務(wù)系統(tǒng)在開發(fā)時難免遺留一些平安破綻，目前學(xué)校平安防護僅在校園網(wǎng)出口部署了網(wǎng)絡(luò)層面的平安網(wǎng)關(guān)設(shè)備，傳統(tǒng)網(wǎng)絡(luò)層防火墻在面對層出不窮的應(yīng)用層平安威脅日漸乏力。黑客利用各種各樣的破綻發(fā)動緩沖區(qū)溢出，SQL注入、XSS、CSRF等應(yīng)用層攻擊，并獲得系統(tǒng)管理員權(quán)限，從而進展數(shù)據(jù)竊取和破壞，對學(xué)校核心業(yè)務(wù)數(shù)據(jù)的平安造成了嚴重的威脅。數(shù)據(jù)的重要性不言而喻，尤其對學(xué)校的各類學(xué)生信息、一卡通等財務(wù)數(shù)據(jù)信息更是平安防護的重中之重，如有閃失，在損害學(xué)校師生利益的同時也造成很大的不良影響和法律追責(zé)問題。東北財經(jīng)大學(xué)出口7Gbps帶寬，由電信、聯(lián)通、挪動、教育網(wǎng)等多家運營商組成。隨著學(xué)校的網(wǎng)絡(luò)規(guī)模擴大以及提速降費的背景，互聯(lián)網(wǎng)出口將會到達15Gbps帶寬以上，原有的帶寬出口網(wǎng)關(guān)弊端顯露：詳細包括網(wǎng)關(guān)性能缺乏，無法支持大帶寬，老舊設(shè)備無法勝任大流量的轉(zhuǎn)發(fā)工作；IPv6網(wǎng)絡(luò)不兼容，無法平滑晉級，后續(xù)無法滿足國家政策進展IPv6改造的規(guī)劃；上網(wǎng)審計和流量控制功能不完善，原有網(wǎng)關(guān)未集成上網(wǎng)行為審計功能，未能完全滿足網(wǎng)絡(luò)平安法，保障合規(guī)上網(wǎng)；不支持基于應(yīng)用的流量控制，帶寬出口的流量控制效果不佳；對上網(wǎng)行為缺乏有效管理和分析手段，針對學(xué)生上網(wǎng)行為沒有好的管理手段和分析方法。同時等級保護2．0也對云平安和虛擬化環(huán)境下的網(wǎng)絡(luò)平安問題作了要求。東北財經(jīng)大學(xué)信息化建立起步較早，目前校內(nèi)數(shù)據(jù)中心的絕大部分已經(jīng)實現(xiàn)了虛擬化，主要業(yè)務(wù)系統(tǒng)均在虛擬機上運行，虛擬化技術(shù)極大地提升了硬件資源的利用率和業(yè)務(wù)的高可用性，但現(xiàn)有的120余臺虛擬機的平安隔離和虛擬化環(huán)境的東西向流量控制成為平安建立的新問題。為了響應(yīng)?網(wǎng)絡(luò)平安法?以及國家新頒發(fā)的網(wǎng)絡(luò)平安等級保護2．0的相關(guān)要求，進步東北財經(jīng)大學(xué)數(shù)據(jù)中心的整體平安防護與檢測才能，需要在以下幾個方面進展平安建立：〔1〕構(gòu)建平安有效的網(wǎng)絡(luò)邊界。主要通過增加學(xué)校數(shù)據(jù)中心的邊界隔離防護、入侵防護、Web應(yīng)用防護、惡意代碼檢測、網(wǎng)頁防篡改等平安防護才能，減少威脅的攻擊面和破綻暴露時間。〔2〕加強對網(wǎng)絡(luò)風(fēng)險識別與威脅檢測。針對打破或繞過邊界防御的威脅，需要增強內(nèi)網(wǎng)的持續(xù)檢測和外部的平安風(fēng)險監(jiān)測才能，主要技術(shù)手段包括：網(wǎng)絡(luò)流量威脅檢測、僵尸主機檢測、平安事件感知、橫向攻擊檢測、終端檢測響應(yīng)、異常行為感知等?！?〕形成全網(wǎng)流量與行為可視的才能。優(yōu)化帶寬分配，提升師生上網(wǎng)體驗；過濾不良網(wǎng)站和違法言論，保障學(xué)生安康上網(wǎng)和平安上網(wǎng)；全面審計所有網(wǎng)絡(luò)行為，滿足?網(wǎng)絡(luò)平安法?等法律法規(guī)要求；在網(wǎng)絡(luò)行為可視可控的根底之上，需要進一步形成校園網(wǎng)絡(luò)全局態(tài)勢可視的才能。

2網(wǎng)絡(luò)平安加固技術(shù)方案

按原有拓撲，將東北財經(jīng)大學(xué)校園網(wǎng)劃分為校園網(wǎng)出口區(qū)、核心網(wǎng)絡(luò)區(qū)域、數(shù)據(jù)業(yè)務(wù)區(qū)域、運維管理區(qū)域、校園網(wǎng)接入?yún)^(qū)五個平安區(qū)域，并疊加云端的平安效勞。各個區(qū)域通過核心網(wǎng)絡(luò)區(qū)域的會聚交換與核心交換機互相連接；校園網(wǎng)出口區(qū)域有多條外網(wǎng)線路接入，合計帶寬7Gb，為校園網(wǎng)提供互聯(lián)網(wǎng)及教育網(wǎng)資源訪問效勞；數(shù)據(jù)業(yè)務(wù)區(qū)部署2套VMware虛擬化集群和1套超云虛擬化集群，承載了學(xué)校門戶網(wǎng)站、電子郵件、數(shù)字化校園、DNS等各類業(yè)務(wù)系統(tǒng)；運維管理區(qū)域主要負責(zé)對整體網(wǎng)絡(luò)進展統(tǒng)一平安管理和日志搜集；校園網(wǎng)接入?yún)^(qū)教學(xué)樓、辦公樓、圖書館、宿舍樓等子網(wǎng)，存在大量PC終端供學(xué)校師生使用；另外學(xué)校的教學(xué)樓、辦公樓均已實現(xiàn)了無線網(wǎng)絡(luò)的覆蓋。在數(shù)據(jù)業(yè)務(wù)區(qū)域與核心網(wǎng)絡(luò)區(qū)域邊界部署一臺萬兆高性能下一代防火墻，開啟IPS、WAF、僵尸網(wǎng)絡(luò)檢測等平安防護模塊，構(gòu)建數(shù)據(jù)業(yè)務(wù)區(qū)交融平安邊界。通過部署下一代防火墻提供網(wǎng)絡(luò)層至應(yīng)用層的訪問控制才能，可以實現(xiàn)基于IP地址、源／目的端口、應(yīng)用／效勞、用戶、區(qū)域／地域、時間等元素進展精細化的訪問控制規(guī)那么設(shè)置；提供專業(yè)的破綻攻擊檢測與防護才能，支持對效勞器、口令暴力破解、惡意軟件等破綻攻擊防護，同時IPS模塊可結(jié)合最新威脅情報對高危破綻進展預(yù)警和自動檢測；提供專業(yè)的Web應(yīng)用防護才能，針對SQL注入、XSS、系統(tǒng)命令注入等OWASP十大Web平安威脅進展有效防護，同時提供網(wǎng)頁防篡改、黑鏈檢測以及惡意掃描防護才能，全面保障Web業(yè)務(wù)平安；提供內(nèi)網(wǎng)僵尸主機檢測才能，通過雙向流量檢測和熱門威脅特征庫結(jié)合，實現(xiàn)對木馬遠控、惡意腳本、訛詐病毒、僵尸網(wǎng)絡(luò)、挖礦病毒等威脅進展有效識別，快速定位感染主機真實IP地址。在校園網(wǎng)出口區(qū)部署高性能上網(wǎng)行為管理，對校園網(wǎng)出口流量進展全面管控，上網(wǎng)行為管理設(shè)備部署在核心交換機和出口路由器之間，所有流量都通過上網(wǎng)行為管理處理，實現(xiàn)對內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計等功能，設(shè)備提供IPv4／IPv6雙棧協(xié)議兼容，有效滿足IPv6建立趨勢下網(wǎng)絡(luò)的平滑改造。為了有效管控和審計，設(shè)備選型必須可以全面識別各種應(yīng)用：〔1〕支持千萬級URL庫、支持基于關(guān)鍵字管控、網(wǎng)頁智能分析系統(tǒng)IWAS沉著應(yīng)對互聯(lián)網(wǎng)上數(shù)以萬億的網(wǎng)頁、SSL內(nèi)容識別技術(shù)；〔2〕擁有強大的應(yīng)用識別庫；〔3〕識別并過濾HTTP、FTP、mail方式上傳下載的文件；〔4〕深度內(nèi)容檢測：IM聊天、網(wǎng)絡(luò)游戲、在線流媒體、P2P應(yīng)用、Email、常用TCP／IP協(xié)議等；〔5〕通過P2P智能識別技術(shù)，識別出不常見、將來可能出現(xiàn)的P2P行為，進而封堵、流控和審計。通過強大的應(yīng)用識別技術(shù)，無論網(wǎng)頁訪問行為、文件傳輸行為、郵件行為、應(yīng)用行為等都能有效實現(xiàn)對上網(wǎng)行為的封堵、流控、審計等管理。同時，也要提供網(wǎng)絡(luò)流量可視化方案，管理員可以查看出口流量曲線圖、當(dāng)前流量應(yīng)用、用戶流量排名、當(dāng)前網(wǎng)絡(luò)異常狀況〔包括DOS攻擊、ARP欺騙等〕等信息，直觀理解當(dāng)前網(wǎng)絡(luò)運行狀況。對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為流量進展記錄、審計，借助圖形化報表直觀顯示統(tǒng)計結(jié)果等，幫助管理員理解流量用戶排名、應(yīng)用排名等，并自動形成報表文檔，全面掌控用戶網(wǎng)絡(luò)行為分布和帶寬資源使用等情況，理解流控策略效果，為帶寬管理的決策提供準確根據(jù)。同時支持多線路復(fù)用和智能選路功能，通過多線路復(fù)用及帶寬疊加技術(shù)，復(fù)用多條鏈路形成一條互聯(lián)網(wǎng)總出口，提升整體帶寬程度。再結(jié)合多線路智能選路專利技術(shù)，將網(wǎng)流量自動匹配最正確出口。具備全面的合規(guī)審計及管控功能，支持對內(nèi)網(wǎng)用戶的所有上網(wǎng)行為進展審計記錄，滿足?網(wǎng)絡(luò)平安法?的要求，能有效防范學(xué)生網(wǎng)上不良言論、訪問非法網(wǎng)站等高風(fēng)險行為，躲避法律風(fēng)險。在數(shù)據(jù)業(yè)務(wù)區(qū)物理效勞和3個虛擬化效勞器集群上每臺虛擬機安裝EDR客戶端，針對終端維度提供惡意代碼防護、平安基線核查、微隔離、攻擊檢測等平安才能，打通物理效勞器、Vmware集群和超云集群，進展統(tǒng)一的主機／虛擬機邏輯平安域劃分，同時實現(xiàn)云內(nèi)流量可視、可控，滿足等保2．0云計算擴展項要求。通過部署EDR構(gòu)建立體可視的端點平安才能，實現(xiàn)全網(wǎng)風(fēng)險可視，展示全網(wǎng)終端狀態(tài)分布，顯示當(dāng)前平安事件總覽及平安時間分布全網(wǎng)終端平安概覽，支持針對主機參照等級保護標(biāo)準進展平安基線核查，快速發(fā)現(xiàn)不合規(guī)項。部署于每臺VM上的端點agent，可以對云內(nèi)不同VM、不同業(yè)務(wù)系統(tǒng)之間的訪問關(guān)系、訪問途徑、橫向威脅進展檢測與響應(yīng)，EDR與虛擬化底層平臺解耦合，解決多虛擬化環(huán)境下的兼容性問題，構(gòu)建動態(tài)平安邊界。構(gòu)建多維度漏斗型檢測框架，EDR平臺內(nèi)置文件信譽檢測引擎、基因特征檢測引擎、人工智能檢測引擎、行為分析檢測引擎、平安云檢測引擎，從多維度全面發(fā)現(xiàn)各類終端威脅。

3結(jié)語

通過該方案，提升了威脅防護、風(fēng)險應(yīng)對才能?？梢猿林鴳?yīng)應(yīng)對訛詐病毒、0Day攻擊、APT攻擊、社會工程學(xué)、釣魚等新型威脅手段。通過全面的平安可視才能，簡化運維壓力，可以極大降低運維的復(fù)雜度，提升平安治理程度，到達了設(shè)計要求。

參考文獻

［1］李鍇淞．對于校園網(wǎng)絡(luò)建立及網(wǎng)絡(luò)平安的討論［J］．?dāng)?shù)字通信世界息，2022〔8〕．

［2］李鍇淞，鄒