張建嬌

（南京鐵道職業(yè)技術(shù)學(xué)院 江蘇省南京市 210031）

1 引言

校園網(wǎng)已經(jīng)成為全校師生必不可少的教學(xué)與科研的工具。信息系統(tǒng)在校園內(nèi)應(yīng)用的規(guī)模和復(fù)雜性的增加，我們所面臨的網(wǎng)絡(luò)安全形勢(shì)也越來(lái)越嚴(yán)峻。2020年，卡巴斯基監(jiān)測(cè)到全球惡意文件數(shù)量增長(zhǎng)5%；世界各地大量社交資料遭泄露?？ò退够娜蜻b測(cè)系統(tǒng)在過(guò)去的一年中平均每天發(fā)現(xiàn)36 萬(wàn)個(gè)新的惡意文件，比2019年同期增長(zhǎng)5.2%。與往年相比，檢測(cè)到的木馬的百分比增加了40.5%，后門以及蠕蟲(chóng)的數(shù)量也顯著增加了。除此之外，根據(jù)Deep Instinct發(fā)布的最新研究報(bào)告，2020年惡意軟件總體增加了358%，勒索軟件則增加了435%。

2 高校網(wǎng)絡(luò)安全現(xiàn)狀及問(wèn)題分析

2.1 計(jì)算機(jī)操作系統(tǒng)安全問(wèn)題

高校網(wǎng)絡(luò)用戶數(shù)量巨大，師生缺乏專業(yè)的網(wǎng)絡(luò)安全技術(shù)知識(shí)，如果沒(méi)有及時(shí)更新操作系統(tǒng)漏洞，這些系統(tǒng)漏洞會(huì)被不法分子以及黑客利用，并對(duì)校園網(wǎng)絡(luò)進(jìn)行攻擊，使得校園網(wǎng)絡(luò)出現(xiàn)癱瘓甚至是崩潰的狀態(tài)，嚴(yán)重的話可能會(huì)造成用戶信息泄露。

2.2 勒索挖礦病毒攻擊事件加劇

2.3 學(xué)校網(wǎng)站及應(yīng)用系統(tǒng)被攻擊

隨著智慧校園建設(shè)的不斷發(fā)展，高校網(wǎng)站和應(yīng)用系統(tǒng)越來(lái)越多，師生的教學(xué)、科研，生活都和這些應(yīng)用密不可分。學(xué)校門戶網(wǎng)站是學(xué)校是對(duì)外宣傳學(xué)校形象、發(fā)布學(xué)校各類信息的重要窗口，在學(xué)校的日常辦公中承擔(dān)重要角色；各類應(yīng)用系統(tǒng)貫穿著教師和學(xué)生工作、學(xué)習(xí)、生活的方方面面，所有學(xué)校都秉持著讓信息多跑路，讓師生少跑路的信息化建設(shè)目標(biāo)。所以一旦學(xué)校門戶網(wǎng)站和應(yīng)用系統(tǒng)被不法分子或其它惡意攻擊者入侵，不但會(huì)對(duì)學(xué)校的日常工作造成很大影響，還會(huì)使學(xué)校的公信力受損，更嚴(yán)重會(huì)影響社會(huì)秩序，引發(fā)社會(huì)性安全事件。

2.4 APT攻擊行為高速增長(zhǎng)

2020年全球?qū)I(yè)網(wǎng)絡(luò)安全機(jī)構(gòu)發(fā)布了各類高級(jí)威脅研究報(bào)告，APT 攻擊同比增長(zhǎng)了約3.6 倍。從國(guó)內(nèi)受害者的性質(zhì)來(lái)看，政府、央企國(guó)企、科研單位和高校依然是APT 攻擊的重災(zāi)區(qū)，尤其是涉及對(duì)外進(jìn)出口、國(guó)防軍工、外交等重點(diǎn)單位，從行業(yè)分布上看，受攻擊最多的是政府，其次是金融行業(yè)、軍工行業(yè)、科研單位、高校。

3 校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)建設(shè)方案

隨著學(xué)校智慧校園建設(shè)的推進(jìn)，各種信息系統(tǒng)如網(wǎng)站群平臺(tái)、信息綜合門戶、圖書檢索系統(tǒng)、財(cái)務(wù)系統(tǒng)、教務(wù)系統(tǒng)、科研系統(tǒng)、教學(xué)系統(tǒng)、一卡通、后勤保障系統(tǒng)的廣泛使用，安全問(wèn)題面臨巨大挑戰(zhàn)。經(jīng)過(guò)多年的網(wǎng)絡(luò)安全建設(shè)，防病毒軟件、安全網(wǎng)關(guān)、上網(wǎng)行為審計(jì)系統(tǒng)、WAF 等安全設(shè)備的部署已經(jīng)使校園網(wǎng)具備基本的安全防護(hù)能力，但面對(duì)愈來(lái)愈嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，無(wú)法將目前信息系統(tǒng)中各類數(shù)據(jù)孤立分析的形態(tài)轉(zhuǎn)變?yōu)橹悄艿年P(guān)聯(lián)分析。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知[2]技術(shù)可以很好的實(shí)現(xiàn)從被動(dòng)防護(hù)轉(zhuǎn)為主動(dòng)發(fā)現(xiàn)安全事件。

3.1 建設(shè)目標(biāo)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)的目標(biāo)是使高校網(wǎng)絡(luò)安全做到“規(guī)范、可視、可管、可控”。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知主要分為要素提取、 態(tài)勢(shì)理解、態(tài)勢(shì)預(yù)測(cè)三個(gè)層面[3]。針對(duì)校內(nèi)網(wǎng)絡(luò)安全問(wèn)題監(jiān)控預(yù)警、日常信息管理檢查階段佐證、做到事前安全預(yù)防，防患于未然，提升高校安全水準(zhǔn)；通過(guò)關(guān)聯(lián)分析告警、日志分析、特征檢測(cè)、流量分析等，全面覆蓋，統(tǒng)一運(yùn)維檢測(cè)，實(shí)現(xiàn)事中安全監(jiān)測(cè)和威脅檢測(cè)；通過(guò)威脅阻斷、事件溯源等及時(shí)應(yīng)對(duì)安全風(fēng)險(xiǎn)與威脅，實(shí)現(xiàn)事后閉環(huán)響應(yīng)處置。

3.2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)邏輯結(jié)構(gòu)

基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知與管控平臺(tái)，針對(duì)各類結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)進(jìn)行實(shí)時(shí)采集，包括各類設(shè)備、應(yīng)用日志以及網(wǎng)絡(luò)流量和各種脆弱性。具有完全分布式的數(shù)據(jù)采集和分析框架，包含了數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、數(shù)據(jù)分析、高級(jí)分析、數(shù)據(jù)可視以及安全處理和響應(yīng)、安全知識(shí)庫(kù)（含漏洞庫(kù)、安全事件庫(kù)、安全配置庫(kù)、日志配置庫(kù)等），如圖1 所示。

6種甘草酸鹽乳膏中甘草酸的體外經(jīng)皮滲透特性比較…………………………………………………… 涂碎萍等（9）：1205

3.3 實(shí)現(xiàn)高階威脅感知

網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)通過(guò)對(duì)各類設(shè)備日志、網(wǎng)絡(luò)流量的綜合分析，可以定位網(wǎng)絡(luò)安全事件在攻擊鏈中的所處階段，結(jié)合溯源分析，進(jìn)一步形成完整的證據(jù)鏈，將入侵和攻擊整個(gè)過(guò)程進(jìn)行還原。深度挖掘異常行為，對(duì)于外部已發(fā)生但本地仍未知的高階威脅，通過(guò)引入多源外部威脅情報(bào)，與自身安全技術(shù)體系有機(jī)結(jié)合，有利于全面評(píng)估損失和安全風(fēng)險(xiǎn)，制定完善的解決方案。

3.3.1 資產(chǎn)業(yè)務(wù)管理

網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)可以主動(dòng)識(shí)別內(nèi)網(wǎng)資產(chǎn)，主動(dòng)發(fā)現(xiàn)內(nèi)網(wǎng)未被定義的設(shè)備資產(chǎn)的IP 地址及設(shè)備類型，同時(shí)能識(shí)別內(nèi)網(wǎng)服務(wù)器資產(chǎn)的IP 地址，操作系統(tǒng)，開(kāi)放端口以及傳輸使用協(xié)議和應(yīng)用。業(yè)務(wù)與資產(chǎn)關(guān)系能夠按資產(chǎn)IP 地址/地址段，組合成為特定的業(yè)務(wù)組。

3.3.2 網(wǎng)絡(luò)流量分析

通過(guò)網(wǎng)絡(luò)流量分析探針對(duì)流量進(jìn)行全流量接入，結(jié)合攻擊檢測(cè)技術(shù)、異常流量檢測(cè)技術(shù)、威脅情報(bào)檢測(cè)技術(shù)、大數(shù)據(jù)安全分析技術(shù)、安全態(tài)勢(shì)感知技術(shù)以及豐富的安全事件報(bào)告功能，可有效檢測(cè)外部攻擊、外連威脅、內(nèi)部非法連接、網(wǎng)絡(luò)會(huì)話模式異常等安全威脅。可有效發(fā)現(xiàn)網(wǎng)絡(luò)威脅發(fā)現(xiàn)（比如永恒之藍(lán)、sql 注入、webshell 上傳、漏洞利用攻擊）、異常行為發(fā)現(xiàn)、網(wǎng)絡(luò)質(zhì)量檢測(cè)、網(wǎng)絡(luò)全會(huì)話留存等。

3.3.3 日志監(jiān)管分析

（1）學(xué)校骨干中心網(wǎng)部署了大量網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等，同時(shí)需要需要能有效收集這些硬件設(shè)備和數(shù)據(jù)庫(kù)、中間件、業(yè)務(wù)系統(tǒng)等設(shè)備日志，支持 “日志分析+流量分析”雙重分析。

（2）實(shí)現(xiàn)日志的集中采集和存儲(chǔ)。通過(guò)平臺(tái)對(duì)所有日志的接入可有效并自動(dòng)的將設(shè)備和中間件日志、系統(tǒng)日志、應(yīng)用日志、操作訪問(wèn)日志進(jìn)行集中采集、分類并壓縮存儲(chǔ)。

（3）實(shí)現(xiàn)日志自動(dòng)集中分析。通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)平臺(tái)自定義規(guī)則，對(duì)日志進(jìn)行橫向和縱向關(guān)聯(lián)，進(jìn)行自動(dòng)化分析，找出潛在安全問(wèn)題。通過(guò)集中化的日志集中管理與審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)日志的自動(dòng)采集、分析、審計(jì)和響應(yīng)，提高日志審計(jì)的效率，做到問(wèn)題早發(fā)現(xiàn)早處理，將風(fēng)險(xiǎn)控制在可以接受的程度。

3.3.4 主動(dòng)安全檢測(cè)

通過(guò)大數(shù)據(jù)技術(shù)，對(duì)校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。一方面，對(duì)威脅趨勢(shì)進(jìn)行預(yù)測(cè)，評(píng)估應(yīng)對(duì)能力和損失，有利于調(diào)配安全運(yùn)營(yíng)資源，更好地控制潛在風(fēng)險(xiǎn)。另一方面，對(duì)安全事件發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)，有利于制定精準(zhǔn)解決方案，更好地控制事態(tài)變化和安全投入成本。阻斷安全風(fēng)險(xiǎn)，通過(guò)大數(shù)據(jù)分析，根據(jù)已命中的安全事件精準(zhǔn)地對(duì)已知和未知的攻擊行為進(jìn)行實(shí)時(shí)阻斷，并對(duì)已執(zhí)行阻斷策略的網(wǎng)絡(luò)會(huì)話進(jìn)行審計(jì)查詢。

3.4 建立安全事件處置體系

高校校園網(wǎng)內(nèi)可以通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)形成“資產(chǎn)風(fēng)險(xiǎn)發(fā)現(xiàn)-資產(chǎn)管理加固-事件追蹤溯源-事件處置-留存記錄”一體化閉環(huán)解決方案。

可視化大屏展示將碎片化的安全事件數(shù)據(jù)結(jié)構(gòu)化，能以多種形式實(shí)時(shí)在大屏上展現(xiàn)網(wǎng)絡(luò)的攻擊情況，準(zhǔn)確定位出攻擊源、攻擊路徑、攻擊目標(biāo)，快速找出安全威脅，直觀顯示校園網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)[4]。

平臺(tái)對(duì)發(fā)現(xiàn)的安全問(wèn)題和重要資產(chǎn)進(jìn)行安全風(fēng)險(xiǎn)管控，對(duì)存在問(wèn)題的設(shè)備及時(shí)通過(guò)短信、郵件形式告警，通過(guò)內(nèi)置命令行接口，跟防護(hù)探針結(jié)合實(shí)現(xiàn)探針聯(lián)動(dòng)處置機(jī)制，也可和其他設(shè)備交換機(jī)做命令行的下發(fā)阻斷。

針對(duì)安全事件，根據(jù)不同的風(fēng)險(xiǎn)等級(jí)，可以監(jiān)控和溯源查詢，其次聯(lián)動(dòng)阻斷探針、防火墻、SDN 設(shè)備等對(duì)監(jiān)測(cè)到的威脅和問(wèn)題資產(chǎn)第一時(shí)間進(jìn)行響應(yīng)和處置，從而形成一套及時(shí)的應(yīng)急處置體系，進(jìn)一步提高校網(wǎng)絡(luò)安全保障水平。

3.5 組網(wǎng)部署

以我校為例，校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知建設(shè)方案組網(wǎng)的部署方式如下：在數(shù)據(jù)中心區(qū)域旁路部署流量（潛伏威脅）探針，和安全態(tài)勢(shì)感知平臺(tái)，把出口流量全部鏡像到流量探針，同時(shí)收集所有安全設(shè)備，服務(wù)器，重要網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、中間件和業(yè)務(wù)系統(tǒng)的所有日志到安全態(tài)勢(shì)感知平臺(tái)，組網(wǎng)部署網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2 所示。

4 結(jié)語(yǔ)

在高校校園網(wǎng)內(nèi)建立安全態(tài)勢(shì)感知與預(yù)警平臺(tái)，通過(guò)流量探針和日志建立安全大數(shù)據(jù)中心，實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境安全類、管理類、流量數(shù)據(jù)以及資產(chǎn)、用戶的基本數(shù)據(jù)的采集，并通過(guò)安全態(tài)勢(shì)感知平臺(tái)，實(shí)現(xiàn)對(duì)安全數(shù)據(jù)中心內(nèi)數(shù)據(jù)的分析應(yīng)用，實(shí)現(xiàn)多維大數(shù)據(jù)關(guān)聯(lián)分析，全網(wǎng)的安全要素分析、異常行為快速發(fā)現(xiàn)的能力以及整體網(wǎng)絡(luò)的安全態(tài)勢(shì)可視化能力，并累計(jì)本地威脅情報(bào)。根據(jù)這些威脅情報(bào)朔源找出攻擊類型以及攻擊目的，及時(shí)阻斷攻擊，確保校內(nèi)數(shù)據(jù)信息的安全。