《财经大学网络安全加固方案设计实践》由会员分享,可在线阅读,更多相关《财经大学网络安全加固方案设计实践(3页珍藏版)》请在金锄头文库上搜索。
1、财经大学网络安全加固方案设计实践摘要按网络安全法和网络安全等级保护2.0标准的要求,在现有的架构下进行 了东北财经大学校园网络安全加固设计,提升主动防御、动态防御、整体防控和精准防护的 能力。关键词网络安全:校园网:防火墙前言东北财经大学经过不断发展、完善的信息化历程,完成校园网络广泛覆盖和带宽升级。 同时学校数据服务区运行着包括门户网站、电子邮箱、数字校园、移动办公等重要业务系统, 随着各类应用系统的不断上线,逐步构成了一个服务于学校师生的重要综合性校园网络平分。 但另一方而,承载学校业务流程的信息系统安全防护与检测的技术手段却仍然相对落后。在 .当前复杂多变的信息安全形势下,无论是外部黑客
2、入侵、内部恶意使用,还是大多数情况下 内部用户无意造成的安全隐患,都给学校的网络安全管理工作带来较大压力。而同时,勒索 病毒爆发、信息泄露、上级部门要求、法律法规监管等,都在无形中让学校的信息安全管理 压力越来越大。笔者根据网络安全法和网络安全等级保护2. 0标准的要求,在现有的架 构下对东北财经大学校园网络进行了安全加固设计,提升了校园网主动防御、动态防御、整 体防控和精准防护的能力。1现状及问题在互联网攻击逐渐从网络层转移到应用层的大背景下,学校各类业务系统在开发时难免 遗留一些安全漏洞,目前学校安全防护仅在校园网出口部署了网络层面的安全网关设备,传 统网络层防火墙在面对层出不穷的应用层安
3、全威胁日渐乏力。黑客利用各种各样的漏洞发动 缓冲区溢出,SQL注入、XSS、CSRF等应用层攻击,并获得系统管理员权限,从而进行数据窃 取和破坏,对学校核心业务数据的安全造成了严重的威胁。数据的重要性不言而喻,尤其对 学校的各类学生信息、一卡通等财务数据信息更是安全防护的重中之重,如有闪失,在损害 学校师生利益的同时也造成很大的不良影响和法律追责问题。东北财经大学出口 7Gbps带宽, 由电信、联通、移动、教育网等多家运营商组成。随着学校的网络规模扩大以及提速降费的 背景,互联网出口将会达到15Gbps带宽以上,原有的带宽出口网关弊端显露:具体包括网关 性能不足,无法支持大带宽,老旧设备无法胜
4、任大流量的转发工作;IPv6网络不兼容,无法 平滑升级,后续无法满足国家政策进行IPv6改造的规划:上网审计和流量控制功能不完善, 原有网关未集成上网行为审计功能,未能完全满足网络安全法,保障合规上网;不支持基于 应用的流量控制,带宽出口的流量控制效果不佳:对上网行为缺乏有效管理和分析手段,针 对学生上网行为没有好的管理手段和分析方法。同时等级保护2. 0也对云安全和虚拟化环境 下的网络安全问题作了要求。东北财经大学信息化建设起步较早,目前校内数据中心的绝大 部分已经实现了虚拟化,主要业务系统均在虚拟机上运行,虚拟化技术极大地提升了硬件资 源的利用率和业务的高可用性,但现有的120余台虚拟机的
5、安全隔离和虚拟化环境的东西向 流量控制成为安全建设的新问题。为了响应网络安全法以及国家新颁发的网络安全等级 保护2. 0的相关要求,提高东北财经大学数据中心的整体安全防护与检测能力,需要在以下 几个方面进行安全建设:(1)构建安全有效的网络边界。主要通过增加学校数据中心的边界 隔离防护、入侵防护、Web应用防护、恶意代码检测、网页防篡改等安全防护能力,减少威胁的攻击面和漏洞暴露时间。(2)加强对网络风险识别与威胁检测。针对突破或绕过边界防御 的威胁,需要增强内网的持续检测和外部的安全风险监测能力,主要技术手段包括:网络流 量威胁检测、僵尸主机检测、安全事件感知、横向攻击检测、终端检测响应、异常
6、行为感知 等。(3)形成全网流量与行为可视的能力。优化带宽分配,提升师生上网体验;过滤不良网 站和违法言论,保障学生健康上网和安全上网;全面审计所有网络行为,满足网络安全法 等法律法规要求:在网络行为可视可控的基础之上,需要进一步形成校园网络全局态势可视 的能力。2网络安全加固技术方案按原有拓扑,将东北财经大学校园网划分为校园网出口区、核心网络区域、数据业务区 域、运维管理区域、校园网接入区五个安全区域,并叠加云端的安全服务。各个区域通过核 心网络区域的汇聚交换与核心交换机相互连接:校园网出口区域有多条外网线路接入,合计 带宽7Gb,为校M网提供互联网及教育网资源访问服务:数据业务区部署2套V
7、Mware虚拟化 集群和1套超云虚拟化集群,承载了学校门户网站、电子邮件、数字化校园、DNS等各类业 务系统:运维管理区域主要负责对整体网络进行统一安全管理和日志收集:校园网接入区教 学楼、办公楼、图书馆、宿舍楼等子网,存在大量PC终端供学校师生使用:另外学校的教学 楼、办公楼均已实现了无线网络的覆盖。在数据业务区域与核心网络区域边界部署一台万兆 高性能下一代防火墙,开启IPS、WAF、僵尸网络检测等安全防护模块,构建数据业务区融合 安全边界。通过部署下一代防火墙提供网络层至应用层的访问控制能力,能够实现基于IP地 址、源/目的端口、应用/服务、用户、区域/地域、时间等元素进行精细化的访问控制
8、规 则设置:提供专业的漏洞攻击检测与防护能力,支持对服务器、口令暴力破解、恶意软件等 漏洞攻击防护,同时IPS模块可结合最新威胁情报对高危漏洞进行预警和自动检测:提供专 业的Web应用防护能力,针对SQL注入、XSS、系统命令注入等OWASP十大Web安全威胁进行 有效防护,同时提供网页防篡改、黑链检测以及恶意扫描防护能力,全而保障Web业务安全: 提供内网僵尸主机检测能力,通过双向流量检测和热门威胁特征库结合,实现对木马远控、 恶意脚本、勒索病毒、僵尸网络、挖矿病毒等威胁进行有效识别,快速定位感染主机真实IP 地址。在校园网出口区部署高性能上网行为管理,对校园网出口流量进行全面管控,上网行
9、为管理设备部署在核心交换机和出口路由器之间,所有流量都通过上网行为管理处理,实现 对内网用户上网行为的流量管理、行为控制、日志审计等功能,设备提供IPv4 / IPv6双栈协 议兼容,有效满足IPv6建设趋势下网络的平滑改造。为了有效管控和审计,设备选型必须能 够全而识别各种应用:(1)支持千万级URL库、支持基于关键字管控、网页智能分析系统IWAS 从容应对互联网上数以万亿的网页、SSL内容识别技术;(2)拥有强大的应用识别库;(3)识 别并过滤HTTP、FTP、mail方式上传下载的文件;(4)深度内容检测:聊天、网络游戏、 在线流媒体、P2P应用、Email,常用TCP/IP协议等:(5
10、)通过P2P智能识别技术,识别出 不常见、未来可能出现的P2P行为,进而封堵、流控和审计。通过强大的应用识别技术,无 论网页访问行为、文件传输行为、邮件行为、应用行为等都能有效实现对上网行为的封堵、 流控、审计等管理。同时,也要提供网络流量可视化方案,管理员可以查看出口流量曲线图、 当前流量应用、用户流量排名、当前网络异常状况(包括DOS攻击、ARP欺骗等)等信息, 直观了解当前网络运行状况。对内网用户的各种网络行为流量进行记录、审计,借助图形化 报表直观显示统计结果等,帮助管理员了解流量用户排名、应用排名等,并自动形成报表文 档,全面掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果
11、,为带宽管理的 决策提供准确依据。同时支持多线路复用和智能选路功能,通过多线路复用及带宽叠加技术, 复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术,将网流量自动匹配最佳出口。具备全面的合规审计及管控功能,支持对内网用户的所有上网 行为进行审计记录,满足网络安全法的要求,能有效防范学生网上不良言论、访问非法 网站等高风险行为,规避法律风险。在数据业务区物理服务和3个虚拟化服务器集群上每分 虚拟机安装EDR客户端,针对终端维度提供恶意代码防护、安全基线核查、微隔离、攻击检 测等安全能力,打通物理服务器、Vmware集群和超云集群,进行统一的主机/虚拟机逻辑安 全域
12、划分,同时实现云内流量可视、可控,满足等保2. 0云计算扩展项要求。通过部署EDR 构建立体可视的端点安全能力,实现全网风险可视,展示全网终端状态分布,显示当前安全 事件总览及安全时间分布全网终端安全概览,支持针对主机参照等级保护标准进行安全基线 核查,快速发现不合规项。部署于每台VM上的端点agent,能够对云内不同VM、不同业务系 统之间的访问关系、访问路径、横向威胁进行检测与响应,EDR与虚拟化底层平台解耦合, 解决多虚拟化环境下的兼容性问题,构建动态安全边界。构建多维度漏斗型检测框架,EDR平 台内置文件信誉检测引擎、基因特征检测引擎、人工智能检测引擎、行为分析检测引擎、安 全云检测引
13、擎,从多维度全而发现各类终端威胁。3结语通过该方案,提升了威胁防护、风险应对能力。能够从容应应对勒索病毒、ODay攻击、 APT攻击、社会工程学、钓鱼等新型威胁手段。通过全面的安全可视能力,简化运维压力,可 以极大降低运维的复杂度,提升安全治理水平,达到了设计要求。参考文献1李铭淞.对于校园网络建设及网络安全的探讨J.数字通信世界息,2019 (8).2李错淞,邹鹏.高校校园网合作运营探索J.网络安全和信息化,2019 (9).3臧齐圣.浅谈校园网络安全防控J.计算机产品与流通,2019 (9).4王岩红.高校校园网安全现状及优化探讨J.网络安全技术与应用,2019 (8).5奚竹安.上网行为管理系统在数字校园中的运用J.中国现代教育装备,2015(7).作者:邹鹏李铭淞任永奎刘世忠安文单位:东北财经大学
