[摘要]按《网络安全法》和网络安全等级保护2.0标准的要求,在现有的架构下进行了东北财经大学校园网络安全加固设计,提升主动防御、动态防御、整体防控和精准防护的能力。
[关键词]网络安全;校园网;防火墙
前言
东北财经大学经过不断发展、完善的信息化历程,完成校园网络广泛覆盖和带宽升级。同时学校数据服务区运行着包括门户网站、电子邮箱、数字校园、移动办公等重要业务系统,随着各类应用系统的不断上线,逐步构成了一个服务于学校师生的重要综合性校园网络平台。但另一方面,承载学校业务流程的信息系统安全防护与检测的技术手段却仍然相对落后。在当前复杂多变的信息安全形势下,无论是外部黑客入侵、内部恶意使用,还是大多数情况下内部用户无意造成的安全隐患,都给学校的网络安全管理工作带来较大压力。而同时,勒索病毒爆发、信息泄露、上级部门要求、法律法规监管等,都在无形中让学校的信息安全管理压力越来越大。笔者根据《网络安全法》和网络安全等级保护2.0标准的要求,在现有的架构下对东北财经大学校园网络进行了安全加固设计,提升了校园网主动防御、动态防御、整体防控和精准防护的能力。
1现状及问题
在互联网攻击逐渐从网络层转移到应用层的大背景下,学校各类业务系统在开发时难免遗留一些安全漏洞,目前学校安全防护仅在校园网出口部署了网络层面的安全网关设备,传统网络层防火墙在面对层出不穷的应用层安全威胁日渐乏力。黑客利用各种各样的漏洞发动缓冲区溢出,SQL注入、XSS、CSRF等应用层攻击,并获得系统管理员权限,从而进行数据窃取和破坏,对学校核心业务数据的安全造成了严重的威胁。数据的重要性不言而喻,尤其对学校的各类学生信息、一卡通等财务数据信息更是安全防护的重中之重,如有闪失,在损害学校师生利益的同时也造成很大的不良影响和法律追责问题。东北财经大学出口7Gbps带宽,由电信、联通、移动、教育网等多家运营商组成。随着学校的网络规模扩大以及提速降费的背景,互联网出口将会达到15Gbps带宽以上,原有的带宽出口网关弊端显露:具体包括网关性能不足,无法支持大带宽,老旧设备无法胜任大流量的转发工作;IPv6网络不兼容,无法平滑升级,后续无法满足国家政策进行IPv6改造的规划;上网审计和流量控制功能不完善,原有网关未集成上网行为审计功能,未能完全满足网络安全法,保障合规上网;不支持基于应用的流量控制,带宽出口的流量控制效果不佳;对上网行为缺乏有效管理和分析手段,针对学生上网行为没有好的管理手段和分析方法。同时等级保护2.0也对云安全和虚拟化环境下的网络安全问题作了要求。东北财经大学信息化建设起步较早,目前校内数据中心的绝大部分已经实现了虚拟化,主要业务系统均在虚拟机上运行,虚拟化技术极大地提升了硬件资源的利用率和业务的高可用性,但现有的120余台虚拟机的安全隔离和虚拟化环境的东西向流量控制成为安全建设的新问题。为了响应《网络安全法》以及国家新颁发的网络安全等级保护2.0的相关要求,提高东北财经大学数据中心的整体安全防护与检测能力,需要在以下几个方面进行安全建设:(1)构建安全有效的网络边界。主要通过增加学校数据中心的边界隔离防护、入侵防护、Web应用防护、恶意代码检测、网页防篡改等安全防护能力,减少威胁的攻击面和漏洞暴露时间。(2)加强对网络风险识别与威胁检测。针对突破或绕过边界防御的威胁,需要增强内网的持续检测和外部的安全风险监测能力,主要技术手段包括:网络流量威胁检测、僵尸主机检测、安全事件感知、横向攻击检测、终端检测响应、异常行为感知等。(3)形成全网流量与行为可视的能力。优化带宽分配,提升师生上网体验;过滤不良网站和违法言论,保障学生健康上网和安全上网;全面审计所有网络行为,满足《网络安全法》等法律法规要求;在网络行为可视可控的基础之上,需要进一步形成校园网络全局态势可视的能力。
2网络安全加固技术方案
按原有拓扑,将东北财经大学校园网划分为校园网出口区、核心网络区域、数据业务区域、运维管理区域、校园网接入区五个安全区域,并叠加云端的安全服务。各个区域通过核心网络区域的汇聚交换与核心交换机相互连接;校园网出口区域有多条外网线路接入,合计带宽7Gb,为校园网提供互联网及教育网资源访问服务;数据业务区部署2套VMware虚拟化集群和1套超云虚拟化集群,承载了学校门户网站、电子邮件、数字化校园、DNS等各类业务系统;运维管理区域主要负责对整体网络进行统一安全管理和日志收集;校园网接入区教学楼、办公楼、图书馆、宿舍楼等子网,存在大量PC终端供学校师生使用;另外学校的教学楼、办公楼均已实现了无线网络的覆盖。在数据业务区域与核心网络区域边界部署一台万兆高性能下一代防火墙,开启IPS、WAF、僵尸网络检测等安全防护模块,构建数据业务区融合安全边界。通过部署下一代防火墙提供网络层至应用层的访问控制能力,能够实现基于IP地址、源/目的端口、应用/服务、用户、区域/地域、时间等元素进行精细化的访问控制规则设置;提供专业的漏洞攻击检测与防护能力,支持对服务器、口令暴力破解、恶意软件等漏洞攻击防护,同时IPS模块可结合最新威胁情报对高危漏洞进行预警和自动检测;提供专业的Web应用防护能力,针对SQL注入、XSS、系统命令注入等OWASP十大Web安全威胁进行有效防护,同时提供网页防篡改、黑链检测以及恶意扫描防护能力,全面保障Web业务安全;提供内网僵尸主机检测能力,通过双向流量检测和热门威胁特征库结合,实现对木马远控、恶意脚本、勒索病毒、僵尸网络、挖矿病毒等威胁进行有效识别,快速定位感染主机真实IP地址。在校园网出口区部署高性能上网行为管理,对校园网出口流量进行全面管控,上网行为管理设备部署在核心交换机和出口路由器之间,所有流量都通过上网行为管理处理,实现对内网用户上网行为的流量管理、行为控制、日志审计等功能,设备提供IPv4/IPv6双栈协议兼容,有效满足IPv6建设趋势下网络的平滑改造。为了有效管控和审计,设备选型必须能够全面识别各种应用:(1)支持千万级URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术;(2)拥有强大的应用识别库;(3)识别并过滤HTTP、FTP、mail方式上传下载的文件;(4)深度内容检测:IM聊天、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等;(5)通过P2P智能识别技术,识别出不常见、未来可能出现的P2P行为,进而封堵、流控和审计。通过强大的应用识别技术,无论网页访问行为、文件传输行为、邮件行为、应用行为等都能有效实现对上网行为的封堵、流控、审计等管理。同时,也要提供网络流量可视化方案,管理员可以查看出口流量曲线图、当前流量应用、用户流量排名、当前网络异常状况(包括DOS攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。对内网用户的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,帮助管理员了解流量用户排名、应用排名等,并自动形成报表文档,全面掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果,为带宽管理的决策提供准确依据。同时支持多线路复用和智能选路功能,通过多线路复用及带宽叠加技术,复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术,将网流量自动匹配最佳出口。具备全面的合规审计及管控功能,支持对内网用户的所有上网行为进行审计记录,满足《网络安全法》的要求,能有效防范学生网上不良言论、访问非法网站等高风险行为,规避法律风险。在数据业务区物理服务和3个虚拟化服务器集群上每台虚拟机安装EDR客户端,针对终端维度提供恶意代码防护、安全基线核查、微隔离、攻击检测等安全能力,打通物理服务器、Vmware集群和超云集群,进行统一的主机/虚拟机逻辑安全域划分,同时实现云内流量可视、可控,满足等保2.0云计算扩展项要求。通过部署EDR构建立体可视的端点安全能力,实现全网风险可视,展示全网终端状态分布,显示当前安全事件总览及安全时间分布全网终端安全概览,支持针对主机参照等级保护标准进行安全基线核查,快速发现不合规项。部署于每台VM上的端点agent,能够对云内不同VM、不同业务系统之间的访问关系、访问路径、横向威胁进行检测与响应,EDR与虚拟化底层平台解耦合,解决多虚拟化环境下的兼容性问题,构建动态安全边界。构建多维度漏斗型检测框架,EDR平台内置文件信誉检测引擎、基因特征检测引擎、人工智能检测引擎、行为分析检测引擎、安全云检测引擎,从多维度全面发现各类终端威胁。
3结语
通过该方案,提升了威胁防护、风险应对能力。能够从容应应对勒索病毒、0Day攻击、APT攻击、社会工程学、钓鱼等新型威胁手段。通过全面的安全可视能力,简化运维压力,可以极大降低运维的复杂度,提升安全治理水平,达到了设计要求。
参考文献
[1]李锴淞.对于校园网络建设及网络安全的探讨[J].数字通信世界息,2019(8).
[2]李锴淞,邹鹏.高校校园网合作运营探索[J].网络安全和信息化,2019(9).
[3]臧齐圣.浅谈校园网络安全防控[J].计算机产品与流通,2019(9).
[4]王岩红.高校校园网安全现状及优化探讨[J].网络安全技术与应用,2019(8).
[5]奚竹安.上网行为管理系统在数字校园中的运用[J].中国现代教育装备,2015(7).
作者:邹鹏李锴淞任永奎刘世忠安文单位:东北财经大学