高校網絡安全綜合管控平臺的研究

孟欣

摘要：新形勢下，校園網作為高校重要的現代化基礎設施，承載的功能越來越復雜，傳統的網絡安全管理分散、被動，無法有效掌控整網的安全環境，以做到態勢感知和綜合分析，本文進行了校園網絡安全綜合管控平臺的研究分析，提出了要研究的主要內容點，平臺基本架構及應用的關鍵技術。

關鍵詞：網絡安全；綜合管控；校園網

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）09-0043-02

1 高校網絡安全管理現狀分析

隨著教育信息化的發展，校園信息網絡已成為高校重要的現代化基礎設施，遍布于校內教學、辦公、生活、休閑等各個環節，校園網的安全狀況直接影響到辦學活動的順利開展，保障校園網安全已成為校園安全的重要部分。目前隨著移動網絡、大數據、云計算及物聯網的發展，大部分高校都在如火如荼地進行智慧校園建設，校園網承載了越來越多的用戶、應用、服務，新形勢下，網絡安全更加復雜也尤為迫切。

針對網絡安全的管理，傳統情況下，各高校的管理模式基本都是在出口區域部署防火墻，內部安裝上網行為管理設備，有的也在服務器區域安裝WEB防火墻等，安全管理分散，態勢感知低下，不能有效地進行綜合管理、分析和預警，做到對校園網網絡安全的綜合管控和審計。基于此，以高校網絡環境和當前的安全措施為基礎，結合國家等級保護的建設規范和技術要求，進行了網絡安全綜合管控平臺的研究，期望將網絡信息系統的安全狀況提升到一個較高的自動化管理水平，盡可能地消除或降低網絡和信息系統的安全風險。

2 網絡安全綜合管控平臺架構設計

2.1 平臺建設需求分析

根據國家網絡安全相關標準及要求，加強等級保護建設工作，以網絡風險評估管理為核心，建立網絡安全自監管系統，集成網絡管理系統和邊界接入管控系統，自動收集網絡設備（入侵檢測、防火墻、殺毒軟件、主機審計、WAF、行為審計、交換、服務器、主機等）的各類日志信息、審計信息、報警信息等，采集網絡數據流量，進行管理、再提煉和綜合分析，形成網絡安全決策的審計報告，實現多種安全技術的有機集成和多種安全產品之間的信息互通和預警聯動，并能自動采取應對措施，使得各種安全技術、設備最大程度地發揮各自作用，管理各種安全產品的日志記錄，提供安全事件取證材料，為應用單位的態勢感知打下堅實基礎。

2.2綜合管控平臺架構

3 研究思路

3.1技術思路

在現有網絡軟硬件的基礎上，適當的改變網絡拓撲、網絡設備配置等情況下，利用：SNMP技術，一種可以訪問不同廠商的網絡設備標準，特點是簡單、實用、傳遞處理效率高等；基于XML的通用數據格式技術，可以實現各種網絡安全產品之間的通信；SSL傳輸協議技術，SSL協議是安全套接層協議，在網絡傳輸基礎上提供保證私密性的加密安全協議等技術。結合風險評估的結果進行分析，形成相應的策略，進行規則優化，構建聯動響應系統機制，根據評估的風險危害程度，設置聯動閾值，將網絡系統和網絡安全進行有效的聯動起來（聯動設備應包括多種安全設備產品，還包括主機或殺毒軟件等），自動監控網絡入侵、病毒爆發等危害情況，當達到一定程度時，實現預警和拒止功能，自動或半自動的阻斷IP或網絡區域，甚至阻斷整個網絡。

3.2 平臺功能

3.2.1網絡入侵檢測功能

通過部署分布式的、基于網絡流量的探針和入侵檢測系統（NIDS），在關鍵網絡的網關，檢測和發現入侵行為，并可以主動根據預定義規則進行防御（IPS）。匯聚各個網絡探針的發現，結合漏洞檢測/監測的結果，形成安全和攻擊態勢感知。

3.2.2主機入侵檢測功能

通過在主機系統Agent（HIDS），形成基于主機的分布式入侵檢測系統，檢測和發現入侵行為，并可以主動根據預定義規則進行防御（IPS）。匯聚主機入侵行為分析，結合漏洞檢測/監測的結果，形成安全和攻擊態勢感知。

3.2.3大數據分析

日志數據分析、運行數據分析、行為數據分析、資產數據分析……

3.2.4態勢感知功能

建設成一種以多種安全問題管理為目標、以數據為核心、威脅情報為特色、打通安全運營中的檢測、響應、預警、防御多個領域環節的完整安全體系，如下圖：

數據采集部分，除了傳統的Syslog、Flow、各種系統日志和安全設備日志以外還突破性的針對原始流量日志（依賴于流量傳感器）和終端日志進行采集。依賴于更加原始的日志信息，還可以發現隱藏更深的各種威脅，同時能夠提供完整的事件回溯分析能力。

擁有更加全面的日志雖然提供了更強的分析能力，在數據的存儲和分析中大量使用大數據相關技術，在標準化產品組件中可以依賴于分布式全文檢索技術提供接近PB級日志量的存儲和快速計算，同時能夠提供良好的可靠性保證，以解決意外斷電、磁盤故障可能對系統帶來的可靠性問題。

在存儲和分析能力之后，使用多種分析引擎針對不同的使用和管理目標提供相應支撐，關聯分析、統計分析、快速搜索等功能相較于傳統產品具有明顯的性能優勢。

3.3 網絡綜合運維監控

網絡運維監控管理做成一個層次化的架構，系統架構總體劃分成資源層、采集層、處理層、功能層、展示層。不同層次有不同層次的管理目標，系統架構設計必須要遵循“松耦合度”原則，采用系統軟件總線、SOA開發設計模式，以確保各功能模塊的靈活性，適應個性化的需求以及未來的發展建設需求，功能架構如下圖：

數據采集層：通過Agentless方式，通過多種協議自動采集資源層各類IT基礎設施的實時可用性和性能指標。

數據處理層：通過建立規則，自動甄別IT基礎設施異常表現，并實現自動化過濾、升級、歸并等自動化處理，確保異常識別的準確性，通過多種方式發出告警。基于配置管理數據庫，建立被管對象的信息檔案，保留歷史變化記錄，實現全生命周期的管理。

邏輯層：面向實際場景，構建豐富的應用功能，包括IT資源監控管理、機房環境監控管理、服務流程管理等各類場景化功能。通過標準數據接口，實現與外部系統的數據交換。

展現層：數據可視化，并對數據加以挖掘、分析、利用，以豐富的可視化視圖，深度數據分析，為管理者提供重要的決策依據。良好的可視化效果易于大屏播放，充分展現IT管理的全面價值。

4 結束語

校園網的安全問題是一個較為復雜的系統工程， 需要全方位防范，防范不僅是被動的，更要主動進行。本文描述了網絡安全法頒布背景下傳統安全管理的不足，探討綜合安全管理平臺的設計方案，提出了平臺的搭建架構及需使用的關鍵技術，平臺進行開發后可讓用戶掌握全網安全狀態的同時，還可通過態勢感知能力預測安全趨勢，恰當地進行安全優化并部署安全措施，從而消除網絡和系統中的問題和安全隱患。

參考文獻：

[1] 劉銀平，穆良知.基于大數據分析的云安全管理系統設計[J].中國信息安全，2015（3）：108-110.

[2] 楊俊斌，梁紅.高校校園網絡安全管理問題及對策研究[J].網絡安全技術與應用，2017（12）：102+107.

[3] 王英錦，那海楓.淺析高校校園網網絡和信息安全管理[J].數字通信世界，2016（01）：51-54.

【通聯編輯：朱寶貴】