東北財經大學網絡安全加固方案設計與實踐

鄒鵬 李鍇淞 任永奎 劉世忠 安文

[摘? ? 要] 按《網絡安全法》和網絡安全等級保護2.0標準的要求，在現有的架構下進行了東北財經大學校園網絡安全加固設計，提升主動防御、動態防御、整體防控和精準防護的能力。

[關鍵詞] 網絡安全;校園網;防火墻

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2020. 03. 066

[中圖分類號] G647;TP311? ? [文獻標識碼]? A? ? ? [文章編號]? 1673 - 0194（2020）03- 0161- 02

0? ? ? 前? ? 言

東北財經大學經過不斷發展、完善的信息化歷程，完成校園網絡廣泛覆蓋和帶寬升級。同時學校數據服務區運行著包括門戶網站、電子郵箱、數字校園、移動辦公等重要業務系統，隨著各類應用系統的不斷上線，逐步構成了一個服務于學校師生的重要綜合性校園網絡平臺。但另一方面，承載學校業務流程的信息系統安全防護與檢測的技術手段卻仍然相對落后。在當前復雜多變的信息安全形勢下，無論是外部黑客入侵、內部惡意使用，還是大多數情況下內部用戶無意造成的安全隱患，都給學校的網絡安全管理工作帶來較大壓力。而同時，勒索病毒爆發、信息泄露、上級部門要求、法律法規監管等，都在無形中讓學校的信息安全管理壓力越來越大。筆者根據《網絡安全法》和網絡安全等級保護2.0標準的要求，在現有的架構下對東北財經大學校園網絡進行了安全加固設計，提升了校園網主動防御、動態防御、整體防控和精準防護的能力。

1? ? ? 現狀及問題

在互聯網攻擊逐漸從網絡層轉移到應用層的大背景下，學校各類業務系統在開發時難免遺留一些安全漏洞，目前學校安全防護僅在校園網出口部署了網絡層面的安全網關設備，傳統網絡層防火墻在面對層出不窮的應用層安全威脅日漸乏力。黑客利用各種各樣的漏洞發動緩沖區溢出，SQL注入、XSS、CSRF等應用層攻擊，并獲得系統管理員權限，從而進行數據竊取和破壞，對學校核心業務數據的安全造成了嚴重的威脅。數據的重要性不言而喻，尤其對學校的各類學生信息、一卡通等財務數據信息更是安全防護的重中之重，如有閃失，在損害學校師生利益的同時也造成很大的不良影響和法律追責問題。

東北財經大學出口7 Gbps帶寬，由電信、聯通、移動、教育網等多家運營商組成。隨著學校的網絡規模擴大以及提速降費的背景，互聯網出口將會達到15 Gbps帶寬以上，原有的帶寬出口網關弊端顯露：具體包括網關性能不足，無法支持大帶寬，老舊設備無法勝任大流量的轉發工作;IPv6網絡不兼容，無法平滑升級，后續無法滿足國家政策進行IPv6改造的規劃;上網審計和流量控制功能不完善，原有網關未集成上網行為審計功能，未能完全滿足網絡安全法，保障合規上網;不支持基于應用的流量控制，帶寬出口的流量控制效果不佳;對上網行為缺乏有效管理和分析手段，針對學生上網行為沒有好的管理手段和分析方法。

同時等級保護2.0也對云安全和虛擬化環境下的網絡安全問題作了要求。東北財經大學信息化建設起步較早，目前校內數據中心的絕大部分已經實現了虛擬化，主要業務系統均在虛擬機上運行，虛擬化技術極大地提升了硬件資源的利用率和業務的高可用性，但現有的120余臺虛擬機的安全隔離和虛擬化環境的東西向流量控制成為安全建設的新問題。為了響應《網絡安全法》以及國家新頒發的網絡安全等級保護2.0的相關要求，提高東北財經大學數據中心的整體安全防護與檢測能力，需要在以下幾個方面進行安全建設：

（1）構建安全有效的網絡邊界。主要通過增加學校數據中心的邊界隔離防護、入侵防護、Web應用防護、惡意代碼檢測、網頁防篡改等安全防護能力，減少威脅的攻擊面和漏洞暴露時間。

（2）加強對網絡風險識別與威脅檢測。針對突破或繞過邊界防御的威脅，需要增強內網的持續檢測和外部的安全風險監測能力，主要技術手段包括：網絡流量威脅檢測、僵尸主機檢測、安全事件感知、橫向攻擊檢測、終端檢測響應、異常行為感知等。

（3）形成全網流量與行為可視的能力。優化帶寬分配，提升師生上網體驗;過濾不良網站和違法言論，保障學生健康上網和安全上網;全面審計所有網絡行為，滿足《網絡安全法》等法律法規要求;在網絡行為可視可控的基礎之上，需要進一步形成校園網絡全局態勢可視的能力。

2? ? ? 網絡安全加固技術方案

按原有拓撲，將東北財經大學校園網劃分為校園網出口區、核心網絡區域、數據業務區域、運維管理區域、校園網接入區五個安全區域，并疊加云端的安全服務。

各個區域通過核心網絡區域的匯聚交換與核心交換機相互連接;校園網出口區域有多條外網線路接入，合計帶寬7 Gb，為校園網提供互聯網及教育網資源訪問服務;數據業務區部署2套VMware虛擬化集群和1套超云虛擬化集群，承載了學校門戶網站、電子郵件、數字化校園、DNS等各類業務系統;運維管理區域主要負責對整體網絡進行統一安全管理和日志收集;校園網接入區教學樓、辦公樓、圖書館、宿舍樓等子網，存在大量PC終端供學校師生使用;另外學校的教學樓、辦公樓均已實現了無線網絡的覆蓋。

在數據業務區域與核心網絡區域邊界部署一臺萬兆高性能下一代防火墻，開啟IPS、WAF、僵尸網絡檢測等安全防護模塊，構建數據業務區融合安全邊界。

通過部署下一代防火墻提供網絡層至應用層的訪問控制能力，能夠實現基于IP地址、源/目的端口、應用/服務、用戶、區域/地域、時間等元素進行精細化的訪問控制規則設置;提供專業的漏洞攻擊檢測與防護能力，支持對服務器、口令暴力破解、惡意軟件等漏洞攻擊防護，同時IPS模塊可結合最新威脅情報對高危漏洞進行預警和自動檢測;提供專業的Web應用防護能力，針對SQL注入、XSS、系統命令注入等OWASP 十大Web安全威脅進行有效防護，同時提供網頁防篡改、黑鏈檢測以及惡意掃描防護能力，全面保障Web業務安全;提供內網僵尸主機檢測能力，通過雙向流量檢測和熱門威脅特征庫結合，實現對木馬遠控、惡意腳本、勒索病毒、僵尸網絡、挖礦病毒等威脅進行有效識別，快速定位感染主機真實IP地址。

在校園網出口區部署高性能上網行為管理，對校園網出口流量進行全面管控，上網行為管理設備部署在核心交換機和出口路由器之間，所有流量都通過上網行為管理處理，實現對內網用戶上網行為的流量管理、行為控制、日志審計等功能，設備提供IPv4/IPv6雙棧協議兼容，有效滿足IPv6建設趨勢下網絡的平滑改造。

為了有效管控和審計，設備選型必須能夠全面識別各種應用：

（1）支持千萬級URL庫、支持基于關鍵字管控、網頁智能分析系統IWAS從容應對互聯網上數以萬億的網頁、SSL內容識別技術;

（2）擁有強大的應用識別庫;

（3）識別并過濾HTTP、FTP、mail方式上傳下載的文件;

（4）深度內容檢測：IM聊天、網絡游戲、在線流媒體、P2P應用、Email、常用TCP/IP協議等;

（5）通過P2P智能識別技術，識別出不常見、未來可能出現的P2P行為，進而封堵、流控和審計。

通過強大的應用識別技術，無論網頁訪問行為、文件傳輸行為、郵件行為、應用行為等都能有效實現對上網行為的封堵、流控、審計等管理。

同時，也要提供網絡流量可視化方案，管理員可以查看出口流量曲線圖、當前流量應用、用戶流量排名、當前網絡異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當前網絡運行狀況。對內網用戶的各種網絡行為流量進行記錄、審計，借助圖形化報表直觀顯示統計結果等，幫助管理員了解流量用戶排名、應用排名等，并自動形成報表文檔，全面掌控用戶網絡行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準確依據。

同時支持多線路復用和智能選路功能，通過多線路復用及帶寬疊加技術，復用多條鏈路形成一條互聯網總出口，提升整體帶寬水平。再結合多線路智能選路專利技術，將網流量自動匹配最佳出口。

具備全面的合規審計及管控功能，支持對內網用戶的所有上網行為進行審計記錄，滿足《網絡安全法》的要求，能有效防范學生網上不良言論、訪問非法網站等高風險行為，規避法律風險。

在數據業務區物理服務和3個虛擬化服務器集群上每臺虛擬機安裝EDR客戶端，針對終端維度提供惡意代碼防護、安全基線核查、微隔離、攻擊檢測等安全能力，打通物理服務器、Vmware集群和超云集群，進行統一的主機/虛擬機邏輯安全域劃分，同時實現云內流量可視、可控，滿足等保2.0云計算擴展項要求。

通過部署EDR構建立體可視的端點安全能力，實現全網風險可視，展示全網終端狀態分布，顯示當前安全事件總覽及安全時間分布全網終端安全概覽，支持針對主機參照等級保護標準進行安全基線核查，快速發現不合規項。部署于每臺VM上的端點agent，能夠對云內不同VM、不同業務系統之間的訪問關系、訪問路徑、橫向威脅進行檢測與響應，EDR與虛擬化底層平臺解耦合，解決多虛擬化環境下的兼容性問題，構建動態安全邊界。構建多維度漏斗型檢測框架，EDR平臺內置文件信譽檢測引擎、基因特征檢測引擎、人工智能檢測引擎、行為分析檢測引擎、安全云檢測引擎，從多維度全面發現各類終端威脅。

3? ? ? 結? ? 語

通過該方案，提升了威脅防護、風險應對能力。能夠從容應應對勒索病毒、0Day攻擊、APT攻擊、社會工程學、釣魚等新型威脅手段。通過全面的安全可視能力，簡化運維壓力，可以極大降低運維的復雜度，提升安全治理水平，達到了設計要求。

主要參考文獻

[1]李鍇淞.對于校園網絡建設及網絡安全的探討[J].數字通信世界息，2019（8）.

[2]李鍇淞，鄒鵬.高校校園網合作運營探索[J].網絡安全和信息化，2019（9）.

[3]臧齊圣.淺談校園網絡安全防控[J].計算機產品與流通，2019（9）.

[4]王巖紅.高校校園網安全現狀及優化探討[J].網絡安全技術與應用，2019（8）.

[5]奚竹安.上網行為管理系統在數字校園中的運用[J].中國現代教育裝備，2015（7）.