*來(lái)源:中國(guó)教育網(wǎng)絡(luò)(ID:cernet)
近年來(lái),隨著全球互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,高校信息化程度達(dá)到了前所未有的水平,其影響已經(jīng)滲透到教育教學(xué)、科研管理和校園工作生活的方方面面。在互聯(lián)網(wǎng)徹底顛覆師生工作生活方式的同時(shí),網(wǎng)絡(luò)信息安全問(wèn)題日益凸顯,逐漸成為制約高校信息化發(fā)展的掣肘。
網(wǎng)信辦作為學(xué)校網(wǎng)絡(luò)安全與信息化建設(shè)管理部門(mén),保障網(wǎng)絡(luò)信息安全責(zé)無(wú)旁貸。本文以南開(kāi)大學(xué)為例,結(jié)合學(xué)校信息化建設(shè)實(shí)際情況,以及在網(wǎng)絡(luò)安全管理工作中遇到的各種困難,從全局視角出發(fā),對(duì)學(xué)校網(wǎng)絡(luò)安全體系進(jìn)行整體規(guī)劃,并通過(guò)分步實(shí)施實(shí)踐,不斷提高網(wǎng)絡(luò)安全防護(hù)水平,取得了一定的成效。
信息化建設(shè)基本情況
1、現(xiàn)狀
在基礎(chǔ)設(shè)施建設(shè)方面,學(xué)校校園網(wǎng)出口鏈路共有4條,IPv4總帶寬18G,IPv6以10Gbps的鏈路接入了CERNET2;校園網(wǎng)累計(jì)用戶數(shù)量超過(guò)5萬(wàn);數(shù)據(jù)中心物理服務(wù)器427臺(tái),物理內(nèi)存105T,存儲(chǔ)容量合計(jì)456T,虛擬機(jī)數(shù)量783臺(tái)。
在網(wǎng)站和信息系統(tǒng)建設(shè)方面,學(xué)?,F(xiàn)有各類網(wǎng)站共計(jì)467個(gè),其中253個(gè)輔助科研/教學(xué)/辦公的業(yè)務(wù)系統(tǒng),214個(gè)院系部處的宣傳類主頁(yè)。在網(wǎng)絡(luò)安全測(cè)評(píng)方面,已備案測(cè)評(píng)5個(gè)等保三級(jí)信息系統(tǒng),11個(gè)等保二級(jí)信息系統(tǒng),1個(gè)關(guān)鍵基礎(chǔ)設(shè)施。
2、困難
自2012年網(wǎng)信辦負(fù)責(zé)學(xué)校網(wǎng)絡(luò)安全管理工作以來(lái),陸陸續(xù)續(xù)遇到了很多困難和挑戰(zhàn),主要包括:
1.基礎(chǔ)網(wǎng)絡(luò)資產(chǎn)自查不清。起初根本不清楚學(xué)校共有多少個(gè)網(wǎng)站和業(yè)務(wù)系統(tǒng),是使用什么技術(shù)制作的,用途是什么,負(fù)責(zé)人和管理員是誰(shuí)等。
2.網(wǎng)站和信息系統(tǒng)建設(shè)分散,有很多主機(jī)存放在各個(gè)院系部處自己的機(jī)房甚至辦公室,很多都沒(méi)有部署必要的安全防護(hù)。
3.技術(shù)管理人員短缺,技術(shù)水平參差不齊。學(xué)校各部門(mén)負(fù)責(zé)網(wǎng)絡(luò)安全管理的人員基本都是兼職管理,除此之外還有很多工作,對(duì)網(wǎng)絡(luò)安全管理工作大多是被動(dòng)應(yīng)對(duì)狀態(tài)。
4.部門(mén)網(wǎng)絡(luò)安全意識(shí)淡薄,對(duì)網(wǎng)絡(luò)安全管理配合度不高。網(wǎng)絡(luò)安全管理工作需要各部門(mén)積極配合,缺少共同努力根本無(wú)法達(dá)到好的效果。
5.黑客攻擊專業(yè)化水平越來(lái)越高,隱蔽性越來(lái)越強(qiáng),目的性也越來(lái)越清晰,造成的危害越來(lái)越大。
網(wǎng)絡(luò)安全體系規(guī)劃
全球網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻,面對(duì)諸多困難,為做好網(wǎng)絡(luò)安全管理工作,南開(kāi)大學(xué)結(jié)合自身信息化發(fā)展情況,著眼于網(wǎng)絡(luò)安全體系建設(shè)規(guī)劃,充分考慮未來(lái)發(fā)展,以全局視角,對(duì)學(xué)校網(wǎng)絡(luò)安全體系進(jìn)行整體規(guī)劃設(shè)計(jì),詳細(xì)情況如下。
1、整體架構(gòu)
南開(kāi)大學(xué)網(wǎng)站數(shù)量多,建設(shè)情況復(fù)雜,為解決上文提到的諸多困難,學(xué)校從組織人員、安全管理、技術(shù)保障三個(gè)方面出發(fā),制定《南開(kāi)大學(xué)網(wǎng)站建設(shè)與管理規(guī)定》,并以之作為學(xué)校網(wǎng)絡(luò)安全管理依據(jù),在遵守《網(wǎng)絡(luò)安全法》要求,滿足等保測(cè)評(píng)和關(guān)鍵基礎(chǔ)設(shè)施測(cè)評(píng)的前提下:
通過(guò)網(wǎng)絡(luò)安全管理平臺(tái)實(shí)現(xiàn)對(duì)學(xué)校網(wǎng)站和業(yè)務(wù)系統(tǒng)的登記備案等信息管理;
通過(guò)網(wǎng)絡(luò)安全運(yùn)維平臺(tái)實(shí)現(xiàn)安全檢測(cè)、風(fēng)險(xiǎn)識(shí)別、響應(yīng)處置、業(yè)務(wù)恢復(fù)、攻擊預(yù)警、對(duì)抗反制,將網(wǎng)絡(luò)安全管理工作落實(shí)做細(xì),從而對(duì)校園網(wǎng)實(shí)施全面防護(hù),確保網(wǎng)絡(luò)安全。
圖1為南開(kāi)大學(xué)網(wǎng)絡(luò)安全體系框架示意圖。
2、組織機(jī)構(gòu)及人員組成
南開(kāi)大學(xué)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組是學(xué)校網(wǎng)絡(luò)安全的最高領(lǐng)導(dǎo)機(jī)構(gòu),主要職責(zé)是:
學(xué)習(xí)貫徹落實(shí)中央和教育部、天津市委網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的重要戰(zhàn)略、決策、規(guī)劃、部署和要求,統(tǒng)籌協(xié)調(diào)、組織領(lǐng)導(dǎo)學(xué)校網(wǎng)絡(luò)安全和信息化工作;
研究制定學(xué)校網(wǎng)絡(luò)安全和信息化發(fā)展規(guī)劃;
組織協(xié)調(diào)學(xué)校網(wǎng)絡(luò)意識(shí)形態(tài)安全和網(wǎng)絡(luò)陣地建設(shè)及管理,并對(duì)相關(guān)工作落實(shí)情況進(jìn)行監(jiān)督檢查;
研究解決涉及網(wǎng)絡(luò)安全和信息化建設(shè)的重大問(wèn)題。
南開(kāi)大學(xué)
南開(kāi)大學(xué)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室是南開(kāi)大學(xué)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的常設(shè)辦事機(jī)構(gòu),辦公室設(shè)在黨委宣傳部,負(fù)責(zé)處理領(lǐng)導(dǎo)小組日常工作,黨委網(wǎng)信辦協(xié)同開(kāi)展工作。
宣傳部主要負(fù)責(zé)組織協(xié)調(diào)開(kāi)展涉及學(xué)校網(wǎng)絡(luò)陣地管理、網(wǎng)絡(luò)思政教育、網(wǎng)絡(luò)文化建設(shè)等重大問(wèn)題研究,推進(jìn)校園網(wǎng)絡(luò)文化建設(shè),加強(qiáng)互聯(lián)網(wǎng)思想政治工作載體建設(shè),積極探索加強(qiáng)校園網(wǎng)絡(luò)文化建設(shè)的體制機(jī)制,創(chuàng)新開(kāi)展網(wǎng)絡(luò)文化宣傳平臺(tái)陣地建設(shè),協(xié)調(diào)組織開(kāi)展校園優(yōu)秀網(wǎng)絡(luò)產(chǎn)品的創(chuàng)作和傳播。
網(wǎng)信辦主要負(fù)責(zé)協(xié)調(diào)起草學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)總體規(guī)劃、方案和管理制度,協(xié)調(diào)推動(dòng)學(xué)校信息化建設(shè)項(xiàng)目的實(shí)施;協(xié)調(diào)推進(jìn)學(xué)校網(wǎng)絡(luò)安全保障體系建設(shè),協(xié)調(diào)推進(jìn)各學(xué)院、單位和部門(mén)網(wǎng)絡(luò)安全保障和信息化工作;協(xié)調(diào)推進(jìn)學(xué)校網(wǎng)絡(luò)運(yùn)行安全,加強(qiáng)學(xué)校網(wǎng)絡(luò)相關(guān)設(shè)備設(shè)施建設(shè)、確保網(wǎng)絡(luò)環(huán)境和接入服務(wù)安全、網(wǎng)站和信息系統(tǒng)的穩(wěn)定運(yùn)行;加強(qiáng)學(xué)校網(wǎng)絡(luò)數(shù)據(jù)、用戶信息的安全防護(hù)等。
網(wǎng)信辦網(wǎng)絡(luò)安全科具體負(fù)責(zé)網(wǎng)絡(luò)安全管理工作,各部門(mén)有分管網(wǎng)絡(luò)信息安全工作的領(lǐng)導(dǎo)和信息聯(lián)絡(luò)員,由以上人員組建了一支專兼職的南開(kāi)網(wǎng)絡(luò)安全和信息化工作隊(duì)伍,目前規(guī)模已經(jīng)超過(guò)200人。除此之外,還有負(fù)責(zé)具體技術(shù)工作的第三方運(yùn)維公司人員。
在相互協(xié)作方面,網(wǎng)信辦接收上級(jí)對(duì)學(xué)校網(wǎng)絡(luò)安全工作的各項(xiàng)要求和安全風(fēng)險(xiǎn)通報(bào),并將通知要求和風(fēng)險(xiǎn)通報(bào)轉(zhuǎn)發(fā)各相關(guān)部門(mén)信息聯(lián)絡(luò)員,各部門(mén)協(xié)調(diào)技術(shù)運(yùn)維具體處置并將結(jié)果反饋給網(wǎng)信辦,網(wǎng)信辦再上報(bào)主管部門(mén)。
3、網(wǎng)絡(luò)安全管理
網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)安全體系的核心部分,體現(xiàn)在學(xué)校網(wǎng)絡(luò)安全運(yùn)營(yíng)的各個(gè)環(huán)節(jié),主要由閉環(huán)管理、差異管理、最小化開(kāi)放原則組成。
1.閉環(huán)管理。閉環(huán)管理指的是對(duì)被管理對(duì)象的閉環(huán)管理,我們以網(wǎng)站和信息系統(tǒng)的全生命周期作為一個(gè)閉環(huán)進(jìn)行管理。從網(wǎng)站建設(shè)之初的安全準(zhǔn)入評(píng)估到日常的安全運(yùn)維,再到網(wǎng)站的歸檔退出。
安全準(zhǔn)入是指在建設(shè)網(wǎng)站時(shí)要進(jìn)行登記注冊(cè),記錄必要的信息,如網(wǎng)站名稱、域名、所屬部門(mén)、用途、技術(shù)架構(gòu)、負(fù)責(zé)人及聯(lián)系方式、聯(lián)絡(luò)人及聯(lián)系方式。網(wǎng)站建設(shè)完成后,在正式上線前要接受安全評(píng)估,在達(dá)到合規(guī)標(biāo)準(zhǔn)后才可以上線。
日常檢查是指學(xué)校對(duì)登記入網(wǎng)的網(wǎng)站都會(huì)進(jìn)行定期或不定期的安全評(píng)估,安全評(píng)估符合標(biāo)準(zhǔn)的網(wǎng)站保持狀態(tài)不變,出現(xiàn)安全問(wèn)題的網(wǎng)站要進(jìn)行封禁修復(fù),直到修復(fù)完成安全符合標(biāo)準(zhǔn)后方可解除封禁。
年審?fù)顺?/strong>是指學(xué)校每年都會(huì)對(duì)網(wǎng)站和業(yè)務(wù)系統(tǒng)進(jìn)行年度審查,審查內(nèi)容包括網(wǎng)站基本信息是否更新,網(wǎng)站安全是否合規(guī)。對(duì)于正常的網(wǎng)站,更新基本信息后即可完成。對(duì)于不再使用,且無(wú)人管理的網(wǎng)站,便可對(duì)其進(jìn)行歸檔退出處理,從而避免產(chǎn)生“僵尸網(wǎng)站”。
2.差異管理。差異管理是應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境的最有效的管理方式。學(xué)校主要有三種差異化管理方式,分別針對(duì)網(wǎng)絡(luò)邊界、業(yè)務(wù)分類分級(jí)、一區(qū)一策。
網(wǎng)絡(luò)邊界策略管理。將學(xué)校網(wǎng)絡(luò)劃分為三個(gè)區(qū)域,分別是數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)、校園網(wǎng)、互聯(lián)網(wǎng)。三個(gè)區(qū)域形成兩個(gè)邊界,安全防護(hù)級(jí)別由高到低,邊界策略區(qū)別設(shè)置。
業(yè)務(wù)分類分級(jí)管理。根據(jù)用途將網(wǎng)站和業(yè)務(wù)系統(tǒng)劃分為用做宣傳的宣傳類網(wǎng)站和輔助科研/教學(xué)/辦公的業(yè)務(wù)系統(tǒng)。宣傳類網(wǎng)站內(nèi)容展示的是完全可以公開(kāi)的信息,業(yè)務(wù)系統(tǒng)處理的內(nèi)容較多是不可公開(kāi)的信息。
為最大限度確保網(wǎng)站安全和用戶的便捷性,我們使用網(wǎng)站群平臺(tái)承載宣傳類網(wǎng)站,面向互聯(lián)網(wǎng)開(kāi)放;一般將業(yè)務(wù)系統(tǒng)默認(rèn)限制在校內(nèi)訪問(wèn),用戶在校外可通過(guò)VPN訪問(wèn),這樣既可滿足師生用戶的科研辦公需求,也可最大限度避免系統(tǒng)受到安全威脅。
一區(qū)一策,區(qū)域施策。大多數(shù)網(wǎng)站和業(yè)務(wù)系統(tǒng)都部署在學(xué)校數(shù)據(jù)中心,有安全防護(hù)設(shè)備的保護(hù),但還有小部分網(wǎng)站和業(yè)務(wù)系統(tǒng)分別在各自部門(mén),缺乏安全防護(hù)。對(duì)這部分網(wǎng)站的訪問(wèn),我們采用引流的方式,先將流量引導(dǎo)到數(shù)據(jù)中心,經(jīng)過(guò)安全設(shè)備防護(hù)后再到目標(biāo)網(wǎng)站,從而降低安全威脅,確保目標(biāo)網(wǎng)站安全。
最小化開(kāi)放原則。最小化原則是指從用戶的基本需求出發(fā),在最小范圍內(nèi)滿足用戶對(duì)網(wǎng)站的管理和使用需求。
白名單。采用最嚴(yán)格的訪問(wèn)控制策略,默認(rèn)關(guān)閉外網(wǎng)對(duì)所有校內(nèi)IP的訪問(wèn),只有經(jīng)過(guò)注冊(cè),審核通過(guò),安全檢查合規(guī)的地址方可進(jìn)入白名單,對(duì)外提供相關(guān)服務(wù)。
開(kāi)放范圍控制。有兩層含義,一方面指在管控IP地址的前提下進(jìn)一步管控IP所開(kāi)放端口的范圍,只開(kāi)放需要用到的端口;另一方面指對(duì)IP地址開(kāi)放對(duì)象的管控,只開(kāi)放給需要開(kāi)放的最小范圍。
VPN。對(duì)于存儲(chǔ)大量?jī)?nèi)部信息的業(yè)務(wù)系統(tǒng),默認(rèn)只允許校內(nèi)訪問(wèn),師生用戶從校外訪問(wèn)可以通過(guò)VPN進(jìn)行訪問(wèn),這樣可以在不影響用戶使用的前提下最大限度保障業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全。
統(tǒng)一身份認(rèn)證。南開(kāi)大學(xué)統(tǒng)一身份認(rèn)證平臺(tái)支持授權(quán)管理,管理員可以通過(guò)認(rèn)證平臺(tái)對(duì)用戶、用戶組能否訪問(wèn)目標(biāo)系統(tǒng)進(jìn)行權(quán)限控制,只允許授權(quán)用戶訪問(wèn)目標(biāo)系統(tǒng)。
南開(kāi)大學(xué)統(tǒng)一身份認(rèn)證權(quán)限配置應(yīng)用
4、網(wǎng)絡(luò)安全技術(shù)保障
目前,在網(wǎng)絡(luò)環(huán)境中科學(xué)合理地部署安全防護(hù)設(shè)備仍是最直接有效的網(wǎng)絡(luò)安全防護(hù)手段。圖2是南開(kāi)大學(xué)網(wǎng)絡(luò)安全技術(shù)防護(hù)體系示意圖。
圖2 南開(kāi)大學(xué)網(wǎng)絡(luò)安全技術(shù)防護(hù)體系
1.技術(shù)防護(hù)體系。根據(jù)安全事件發(fā)生的時(shí)間前后,可以將安全防護(hù)技術(shù)做一下分類,分別是事前技術(shù)防范、事中技術(shù)防護(hù)、事后技術(shù)恢復(fù)溯源。
事前技術(shù)防范。一方面科學(xué)合理地部署安全防護(hù)設(shè)備,并下發(fā)相應(yīng)的安全防護(hù)策略,做好安全防護(hù)準(zhǔn)備;另一方面進(jìn)行主動(dòng)安全評(píng)估,定期不定期地對(duì)網(wǎng)站進(jìn)行安全檢測(cè),發(fā)現(xiàn)安全漏洞后及時(shí)修復(fù)。
事中技術(shù)防護(hù)。一方面使用WAF、IPS、動(dòng)態(tài)應(yīng)用防護(hù)等安全設(shè)備對(duì)攻擊進(jìn)行實(shí)時(shí)防護(hù);另一方面應(yīng)變響應(yīng),根據(jù)攻擊方發(fā)起的攻擊方式隨時(shí)調(diào)整安全防護(hù)策略以達(dá)到最好的防護(hù)效果。
事后技術(shù)恢復(fù)溯源。一方面使用備份第一時(shí)間將被攻擊網(wǎng)站業(yè)務(wù)恢復(fù),盡量減少服務(wù)中斷時(shí)間;另一方面通過(guò)日志或安全審計(jì)設(shè)備查找具體漏洞和攻擊者來(lái)源,及時(shí)做出相應(yīng)保護(hù)措施。
2.關(guān)鍵技術(shù)保障。面對(duì)黑客日益專業(yè)和層出不窮的攻擊手段,僅憑幾臺(tái)安全防護(hù)設(shè)備簡(jiǎn)單堆疊已經(jīng)很難確保目標(biāo)主機(jī)的安全。為進(jìn)一步提升安全防護(hù)水平,提高黑客入侵的門(mén)檻,我們采用了如下關(guān)鍵技術(shù)保障措施。
異構(gòu)特征庫(kù)。傳統(tǒng)的安全防護(hù)設(shè)備(如IPS、WAF)和安全評(píng)估設(shè)備都是基于特征庫(kù)進(jìn)行安全威脅檢測(cè)的,主要優(yōu)點(diǎn)是技術(shù)成熟。其安全防護(hù)能力主要依賴于特征庫(kù)。
因此,對(duì)關(guān)鍵安全設(shè)備進(jìn)行異構(gòu)部署,可增加特征庫(kù)種類、特征值數(shù)量,減小更新特征庫(kù)間隔,保證其時(shí)效性,從而提高威脅檢測(cè)能力和安全防護(hù)水平。
行為動(dòng)態(tài)安全檢測(cè)。傳統(tǒng)基于特征庫(kù)的安全防護(hù)設(shè)備對(duì)APT等高級(jí)安全威脅防護(hù)能力較弱,專業(yè)的黑客還是很容易繞過(guò)特征庫(kù)進(jìn)行攻擊。
為解決這一問(wèn)題,我們引入基于流量基線學(xué)習(xí)和模型訓(xùn)練的安全防護(hù)設(shè)備,可發(fā)現(xiàn)Web滲透控制,工具植入等黑客攻擊行為,以及蠕蟲(chóng)傳播、資產(chǎn)外聯(lián)、DGA域名通信等異常資產(chǎn)行為,用于彌補(bǔ)傳統(tǒng)安防設(shè)備的不足。
威脅情報(bào)。網(wǎng)絡(luò)威脅情報(bào)是記載網(wǎng)絡(luò)上現(xiàn)有的或者曾經(jīng)存在的安全威脅的一種信息。利用網(wǎng)絡(luò)威脅情報(bào),可以幫助我們快速判斷網(wǎng)絡(luò)威脅,實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知,并(預(yù)先)做出對(duì)網(wǎng)絡(luò)威脅的主動(dòng)防護(hù)。
基于攻擊模型的風(fēng)險(xiǎn)定位。網(wǎng)絡(luò)攻擊通常有多個(gè)階段,攻擊者逐階段地獲得了更多特權(quán)、信息和資源,以在目標(biāo)系統(tǒng)內(nèi)更深入地滲透。
對(duì)網(wǎng)絡(luò)攻擊進(jìn)行防御需要首先對(duì)攻擊進(jìn)行適當(dāng)?shù)慕!J褂霉裟P涂梢宰R(shí)別攻擊的當(dāng)前狀態(tài)及推斷其可能的未來(lái)狀態(tài)?;诠裟P臀覀兛梢詫?duì)發(fā)生的安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的定位,輔助我們快速找到風(fēng)險(xiǎn),處理安全威脅。圖3是網(wǎng)絡(luò)攻擊模型風(fēng)險(xiǎn)定位示意圖。
圖3 網(wǎng)絡(luò)攻擊模型風(fēng)險(xiǎn)定位示意
管理平臺(tái)實(shí)踐
工欲善其事,必先利其器。要把網(wǎng)絡(luò)安全管理工作做好,離不開(kāi)管理與技術(shù)相結(jié)合的安全平臺(tái)的支撐。學(xué)?;凇百Y產(chǎn)精準(zhǔn)定位,威脅及時(shí)發(fā)現(xiàn),平臺(tái)快速聯(lián)動(dòng),處置結(jié)果驗(yàn)證”的核心思路,建立主動(dòng)安全管理體系,將技術(shù)平臺(tái)與管理制度融合,打造成體系的校園網(wǎng)絡(luò)安全綜合管理平臺(tái),包括安全管理平臺(tái)和安全運(yùn)維平臺(tái)。
1、安全管理平臺(tái)
南開(kāi)大學(xué)信息系統(tǒng)安全管理平臺(tái)對(duì)全校網(wǎng)絡(luò)資產(chǎn)進(jìn)行備案,以信息系統(tǒng)資產(chǎn)生命周期為核心,設(shè)定嚴(yán)格的準(zhǔn)入、監(jiān)控、防護(hù)、準(zhǔn)出流程,與學(xué)校出口防火墻、安全漏掃設(shè)備、反向代理設(shè)備關(guān)聯(lián),并以此為抓手,用自動(dòng)化方式實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資產(chǎn)的快速技術(shù)處置與流程處置,大幅提高管理員的工作效率。圖4是南開(kāi)大學(xué)信息系統(tǒng)安全管理平臺(tái)截圖。
圖4 南開(kāi)大學(xué)信息系統(tǒng)安全管理平臺(tái)
2、安全運(yùn)維平臺(tái)
圖5為南開(kāi)大學(xué)網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)與運(yùn)營(yíng)管理平臺(tái)截圖。該平臺(tái)是基于學(xué)校IT基礎(chǔ)數(shù)據(jù),通過(guò)構(gòu)建安全分析模型,對(duì)網(wǎng)絡(luò)安全情況進(jìn)行分析、發(fā)現(xiàn)和感知預(yù)測(cè)的平臺(tái)。
圖5 南開(kāi)大學(xué)網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)與運(yùn)營(yíng)管理平臺(tái)系統(tǒng)截圖
它綜合采集網(wǎng)絡(luò)流量數(shù)據(jù)及安全設(shè)備、網(wǎng)絡(luò)服務(wù)日志數(shù)據(jù),并將不同來(lái)源、格式、特性的數(shù)據(jù)集中存儲(chǔ);然后基于機(jī)器學(xué)習(xí)模型與算法服務(wù),把系統(tǒng)當(dāng)前和過(guò)去遇到的安全威脅進(jìn)行關(guān)聯(lián)回溯和大數(shù)據(jù)分析,感知基礎(chǔ)網(wǎng)絡(luò)安全與信息系統(tǒng)安全,生成網(wǎng)絡(luò)安全預(yù)警,并將安全威脅以攻擊模型風(fēng)險(xiǎn)定位的方式呈現(xiàn)給管理員,給網(wǎng)絡(luò)安全管理員提供了極大便利。
圖6是網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)與運(yùn)營(yíng)管理平臺(tái)攻擊模型風(fēng)險(xiǎn)定位截圖,紅圈內(nèi)的數(shù)字表示當(dāng)前攻擊階段的安全事件數(shù)。
圖6 南開(kāi)大學(xué)網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)與運(yùn)營(yíng)管理平臺(tái)攻擊模型風(fēng)險(xiǎn)定位系統(tǒng)截圖
隨著學(xué)校網(wǎng)絡(luò)安全管理架構(gòu)的調(diào)整和網(wǎng)絡(luò)安全設(shè)備的部署及對(duì)相應(yīng)安全策略的優(yōu)化,學(xué)校網(wǎng)絡(luò)整體安全防護(hù)水平大幅提升。
從“十三五”期間學(xué)校網(wǎng)絡(luò)安全的統(tǒng)計(jì)數(shù)據(jù)來(lái)看,漏洞類型有比較明顯的變化,傳統(tǒng)OSWAP TOP 10漏洞(如SQL注入、跨站腳本攻擊、遠(yuǎn)程命令執(zhí)行等)逐漸減少,與安全意識(shí)相關(guān)的漏洞(如弱密碼、信息泄露等)已成為當(dāng)前被爆漏洞的主要類型。
這個(gè)現(xiàn)象表明學(xué)校網(wǎng)絡(luò)安全技術(shù)防護(hù)方面已取得一定成效,也暴露出師生個(gè)人用戶網(wǎng)絡(luò)安全意識(shí)方面還有欠缺。網(wǎng)絡(luò)安全工作任重道遠(yuǎn),一個(gè)學(xué)校的整體網(wǎng)絡(luò)安全水平與每個(gè)網(wǎng)絡(luò)活動(dòng)參與者息息相關(guān),“網(wǎng)絡(luò)安全為人民,網(wǎng)絡(luò)安全靠人民”。未來(lái),我們將進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全宣傳、加強(qiáng)對(duì)全校師生的網(wǎng)絡(luò)安全教育培訓(xùn),提升學(xué)校網(wǎng)絡(luò)安全的整體水平。
作者:劉振昌、張四海、曲申、楊陽(yáng)、謝媛(南開(kāi)大學(xué)黨委網(wǎng)絡(luò)安全和信息化辦公室)
本文轉(zhuǎn)載自微信公眾號(hào)“中國(guó)教育網(wǎng)絡(luò)”。文章為作者獨(dú)立觀點(diǎn),不代表芥末堆立場(chǎng),轉(zhuǎn)載請(qǐng)聯(lián)系原作者。
2、芥末堆不接受通過(guò)公關(guān)費(fèi)、車馬費(fèi)等任何形式發(fā)布失實(shí)文章,只呈現(xiàn)有價(jià)值的內(nèi)容給讀者;
3、如果你也從事教育,并希望被芥末堆報(bào)道,請(qǐng)您 填寫(xiě)信息告訴我們。