一種基于資產(chǎn)管理的智慧校園網(wǎng)絡(luò)安全解決方案

滕薈蕓，胡進(jìn)娟

(江蘇第二師范學(xué)院，江蘇 南京 210000)

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，高校信息化不斷地發(fā)展推進(jìn)，各高校校園網(wǎng)絡(luò)已由傳統(tǒng)的校園網(wǎng)絡(luò)向智能化校園網(wǎng)絡(luò)轉(zhuǎn)變，如數(shù)字化校園、智慧校園等。雖然校園網(wǎng)信息化變革給學(xué)校管理、教師教學(xué)、學(xué)生學(xué)習(xí)帶來(lái)了諸多便利，極大地提升了學(xué)校的教學(xué)質(zhì)量和學(xué)生的學(xué)習(xí)效率，但是近年來(lái)校園網(wǎng)網(wǎng)絡(luò)安全問(wèn)題頻現(xiàn)，給高校帶來(lái)了諸多困擾。因此，如何提升校園網(wǎng)的安全性，以保障校園網(wǎng)安全、穩(wěn)定、可靠運(yùn)行，是各高校亟須解決的問(wèn)題[1]。

因?yàn)樾@網(wǎng)具有開(kāi)放性、互通性、共享性等特性，所以校園網(wǎng)不僅面臨來(lái)自互聯(lián)網(wǎng)的攻擊風(fēng)險(xiǎn)，而且需應(yīng)對(duì)來(lái)自校園網(wǎng)內(nèi)部的攻擊威脅。因此，高校需要一套全生命周期的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控分析預(yù)警機(jī)制來(lái)應(yīng)對(duì)各種安全威脅。實(shí)時(shí)監(jiān)控校園網(wǎng)的網(wǎng)絡(luò)狀態(tài)，動(dòng)態(tài)感知校園網(wǎng)的網(wǎng)絡(luò)安全態(tài)勢(shì)，對(duì)監(jiān)測(cè)到的安全事件進(jìn)行多維度關(guān)聯(lián)分析，并生成較為可信的安全事件分析報(bào)告，便于網(wǎng)絡(luò)安全管理人員進(jìn)行安全威脅研判，評(píng)估安全事件的影響范圍，為網(wǎng)絡(luò)安全應(yīng)急處置提供決策依據(jù)[2-3]。

1 校園網(wǎng)現(xiàn)狀

教育行業(yè)由于信息龐大、應(yīng)用復(fù)雜、數(shù)據(jù)價(jià)值高、老師和學(xué)生網(wǎng)絡(luò)安全意識(shí)薄弱、專業(yè)安全人員和技術(shù)能力不足等現(xiàn)狀，導(dǎo)致高校在信息化發(fā)展過(guò)程中一直是網(wǎng)絡(luò)惡意攻擊者的主要目標(biāo)對(duì)象，給學(xué)校日常的教學(xué)、管理、學(xué)習(xí)等帶來(lái)巨大壓力。目前，校園網(wǎng)主要存在以下問(wèn)題。

1.1 資產(chǎn)數(shù)量多，管理復(fù)雜

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，高校信息化也在不斷進(jìn)行技術(shù)革新，由傳統(tǒng)的教學(xué)模式向數(shù)字信息化教學(xué)模式轉(zhuǎn)型。伴隨著大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、5G等新技術(shù)的應(yīng)用，學(xué)校的網(wǎng)絡(luò)資產(chǎn)越來(lái)越龐大(如門戶網(wǎng)站、在線教學(xué)系統(tǒng)、一卡通系統(tǒng)、戶外LED大屏、網(wǎng)絡(luò)攝像頭等)。這些網(wǎng)絡(luò)資產(chǎn)種類繁多、管理困難，導(dǎo)致學(xué)校面臨的安全風(fēng)險(xiǎn)壓力也逐漸增大。

學(xué)?，F(xiàn)有的網(wǎng)絡(luò)資產(chǎn)管理手段仍然采用傳統(tǒng)的手工錄入和被動(dòng)上報(bào)方式，依靠人工處理，不僅工作量大、責(zé)任劃分不明確，且存在資產(chǎn)錄入不全面、工作效率低下、資產(chǎn)變更不及時(shí)等問(wèn)題。無(wú)法及時(shí)發(fā)現(xiàn)違規(guī)上線資產(chǎn)、廢棄資產(chǎn)、影子資產(chǎn)、僵尸資產(chǎn)等有害資產(chǎn)，缺乏有效管理手段，使得這些資產(chǎn)常常成為孤島網(wǎng)站，從而成為黑客攻擊、病毒入侵的有利目標(biāo)，嚴(yán)重威脅了校園網(wǎng)絡(luò)安全。

1.2 安全設(shè)備多，單打獨(dú)斗

隨著高校信息化建設(shè)的不斷投入，安全管理逐漸完善，學(xué)校通常部署了防火墻、VPN、IPS、上網(wǎng)行為、漏洞掃描、WAF防護(hù)等安全設(shè)備。各種安全設(shè)備根據(jù)自身的規(guī)則及檢測(cè)策略對(duì)訪問(wèn)行為、內(nèi)容進(jìn)行匹配檢測(cè)，發(fā)現(xiàn)安全風(fēng)險(xiǎn)。各種安全設(shè)備所生產(chǎn)的安全數(shù)據(jù)相對(duì)獨(dú)立、分散，甚至重復(fù)、冗余。

隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提升，網(wǎng)絡(luò)攻擊行為不再是簡(jiǎn)單的單一攻擊行為，而是慢慢演變成更加復(fù)雜、高級(jí)的攻擊行為(如APT攻擊、0 Day攻擊)。僅僅依靠單一的、孤立的安全日志，無(wú)法有效地反映出正在發(fā)生的或潛在發(fā)生的安全威脅。

1.3 安全日志雜，干擾判斷

隨著《網(wǎng)絡(luò)安全法》和《等級(jí)保護(hù)2.0》等相關(guān)法律法規(guī)的出臺(tái)，高校通常部署了多種類型的安全設(shè)備。這些設(shè)備每天都會(huì)產(chǎn)生海量的運(yùn)行日志和安全日志，但是由于安全廠家不同、安全設(shè)備類型不同、檢測(cè)方式不同、規(guī)則定義不同、數(shù)據(jù)格式不同，造成了這些日志的千差萬(wàn)別。因此，當(dāng)一個(gè)安全事件發(fā)生時(shí)，通過(guò)不同的安全設(shè)備，發(fā)現(xiàn)的數(shù)據(jù)表述也是不一樣的，尤其當(dāng)復(fù)雜安全事件發(fā)生時(shí)，單純地依靠雜亂的日志或者人工分析，無(wú)法及時(shí)有效地發(fā)現(xiàn)潛在的安全攻擊威脅。

同時(shí)，安全設(shè)備的海量日志中還存在大量的重復(fù)日志、噪聲數(shù)據(jù)、錯(cuò)誤數(shù)據(jù)、誤報(bào)數(shù)據(jù)等，嚴(yán)重干擾了安全技術(shù)人員的專業(yè)判斷，導(dǎo)致真實(shí)的安全事件、安全告警被淹沒(méi)，給學(xué)校安全技術(shù)人員的日常安全工作帶來(lái)極大的負(fù)面影響。

1.4 安全人員不足，技術(shù)匱乏

根據(jù)高校網(wǎng)絡(luò)與信息化發(fā)展的歷程可以發(fā)現(xiàn)，早期的學(xué)校網(wǎng)絡(luò)信息化發(fā)展重點(diǎn)關(guān)注校園網(wǎng)的基礎(chǔ)設(shè)施、計(jì)算能力和應(yīng)用系統(tǒng)的建設(shè)發(fā)展，而在網(wǎng)絡(luò)安全層面缺少人力、物力、財(cái)力的投入，多數(shù)情況下都是由網(wǎng)絡(luò)部門代管或者網(wǎng)絡(luò)運(yùn)維人員兼管安全工作。專業(yè)的安全能力的缺失，導(dǎo)致學(xué)校在應(yīng)對(duì)愈漸復(fù)雜的網(wǎng)絡(luò)安全威脅和安全事件時(shí)，缺乏對(duì)安全事件的理解、分析、預(yù)警、通報(bào)、處置及威脅感知等專業(yè)能力[4]。

2 校園網(wǎng)安全需求

針對(duì)校園網(wǎng)的現(xiàn)狀，在面對(duì)日漸嚴(yán)重的安全威脅時(shí)，學(xué)校需要通過(guò)創(chuàng)新的技術(shù)理念，構(gòu)建一套全生命周期的校園網(wǎng)網(wǎng)絡(luò)安全解決方案，將傳統(tǒng)的“被動(dòng)防御”轉(zhuǎn)換為“主動(dòng)防御”。(1)要“摸清家底”，實(shí)時(shí)掌握校園網(wǎng)的網(wǎng)絡(luò)資產(chǎn)情況，及時(shí)發(fā)現(xiàn)問(wèn)題資產(chǎn)；(2)對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行定期的漏洞檢查，主動(dòng)發(fā)現(xiàn)安全漏洞；(3)聯(lián)動(dòng)各類型安全設(shè)備，持續(xù)多維度地關(guān)聯(lián)分析，動(dòng)態(tài)地感知校園網(wǎng)網(wǎng)絡(luò)安全威脅態(tài)勢(shì)的發(fā)展[5]，從而生成更為可信的安全事件分析報(bào)告，幫助網(wǎng)絡(luò)安全技術(shù)人員進(jìn)行安全威脅研判；(4)完善應(yīng)急響應(yīng)機(jī)制，自動(dòng)化處置安全威脅。

2.1 資產(chǎn)梳理自動(dòng)化

摒棄傳統(tǒng)的人工管理資產(chǎn)方法，引入網(wǎng)絡(luò)資產(chǎn)統(tǒng)一管理設(shè)備，根據(jù)校園網(wǎng)的網(wǎng)絡(luò)環(huán)境特性，對(duì)學(xué)校網(wǎng)絡(luò)資產(chǎn)進(jìn)行自動(dòng)學(xué)習(xí)和梳理，自動(dòng)化形成校園網(wǎng)網(wǎng)絡(luò)資產(chǎn)信息清單，建立資產(chǎn)信息倉(cāng)庫(kù)。網(wǎng)絡(luò)資產(chǎn)統(tǒng)一管理設(shè)備通過(guò)對(duì)網(wǎng)站訪問(wèn)態(tài)勢(shì)、維護(hù)狀態(tài)和運(yùn)行狀態(tài)等維度的監(jiān)控分析，可以及時(shí)地發(fā)現(xiàn)“僵尸”網(wǎng)站、“私搭亂建”網(wǎng)站和未備案系統(tǒng)等問(wèn)題資產(chǎn)，幫助學(xué)校發(fā)現(xiàn)校園網(wǎng)中存在的管理“疏漏點(diǎn)”和未知威脅，實(shí)現(xiàn)了學(xué)校網(wǎng)絡(luò)資產(chǎn)的自動(dòng)化管理，為校園網(wǎng)安全能力的提升提供了基礎(chǔ)。

2.2 提升安全檢測(cè)能力

開(kāi)放的校園網(wǎng)不僅為高校的師生提供了便利，也為網(wǎng)絡(luò)黑客等不法分子的惡意攻擊(如網(wǎng)站攻擊、頁(yè)面篡改、數(shù)據(jù)竊密等)提供了場(chǎng)所。隨著網(wǎng)絡(luò)攻擊門檻的降低，網(wǎng)絡(luò)攻擊手段不斷增多，高級(jí)APT攻擊、加密流量、隱秘隧道等攻擊行為逐漸成為主流的攻擊手法[6]，傳統(tǒng)的防火墻等安全設(shè)備已經(jīng)不能應(yīng)對(duì)這些安全威脅。因此，高校校園網(wǎng)需要部署一系列新型安全防護(hù)系統(tǒng)，利用創(chuàng)新的AI智能引擎技術(shù)，對(duì)網(wǎng)絡(luò)流量進(jìn)行深度分析，建模分析惡意攻擊會(huì)話的請(qǐng)求和響應(yīng)，通過(guò)網(wǎng)絡(luò)入侵引擎、人工智能引擎、動(dòng)態(tài)智能沙箱、威脅情報(bào)等模塊的交叉檢測(cè)能力，對(duì)網(wǎng)絡(luò)中的APT、加密流量、隱秘隧道、網(wǎng)絡(luò)入侵、惡意文件、變種木馬等高級(jí)威脅攻擊行為進(jìn)行檢測(cè)發(fā)現(xiàn)，對(duì)未知的攻擊和0Day漏洞利用攻擊行為進(jìn)行有效檢測(cè)防御，實(shí)現(xiàn)L4-7層的網(wǎng)絡(luò)攻擊防護(hù)，提升校園網(wǎng)的主動(dòng)防御水平。

2.3 提升風(fēng)險(xiǎn)感知能力

隨著高校對(duì)信息安全重視度的提高，校園網(wǎng)中的安全設(shè)備種類也在增多，如漏洞掃描、流量分析和威脅監(jiān)測(cè)等。但是，當(dāng)安全事件發(fā)生時(shí)，海量的安全日志中存在大量的噪聲數(shù)據(jù)需要甄別過(guò)濾，大大降低了安全事件的分析效率。同時(shí)，傳統(tǒng)的安全設(shè)備與網(wǎng)絡(luò)資產(chǎn)自身屬性的關(guān)聯(lián)信息較少，例如單純的漏洞信息或攻擊日志只記錄了相關(guān)的IP信息，缺少被影響資產(chǎn)的屬性和用途等信息，所以安全設(shè)備在進(jìn)行風(fēng)險(xiǎn)研判時(shí)缺少支撐，難以做出準(zhǔn)確判斷，仍然需要人工核對(duì)，影響安全事件處置效率。因此，可以利用大數(shù)據(jù)分析技術(shù)，采集全量安全事件數(shù)據(jù)，包括網(wǎng)絡(luò)資產(chǎn)、漏洞威脅、攻擊事件、流量威脅等多源數(shù)據(jù)，對(duì)安全事件日志進(jìn)行統(tǒng)一處理、智能分析，為安全技術(shù)人員提供多維度的事件信息和決策依據(jù)，并通過(guò)溯源分析提取原始事件和歷史攻擊軌跡，幫助學(xué)校全面理解和跟蹤網(wǎng)絡(luò)安全事件態(tài)勢(shì)，做出合理準(zhǔn)確的研判和處置。

安全問(wèn)題無(wú)法避免，所以問(wèn)題發(fā)生后的溯源和分析取證就顯得尤為重要。全面的攻擊路徑分析和可靠的風(fēng)險(xiǎn)行為畫(huà)像可以幫助學(xué)校準(zhǔn)確地甄別安全風(fēng)險(xiǎn)點(diǎn)，制定可靠的修復(fù)方案，從而應(yīng)對(duì)后續(xù)同類型的安全威脅。

2.4 完善應(yīng)急響應(yīng)機(jī)制

資產(chǎn)安全的另一個(gè)決定性因素是事件處置能否閉環(huán)。一般情況下，安全設(shè)備都是獨(dú)立部署的，按照不同的安全需求和政策要求進(jìn)行合規(guī)建設(shè)，然后，再靠人工維護(hù)來(lái)建立關(guān)聯(lián)能力并形成閉環(huán)，更多的場(chǎng)景下做的是事前預(yù)防和事后補(bǔ)救的工作。當(dāng)緊急事件發(fā)生時(shí)，獨(dú)立的安全設(shè)備缺少敏捷的響應(yīng)手段，導(dǎo)致應(yīng)急處置能力不足。因此，需要一種閉環(huán)的關(guān)聯(lián)策略，能夠根據(jù)預(yù)設(shè)的應(yīng)急預(yù)案，自動(dòng)化執(zhí)行相應(yīng)的動(dòng)作或聯(lián)動(dòng)相應(yīng)的安全設(shè)備，從而做到協(xié)同聯(lián)動(dòng)、主動(dòng)響應(yīng)。

3 一種基于資產(chǎn)管理的智慧校園網(wǎng)絡(luò)安全解決方案

根據(jù)校園網(wǎng)的現(xiàn)狀和安全需求，本文提出了一種基于資產(chǎn)管理的智慧校園網(wǎng)絡(luò)安全解決方案，主要包括3方面：資產(chǎn)學(xué)習(xí)、感知預(yù)測(cè)、閉環(huán)處置，如圖1所示。

3.1 資產(chǎn)學(xué)習(xí)

利用資產(chǎn)管理平臺(tái)分析校園網(wǎng)內(nèi)流量，自動(dòng)化學(xué)習(xí)校園網(wǎng)內(nèi)網(wǎng)絡(luò)資產(chǎn)，“摸清家底”，發(fā)現(xiàn)“僵尸”網(wǎng)站，及時(shí)發(fā)現(xiàn)“私搭亂建”網(wǎng)站和未備案系統(tǒng)，幫助學(xué)校發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)安全管理“疏漏點(diǎn)”和未知威脅。

完善資產(chǎn)日常管理，責(zé)權(quán)明晰。建立平臺(tái)化網(wǎng)站安全準(zhǔn)入備案制度，針對(duì)學(xué)習(xí)到的所有資產(chǎn)進(jìn)行備案。全面掌握學(xué)校網(wǎng)絡(luò)資產(chǎn)的基礎(chǔ)信息，在突發(fā)事件發(fā)生時(shí)，可以快速定位到相關(guān)的負(fù)責(zé)人和關(guān)鍵信息，安排處置工作。

3.2 感知預(yù)測(cè)

圖1 智慧校園網(wǎng)絡(luò)安全的主要流程

使用感知預(yù)測(cè)平臺(tái)對(duì)已發(fā)現(xiàn)的網(wǎng)絡(luò)資產(chǎn)進(jìn)行全生命周期動(dòng)態(tài)化安全態(tài)勢(shì)檢測(cè)，定期執(zhí)行安全漏洞掃描、風(fēng)險(xiǎn)評(píng)估、漏洞跟蹤等，實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)安全漏洞態(tài)勢(shì)感知。同時(shí)，平臺(tái)聯(lián)動(dòng)學(xué)校多種安全設(shè)備，關(guān)聯(lián)分析各類型安全事件，綜合研判校園網(wǎng)安全態(tài)勢(shì)，預(yù)測(cè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，實(shí)時(shí)更新威脅情報(bào)。

3.3 閉環(huán)處置

支持微信、郵件、syslog等多種告警方式。當(dāng)網(wǎng)站存在安全漏洞，遭受篡改、暗鏈等攻擊時(shí)，安全平臺(tái)進(jìn)行及時(shí)告警，并提供詳細(xì)的處置建議，且擁有事件回溯能力，幫助學(xué)校找出問(wèn)題點(diǎn)，避免同類型事件的再次發(fā)生。

4 結(jié)語(yǔ)

本文提出了一種基于資產(chǎn)管理的智慧校園網(wǎng)絡(luò)安全解決方案，利用資產(chǎn)統(tǒng)一管理設(shè)備，將傳統(tǒng)的人工備案改為自動(dòng)化學(xué)習(xí)，改變了工作方式，減輕了安全運(yùn)維的工作壓力。同時(shí)，通過(guò)校園網(wǎng)中網(wǎng)絡(luò)資產(chǎn)的實(shí)時(shí)監(jiān)控、各類型安全設(shè)備的安全聯(lián)動(dòng)、海量安全日志的綜合分析，基于資產(chǎn)管理的智慧校園網(wǎng)絡(luò)安全解決方案可以有效地應(yīng)對(duì)網(wǎng)絡(luò)攻擊威脅，并在安全事件發(fā)生后，對(duì)事件進(jìn)行回溯，幫助學(xué)校從管理和技術(shù)等多維度提升網(wǎng)絡(luò)安全防護(hù)能力。