摘要:随着高校教学信息化系统的深入建设与扩展,教学信息化系统对日常教学的支撑和服务日益显露出其重要性与必要性。新一代网络安全技术和产品的引入对在现有网络环境下加强教学信息化系统安全保证其安全稳定运行给出了有益的帮助。本文从闽南师范大学教学信息化系统的安全建设的现状和实践出发就此问题进行研究和思考。
关键词:教学信息化系统;信息安全;态势感知;行为管理
一、建设现状
闽南师范大学教务处作为本校教学信息化系统的建设和管理单位多年来对教学信息化系统进行了持续的投入和建设,目前已初步建成了覆盖“一江两校区”的教学信息化系统。其中包括覆盖两校区所有教学楼和附属设施的教学专用网络和覆盖全校238间教室的云多媒体教室系统,以及教务管理系统、教学可视化管理系统、音视频信息系统、标准化考试巡考系统、智慧教学系统、在线教学直播录播系统、教室物联网管理系统等各种教学信息化应用系统。其中教学专用网络是闽南师范大学各大教学信息化业务平台及教务处信息系统的基础核心,是校园网的一个重要的子网。因为有大量为广大师生服务的重要信息(数据)平台,所以信息系统安全是网络保护的核心。在现有系统结构下,闽南师范大学教学信息系统已稳定运行多年。但随着国家关于等级保护要求的提高以及信息系统在学校整体运行中的重要性日益提高,在现有教学专用网络结构和安全设备基础上,实施重点保护,对各应用系统深入开展信息安全保护工作,并在此基础上指引后续信息化安全建设方向成为信息化系统建设新的工作重心。
二、现存问题
如闽南师范大学教学信息化系统拓扑图所示,目前教学信息化系统全网使用RG-S8605E作为单独核心,使用千兆光纤下联RG-S2910接入交换机,由接入交换机接入RG-CT6300云桌面终端,其云桌面服务器及其他应用系统服务器全部通过直连千兆电缆接入核心交换机部署。该拓扑结构较为简洁,但因此带来的问题十分明显:(1)全网拓扑结构中现有设备,使用目的均为保障日常办公、教学业务的开展,专网网络出口及各分区均无安全设备部署。虽然学校校园网络出口有网络安全设备,但随着信息化发展,专网内部各系统面临的安全防护、应用控制、安全连接等各类安全问题的解决迫在眉睫;(2)在目前情况下无法对用户日常使用各类应用所产生的数据进行全面检查和分析,对于可能存在的违规行为无法进行及时有效的深度识别、管控和审计;(3)在网络潜在攻击和威胁层面,现有设备架构无法对网络流量进行审计,无法对重要原始网络数据包的保存、威胁情报检测、攻击检测等进行操作,对于各类高风险的运维访问协议,并在连接过程进行身份识别、行为分析、风险鉴别。
三、建设思路及方案
(一)建设思路
根据闽南师范大学教学信息化系统的现状和存在的问题,笔者及团队从以下几个角度出发进行思考,开展如何实行信息系统及配套网络系统的安全建设改造,力求通过从整个系统顶层架构的调整来解决现存的问题并为今后信息系统的建设做好准备。
1.网络架构调整
通过在教学信息化专用网络与校园网连接的边界安全域部署防火墙,在各个安全域边界部署防火墙实现各个安全域的边界隔离和划分,在防火墙上配置访问控制策略对外部访问和内部数据访问进行控制。防火墙可根据会话状态信息,对源地址、目的地址、源端口、目的端口和协议等进行访问控制,做到允许/拒绝访问,控制力度可设置为端口级。
2.建立访问控制体系
通过在安全区域边界设置自主和强制访问控制机制,应对源及目标计算节点的身份、地址、端口和应用协议等进行可信验证,对进出安全区域边界的数据信息进行控制,阻止非授权访问。
3.建立态势感知系统
考虑在教学信息化专网内部建设态势感知系统,对专网内部数据访问进行动态监控。该系统可根据采集的攻击信息,对攻击来源、目标等进行统计和计算,对攻击来源进行溯源,让管理员对全网的攻击态势进行动态的跟踪了解,以及时进行处置干预,保证网内信息安全。
4.建设安全管理中心系统
安全管理中心是为提供集中安全管理功能的系统,是安全应用系统安全策略部署和控制的中心,对安全通信网络、安全区域边界和安全计算环境上的安全机制实施统一集中管理。安全管理中以大数据框架为基础,结合威胁情报系统,协助建立和完善对网络内部的安全态势监控、安全威胁实时预警、安全事故紧急响应的能力,利用智能化预警协助管理员快速发现和分析安全问题,并通过技术手段,实现安全问题闭环管理。
(二)设备选型要求
1.下一代防火墙设备
网关类安全产品作为整个网络安全架构中的关键组成部分,承担着安全防护、应用控制、安全连接、多运营商链路加速等多维度的复杂任务,因此在建设中要求具备以下要求:(1)采用CPU+ASIC硬件芯片融合技术,以此解决现在设备采用的传统X86架构在应用层数据检测方面存在的性能瓶颈问题;(2)在支持NAT、ACL、DDoS防御等传统安全功能的同时也应支持多样化的应用级安全功能,包括病毒查杀、入侵检测、APP检测、文件过滤、恶意URL过滤等;(3)可对大量的网络应用和地址进行快速识别,要求可识别超过3000个以上的互联网应用和超过2.5亿个URL地址;(4)可针对应用、用户、内容关联分析,审计全网的事件日志并通过数据分析处理,将事件日志分类、整合,提供潜在威胁的预警;(5)支持与在线安全系统如线上云安全中心的联动,可以在线获取有效的针对未知威胁的防护方案,以便应对超出传统防御手段的威胁与攻击。
2.上网行为管理设备
行为管理设备可以针对性的对系统和网内用户的数据访问和分发等行为进行管控,对特征用户进行预警和跟踪,对信息化系统的内部管理有重要的意义,因此从以下几方面提出设备要求:(1)可以精确识别用户上网的URL、网络搜索、外发文件、邮件、微博等,支持移动APP识别、用户终端关联无线APMAC、SSID识别、HTTPS网页及SSL加密邮件识别,可以进行全面的内容审计精细透视网络行为;(2)需要支持用户、协议、接口上下行流量管理,支持带宽多级嵌套管理、上网应用细分控制、上网总时长管理、会话控制,并可通过设置优先级保障关键业务带宽,实现多级带宽管理;(3)可以进行邮件收发管理和附件过滤、不良网站封堵、HTTP/FTP文件传输控制、搜索关键字过滤,异常流量检测告警、异常行为检测告警等精细化信息管理;(4)要求具备上网行为审计许可及公共场所无线上网服务许可,满足6个月以上的上网日志存储要求,支持和上级网络管理平台数据对接;(5)支持本地认证、支持微信认证、短信认证、LDAP、Radius、AD域认证,轻松满足身份系统对接。
3.流量态势感知系统
流量态势感知设备可以进一步完善在网络安全数据采集能力,在高速网络环境下实行对主流网络数据包的解码、协议识别及会话重组/保存、重要原始网络数据包的保存、威胁情报检测、攻击检测等;对于相关重要的会话信息、攻击检测、威胁情报检测等生成的安全事件转发至BDS上层模块作为进一步分析的数据来源,是对传统安全防御系统的进一步完善和补充。其具体特点和选型要求有:(1)要求采用零拷贝、全程无锁化技术处理网络流量数据包,利用CPU向量化指令对各类模式进行识别或匹配,保证在超大流量情况下,系统整体处理无延时;(2)要求采用向量机、马尔科夫转移概率分析、距离分析、参数及非参数假设检验分析等智能分析方法对各类网络连接及流量进行分析,对可能隐藏的问题进行深层级挖掘;(3)可从已知签名检测、行为检测、网络会话异常检测、威胁情报检测及事件关联分析等多个维度对URL、邮件、网络通道、流量等威胁载体中各类安全威胁进行深度检测,并在高级持续威胁的漏洞利用、后门植入、后门网络通道,C&C回连、流量异常等多个阶段、多个攻击环节上形成比较纵深、完备的检测体系;(4)可对于HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等应用协议的元数据及会话数据,进行大数据存储、搜索分析,识别、挖掘其中可疑的攻击行为,进行安全分析效能持续改进。
结语
闽南师范大学教学信息化系统的安全建设方案依照“化被动为主动,防内与防外并重”的思路进行了整体设计,通过安全设备的多层级多方位部署防御,将原来的被动防御和消极防御转变为主动防御,在信息系统和专网的管理中掌握优先权。管理员可以跟踪用户在服务器上的操作,防御黑客的入侵攻击,加强安全网络的防御,及加强高级威胁检测能力。并通过“文件+流量”双维度分析,完善各信息系统和专用网络的“安全墙”,把网络中的非法分子挡在墙外,也对内部进行审计管理,将内部的“病魔”驱除。同时安全设备尽量采用旁挂方式部署,避免了整体方案因为安全加固而出现新的安全问题。建设的中心思想是要解决当前安全问题,因此在增加安全设备为网络保驾护航同时也考虑到安全设备造成的与校园网主连接出口单点故障风险,通过网络架构和设备的合理配置尽量降低因物理链路原因而产生的新问题。目前,以上建设方案已经进入分期建设阶段,第一期专用网络改造调整和流量分析系统、网络运维管理平台等安全系统已经采购安装建设到位,完成经费投入约200万元。目前,已经建设完成的系统和设备已经在日常教学信息化应用中发挥应有的作用。
作者:董征 单位:闽南师范大学
