“互聯(lián)網(wǎng)+教育”時代 亞信安全助力江漢大學(xué)“安全”云化
“互聯(lián)網(wǎng)+教育”已經(jīng)進(jìn)入深度融合階段,各大高校紛紛在智慧校園基礎(chǔ)上推出大批面向“互聯(lián)網(wǎng)+”的創(chuàng)新應(yīng)用,江漢大學(xué)(以下簡稱:“江大”)便是其中之一。為了推進(jìn)“互聯(lián)網(wǎng)+教育”戰(zhàn)略落地,確保智慧校園基礎(chǔ)設(shè)施和師生網(wǎng)絡(luò)應(yīng)用安全,江大攜手亞信安全構(gòu)建智慧校園安全防御體系,通過部署亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)以及亞信安全深度威脅發(fā)現(xiàn)設(shè)備(TDA),有力提升了云數(shù)據(jù)中心和校園網(wǎng)的安全管理水平。
智慧校園安全體系暴露“短板”
江大是經(jīng)中國教育部批準(zhǔn),由原江漢大學(xué)、華中理工大學(xué)漢口分校、武漢職工醫(yī)學(xué)院、武漢教育學(xué)院等高校合并組建的一所公立的綜合性普通高等學(xué)校。學(xué)校實行湖北省、武漢市共建,以武漢市為主的辦學(xué)體制,是省、市重點建設(shè)大學(xué)。截止2015年12月,學(xué)校共有專任教師1066人,全日制在校生近1.8萬人。
江大教育信息化起步較早,早在2002年7月便建成了學(xué)校校園網(wǎng)并正式投入運行。2012年,江大開啟了智慧校園一期項目建設(shè),大量智慧應(yīng)用在校園內(nèi)外不斷落地。然而,在大量新建業(yè)務(wù)系統(tǒng)入駐云計算數(shù)據(jù)中心之后,黑客攻擊、惡意程序感染等一系列威脅如影隨形。同時,江大還遇到了虛擬化服務(wù)器主機安全和應(yīng)用層防護(hù)這樣的新問題,信息安全體系暴露大量“短板”。
江大信息網(wǎng)絡(luò)中心相關(guān)領(lǐng)導(dǎo)表示:“本著智慧化校園開放服務(wù)的建設(shè)理念,我校智慧云平臺充分運用了云計算、虛擬化、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù),實現(xiàn)了移動化、智能化的全方位覆蓋。但是,傳統(tǒng)的網(wǎng)絡(luò)層防御體系并不能足以對數(shù)據(jù)中心虛擬化服務(wù)器提供高效的安全服務(wù)。首先,防毒軟件一起工作時,導(dǎo)致物理服務(wù)器工作負(fù)載非常大。另外,傳統(tǒng)的邊界和內(nèi)部防火墻也無法發(fā)現(xiàn)應(yīng)用層的惡意攻擊流量,這些技術(shù)問題對于智慧校園發(fā)展產(chǎn)生了負(fù)面影響。為此,我們邀請了業(yè)內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全企業(yè)和中心的老師一道,對現(xiàn)有防御系統(tǒng)進(jìn)行了風(fēng)險評估,并最終決定重構(gòu)江大的網(wǎng)絡(luò)安全防御體系。”
聯(lián)手評估挖出“四大風(fēng)險點”
在2015年底至2016年初的這段時間里,江大不僅加大了智慧校園管理平臺的投入力度,還邀請了亞信安全的資深安全工程師對內(nèi)外網(wǎng)防御水平進(jìn)行了重新評估。那么,最終確定的薄弱環(huán)節(jié)都有哪些方面呢?
第一、在智慧校園建設(shè)初期,虛擬機上部署了傳統(tǒng)客戶端模式的防病毒軟件,作為當(dāng)時唯一的防毒手段,并沒有發(fā)現(xiàn)異常狀況。但在虛擬機數(shù)量增加后,信息網(wǎng)絡(luò)中心的老師卻發(fā)現(xiàn),虛擬化平臺在業(yè)務(wù)高峰期會出現(xiàn)嚴(yán)重的性能問題,CPU、內(nèi)存和磁盤I/O接近負(fù)載極限,也就是“防毒風(fēng)暴(AV Storm)”問題。
第二、校內(nèi)的業(yè)務(wù)核心服務(wù)器與互聯(lián)網(wǎng)隔離,雖然有效的隔離了互聯(lián)網(wǎng)中的安全威脅,但操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用軟件也因此不能及時從互聯(lián)網(wǎng)獲取補丁,導(dǎo)致系統(tǒng)漏洞難以及時得到修補,容易受到來自校園網(wǎng)內(nèi)部的嗅探和蠕蟲攻擊,為不法人員后續(xù)攻擊留下了隱患。
第三、數(shù)據(jù)中心和校園網(wǎng)之間僅有傳統(tǒng)的防火墻用來抵御來自網(wǎng)絡(luò)層的DDoS攻擊。但從多次不明入侵事件來看,攻擊行為主要針對數(shù)字校園的Web應(yīng)用平臺,以SQL-injection和跨站點腳本攻擊手段為主,這類攻擊行為無法被傳統(tǒng)防火墻所識別和攔截,存在安全防御漏洞。
第四、從江漢大學(xué)校數(shù)據(jù)中心的安全架構(gòu)來看,重點仍然停留在基于網(wǎng)絡(luò)層和連接層的防御,仍然是重邊界輕終端的理念。但由于無法實現(xiàn)對整個應(yīng)用層攻擊行為的監(jiān)控,無法檢測終端是否感染病毒或是被木馬控制,也就無法分析其攻擊手段和攻擊來源,導(dǎo)致已有防御策略失效。
通過對虛擬化和應(yīng)用層漏洞技術(shù)資料的匯總分析,信息中心對“防毒風(fēng)暴”的原因,以及網(wǎng)絡(luò)威脅監(jiān)測技術(shù)有了全面的了解。首先,由于傳統(tǒng)防毒軟件并不是專為虛擬化環(huán)境設(shè)計,當(dāng)所有虛擬機的防毒軟件開啟實時防護(hù)時,會出現(xiàn)多臺虛擬機同時掃描,會對主機的CPU、內(nèi)存和磁盤I/O帶來巨大的壓力,業(yè)務(wù)高峰期會導(dǎo)致虛擬化環(huán)境崩潰。其次,攻擊者會在網(wǎng)絡(luò)中使用其它應(yīng)用程序或服務(wù)繼續(xù)進(jìn)行他們的惡意活動,雖然這些行為本質(zhì)上具有很強的隱蔽性,但先進(jìn)的網(wǎng)絡(luò)威脅偵測技術(shù)可以發(fā)現(xiàn)“他們”的蛛絲馬跡。
有的放矢形成主動防御
根據(jù)雙方共同探討之后得出的結(jié)論,江大果斷地采用了亞信安全的主動式縱深架構(gòu)安全解決方案,在云數(shù)據(jù)中心部署亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security),在網(wǎng)絡(luò)核心層采用旁路方式部署亞信安全深度威脅發(fā)現(xiàn)設(shè)備(TDA)。
亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)主要針對前三個風(fēng)險點,將問題一一對應(yīng)解決。首先,該平臺完全拋棄了傳統(tǒng)防毒的概念,從虛擬化底層的防護(hù)入手,利用無代理機制協(xié)助江大信息中心徹底消除AV Storm,大幅提升虛擬機密度。其次,通過Deep Security提供的補丁管理,讓所有虛擬主機形成了統(tǒng)一的補丁部署和升級架構(gòu),防止了黑客利用最新漏洞發(fā)起攻擊。最后,通過深度封包檢查技術(shù)(Deep Packet Inspection,DPI)檢查虛擬化底層所有網(wǎng)絡(luò)協(xié)議進(jìn)出通信,攔截SQL Injection 及Cross-site 跨網(wǎng)站程序代碼改寫等已知漏洞攻擊。
針對最后一個風(fēng)險點,亞信安全深度威脅發(fā)現(xiàn)設(shè)備(TDA)可以對江大的網(wǎng)絡(luò)安全環(huán)境進(jìn)行智能分析。例如:監(jiān)控所有連接端口以及80 多種通訊協(xié)議,分析所有進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)流量;通過其特殊的偵測引擎與定制化沙箱,能發(fā)現(xiàn)并分析攻擊者使用的惡意軟件、幕后操縱(C&C)惡意通信,以及隱匿的攻擊活動,提供威脅情報讓管理員快速響應(yīng)并阻止攻擊。
對于重構(gòu)后的防御體系的實際效果,江大信息中心領(lǐng)導(dǎo)表示:“數(shù)據(jù)中心管理效率得到了大幅提升,Deep Security為我們節(jié)省了很多人力成本,對智慧校園應(yīng)用起到了保駕護(hù)航的作用。另外,TDA成為了我們重要的網(wǎng)絡(luò)預(yù)警幫手,它能在第一時間定位威脅源頭,實時掌握整個校園網(wǎng)絡(luò)的安全狀態(tài)。而TDA系統(tǒng)上導(dǎo)出的威脅分析報告,也給我們在今后信息安全規(guī)劃方面起到了輔助和引導(dǎo)的作用。”
