股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
立即咨询
“互联网+教育”时代,亚信安(ān)全助力江汉大學(xué)“安(ān)全”云化
“互联网+教育”已经进入深度融合阶段,各大高校纷纷在智慧校园基础上推出大批面向“互联网+”的创新(xīn)应用(yòng),江汉大學(xué)(以下简称:“江大”)便是其中(zhōng)之一。為(wèi)了推进“互联网+教育”战略落地,确保智慧校园基础设施和师生网络应用(yòng)安(ān)全,江大携手亚信安(ān)全构建智慧校园安(ān)全防御體(tǐ)系,通过部署亚信安(ān)全云主机安(ān)全(DeepSecurity)以及亚信安(ān)全深度威胁发现设备(TDA),有(yǒu)力提升了云数据中(zhōng)心和校园网的安(ān)全管理(lǐ)水平。
智慧校园安(ān)全體(tǐ)系暴露“短板”
江大是经中(zhōng)國(guó)教育部批准,由原江汉大學(xué)、华中(zhōng)理(lǐ)工(gōng)大學(xué)汉口分(fēn)校、武汉职工(gōng)医(yī)學(xué)院、武汉教育學(xué)院等高校合并组建的一所公(gōng)立的综合性普通高等學(xué)校。學(xué)校实行湖(hú)北省、武汉市共建,以武汉市為(wèi)主的办(bàn)學(xué)體(tǐ)制,是省、市重点建设大學(xué)。截止2015年12月,學(xué)校共有(yǒu)专任教师1066人,全日制在校生近1.8万人。
江大教育信息化起步较早,早在2002年7月便建成了學(xué)校校园网并正式投入运行。2012年,江大开启了智慧校园一期项目建设,大量智慧应用(yòng)在校园内外不断落地。然而,在大量新(xīn)建业務(wù)系统入驻云计算数据中(zhōng)心之后,黑客攻击、恶意程序感染等一系列威胁如影随形。同时,江大还遇到了虚拟化服務(wù)器主机安(ān)全和应用(yòng)层防护这样的新(xīn)问题,信息安(ān)全體(tǐ)系暴露大量“短板”。
江大信息网络中(zhōng)心相关领导表示:“本着智慧化校园开放服務(wù)的建设理(lǐ)念,我校智慧云平台充分(fēn)运用(yòng)了云计算、虚拟化、大数据、物(wù)联网等技(jì )术,实现了移动化、智能(néng)化的全方位覆盖。但是,传统的网络层防御體(tǐ)系并不能(néng)足以对数据中(zhōng)心虚拟化服務(wù)器提供高效的安(ān)全服務(wù)。首先,防毒软件一起工(gōng)作(zuò)时,导致物(wù)理(lǐ)服務(wù)器工(gōng)作(zuò)负载非常大。另外,传统的边界和内部防火墙也无法发现应用(yòng)层的恶意攻击流量,这些技(jì )术问题对于智慧校园发展产(chǎn)生了负面影响。為(wèi)此,我们邀请了业内领先的网络安(ān)全企业和中(zhōng)心的老师一道,对现有(yǒu)防御系统进行了风险评估,并最终决定重构江大的网络安(ān)全防御體(tǐ)系。”
联手评估挖出“四大风险点”
在2015年底至2016年初的这段时间里,江大不仅加大了智慧校园管理(lǐ)平台的投入力度,还邀请了亚信安(ān)全的资深安(ān)全工(gōng)程师对内外网防御水平进行了重新(xīn)评估。那么,最终确定的薄弱环节都有(yǒu)哪些方面呢(ne)?
第一、在智慧校园建设初期,虚拟机上部署了传统客户端模式的防病毒软件,作(zuò)為(wèi)当时唯一的防毒手段,并没有(yǒu)发现异常状况。但在虚拟机数量增加后,信息网络中(zhōng)心的老师却发现,虚拟化平台在业務(wù)高峰期会出现严重的性能(néng)问题,CPU、内存和磁盘I/O接近负载极限,也就是“防毒风暴(AV Storm)”问题。
第二、校内的业務(wù)核心服務(wù)器与互联网隔离,虽然有(yǒu)效的隔离了互联网中(zhōng)的安(ān)全威胁,但操作(zuò)系统、数据库以及应用(yòng)软件也因此不能(néng)及时从互联网获取补丁,导致系统漏洞难以及时得到修补,容易受到来自校园网内部的嗅探和蠕虫攻击,為(wèi)不法人员后续攻击留下了隐患。
第三、数据中(zhōng)心和校园网之间仅有(yǒu)传统的防火墙用(yòng)来抵御来自网络层的DDoS攻击。但从多(duō)次不明入侵事件来看,攻击行為(wèi)主要针对数字校园的Web应用(yòng)平台,以SQL-injection和跨站点脚本攻击手段為(wèi)主,这类攻击行為(wèi)无法被传统防火墙所识别和拦截,存在安(ān)全防御漏洞。
第四、从江汉大學(xué)校数据中(zhōng)心的安(ān)全架构来看,重点仍然停留在基于网络层和连接层的防御,仍然是重边界轻终端的理(lǐ)念。但由于无法实现对整个应用(yòng)层攻击行為(wèi)的监控,无法检测终端是否感染病毒或是被木(mù)马控制,也就无法分(fēn)析其攻击手段和攻击来源,导致已有(yǒu)防御策略失效。
通过对虚拟化和应用(yòng)层漏洞技(jì )术资料的汇总分(fēn)析,信息中(zhōng)心对“防毒风暴”的原因,以及网络威胁监测技(jì )术有(yǒu)了全面的了解。首先,由于传统防毒软件并不是专為(wèi)虚拟化环境设计,当所有(yǒu)虚拟机的防毒软件开启实时防护时,会出现多(duō)台虚拟机同时扫描,会对主机的CPU、内存和磁盘I/O带来巨大的压力,业務(wù)高峰期会导致虚拟化环境崩溃。其次,攻击者会在网络中(zhōng)使用(yòng)其它应用(yòng)程序或服務(wù)继续进行他(tā)们的恶意活动,虽然这些行為(wèi)本质(zhì)上具(jù)有(yǒu)很(hěn)强的隐蔽性,但先进的网络威胁侦测技(jì )术可(kě)以发现“他(tā)们”的蛛丝马迹。
有(yǒu)的放矢形成主动防御
根据双方共同探讨之后得出的结论,江大果断地采用(yòng)了亚信安(ān)全的主动式纵深架构安(ān)全解决方案,在云数据中(zhōng)心部署亚信安(ān)全云主机安(ān)全(DeepSecurity),在网络核心层采用(yòng)旁路方式部署亚信安(ān)全深度威胁发现设备(TDA)。
亚信安(ān)全云主机安(ān)全(DeepSecurity)主要针对前三个风险点,将问题一一对应解决。首先,该平台完全抛弃了传统防毒的概念,从虚拟化底层的防护入手,利用(yòng)无代理(lǐ)机制协助江大信息中(zhōng)心彻底消除AV Storm,大幅提升虚拟机密度。其次,通过DeepSecurity提供的补丁管理(lǐ),让所有(yǒu)虚拟主机形成了统一的补丁部署和升级架构,防止了黑客利用(yòng)最新(xīn)漏洞发起攻击。最后,通过深度封包检查技(jì )术(Deep Packet Inspection,DPI)检查虚拟化底层所有(yǒu)网络协议进出通信,拦截SQL Injection 及Cross-site 跨网站程序代码改写等已知漏洞攻击。
针对最后一个风险点,亚信安(ān)全深度威胁发现设备(TDA)可(kě)以对江大的网络安(ān)全环境进行智能(néng)分(fēn)析。例如:监控所有(yǒu)连接端口以及80 多(duō)种通讯协议,分(fēn)析所有(yǒu)进出的网络数据流量;通过其特殊的侦测引擎与定制化沙箱,能(néng)发现并分(fēn)析攻击者使用(yòng)的恶意软件、幕后操纵(C&C)恶意通信,以及隐匿的攻击活动,提供威胁情报让管理(lǐ)员快速响应并阻止攻击。
对于重构后的防御體(tǐ)系的实际效果,江大信息中(zhōng)心领导表示:“数据中(zhōng)心管理(lǐ)效率得到了大幅提升,DeepSecurity為(wèi)我们节省了很(hěn)多(duō)人力成本,对智慧校园应用(yòng)起到了保驾护航的作(zuò)用(yòng)。另外,TDA成為(wèi)了我们重要的网络预警帮手,它能(néng)在第一时间定位威胁源头,实时掌握整个校园网络的安(ān)全状态。而TDA系统上导出的威胁分(fēn)析报告,也给我们在今后信息安(ān)全规划方面起到了辅助和引导的作(zuò)用(yòng)。”
相关产(chǎn)品
下载
相关案例