“互聯(lián)網(wǎng)+教育”已經(jīng)進(jìn)入深度融合階段，各大高校紛紛在智慧校園基礎(chǔ)上推出大批面向“互聯(lián)網(wǎng)+”的創(chuàng)新應(yīng)用，江漢大學(xué)(以下簡稱：“江大”)便是其中之一。為了推進(jìn)“互聯(lián)網(wǎng)+教育”戰(zhàn)略落地，確保智慧校園基礎(chǔ)設(shè)施和師生網(wǎng)絡(luò)應(yīng)用安全，江大攜手亞信安全構(gòu)建智慧校園安全防御體系，通過部署亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)以及亞信安全深度威脅發(fā)現(xiàn)設(shè)備(TDA)，有力提升了云數(shù)據(jù)中心和校園網(wǎng)的安全管理水平。

[[173420]]

智慧校園安全體系暴露“短板”

江大是經(jīng)中國教育部批準(zhǔn)，由原江漢大學(xué)、華中理工大學(xué)漢口分校、武漢職工醫(yī)學(xué)院、武漢教育學(xué)院等高校合并組建的一所公立的綜合性普通高等學(xué)校。學(xué)校實(shí)行湖北省、武漢市共建，以武漢市為主的辦學(xué)體制，是省、市重點(diǎn)建設(shè)大學(xué)。截止2015年12月，學(xué)校共有專任教師1066人，全日制在校生近1.8萬人。

江大教育信息化起步較早，早在2002年7月便建成了學(xué)校校園網(wǎng)并正式投入運(yùn)行。2012年，江大開啟了智慧校園一期項(xiàng)目建設(shè)，大量智慧應(yīng)用在校園內(nèi)外不斷落地。然而，在大量新建業(yè)務(wù)系統(tǒng)入駐云計(jì)算數(shù)據(jù)中心之后，黑客攻擊、惡意程序感染等一系列威脅如影隨形。同時(shí)，江大還遇到了虛擬化服務(wù)器主機(jī)安全和應(yīng)用層防護(hù)這樣的新問題，信息安全體系暴露大量“短板”。

江大信息網(wǎng)絡(luò)中心相關(guān)領(lǐng)導(dǎo)表示：“本著智慧化校園開放服務(wù)的建設(shè)理念，我校智慧云平臺充分運(yùn)用了云計(jì)算、虛擬化、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)，實(shí)現(xiàn)了移動化、智能化的全方位覆蓋。但是，傳統(tǒng)的網(wǎng)絡(luò)層防御體系并不能足以對數(shù)據(jù)中心虛擬化服務(wù)器提供高效的安全服務(wù)。首先，防毒軟件一起工作時(shí)，導(dǎo)致物理服務(wù)器工作負(fù)載非常大。另外，傳統(tǒng)的邊界和內(nèi)部防火墻也無法發(fā)現(xiàn)應(yīng)用層的惡意攻擊流量，這些技術(shù)問題對于智慧校園發(fā)展產(chǎn)生了負(fù)面影響。為此，我們邀請了業(yè)內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全企業(yè)和中心的老師一道，對現(xiàn)有防御系統(tǒng)進(jìn)行了風(fēng)險(xiǎn)評估，并最終決定重構(gòu)江大的網(wǎng)絡(luò)安全防御體系。”

聯(lián)手評估挖出“四大風(fēng)險(xiǎn)點(diǎn)”

在2015年底至2016年初的這段時(shí)間里，江大不僅加大了智慧校園管理平臺的投入力度，還邀請了亞信安全的資深安全工程師對內(nèi)外網(wǎng)防御水平進(jìn)行了重新評估。那么，最終確定的薄弱環(huán)節(jié)都有哪些方面呢?

第一、在智慧校園建設(shè)初期，虛擬機(jī)上部署了傳統(tǒng)客戶端模式的防病毒軟件，作為當(dāng)時(shí)唯一的防毒手段，并沒有發(fā)現(xiàn)異常狀況。但在虛擬機(jī)數(shù)量增加后，信息網(wǎng)絡(luò)中心的老師卻發(fā)現(xiàn)，虛擬化平臺在業(yè)務(wù)高峰期會出現(xiàn)嚴(yán)重的性能問題，CPU、內(nèi)存和磁盤I/O接近負(fù)載極限，也就是“防毒風(fēng)暴(AV Storm)”問題。

第二、校內(nèi)的業(yè)務(wù)核心服務(wù)器與互聯(lián)網(wǎng)隔離，雖然有效的隔離了互聯(lián)網(wǎng)中的安全威脅，但操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用軟件也因此不能及時(shí)從互聯(lián)網(wǎng)獲取補(bǔ)丁，導(dǎo)致系統(tǒng)漏洞難以及時(shí)得到修補(bǔ)，容易受到來自校園網(wǎng)內(nèi)部的嗅探和蠕蟲攻擊，為不法人員后續(xù)攻擊留下了隱患。

第三、數(shù)據(jù)中心和校園網(wǎng)之間僅有傳統(tǒng)的防火墻用來抵御來自網(wǎng)絡(luò)層的DDoS攻擊。但從多次不明入侵事件來看，攻擊行為主要針對數(shù)字校園的Web應(yīng)用平臺，以SQL-injection和跨站點(diǎn)腳本攻擊手段為主，這類攻擊行為無法被傳統(tǒng)防火墻所識別和攔截，存在安全防御漏洞。

第四、從江漢大學(xué)校數(shù)據(jù)中心的安全架構(gòu)來看，重點(diǎn)仍然停留在基于網(wǎng)絡(luò)層和連接層的防御，仍然是重邊界輕終端的理念。但由于無法實(shí)現(xiàn)對整個(gè)應(yīng)用層攻擊行為的監(jiān)控，無法檢測終端是否感染病毒或是被木馬控制，也就無法分析其攻擊手段和攻擊來源，導(dǎo)致已有防御策略失效。

通過對虛擬化和應(yīng)用層漏洞技術(shù)資料的匯總分析，信息中心對“防毒風(fēng)暴”的原因，以及網(wǎng)絡(luò)威脅監(jiān)測技術(shù)有了全面的了解。首先，由于傳統(tǒng)防毒軟件并不是專為虛擬化環(huán)境設(shè)計(jì)，當(dāng)所有虛擬機(jī)的防毒軟件開啟實(shí)時(shí)防護(hù)時(shí)，會出現(xiàn)多臺虛擬機(jī)同時(shí)掃描，會對主機(jī)的CPU、內(nèi)存和磁盤I/O帶來巨大的壓力，業(yè)務(wù)高峰期會導(dǎo)致虛擬化環(huán)境崩潰。其次，攻擊者會在網(wǎng)絡(luò)中使用其它應(yīng)用程序或服務(wù)繼續(xù)進(jìn)行他們的惡意活動，雖然這些行為本質(zhì)上具有很強(qiáng)的隱蔽性，但先進(jìn)的網(wǎng)絡(luò)威脅偵測技術(shù)可以發(fā)現(xiàn)“他們”的蛛絲馬跡。

有的放矢形成主動防御

根據(jù)雙方共同探討之后得出的結(jié)論，江大果斷地采用了亞信安全的主動式縱深架構(gòu)安全解決方案，在云數(shù)據(jù)中心部署亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)，在網(wǎng)絡(luò)核心層采用旁路方式部署亞信安全深度威脅發(fā)現(xiàn)設(shè)備(TDA)。

亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)主要針對前三個(gè)風(fēng)險(xiǎn)點(diǎn)，將問題一一對應(yīng)解決。首先，該平臺完全拋棄了傳統(tǒng)防毒的概念，從虛擬化底層的防護(hù)入手，利用無代理機(jī)制協(xié)助江大信息中心徹底消除AV Storm，大幅提升虛擬機(jī)密度。其次，通過Deep Security提供的補(bǔ)丁管理，讓所有虛擬主機(jī)形成了統(tǒng)一的補(bǔ)丁部署和升級架構(gòu)，防止了黑客利用最新漏洞發(fā)起攻擊。最后，通過深度封包檢查技術(shù)(Deep Packet Inspection，DPI)檢查虛擬化底層所有網(wǎng)絡(luò)協(xié)議進(jìn)出通信，攔截SQL Injection 及Cross-site 跨網(wǎng)站程序代碼改寫等已知漏洞攻擊。

針對最后一個(gè)風(fēng)險(xiǎn)點(diǎn)，亞信安全深度威脅發(fā)現(xiàn)設(shè)備(TDA)可以對江大的網(wǎng)絡(luò)安全環(huán)境進(jìn)行智能分析。例如：監(jiān)控所有連接端口以及80 多種通訊協(xié)議，分析所有進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)流量;通過其特殊的偵測引擎與定制化沙箱，能發(fā)現(xiàn)并分析攻擊者使用的惡意軟件、幕后操縱(C&C)惡意通信，以及隱匿的攻擊活動，提供威脅情報(bào)讓管理員快速響應(yīng)并阻止攻擊。

對于重構(gòu)后的防御體系的實(shí)際效果，江大信息中心領(lǐng)導(dǎo)表示：“數(shù)據(jù)中心管理效率得到了大幅提升，Deep Security為我們節(jié)省了很多人力成本，對智慧校園應(yīng)用起到了保駕護(hù)航的作用。另外，TDA成為了我們重要的網(wǎng)絡(luò)預(yù)警幫手，它能在第一時(shí)間定位威脅源頭，實(shí)時(shí)掌握整個(gè)校園網(wǎng)絡(luò)的安全狀態(tài)。而TDA系統(tǒng)上導(dǎo)出的威脅分析報(bào)告，也給我們在今后信息安全規(guī)劃方面起到了輔助和引導(dǎo)的作用。”