西南交通大學(xué)是教育部直屬全國(guó)重點(diǎn)大學(xué)，國(guó)家首批“雙一流”“211工程”“特色985工程”“2011協(xié)同創(chuàng)新計(jì)劃”重點(diǎn)建設(shè)并設(shè)有研究生院的研究型大學(xué)，座落于中國(guó)歷史文化名城、國(guó)家中心城市——成都。現(xiàn)有九里、犀浦、峨眉三個(gè)校區(qū)，在校師生6萬(wàn)余人。

?[[407320]]?

隨著信息化的快速發(fā)展，網(wǎng)絡(luò)攻防的技術(shù)門(mén)檻不斷降低、攻擊方式呈現(xiàn)多樣化，特別是勒索病毒等未知威脅開(kāi)始泛濫。面對(duì)新時(shí)代的網(wǎng)絡(luò)安全挑戰(zhàn)，西南交通大學(xué)如何保障6萬(wàn)多在校師生上網(wǎng)的安全可靠性，避免惡意病毒感染，成為當(dāng)下學(xué)校安全運(yùn)維工作的重點(diǎn)。

銳捷網(wǎng)絡(luò)如何助力西南交大完成安全預(yù)警分析？故事要追溯到2018年。

（一）安全態(tài)勢(shì)感知平臺(tái)初體驗(yàn)

早在2018年，西南交大網(wǎng)絡(luò)中心就部署了一套銳捷安全態(tài)勢(shì)感知平臺(tái)BDS，用它收集和標(biāo)準(zhǔn)化全網(wǎng)信息設(shè)備日志數(shù)據(jù)，構(gòu)建安全大數(shù)據(jù)倉(cāng)庫(kù)。通過(guò)BDS的大數(shù)據(jù)關(guān)聯(lián)建模分析，從海量數(shù)據(jù)中分析和定位出核心安全風(fēng)險(xiǎn)，幫助學(xué)校有效預(yù)防了潛在安全事件的發(fā)生。

????

近兩年，隨著網(wǎng)絡(luò)攻防技術(shù)的不斷發(fā)展，單純?nèi)罩揪S度的分析能力日漸不能滿足學(xué)校對(duì)新型攻擊檢測(cè)和分析預(yù)警的需求。西南交大在原有安全態(tài)勢(shì)感知平臺(tái)的基礎(chǔ)上擴(kuò)容了流量探針，對(duì)學(xué)校出口流量進(jìn)行深度分析?！叭罩?流量”雙重維度的安全分析，發(fā)現(xiàn)很多學(xué)生終端感染了病毒，存在繼續(xù)橫向擴(kuò)散的風(fēng)險(xiǎn)，很可能會(huì)成為“肉雞” （可以被黑客遠(yuǎn)程控制的機(jī)器）。

??

但是，網(wǎng)絡(luò)“邊緣側(cè)”的安全依舊是監(jiān)測(cè)的盲區(qū)，因?yàn)閼B(tài)勢(shì)感知與流量探針一般部署在中心機(jī)房，接入層的橫向感染不會(huì)上升到核心交換機(jī)。在理論上，可通過(guò)在每一臺(tái)接入交換機(jī)側(cè)部署一臺(tái)流量探針，但這樣投入巨大，不太可能落地。如何通過(guò)技術(shù)手段低成本實(shí)現(xiàn)橫向安全檢測(cè)，打破安全建設(shè)“重中心、輕邊緣”的屏障，就成為了西南交大亟需解決的一個(gè)難題。

（二）當(dāng)態(tài)勢(shì)感知平臺(tái)與 sFlow交換機(jī)聯(lián)動(dòng)

在這樣的情況下，銳捷提出對(duì)接學(xué)校已有交換機(jī)，識(shí)別橫向感染的“網(wǎng)絡(luò)+安全”方案。該方案不綁定品牌，只要支持sFlow協(xié)議的交換機(jī)即可構(gòu)成該方案的組成部分，通過(guò)態(tài)勢(shì)感知平臺(tái)與 sFlow交換機(jī)聯(lián)動(dòng)，實(shí)現(xiàn)全網(wǎng)節(jié)點(diǎn)安全監(jiān)測(cè)，協(xié)助用戶完成勒索病毒1號(hào)病人分析定位，便于管理員及時(shí)采取對(duì)應(yīng)的處置措施，將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)扼殺在搖籃中。

??

西南交大綜合態(tài)勢(shì)感知平臺(tái)經(jīng)過(guò)不斷升級(jí)和擴(kuò)容，逐步給用戶帶來(lái)了“日志+流量”綜合態(tài)勢(shì)感知分析價(jià)值、聯(lián)動(dòng)sFlow交換機(jī)橫向威脅檢測(cè)等價(jià)值，取得了一些實(shí)戰(zhàn)成果：

1）通過(guò)對(duì)已接入的資產(chǎn)進(jìn)行綜合管控與分析，為用戶提供加固整改建議，經(jīng)過(guò)不斷加固和完善，目前整體安全度高達(dá)85分。

??

2）通過(guò)流量探針深度分析，發(fā)現(xiàn)一些學(xué)生終端中病毒，這引起了管理員的重視，是否存在大面積擴(kuò)散的風(fēng)險(xiǎn)？通過(guò)設(shè)計(jì)采集樓層交換機(jī)的sFlow樣本進(jìn)行橫向威脅分析，發(fā)現(xiàn)采集到的這臺(tái)主機(jī)正在擴(kuò)散感染。進(jìn)一步分析后，我們發(fā)現(xiàn)它正在感染的目標(biāo)為8個(gè)IP地址。最終，找到了1號(hào)感染源及8個(gè)被擴(kuò)散的主機(jī)，學(xué)校老師第一時(shí)間進(jìn)行了清查。

??

定位1號(hào)感染源

??

識(shí)別出被感染目標(biāo)

（三）網(wǎng)絡(luò)+安全，網(wǎng)絡(luò)更安全

以前對(duì)學(xué)校整網(wǎng)安全分析，基本很難實(shí)現(xiàn)，也不能快速進(jìn)行病毒定位及分析，一旦發(fā)生安全事件，就需要耗費(fèi)很長(zhǎng)時(shí)間逐步排查，費(fèi)時(shí)又費(fèi)力?，F(xiàn)在通過(guò)日志+流量綜合分析模式，并結(jié)合sFlow交換機(jī)聯(lián)動(dòng)，只需要日常查看安全態(tài)勢(shì)感知平臺(tái)BDS的高危告警，即可完成全網(wǎng)風(fēng)險(xiǎn)評(píng)估及預(yù)警，同時(shí)也能快速溯源1號(hào)“病人”，有效防止了大面積擴(kuò)散。

銳捷“網(wǎng)絡(luò)+安全”整網(wǎng)解決方案，讓交換等網(wǎng)絡(luò)設(shè)備都作為安全態(tài)勢(shì)感知的安全探針，同時(shí)發(fā)揮網(wǎng)絡(luò)SDN智能協(xié)防、網(wǎng)絡(luò)準(zhǔn)入實(shí)名日志、網(wǎng)絡(luò)安全一體化運(yùn)維的優(yōu)勢(shì)，告別安全孤島，構(gòu)建整網(wǎng)聯(lián)動(dòng)的安全保障體系，實(shí)現(xiàn)安全預(yù)測(cè)、防護(hù)、分析和響應(yīng)等安全問(wèn)題自動(dòng)化全流程閉環(huán)，充分滿足了各單位對(duì)等保2.0、網(wǎng)絡(luò)安全法的合規(guī)需求，讓網(wǎng)絡(luò)更安全。