“互聯網+教育”時代 亞信安全助力江漢大學“安全”云化
“互聯網+教育”已經進入深度融合階段,各大高校紛紛在智慧校園基礎上推出大批面向“互聯網+”的創新應用,江漢大學(以下簡稱:“江大”)便是其中之一。為了推進“互聯網+教育”戰略落地,確保智慧校園基礎設施和師生網絡應用安全,江大攜手亞信安全構建智慧校園安全防御體系,通過部署亞信安全服務器深度安全防護系統(Deep Security)以及亞信安全深度威脅發現設備(TDA),有力提升了云數據中心和校園網的安全管理水平。
智慧校園安全體系暴露“短板”
江大是經中國教育部批準,由原江漢大學、華中理工大學漢口分校、武漢職工醫學院、武漢教育學院等高校合并組建的一所公立的綜合性普通高等學校。學校實行湖北省、武漢市共建,以武漢市為主的辦學體制,是省、市重點建設大學。截止2015年12月,學校共有專任教師1066人,全日制在校生近1.8萬人。
江大教育信息化起步較早,早在2002年7月便建成了學校校園網并正式投入運行。2012年,江大開啟了智慧校園一期項目建設,大量智慧應用在校園內外不斷落地。然而,在大量新建業務系統入駐云計算數據中心之后,黑客攻擊、惡意程序感染等一系列威脅如影隨形。同時,江大還遇到了虛擬化服務器主機安全和應用層防護這樣的新問題,信息安全體系暴露大量“短板”。
江大信息網絡中心相關領導表示:“本著智慧化校園開放服務的建設理念,我校智慧云平臺充分運用了云計算、虛擬化、大數據、物聯網等技術,實現了移動化、智能化的全方位覆蓋。但是,傳統的網絡層防御體系并不能足以對數據中心虛擬化服務器提供高效的安全服務。首先,防毒軟件一起工作時,導致物理服務器工作負載非常大。另外,傳統的邊界和內部防火墻也無法發現應用層的惡意攻擊流量,這些技術問題對于智慧校園發展產生了負面影響。為此,我們邀請了業內領先的網絡安全企業和中心的老師一道,對現有防御系統進行了風險評估,并最終決定重構江大的網絡安全防御體系。”
聯手評估挖出“四大風險點”
在2015年底至2016年初的這段時間里,江大不僅加大了智慧校園管理平臺的投入力度,還邀請了亞信安全的資深安全工程師對內外網防御水平進行了重新評估。那么,最終確定的薄弱環節都有哪些方面呢?
第一、在智慧校園建設初期,虛擬機上部署了傳統客戶端模式的防病毒軟件,作為當時唯一的防毒手段,并沒有發現異常狀況。但在虛擬機數量增加后,信息網絡中心的老師卻發現,虛擬化平臺在業務高峰期會出現嚴重的性能問題,CPU、內存和磁盤I/O接近負載極限,也就是“防毒風暴(AV Storm)”問題。
第二、校內的業務核心服務器與互聯網隔離,雖然有效的隔離了互聯網中的安全威脅,但操作系統、數據庫以及應用軟件也因此不能及時從互聯網獲取補丁,導致系統漏洞難以及時得到修補,容易受到來自校園網內部的嗅探和蠕蟲攻擊,為不法人員后續攻擊留下了隱患。
第三、數據中心和校園網之間僅有傳統的防火墻用來抵御來自網絡層的DDoS攻擊。但從多次不明入侵事件來看,攻擊行為主要針對數字校園的Web應用平臺,以SQL-injection和跨站點腳本攻擊手段為主,這類攻擊行為無法被傳統防火墻所識別和攔截,存在安全防御漏洞。
第四、從江漢大學校數據中心的安全架構來看,重點仍然停留在基于網絡層和連接層的防御,仍然是重邊界輕終端的理念。但由于無法實現對整個應用層攻擊行為的監控,無法檢測終端是否感染病毒或是被木馬控制,也就無法分析其攻擊手段和攻擊來源,導致已有防御策略失效。
通過對虛擬化和應用層漏洞技術資料的匯總分析,信息中心對“防毒風暴”的原因,以及網絡威脅監測技術有了全面的了解。首先,由于傳統防毒軟件并不是專為虛擬化環境設計,當所有虛擬機的防毒軟件開啟實時防護時,會出現多臺虛擬機同時掃描,會對主機的CPU、內存和磁盤I/O帶來巨大的壓力,業務高峰期會導致虛擬化環境崩潰。其次,攻擊者會在網絡中使用其它應用程序或服務繼續進行他們的惡意活動,雖然這些行為本質上具有很強的隱蔽性,但先進的網絡威脅偵測技術可以發現“他們”的蛛絲馬跡。
有的放矢形成主動防御
根據雙方共同探討之后得出的結論,江大果斷地采用了亞信安全的主動式縱深架構安全解決方案,在云數據中心部署亞信安全服務器深度安全防護系統(Deep Security),在網絡核心層采用旁路方式部署亞信安全深度威脅發現設備(TDA)。
亞信安全服務器深度安全防護系統(Deep Security)主要針對前三個風險點,將問題一一對應解決。首先,該平臺完全拋棄了傳統防毒的概念,從虛擬化底層的防護入手,利用無代理機制協助江大信息中心徹底消除AV Storm,大幅提升虛擬機密度。其次,通過Deep Security提供的補丁管理,讓所有虛擬主機形成了統一的補丁部署和升級架構,防止了黑客利用最新漏洞發起攻擊。最后,通過深度封包檢查技術(Deep Packet Inspection,DPI)檢查虛擬化底層所有網絡協議進出通信,攔截SQL Injection 及Cross-site 跨網站程序代碼改寫等已知漏洞攻擊。
針對最后一個風險點,亞信安全深度威脅發現設備(TDA)可以對江大的網絡安全環境進行智能分析。例如:監控所有連接端口以及80 多種通訊協議,分析所有進出的網絡數據流量;通過其特殊的偵測引擎與定制化沙箱,能發現并分析攻擊者使用的惡意軟件、幕后操縱(C&C)惡意通信,以及隱匿的攻擊活動,提供威脅情報讓管理員快速響應并阻止攻擊。
對于重構后的防御體系的實際效果,江大信息中心領導表示:“數據中心管理效率得到了大幅提升,Deep Security為我們節省了很多人力成本,對智慧校園應用起到了保駕護航的作用。另外,TDA成為了我們重要的網絡預警幫手,它能在第一時間定位威脅源頭,實時掌握整個校園網絡的安全狀態。而TDA系統上導出的威脅分析報告,也給我們在今后信息安全規劃方面起到了輔助和引導的作用。”
