1、财经大学网络安全加固方案设计实践摘要按?网络平安法和网络平安等级爱护2.0规范的要求，在现有的架构下进行了东北财经大学校园网络平安加固设计，提升主动防御、动态防御、整体防控和精准防护的能力。关键词网络平安；校园网；防火墙前言东北财经大学经过不断开展、完善的信息化历程，完成校园网络广泛覆盖和带宽升级。同时学校数据效劳区运行着包括门户网站、电子邮箱、数字校园、移动办公等重要业务系统，随着各类应用系统的不断上线，逐步构成了一个效劳于学校师生的重要综合性校园网络平台。但另一方面，承载学校业务流程的信息系统平安防护与检测的技术伎俩却仍然相对落后。在当前复杂多变的信息平安形势下，无论是外部黑客入侵、内部歹2、意使用，还是大多数情况下内部用户无意造成的平安隐患，都给学校的网络平安管理工作带来较大压力。而同时，勒索病毒暴发、信息泄露、上级部门要求、法律法规监管等，都在无形中让学校的信息平安管理压力越来越大。笔者根据?网络平安法和网络平安等级爱护20规范的要求，在现有的架构下对东北财经大学校园网络进行了平安加固设计，提升了校园网主动防御、动态防御、整体防控和精准防护的能力。1现状及问题在互联网攻击逐渐从网络层转移到应用层的大背景下，学校各类业务系统在开发时难免遗留一些平安漏洞，目前学校平安防护仅在校园网出口部署了网络层面的平安网关设备，传统网络层防火墙在面对层出不穷的应用层平安威胁日渐乏力。黑客利用各种3、各样的漏洞动员缓冲区溢出，SQL注入、XSS、CSRF等应用层攻击，并获得系统管理员权限，从而进行数据窃取和破坏，对学校核心业务数据的平安造成了严重的威胁。数据的重要性不言而喻，尤其对学校的各类学生信息、一卡通等财务数据信息更是平安防护的重中之重，如有闪失，在损害学校师生利益的同时也造成很大的不良影响和法律追责问题。东北财经大学出口7Gbps带宽，由电信、联通、移动、教育网等多家运营商组成。随着学校的网络规模扩大以及提速降费的背景，互联网出口将会到达15Gbps带宽以上，原有的带宽出口网关弊端显露：具体包括网关性能缺乏，无法支持大带宽，老旧设备无法胜任大流量的转发工作；IPv6网络不兼容，无法4、平滑升级，后续无法满足国家政策进行IPv6改造的规划；上网审计和流量控制功能不完善，原有网关未集成上网行为审计功能，未能完全满足网络平安法，保障合规上网；不支持基于应用的流量控制，带宽出口的流量控制效果不佳；对上网行为不足有效管理和分析伎俩，针对学生上网行为没有好的管理伎俩和分析办法。同时等级爱护20也对云平安和虚拟化环境下的网络平安问题作了要求。东北财经大学信息化建设起步较早，目前校内数据中心的绝大局部已经实现了虚拟化，主要业务系统均在虚拟机上运行，虚拟化技术极大地提升了硬件资源的利用率和业务的高可用性，但现有的120余台虚拟机的平安隔离和虚拟化环境的东西向流量控制成为平安建设的新问题。为了5、响应?网络平安法以及国家新颁发的网络平安等级爱护20的相关要求，提高东北财经大学数据中心的整体平安防护与检测能力，需要在下列几个方面进行平安建设：1构建平安有效的网络边界。主要通过增加学校数据中心的边界隔离防护、入侵防护、Web应用防护、歹意代码检测、网页防篡改等平安防护能力，减少威胁的攻击面和漏洞暴露时间。2加强对网络风险辨认与威胁检测。针对突破或绕过边界防御的威胁，需要增强内网的持续检测和外部的平安风险监测能力，主要技术伎俩包括：网络流量威胁检测、僵尸主机检测、平安事件感知、横向攻击检测、终端检测响应、异常行为感知等。3形成全网流量与行为可视的能力。优化带宽分配，提升师生上网体验；过滤不良6、网站和违法言论，保障学生健康上网和平安上网；全面审计所有网络行为，满足?网络平安法等法律法规要求；在网络行为可视可控的根底之上，需要进一步形成校园网络全局态势可视的能力。2网络平安加固技术计划按原有拓扑，将东北财经大学校园网划分为校园网出口区、核心网络区域、数据业务区域、运维管理区域、校园网接入区五个平安区域，并叠加云端的平安效劳。各个区域通过核心网络区域的会聚交换与核心交换机相互连接；校园网出口区域有多条外网线路接入，合计带宽7Gb，为校园网提供互联网及教育网资源访问效劳；数据业务区部署2套VMware虚拟化集群和1套超云虚拟化集群，承载了学校门户网站、电子邮件、数字化校园、DNS等各类业务7、系统；运维管理区域主要负责对整体网络进行统一平安管理和日志收集；校园网接入区教学楼、办公楼、图书馆、宿舍楼等子网，存在大量PC终端供学校师生使用；另外学校的教学楼、办公楼均已实现了无线网络的覆盖。在数据业务区域与核心网络区域边界部署一台万兆高性能下一代防火墙，开启IPS、WAF、僵尸网络检测等平安防护模块，构建数据业务区融合平安边界。通过部署下一代防火墙提供网络层至应用层的访问控制能力，能够实现基于IP地址、源目的端口、应用效劳、用户、区域地域、时间等元素进行精细化的访问控制规那么设置；提供专业的漏洞攻击检测与防护能力，支持对效劳器、口令暴力破解、歹意软件等漏洞攻击防护，同时IPS模块可结合最8、新威胁情报对高危漏洞进行预警和自动检测；提供专业的Web应用防护能力，针对SQL注入、XSS、系统命令注入等OWASP十大Web平安威胁进行有效防护，同时提供网页防篡改、黑链检测以及歹意扫描防护能力，全面保障Web业务平安；提供内网僵尸主机检测能力，通过双向流量检测和热门威胁特征库结合，实现对木马远控、歹意脚本、勒索病毒、僵尸网络、挖矿病毒等威胁进行有效辨认，快速定位感染主机真实IP地址。在校园网出口区部署高性能上网行为管理，对校园网出口流量进行全面管控，上网行为管理设备部署在核心交换机和出口路由器之间，所有流量都通过上网行为管理处理，实现对内网用户上网行为的流量管理、行为控制、日志审计等功能9、，设备提供IPv4IPv6双栈协议兼容，有效满足IPv6建设趋势下网络的平滑改造。为了有效管控和审计，设备选型必须能够全面辨认各种应用：1支持千万级URL库、支持基于关键字管控、网页智能分析系统IWAS沉着应对互联网上数以万亿的网页、SSL内容辨认技术；2拥有强大的应用辨认库；3辨认并过滤HTTP、FTP、mail方式上传下载的文件；4深度内容检测：IM聊天、网络游戏、在线流媒体、P2P应用、Email、常用TCPIP协议等；5通过P2P智能辨认技术，辨认出不常见、未来可能出现的P2P行为，进而封堵、流控和审计。通过强大的应用辨认技术，无论网页访问行为、文件传输行为、邮件行为、应用行为等都能有10、效实现对上网行为的封堵、流控、审计等管理。同时，也要提供网络流量可视化计划，管理员可以查看出口流量曲线图、当前流量应用、用户流量排名、当前网络异常状况包括DOS攻击、ARP欺骗等等信息，直观了解当前网络运行状况。对内网用户的各种网络行为流量进行记录、审计，借助图形化报表直观显示统计结果等，帮忙管理员了解流量用户排名、应用排名等，并自动形成报表文档，全面掌控用户网络行为分布和带宽资源使用等情况，了解流控策略效果，为带宽管理的决策提供准确依据。同时支持多线路复用和智能选路功能，通过多线路复用及带宽叠加技术，复用多条链路形成一条互联网总出口，提升整体带宽水平。再结合多线路智能选路专利技术，将网流量自11、动匹配最正确出口。具备全面的合规审计及管控功能，支持对内网用户的所有上网行为进行审计记录，满足?网络平安法的要求，能有效防备学生网上不良言论、访问非法网站等高风险行为，躲避法律风险。在数据业务区物理效劳和3个虚拟化效劳器集群上每台虚拟机安装EDR客户端，针对终端维度提供歹意代码防护、平安基线核查、微隔离、攻击检测等平安能力，打通物理效劳器、Vmware集群和超云集群，进行统一的主机虚拟机逻辑平安域划分，同时实现云内流量可视、可控，满足等保20云计算扩展项要求。通过部署EDR构建立体可视的端点平安能力，实现全网风险可视，展示全网终端状态分布，显示当前平安事件总览及平安时间分布全网终端平安概览，支12、持针对主机参照等级爱护规范进行平安基线核查，快速发现不合规项。部署于每台VM上的端点agent，能够对云内不同VM、不同业务系统之间的访问关系、访问路径、横向威胁进行检测与响应，EDR与虚拟化底层平台解耦合，解决多虚拟化环境下的兼容性问题，构建动态平安边界。构建多维度漏斗型检测框架，EDR平台内置文件信誉检测引擎、基因特征检测引擎、人工智能检测引擎、行为分析检测引擎、平安云检测引擎，从多维度全面发现各类终端威胁。3结语通过该计划，提升了威胁防护、风险应对能力。能够沉着应应对勒索病毒、0Day攻击、APT攻击、社会项目学、钓鱼等新型威胁伎俩。通过全面的平安可视能力，简化运维压力，可以极大降低运维的复杂度，提升平安治理水平，到达了设计要求。参考文献1李锴淞对于校园网络建设及网络平安的探讨J数字通信世界息，200882李锴淞，邹鹏高校校园网合作运营探索J网络平安和信息化，200893臧齐圣浅谈校园网络平安防控J计算机产品与流通，200894王岩红高校校园网平安现状及优化探讨J网络平安技术与应用，200885奚竹安上网行为管理系统在数字校园中的运用J中国现代教育装备，20087