“網際網路+教育”時代亞信安全助力江漢大學“安全”雲化

“網際網路＋教育”已經進入深度融合階段，各大高校紛紛在智慧校園基礎上推出大批面向“網際網路＋”的創新應用，江漢大學（以下簡稱：“江大”）便是其中之一。為了推進“網際網路+教育”戰略落地，確保智慧校園基礎設施和師生網路應用安全，江大攜手亞信安全構建智慧校園安全防禦體系，通過部署亞信安全伺服器深度安全防護系統（Deep Security）以及亞信安全深度威脅發現裝置（TDA），有力提升了雲資料中心和校園網的安全管理水平。

智慧校園安全體系暴露“短板”

江大是經中國教育部批准，由原江漢大學、華中理工大學漢口分校、武漢職工醫學院、武漢教育學院等高校合併組建的一所公立的綜合性普通高等學校。學校實行湖北省、武漢市共建，以武漢市為主的辦學體制，是省、市重點建設大學。截止2015年12月，學校共有專任教師1066人，全日制在校生近1.8萬人。

江大教育資訊化起步較早，早在2002年7月便建成了學校校園網並正式投入執行。2012年，江大開啟了智慧校園一期專案建設，大量智慧應用在校園內外不斷落地。然而，在大量新建業務系統入駐雲端計算資料中心之後，黑客攻擊、惡意程式感染等一系列威脅如影隨形。同時，江大還遇到了虛擬化伺服器主機安全和應用層防護這樣的新問題，資訊保安體系暴露大量“短板”。

江大資訊網路中心相關領導表示：“本著智慧化校園開放服務的建設理念，我校智慧雲平臺充分運用了雲端計算、虛擬化、大資料、物聯網等技術，實現了移動化、智慧化的全方位覆蓋。但是，傳統的網路層防禦體系並不能足以對資料中心虛擬化伺服器提供高效的安全服務。首先，防毒軟體一起工作時，導致物理伺服器工作負載非常大。另外，傳統的邊界和內部防火牆也無法發現應用層的惡意攻擊流量，這些技術問題對於智慧校園發展產生了負面影響。為此，我們邀請了業內領先的網路安全企業和中心的老師一道，對現有防禦系統進行了風險評估，並最終決定重構江大的網路安全防禦體系。”

聯手評估挖出“四大風險點”

在2015年底至2016年初的這段時間裡，江大不僅加大了智慧校園管理平臺的投入力度，還邀請了亞信安全的資深安全工程師對內外網防禦水平進行了重新評估。那麼，最終確定的薄弱環節都有哪些方面呢？

第一、在智慧校園建設初期，虛擬機器上部署了傳統客戶端模式的防病毒軟體，作為當時唯一的防毒手段，並沒有發現異常狀況。但在虛擬機器數量增加後，資訊網路中心的老師卻發現，虛擬化平臺在業務高峰期會出現嚴重的效能問題，CPU、記憶體和磁碟I/O接近負載極限，也就是“防毒風暴(AV Storm)”問題。

第二、校內的業務核心伺服器與網際網路隔離，雖然有效的隔離了網際網路中的安全威脅，但作業系統、資料庫以及應用軟體也因此不能及時從網際網路獲取補丁，導致系統漏洞難以及時得到修補，容易受到來自校園網內部的嗅探和蠕蟲攻擊，為不法人員後續攻擊留下了隱患。

第三、資料中心和校園網之間僅有傳統的防火牆用來抵禦來自網路層的DDoS攻擊。但從多次不明入侵事件來看，攻擊行為主要針對數字校園的Web應用平臺，以SQL-injection和跨站點指令碼攻擊手段為主，這類攻擊行為無法被傳統防火牆所識別和攔截，存在安全防禦漏洞。

第四、從江漢大學校資料中心的安全架構來看，重點仍然停留在基於網路層和連線層的防禦，仍然是重邊界輕終端的理念。但由於無法實現對整個應用層攻擊行為的監控，無法檢測終端是否感染病毒或是被木馬控制，也就無法分析其攻擊手段和攻擊來源，導致已有防禦策略失效。

通過對虛擬化和應用層漏洞技術資料的彙總分析，資訊中心對“防毒風暴”的原因，以及網路威脅監測技術有了全面的瞭解。首先，由於傳統防毒軟體並不是專為虛擬化環境設計，當所有虛擬機器的防毒軟體開啟實時防護時，會出現多臺虛擬機器同時掃描，會對主機的CPU、記憶體和磁碟I/O帶來巨大的壓力，業務高峰期會導致虛擬化環境崩潰。其次，攻擊者會在網路中使用其它應用程式或服務繼續進行他們的惡意活動，雖然這些行為本質上具有很強的隱蔽性，但先進的網路威脅偵測技術可以發現“他們”的蛛絲馬跡。

有的放矢形成主動防禦

根據雙方共同探討之後得出的結論，江大果斷地採用了亞信安全的主動式縱深架構安全解決方案，在雲資料中心部署亞信安全伺服器深度安全防護系統（Deep Security），在網路核心層採用旁路方式部署亞信安全深度威脅發現裝置（TDA）。

亞信安全伺服器深度安全防護系統（Deep Security）主要針對前三個風險點，將問題一一對應解決。首先，該平臺完全拋棄了傳統防毒的概念，從虛擬化底層的防護入手，利用無代理機制協助江大資訊中心徹底消除AV Storm，大幅提升虛擬機器密度。其次，通過Deep Security提供的補丁管理，讓所有虛擬主機形成了統一的補丁部署和升級架構，防止了黑客利用最新漏洞發起攻擊。最後，通過深度封包檢查技術（Deep Packet Inspection，DPI）檢查虛擬化底層所有網路協議進出通訊，攔截SQL Injection 及Cross-site 跨網站程式程式碼改寫等已知漏洞攻擊。

針對最後一個風險點，亞信安全深度威脅發現裝置（TDA）可以對江大的網路安全環境進行智慧分析。例如：監控所有連線埠以及80 多種通訊協議，分析所有進出的網路資料流量；通過其特殊的偵測引擎與定製化沙箱，能發現並分析攻擊者使用的惡意軟體、幕後操縱（C&C）惡意通訊，以及隱匿的攻擊活動，提供威脅情報讓管理員快速響應並阻止攻擊。

對於重構後的防禦體系的實際效果，江大資訊中心領導表示：“資料中心管理效率得到了大幅提升，Deep Security為我們節省了很多人力成本，對智慧校園應用起到了保駕護航的作用。另外，TDA成為了我們重要的網路預警幫手，它能在第一時間定位威脅源頭，實時掌握整個校園網路的安全狀態。而TDA系統上匯出的威脅分析報告，也給我們在今後資訊保安規劃方面起到了輔助和引導的作用。”

關於亞信安全

亞信安全是亞信集團“領航產業網際網路”版圖中的重要業務板塊，於2015年由亞信科技對全球最大的獨立網路安全軟體提供商趨勢科技中國區業務進行收購重組，專注於產業網際網路安全服務領域，是中國領先的雲與大資料安全技術、產品、方案和服務供應商。亞信安全在中國北京和南京設有獨立研發中心，擁有超過2000人的專業安全團隊，以“護航產業網際網路”為使命，以“雲與大資料的安全技術領導者”為戰略願景，亞信安全堅持“產品、服務、運營三位一體”的經營模式 ,助力客戶構建“立體化主動防禦體系”，為國家提供網路安全與雲產業安全保障，推動實施自主可控戰略。

本文出處：暢享網
本文來自雲棲社群合作伙伴暢享網，瞭解相關資訊可以關注vsharing.com網站。