“互联网+教育”已经进入深度融合阶段,各大高校纷纷在智慧校园基础上推出大批面向“互联网+”的创新应用,江汉大学(以下简称:“江大”)便是其中之一。为了推进“互联网+教育”战略落地,确保智慧校园基础设施和师生网络应用安全,江大携手亚信安全构建智慧校园安全防御体系,通过部署亚信安全服务器深度安全防护系统(Deep Security)以及亚信安全深度威胁发现设备(TDA),有力提升了云数据中心和校园网的安全管理水平。
智慧校园安全体系暴露“短板”
江大是经中国教育部批准,由原江汉大学、华中理工大学汉口分校、武汉职工医学院、武汉教育学院等高校合并组建的一所公立的综合性普通高等学校。学校实行湖北省、武汉市共建,以武汉市为主的办学体制,是省、市重点建设大学。截止2015年12月,学校共有专任教师1066人,全日制在校生近1.8万人。
江大教育信息化起步较早,早在2002年7月便建成了学校校园网并正式投入运行。2012年,江大开启了智慧校园一期项目建设,大量智慧应用在校园内外不断落地。然而,在大量新建业务系统入驻云计算数据中心之后,黑客攻击、恶意程序感染等一系列威胁如影随形。同时,江大还遇到了虚拟化服务器主机安全和应用层防护这样的新问题,信息安全体系暴露大量“短板”。
江大信息网络中心相关领导表示:“本着智慧化校园开放服务的建设理念,我校智慧云平台充分运用了云计算、虚拟化、大数据、物联网等技术,实现了移动化、智能化的全方位覆盖。但是,传统的网络层防御体系并不能足以对数据中心虚拟化服务器提供高效的安全服务。首先,防毒软件一起工作时,导致物理服务器工作负载非常大。另外,传统的边界和内部防火墙也无法发现应用层的恶意攻击流量,这些技术问题对于智慧校园发展产生了负面影响。为此,我们邀请了业内领先的网络安全企业和中心的老师一道,对现有防御系统进行了风险评估,并最终决定重构江大的网络安全防御体系。”
联手评估挖出“四大风险点”
在2015年底至2016年初的这段时间里,江大不仅加大了智慧校园管理平台的投入力度,还邀请了亚信安全的资深安全工程师对内外网防御水平进行了重新评估。那么,最终确定的薄弱环节都有哪些方面呢?
第一、在智慧校园建设初期,虚拟机上部署了传统客户端模式的防病毒软件,作为当时唯一的防毒手段,并没有发现异常状况。但在虚拟机数量增加后,信息网络中心的老师却发现,虚拟化平台在业务高峰期会出现严重的性能问题,CPU、内存和磁盘I/O接近负载极限,也就是“防毒风暴(AV Storm)”问题。
第二、校内的业务核心服务器与互联网隔离,虽然有效的隔离了互联网中的安全威胁,但操作系统、数据库以及应用软件也因此不能及时从互联网获取补丁,导致系统漏洞难以及时得到修补,容易受到来自校园网内部的嗅探和蠕虫攻击,为不法人员后续攻击留下了隐患。
第三、数据中心和校园网之间仅有传统的防火墙用来抵御来自网络层的DDoS攻击。但从多次不明入侵事件来看,攻击行为主要针对数字校园的Web应用平台,以SQL-injection和跨站点脚本攻击手段为主,这类攻击行为无法被传统防火墙所识别和拦截,存在安全防御漏洞。
第四、从江汉大学校数据中心的安全架构来看,重点仍然停留在基于网络层和连接层的防御,仍然是重边界轻终端的理念。但由于无法实现对整个应用层攻击行为的监控,无法检测终端是否感染病毒或是被木马控制,也就无法分析其攻击手段和攻击来源,导致已有防御策略失效。
通过对虚拟化和应用层漏洞技术资料的汇总分析,信息中心对“防毒风暴”的原因,以及网络威胁监测技术有了全面的了解。首先,由于传统防毒软件并不是专为虚拟化环境设计,当所有虚拟机的防毒软件开启实时防护时,会出现多台虚拟机同时扫描,会对主机的CPU、内存和磁盘I/O带来巨大的压力,业务高峰期会导致虚拟化环境崩溃。其次,攻击者会在网络中使用其它应用程序或服务继续进行他们的恶意活动,虽然这些行为本质上具有很强的隐蔽性,但先进的网络威胁侦测技术可以发现“他们”的蛛丝马迹。
有的放矢形成主动防御
根据双方共同探讨之后得出的结论,江大果断地采用了亚信安全的主动式纵深架构安全解决方案,在云数据中心部署亚信安全服务器深度安全防护系统(Deep Security),在网络核心层采用旁路方式部署亚信安全深度威胁发现设备(TDA)。
亚信安全服务器深度安全防护系统(Deep Security)主要针对前三个风险点,将问题一一对应解决。首先,该平台完全抛弃了传统防毒的概念,从虚拟化底层的防护入手,利用无代理机制协助江大信息中心彻底消除AV Storm,大幅提升虚拟机密度。其次,通过Deep Security提供的补丁管理,让所有虚拟主机形成了统一的补丁部署和升级架构,防止了黑客利用最新漏洞发起攻击。最后,通过深度封包检查技术(Deep Packet Inspection,DPI)检查虚拟化底层所有网络协议进出通信,拦截SQL Injection 及Cross-site 跨网站程序代码改写等已知漏洞攻击。
针对最后一个风险点,亚信安全深度威胁发现设备(TDA)可以对江大的网络安全环境进行智能分析。例如:监控所有连接端口以及80 多种通讯协议,分析所有进出的网络数据流量;通过其特殊的侦测引擎与定制化沙箱,能发现并分析攻击者使用的恶意软件、幕后操纵(C&C)恶意通信,以及隐匿的攻击活动,提供威胁情报让管理员快速响应并阻止攻击。
对于重构后的防御体系的实际效果,江大信息中心领导表示:“数据中心管理效率得到了大幅提升,Deep Security为我们节省了很多人力成本,对智慧校园应用起到了保驾护航的作用。另外,TDA成为了我们重要的网络预警帮手,它能在第一时间定位威胁源头,实时掌握整个校园网络的安全状态。而TDA系统上导出的威胁分析报告,也给我们在今后信息安全规划方面起到了辅助和引导的作用。”
