南阳理工学院:校园网全链路安全预警处置建设与探索
来源:本站 作者:吴绍兴 南阳理工学院信息化建设与管理中心 发表于:2022.09.30 468浏览
文/吴绍兴 南阳理工学院信息化建设与管理中心主任
摘要:南阳理工学院校园网全链路安全预警处置体系以安全大数据为全链路平台智能底座,以等保合规建设为基础、以安全能力建设为核心、以安全运营体系建设为抓手,面向南阳理工学院提供统一安全服务、实施统一安全监管,推动学校网络安全发展迈向新的高度。
关键词:网络安全;全链路;安全预警;安全防护
党的十八大以来,随着我国高校信息化建设的逐步深入,学校教务、招生、学籍管理、科研管理、后勤等工作对信息系统依赖的程度越来越高;随着近几年智慧校园、“一站式服务大厅”等系统逐步完善,围绕业务系统整合、数据资源治理等工作,学校聚集存储了大量的敏感数据。这些因素对校园的网络安全管理能力、日常维护能力、风险发现能力及应急响应处置能力提出了新的挑战。
习近平总书记提到“没有网络安全就没有国家安全,没有信息化就没有现代化”。怀进鹏部长提倡大力推进教育信息化、教育资源数字化,提出要坚持“应用为王、服务至上”,“以标准安全运行保障为支撑,筑牢数据安全底线,探索创造富有中国特色的教育数字化治理标准,构建可持续的数据安全防护体系”。近年来,网络安全威胁日益突出,这对高校网络安全工作提出了更高的要求。让校园网在一套整体防护体系的防护之下正常运行,是校园信息化基础设施建设的首要目标。
一、建设概况
南阳理工学院校园网络规模庞大,有线、无线一张网总出口流量达到40G。近年来随着学校逐步完善校园信息化建设,目前基本网络设备、安全设备基本部署到位,在主机服务器、应用系统中间件的安全防护已取得初步效果,为全链路安全建设奠定了基础。学校校园网全链路安全预警处置体系自2020年开始启动建设,至2022年建成。
南阳理工学院一直贯彻网络安全建设总体目标,以《中华人民共和国网络安全法》、《党委(党组)网络安全工作责任制实施办法》、网络安全等级保护制度2.0国家标准、《河南省“十四五”教育信息化发展规划》为统揽,推进全网“防御、检测、响应、预测、监控”五大关键能力的集中化建设,通过内化“安全策略统一、安全合规集中、安全威胁处置、安全审计标准化”的运营能力,推进全网统一的安全管控架构建设,从而构建南阳理工学院网络安全纵深安全防护体系,提高整体安全监测预警和安全管理能力。
二、建设原则
南阳理工学院校园网全链路安全预警处置平台(以下简称全链路平台)采用分期建设的方式,遵循“总体规划、分步实施、效益优先、重点突破”原则,结合学校实际业务特点和需求,逐步完善各项安全能力及源数据采集覆盖范围。
在完善各项安全能力及源数据采集覆盖范围方面,遵循以下原则:
1.清晰定义模型。在体系设计时对信息系统进行模型抽象,把信息系统各个内容属性中与安全相关的属性抽取出来。南阳理工学院充分参照IPDRO自适应模型,明确安全体系建设是一个持续处理、不断循环迭代的过程,从而指引学校逐步完善监控识别、防御强化、威胁狩猎、应急处置、安全运营五维安全能力。
2.建设综合防范。任何安全措施都不是绝对安全。为确保攻破一层或一类保护的攻击行为无法破坏整个信息系统,需合理划分安全域和综合考虑多种有效措施,对整个信息系统进行多层和多重保护建设。
3.需求、风险、代价平衡。绝对的安全难以达到,需正确处理需求、风险与代价的关系。宜适度防护,做到安全性与可用性相容,做到技术上可实现,经济上可执行。
4.技术与管理相结合。网络安全涉及人、技术、操作等各方面要素,单靠技术或单靠管理都不可能实现。必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。
5.动态发展和可扩展。网络安全需求会不断变化,也受制于环境、条件、时间因素,一步到位、一劳永逸地解决网络安全问题是不现实的。先保证基本的、必须的安全性和良好的可扩展性,然后随着应用和网络安全技术的发展,不断调整安全策略,加强安全防护力度,以适应新的网络安全环境,满足新的安全需求。
三、方案设计
1.建设目标
以安全大数据为全链路平台智能底座,以等保合规建设为基础、以安全能力建设为核心、以安全运营体系建设为抓手,集中面向南阳理工学院提供统一安全服务、实施统一安全监管;打通网络安全风险评估、运维保障、监测预警、应急响应的运营流程,实现网络安全从被动向主动、从静态到动态、从事后到事前、从分散到集约的转变,全时保证网络信息系统安全可靠,阻断已知网络攻击和未知入侵渗透,防范来自外部和内部多类型攻击,以安全保发展,以发展促安全,推动网络安全发展迈向新的高度。
(1)安全数据持续可用
对校园网复杂多源异构网络安全数据进行治理,建立安全数据中台,打通安全数据孤岛,构建统一数据标准,采集异构安全资产的数据,对各类安全设备、系统数据进行处理、治理、存储、分析等操作。通过纳管全域安全数据资产,使数据充分应用于安全风险决策、安全运营管理,形成数据、业务的价值链闭环。
需治理的安全数据包括不限于:内部资产信息、网络拓扑、安全配置、安全漏洞、系统指纹;外部安全攻击、恶意扫描、拒绝服务、异常流量等;战略安全情报、战术安全威胁情报、通告和预警等。
(2)安全能力统一调度
对异构安全能力进行体系化梳理,全面覆盖基础安全能力、安全服务能力、安全运营能力,建设资产发现、漏洞扫描、访问控制、威胁检测、攻击溯源、响应处置、预测提升等安全能力目录,形成标准化安全能力输出,敏捷响应安全能力服务需求。
(3)安全运营联动管理
进行集中化、多维度防护、检测、响应、预测和监控,实现体系化的网络安全运维。结合安全工单流转,快速形成网络安全闭环。通过一系列策略集、产品、服务和校园业务场景进行深度联动,利用网络分析的方法,把看似不相关的用户和行为关联起来,从而提高异常行为监测的准确度和灵敏度。搭建专业水平的数据可视化应用和大屏,利用多维态势可视化系统实时展现总体威胁状况,满足投屏展示、安全监控、风险预警、工作汇报等多种业务需求。
2.架构设计
全链路平台总体架构设计遵照“分层解耦、异构兼容”的原则,分为数据采集层、安全能力层和安全应用层三个层次,各层级以及模块之间的功能设计具有相对的独立性,从而使得整个系统具有较高的扩展性,如图1所示。
数据采集层作为全链路平台的基础能力层,为安全组建层提供基础安全能力和数据来源。
安全能力层包含安全数据治理和安全能力编排。安全数据治理实现数据的采集处理、挖掘分析和提供统一的数据服务,构建数据驱动安全体系。通过能力编排将安全数据中台能力服务化,形成安全服务目录,实现安全资源的灵活调度。
安全应用层通过建设满足行业主管的各类业务应用,打造监督管理与运营中心,实现对网络、终端、数据、应用、边界的全方位防护。
图1校园网全链路安全预警处置平台架构
3.安全数据流转设计
网络安全调度平台统一管理各类安全告警数据,并对其进行统一存储和统一分析,同时提供对外数据访问接口与数据分析接口,整体设计架构如图2所示。
图2校园网安全数据流转设计架构
四、主要成效
1.治理异构安全数据。满足法规要求,实现可追踪溯源。对学校所有网络安全行为进行持续监测和预警,一旦发生网络安全事件,可以对事件进行追踪、溯源、取证,还原事件发生过程,了解事件严重程度和影响范围,做出正确有力的响应,并采取防御措施。
2.安全处置联动。释放安全工作人员海量处置告警压力,精准针对发现的中高级威胁攻击事件,下发对应的安全响应处置策略和任务,协同各安全产品对威胁事件实施终止、隔离、取证等安全手段,快速终止威胁的持续,如图3所示。
图3校园网安全处置联动
3.安全威胁要素分析和异常行为快速发现。为我校网络安全管理员、安全决策人员提供简单、实用、高效的安全数据分析,如图4所示。
图4校园网安全威胁热点快速分析
4.系统7*24安全监测。对我校所有在线业务系统的漏洞风险评估、威胁情报分析、重大安全事件监测、服务可用性监测等,实现对校内网站和信息系统的统一监测;及时查漏补缺,信息系统的安全管理可以开展二级监管模式,学校信息化建设与管理中心可将各类问题通报至校内各单位。
5.形成月度、年度网络安全报告。通过监测数据,漏洞扫描数据,攻击防护数据进行分类整合和整理输出,形成可视化图表和报告,实现全校业务系统进行统一安全防护和管理,提升校园整体网络安全水平。
6.集中面向学校提供统一安全服务、实施统一安全监管。按照标准化流程和程序,指挥调度安全防护力量,协调安全防护软硬件资源,针对网络攻击、非法行为、异常访问等情况进行针对性调整和控制,动态降低安全风险隐患,持续提升整体防护能力。
五、重要举措
1.加强组织领导,协同推动
成立南阳理工学院网络安全与信息化委员会,贯彻落实上级有关部门关于网络安全与信息化工作的决策部署,统筹决策学校网络安全与信息化重大问题,研究部署学校新型智慧校园建设和应用推进,督导信息化建设项目执行情况等工作。全校各单位配合信息化建设与管理中心推进业务管理信息系统及数据资源的建设、集成、运维及推广使用等工作。
2.明确动态调整的基本思路
在动态调整层面加强安全服务能力,强调以安全服务和安全能力为核心建设校园网全链路安全预警处置体系,重点关注安全问题的处置效率,建立“安全运营服务化、一切产品皆服务”的理念,构建基础安全能力底座,支撑安全态势监测分析,实现智能安全运营,为全网安全保驾护航。
3.以网络安全运营建设为支撑,以安全措施具体落地为宗旨
教育行业网络安全建设需要合适的安全体系和合理的安全平台组合,以及根据网络及学校的具体情况和需求规划,建立覆盖全链路以及全生命周期的安全管理机制。我校持续开展网络安全监测预警,提高数据分析和主动防御能力;促使学校的信息化安全保障将重心转变为关注整体网络安全运营,强调从业务信息系统安全风险分析的角度,以指标化的手段来呈现当前网络的安全运行态势,加强网络安全防护和保障服务能力。