中南财经政法大学数据中心信息安全建设

一、安全现状

随着互联网+的快速发展,网络信息化的浪潮蔓延到了社会的每一个角落,同时网络安全随着国家的高度重视也越发重要,信息化安全建设已经提升到国家战略层面,高校信息化建设同样面临诸多安全威胁:漏洞探测、黑客入侵、蠕虫、木马等危险行为;越权数据库访问和相关操作,导致敏感信息泄露或关键数据被恶意篡改;网站易遭受SQL注入、XSS脚本针对性攻击行为等。基于此,结合数据中心网络及安全现状,我校对数据中心信息安全建设进行了重新梳理和规划,提出基于大数据的安全解决方案,由被动转变为主动感知,由无数据转变为有数据,实时监控数据中心安全现状,通过对数据的深入挖掘和关联分析,调整安全设备策略,提升安全防护能力。

二、设计原则

根据我校数据中心的安全现状,结合国家信息系统等级保护相关规定,数据中心安全建设按照以下原则进行设计:

1、统一设计,分期建设。以统一的总体目标为方向,以数据中心整体安全风险为导向,进行统一设计,根据经费投入情况,将统一的安全规划方针分期执行。

2、重点先行,急用先上。在有限投入的情况下,优先保证重要业务的安全性。

3、长期规划,持续改进。信息安全建设是一个长期过程,需要不断的优化与改进。

三、安全架构

中南财经政法大学对数据中心的信息安全架构重新进行设计,如下图。

信息安全架构主要从以下三个方面着手建设:

1、纵深防护体系的建设。主要目的是抵制外部各类入侵事件和攻击事件,分级保护重要应用系统,并根据威胁特点选择面向不同技术层面的安全防护产品。根据数据中心目前及未来至少5年的实际需求,选择适合性能的防火墙、IPS、WAF设备进行安全防护。此类设备串行在网络中,除安全功能方面外,也需兼顾性能指标,避免在流量需求不断增加的情况下,设备无法满足高吞吐量而淘汰。目前的下一代防火墙已经集成了很多安全功能特性,如防火墙、IPS、WAF、防毒等功能,下一代防火墙有其优点:管理与监控方便,无需登录多台安全设备监控与调试;可直接监控管理到7层应用等。在我校数据中心安全建设中,采用的传统的架构,IPS、WAF均为单独设备。主要考虑原因是防火墙是利用原有的高吞吐量防火墙,实现ACL、端口级控制,同时也考虑到安全态势感知平台对同品牌IPS、WAF的安全日志兼容性更强的问题。IPS部署在整个数据中心核心交换机与防火墙之间,大部分Dos攻击由防火墙进行阻断,IPS主要实现入侵防护、数据泄露防护、高级威胁防护、僵尸网络发现等功能。WAF部署在WEB应用区域,对学校的网站进行WEB漏洞防护、WEB插件防护、跨站脚本防护、SQL注入防护等。

2、日常安全管理体系建设。主要目的是加强系统漏洞管理、网站漏洞管理、网站暗链挂马管理、运维安全管理,使自身网络保持动态安全性。此类设备为旁挂类型,包括系统漏洞扫描、网页漏洞扫描、网页暗链挂马检测、堡垒机、数据库审计设备。在本体系建设中,对于信息系统等级保护要求而言,堡垒机对于等级保护合规性检查尤为重要,是安全体系建设中必不可少的一环。

3、基于大数据技术的安全态势感知体系建设。建立基于安全设备(防火墙、IPS、web应用防火墙、漏洞扫描、网页暗链挂马检测、DNS等)日志的安全态势感知平台,结合安全大数据,形成可见、可管、可追溯的安全体系。

传统的安全建设,基本为安全设备的部署,比如增加防火墙、IPS、WAF等设备,但在实际使用与维护过程中存在以下问题:

  • 告警日志是设备在检测到攻击行为后,给用户展示的第一手的直观告警信息,基于安全设备接入层面的不同,告警日志数量就不同,会差出几个数量级,网络安全管理人员无法从海量的告警日志去发现真正存在威胁的攻击而进行安全策略调整。
  • 传统的安全设备分类只是按照攻击类型,攻击种类等层面,无状态的将规则进行分类,不能整体把握攻击整个过程。

四、基于大数据技术的安全实践

为了能够提高安全防护的整体效果,需要转化、提升网络威胁空间形态的表现形式,完成从局部到整体的转换;对网络攻击行为和攻击手法根据时间段进行分类,包括探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段,针对不同阶段存在的攻击或安全隐患进行不同的防范处理。

按照上述思想,我校在数据中心安全建设中构建了一套基于大数据分析的安全态势感知平台。该平台对安全设备探针(IPS、WAF、漏洞扫描、DNS等)的日志数据、相关业务系统的数据进行汇集并存储到大数据平台中,再通过分析工具完成数据的挖掘、分析并呈现可视化结果。平台系统架构整体分为四层,自下而上包括数据采集层、数据汇总层、数据分析层、数据呈现层。

数据采集层:数据采集目前来源于IPS、WAF、漏洞扫描、网页暗链挂马检测等传统设备的安全日志,通过采集原始snmp数据、netflow数据、恶意样本等做基础分析,将结果输出到数据汇总层。

数据汇总层:将数据采集层的数据汇总并存储,同时通过接口将日志数据输入到学校的大数据中心,在大数据中心经过数据处理,通过与学校的认证计费数据、一卡通数据等相关数据进行关联。

数据分析层:基于大数据技术实现异常流量、网络入侵、僵木蠕、系统漏洞、网站漏洞等分析,将数据汇总层的数据统一进行关联、分析、归并,得出最后结果,供数据呈现层展示。

数据呈现层:负责数据展示,所有收集到的信息以资产、用户、威胁、应用等维度进行从宏观到微观的安全展示,将校园网当前的安全现状、遭受到的网络攻击、攻击源、攻击目标、攻击方式等进行展示,解决“安全不可见”的问题。

引入大数据相关技术和思想后,安全态势感知的能力发生了本质的变化。体现在:

  • 利用大数据技术所具有的全量数据分析的能力,通过强大的机器学习算法,将安全设备采集的大量独立的安全事件当做一个互相关联的事件集合来看待和处理。首先,通过对大量正常的网络行为进行建模形成基线,将反常的网络行为识别出来,再通过匹配时序关系、分析共同特征因子等方式将多个安全事件整合成一次完整攻击事件的链条,从而回溯整个攻击过程的细节,发现系统存在的薄弱环节和后门隐患,再制定针对性的措施予以防御。
  • 利用大数据技术所具有的跨维度关联分析的能力,通过对多种信息(攻击者IP地址-攻击者身份认证数据-攻击者身份信息)的关联,将识别出来的安全事件对应到具体的自然人(当攻击者是校内用户时)。视情节轻重和主观故意程度,通过线下手段对该用户进行干预(要求其停止攻击行为,或帮助其杀除电脑所中的蠕虫、病毒等),从而从根源上断绝这一类安全威胁。
  • 利用大数据技术的分析统计能力,将一段较长时间内的安全事件进行汇总分析后,可以统计得出攻击者在全校各院系的分布情况、以及经常被攻破的薄弱主机在各单位、各部门的分布情况,以及攻击类型的集中度等,从而了解全校各部门各单位在网络安全管理方面的不同水准。信息管理部将会根据上述情况制定对应的管理制度或帮助措施解决这个问题和薄弱点,稳步提升整个学校的信息安全管理水平。

 

信息安全建设是一个长期、动态的过程,不可能一蹴而就。在不断的经费投入保证下,需要不断的评估、设计、改进。同时,学校的信息安全并非仅依靠设备、平台就可以解决的,“三分靠技术、七分靠管理”是信息安全建设的一个不变理念,只有依靠校领导高度重视、全校所有部门共同参与才有可能将安全事件风险降到最低。

评论已关闭。