张建娇

（南京铁道职业技术学院 江苏省南京市 210031）

1 引言

校园网已经成为全校师生必不可少的教学与科研的工具。信息系统在校园内应用的规模和复杂性的增加，我们所面临的网络安全形势也越来越严峻。2020年，卡巴斯基监测到全球恶意文件数量增长5%；世界各地大量社交资料遭泄露。卡巴斯基的全球遥测系统在过去的一年中平均每天发现36 万个新的恶意文件，比2019年同期增长5.2%。与往年相比，检测到的木马的百分比增加了40.5%，后门以及蠕虫的数量也显著增加了。除此之外，根据Deep Instinct发布的最新研究报告，2020年恶意软件总体增加了358%，勒索软件则增加了435%。

2 高校网络安全现状及问题分析

2.1 计算机操作系统安全问题

高校网络用户数量巨大，师生缺乏专业的网络安全技术知识，如果没有及时更新操作系统漏洞，这些系统漏洞会被不法分子以及黑客利用，并对校园网络进行攻击，使得校园网络出现瘫痪甚至是崩溃的状态，严重的话可能会造成用户信息泄露。

2.2 勒索挖矿病毒攻击事件加剧

2.3 学校网站及应用系统被攻击

随着智慧校园建设的不断发展，高校网站和应用系统越来越多，师生的教学、科研，生活都和这些应用密不可分。学校门户网站是学校是对外宣传学校形象、发布学校各类信息的重要窗口，在学校的日常办公中承担重要角色；各类应用系统贯穿着教师和学生工作、学习、生活的方方面面，所有学校都秉持着让信息多跑路，让师生少跑路的信息化建设目标。所以一旦学校门户网站和应用系统被不法分子或其它恶意攻击者入侵，不但会对学校的日常工作造成很大影响，还会使学校的公信力受损，更严重会影响社会秩序，引发社会性安全事件。

2.4 APT攻击行为高速增长

2020年全球专业网络安全机构发布了各类高级威胁研究报告，APT 攻击同比增长了约3.6 倍。从国内受害者的性质来看，政府、央企国企、科研单位和高校依然是APT 攻击的重灾区，尤其是涉及对外进出口、国防军工、外交等重点单位，从行业分布上看，受攻击最多的是政府，其次是金融行业、军工行业、科研单位、高校。

3 校园网网络安全态势感知平台建设方案

随着学校智慧校园建设的推进，各种信息系统如网站群平台、信息综合门户、图书检索系统、财务系统、教务系统、科研系统、教学系统、一卡通、后勤保障系统的广泛使用，安全问题面临巨大挑战。经过多年的网络安全建设，防病毒软件、安全网关、上网行为审计系统、WAF 等安全设备的部署已经使校园网具备基本的安全防护能力，但面对愈来愈严峻的网络安全形势，无法将目前信息系统中各类数据孤立分析的形态转变为智能的关联分析。

网络安全态势感知[2]技术可以很好的实现从被动防护转为主动发现安全事件。

3.1 建设目标

网络安全态势感知技术的目标是使高校网络安全做到“规范、可视、可管、可控”。

网络安全态势感知主要分为要素提取、 态势理解、态势预测三个层面[3]。针对校内网络安全问题监控预警、日常信息管理检查阶段佐证、做到事前安全预防，防患于未然，提升高校安全水准；通过关联分析告警、日志分析、特征检测、流量分析等，全面覆盖，统一运维检测，实现事中安全监测和威胁检测；通过威胁阻断、事件溯源等及时应对安全风险与威胁，实现事后闭环响应处置。

3.2 网络安全态势感知平台逻辑结构

基于大数据技术的网络安全态势感知与管控平台，针对各类结构化和非结构化的数据进行实时采集，包括各类设备、应用日志以及网络流量和各种脆弱性。具有完全分布式的数据采集和分析框架，包含了数据采集、数据预处理、数据分析、高级分析、数据可视以及安全处理和响应、安全知识库（含漏洞库、安全事件库、安全配置库、日志配置库等），如图1 所示。

6种甘草酸盐乳膏中甘草酸的体外经皮渗透特性比较…………………………………………………… 涂碎萍等（9）：1205

3.3 实现高阶威胁感知

网络安全态势感知技术通过对各类设备日志、网络流量的综合分析，可以定位网络安全事件在攻击链中的所处阶段，结合溯源分析，进一步形成完整的证据链，将入侵和攻击整个过程进行还原。深度挖掘异常行为，对于外部已发生但本地仍未知的高阶威胁，通过引入多源外部威胁情报，与自身安全技术体系有机结合，有利于全面评估损失和安全风险，制定完善的解决方案。

3.3.1 资产业务管理

网络安全态势感知系统可以主动识别内网资产，主动发现内网未被定义的设备资产的IP 地址及设备类型，同时能识别内网服务器资产的IP 地址，操作系统，开放端口以及传输使用协议和应用。业务与资产关系能够按资产IP 地址/地址段，组合成为特定的业务组。

3.3.2 网络流量分析

通过网络流量分析探针对流量进行全流量接入，结合攻击检测技术、异常流量检测技术、威胁情报检测技术、大数据安全分析技术、安全态势感知技术以及丰富的安全事件报告功能，可有效检测外部攻击、外连威胁、内部非法连接、网络会话模式异常等安全威胁。可有效发现网络威胁发现（比如永恒之蓝、sql 注入、webshell 上传、漏洞利用攻击）、异常行为发现、网络质量检测、网络全会话留存等。

3.3.3 日志监管分析

（1）学校骨干中心网部署了大量网络设备、安全设备、服务器等，同时需要需要能有效收集这些硬件设备和数据库、中间件、业务系统等设备日志，支持 “日志分析+流量分析”双重分析。

（2）实现日志的集中采集和存储。通过平台对所有日志的接入可有效并自动的将设备和中间件日志、系统日志、应用日志、操作访问日志进行集中采集、分类并压缩存储。

（3）实现日志自动集中分析。通过网络安全态势平台自定义规则，对日志进行横向和纵向关联，进行自动化分析，找出潜在安全问题。通过集中化的日志集中管理与审计系统，实现对日志的自动采集、分析、审计和响应，提高日志审计的效率，做到问题早发现早处理，将风险控制在可以接受的程度。

3.3.4 主动安全检测

通过大数据技术，对校园网网络安全态势进行预测。一方面，对威胁趋势进行预测，评估应对能力和损失，有利于调配安全运营资源，更好地控制潜在风险。另一方面，对安全事件发展趋势进行预测，有利于制定精准解决方案，更好地控制事态变化和安全投入成本。阻断安全风险，通过大数据分析，根据已命中的安全事件精准地对已知和未知的攻击行为进行实时阻断，并对已执行阻断策略的网络会话进行审计查询。

3.4 建立安全事件处置体系

高校校园网内可以通过网络安全态势感知平台形成“资产风险发现-资产管理加固-事件追踪溯源-事件处置-留存记录”一体化闭环解决方案。

可视化大屏展示将碎片化的安全事件数据结构化，能以多种形式实时在大屏上展现网络的攻击情况，准确定位出攻击源、攻击路径、攻击目标，快速找出安全威胁，直观显示校园网的网络安全状态[4]。

平台对发现的安全问题和重要资产进行安全风险管控，对存在问题的设备及时通过短信、邮件形式告警，通过内置命令行接口，跟防护探针结合实现探针联动处置机制，也可和其他设备交换机做命令行的下发阻断。

针对安全事件，根据不同的风险等级，可以监控和溯源查询，其次联动阻断探针、防火墙、SDN 设备等对监测到的威胁和问题资产第一时间进行响应和处置，从而形成一套及时的应急处置体系，进一步提高校网络安全保障水平。

3.5 组网部署

以我校为例，校园网网络安全态势感知建设方案组网的部署方式如下：在数据中心区域旁路部署流量（潜伏威胁）探针，和安全态势感知平台，把出口流量全部镜像到流量探针，同时收集所有安全设备，服务器，重要网络设备、数据库、中间件和业务系统的所有日志到安全态势感知平台，组网部署网络拓扑结构如图2 所示。

4 结语

在高校校园网内建立安全态势感知与预警平台，通过流量探针和日志建立安全大数据中心，实现网络环境安全类、管理类、流量数据以及资产、用户的基本数据的采集，并通过安全态势感知平台，实现对安全数据中心内数据的分析应用，实现多维大数据关联分析，全网的安全要素分析、异常行为快速发现的能力以及整体网络的安全态势可视化能力，并累计本地威胁情报。根据这些威胁情报朔源找出攻击类型以及攻击目的，及时阻断攻击，确保校内数据信息的安全。