随着业务的飞速发展，在保证师生互联网信息获取顺畅的同时，保护师生个人隐私安全、保障学校核心业务稳定运行是推进教育信息化改革的重要环节。本文以安徽大学校园安全态势感知平台的建设为例，在梳理安徽大学网络安全应用发展现状和特点的基础上，围绕如何应对网络安全面临的严峻挑战，建设符合高校校园网实际的安全态势感知平台进行了分析与总结。

　　2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上指出：“树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”2017年《网络安全法》出台，2019年网络安全等级保护制度进入2.0时代，网络安全在国家事务中的地位日益凸显，并且上升至国家战略，网络安全相关政策布局不断加速。在《教育信息化2.0行动计划》中明确要求“全面提高教育系统网络安全防护能力，深入开展网络安全监测预警，提高网络安全态势感知水平”。

　　为落实《网络安全法》，全面贯彻上级部门关于网络安全及信息化工作相关要求，近年来，安徽大学通过开展等级保护、落实安全服务、建设态势感知平台等工作，切实提高网络安全防护水平，有力保障学校信息化建设可持续发展。

　　网络安全管理现状

　　校园网具有开放、覆盖面广、主机和带宽资源丰富、用户群体活跃、应用复杂等特点。高校教学和科研应用的需求要求校园网是开放的，因此在校园主干网上通常只部署一些基本的安全策略保障网络稳定运行。同时，校园网具有用户活跃群体庞大、应用繁多，高带宽和大用户量的特点，使得网络安全问题蔓延快、对网络的影响也比较严重。

　　安徽大学校园网采用“万兆主干，千兆到桌面”的大二层架构，互联网出口总带宽超过20Gb，注册网络用户5万余人，在现有的网络环境下，极少数受攻击的机器所产生的高并发连接就可能会对网络平稳运行造成干扰。校园网承载了服务于教学、科研和管理的各类业务系统，数据中心运行的虚拟机500余台，各类网站近300个，系统的复杂性、虚拟化导致的安全边界模糊，使得系统的风险成倍增加。现网中虽存在多种类型、多个品牌的安全产品，但传统的安全产品和安全手段只能在一定范围内发挥特定的作用，互相之间缺乏有效的数据融合和协同管理机制。

　　为有效提升网络安全管理水平，建设适应智慧校园发展需求的安全态势感知平台迫在眉睫。需从网络安全实际出发，整合不同维度的安全信息、外部威胁情报及内部资产，利用机器学习算法，结合高效的关联分析实现对安全事件的事前预警、事中告警和事后溯源。

　　安全态势感知平台建设内容

　　安全态势感知平台建设的核心理念是构建安全威胁大数据分析平台，全面覆盖基础网络安全和信息系统安全，采集和分析大量分散的异构信息数据，并将这些信息用大数据分析关联技术处理，发现网络中潜在的入侵和攻击等安全威胁，再以安全可视化的方式呈现出来，从而使管理者能够建立动态的安全监控与防御体系，迅速把握复杂、动态的安全态势。

　　平台架构分为四个层次，分别是数据采集层、计算存储层、业务能力层和系统服务层，如图1所示。

图1 安全态势感知平台架构

　　1.数据采集层

　　实现整个环境的安全态势要素的完整获取。数据是态势感知的基础，数据来源包括本地态势要素数据、云端数据和威胁情报。本地态势要素数据采集是项目实施的重点之一，主要从日志和流量两个维度收集。由于不同数据源对网络安全事件的定义通常具有不同的格式，还需要通过范式处理将数据归一化为统一格式，并去除冗余及噪声数据。

　　2.计算存储层

　　采用HadoopMapReduce和Spark构建，支撑态势感知的海量日志存储与处理，并为智能模型算法的深度安全分析提供计算资源。

　　3.业务能力层

　　通过安全分析引擎和智能学习引擎协同工作，通过融合、归并和关联底层多个检测设备提供的安全事件信息，从整体上动态反映网络安全情况，并对网络安全的发展趋势进行预测和预警。

　　4.系统服务层

　　通过安全态势感知和情报中心感知网络状态、受攻击情况及攻击来源，快速准确地把握网络当前的安全状态，掌握网络安全状况和发展趋势，做好相应的防范准备，及时做出正确的响应。通过配套的安全服务人员共同构建关键信息基础设施安全体系，增强网络安全防御能力。

　　安全态势感知平台建设成效

　　通过安全态势感知平台建设，打造了一套从资产、用户、流量、行为、配置基线等多个维度的立体式主动安全防御体系，基层探针配合数据中安全分析大脑，上下联动，出现问题快速决策、及时处理，为安徽大学教育信息化改革提供了坚实的后盾。建设成效具体包括以下四个方面：

　　第一，实现安全信息全方位的收集和处理，采集的日志数据包括防火墙、抗DDoS攻击、漏洞扫描等安全设备，出口路由器、交换机等网络设备、服务器、中间件、业务系统等日志；通过部署在数据中心和校园网出口的流量探针采集流量数据，日采集数据量约4TB；以上海量异构数据通过日志范式化处理后，为大数据安全分析奠定基础；

　　第二，实现校内网站全面监控，通过监控页面变更、恶意链接、敏感词、网站木马和网站钓鱼等五方面内容，给出网站安全评分，提升网站安全管理的水平；

　　第三，实现外部威胁情报和内部资产脆弱性的自动化关联，智能分析漏洞影响与危害，通过对已拦截威胁数、遭受威胁数、脆弱性事件数、系统漏洞等信息进行多维度分析，综合评判重要业务系统系统安全度和整网安全指数，网络安全的整体态势更加直观；

　　第四，实现安全分析引擎、智能学习引擎和沙箱引擎的协同感知，准确识别网络威胁和业务异常行为，快速定位安全事件。针对攻击全过程对攻击者留下的线索进行多维拓展，可视化绘制出完整的攻击链条；并对全量原始日志进行检索实现安全事件进行回溯和调查；结合安全服务，形成安全事件的快速溯源取证及闭环处置流程，安全事件处置效率大幅提升；

　　第五，通过校企合作实现安全防范技术和管理水平的整体提升。结合校园工作实际，与新华三集团共同打造新一代校园网“主动安全”防护体系，为在校师生的个人隐私安全防护、学校核心业务的稳定运行构筑了可靠的安全基石。

　　安全工作贯穿信息化建设的始终，是需要持之以恒、常抓不懈的关键性支撑工作。后期学校将进一步健全网络与信息安全管理制度，扎实推进等级保护工作，强化用户个人信息保护，完善安全应急管理预案，持续提升网络与信息安全保障水平。

　　（作者：段运生 毕晓东 许晖，单位为安徽大学网络信息中心）

点图进专题>>2019高校信息化创新实践方案展示