南阳理工学院:全链路安全预警处置体系建设与探索
一、项目背景
习近平总书记提到“没有网络安全就没有国家安全,没有信息化就没有现代化”,怀进鹏部长提倡大力推进教育信息化、教育资源数字化,坚持应用为王、服务至上,以标准安全运行保障为支撑,筑牢数据安全底线,探索创造富有中国特色的教育数字化治理标准,构建可持续的数据安全防护体系。
党的十八大以来,随着我国高校信息化建设的逐步深入,学校教务、招生、学籍管理、科研管理、后勤等工作对信息系统依赖的程度越来越高;同时,伴随智慧校园中网上办事大厅等系统的逐步完善,围绕业务系统整合、数据资源治理、大数据挖掘等工作,聚集存储了大量的敏感数据。校园网络的扩展和数据处理的多样化带来了大量潜在的安全风险,如网络攻击、数据泄露及系统故障,这些问题严重威胁到学校的正常运营和数据安全。虽然国家相关法律对高校网络安全有明确要求,但实际操作中,高校常常遇到防护体系分散、数据治理不完善和应急响应不及时等难题。为了有效应对这些挑战,南阳理工学院启动了全链路安全预警处置体系建设(以下简称“安全预警体系”)。该项目旨在通过建立全面的网络安全防护体系,强化数据治理,提升应急响应能力,实现技术和管理的有效结合,从而提升高校的整体网络安全水平,为未来的安全挑战奠定坚实基础。
二、建设原则
安全预警体系建设采用分期投入、分期建设的方式,遵循总体规划、分步实施、效益优先、重点突破原则,结合学校实际业务特点和需求,逐步完善各项安全能力及源数据采集覆盖范围,其所遵循的原则包括:
(一)清晰定义模型
在体系设计之初对信息系统进行模型抽象,把信息系统各个内容属性中与安全相关的属性抽取出来,充分参照IPDRR自适应模型,明确安全体系建设是一个持续处理、不断循环迭代的过程,从而指引学校逐步完善监控识别、防御强化、威胁狩猎、应急处置、安全运营五维安全能力。
(二)建设综合防范
任何安全措施都不是绝对安全的,都可能被攻破。为确保攻破一层或一类保护的攻击行为无法破坏整个信息系统,需合理划分安全域并综合考虑多种有效措施,进行多层和多重保护建设。
(三)需求、风险、代价平衡
绝对的安全难以达到,也不一定是必须的,需正确处理需求、风险与代价的关系。宜适度防护,做到安全性与可用性相容,技术上可实现,经济上可执行。
(四)技术与管理相结合
网络安全涉及人、技术、操作等多方面要素,单靠技术或管理都不可能实现。必须将各种安全技术与运行管理机制、人员思想教育、技术培训、安全规章制度建设相结合。
(五)动态发展和可扩展
网络安全需求会不断变化,也受制于环境、条件、时间因素,一步到位,一劳永逸地解决网络安全问题是不现实的。可先保证基本的、必须的安全性和良好的可扩展性,随着应用和网络安全技术的发展,不断调整安全策略,加强安全防护力度,以适应新的网络安全环境,满足新的安全需求。
三、工作举措
(一)加强顶层设计,统一规划,分步实施
以安全大数据为全链路平台智能底座,以等保合规建设为基础、以安全能力建设为核心、以安全运营体系建设为抓手,集中面向南阳理工学院提供统一安全服务、实施统一安全监管;打通网络安全风险评估、运维保障、监测预警、应急响应的运营流程,实现网络安全从被动向主动、从静态到动态、从事后到事前、从分散到集约的转变,全时保证网络信息系统安全可靠,阻断已知网络攻击和未知入侵渗透,防范来自外部和内部多类型攻击,以安全保发展,以发展促安全,推动网络安全发展迈向新的高度,力争做到“事前可预警、事中可防御、事后可溯源”。
(二)安全数据持续可用
对校园网复杂多源异构网络安全数据进行治理,建立安全数据中台,打通安全数据孤岛,构建统一数据标准,采集异构安全资产的数据,对各类安全设备、系统数据进行处理、治理、存储、分析等操作。通过纳管全域安全数据资产,使数据充分应用于安全风险决策、安全运营管理,形成数据、业务的价值链闭环。
需治理的安全数据包括不限于:内部资产信息、网络拓扑、安全配置、安全漏洞、系统指纹;外部安全攻击、恶意扫描、拒绝服务、异常流量等;战略安全情报、战术安全威胁情报、通告和预警等。
(三)异构安全平台进行体系化管理
对异构安全能力进行体系化梳理,全面覆盖基础安全能力、安全服务能力、运营剧本能力,建设资产发现、漏洞扫描、访问控制、威胁检测、攻击溯源、响应处置、预测提升等安全能力目录,形成标准化安全能力输出,敏捷响应安全能力服务需求。
(四)安全运营联动管理
进行集中化、多维度防护、检测、响应、预测和监控,实现体系化的网络安全运维。结合安全工单流转,快速形成网络安全闭环。通过一系列策略集、产品、服务和校园业务场景进行深度联动,利用网络分析的方法,把看似不相关的用户和行为关联起来,从而提高异常行为监测的准确度和灵敏度。搭建专业水平的数据可视化应用和大屏,利用多维态势可视化系统实时展现总体威胁状况,满足投屏展示、安全监控、风险预警、工作汇报等多种业务需求。
(五)坚持遵照“分层解耦、异构兼容”的原则
全链路平台总体架构遵照“分层解耦、异构兼容”的设计理念,分为数据采集层、安全能力层和安全应用层三个层次,各层级以及模块之间的功能设计具有相对的独立性,从而使得整个系统具有较高的扩展性。
数据采集层作为全链路平台的基础能力层,为安全组件层提供基础安全能力和数据来源。安全能力层包含安全数据治理和安全能力编排,安全数据治理实现数据的采集处理、挖掘分析和提供统一的数据服务,构建数据驱动安全体系。通过能力编排将安全数据中台能力服务化,形成安全服务目录,实现安全资源的灵活调度。安全应用层通过建设满足行业主管的各类业务应用,打造监督管理与运营中心,实现对网络、终端、数据、应用、边界的全方位防护。
(六)安全能力统一调度
网络安全调度平台统一管理各类安全告警数据,进行统一存储和统一分析,同时提供对外数据访问接口与数据分析接口,整体设计架构如图1所示:
图1 校园网安全数据流转图
(七)构建网络空间安全产学研协同育人培养体系
积极与政府部门、企业、行业协会及科研机构开展合作,以南阳市网络安全监控预警中心、南阳网络空间安全研究院、网络空间安全检测预警实验室为依托,打造“政产学研用”协同创新的开放融合软件人才培养生态体系。使学生置身于“产学研”环境中,营造了富有挑战性、创新型、高素质专门人才的成长环境,提升了网络安全人才的国际化能力,确保网络空间安全领域人才能够与相关产业对接落地。
四、工作成效
(一)治理异构安全数据
对学校所有网络安全行为进行持续监测和预警,一旦发生网络安全事件,可以对时间进行追踪、溯源、取证,还原事件发生过程,了解事件严重程度和影响范围,做出正确有力的响应,并采取防御措施。
(二)安全处置联动
释放安全工作人员处置海量告警压力,精准针对发现的中高级威胁攻击事件,下发对应的安全响应处置策略和任务,协同各安全产品对于威胁事件进行终止、隔离、取证等安全手段,快速终止威胁的持续,网络安全态势感知平台与防火墙处置联动如图2所示:
图2 网络安全态势感知平台与防火墙处置联动
(三)安全威胁要素分析和异常行为快速发现
平台利用机器学习算法和大数据分析技术,能够实时识别异常行为和潜在威胁,生成详细的安全威胁报告和风险预警。通过对异常行为的自动检测和分析,能够缩短响应时间,迅速采取针对性的安全措施,减少潜在的损失,并优化网络安全防护策略。同时,支持安全事件的可视化展示,使安全管理人员能够直观地了解网络安全态势,从而做出更为准确的决策,全威胁热点可视化如图3所示:
图3 全威胁热点可视化展示
(四)月度、年度网络安全报告
通过监测数据,漏洞扫描数据,攻击防护数据进行分类整合和整理输出,形成可视化图表和报告,实现全校业务系统进行统一安全防护和管理,提升校园整体网络安全水平。
按照标准化流程和程序,指挥调度安全防护力量,协调安全防护软硬件资源,针对网络攻击、非法行为、异常访问等情况进行针对性调整和控制,动态降低安全风险隐患,持续提升整体防护能力。
结合网络安全学生团队力量和技术优势,成立南阳市网络安全监控预警中心和南阳网络空间安全研究院,经南阳市公安局授权负责南阳市范围内网络资产的网络安全监控预警、漏洞研究、护网行动、网络应急演练、重保以及网络攻防演练等工作,有力保障了南阳关键信息基础设施和涉及国计民生网络运行的安全稳定,进一步提升了南阳市维护网络空间安全的能力和水平。成立两年来,共为南阳市公安局提供漏洞报告2000余份,多次避免重大网络安全事故的发生。
此外,与安恒信息技术股份有限公司保持良好合作,共建网络空间安全检测预警实验室,强化新技术、新应用,孵化了多款网络安全工具和优化了多款网络安全产品、努力形成人才培养、技术创新、行业发展、相互促进、相互支撑的良性生态,更好服务区域社会经济发展,助力企业安全产品快速落地及迭代优化升级,为南阳副中心城市现代化建设做出新的贡献。
五、工作经验
(一)加强组织领导,严格落实党委(党组)国家安全责任制
严格落实党委(党组)国家安全责任制,网络安全和信息化委员会是学校网络安全的最高领导机构,主要职责是贯彻落实上级有关部门关于网络安全和信息化工作的决策部署,统筹决策学校网络安全与信息化重大问题,研究部署学校新型智慧校园建设和应用推进,督导信息化建设项目执行情况等工作。
(二)加强安全服务能力
加强安全服务能力,重点关注安全问题的处置效率,建立“安全运营服务化、一切产品皆服务”的理念,构建基础安全能力底座,支撑安全态势监测分析,实现智能安全运营,为全网安全保驾护航。
(三)以网络安全运营建设为支撑,以安全措施具体落地为宗旨
根据学校的具体情况和需求规划,建立覆盖全链路以及全生命周期的安全管理机制;持续开展网络安全监测预警,提高数据分析和主动防御能力;促使学校的信息化安全保障将重心转变为关注整体网络安全运营,强调从业务信息系统安全风险分析的角度,以指标化的手段来呈现当前网络的安全运行态势,加强网络安全防护和保障服务能力。
(四)智能安全运维,监控先行
通过构建先进的监控系统,校园能够实现对网络流量、服务器状态、数据库性能等各方面的实时监控。一旦出现异常系统能够自动发出预警,快速定位问题源,并及时采取相应措施,避免因故障或攻击造成的损失,增强网络和业务系统的抗风险能力,为校园信息化建设提供了有力保障,自主研发的无线网监控平台及实时网络拓扑图如图4和图5所示:
图4 自主开发无线网监控平台
图5 自主开发实时网络拓扑图