“互联网+教育”时代 亚信安全助力江汉大学“安全”云化
智慧校园安全体系暴露“短板”
江大是经中国教育部批准,由原江汉大学、华中理工大学汉口分校、武汉职工医学院、武汉教育学院等高校合并组建的一所公立的综合性普通高等学校。学校实行湖北省、武汉市共建,以武汉市为主的办学体制,是省、市重点建设大学。截止2015年12月,学校共有专任教师1066人,全日制在校生近1.8万人。
江大教育信息化起步较早,早在2002年7月便建成了学校校园网并正式投入运行。2012年,江大开启了智慧校园一期项目建设,大量智慧应用在校园内外不断落地。然而,在大量新建业务系统入驻云计算数据中心之后,黑客攻击、恶意程序感染等一系列威胁如影随形。同时,江大还遇到了虚拟化服务器主机安全和应用层防护这样的新问题,信息安全体系暴露大量“短板”。
江大信息网络中心相关领导表示:“本着智慧化校园开放服务的建设理念,我校智慧云平台充分运用了云计算、虚拟化、大数据、物联网等技术,实现了移动化、智能化的全方位覆盖。但是,传统的网络层防御体系并不能足以对数据中心虚拟化服务器提供高效的安全服务。首先,防毒软件一起工作时,导致物理服务器工作负载非常大。另外,传统的边界和内部防火墙也无法发现应用层的恶意攻击流量,这些技术问题对于智慧校园发展产生了负面影响。为此,我们邀请了业内领先的网络安全企业和中心的老师一道,对现有防御系统进行了风险评估,并最终决定重构江大的网络安全防御体系。”
联手评估挖出“四大风险点”
在2015年底至2016年初的这段时间里,江大不仅加大了智慧校园管理平台的投入力度,还邀请了亚信安全的资深安全工程师对内外网防御水平进行了重新评估。那么,最终确定的薄弱环节都有哪些方面呢?
第一、在智慧校园建设初期,虚拟机上部署了传统客户端模式的防病毒软件,作为当时唯一的防毒手段,并没有发现异常状况。但在虚拟机数量增加后,信息网络中心的老师却发现,虚拟化平台在业务高峰期会出现严重的性能问题,CPU、内存和磁盘I/O接近负载极限,也就是“防毒风暴(AV Storm)”问题。
第二、校内的业务核心服务器与互联网隔离,虽然有效的隔离了互联网中的安全威胁,但操作系统、数据库以及应用软件也因此不能及时从互联网获取补丁,导致系统漏洞难以及时得到修补,容易受到来自校园网内部的嗅探和蠕虫攻击,为不法人员后续攻击留下了隐患。
第三、数据中心和校园网之间仅有传统的防火墙用来抵御来自网络层的DDoS攻击。但从多次不明入侵事件来看,攻击行为主要针对数字校园的Web应用平台,以SQL-injection和跨站点脚本攻击手段为主,这类攻击行为无法被传统防火墙所识别和拦截,存在安全防御漏洞。
第四、从江汉大学校数据中心的安全架构来看,重点仍然停留在基于网络层和连接层的防御,仍然是重边界轻终端的理念。但由于无法实现对整个应用层攻击行为的监控,无法检测终端是否感染病毒或是被木马控制,也就无法分析其攻击手段和攻击来源,导致已有防御策略失效。
通过对虚拟化和应用层漏洞技术资料的汇总分析,信息中心对“防毒风暴”的原因,以及网络威胁监测技术有了全面的了解。首先,由于传统防毒软件并不是专为虚拟化环境设计,当所有虚拟机的防毒软件开启实时防护时,会出现多台虚拟机同时扫描,会对主机的CPU、内存和磁盘I/O带来巨大的压力,业务高峰期会导致虚拟化环境崩溃。其次,攻击者会在网络中使用其它应用程序或服务继续进行他们的恶意活动,虽然这些行为本质上具有很强的隐蔽性,但先进的网络威胁侦测技术可以发现“他们”的蛛丝马迹。
有的放矢形成主动防御
根据双方共同探讨之后得出的结论,江大果断地采用了亚信安全的主动式纵深架构安全解决方案,在云数据中心部署亚信安全服务器深度安全防护系统(Deep Security),在网络核心层采用旁路方式部署亚信安全深度威胁发现设备(TDA)。
亚信安全服务器深度安全防护系统(Deep Security)主要针对前三个风险点,将问题一一对应解决。首先,该平台完全抛弃了传统防毒的概念,从虚拟化底层的防护入手,利用无代理机制协助江大信息中心彻底消除AV Storm,大幅提升虚拟机密度。其次,通过Deep Security提供的补丁管理,让所有虚拟主机形成了统一的补丁部署和升级架构,防止了黑客利用最新漏洞发起攻击。最后,通过深度封包检查技术(Deep Packet Inspection,DPI)检查虚拟化底层所有网络协议进出通信,拦截SQL Injection 及Cross-site 跨网站程序代码改写等已知漏洞攻击。
针对最后一个风险点,亚信安全深度威胁发现设备(TDA)可以对江大的网络安全环境进行智能分析。例如:监控所有连接端口以及80 多种通讯协议,分析所有进出的网络数据流量;通过其特殊的侦测引擎与定制化沙箱,能发现并分析攻击者使用的恶意软件、幕后操纵(C&C)恶意通信,以及隐匿的攻击活动,提供威胁情报让管理员快速响应并阻止攻击。
对于重构后的防御体系的实际效果,江大信息中心领导表示:“数据中心管理效率得到了大幅提升,Deep Security为我们节省了很多人力成本,对智慧校园应用起到了保驾护航的作用。另外,TDA成为了我们重要的网络预警帮手,它能在第一时间定位威胁源头,实时掌握整个校园网络的安全状态。而TDA系统上导出的威胁分析报告,也给我们在今后信息安全规划方面起到了辅助和引导的作用。”
关于亚信安全
亚信安全是亚信集团“领航产业互联网”版图中的重要业务板块,于2015年由亚信科技对全球最大的独立网络安全软件提供商趋势科技中国区业务进行收购重组,专注于产业互联网安全服务领域,是中国领先的云与大数据安全技术、产品、方案和服务供应商。亚信安全在中国北京和南京设有独立研发中心,拥有超过2000人的专业安全团队,以“护航产业互联网”为使命,以“云与大数据的安全技术领导者”为战略愿景,亚信安全坚持“产品、服务、运营三位一体”的经营模式 ,助力客户构建“立体化主动防御体系”,为国家提供网络安全与云产业安全保障,推动实施自主可控战略。
本文出处:畅享网
本文来自云栖社区合作伙伴畅享网,了解相关信息可以关注vsharing.com网站。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
如何使用Kafka Connect实现同步RDS binlog数据
1. 背景 在我们的业务开发中,往往会碰到下面这个场景: 业务更新数据写到数据库中 业务更新数据需要实时传递给下游依赖处理 所以传统的处理架构可能会这样: 但这个架构也存在着不少弊端:我们需要在项目中维护很多发送消息的代码。新增或者更新消息都会带来不少维护成本。所以,更好的处理方式应该是直接将数据库的数据接入到流式系统中,如下图: 本文将演示如何在E-MapReduce上实现将RDS binlog实时同步到Kafka集群中。 2. 环境准备 实验中使用VPC网络环境,以下实例创建时默认都是在VPC环境下。 2.1 准备一个测试RDS数据库 创建一个RDS实例,版本选择5.7。这里不赘述如何创建RDS,详细流程请参考RDS文档。创建完如图: 2.2 准备一个Kafka集群 创建一个E-MapReduce Kafka集群,版本选择EMR-3.11.0。需要注
- 下一篇
万达调整架构第四次转型:成立网络科技集团
万达集团产业结构再次调整,全面转型现代服务业。10月13日,万达网络科技集团在上海宣布成立,由原来的商业、文化、金融三大板块,调整为商业、文化、网络、金融四大产业集团。 新成立的万达网络科技集团从万达金融集团独立分拆出来,专注线上线下融合,打造新一代物联网模式。旗下包括飞凡信息公司、快钱支付公司、征信公司、网络数据中心、海鼎公司、网络信贷公司等。万达金融集团发力传统金融业务,包括银行、保险、证券、投资等。 万达网络科技集团总裁由原万达金融集团总裁曲德君担任。万达金融集团董事长兼总裁由广发银行原董事长董建岳担任。 万达集团董事长王健林表示,这次企业内部结构调整是万达深化第四次转型、加速转型现代服务业的重大举措,符合中国经济转型、消费升级的大趋势。 万达在互联网战略上的布局近年来层层推进: 2012年5月,万达进军电商领域,发布万人招聘计划,重点引进O2O电商领域的人才; 2013年,万达成立万汇网,主打线上线下融为一体的电商模式; 2014年,万达、腾讯、百度联手成立万达电商,俗称“腾百万”。王健林拉上腾讯、百度两大巨头加入电商队伍。宣称三方首期共同投资50亿,5年投资200亿,全力打造...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS关闭SELinux安全模块
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Hadoop3单机部署,实现最简伪集群
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS6,CentOS7官方镜像安装Oracle11G
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8编译安装MySQL8.0.19
- CentOS6,7,8上安装Nginx,支持https2.0的开启