綠盟科技：暨南大學(xué)多校區(qū)日志收集綜合分析系統(tǒng)建設(shè)

暨南大學(xué)（以下簡(jiǎn)稱“暨大”）自2015年起，不斷加強(qiáng)網(wǎng)絡(luò)安全體系建設(shè)，在校園網(wǎng)、數(shù)據(jù)中心等關(guān)鍵節(jié)點(diǎn)，分別部署防火墻、漏洞掃描、網(wǎng)頁(yè)監(jiān)測(cè)等設(shè)備，開展日常安全檢測(cè)。同時(shí)暨大對(duì)多校區(qū)數(shù)據(jù)分析系統(tǒng)及設(shè)備進(jìn)行升級(jí)，加強(qiáng)安全防護(hù)與監(jiān)測(cè)能力，還建立起一整套監(jiān)測(cè)、預(yù)警、處置的工作流程，提高應(yīng)對(duì)未知風(fēng)險(xiǎn)的能力。

需求分析

面對(duì)日益復(fù)雜的網(wǎng)絡(luò)威脅，暨大還需進(jìn)一步加強(qiáng)安全體系系統(tǒng)建設(shè)，并完成各安全平臺(tái)所需的各類安全資產(chǎn)統(tǒng)計(jì)及監(jiān)測(cè)接入。

1.建立大數(shù)據(jù)安全日志分析系統(tǒng)。暨大校園網(wǎng)絡(luò)、安全設(shè)備及信息系統(tǒng)（網(wǎng)站）對(duì)安全日志缺乏有效收集、整理、分析、使用，需要通過(guò)建立大數(shù)據(jù)安全日志分析系統(tǒng)提高對(duì)日志的監(jiān)測(cè)能力，還需部署大數(shù)據(jù)平臺(tái)來(lái)滿足未來(lái)對(duì)大數(shù)據(jù)分析的潛在需求。

2.既有設(shè)備升級(jí)。學(xué)校需要對(duì)原有設(shè)備進(jìn)行升級(jí)或補(bǔ)充實(shí)施內(nèi)容，包括Web漏洞掃描系統(tǒng)、安全配置核查系統(tǒng)、網(wǎng)絡(luò)版殺毒軟件、SSL數(shù)字安全證書。

3.安全服務(wù)。WAF及Web頁(yè)面校外監(jiān)測(cè)服務(wù)。通過(guò)第三方對(duì)WAF、學(xué)校信息系統(tǒng)（網(wǎng)站）進(jìn)行24小時(shí)監(jiān)測(cè)；對(duì)WAF設(shè)備運(yùn)行狀態(tài)進(jìn)行監(jiān)控管理，策略優(yōu)化；對(duì)學(xué)校信息系統(tǒng)（網(wǎng)站）進(jìn)行掃描，及時(shí)發(fā)現(xiàn)網(wǎng)頁(yè)篡改、掛馬、黑鏈等問(wèn)題。

實(shí)施目的和意義

此項(xiàng)目旨在進(jìn)一步加強(qiáng)暨大校園網(wǎng)絡(luò)安全體系建設(shè)，實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)常態(tài)化。

1.促進(jìn)學(xué)校整體安全能力提升。通過(guò)對(duì)校內(nèi)網(wǎng)絡(luò)安全系統(tǒng)及軟硬件的建設(shè)、優(yōu)化、升級(jí)，提高其運(yùn)行狀態(tài)監(jiān)控，及時(shí)發(fā)現(xiàn)、響應(yīng)未知威脅。

2.提高對(duì)大數(shù)據(jù)安全日志的分析、監(jiān)測(cè)、預(yù)警能力。

3.加強(qiáng)對(duì)網(wǎng)絡(luò)空間安全人才的培養(yǎng)。本項(xiàng)目還將邀請(qǐng)業(yè)內(nèi)專家與在校學(xué)生、研究員、安全運(yùn)維團(tuán)隊(duì)等進(jìn)行交流，促進(jìn)安全人才的培養(yǎng)。

項(xiàng)目實(shí)施

多校區(qū)日志收集綜合分析系統(tǒng)是信息安全建設(shè)的一個(gè)重要里程碑，其順利實(shí)施除了軟硬件質(zhì)量保障外，還依賴于對(duì)業(yè)務(wù)了解和安全場(chǎng)景的構(gòu)建，具體將從如下角度進(jìn)行實(shí)施。

1.業(yè)務(wù)方面

（1）總體安全態(tài)勢(shì)：覆蓋主機(jī)、配置和網(wǎng)站漏洞和威脅性的檢測(cè)，并開發(fā)為內(nèi)外網(wǎng)不同維度的顯示和分權(quán)運(yùn)維。

（2）24小時(shí)監(jiān)控：針對(duì)主機(jī)失陷、網(wǎng)站監(jiān)測(cè)和漏洞情報(bào)，提供持續(xù)的分析手段并對(duì)攻擊鏈的深入分析，對(duì)失陷主機(jī)提供詳細(xì)攻擊鏈條和解決方案。

（3）內(nèi)容監(jiān)管：綜合分析系統(tǒng)應(yīng)提供內(nèi)容監(jiān)管功能，實(shí)現(xiàn)輿情的云端監(jiān)控和接入、郵件安全和輿情監(jiān)控的接入，反恐、反動(dòng)的資訊接入，進(jìn)行內(nèi)容監(jiān)控的統(tǒng)一分析。

（4）信息泄漏管理：支持Web頁(yè)面、數(shù)據(jù)泄露的分析，互聯(lián)網(wǎng)的情報(bào)監(jiān)控。

（5）事后分析：挖掘信息日志價(jià)值，提供二次開發(fā)接口。

（6）等級(jí)保護(hù)管理系統(tǒng)：能提供每個(gè)業(yè)務(wù)系統(tǒng)的等級(jí)保護(hù)設(shè)定和相關(guān)的評(píng)分標(biāo)準(zhǔn)和符合性情況，并能夠按照學(xué)校的業(yè)務(wù)特點(diǎn)進(jìn)行定制開發(fā)。

（7）日常運(yùn)維：提供風(fēng)險(xiǎn)運(yùn)維的工單功能，緊急漏洞可實(shí)時(shí)傳送信息，并關(guān)聯(lián)已有資產(chǎn)，對(duì)于不同二級(jí)單位的資產(chǎn)能夠分權(quán)管理和展示。

2.技術(shù)方面

（1）在不影響現(xiàn)有業(yè)務(wù)系統(tǒng)運(yùn)行的情況下進(jìn)行日志收集綜合分析系統(tǒng)建設(shè)，達(dá)到統(tǒng)一界面管理。

（2）具備移動(dòng)端的管理功能，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全任務(wù)執(zhí)行情況和安全威脅信息，及時(shí)反饋設(shè)備運(yùn)行狀態(tài)。

（3）對(duì)項(xiàng)目所含軟硬件在暨南大學(xué)三地五校區(qū)的安裝、部署、聯(lián)調(diào)等集成工作。

（4）作為安全建設(shè)與科研合作的重點(diǎn)項(xiàng)目，邀請(qǐng)相關(guān)安全漏洞挖掘人員到校內(nèi)與學(xué)校安全研究學(xué)院、安全運(yùn)維團(tuán)隊(duì)進(jìn)行交流，促進(jìn)學(xué)校安全能力的提升。

（6）本項(xiàng)目的綜合分析系統(tǒng)逐步建設(shè)后，將會(huì)作為全校信息安全資料庫(kù)的入口，形成學(xué)校的威脅資源庫(kù)。

3.系統(tǒng)方面

（1）兼容學(xué)校校園網(wǎng)絡(luò)，以萬(wàn)兆方式接入，通過(guò)以太網(wǎng)實(shí)現(xiàn)跨校區(qū)互聯(lián)。

（2）能夠針對(duì)學(xué)校特色進(jìn)行安全日志綜合分析的態(tài)勢(shì)演示，并形成相關(guān)安全報(bào)告。

實(shí)施效果

1.方案通過(guò)對(duì)高校網(wǎng)絡(luò)安全的升級(jí)，提高了對(duì)網(wǎng)絡(luò)安全的防護(hù)能力、風(fēng)險(xiǎn)感知能力、安全區(qū)域控制能力與病毒查殺能力，形成了全面縱深的安全能力和統(tǒng)一的運(yùn)維管理能力。

2.通過(guò)對(duì)大數(shù)據(jù)分析系統(tǒng)的建設(shè)，從如下幾方面提升了高校的大數(shù)據(jù)分析能力。

（1）安全態(tài)勢(shì)綜合展示。通過(guò)將大數(shù)據(jù)進(jìn)行集中展示、分類歸納、重點(diǎn)分析，使整體系統(tǒng)安全性一目了然，減少了實(shí)際安全運(yùn)維成本。

（2）重點(diǎn)事件提煉、分析?；诎踩录拇髷?shù)據(jù)分析引擎，從海量數(shù)據(jù)中實(shí)現(xiàn)提煉、分析、歸并，形成了對(duì)未知威脅事件的發(fā)現(xiàn)、監(jiān)測(cè)、預(yù)警、處置的閉環(huán)能力。

（3）安全事件攻擊鏈分析。針對(duì)現(xiàn)有攻擊事件大數(shù)據(jù)分析系統(tǒng)獨(dú)有安全事件分析引擎，將攻擊事件基于攻擊鏈模型進(jìn)行分析，還原黑客攻擊過(guò)程。

（4）云地協(xié)同，提升處置效率。安全運(yùn)營(yíng)服務(wù)可將客戶的態(tài)勢(shì)感知平臺(tái)跟云端的運(yùn)營(yíng)支撐平臺(tái)進(jìn)行對(duì)接，綠盟科技安全專家?guī)椭蛻暨M(jìn)行7×24小時(shí)運(yùn)營(yíng)分析和應(yīng)急響應(yīng)，減輕客戶的安全運(yùn)營(yíng)負(fù)擔(dān)，降低高校安全運(yùn)營(yíng)成本和風(fēng)險(xiǎn)。

3.通過(guò)建立綜合實(shí)訓(xùn)平臺(tái)、競(jìng)技平臺(tái)、高校應(yīng)急響應(yīng)服務(wù)中心等試驗(yàn)平臺(tái)對(duì)信息安全專業(yè)實(shí)踐教學(xué)的支撐,有效提升了院系教學(xué)質(zhì)量與學(xué)生實(shí)操能力。

點(diǎn)評(píng)

高校網(wǎng)絡(luò)安全建設(shè)相對(duì)來(lái)說(shuō)還較為薄弱，暨南大學(xué)在認(rèn)識(shí)到自身防護(hù)不足的同時(shí)，能將多校區(qū)日志收集綜合分析系統(tǒng)與自身安全防護(hù)以及安全人才培養(yǎng)結(jié)合，并實(shí)現(xiàn)體系化建設(shè)，做到了技術(shù)與管理并重，值得借鑒。