2018年10月 中国西宁 高校网络安全产品体系 -...
TRANSCRIPT
-
万 里 赛尔网络
高校网络安全产品体系
CERNET第25届学术年会暨会员大会 2018年10月 中国西宁
-
www.cernet.com
CONTENTS 目 录
01 网络信息安全形势
02 网络安全管理的特点与对策
03 高校Web安全管理的体系与措施
04 专业服务介绍(1):WAF实时防护
06 专业服务介绍(3):Web安全监测
05 专业服务介绍(2):Web安全管家
07 总结
-
www.cernet.com
1 网络信息安全形势
-
www.cernet.com
网络信息安全形势
4
互联网
黑客攻击 后门、隐蔽通道 计算机病毒
拒绝服务攻击
蠕虫 逻辑炸弹
信息丢失、篡改、销毁、加密
特洛伊木马
内部、外部泄密 恶意代码
钓鱼软件
-
www.cernet.com
网络信息安全形势
• 利益驱动,防不胜防
5
利益获取 黑客
入侵企业服务器
入侵网游服务器
批量入侵服务器
窃取企业机密信息
盗取游戏装备
盗取用户账号
盗取银行账号密码
盗取证券账号密码
盗取虚拟财产
出售
中间批发商通过各种渠道进行销售
洗钱
刷票
DoS
挂马 1、主动勒索 2、受雇于人
组建僵尸网络
-
www.cernet.com
徐玉玉遭电信网络诈骗
• 2016年8月19日,山东省临沂市高考录取新生徐玉玉被不法分子冒充教育、财政部门工作人员诈骗9900元,导致郁结于心、心脏骤停,虽全力抢救,不幸离世
• 犯罪嫌疑人利用技术手段攻击“山东省2016高考网上报名信息系统”,在网站植入木马病毒,获取网站后台登录权限,盗取包括徐玉玉在内大量考生报名信息
• 犯罪嫌疑人在江西省九江市租住房屋设立诈骗窝点,通过QQ搜索“高考数据群”、“学生资料数据”等聊天群,在群内发布个人信息购买需求后,以每条0.5元的价格购买了1800条今年高中毕业学生资料
• 犯罪嫌疑人冒充教育局、财政局工作人员拨打电话,以发放助学金名义对高考录取学生实施诈骗
6
-
www.cernet.com
反共黑客3天一轮:教育系统网站屡被攻
• 2014年: 27起,22%,知名大学多 • 2015年: 35起,27%,大学多 • 2016年: 18起,15%,职高多 • 2017年: 59起,48%,图书馆多 • 2018年: 10起,8% • 合计:2014年1月至2018年5月,1610天,全国537起,学校149起,28%
• 重大事件期间是高发期 • 2015年93阅兵,北京舞蹈学院网站被黑 • 2017年一带一路,北京工业大学网站被黑 • 2017年七一,北京大学网站被黑 • 2018年全国两会,中央民族大学网站被黑
• 网络安全形势日渐严峻,敏感节点多,网络安保压力空前
7
-
www.cernet.com
触目惊心 – 有没有你们学校?
8
-
www.cernet.com
信息安全战略和政策法规
• 2007年公安部、国家保密局、国务院信息办等联合印发《信息安全等级保护管理办法》 • 2014年2月27日,党中央成立网络安全和信息化领导小组,习近平总书记任组长 • 2016年11月 ,教育部成立网络安全和信息化领导小组 • 2017年6月1日起施行的《中华人民共和国网络安全法》 • 2018年4月,教育部颁布《教育信息化2.0行动计划》 • 教育部工作部署
• 关于加强教育行业网络与信息安全工作的指导意见(教技[2014]4号) • 关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知 (教技厅函[2014]74号) • 关于印发《信息技术安全事件报告与处置流程(试行)》的通知 (教技厅函[2014]75号) • 教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知 (教技 [2015]2号) • 关于印发《信息系统安全等级保护定级审核工作流程(试行)》的通知 (教技厅函[2015]64号) • 2015年10月 教育部办公厅:举办2015年度教育行业信息技术安全专题培训班 • 2016年12月 教育部办公厅:举办2016年度教育行业信息技术安全专题培训班 • 2017年4月 教育部办公厅:举办2017年度教育行业信息技术安全专题研讨班 • 2018年4月 教育部办公厅:举办“全面加强网络安全 推进教育信息化”专题网络培训示范班
9
-
www.cernet.com
安全监管
各级网安
行业监管机构
管理部门
CNCERT
漏洞通报平台
外部监管力度不断上升
10
协调、监督、检查、指导对本重要部门 公共信息网络和互联网的安全管理工作
责制定监管政策,开展监管和现场检查,处置信息科技突发事件
教育部及各省市教委会定期对高校进行安全检查,并对漏洞进行通报
国家级互联网网络安全事件的预防、发现、预警和协调处置中心
互联网漏洞通报平台,帮助企业形成安 私有安全应急响应中心
-
www.cernet.com
2 网络安全管理的特点与对策
-
www.cernet.com
攻击 防御
信息系统
漏洞多
意识弱
收益大
代价小
网络安全的“本质”—— 因攻而防
-
www.cernet.com
✦ 垒高门槛,祸水旁流(避祸) ✦ 健全管理,问责无忧(免责)
网络安全管理的“特点与对策”
-
www.cernet.com
网络安全
管理制度
应用安全
系统安全
数据安全
情报体系
网络安全管理的“管理架构”
-
www.cernet.com
安全意识:提高全校人员的网络安全意识
管理制度:制定健全有效的安全管理制度
技术队伍:培养网络安全的专职技术队伍
安全设施:建设合理完善的网络安全设施
专业服务:依托可信的网络安全专业服务
做好高校网络安全的“五件大事”
-
www.cernet.com
3 高校Web安全管理的体系与措施
-
www.cernet.com
监测修复
实时防护
应急响应
事前加固
事中阻断
事后补救
网站治理
基础
高校Web安全管理的“管理体系”
-
www.cernet.com
1. 网站治理:发现校内各部门建立的所有网站,按规定进行整改处置 2. 核心站群:对于学校最核心的网站,采用网站群方式集中安全管理
8. 应急响应:事件发生时,立即启动应急响应机制,进行事后安全处理
5. 实时防护:采用WAF(Web应用防火墙)技术 清洗Web访问流量
6. 抗DDoS:监测并有效地 阻断DDoS/CC攻击,避免网站被恶意堵塞
7. 网页防篡:采用技术手段 保护网页文件内容,避免被黑客恶意篡改
3. 安全监测:采用扫描检测、流量监测等技术,发现Web系统安全问题 4. 问题修复:通过多种手段发现各种安全问题,并及时进行修复或加固
事前 基础
事中
事后
高校Web安全管理的“八项措施”
-
www.cernet.com
1. Web 安全监测
2. WAF 实时防护
3. 抗 DDoS 攻击
4. 网页防篡系统
1. 网站治理平台
2. 网站治理管家
3. 问题修复管家
4. 应急响应管家
1. 高校站群
2. 态势感知
3. DNS域名解析
4. 数据库安全
5. 身份认证安全
高校网盾 安全管家 配套的服务
SaaS 服务
SaaS 服务
SaaS +人工服务
面向高校的“Web安全专业服务”
-
www.cernet.com
强强联合 —— 网络安全技术合作伙伴
-
www.cernet.com
4 专业服务介绍(1):WAF实时防护
-
www.cernet.com
在CERNET省级节点建立“Web应用防火墙(WAF)
系统”,采用性能优越、安全稳定的技术手段,
把各高校需要保护网站的Web访问流量分流到该
系统中,并用市场上先进的 vWAF 软件技术对这
些流量进行清洗,之后再送回网站进行访问。
什么是高校网盾
-
www.cernet.com
省节点
N省
…
省级 Web 实时防护系统
学校a 学校n 学校x
全国节点
CERNET Internet
……
Web 安全 威胁情报中⼼心
Web 安全 业务管理理中⼼心
A省
…
B省
…
高校网盾拓扑示意图
-
www.cernet.com
高校网盾的基本功能
流量分流 省节点流量优势,旁路模式分流
流量清洗 每个学校独立vWAF,多个WAF厂商
业务管理 自服务 + 专业团队进行配置和管理
情报更新 安全威胁情报中心,全网实时更新升级
-
www.cernet.com
Ø 网盾 与 WAF产品 的区别 网盾是一种部署于“本地运营商网络”的共享式Web应用防火墙,
相对于部署于校内网络中WAF产品而言,网盾具有五大优点:安全性
好、性能优越、价格低廉、升级迅捷、无需运维。
Ø 网盾 与 云盾 的区别 云盾是一种部署于“公网CDN云平台”的共享式Web应用防火墙,
相对于网盾而言,虽然同样具有升级迅捷、无需运维的优点,但却因
为流量牵引过于遥远,因此,安全性差,性能偏低,价格偏高。
专业服务介绍:WAF实时防护(高校网盾)
-
www.cernet.com
高校为什么需要网盾?
一. 防护成本问题:高校内Web网站管理很分散,全面部署WAF产品保护所有Web网站,成本太高,运维太难,不太现实。
二. 应用水平问题:绝大部分高校的网络安全队伍在数量和质量方面都很欠缺,无法满足工作需要,总是难以把WAF产品配置好
和维护好,WAF产品应有的实时防护作用发挥不出来。
三. 情报更新问题:部署在校内的WAF产品,大都难以做到及时更新安全情报信息,也得不到及时的升级换代,由于新的安全问
题不断涌现,导致学校大部分的WAF防护能力名存实亡。
专业服务介绍:WAF实时防护(高校网盾)
-
www.cernet.com
几种产品形态的WAF的比较
WAF产品形态 流量牵引 访问延迟 情报更新 运行维护 产品价格
高校网盾 教育网省内 较小 及时 较易 较低
公网云盾 教育网外 大 及时 较易 高
传统WAF设备 不牵引 小 不及时 难 高
-
www.cernet.com
高校网盾的部署方式
省级盾
• 在省级节点部署 • 价格低廉、学校没有运维负担 • 适合经费有限、安全运维人员不足的高校
全国盾
• 在教育网内部署,对全国高校提供服务 • 采用DNS+反向代理的方式 • 价格低廉,学校运维负担轻 • 尚未部署省级盾的地区可以使用
校级盾(私有部署的高校网盾)
• 在高校校内部署,流量不必出校 • 能清洗学校多出口及校内“东西流量” • 价格高,学校有一定的运维负担 • 适合经费充足、信息化程度较高的学校
-
www.cernet.com
高校网盾系统示意图
省节点
引流设备
WAF
产品
厂商1
厂商2
厂商n
……
高校A 高校B 高校N
CERNET
引流模式: • BGP • DNS+反向代理
-
www.cernet.com
• B模式:BGP引流模式可以结合PBR或者GRE隧道实施
• D模式:DNS+反向代理引流模式可做省级或者全国的引流
• P模式:PBR策略路由引流方式纯P模式不建议
高校网盾引流模式的选择
-
www.cernet.com
网盾系统设计案例 – 陕西
-
www.cernet.com
网盾系统设计案例 – 陕西
基本思路: 1. 新增一台H3CS5560作为引流路由器,分别与
NE40、S7706万兆互联,网盾池与H3CS5560互联;
2. H3CS5560与NE40E建立EBGP邻居关系,与S7706建立IBGP邻居关系,NE40E、S7706可以学习到由H3CS5560传播的受保护主机路由;
3. H3CS5560与受保护的学校建立GRE隧道,用于受保护站点与网盾间流量的传输,以保证流量来回路径一致;
4. H3CS7706上通过策略路由将受保护流量指向网盾,网盾清洗完成后将流量送回至H3CS7706,正常查表转发。
D模式为其它省高校提供服务。
-
www.cernet.com
网盾系统设计案例 – 陕西
H3CS7706上启用BGP协议,采用私有AS号65535,与NE40E建立EBGP邻居关系,与S7706建立IBGP邻居关系,以互联接口建立邻居关系。在H3CS7706上BGP进程下,通过network将受保护主机路由发布进BGP进程中。H3CS7706将受保护站点路由条目传给其EBGP及IBGP邻居,传送的路由需携带团体属性,将团体属性设置为NO_ADVERTISE,避免路由环路。NE40E、S7706收到受保护站点路由全部为32位主机路由,数据转发时优先匹配转发至H3CS7706上。
引流路由器与NE40E、S7706之间流量引导
-
www.cernet.com
网盾系统设计案例 – 陕西
在H3CS7706上启用策略路由,应用在与NE40E、S7706互联的接口上,抓取目的为受保护站点的流量,将其指向网盾池。流量可以针对协议、端口等元素抓取,不需要经过清洗的流量可以直接由H3CS7706正常查表转发。网盾池将流量清洗之后送回H3CS7706,引流路由器正常查表将流量转发至相应学校。
引流路由器与网盾池之间流量牵引
-
www.cernet.com
网盾系统设计案例 – 陕西
H3CS7706配置缺省路由指向NE40E,同时配置静态明细路由,将S7706下联所有高校的地址路由指向S7706,保证回程流量可以正常转发,来回路径保持一致。 回程流量如需再次经过网盾池清洗,在GRE隧道接口上启用策略路由,抓取源为受保护站点的流量,将其指向网盾池。网盾池清洗完成后送回H3CS7706,正常查表转发。
回程流量牵引
-
www.cernet.com
5 专业服务介绍(2):Web安全管家
-
www.cernet.com
什么是“Web安全管家”?
这是我们应一些高校用户要求专门设计和开发的专业服务,是
由我们的专职技术人员帮助高校老师处理各项Web安全管理事务。
开展这项服务的目的是让老师们在Web安全管理工作中“省时、
省力、省心”,减轻他们的压力和负担,并且在发生安全事件时,
还可以有效地替老师们解决问题和分担责任。
这项专业服务的主要内容包括三大项,即:网络治理管家、问
题修复管家、应急响应管家。
专业服务介绍:Web安全管家
-
www.cernet.com
一. 网站治理管家 1. 通过设置校级流量探针,有效地发现学校内所有Web网站资产,
并对发现的网站进行评估和分级,分为核心网站、备案网站、在野网站三类,然后按既定的方案进行分类处置。
2. 核心网站:进行集群式管理,即利用先进的网站集群技术,建立统一的安全设施,进行统一的安全管理。
3. 备案网站:这类网站数量较多,物理位置、IP 网段和管理权限都很分散,安全管理缺失,因此,须按照学校的规定进行登记备案和安全检查,实行严格的安全管理。
4. 在野网站:对于不符合学校统一管理要求的各种在野网站,要严格进行关停处理,并采取技术手段进行禁止访问处置。
专业服务介绍:Web安全管家
-
www.cernet.com
二. 问题修复管家
1. 针对通过漏洞扫描、渗透测试、流量监测和情报交流等手段发现的安全问题,以及上级主管部门下发的安全问题,帮助用户进行问题修复的项目管理。
2. 根据问题的来源、归属、性质等特点,对安全问题进行分类整理,并制定相应的修复方案和计划,然后组织实施。
3. 监督问题修复责任方按计划进行修复工作,并及时跟踪和敦促,直至安全问题完全解决,使工作有始有终,形成闭环。
4. 根据问题修复的实际情况,协助用户编写“问题修复报告”。
专业服务介绍:Web安全管家
-
www.cernet.com
三. 应急响应管家 1. 编制应急响应的规范和流程,制定安全事件的应急响应处理
预案,落实应急响应相关责任人员。
2. 安全事件发生时,帮助用户及时发出支持申请,敦促安全服务厂家进行启动应急响应服务。
3. 协助应急响应安全服务厂家进行紧急处置,以减少事件造成的危害;协助有关部门进行事件现场保护,进行事件的追踪取证和调查分析工作;协助用户进行系统修复工作,以尽快恢复Web网站的正常服务。
4. 对应急响应处理结果进行评估和验收,并审核安全服务厂家编写的安全事件应急响应报告。
专业服务介绍:Web安全管家
-
www.cernet.com
6 专业服务介绍(3):Web安全监测
-
www.cernet.com
一. 主动式安全监测(扫描检测)
1. 在CERNET部署“Web主动式安全检测系统”,采用漏洞扫描和渗透测试等技术手段,为高校用户提供7x24小时全天候
网站安全的检测服务。
2. 主动检测服务能为高校用户及时发现Web系统的安全问题,全方位地检查网站风险情况和网站安全状态。
3. 主动检测的主要检测内容: ① 合规性:网页篡改、暗链代码、敏感性信息等; ② 安全性:漏洞、后门、钓鱼、木马、弱口令等; ③ 可用性:DNS监测、Ping监测、Http监测等。
专业服务介绍:Web安全监测
钓鱼网站
01
02
03 04 05 06
07
08
09
敏感信息 DDos攻击
站点可用性
挂马发现
篡改发现
违规资产 暗链发现
漏洞发现
-
www.cernet.com
专业服务介绍:Web安全监测
43
漏洞扫描服务内容:基于云计算及安全大数据技术实时监测网站安全状态的SaaS服务。
事件监测
通报管理
资产管理
WEB漏扫技术
沙箱技术
大数据技术
人工运维服务
监测报表
-
www.cernet.com
重保服务
高级服务
基础服务
+DDOS监测、钓鱼、未知资产; +事件电话通知; +漏扫及结果验证; +信息安全时间通告; +安全意识小贴士; +远程应急服务;
+24小时内现场应急; +及时安域防护; +WEB攻击画像;
=基础监测; =事件通告下发;
超高性价比
以一周为周期
人工分析报表
专业服务介绍:Web安全监测
44
漏洞扫描服务方式:针对网站篡改、攻击、漏洞等一系列网站安全问题推出的托管式安全服务,后端安全服务工程师为客户网站进行7X24小时全天候的人工安全监测和实时告警,定期提
供定制化专业分析报表,辅以高危事件处置建议,保证客户网站长期、稳定、高效、安全地运
行。
44
-
www.cernet.com
二. 被动式安全监测(流量监测)
1. 在CERNET省级节点或校园网出口部署“Web安全流量监测系
统”,把Web访问流量分光或镜像出来,通过协议解析、恶意
代码匹配、行为特征识别等网络安全分析技术进行监测。
2. 被动监测是Web安全监测不可或缺的手段,是主动检测无法替
代的,能为用户更有效地发现各种安全问题,特别是网站后
门和僵尸网站等问题,并及时准确地提供威胁预警服务。
专业服务介绍:Web安全监测
-
www.cernet.com
三. 安全情报推送
为高校用户及时推送国际和国内、网外和网内、校外和
校内的各种安全情报信息,包括最新安全情报、协同防御情
报、安全灾情预警、安全威胁预警等。
四. 安全季度巡检
安全技术团队每季度上门进行安全巡检,与高校用户进
行充分的沟通和讨论,对用户的安全问题进行综合检查和整
理分析,并根据实际需求提出安全管理建议。
专业服务介绍:Web安全监测
-
www.cernet.com
7 总结
-
www.cernet.com
总结
✦ 垒高门槛,祸水旁流(避祸)
✦ 健全管理,问责无忧(免责)
事前 - 监测修复
事中 - 实时防护
事后 - 应急响应
高校网盾
安全管家
安全监测
面临威胁多,管理压力大
现状 安全体系 安全专业服务
策略
-
www.cernet.com
Thanks
⽹网络服务教育 创新开拓拓未来
49