高校数据中心一体化安全管理 || Pringo

高校数据中心一体化安全管理

发展背景 Development Background

近年来教育行业事件频发，2020年4月，香港中文大学使用视频会议软件Zoom举行通识课程考试，考试10分钟后，聊天室突然有几名日本籍和印度籍人士加入，更有人用「分享屏幕」功能，在聊天室内播放成人影片及印度歌曲MV。
2022年4月，西工大电子邮件系统发现一批以科研评审、答辩邀请和出国通知等为主题的钓鱼邮件，内含木马程序，引诱部分师生点击链接，非法获取师生电子邮箱登录权限，致使相关邮件数据出现被窃取风险。

高校数据中心安全现状：
（1）响应：应用系统逐步上云，对资产、脆弱性、威胁不清，缺少科学的管理手段、持续跟踪和改进措施。
（2）防御：云上已有的安全能力不足。虚拟化是云计算服务的底层技术，除了虚拟机之间东西向流量的问题外，虚拟化也使得数据中心基础架构的复杂性提升，使得攻击有可趁之机。如：云操作系统提权、虚拟机间攻击、不同可信级别的虚拟机混杂等。
（3）检测：目前采用传统的IPS和WAF进行网络防护，缺少云上、云下全流量检测及高级持续性威胁相关防护措施，而且攻击者的逃逸水平也在不断的进步发展，未知威胁攻击复杂性和背景的特殊性，仅依赖于传统的告警日志无法有效的发现，难以做到真正的追踪溯源。
应按照三同步原则，同步规划、同步建设、同步使用。根据总体规划思路，打造1个部机关云平台，并规划建立灾备中心，配套安全建设根据等级保护2.0进行设计并落地。

解决方案 Solution

(1)建设两套云安全管理平台，主备云数据中心三个云安全资源池，提供云上主机层、南北向流量、东西向流量、应用层、数据层全面的安全防护能力。

(2)深入云平台内部采集主机层资产、东西向全镜像流量，提供云内威胁感知及风险发现能力，提前预警云内安全风险。

(3)与态势感知系统、集中管控平台、云管平台、统一身份认证系统集成对接，实现一体化安全管理和运营。

建设协同防御体系，保障业务高质量运行:建立立体化协同防御体系，从多层面提升云上用户安全防护能力，进而提升用户云上的整体防护水平。从虚拟平台层到云服务层建立完备的安全防护方法，同时在运维、运行、运营三个角度提供安全防护能力，保障业务安全。

建设威胁检测能力，完善安全防护体系:采用云地结合的方式，实现云下和云上全流量监测，极大提升未知威胁和APT攻击的检出效率，因此可以有效发现企业基础安全建设中遗留的安全隐患并及时修正。

安全态势一目了然，提供决策支撑:通过可视化技术的利用，将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化，形成高维度的可视化方案，以便于用户理解；将威胁事件与业务进行有机结合，通过态势感知大屏将全局的安全态势以图形化的方式直观呈现，将安全由不可见变为可见。