西南交通大学是教育部直属全国重点大学,首批“双一流”、“211工程”、“特色985工程”、“2011“协同创新计划”重点建设研究生院研究型大学位于中国历史文化名城、国家中心城市成都。现有九里、西浦、峨眉三个校区,师生6万余人。随着信息化的快速发展,网络攻防的技术门槛不断降低,攻击手段多样化,尤其是勒索病毒等未知威胁开始泛滥。面对新时代的网络安全挑战,西南交通大学如何保障6万余名师生上网安全可靠,避免恶意病毒感染成为学校安全运维工作的重点。.锐捷网络如何帮助西南交通大学完成安全预警分析?故事要追溯到2018年。(一)安全态势感知平台初体验早在2018年,西南交通大学网络中心就部署了一套锐捷安全态势感知平台BDS,用于日志的采集和标准化全网信息设备数据,构建安全大数据仓库。通过北斗大数据关联建模分析,从海量数据中分析定位核心安全风险,帮助学校有效防范安全事故隐患。近两年,随着网络攻防技术的不断发展,纯日志维度的分析能力越来越不能满足学校对新型攻击检测、分析和预警的需求。西南交通大学在原有安全态势感知平台的基础上扩展了流量探针,对学校出口流量进行深度分析。“日志+流量”双维度安全分析发现,不少学生终端感染病毒,存在继续横向传播风险,极有可能成为“肉鸡”(可被远程控制的机器)黑客)。但网络“边缘侧”的安全仍然是监控的盲区,因为态势感知和流量探针一般部署在中心机房,接入层的横向感染不会上升到核心转变。理论上,可以在每个接入交换机侧部署一个流量探测器,但这是一项巨大的投资,不太可能实现。如何通过技术手段低成本实现横向安全检测,打破安全建设“重中心、轻边缘”的壁垒,成为西南交通大学亟待解决的问题。(2)态势感知平台与sFlow交换机联动时,锐捷提出“网络+安全”的解决方案,与学校现有交换机对接,识别横向感染。解决方案不绑定品牌,只要支持sFlow协议的交换机即可构成解决方案的一部分,态势感知平台与sFlow交换机联动,实现全网节点安全监控,辅助用户完成对勒索病毒一号病人的分析定位,便于管理员及时采取相应措施,将网络安全风险扼杀在萌芽状态。西南交大综合态势感知平台经过不断升级扩容,逐步为用户带来了“日志+流量”综合态势感知分析、联动sFlow交换机横向威胁检测等价值,并取得了一些实战成果:(1)通过对连接资产进行综合管控和分析,为用户提供加固整改建议。经过不断加固和完善,目前安全综合评分高达85分。(2)通过流量探针的深入分析,发现部分学生终端存在病毒,引起了管理员的注意。是否存在大规模传播的风险?通过设计采集楼层交换机的sFlow样本进行横向威胁分析,发现采集到的主机正在传播感染。进一步分析,我们发现它感染了8个IP地址。最终找到了1号传染源和传播的8个宿主,学校老师立即展开排查。定位No.1感染源,识别感染目标(3)网络+安全,网络更安全以往,分析整个学校网络的安全性,基本很难,无法快速定位并对病毒进行分析。一旦发生安全事件,需要花费很长时间逐级排查,费时费力。现在,通过日志+流量综合分析模式,结合sFlow交换机联动,只需每天查看安全态势感知平台BDS的高危告警,即可完成整个系统的风险评估和预警。网络,同时快速追查一号“病人”的来源,有效防止大面积传播。锐捷网络的“网络+安全”全网解决方案,可以将交换机等网络设备作为安全探针,实现安全态势感知。告别安全孤岛,构建全网联动的安全保障体系,实现安全问题预测、防护、分析、响应等全流程自动化。更安全。如果您需要锐捷安全,请留下您的联系方式
