西南交通大學(xué)是教育部直屬全國重點大學(xué)，國家首批“雙一流”“211工程”“特色985工程”“2011協(xié)同創(chuàng)新計劃”重點建設(shè)并設(shè)有研究生院的研究型大學(xué)，座落于中國歷史文化名城、國家中心城市——成都。現(xiàn)有九里、犀浦、峨眉三個校區(qū)，在校師生6萬余人。

隨著信息化的快速發(fā)展，網(wǎng)絡(luò)攻防的技術(shù)門檻不斷降低、攻擊方式呈現(xiàn)多樣化，特別是勒索病毒等未知威脅開始泛濫。面對新時代的網(wǎng)絡(luò)安全挑戰(zhàn)，西南交通大學(xué)如何保障6萬多在校師生上網(wǎng)的安全可靠性，避免惡意病毒感染，成為當(dāng)下學(xué)校安全運維工作的重點。

銳捷網(wǎng)絡(luò)如何助力西南交大完成安全預(yù)警分析?故事要追溯到2018年。

(一)安全態(tài)勢感知平臺初體驗

早在2018年，西南交大網(wǎng)絡(luò)中心就部署了一套銳捷安全態(tài)勢感知平臺BDS，用它收集和標(biāo)準(zhǔn)化全網(wǎng)信息設(shè)備日志數(shù)據(jù)，構(gòu)建安全大數(shù)據(jù)倉庫。通過BDS的大數(shù)據(jù)關(guān)聯(lián)建模分析，從海量數(shù)據(jù)中分析和定位出核心安全風(fēng)險，幫助學(xué)校有效預(yù)防了潛在安全事件的發(fā)生。

近兩年，隨著網(wǎng)絡(luò)攻防技術(shù)的不斷發(fā)展，單純?nèi)罩揪S度的分析能力日漸不能滿足學(xué)校對新型攻擊檢測和分析預(yù)警的需求。西南交大在原有安全態(tài)勢感知平臺的基礎(chǔ)上擴容了流量探針，對學(xué)校出口流量進行深度分析。“日志+流量”雙重維度的安全分析，發(fā)現(xiàn)很多學(xué)生終端感染了病毒，存在繼續(xù)橫向擴散的風(fēng)險，很可能會成為“肉雞” (可以被黑客遠程控制的機器)。

但是，網(wǎng)絡(luò)“邊緣側(cè)”的安全依舊是監(jiān)測的盲區(qū)，因為態(tài)勢感知與流量探針一般部署在中心機房，接入層的橫向感染不會上升到核心交換機。在理論上，可通過在每一臺接入交換機側(cè)部署一臺流量探針，但這樣投入巨大，不太可能落地。如何通過技術(shù)手段低成本實現(xiàn)橫向安全檢測，打破安全建設(shè)“重中心、輕邊緣”的屏障，就成為了西南交大亟需解決的一個難題。

(二)當(dāng)態(tài)勢感知平臺與 sFlow交換機聯(lián)動

在這樣的情況下，銳捷提出對接學(xué)校已有交換機，識別橫向感染的“網(wǎng)絡(luò)+安全”方案。該方案不綁定品牌，只要支持sFlow協(xié)議的交換機即可構(gòu)成該方案的組成部分，通過態(tài)勢感知平臺與 sFlow交換機聯(lián)動，實現(xiàn)全網(wǎng)節(jié)點安全監(jiān)測，協(xié)助用戶完成勒索病毒1號病人分析定位，便于管理員及時采取對應(yīng)的處置措施，將網(wǎng)絡(luò)安全風(fēng)險扼殺在搖籃中。

西南交大綜合態(tài)勢感知平臺經(jīng)過不斷升級和擴容，逐步給用戶帶來了“日志+流量”綜合態(tài)勢感知分析價值、聯(lián)動sFlow交換機橫向威脅檢測等價值，取得了一些實戰(zhàn)成果：

(1)通過對已接入的資產(chǎn)進行綜合管控與分析，為用戶提供加固整改建議，經(jīng)過不斷加固和完善，目前整體安全度高達85分。

2)通過流量探針深度分析，發(fā)現(xiàn)一些學(xué)生終端中病毒，這引起了管理員的重視，是否存在大面積擴散的風(fēng)險?通過設(shè)計采集樓層交換機的sFlow樣本進行橫向威脅分析，發(fā)現(xiàn)采集到的這臺主機正在擴散感染。進一步分析后，我們發(fā)現(xiàn)它正在感染的目標(biāo)為8個IP地址。最終，找到了1號感染源及8個被擴散的主機，學(xué)校老師第一時間進行了清查。

定位1號感染源

識別出被感染目標(biāo)

(三)網(wǎng)絡(luò)+安全，網(wǎng)絡(luò)更安全

以前對學(xué)校整網(wǎng)安全分析，基本很難實現(xiàn)，也不能快速進行病毒定位及分析，一旦發(fā)生安全事件，就需要耗費很長時間逐步排查，費時又費力。現(xiàn)在通過日志+流量綜合分析模式，并結(jié)合sFlow交換機聯(lián)動，只需要日常查看安全態(tài)勢感知平臺BDS的高危告警，即可完成全網(wǎng)風(fēng)險評估及預(yù)警，同時也能快速溯源1號“病人”，有效防止了大面積擴散。

銳捷“網(wǎng)絡(luò)+安全”整網(wǎng)解決方案，讓交換等網(wǎng)絡(luò)設(shè)備都作為安全態(tài)勢感知的安全探針，同時發(fā)揮網(wǎng)絡(luò)SDN智能協(xié)防、網(wǎng)絡(luò)準(zhǔn)入實名日志、網(wǎng)絡(luò)安全一體化運維的優(yōu)勢，告別安全孤島，構(gòu)建整網(wǎng)聯(lián)動的安全保障體系，實現(xiàn)安全預(yù)測、防護、分析和響應(yīng)等安全問題自動化全流程閉環(huán)，充分滿足了各單位對等保2.0、網(wǎng)絡(luò)安全法的合規(guī)需求，讓網(wǎng)絡(luò)更安全。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）