項目背景
中山大學由孫中山先生創辦,有着一百多年辦學傳統。作為中國教育部直屬高校,通過部省共建,中山大學已經成為一所國内一流、國際知名的現代綜合性大學。現由廣州校區、珠海校區、深圳校區三個校區、五個校園及十家附屬醫院組成。中山大學正在向世界一流大學邁進,努力成為全球學術重鎮。
中山大學的校園網經過多年發展,已建成了跨廣州和珠海2座城市,覆寫4個校區的大型校園網絡。目前網絡與資訊安全防護體系已見雛形,設立了專職安全崗位,建立了安全事件應用響應和處置小組,主要資訊系統完成了資訊安全等級保護定級工作,建立了較為完善的網絡與資訊安全防護體系和應急機制。
目前,校園網内各類裝置網絡等自身包含的日志量成倍增加,對于日志管理、分析和審計的的要求越來越高。中山大學資料安全團隊希望有專業的日志資料分析團隊可以提供整套日志資料安全管理方案,更好的保護校園資料安全,完成校園網安全裝置日志分析監控平台的建設。
是以中山大學找到了有着多年日志大資料分析實踐經驗的雲掣科技—日志團隊。雲掣日志團隊服務了浙江大學、中國電信、天弘基金、新網銀行等衆多高校、政府、金融客戶。
項 目 内 容
在和中山大學的溝通和交流中,我們發現校方的安全意識非常好,在校園内部署了網絡防火牆(含入侵檢測系統和入侵防禦系統)、統一威脅管理系統、上網行為管理系統、反病毒軟體、遠端漏洞檢測系統、反垃圾郵件網關、Web應用防火牆、資料庫審計系統、堡壘機等一批安全裝置,已經形成了一定的網絡安全和資訊安全防護能力。
在校園安全系統中,安全裝置(如防火牆等)、網絡裝置(如路由器、交換機等)、基礎資訊系統(如網站群等)每天都會産生大量的日志,包含了對于校園網絡安全狀态最為細節的描述,如果将這些資料收集起來,合理地加以處理和分析,就能實時、準确地反映目前校園網絡安全狀況。
根據上述深入的調研收獲,雲日志團隊提出了4個建設目标,希望幫助中山大學搭建自己的校園網絡安全資料分析平台:
- 監管要求及時落地,校園網日志資料審計合規:對于監管的所有安全裝置資料做到及時監控,及時回報,及時解決,完成資料安全的稽核及合規要求。
- 多源資料的高效統一收集、管理:通過日志平台,做到多源資料的集中實時采集,集中運維監控。
- 資料驅動運維,代替依賴經驗的人肉運維:通過資料驅動運維工作,智能化提示、告警,提高運維整體效率降低運維成本,讓IT人員更專注于網絡安全。
- 學生關懷、實時資料可視化,實作時間溯源和輔助決策:上網資訊統計分析,可視化展現網絡行為軌迹,達成學生關懷政策,保障學院安全。
整個校園網絡安全資料分析平台建設核心思想在于通過實時采集安全裝置、系統裝置、網站日志等資料,通過一系列的資料模型将這些資料關聯起來,通過資料可視化,實時監控網絡狀态,如某一時間段網絡使用率高、某一些網絡通路頻率高,學生網絡使用軌迹等,保障校園網絡安全的同時更能保障學生的網絡及生活安全。
項 目 效 果
網絡裝置安全審計,滿足等保需求
校園網的資料查詢系統(樣例非真實資料)
網絡裝置的登入登出等審計所需的資料都可以即時查詢,完全滿足等保需求,惡意登入及攻擊等也都可以統計分析。
網絡裝置(防火牆等)通路監控
校園網防火牆查詢圖(樣例非真實資料)
網絡裝置WAF,防火牆等裝置日志以及nginx-access的通路日志進行會話統計,會話詳情,基于不同IP不同來源位址的請求會話統計分布,發現異常AD攻擊及IPS攻擊等,以及攻擊事件類型的占比和分布用于問題跟蹤和溯源。
裝置資料日志可視化,網站日常監控
校園網站分析圖(樣例非真實資料)
針對現有安全裝置日志進行整理分析展現,包括浏覽器喜好、手機型号分布、浏覽時間趨勢、被攻擊趨勢等都會被一一呈現,如出現意外情況也會會及時告警,提高整體校園網安全狀況。
客 戶 收 益
雲掣科技日志團隊與中山大學一起完成了本次安全裝置日志資料監控分析平台的建設。幫助中山大學完成以下目标,共創“智慧校園”。
搭建多節點的智能日志分析平台,集中采集、存儲網絡裝置、安全裝置、伺服器等産生的日志資料,且存儲周期設定為6個月。
定制冷熱資料分離方案,熱資料提供實時查詢、分析;冷資料可自動或自定義備份,且具備實時恢複能力。
定制化校園網絡運維場景分析,對網絡裝置、安全裝置、伺服器等實時名額監控,快速發現問題,并實時告警。
基于各類日志資料名額,提取學生上網資訊日志資料,再結合關聯關系,建設學生上網行為分析、在校活動軌迹等場景;
實作資料驅動運維代替人工檢驗判斷。
同時,中山大學建設的日志資料監控平台,也是為在校師生建立了更加安全可靠的校園網絡環境保障和資訊安全保障。
網站日常監控場景應用
雲MSP服務案例丨中山大學×雲日志:校園網安全裝置日志分析監控平台 校園網攻擊分析圖(樣例非真實資料)
中山大學老師在校園網首頁來源的位址中發現一個非正常的來源位址在top2的位置,一般登入學校的校園網主要是通過輸入網址或者是百度搜尋。點選該異常連結發現是某一空白危險網站(類似于釣魚網站,通過高數量并發占用伺服器資源,同時會影響網站的正常排名,讓網站的搜尋變得困難),這引起中山大學安全老師的高度重視,通過資料監控快速找到該網址進行處理,最終保障了校園網的登入安全及使用安全。
本次合作是雲掣科技與中山大學的一次深入共創。在項目的設計、開發、部署中,雲掣日志團隊都與中山大學安全崗位的老師分工明确,互相協作,老師們也對日志團隊展示的擔當、負責、可靠表示高度的認可。
客戶之聲
“感謝袋鼠雲日志團隊,幫助我們對現有複雜的安全裝置資料進行統一的監控管理,讓我們可以及時發現問題解決問題,更好的維護校園網絡安全。“
——來自該高校的安全老師
編後
未來,雲掣科技日志團隊将會繼續和中山大學老師一起探究“資料驅動運維”的應用,通過日志産品的實時日志資料分析的能力幫助更多高校、金融、政府等企業降低運維成本,提高運維效率。