高校云计算与大数据

安全实践案例分享

绿盟科技 范孟飞

云计算与大数据安全

解决漏洞

1

技术标准

2

法律法规

3

安全形势

4

高校云计算建设实践案例

02

项目背景

1、学校作为区域重要网络节点；

2、已建设有华为的云计算平台；

3、要求针对云计算进行安全体系建设。

1、安全域划分；

2、访问控制；

3、数据中心的入侵防范；

5、web应用层防护（南北向防护）；

6、流量分析（东西向）

建设方案

云计算平台

方案组成

类型 数量

云安全管理平台 1

安全资源池

资源池操作系统 1

虚拟化WAF 1

虚拟化入侵检测 1

虚拟化安全审计 1

虚拟化扫描器 1

实施效果

项目意义

➢保障云平台和云租户的安全；

➢基于安全域的纵深防护体系；

➢资源弹性的安全即服务；

➢模块化架构可灵活扩展；

➢快速自动化的部署；

➢向云迁移满足等保合规要求。

某高校场景——外置资源池

安全设备区

外部接入区

分光器

负载均衡区

教育网

VPC接入区

VPC网管服务区

vSAS

vRSAS

VWAF

vIDS

外置资源池

vSAS

vRSAS

VWAF

VIDS

外置资源池

流量监控 云安全管理平台

GRE隧道

部署说明：

分别在外部接入区和VPC接入区部署外置安全资源池，部署Web应用防护、网络入侵检测/防御、漏洞扫描等安全能力。

云安全管理平台统一管控安全资源。

• Web应用防火墙（vWAF）作为防护类能力，需要网络提供策略路由方式将流量引入VWAF设备，再由VWAF转发至用

户访问的目的虚机。

• 入侵检测设备/网络审计设备作为检测类能力，通过将需检测的用户流量经GRE隧道镜像至VIDS设备，实现入侵检测和

网络行为审计。

• 漏洞扫描设备作为评估类能力，确保网络可达即可开展漏洞扫描工作。对于租户网络，将扫描实例绑定在租户网络交

换机，可扫描租户虚机即可。

某高校场景——内置资源池

PE

CE

FW

公网多租户

VXLAN

VRF

OVS

VM1

VM2

OVS

VM3

VM4

OVS

vWAF vIDSvRSAS

内置安全资源池

云安全管理平台

RSAS

租户逻辑交换机租户A GRE隧道

部署说明

部署方式：采用内置安全资源池。在已有云资源池内划分一个特殊的租户区域作为专属安全区域，用于部署各类安全虚机。

引流方式：1）防护类—网络控制器提供策略路由的引流方式，将租户访问VM2的流量按需路由至VWAF，然后VWAF再将流量转发至VM2.2) 检测类—通过镜像隧道方式（GRE），将租户虚机流量经逻辑交换机镜像隧道镜像至VIDS。3）评估类—在租户网络内创建扫描虚拟机，并能够接入逻辑交换机，确保网络可达扫描目标VM4。

场景支持：在该场景下实现内置安全资源池，需要细致了解虚拟网络的详细拓扑和控制方式，从而确保能够按照设计实现策略引流、镜像隧道和安全虚拟实例绑定等操作。需要用户方给予支持。

大数据安全实践案例

06

项目背景

明确需求：完成教育部要求的等级保护建设和测评成为行业标杆案例！！

NF

NIPS

WAF

RSAS

DAS

SAS-H

…

教育部办公厅关于印发《2017年教育信息化工作要点》的通知增强网络安全监测预警和应急响应能力；通过大数据的方式研究教育行业网络安全形势

项目效果

内网安全风险的全面检测及防御

系统的

网站的

固有风险

校园网安全大数据分析平台及探针

平台组件名称 功能定位

绿盟BSA大数据分析系统 安全事件收集和大数据分析

绿盟WAF 网站安全防护引擎

绿盟NIPS 网络入侵态势感知探针

绿盟RSAS 全网漏洞检测

绿盟WSM 网站安全脆弱性探针

建设内容

效果总结

安全可视化展示，整体威胁态势感知

安全闭环管理，提高运营水平

利用大数据技术，实现安全与业务的深入融合

基于大数据分析的安全应用

漏洞管理

威胁预警

攻击溯源

态势感知

利用大数据技术实现脆弱性管理

威胁和漏洞管理平台

BVSWVSS

传统扫描盒子类产品

RSAS

平台定制扫描探针

情报收集 情报研究 情报发布 情报推送 情报响应

绿盟科技“威胁情报”

利用大数据技术感知外部情报

基础数据能力

42全球亿资产侦测能力

亿级存活IP和站点指纹信息

地理定位系统

全网whois/ASN

28亿条DNS数据、

威胁信誉情报 千万级恶意IP 万级C&C 亿级恶意域名 几十万恶意URL 百万级文件 20万+漏洞库、

关联分析和威胁分析建模

10+情报关联分析维度

威胁综合评分机制

威胁分析模型

“增强网络安全防御能力和威慑能力。网络安全的本质在对抗，对抗的本质在攻防两端能力较量。“

安全大数据分析

KVM

VM VM VM

VMware ESXi

VM VMVM

Xen

VM VM VM

vCenter Openstack Xen Center

虚拟化安全资源池

虚拟化安全资源池

虚拟化安全资源池

API API API

+私有云数据

+攻防实训平台数据

谢谢！