南京师范大学,由江苏省人民政府和中华人民共和国教育部共建,是国家“211工程”重点建设的江苏省属重点大学。在南京师范大学的教育信息化建设过程中,网络安全被视为重中之重。为了保障教学、科研和教务管理等信息化工作的安全进行,学校构建了多重网络安全防护机制,并不断完善网络安全管理体系。
随着智慧校园建设的推进,信息安全已成为智慧校园总体框架的重要组成部分。根据《国家网络安全法》和《等保2.0》等法规要求,高校必须严格合规地留存和审计分析网络日志。这些日志不仅包括网络设备产生的记录,还涵盖了网络产品和服务在运行过程中生成的各种信息。因此,在南京师范大学等高校场景中,门户网站、数据库、中间件、操作系统等各个关键组件的日志都需要得到妥善留存和管理。
项目建设背景
随着信息化建设的不断推进,南京师范大学面临着网络日志量激增、数据存储需求提升以及网络安全追溯难度增大等多重挑战。具体如下:
1、校内出口网络设备日志量过大,且随着业务的不断拓展而持续增长,亟需一套能够高效处理海量日志的设备;
2、日志数据需要长期保存,至少达到180天,并确保达到PB级的存储要求;
3、在遭遇网络安全问题时,学校需要迅速定位到责任人,并进行实名审计,以提高对潜在威胁的快速响应和处理能力;
4、学校信息化建设发展历程较长,信息化产品多元化且具有异构特征。网络安全设备与软件的部署分散,各自为战,难以对其进行统一管控。
建设效果
针对南京师范大学的网络安全建设需求,聚铭网络提出了大日志留存分析及实名审计解决方案。通过负载均衡+集群式部署的方式,在学校网络出口路由交换旁路部署3台聚铭综合日志分析系统,将网内的所有资产日志和上网行为日志进行统一采集分析。同时,针对DHCP、NAT等场景能够与实名认证系统进行联动,当出现威胁事件时,可通过账号溯源具体人员。
图注:南京师范大学网络拓扑部署图
方案具有以下显著特点:
1、全面兼容主流第三方设备和系统,使学校不同架构的网络安全设备能够做到协调联动、统筹融合,实现“1+1>2的效果”;
2、满足日志数据留存6个月所需的存储空间,并提供每秒亿级的日志查询,满足在应对网络安全事件时精准溯源的要求;
3. 支持每秒100000条以上超大日志量场景的性能需求,充分满足学校高性能采集处理的要求。
南京师范大学校内出口设备、防火墙、DNS服务器等设备众多,方案上线后短短两周内,就接收了超过80亿条的日志数据。通过实名分析、关联分析和情报碰撞等多种技术手段,实现了对未认证账号违规行为、机器人、挖矿等恶意行为的全面拦截。同时,通过日志全生命周期管理能够辅助管理人员进行安全分析,准确定位安全风险,从而为南京师范大学在日常事故处理和风险加固方面提供便捷且有力的支持。