“网络+安全”保障整网安全！西南交通大学书写精彩答卷

西南交通大学是教育部直属全国重点大学，国家首批“双一流”“211工程”“特色985工程”“2011协同创新计划”重点建设并设有研究生院的研究型大学，座落于中国历史文化名城、国家中心城市——成都。现有九里、犀浦、峨眉三个校区，在校师生6万余人。

随着信息化的快速发展，网络攻防的技术门槛不断降低、攻击方式呈现多样化，特别是勒索病毒等未知威胁开始泛滥。面对新时代的网络安全挑战，西南交通大学如何保障6万多在校师生上网的安全可靠性，避免恶意病毒感染，成为当下学校安全运维工作的重点。

锐捷网络如何助力西南交大完成安全预警分析？故事要追溯到2018年。

早在2018年，西南交大网络中心就部署了一套锐捷安全态势感知平台BDS，用它收集和标准化全网信息设备日志数据，构建安全大数据仓库。通过BDS的大数据关联建模分析，从海量数据中分析和定位出核心安全风险，帮助学校有效预防了潜在安全事件的发生。

近两年，随着网络攻防技术的不断发展，单纯日志维度的分析能力日渐不能满足学校对新型攻击检测和分析预警的需求。西南交大在原有安全态势感知平台的基础上扩容了流量探针，对学校出口流量进行深度分析。“日志+流量”双重维度的安全分析，发现很多学生终端感染了病毒，存在继续横向扩散的风险，很可能会成为“肉鸡” （可以被黑客远程控制的机器）。

在这样的情况下，锐捷提出对接学校已有交换机，识别横向感染的“网络+安全”方案。该方案不绑定品牌，只要支持sFlow协议的交换机即可构成该方案的组成部分，通过态势感知平台与 sFlow交换机联动，实现全网节点安全监测，协助用户完成勒索病毒1号病人分析定位，便于管理员及时采取对应的处置措施，将网络安全风险扼杀在摇篮中。

西南交大综合态势感知平台经过不断升级和扩容，逐步给用户带来了“日志+流量”综合态势感知分析价值、联动sFlow交换机横向威胁检测等价值，取得了一些实战成果：

定位1号感染源

识别出被感染目标

以前对学校整网安全分析，基本很难实现，也不能快速进行病毒定位及分析，一旦发生安全事件，就需要耗费很长时间逐步排查，费时又费力。现在通过日志+流量综合分析模式，并结合sFlow交换机联动，只需要日常查看安全态势感知平台BDS的高危告警，即可完成全网风险评估及预警，同时也能快速溯源1号“病人”，有效防止了大面积扩散。