云MSP服务案例丨中山大学×云日志：校园网安全设备日志分析监控平台

项目背景

中山大学由孙中山先生创办，有着一百多年办学传统。作为中国教育部直属高校，通过部省共建，中山大学已经成为一所国内一流、国际知名的现代综合性大学。现由广州校区、珠海校区、深圳校区三个校区、五个校园及十家附属医院组成。中山大学正在向世界一流大学迈进，努力成为全球学术重镇。

中山大学的校园网经过多年发展，已建成了跨广州和珠海2座城市，覆盖4个校区的大型校园网络。目前网络与信息安全防护体系已见雏形，设立了专职安全岗位，建立了安全事件应用响应和处置小组，主要信息系统完成了信息安全等级保护定级工作，建立了较为完善的网络与信息安全防护体系和应急机制。

当前，校园网内各类设备网络等自身包含的日志量成倍增加，对于日志管理、分析和审计的的要求越来越高。中山大学数据安全团队希望有专业的日志数据分析团队可以提供整套日志数据安全管理方案，更好的保护校园数据安全，完成校园网安全设备日志分析监控平台的建设。

所以中山大学找到了有着多年日志大数据分析实践经验的云掣科技—日志团队。云掣日志团队服务了浙江大学、中国电信、天弘基金、新网银行等众多高校、政府、金融客户。

项 目 内 容

在和中山大学的沟通和交流中，我们发现校方的安全意识非常好，在校园内部署了网络防火墙（含入侵检测系统和入侵防御系统）、统一威胁管理系统、上网行为管理系统、反病毒软件、远程漏洞检测系统、反垃圾邮件网关、Web应用防火墙、数据库审计系统、堡垒机等一批安全设备，已经形成了一定的网络安全和信息安全防护能力。

在校园安全系统中，安全设备（如防火墙等）、网络设备（如路由器、交换机等）、基础信息系统（如网站群等）每天都会产生大量的日志，包含了对于校园网络安全状态最为细节的描述，如果将这些数据收集起来，合理地加以处理和分析，就能实时、准确地反映当前校园网络安全状况。

根据上述深入的调研收获，云日志团队提出了4个建设目标，希望帮助中山大学搭建自己的校园网络安全数据分析平台：

• 监管要求及时落地，校园网日志数据审计合规：对于监管的所有安全设备数据做到及时监控，及时反馈，及时解决，完成数据安全的审核及合规要求。
• 多源数据的高效统一收集、管理：通过日志平台，做到多源数据的集中实时采集，集中运维监控。
• 数据驱动运维，代替依赖经验的人肉运维：通过数据驱动运维工作，智能化提示、告警，提高运维整体效率降低运维成本，让IT人员更专注于网络安全。
• 学生关怀、实时数据可视化，实现时间溯源和辅助决策：上网信息统计分析，可视化展现网络行为轨迹，达成学生关怀政策，保障学院安全。

整个校园网络安全数据分析平台建设核心思想在于通过实时采集安全设备、系统设备、网站日志等数据，通过一系列的数据模型将这些数据关联起来，通过数据可视化，实时监控网络状态，如某一时间段网络使用率高、某一些网络访问频率高，学生网络使用轨迹等，保障校园网络安全的同时更能保障学生的网络及生活安全。

项 目 效 果

网络设备安全审计，满足等保需求

校园网的数据查询系统（样例非真实数据）

网络设备的登入登出等审计所需的数据都可以即时查询，完全满足等保需求，恶意登录及攻击等也都可以统计分析。

网络设备（防火墙等）访问监控

校园网防火墙查询图（样例非真实数据）

网络设备WAF，防火墙等设备日志以及nginx-access的访问日志进行会话统计，会话详情，基于不同IP不同来源地址的请求会话统计分布，发现异常AD攻击及IPS攻击等，以及攻击事件类型的占比和分布用于问题跟踪和溯源。

设备数据日志可视化，网站日常监控

校园网站分析图（样例非真实数据）

针对现有安全设备日志进行整理分析展现，包括浏览器喜好、手机型号分布、浏览时间趋势、被攻击趋势等都会被一一呈现，如出现意外情况也会会及时告警，提高整体校园网安全状况。

客 户 收 益

云掣科技日志团队与中山大学一起完成了本次安全设备日志数据监控分析平台的建设。帮助中山大学完成以下目标，共创“智慧校园”。

搭建多节点的智能日志分析平台，集中采集、存储网络设备、安全设备、服务器等产生的日志数据，且存储周期设置为6个月。
定制冷热数据分离方案，热数据提供实时查询、分析；冷数据可自动或自定义备份，且具备实时恢复能力。
定制化校园网络运维场景分析，对网络设备、安全设备、服务器等实时指标监控，快速发现问题，并实时告警。
基于各类日志数据指标，提取学生上网信息日志数据，再结合关联关系，建设学生上网行为分析、在校活动轨迹等场景；
实现数据驱动运维代替人工检验判断。

同时，中山大学建设的日志数据监控平台，也是为在校师生建立了更加安全可靠的校园网络环境保障和信息安全保障。

网站日常监控场景应用

校园网攻击分析图（样例非真实数据）
中山大学老师在校园网首页来源的地址中发现一个非常规的来源地址在top2的位置，一般登录学校的校园网主要是通过输入网址或者是百度搜索。点击该异常链接发现是某一空白危险网站（类似于钓鱼网站，通过高数量并发占用服务器资源，同时会影响网站的正常排名，让网站的搜索变得困难），这引起中山大学安全老师的高度重视，通过数据监控快速找到该网址进行处理，最终保障了校园网的登录安全及使用安全。

本次合作是云掣科技与中山大学的一次深入共创。在项目的设计、开发、部署中，云掣日志团队都与中山大学安全岗位的老师分工明确，互相协作，老师们也对日志团队展示的担当、负责、可靠表示高度的认可。

客户之声

“感谢袋鼠云日志团队，帮助我们对现有复杂的安全设备数据进行统一的监控管理，让我们可以及时发现问题解决问题，更好的维护校园网络安全。“
——来自该高校的安全老师

编后

未来，云掣科技日志团队将会继续和中山大学老师一起探究“数据驱动运维”的应用，通过日志产品的实时日志数据分析的能力帮助更多高校、金融、政府等企业降低运维成本，提高运维效率。