背景概述
教育行业是我国最大的民生行业之一,是网络安全法定义的关键信息基础设施行业。国家教育主管部门对网络安全工作非常重视,不断出台政策规范加强教育行业网络安全建设,提升网络安全防护能力。随着高校职校业务应用和网络系统的日益复杂,外部攻击、内部资源用、木马、病毒等不安全因素越来越显著,网络安全等级保护建设已,成为其网络业务发展的核心和重点。
解决方案
建设目标:满足等保2.0建设要求及相关政策要求,符合行业主管部门管理要求及国家监管部门监管要求;
建设思路:适度安全、重点防护、主动防御、风险防控、持续运营;
方案架构:基于“一个中心,三重防护”的监测防护一体化防御体系;
安全通信网络
在校园网互联网出入口部署下一代防火墙,开启病毒防护、入侵防御、邮件过滤,实现校园网与互联网隔离防护,同时对出入口网络流量进行检测过滤,防范病毒木马、入侵攻击和垃圾邮件;
在校园网互联网出入口部署上网行为审计,对上网络流量进行控制,同时对上网行为进行审计,屏蔽对非法网站的访问,防止敏感信息泄露:在对外服务区域部署符合国密要求的VPN网关或零信任安全网关,为远程访问校园网建立安全通道,保证远程通信过程中数据的保密性及完整性;在校园网核心交换机、骨干节点汇聚交换机位置部署威胁检测设备,深度解析网络流量及日志,检测识别校园网内存在恶意攻击、病毒木马等网络威胁,发现可疑活动并及时告警;
安全区域边界
在校园网各网络区域之间部署下一代防火墙,实现区域之间安全隔离,同时对校园网内部网络攻击、病毒传播进行检测和防范;在运维管理区域部署网络准入控制系统,对非授权设备私自接入校园内网的行为进行控制,发现并阳断设备非法入网:在校园数据中心边界处部署Web应用防火墙,实现对校园内部应用系统的安全防护;部署网络DLP,对校园内网流量内容进行分析识别,防止敏感信息外泄;
部署无线控制设备,对校园网无线网络进行管理和入网控制;
部署网络安全审计设备,对网络访问行为进行审计和数据分析;
安全计算环境
部署主机加固系统,对应用系统服务器进行安全加固;
部署终端安全管理系统,实现身份认证、病毒防护、资产管理、漏洞补丁管理、移动存储管理、非法外联管理,保障校园终端安全;部署数据库审计系统,对访问应用系统数据库的用户行为和重要安全事件进行集中审计;
部署堡垒机,对运维管理用户进行权限管理;
采用国产密码技术,保障重要数据的传输、存储安全性、完整性、保密性;
部署容灾备份系统,保障重要应用系统和重要数据的可用性;
安全管理中心
部署堡垒机,实现系统运维的集中身份鉴别、访问控制和操作审计;
部署网络安全管理中心,对网络设备、安全设备进行统一管理、安全审计和集中监测,实现对校园网安全设备、安全事件、安全策略、安全运维集中的监控、调度、预警和管理;
部署网络安全态势感知和安全运营平台,汇总全网流量及日志数据进行综合分析,可视化展现网络安全风险,支撑安全监测、分析、预警、响应、处置、追湖等安全运营工作;
建议购买安全运营服务,将设备防护与人工研判相结合,通过分享网络威胁现状和威胁,有针对性地提供安全建设建议,实现快速安全应急响应。
成就客户价值
落实网络安全等级保护制度,建立健全网络安全保障体系,有效降低网络安全风险,合理规避法律责任;提升网络安全态势感知能力,建立健全网络安全监测体系,提高网络攻击发现速度,完善威胁处置措施;加强重要数据安全保护能力,建立覆盖全生命周期的数据安全保障机制,重点保护师生隐私信息和重要科研数据;构建安全稳定网络运行环境,保障办公及教学系统持续稳定运行,提升高校职校行业竞争力。
