智慧校園安全解決方案
智慧校園安全解決方案
“智慧校園”是教育信息化進(jìn)入高級階段的表現(xiàn)形式��,比“數(shù)字校園”更先進(jìn)����。集體知識共融共生、業(yè)務(wù)應(yīng)用融合創(chuàng)新、移動互聯(lián)網(wǎng)物聯(lián)網(wǎng)高速泛在是其重要特征���。特別是在互聯(lián)網(wǎng)+教育的大環(huán)境下���,為了更好的發(fā)揮智慧化教學(xué)服務(wù)和智慧化教學(xué)管理功能,需要加強(qiáng)智慧校園的網(wǎng)絡(luò)安全建設(shè)�����。
校園網(wǎng)絡(luò)一旦出現(xiàn)了安全隱患����,則會造成網(wǎng)絡(luò)中大量資料被泄露、偽造和破壞���,造成信息傳遞的中斷��,給學(xué)校、家庭����,甚至社會帶來極大的損失。一方面關(guān)系到學(xué)校的綜合利益和學(xué)校的安全建設(shè)合規(guī)程度����,另一方面關(guān)系到社會�����、家庭�、師生的利益���;再次����,隨著安全法的頒布實施�����,網(wǎng)絡(luò)安全不再是教學(xué)教務(wù)的業(yè)務(wù)補(bǔ)充而成了教育教務(wù)業(yè)務(wù)應(yīng)用自身���,智慧校園的網(wǎng)絡(luò)安全建設(shè)也從滿足自身需要到滿足合規(guī)要求上升到合法運營的法律層面�。
面臨的挑戰(zhàn)及安全需求
智慧校園面臨的網(wǎng)絡(luò)安全挑戰(zhàn)和需求主要包括互聯(lián)網(wǎng)出口安全����、數(shù)據(jù)中心安全以及數(shù)據(jù)安全。
校園網(wǎng)互聯(lián)網(wǎng)出口安全需要解決出口邊界訪問控制���、入侵檢測與防御�����、單鏈路故障���、提升多鏈路帶寬利用率���、師生上網(wǎng)行為管理。
數(shù)據(jù)中心的安全包括數(shù)據(jù)中心區(qū)與互聯(lián)網(wǎng)區(qū)之間的網(wǎng)絡(luò)邊界安全問題��、Web應(yīng)用層安全問題����、應(yīng)用負(fù)載和加速問題、弱口令和漏洞管理問題��、云中虛擬化資源池的安全問題��、數(shù)據(jù)安全問題以及校園網(wǎng)安全運維問題����。
數(shù)據(jù)安全問題具體包括數(shù)據(jù)防泄漏管理�、數(shù)據(jù)脫敏管理��、數(shù)據(jù)庫安全審計以及業(yè)務(wù)用戶通過瀏覽器經(jīng)由應(yīng)用服務(wù)到數(shù)據(jù)庫訪問的合法業(yè)務(wù)操作的全流程審計��。
安全解決方案
※ 互聯(lián)網(wǎng)出口安全
在校園網(wǎng)互聯(lián)網(wǎng)出口部署出口鏈路負(fù)載均衡設(shè)備�����,根據(jù)訪問目標(biāo)自動最優(yōu)選路���,根據(jù)鏈路負(fù)載、丟包情況等動態(tài)選擇鏈路出口可保障出口鏈路穩(wěn)定性�,提升城域網(wǎng)出口帶寬利用率。
在校園網(wǎng)互聯(lián)網(wǎng)出口位置部署防火墻����、VPN和入侵防御設(shè)備,可對教育城域網(wǎng)進(jìn)行網(wǎng)絡(luò)訪問控制��、網(wǎng)絡(luò)蠕蟲����、間諜軟件、溢出攻擊等多種深層攻擊行為進(jìn)行入侵檢測及過濾等一體化安全防護(hù)���。
在校園網(wǎng)互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理設(shè)備����,全面了解上網(wǎng)情況和網(wǎng)絡(luò)使用情況,包括即時通訊等過濾不良信息����,可實現(xiàn)對城域網(wǎng)內(nèi)師生上網(wǎng)行為的管理與審計、應(yīng)用流量控制與保障���,減少互聯(lián)網(wǎng)風(fēng)險���,滿足82號令的合規(guī)性需求。
※ 數(shù)據(jù)中心區(qū)安全
在數(shù)據(jù)中心區(qū)與互聯(lián)網(wǎng)出口區(qū)邊界部署防火墻和Web應(yīng)用防火墻設(shè)備�����,可對教育云平臺進(jìn)行網(wǎng)絡(luò)訪問控制�、網(wǎng)絡(luò)蠕蟲等多種攻擊行為進(jìn)行安全防護(hù)。同時�����,防御以Web應(yīng)用程序漏洞為目標(biāo)的攻擊����,并針對Web服務(wù)器進(jìn)行HTTP/HTTPS流量清洗�,提高Web應(yīng)用的可用性�、性能和安全性��,確保Web業(yè)務(wù)應(yīng)用安全���、可靠地提供服務(wù)�����。
在數(shù)據(jù)中心區(qū)的Web應(yīng)用服務(wù)前端部署服務(wù)器應(yīng)用負(fù)載�,支持應(yīng)用引流��,分擔(dān)應(yīng)用服務(wù)器負(fù)載�。可以根據(jù)應(yīng)用類型P2P��、即時通訊�、流媒體、視頻協(xié)議等應(yīng)用引流至高質(zhì)量鏈路���,支持應(yīng)用服務(wù)器負(fù)載分擔(dān)�����,針對應(yīng)用層信息分配流量��,提升用戶的訪問體驗����。
校園網(wǎng)數(shù)據(jù)中心區(qū)采用云和虛擬化技術(shù)實現(xiàn)業(yè)務(wù)應(yīng)用的池化,可以很好的滿足業(yè)務(wù)應(yīng)用按需擴(kuò)展�、快速服務(wù)的需要。在云和虛擬化環(huán)境下����,安全保障也是一種業(yè)務(wù)應(yīng)用,需要按需擴(kuò)展快速服務(wù)����。啟明星辰將網(wǎng)絡(luò)保障與業(yè)務(wù)資源池解耦,構(gòu)建相對獨立的安全資源池�����,在安全資源池上有選擇性的按需開啟虛擬IDS���、虛擬審計�����、虛擬流量監(jiān)測�����、虛擬Waf等安全機(jī)制����,實現(xiàn)虛機(jī)之間�、VLAN之間的安全監(jiān)測功能,保障數(shù)據(jù)中心區(qū)的安全�。
在校園網(wǎng)連接互聯(lián)網(wǎng)出口區(qū)和數(shù)據(jù)中心區(qū)的核心交換機(jī)上劃分出一個Vlan設(shè)置一個相對獨立的安全運維區(qū),實現(xiàn)全網(wǎng)統(tǒng)一安全運維管理���,部署漏洞掃描和管理平臺���,實現(xiàn)漏洞發(fā)現(xiàn)、驗證�����、修復(fù)�、更新的全生命周期管理;部署域間安全策略監(jiān)控設(shè)備,實現(xiàn)不同安全域內(nèi)系統(tǒng)訪問關(guān)系梳理�、防火墻策略管理與優(yōu)化、非法外聯(lián)行為監(jiān)測�;部署安全運維堡壘機(jī),結(jié)合身份認(rèn)證系統(tǒng)實現(xiàn)運維人員基于雙因素的唯一身份標(biāo)識�����、集中訪問控制��、集中審計(加密和非密協(xié)議的審計)��,有效解決一人多賬號��、一賬號多人使用等亂象�。
※ 數(shù)據(jù)安全
從數(shù)據(jù)防泄密DLP、數(shù)據(jù)庫脫敏�、數(shù)據(jù)庫審計和基于WEB的業(yè)務(wù)全流程審計幾個方面來保障數(shù)據(jù)安全。
部署網(wǎng)絡(luò)DLP���、終端DLP設(shè)備�����,在數(shù)據(jù)存儲�、傳輸和使用過程中,發(fā)現(xiàn)并識別敏感數(shù)據(jù)隱患��,確保敏感數(shù)據(jù)的合規(guī)使用�,防止敏感數(shù)據(jù)泄漏的數(shù)據(jù)安全保護(hù)系統(tǒng),保障數(shù)據(jù)安全�����、可控��、可用�。
部署數(shù)據(jù)庫脫敏設(shè)備�����,采用數(shù)據(jù)抽取�、數(shù)據(jù)漂白、動態(tài)掩碼等規(guī)則進(jìn)行數(shù)據(jù)變形和敏感信息處理�����,保證脫敏前后數(shù)據(jù)關(guān)聯(lián)關(guān)系和前后的運算關(guān)系不變�,滿足隱私數(shù)據(jù)保護(hù)合規(guī)要求。
部署數(shù)據(jù)庫審計設(shè)備�,實時監(jiān)視與審計數(shù)據(jù)庫管理員的操作,對數(shù)據(jù)庫的操作行為進(jìn)行命令級別的細(xì)粒度審計,事故追根溯源���,提高數(shù)據(jù)資產(chǎn)安全����,系統(tǒng)管理員操作行為的安全審計��。
部署基于Web的業(yè)務(wù)應(yīng)用全流程審計設(shè)備���,對合法的業(yè)務(wù)操作人員操作Web應(yīng)用進(jìn)行業(yè)務(wù)辦理或查詢操作的全過程實施記錄�����,實現(xiàn)對業(yè)務(wù)用戶的Web應(yīng)用業(yè)務(wù)操作全流程訪問行為審計與監(jiān)管��,業(yè)務(wù)辦理和操作層面的安全審計���,確保全流程操作行為留痕和數(shù)據(jù)安全。
如下圖所示:
方案主要價值
方案價值主要體現(xiàn)在如下幾方面:
1)保護(hù)互聯(lián)網(wǎng)出口的安全穩(wěn)定�,保障校園網(wǎng)的安全。
2)對互聯(lián)網(wǎng)出口進(jìn)行流量和上網(wǎng)權(quán)限管理����,保障核心業(yè)務(wù)的穩(wěn)定性���,提高工作效率。集中管控師生的上網(wǎng)行為�,滿足國家公安部82號令上網(wǎng)日志留存的合規(guī)性要求
3)提供了從網(wǎng)絡(luò)層到應(yīng)用層的一體化防護(hù)能力,有效保障L3-L7的安全�����。
4)以可編排可彈性擴(kuò)展的獨立安全資源池的方式全面保障校園網(wǎng)數(shù)據(jù)中心業(yè)務(wù)應(yīng)用資源池的安全�。
5)實現(xiàn)了教育云平臺的全網(wǎng)入侵檢測、統(tǒng)一安全運維審計�����、基于Web的全業(yè)務(wù)流程審計���、口令和漏洞的全生命周期管理。
6)提升了數(shù)據(jù)中心安全防護(hù)級別�,滿足教育信息安全等級保護(hù)安全建設(shè)要求。
7)從數(shù)據(jù)存儲���、傳輸�、共享審計等多個維度保障數(shù)據(jù)的安全�。
