智慧校園安全解決方案
智慧校園安全解決方案
“智慧校園”是教育信息化進(jìn)入高級(jí)階段的表現(xiàn)形式����,比“數(shù)字校園”更先進(jìn)。集體知識(shí)共融共生���、業(yè)務(wù)應(yīng)用融合創(chuàng)新���、移動(dòng)互聯(lián)網(wǎng)物聯(lián)網(wǎng)高速泛在是其重要特征�。特別是在互聯(lián)網(wǎng)+教育的大環(huán)境下�,為了更好的發(fā)揮智慧化教學(xué)服務(wù)和智慧化教學(xué)管理功能,需要加強(qiáng)智慧校園的網(wǎng)絡(luò)安全建設(shè)�����。
校園網(wǎng)絡(luò)一旦出現(xiàn)了安全隱患�����,則會(huì)造成網(wǎng)絡(luò)中大量資料被泄露���、偽造和破壞���,造成信息傳遞的中斷,給學(xué)校�����、家庭,甚至社會(huì)帶來極大的損失�。一方面關(guān)系到學(xué)校的綜合利益和學(xué)校的安全建設(shè)合規(guī)程度,另一方面關(guān)系到社會(huì)�����、家庭���、師生的利益;再次���,隨著安全法的頒布實(shí)施����,網(wǎng)絡(luò)安全不再是教學(xué)教務(wù)的業(yè)務(wù)補(bǔ)充而成了教育教務(wù)業(yè)務(wù)應(yīng)用自身�,智慧校園的網(wǎng)絡(luò)安全建設(shè)也從滿足自身需要到滿足合規(guī)要求上升到合法運(yùn)營的法律層面。
面臨的挑戰(zhàn)及安全需求
智慧校園面臨的網(wǎng)絡(luò)安全挑戰(zhàn)和需求主要包括互聯(lián)網(wǎng)出口安全����、數(shù)據(jù)中心安全以及數(shù)據(jù)安全。
校園網(wǎng)互聯(lián)網(wǎng)出口安全需要解決出口邊界訪問控制����、入侵檢測與防御、單鏈路故障、提升多鏈路帶寬利用率����、師生上網(wǎng)行為管理。
數(shù)據(jù)中心的安全包括數(shù)據(jù)中心區(qū)與互聯(lián)網(wǎng)區(qū)之間的網(wǎng)絡(luò)邊界安全問題��、Web應(yīng)用層安全問題��、應(yīng)用負(fù)載和加速問題���、弱口令和漏洞管理問題�����、云中虛擬化資源池的安全問題���、數(shù)據(jù)安全問題以及校園網(wǎng)安全運(yùn)維問題。
數(shù)據(jù)安全問題具體包括數(shù)據(jù)防泄漏管理���、數(shù)據(jù)脫敏管理�、數(shù)據(jù)庫安全審計(jì)以及業(yè)務(wù)用戶通過瀏覽器經(jīng)由應(yīng)用服務(wù)到數(shù)據(jù)庫訪問的合法業(yè)務(wù)操作的全流程審計(jì)�����。
安全解決方案
※ 互聯(lián)網(wǎng)出口安全
在校園網(wǎng)互聯(lián)網(wǎng)出口部署出口鏈路負(fù)載均衡設(shè)備,根據(jù)訪問目標(biāo)自動(dòng)最優(yōu)選路���,根據(jù)鏈路負(fù)載�����、丟包情況等動(dòng)態(tài)選擇鏈路出口可保障出口鏈路穩(wěn)定性���,提升城域網(wǎng)出口帶寬利用率。
在校園網(wǎng)互聯(lián)網(wǎng)出口位置部署防火墻�����、VPN和入侵防御設(shè)備�����,可對教育城域網(wǎng)進(jìn)行網(wǎng)絡(luò)訪問控制���、網(wǎng)絡(luò)蠕蟲、間諜軟件���、溢出攻擊等多種深層攻擊行為進(jìn)行入侵檢測及過濾等一體化安全防護(hù)����。
在校園網(wǎng)互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理設(shè)備,全面了解上網(wǎng)情況和網(wǎng)絡(luò)使用情況�,包括即時(shí)通訊等過濾不良信息,可實(shí)現(xiàn)對城域網(wǎng)內(nèi)師生上網(wǎng)行為的管理與審計(jì)��、應(yīng)用流量控制與保障�,減少互聯(lián)網(wǎng)風(fēng)險(xiǎn),滿足82號(hào)令的合規(guī)性需求��。
※ 數(shù)據(jù)中心區(qū)安全
在數(shù)據(jù)中心區(qū)與互聯(lián)網(wǎng)出口區(qū)邊界部署防火墻和Web應(yīng)用防火墻設(shè)備��,可對教育云平臺(tái)進(jìn)行網(wǎng)絡(luò)訪問控制�����、網(wǎng)絡(luò)蠕蟲等多種攻擊行為進(jìn)行安全防護(hù)��。同時(shí)�,防御以Web應(yīng)用程序漏洞為目標(biāo)的攻擊,并針對Web服務(wù)器進(jìn)行HTTP/HTTPS流量清洗���,提高Web應(yīng)用的可用性��、性能和安全性���,確保Web業(yè)務(wù)應(yīng)用安全��、可靠地提供服務(wù)�。
在數(shù)據(jù)中心區(qū)的Web應(yīng)用服務(wù)前端部署服務(wù)器應(yīng)用負(fù)載�����,支持應(yīng)用引流����,分擔(dān)應(yīng)用服務(wù)器負(fù)載??梢愿鶕?jù)應(yīng)用類型P2P、即時(shí)通訊����、流媒體�����、視頻協(xié)議等應(yīng)用引流至高質(zhì)量鏈路�,支持應(yīng)用服務(wù)器負(fù)載分擔(dān),針對應(yīng)用層信息分配流量�����,提升用戶的訪問體驗(yàn)。
校園網(wǎng)數(shù)據(jù)中心區(qū)采用云和虛擬化技術(shù)實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的池化����,可以很好的滿足業(yè)務(wù)應(yīng)用按需擴(kuò)展、快速服務(wù)的需要�。在云和虛擬化環(huán)境下,安全保障也是一種業(yè)務(wù)應(yīng)用��,需要按需擴(kuò)展快速服務(wù)����。啟明星辰將網(wǎng)絡(luò)保障與業(yè)務(wù)資源池解耦,構(gòu)建相對獨(dú)立的安全資源池�����,在安全資源池上有選擇性的按需開啟虛擬IDS����、虛擬審計(jì)、虛擬流量監(jiān)測�、虛擬Waf等安全機(jī)制,實(shí)現(xiàn)虛機(jī)之間����、VLAN之間的安全監(jiān)測功能�,保障數(shù)據(jù)中心區(qū)的安全�。
在校園網(wǎng)連接互聯(lián)網(wǎng)出口區(qū)和數(shù)據(jù)中心區(qū)的核心交換機(jī)上劃分出一個(gè)Vlan設(shè)置一個(gè)相對獨(dú)立的安全運(yùn)維區(qū),實(shí)現(xiàn)全網(wǎng)統(tǒng)一安全運(yùn)維管理����,部署漏洞掃描和管理平臺(tái),實(shí)現(xiàn)漏洞發(fā)現(xiàn)���、驗(yàn)證��、修復(fù)�����、更新的全生命周期管理���;部署域間安全策略監(jiān)控設(shè)備,實(shí)現(xiàn)不同安全域內(nèi)系統(tǒng)訪問關(guān)系梳理�、防火墻策略管理與優(yōu)化�����、非法外聯(lián)行為監(jiān)測;部署安全運(yùn)維堡壘機(jī)�,結(jié)合身份認(rèn)證系統(tǒng)實(shí)現(xiàn)運(yùn)維人員基于雙因素的唯一身份標(biāo)識(shí)、集中訪問控制��、集中審計(jì)(加密和非密協(xié)議的審計(jì))�,有效解決一人多賬號(hào)、一賬號(hào)多人使用等亂象���。
※ 數(shù)據(jù)安全
從數(shù)據(jù)防泄密DLP���、數(shù)據(jù)庫脫敏、數(shù)據(jù)庫審計(jì)和基于WEB的業(yè)務(wù)全流程審計(jì)幾個(gè)方面來保障數(shù)據(jù)安全����。
部署網(wǎng)絡(luò)DLP、終端DLP設(shè)備����,在數(shù)據(jù)存儲(chǔ)、傳輸和使用過程中�,發(fā)現(xiàn)并識(shí)別敏感數(shù)據(jù)隱患,確保敏感數(shù)據(jù)的合規(guī)使用�,防止敏感數(shù)據(jù)泄漏的數(shù)據(jù)安全保護(hù)系統(tǒng),保障數(shù)據(jù)安全�����、可控、可用���。
部署數(shù)據(jù)庫脫敏設(shè)備�����,采用數(shù)據(jù)抽取�、數(shù)據(jù)漂白���、動(dòng)態(tài)掩碼等規(guī)則進(jìn)行數(shù)據(jù)變形和敏感信息處理���,保證脫敏前后數(shù)據(jù)關(guān)聯(lián)關(guān)系和前后的運(yùn)算關(guān)系不變,滿足隱私數(shù)據(jù)保護(hù)合規(guī)要求���。
部署數(shù)據(jù)庫審計(jì)設(shè)備�,實(shí)時(shí)監(jiān)視與審計(jì)數(shù)據(jù)庫管理員的操作����,對數(shù)據(jù)庫的操作行為進(jìn)行命令級(jí)別的細(xì)粒度審計(jì),事故追根溯源,提高數(shù)據(jù)資產(chǎn)安全��,系統(tǒng)管理員操作行為的安全審計(jì)��。
部署基于Web的業(yè)務(wù)應(yīng)用全流程審計(jì)設(shè)備��,對合法的業(yè)務(wù)操作人員操作Web應(yīng)用進(jìn)行業(yè)務(wù)辦理或查詢操作的全過程實(shí)施記錄�����,實(shí)現(xiàn)對業(yè)務(wù)用戶的Web應(yīng)用業(yè)務(wù)操作全流程訪問行為審計(jì)與監(jiān)管�����,業(yè)務(wù)辦理和操作層面的安全審計(jì)�����,確保全流程操作行為留痕和數(shù)據(jù)安全���。
如下圖所示:
方案主要價(jià)值
方案價(jià)值主要體現(xiàn)在如下幾方面:
1)保護(hù)互聯(lián)網(wǎng)出口的安全穩(wěn)定,保障校園網(wǎng)的安全����。
2)對互聯(lián)網(wǎng)出口進(jìn)行流量和上網(wǎng)權(quán)限管理,保障核心業(yè)務(wù)的穩(wěn)定性,提高工作效率���。集中管控師生的上網(wǎng)行為��,滿足國家公安部82號(hào)令上網(wǎng)日志留存的合規(guī)性要求
3)提供了從網(wǎng)絡(luò)層到應(yīng)用層的一體化防護(hù)能力�,有效保障L3-L7的安全���。
4)以可編排可彈性擴(kuò)展的獨(dú)立安全資源池的方式全面保障校園網(wǎng)數(shù)據(jù)中心業(yè)務(wù)應(yīng)用資源池的安全��。
5)實(shí)現(xiàn)了教育云平臺(tái)的全網(wǎng)入侵檢測���、統(tǒng)一安全運(yùn)維審計(jì)、基于Web的全業(yè)務(wù)流程審計(jì)��、口令和漏洞的全生命周期管理�����。
6)提升了數(shù)據(jù)中心安全防護(hù)級(jí)別����,滿足教育信息安全等級(jí)保護(hù)安全建設(shè)要求。
7)從數(shù)據(jù)存儲(chǔ)��、傳輸、共享審計(jì)等多個(gè)維度保障數(shù)據(jù)的安全���。
