智慧校園安全解決方案
“智慧校園”是教育信息化進(jìn)入高級階段的表現(xiàn)形式,比“數(shù)字校園”更先進(jìn)。集體知識共融共生、業(yè)務(wù)應(yīng)用融合創(chuàng)新、移動互聯(lián)網(wǎng)物聯(lián)網(wǎng)高速泛在是其重要特征。特別是在互聯(lián)網(wǎng)+教育的大環(huán)境下,為了更好的發(fā)揮智慧化教學(xué)服務(wù)和智慧化教學(xué)管理功能,需要加強智慧校園的網(wǎng)絡(luò)安全建設(shè)。
校園網(wǎng)絡(luò)一旦出現(xiàn)了安全隱患,則會造成網(wǎng)絡(luò)中大量資料被泄露、偽造和破壞,造成信息傳遞的中斷,給學(xué)校、家庭,甚至社會帶來極大的損失。一方面關(guān)系到學(xué)校的綜合利益和學(xué)校的安全建設(shè)合規(guī)程度,另一方面關(guān)系到社會、家庭、師生的利益;再次,隨著安全法的頒布實施,網(wǎng)絡(luò)安全不再是教學(xué)教務(wù)的業(yè)務(wù)補充而成了教育教務(wù)業(yè)務(wù)應(yīng)用自身,智慧校園的網(wǎng)絡(luò)安全建設(shè)也從滿足自身需要到滿足合規(guī)要求上升到合法運營的法律層面。
面臨的挑戰(zhàn)及安全需求
智慧校園面臨的網(wǎng)絡(luò)安全挑戰(zhàn)和需求主要包括互聯(lián)網(wǎng)出口安全、數(shù)據(jù)中心安全以及數(shù)據(jù)安全。
校園網(wǎng)互聯(lián)網(wǎng)出口安全需要解決出口邊界訪問控制、入侵檢測與防御、單鏈路故障、提升多鏈路帶寬利用率、師生上網(wǎng)行為管理。
數(shù)據(jù)中心的安全包括數(shù)據(jù)中心區(qū)與互聯(lián)網(wǎng)區(qū)之間的網(wǎng)絡(luò)邊界安全問題、Web應(yīng)用層安全問題、應(yīng)用負(fù)載和加速問題、弱口令和漏洞管理問題、云中虛擬化資源池的安全問題、數(shù)據(jù)安全問題以及校園網(wǎng)安全運維問題。
數(shù)據(jù)安全問題具體包括數(shù)據(jù)防泄漏管理、數(shù)據(jù)脫敏管理、數(shù)據(jù)庫安全審計以及業(yè)務(wù)用戶通過瀏覽器經(jīng)由應(yīng)用服務(wù)到數(shù)據(jù)庫訪問的合法業(yè)務(wù)操作的全流程審計。
安全解決方案
※ 互聯(lián)網(wǎng)出口安全
在校園網(wǎng)互聯(lián)網(wǎng)出口部署出口鏈路負(fù)載均衡設(shè)備,根據(jù)訪問目標(biāo)自動最優(yōu)選路,根據(jù)鏈路負(fù)載、丟包情況等動態(tài)選擇鏈路出口可保障出口鏈路穩(wěn)定性,提升城域網(wǎng)出口帶寬利用率。
在校園網(wǎng)互聯(lián)網(wǎng)出口位置部署防火墻、VPN和入侵防御設(shè)備,可對教育城域網(wǎng)進(jìn)行網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)蠕蟲、間諜軟件、溢出攻擊等多種深層攻擊行為進(jìn)行入侵檢測及過濾等一體化安全防護。
在校園網(wǎng)互聯(lián)網(wǎng)出口部署上網(wǎng)行為管理設(shè)備,全面了解上網(wǎng)情況和網(wǎng)絡(luò)使用情況,包括即時通訊等過濾不良信息,可實現(xiàn)對城域網(wǎng)內(nèi)師生上網(wǎng)行為的管理與審計、應(yīng)用流量控制與保障,減少互聯(lián)網(wǎng)風(fēng)險,滿足82號令的合規(guī)性需求。
※ 數(shù)據(jù)中心區(qū)安全
在數(shù)據(jù)中心區(qū)與互聯(lián)網(wǎng)出口區(qū)邊界部署防火墻和Web應(yīng)用防火墻設(shè)備,可對教育云平臺進(jìn)行網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)蠕蟲等多種攻擊行為進(jìn)行安全防護。同時,防御以Web應(yīng)用程序漏洞為目標(biāo)的攻擊,并針對Web服務(wù)器進(jìn)行HTTP/HTTPS流量清洗,提高Web應(yīng)用的可用性、性能和安全性,確保Web業(yè)務(wù)應(yīng)用安全、可靠地提供服務(wù)。
在數(shù)據(jù)中心區(qū)的Web應(yīng)用服務(wù)前端部署服務(wù)器應(yīng)用負(fù)載,支持應(yīng)用引流,分擔(dān)應(yīng)用服務(wù)器負(fù)載。可以根據(jù)應(yīng)用類型P2P、即時通訊、流媒體、視頻協(xié)議等應(yīng)用引流至高質(zhì)量鏈路,支持應(yīng)用服務(wù)器負(fù)載分擔(dān),針對應(yīng)用層信息分配流量,提升用戶的訪問體驗。
校園網(wǎng)數(shù)據(jù)中心區(qū)采用云和虛擬化技術(shù)實現(xiàn)業(yè)務(wù)應(yīng)用的池化,可以很好的滿足業(yè)務(wù)應(yīng)用按需擴展、快速服務(wù)的需要。在云和虛擬化環(huán)境下,安全保障也是一種業(yè)務(wù)應(yīng)用,需要按需擴展快速服務(wù)。啟明星辰將網(wǎng)絡(luò)保障與業(yè)務(wù)資源池解耦,構(gòu)建相對獨立的安全資源池,在安全資源池上有選擇性的按需開啟虛擬IDS、虛擬審計、虛擬流量監(jiān)測、虛擬Waf等安全機制,實現(xiàn)虛機之間、VLAN之間的安全監(jiān)測功能,保障數(shù)據(jù)中心區(qū)的安全。
在校園網(wǎng)連接互聯(lián)網(wǎng)出口區(qū)和數(shù)據(jù)中心區(qū)的核心交換機上劃分出一個Vlan設(shè)置一個相對獨立的安全運維區(qū),實現(xiàn)全網(wǎng)統(tǒng)一安全運維管理,部署漏洞掃描和管理平臺,實現(xiàn)漏洞發(fā)現(xiàn)、驗證、修復(fù)、更新的全生命周期管理;部署域間安全策略監(jiān)控設(shè)備,實現(xiàn)不同安全域內(nèi)系統(tǒng)訪問關(guān)系梳理、防火墻策略管理與優(yōu)化、非法外聯(lián)行為監(jiān)測;部署安全運維堡壘機,結(jié)合身份認(rèn)證系統(tǒng)實現(xiàn)運維人員基于雙因素的唯一身份標(biāo)識、集中訪問控制、集中審計(加密和非密協(xié)議的審計),有效解決一人多賬號、一賬號多人使用等亂象。
※ 數(shù)據(jù)安全
從數(shù)據(jù)防泄密DLP、數(shù)據(jù)庫脫敏、數(shù)據(jù)庫審計和基于WEB的業(yè)務(wù)全流程審計幾個方面來保障數(shù)據(jù)安全。
部署網(wǎng)絡(luò)DLP、終端DLP設(shè)備,在數(shù)據(jù)存儲、傳輸和使用過程中,發(fā)現(xiàn)并識別敏感數(shù)據(jù)隱患,確保敏感數(shù)據(jù)的合規(guī)使用,防止敏感數(shù)據(jù)泄漏的數(shù)據(jù)安全保護系統(tǒng),保障數(shù)據(jù)安全、可控、可用。
部署數(shù)據(jù)庫脫敏設(shè)備,采用數(shù)據(jù)抽取、數(shù)據(jù)漂白、動態(tài)掩碼等規(guī)則進(jìn)行數(shù)據(jù)變形和敏感信息處理,保證脫敏前后數(shù)據(jù)關(guān)聯(lián)關(guān)系和前后的運算關(guān)系不變,滿足隱私數(shù)據(jù)保護合規(guī)要求。
部署數(shù)據(jù)庫審計設(shè)備,實時監(jiān)視與審計數(shù)據(jù)庫管理員的操作,對數(shù)據(jù)庫的操作行為進(jìn)行命令級別的細(xì)粒度審計,事故追根溯源,提高數(shù)據(jù)資產(chǎn)安全,系統(tǒng)管理員操作行為的安全審計。
部署基于Web的業(yè)務(wù)應(yīng)用全流程審計設(shè)備,對合法的業(yè)務(wù)操作人員操作Web應(yīng)用進(jìn)行業(yè)務(wù)辦理或查詢操作的全過程實施記錄,實現(xiàn)對業(yè)務(wù)用戶的Web應(yīng)用業(yè)務(wù)操作全流程訪問行為審計與監(jiān)管,業(yè)務(wù)辦理和操作層面的安全審計,確保全流程操作行為留痕和數(shù)據(jù)安全。
如下圖所示:
方案主要價值
方案價值主要體現(xiàn)在如下幾方面:
1)保護互聯(lián)網(wǎng)出口的安全穩(wěn)定,保障校園網(wǎng)的安全。
2)對互聯(lián)網(wǎng)出口進(jìn)行流量和上網(wǎng)權(quán)限管理,保障核心業(yè)務(wù)的穩(wěn)定性,提高工作效率。集中管控師生的上網(wǎng)行為,滿足國家公安部82號令上網(wǎng)日志留存的合規(guī)性要求
3)提供了從網(wǎng)絡(luò)層到應(yīng)用層的一體化防護能力,有效保障L3-L7的安全。
4)以可編排可彈性擴展的獨立安全資源池的方式全面保障校園網(wǎng)數(shù)據(jù)中心業(yè)務(wù)應(yīng)用資源池的安全。
5)實現(xiàn)了教育云平臺的全網(wǎng)入侵檢測、統(tǒng)一安全運維審計、基于Web的全業(yè)務(wù)流程審計、口令和漏洞的全生命周期管理。
6)提升了數(shù)據(jù)中心安全防護級別,滿足教育信息安全等級保護安全建設(shè)要求。
7)從數(shù)據(jù)存儲、傳輸、共享審計等多個維度保障數(shù)據(jù)的安全。