教育行業
高校網絡安全行業人才培養、技術創新、產業發展與網絡安全技術應用
智慧校園等級保護:構建縱深防御體系,護航智慧校園
近年來,高新技術快速發展,數字化轉型成為教育領域高質量發展的重要引擎和創新路徑。網絡安全作為數字化建設的安全基石,卻面臨著網絡安全人才缺口不斷攀升的直接挑戰,網絡安全人才培養迫在眉睫。
結合多年豐富的網絡安全技術積累與人才培養經驗,安恒信息數字人才創研院和解決方案部共同推出一系列教育行業解決方案,從網絡安全全行業出發,全方位助力高校形成人才培養、技術創新、產業發展與網絡安全技術應用的良性生態。
本期第六話
安恒信息&智慧校園等級保護解決方案
隨著高校數字化轉型進程的加速,校園數字空間的范圍逐漸擴大,逐步實現從環境信息(包括教室、實驗室等)、資源信息(如圖書、講義、課件等)到應用信息(包括教學、管理、服務、辦公等)等全部數字化,實現物理空間和數字空間有機銜接。智慧校園的建設為師生帶來了更加便利的工作、學習、生活環境,同時也帶來了更大的網絡安全挑戰:
挑戰一:網絡安全威脅不斷升級
智慧校園的建設大都采用大數據和云計算技術來建設基礎設施層,同時不斷豐富服務于智慧教學環境和資源、智慧校園管理、智慧校園服務的應用,由此帶來了更加嚴重的安全威脅,校園數據泄露、數據篡改等事件層出不窮。
挑戰二:網絡安全建設不成體系
網絡安全建設滯后于信息化應用建設,重建設、輕運營,缺乏行之有效的全局性網絡安全防護體系,缺少網絡安全頂層設計和網絡安全規劃,智慧校園平臺各應用系統安全防護水平參差不齊。
挑戰三:安全管理人員少,身兼數職
學校通常只有1-2位專職老師來負責網絡安全工作,且多數人員身兼多職,網絡安全僅是其中一少部分工作內容;安全運營對人員專業技能要求高,面對海量網絡安全告警事件有心無力,網絡安全管理工作大多處于被動應對狀態。
智慧校園等級保護解決方案
安恒信息智慧校園等級保護解決方案以教育行業最佳實踐為參考,結合《教育行業信息系統安全等級保護定級工作指南(試行)》、《智慧校園總體框架》(GB/T 36342-2018)等行業指導文件安全要求,為高校打造全方位立體化的網絡安全體系。在一個中心,三重防護的原則下,保證基礎合規為前提,同時采用安恒安全托管運營服務(MSS),實現對整體業務系統及核心數據的全方位持續防護,最大限度提升高校網絡安全整體水平。整體安全建設架構如圖所示:
基于GB/T 22239-2019《信息安全技術 網絡安全安全等級保護基本要求》,以“一個中心,三重防護”為原則,分別建設安全技術體系、安全管理體系、安全運營體系三大體系,設計智慧校園等級保護解決方案。
整體安全建設拓撲圖如下圖所示:
1.?安全技術體系建設
安全通信網絡:
● 關鍵設備、鏈路使用高可用設計,業務處理能力和帶寬滿足業務高峰期需求;
● 網絡進行區域劃分,部署防火墻實現學校重要網絡區域之間的邏輯隔離和訪問控制;
● 部署VPN,實現數據通過VPN加密,保障數據傳輸的完整性和保密性。
安全區域邊界:
●?通過云防護、防火墻等設備保證跨越邊界的訪問和數據安全通信;部署EDR、準入控制實現非法外聯、內聯的管控;
●?邊界部署防火墻進行訪問控制,部署上網行為審計進行應用協議和內容的訪問控制;
●?部署WAF、APT、威脅誘捕系統等進行入侵防范;
●?邊界防火墻開啟防病毒模塊,查殺惡意代碼;
●?日志審計、運維審計、上網行為審計等對重要的用戶行為和安全事件進行審計。
安全計算環境:
●?通過透明傳輸加密保證數據傳輸過程中的完整性,通過透明數據庫加密保證數據存儲過程中的完整性;
●?通過透明傳輸加密保證數據傳輸過程中的保密性,通過透明數據庫加密保證數據存儲過程中的保密性;
●?采用備份一體機,提供重要數據的本地備份和恢復功能;
●?采用數據脫敏系統與數據防泄漏系統進行剩余信息保護;
●?業務系統設計要使用最小個人信息采集,不采集業務不需要的個人數據,采用數據脫敏系統與數據防泄漏系統禁止未授權訪問和非法使用用戶個人信息。
安全管理中心:
●?通過身份認證系統對系統管理員進行身份鑒別,通過堡壘機對系統管理員操作進行控制和審計;
●?通過身份認證系統對審計管理員進行身份鑒別,通過堡壘機對審計管理員操作進行控制,通過數據庫審計、日志審計等進行審計;
●?通過身份認證系統對安全管理員進行身份鑒別;
●?設置安全管理中心,日志集中采集分析,部署態勢感知進行安全事件識別、告警、分析。
2. 安全管理體系建設
●?參考等級保護要求,明確學校一級網絡安全管理機構和管理崗位職責,將安全責任落到實處。制定并落實網絡安全總體規劃和安全防護策略。
●?指導監督各業務部門貫徹落實網絡安全建設與規章制度。
●?設置網絡安全專業技術人員崗位,加強網絡安全管理工作。
3. 安全運營體系建設
部署網絡安全態勢感知平臺,建立全面的網絡威脅感知能力。結合安恒信息安全托管運營服務MSS,將學校本地的安全運營支撐能力與安恒云端安全運營能力聯動融合,云端安全運營專家幫助學校實現7*24小時威脅檢測分析和應急響應服務,從容應對嚴峻的外部攻擊態勢,主動及時把握學校整體網絡安全態勢,及時化解網絡安全風險。
建設優勢
優勢一:等保系列產品市場排名領先
安恒在安全領域深耕多年,一直以來堅持技術投入、不斷創新,以突出的核心技術能力,豐富的行業實踐,得到了廣大客戶的認可。態勢感知、Web應用防火墻、堡壘機、日志審計等安全產品位居市場第一梯隊,產品得到各行業客戶廣泛認可。
優勢二:公安部指定的等級保護檢查工具箱研發單位
安恒信息作為等保檢查工具箱技術標準起草單位,是公安部指定的五家等級保護檢查工具箱研發單位之一,安恒等級保護檢查工具箱在公安、測評機構等得到廣泛的應用,對等保的理解和實踐有非常深入的理解。
優勢三:專業認可的等保評估能力
安恒信息擁有國內頂級服務資質,一流的安全專家團隊,以及專業的安全服務工具,完整的安全服務框架覆蓋從頂層的安全服務設計到具體的實施環節。
安恒信息具有國家信息安全測評中心安全工程類三級資質、中國網絡安全審查技術與認證中心應急處理一級、中國網絡安全審查技術與認證中心風險評估一級等資質都是最高級別。能夠為用戶提供全面專業的一攬子安全服務解決方案。
應用價值
滿足等級保護合規要求
根據《網絡安全法》、《網絡安全等級保護基本要求》法規標準開展建設,滿足等級保護2.0提出的合規性要求,可有效幫助學校規避合規安全風險。方案對學校信息系統從技術、管理和運營三個維度進行安全建設,可實現業務系統的整體安全,滿足《網絡安全法》、《網絡安全等級保護基本要求》及教育行業相關網絡安全政策,滿足公安、教育廳等行業主管部門的監管要求。
構建網絡安全縱深防御體系,打造高校安全基座
基于等保2.0安全防護要求,按照“一個中心,三重防護”的設計理念,充分利用已有網絡安全設備,針對全網邊界、內部網絡、終端、服務器、對外門戶網站進行安全建設,建立全網安全主動防御、持續監測系統,形成大縱深、立體化、可追溯的網絡安全縱深防御體系,護航高校開展新業務,保障高校業務安全健康運行。
典型案例
項目背景:
某大學共有千余個應用系統和Web服務在網絡上運行,學校的網站防護薄弱、安全邊界不清晰、對運維和數據庫系統缺少審計措施、無法對自身信息系統進行定期安全自查,且沒有通過等級保護測評,需進行安全建設整改,希望結合網絡安全現狀與國家法律法規要求,全面提升學校網絡安全保護及整網安全水平。需要針對不同的層面和維度的安全風險采取對應的防護措施,能夠最大限度地消除業務系統目前存在的安全隱患,提供完善的安全防護,確保內部網絡信息的安全性、完整性、可用性。
建設方案:
? 將網絡出口的防火墻升級為下一代防火墻,提升網絡出口安全防護能力;
? 在核心交換機上旁路部署APT檢測設備,對重要區域的流量進行持續性檢測;
? 重要服務器和老師辦公教學終端上部署終端安全檢測系統,提供病毒查殺能力和終端入侵防御能力;
? 安全運維管理區部署日志審計、運維審計、數據庫審計、AiLPHA態勢感知平臺等,建設學校安全管理中心。AiLPHA態勢感知平臺作為安全管理的核心,用于全網的大數據安全分析與態勢感知,結合云端威脅情報實現識別、分析、研判、預警、處置閉環流程。
方案價值:
? 打造終端閉環安全處置響應能力;
? 構建持續保護的邊界防護,筑起強大的邊界安全堡壘;
? 構建以大數據安全分析和態勢感知平臺為核心的安全運營保障體系,全方位提升整網安全能力;
? 通過設備增加及安全策略調整、安全管理制度制定,安恒提供等級保護預測評服務,幫助學校順利通過等級保護三級測評。