教育行业
高校网络安全行业人才培养、技术创新、产业发展与网络安全技术应用
智慧校园等级保护:构建纵深防御体系,护航智慧校园
近年来,高新技术快速发展,数字化转型成为教育领域高质量发展的重要引擎和创新路径。网络安全作为数字化建设的安全基石,却面临着网络安全人才缺口不断攀升的直接挑战,网络安全人才培养迫在眉睫。
结合多年丰富的网络安全技术积累与人才培养经验,安恒信息数字人才创研院和解决方案部共同推出一系列教育行业解决方案,从网络安全全行业出发,全方位助力高校形成人才培养、技术创新、产业发展与网络安全技术应用的良性生态。
本期第六话
安恒信息&智慧校园等级保护解决方案
随着高校数字化转型进程的加速,校园数字空间的范围逐渐扩大,逐步实现从环境信息(包括教室、实验室等)、资源信息(如图书、讲义、课件等)到应用信息(包括教学、管理、服务、办公等)等全部数字化,实现物理空间和数字空间有机衔接。智慧校园的建设为师生带来了更加便利的工作、学习、生活环境,同时也带来了更大的网络安全挑战:
挑战一:网络安全威胁不断升级
智慧校园的建设大都采用大数据和云计算技术来建设基础设施层,同时不断丰富服务于智慧教学环境和资源、智慧校园管理、智慧校园服务的应用,由此带来了更加严重的安全威胁,校园数据泄露、数据篡改等事件层出不穷。
挑战二:网络安全建设不成体系
网络安全建设滞后于信息化应用建设,重建设、轻运营,缺乏行之有效的全局性网络安全防护体系,缺少网络安全顶层设计和网络安全规划,智慧校园平台各应用系统安全防护水平参差不齐。
挑战三:安全管理人员少,身兼数职
学校通常只有1-2位专职老师来负责网络安全工作,且多数人员身兼多职,网络安全仅是其中一少部分工作内容;安全运营对人员专业技能要求高,面对海量网络安全告警事件有心无力,网络安全管理工作大多处于被动应对状态。
智慧校园等级保护解决方案
安恒信息智慧校园等级保护解决方案以教育行业最佳实践为参考,结合《教育行业信息系统安全等级保护定级工作指南(试行)》、《智慧校园总体框架》(GB/T 36342-2018)等行业指导文件安全要求,为高校打造全方位立体化的网络安全体系。在一个中心,三重防护的原则下,保证基础合规为前提,同时采用安恒安全托管运营服务(MSS),实现对整体业务系统及核心数据的全方位持续防护,最大限度提升高校网络安全整体水平。整体安全建设架构如图所示:
基于GB/T 22239-2019《信息安全技术 网络安全安全等级保护基本要求》,以“一个中心,三重防护”为原则,分别建设安全技术体系、安全管理体系、安全运营体系三大体系,设计智慧校园等级保护解决方案。
整体安全建设拓扑图如下图所示:
1. 安全技术体系建设
安全通信网络:
● 关键设备、链路使用高可用设计,业务处理能力和带宽满足业务高峰期需求;
● 网络进行区域划分,部署防火墙实现学校重要网络区域之间的逻辑隔离和访问控制;
● 部署VPN,实现数据通过VPN加密,保障数据传输的完整性和保密性。
安全区域边界:
● 通过云防护、防火墙等设备保证跨越边界的访问和数据安全通信;部署EDR、准入控制实现非法外联、内联的管控;
● 边界部署防火墙进行访问控制,部署上网行为审计进行应用协议和内容的访问控制;
● 部署WAF、APT、威胁诱捕系统等进行入侵防范;
● 边界防火墙开启防病毒模块,查杀恶意代码;
● 日志审计、运维审计、上网行为审计等对重要的用户行为和安全事件进行审计。
安全计算环境:
● 通过透明传输加密保证数据传输过程中的完整性,通过透明数据库加密保证数据存储过程中的完整性;
● 通过透明传输加密保证数据传输过程中的保密性,通过透明数据库加密保证数据存储过程中的保密性;
● 采用备份一体机,提供重要数据的本地备份和恢复功能;
● 采用数据脱敏系统与数据防泄漏系统进行剩余信息保护;
● 业务系统设计要使用最小个人信息采集,不采集业务不需要的个人数据,采用数据脱敏系统与数据防泄漏系统禁止未授权访问和非法使用用户个人信息。
安全管理中心:
● 通过身份认证系统对系统管理员进行身份鉴别,通过堡垒机对系统管理员操作进行控制和审计;
● 通过身份认证系统对审计管理员进行身份鉴别,通过堡垒机对审计管理员操作进行控制,通过数据库审计、日志审计等进行审计;
● 通过身份认证系统对安全管理员进行身份鉴别;
● 设置安全管理中心,日志集中采集分析,部署态势感知进行安全事件识别、告警、分析。
2. 安全管理体系建设
● 参考等级保护要求,明确学校一级网络安全管理机构和管理岗位职责,将安全责任落到实处。制定并落实网络安全总体规划和安全防护策略。
● 指导监督各业务部门贯彻落实网络安全建设与规章制度。
● 设置网络安全专业技术人员岗位,加强网络安全管理工作。
3. 安全运营体系建设
部署网络安全态势感知平台,建立全面的网络威胁感知能力。结合安恒信息安全托管运营服务MSS,将学校本地的安全运营支撑能力与安恒云端安全运营能力联动融合,云端安全运营专家帮助学校实现7*24小时威胁检测分析和应急响应服务,从容应对严峻的外部攻击态势,主动及时把握学校整体网络安全态势,及时化解网络安全风险。
建设优势
优势一:等保系列产品市场排名领先
安恒在安全领域深耕多年,一直以来坚持技术投入、不断创新,以突出的核心技术能力,丰富的行业实践,得到了广大客户的认可。态势感知、Web应用防火墙、堡垒机、日志审计等安全产品位居市场第一梯队,产品得到各行业客户广泛认可。
优势二:公安部指定的等级保护检查工具箱研发单位
安恒信息作为等保检查工具箱技术标准起草单位,是公安部指定的五家等级保护检查工具箱研发单位之一,安恒等级保护检查工具箱在公安、测评机构等得到广泛的应用,对等保的理解和实践有非常深入的理解。
优势三:专业认可的等保评估能力
安恒信息拥有国内顶级服务资质,一流的安全专家团队,以及专业的安全服务工具,完整的安全服务框架覆盖从顶层的安全服务设计到具体的实施环节。
安恒信息具有国家信息安全测评中心安全工程类三级资质、中国网络安全审查技术与认证中心应急处理一级、中国网络安全审查技术与认证中心风险评估一级等资质都是最高级别。能够为用户提供全面专业的一揽子安全服务解决方案。
应用价值
满足等级保护合规要求
根据《网络安全法》、《网络安全等级保护基本要求》法规标准开展建设,满足等级保护2.0提出的合规性要求,可有效帮助学校规避合规安全风险。方案对学校信息系统从技术、管理和运营三个维度进行安全建设,可实现业务系统的整体安全,满足《网络安全法》、《网络安全等级保护基本要求》及教育行业相关网络安全政策,满足公安、教育厅等行业主管部门的监管要求。
构建网络安全纵深防御体系,打造高校安全基座
基于等保2.0安全防护要求,按照“一个中心,三重防护”的设计理念,充分利用已有网络安全设备,针对全网边界、内部网络、终端、服务器、对外门户网站进行安全建设,建立全网安全主动防御、持续监测系统,形成大纵深、立体化、可追溯的网络安全纵深防御体系,护航高校开展新业务,保障高校业务安全健康运行。
典型案例
项目背景:
某大学共有千余个应用系统和Web服务在网络上运行,学校的网站防护薄弱、安全边界不清晰、对运维和数据库系统缺少审计措施、无法对自身信息系统进行定期安全自查,且没有通过等级保护测评,需进行安全建设整改,希望结合网络安全现状与国家法律法规要求,全面提升学校网络安全保护及整网安全水平。需要针对不同的层面和维度的安全风险采取对应的防护措施,能够最大限度地消除业务系统目前存在的安全隐患,提供完善的安全防护,确保内部网络信息的安全性、完整性、可用性。
建设方案:
➣ 将网络出口的防火墙升级为下一代防火墙,提升网络出口安全防护能力;
➣ 在核心交换机上旁路部署APT检测设备,对重要区域的流量进行持续性检测;
➣ 重要服务器和老师办公教学终端上部署终端安全检测系统,提供病毒查杀能力和终端入侵防御能力;
➣ 安全运维管理区部署日志审计、运维审计、数据库审计、AiLPHA态势感知平台等,建设学校安全管理中心。AiLPHA态势感知平台作为安全管理的核心,用于全网的大数据安全分析与态势感知,结合云端威胁情报实现识别、分析、研判、预警、处置闭环流程。
方案价值:
➣ 打造终端闭环安全处置响应能力;
➣ 构建持续保护的边界防护,筑起强大的边界安全堡垒;
➣ 构建以大数据安全分析和态势感知平台为核心的安全运营保障体系,全方位提升整网安全能力;
➣ 通过设备增加及安全策略调整、安全管理制度制定,安恒提供等级保护预测评服务,帮助学校顺利通过等级保护三级测评。