智慧校园安全解决方案
“智慧校园”是教育信息化进入高级阶段的表现形式,比“数字校园”更先进。集体知识共融共生、业务应用融合创新、移动互联网物联网高速泛在是其重要特征。特别是在互联网+教育的大环境下,为了更好的发挥智慧化教学服务和智慧化教学管理功能,需要加强智慧校园的网络安全建设。
校园网络一旦出现了安全隐患,则会造成网络中大量资料被泄露、伪造和破坏,造成信息传递的中断,给学校、家庭,甚至社会带来极大的损失。一方面关系到学校的综合利益和学校的安全建设合规程度,另一方面关系到社会、家庭、师生的利益;再次,随着安全法的颁布实施,网络安全不再是教学教务的业务补充而成了教育教务业务应用自身,智慧校园的网络安全建设也从满足自身需要到满足合规要求上升到合法运营的法律层面。
面临的挑战及安全需求
智慧校园面临的网络安全挑战和需求主要包括互联网出口安全、数据中心安全以及数据安全。
校园网互联网出口安全需要解决出口边界访问控制、入侵检测与防御、单链路故障、提升多链路带宽利用率、师生上网行为管理。
数据中心的安全包括数据中心区与互联网区之间的网络边界安全问题、Web应用层安全问题、应用负载和加速问题、弱口令和漏洞管理问题、云中虚拟化资源池的安全问题、数据安全问题以及校园网安全运维问题。
数据安全问题具体包括数据防泄漏管理、数据脱敏管理、数据库安全审计以及业务用户通过浏览器经由应用服务到数据库访问的合法业务操作的全流程审计。
安全解决方案
※ 互联网出口安全
在校园网互联网出口部署出口链路负载均衡设备,根据访问目标自动最优选路,根据链路负载、丢包情况等动态选择链路出口可保障出口链路稳定性,提升城域网出口带宽利用率。
在校园网互联网出口位置部署防火墙、VPN和入侵防御设备,可对教育城域网进行网络访问控制、网络蠕虫、间谍软件、溢出攻击等多种深层攻击行为进行入侵检测及过滤等一体化安全防护。
在校园网互联网出口部署上网行为管理设备,全面了解上网情况和网络使用情况,包括即时通讯等过滤不良信息,可实现对城域网内师生上网行为的管理与审计、应用流量控制与保障,减少互联网风险,满足82号令的合规性需求。
※ 数据中心区安全
在数据中心区与互联网出口区边界部署防火墙和Web应用防火墙设备,可对教育云平台进行网络访问控制、网络蠕虫等多种攻击行为进行安全防护。同时,防御以Web应用程序漏洞为目标的攻击,并针对Web服务器进行HTTP/HTTPS流量清洗,提高Web应用的可用性、性能和安全性,确保Web业务应用安全、可靠地提供服务。
在数据中心区的Web应用服务前端部署服务器应用负载,支持应用引流,分担应用服务器负载。可以根据应用类型P2P、即时通讯、流媒体、视频协议等应用引流至高质量链路,支持应用服务器负载分担,针对应用层信息分配流量,提升用户的访问体验。
校园网数据中心区采用云和虚拟化技术实现业务应用的池化,可以很好的满足业务应用按需扩展、快速服务的需要。在云和虚拟化环境下,安全保障也是一种业务应用,需要按需扩展快速服务。启明星辰将网络保障与业务资源池解耦,构建相对独立的安全资源池,在安全资源池上有选择性的按需开启虚拟IDS、虚拟审计、虚拟流量监测、虚拟Waf等安全机制,实现虚机之间、VLAN之间的安全监测功能,保障数据中心区的安全。
在校园网连接互联网出口区和数据中心区的核心交换机上划分出一个Vlan设置一个相对独立的安全运维区,实现全网统一安全运维管理,部署漏洞扫描和管理平台,实现漏洞发现、验证、修复、更新的全生命周期管理;部署域间安全策略监控设备,实现不同安全域内系统访问关系梳理、防火墙策略管理与优化、非法外联行为监测;部署安全运维堡垒机,结合身份认证系统实现运维人员基于双因素的唯一身份标识、集中访问控制、集中审计(加密和非密协议的审计),有效解决一人多账号、一账号多人使用等乱象。
※ 数据安全
从数据防泄密DLP、数据库脱敏、数据库审计和基于WEB的业务全流程审计几个方面来保障数据安全。
部署网络DLP、终端DLP设备,在数据存储、传输和使用过程中,发现并识别敏感数据隐患,确保敏感数据的合规使用,防止敏感数据泄漏的数据安全保护系统,保障数据安全、可控、可用。
部署数据库脱敏设备,采用数据抽取、数据漂白、动态掩码等规则进行数据变形和敏感信息处理,保证脱敏前后数据关联关系和前后的运算关系不变,满足隐私数据保护合规要求。
部署数据库审计设备,实时监视与审计数据库管理员的操作,对数据库的操作行为进行命令级别的细粒度审计,事故追根溯源,提高数据资产安全,系统管理员操作行为的安全审计。
部署基于Web的业务应用全流程审计设备,对合法的业务操作人员操作Web应用进行业务办理或查询操作的全过程实施记录,实现对业务用户的Web应用业务操作全流程访问行为审计与监管,业务办理和操作层面的安全审计,确保全流程操作行为留痕和数据安全。
如下图所示:
方案主要价值
方案价值主要体现在如下几方面:
1)保护互联网出口的安全稳定,保障校园网的安全。
2)对互联网出口进行流量和上网权限管理,保障核心业务的稳定性,提高工作效率。集中管控师生的上网行为,满足国家公安部82号令上网日志留存的合规性要求
3)提供了从网络层到应用层的一体化防护能力,有效保障L3-L7的安全。
4)以可编排可弹性扩展的独立安全资源池的方式全面保障校园网数据中心业务应用资源池的安全。
5)实现了教育云平台的全网入侵检测、统一安全运维审计、基于Web的全业务流程审计、口令和漏洞的全生命周期管理。
6)提升了数据中心安全防护级别,满足教育信息安全等级保护安全建设要求。
7)从数据存储、传输、共享审计等多个维度保障数据的安全。