校网络安全等级保护2.0解决方案

背景介绍

教育行业是我国最大的民生行业之一,是网络安全法定义的关键信息基础设施行业。国家教育主管部门对网络安全工作非常重视,其发布的《教育信息化2.0行动计划》、《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)等文件中都明确贯彻落实《网络安全法》,以加强教育行业网络安全建设,提升网络安全防护能力。我国中高职院校在校学生数量大,是教育行业网络安全建设的重要组成部分。随着中高职院校业务应用和网络系统的日益复杂,外部攻击、内部资源滥用、木马、病毒等不安全因素越来越显著,中高职院校网络安全等级保护建设已成为其网络业务发展的核心和重点。

方案概述

本方案设计主要依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)(以下简称《基本要求》)和《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)、《教育行业信息系统安全等级保护定级工作指南(试行)》等相关标准政策,根据中高职院校网络的实际情况和业务特点,本着“适度安全,保护重点”的原则,按照“一个中心,三重保护” 的思想,将中高职院校信息网络进行合理的安全域划分;并根据各个安全区域的特点分别有针对性地设计保护措施和安全策略,最大限度提升网络安全防御能力,同时也符合“整体防护、突出重点”的建设要求。

 

安全技术措施设计

1、通用安全设计

中高职院校网络安全技术体系的设计内容主要涵盖安全管理中心、安全通信网络、安全区域边界、安全计算环境:

安全通信网络设计

l关键网络节点、设备及链路需设计冗余,保证高可用性;

l部署防火墙提供可靠的安全域隔离;

l采用符合国密要求的VPN系统保证远程通信过程中数据的保密性及完整性。

安全区域边界设计

l部署网络准入控制系统,对非授权设备私自接入内部网络的行为进行控制;

l部署主机监控与审计系统,对内部用户非法外联行为进行控制;

l部署防火墙及网络DLP实现基于应用协议和应用内容的访问控制;

l部署抗DDoS与IPS功能(集成于擎天防火墙)、WAF、IDS、APT安全监测等,对网络攻击特别是新型网络攻击行为进行检测、分析、告警和防范;

l部署防病毒网关(集成于擎天防火墙)、僵木蠕系统,在关键网络节点处对恶意代码进行检测和防范;

l部署网络审计系统,对用户的网络访问行为进行审计和数据分析。

 

安全计算环境设计

l部署堡垒主机对管理用户进行权限管理;

l部署数据库审计系统,对重要的用户行为和重要安全事件进行集中审计;

l部署漏洞管理、基线管理、EDR等系统保障终端及服务器的安全;

l采用密码技术,保障重要数据的完整性、保密性;

l部署容灾备份系统,保障重要数据的可用性;

l对重要网站系统提供网页防篡改、网站安全监控等保护机制。

 

安全管理中心设计

l通过堡垒主机实现集中的身份鉴别、访问授权和操作审计;

l部署网络管理系统,对网络和信息基础设施的运行状况进行集中监控;

l部署日志审计系统,对分散在网络中的审计数据进行收集汇总和集中分析;

l部署态势感知和安全运营平台,支撑安全监测、分析、预警、响应、处置、追溯等安全管理和运维工作。

2、云计算安全设计

l部署虚拟化的安全设备或安全资源池,实现对云租户南北向流量的检测与防护;

l部署虚拟化分布式安全防护系统,实现对云主机东西向流量的检测与防护;

l部署EDR,实现云主机本地的威胁检测与防护;

l部署云安全管理中心完成统一的策略管理、安全监控、策略迁移和自动化部署。

 

3、移动互联安全设计

无线接入安全设计

l通过在受控边界处部署防火墙与有线网络实现安全隔离;

l部署无线管理平台,提供无线信号覆盖的热力图,基于热力图进行无线AP的位置、数量、信道的选择;

l通过无线管理平台对接入无线网络的移动终端设备进行身份认证,身份认证支持采用符合国密要求的密码算法;

l部署移动终端管理系统,对非授权无线接入设备和非授权移动终端的接入行为进行定位和阻断。

 

移动终端安全设计

部署EMM,实现对注册登记的移动设备的远程控制和全生命周期管控,在移动设备丢失或被盗后,通过网络定位搜寻设备位置、远程锁定设备、远程擦除设备上的数据,防止数据泄露。

移动应用安全设计

采用EMM对教育APP进行上线前全面安全检测、安全加固、提供黑白名单功能,控制应用软件的安装、运行。

 

学校收益

依托天融信自身完善的网络安全产品与服务体系,协助中高职院校顺利完成等级保护各个阶段的工作。具体带来如下收益:

l全面构建中高职院校网络安全保障体系,符合等级保护制度相关要求及教育行业信息化安全标准,可有效降低安全风险、合理规避法律责任;

l天融信对等级保护制度和标准的深入理解以及多年等保成功实践经验将有助于切实加强中高职院校网络整体应对网络威胁风险的能力,提高网络攻击发现速度,完善威胁处置措施;

l助力中高职院校构建安全、稳定的网络环境,保障办公及教学系统的持续稳定运行,提升中高职院校的行业竞争力。

 

————

西安杰灿电子科技有限公司

服务热线:029-85793818