教育行業(yè)

高校網(wǎng)絡安全行業(yè)人才培養(yǎng)、技術創(chuàng)新、產(chǎn)業(yè)發(fā)展與網(wǎng)絡安全技術應用

智慧校園等級保護：構建縱深防御體系，護航智慧校園

閱讀量：

近年來，高新技術快速發(fā)展，數(shù)字化轉(zhuǎn)型成為教育領域高質(zhì)量發(fā)展的重要引擎和創(chuàng)新路徑。網(wǎng)絡安全作為數(shù)字化建設的安全基石，卻面臨著網(wǎng)絡安全人才缺口不斷攀升的直接挑戰(zhàn)，網(wǎng)絡安全人才培養(yǎng)迫在眉睫。

結合多年豐富的網(wǎng)絡安全技術積累與人才培養(yǎng)經(jīng)驗，安恒信息數(shù)字人才創(chuàng)研院和解決方案部共同推出一系列教育行業(yè)解決方案，從網(wǎng)絡安全全行業(yè)出發(fā)，全方位助力高校形成人才培養(yǎng)、技術創(chuàng)新、產(chǎn)業(yè)發(fā)展與網(wǎng)絡安全技術應用的良性生態(tài)。

本期第六話

安恒信息&智慧校園等級保護解決方案

隨著高校數(shù)字化轉(zhuǎn)型進程的加速，校園數(shù)字空間的范圍逐漸擴大，逐步實現(xiàn)從環(huán)境信息（包括教室、實驗室等）、資源信息（如圖書、講義、課件等）到應用信息（包括教學、管理、服務、辦公等）等全部數(shù)字化，實現(xiàn)物理空間和數(shù)字空間有機銜接。智慧校園的建設為師生帶來了更加便利的工作、學習、生活環(huán)境，同時也帶來了更大的網(wǎng)絡安全挑戰(zhàn)：

挑戰(zhàn)一：網(wǎng)絡安全威脅不斷升級

智慧校園的建設大都采用大數(shù)據(jù)和云計算技術來建設基礎設施層，同時不斷豐富服務于智慧教學環(huán)境和資源、智慧校園管理、智慧校園服務的應用，由此帶來了更加嚴重的安全威脅，校園數(shù)據(jù)泄露、數(shù)據(jù)篡改等事件層出不窮。

挑戰(zhàn)二：網(wǎng)絡安全建設不成體系

網(wǎng)絡安全建設滯后于信息化應用建設，重建設、輕運營，缺乏行之有效的全局性網(wǎng)絡安全防護體系，缺少網(wǎng)絡安全頂層設計和網(wǎng)絡安全規(guī)劃，智慧校園平臺各應用系統(tǒng)安全防護水平參差不齊。

挑戰(zhàn)三：安全管理人員少，身兼數(shù)職

學校通常只有1-2位專職老師來負責網(wǎng)絡安全工作，且多數(shù)人員身兼多職，網(wǎng)絡安全僅是其中一少部分工作內(nèi)容；安全運營對人員專業(yè)技能要求高，面對海量網(wǎng)絡安全告警事件有心無力，網(wǎng)絡安全管理工作大多處于被動應對狀態(tài)。

智慧校園等級保護解決方案

安恒信息智慧校園等級保護解決方案以教育行業(yè)最佳實踐為參考，結合《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南（試行）》、《智慧校園總體框架》（GB/T 36342-2018）等行業(yè)指導文件安全要求，為高校打造全方位立體化的網(wǎng)絡安全體系。在一個中心，三重防護的原則下，保證基礎合規(guī)為前提，同時采用安恒安全托管運營服務（MSS），實現(xiàn)對整體業(yè)務系統(tǒng)及核心數(shù)據(jù)的全方位持續(xù)防護，最大限度提升高校網(wǎng)絡安全整體水平。整體安全建設架構如圖所示：

基于GB/T 22239-2019《信息安全技術網(wǎng)絡安全安全等級保護基本要求》，以“一個中心，三重防護”為原則，分別建設安全技術體系、安全管理體系、安全運營體系三大體系，設計智慧校園等級保護解決方案。

整體安全建設拓撲圖如下圖所示：

1.?安全技術體系建設

安全通信網(wǎng)絡：

● 關鍵設備、鏈路使用高可用設計，業(yè)務處理能力和帶寬滿足業(yè)務高峰期需求；

● 網(wǎng)絡進行區(qū)域劃分，部署防火墻實現(xiàn)學校重要網(wǎng)絡區(qū)域之間的邏輯隔離和訪問控制；

● 部署VPN，實現(xiàn)數(shù)據(jù)通過VPN加密，保障數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄浴?

安全區(qū)域邊界：

●?通過云防護、防火墻等設備保證跨越邊界的訪問和數(shù)據(jù)安全通信；部署EDR、準入控制實現(xiàn)非法外聯(lián)、內(nèi)聯(lián)的管控；

●?邊界部署防火墻進行訪問控制，部署上網(wǎng)行為審計進行應用協(xié)議和內(nèi)容的訪問控制；

●?部署WAF、APT、威脅誘捕系統(tǒng)等進行入侵防范；

●?邊界防火墻開啟防病毒模塊，查殺惡意代碼；

●?日志審計、運維審計、上網(wǎng)行為審計等對重要的用戶行為和安全事件進行審計。

安全計算環(huán)境：

●?通過透明傳輸加密保證數(shù)據(jù)傳輸過程中的完整性，通過透明數(shù)據(jù)庫加密保證數(shù)據(jù)存儲過程中的完整性；

●?通過透明傳輸加密保證數(shù)據(jù)傳輸過程中的保密性，通過透明數(shù)據(jù)庫加密保證數(shù)據(jù)存儲過程中的保密性；

●?采用備份一體機，提供重要數(shù)據(jù)的本地備份和恢復功能；

●?采用數(shù)據(jù)脫敏系統(tǒng)與數(shù)據(jù)防泄漏系統(tǒng)進行剩余信息保護；

●?業(yè)務系統(tǒng)設計要使用最小個人信息采集，不采集業(yè)務不需要的個人數(shù)據(jù)，采用數(shù)據(jù)脫敏系統(tǒng)與數(shù)據(jù)防泄漏系統(tǒng)禁止未授權訪問和非法使用用戶個人信息。

安全管理中心：

●?通過身份認證系統(tǒng)對系統(tǒng)管理員進行身份鑒別，通過堡壘機對系統(tǒng)管理員操作進行控制和審計；

●?通過身份認證系統(tǒng)對審計管理員進行身份鑒別，通過堡壘機對審計管理員操作進行控制，通過數(shù)據(jù)庫審計、日志審計等進行審計；

●?通過身份認證系統(tǒng)對安全管理員進行身份鑒別；

●?設置安全管理中心，日志集中采集分析，部署態(tài)勢感知進行安全事件識別、告警、分析。

2. 安全管理體系建設

●?參考等級保護要求，明確學校一級網(wǎng)絡安全管理機構和管理崗位職責，將安全責任落到實處。制定并落實網(wǎng)絡安全總體規(guī)劃和安全防護策略。

●?指導監(jiān)督各業(yè)務部門貫徹落實網(wǎng)絡安全建設與規(guī)章制度。

●?設置網(wǎng)絡安全專業(yè)技術人員崗位，加強網(wǎng)絡安全管理工作。

3. 安全運營體系建設

部署網(wǎng)絡安全態(tài)勢感知平臺，建立全面的網(wǎng)絡威脅感知能力。結合安恒信息安全托管運營服務MSS，將學校本地的安全運營支撐能力與安恒云端安全運營能力聯(lián)動融合，云端安全運營專家?guī)椭鷮W校實現(xiàn)7*24小時威脅檢測分析和應急響應服務，從容應對嚴峻的外部攻擊態(tài)勢，主動及時把握學校整體網(wǎng)絡安全態(tài)勢，及時化解網(wǎng)絡安全風險。

建設優(yōu)勢

優(yōu)勢一：等保系列產(chǎn)品市場排名領先

安恒在安全領域深耕多年，一直以來堅持技術投入、不斷創(chuàng)新，以突出的核心技術能力，豐富的行業(yè)實踐，得到了廣大客戶的認可。態(tài)勢感知、Web應用防火墻、堡壘機、日志審計等安全產(chǎn)品位居市場第一梯隊，產(chǎn)品得到各行業(yè)客戶廣泛認可。

優(yōu)勢二：公安部指定的等級保護檢查工具箱研發(fā)單位

安恒信息作為等保檢查工具箱技術標準起草單位，是公安部指定的五家等級保護檢查工具箱研發(fā)單位之一，安恒等級保護檢查工具箱在公安、測評機構等得到廣泛的應用，對等保的理解和實踐有非常深入的理解。

優(yōu)勢三：專業(yè)認可的等保評估能力

安恒信息擁有國內(nèi)頂級服務資質(zhì)，一流的安全專家團隊，以及專業(yè)的安全服務工具，完整的安全服務框架覆蓋從頂層的安全服務設計到具體的實施環(huán)節(jié)。

安恒信息具有國家信息安全測評中心安全工程類三級資質(zhì)、中國網(wǎng)絡安全審查技術與認證中心應急處理一級、中國網(wǎng)絡安全審查技術與認證中心風險評估一級等資質(zhì)都是最高級別。能夠為用戶提供全面專業(yè)的一攬子安全服務解決方案。

應用價值

滿足等級保護合規(guī)要求

根據(jù)《網(wǎng)絡安全法》、《網(wǎng)絡安全等級保護基本要求》法規(guī)標準開展建設，滿足等級保護2.0提出的合規(guī)性要求，可有效幫助學校規(guī)避合規(guī)安全風險。方案對學校信息系統(tǒng)從技術、管理和運營三個維度進行安全建設，可實現(xiàn)業(yè)務系統(tǒng)的整體安全，滿足《網(wǎng)絡安全法》、《網(wǎng)絡安全等級保護基本要求》及教育行業(yè)相關網(wǎng)絡安全政策，滿足公安、教育廳等行業(yè)主管部門的監(jiān)管要求。

構建網(wǎng)絡安全縱深防御體系，打造高校安全基座

基于等保2.0安全防護要求，按照“一個中心，三重防護”的設計理念，充分利用已有網(wǎng)絡安全設備，針對全網(wǎng)邊界、內(nèi)部網(wǎng)絡、終端、服務器、對外門戶網(wǎng)站進行安全建設，建立全網(wǎng)安全主動防御、持續(xù)監(jiān)測系統(tǒng)，形成大縱深、立體化、可追溯的網(wǎng)絡安全縱深防御體系，護航高校開展新業(yè)務，保障高校業(yè)務安全健康運行。

典型案例

項目背景：

某大學共有千余個應用系統(tǒng)和Web服務在網(wǎng)絡上運行，學校的網(wǎng)站防護薄弱、安全邊界不清晰、對運維和數(shù)據(jù)庫系統(tǒng)缺少審計措施、無法對自身信息系統(tǒng)進行定期安全自查，且沒有通過等級保護測評，需進行安全建設整改，希望結合網(wǎng)絡安全現(xiàn)狀與國家法律法規(guī)要求，全面提升學校網(wǎng)絡安全保護及整網(wǎng)安全水平。需要針對不同的層面和維度的安全風險采取對應的防護措施，能夠最大限度地消除業(yè)務系統(tǒng)目前存在的安全隱患，提供完善的安全防護，確保內(nèi)部網(wǎng)絡信息的安全性、完整性、可用性。

建設方案：

? 將網(wǎng)絡出口的防火墻升級為下一代防火墻，提升網(wǎng)絡出口安全防護能力；

? 在核心交換機上旁路部署APT檢測設備，對重要區(qū)域的流量進行持續(xù)性檢測；

? 重要服務器和老師辦公教學終端上部署終端安全檢測系統(tǒng)，提供病毒查殺能力和終端入侵防御能力；

? 安全運維管理區(qū)部署日志審計、運維審計、數(shù)據(jù)庫審計、AiLPHA態(tài)勢感知平臺等，建設學校安全管理中心。AiLPHA態(tài)勢感知平臺作為安全管理的核心，用于全網(wǎng)的大數(shù)據(jù)安全分析與態(tài)勢感知，結合云端威脅情報實現(xiàn)識別、分析、研判、預警、處置閉環(huán)流程。

方案價值：

? 打造終端閉環(huán)安全處置響應能力；

? 構建持續(xù)保護的邊界防護，筑起強大的邊界安全堡壘；

? 構建以大數(shù)據(jù)安全分析和態(tài)勢感知平臺為核心的安全運營保障體系，全方位提升整網(wǎng)安全能力；

? 通過設備增加及安全策略調(diào)整、安全管理制度制定，安恒提供等級保護預測評服務，幫助學校順利通過等級保護三級測評。

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎設施>

態(tài)勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網(wǎng)絡空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>