400-001-9776
“以教育信息化帶動教育現代化,把教育信息化納入國家信息化發展整體戰略”。目前,教育信息化總體上處于初步應用整合階段,正在向融合創新階段推進,實現了教育信息化發展理念由以基礎建設為主向以應用驅動為主的重大突破。這一重大突破的重要表現就是數字化校園向智慧校園的升級轉型,數字校園以建設校園網絡為基礎,利用先進的計算機、網絡、通訊技術,實現學校對教學、科研、教務管理有關的所有信息資源進行全面的數字化,而智慧校園是依托云計算、虛擬化、物聯網、網絡安全等技術實現學校、老師、學生、家長安全的、多維度的連接,將教學、科研、教務管理等資源與應用系統整合,實現智慧化服務和智慧化管理的校園模式。
在教育信息化的整體發展歷程中,特別是在數字校園向智慧校園升級時,網絡安全的重要性和緊迫性尤為突出,網絡安全與信息化是一體之雙翼、驅動之雙輪,必須統一謀劃、統一部署、統一實施和統一推進。
廣聚安全為教育管理部門提供覆蓋全國的網絡安全管理平臺解決方案、三通兩平臺安全解決方案、網絡安全攻防實訓仿真演練人才培養方案以及智慧校園互聯網出口和虛擬化數據中心的安全方案,助力智慧校園建設。
三通兩平臺安全解決方案
2012年9月教育部全國教育信息化試點工作座談會召開,劉延東副總理指出十二五期間教育信息化建設的核心目標與標志工程為“三通兩平臺”建設。“三通兩平臺”是《教育信息化十年發展規劃(2011-2020年)》的標志性工程。兩個支撐平臺分別是教育管理公共服務平臺和教育資源公共服務平臺,三個基礎建設工程分別是寬帶網絡校校通(校校通)、優質資源班班通(班班通)和網絡學習空間人人通(人人通),三通兩平臺內容如下圖所示:
2012年3月教育部印發《教育信息化十年發展規劃(2011-2020年)》,其中第四部分中提及要“建立全方位的安全保障體系確保教育管理教學和服務等信息系統安全”。在網絡、系統、應用和資源、管理平臺建設的同時,構建“三通兩平臺”網絡安全保障體系,確保其安全性與穩定性、實現信息化教學的高效性成為當務之急。
面臨的挑戰及安全需求
三通兩平臺面臨的安全挑戰和安全需求主要是城域網出口安全和教育云平臺安全。
城域網出口安全需要解決城域網之間邊界訪問控制、網間入侵檢測與防御、單鏈路故障、提升多鏈路帶寬利用率。
教育云平臺安全需要解決校校網絡互通,班班教學資源共享,學校、家庭和個人自主學習空間人人通所需要的資源和業務應用的安全性、穩定性。具體來講需要解決資源和服務兩大平臺之間的網絡邊界安全問題、Web應用層安全問題、應用負載和加速問題、弱口令和漏洞管理問題、云中虛擬化資源池的安全問題以及兩平臺的安全運維問題。
安全解決方案
※ 城域網出口安全
在教育城域網出口部署出口鏈路負載均衡設備,根據訪問目標自動最優選路,根據鏈路負載、丟包情況等動態選擇鏈路出口可保障出口鏈路穩定性,提升城域網出口帶寬利用率。
在教育城域網出口位置部署防火墻、VPN和入侵防御設備,可對教育城域網進行網絡訪問控制、網絡蠕蟲、間諜軟件、溢出攻擊等多種深層攻擊行為進行入侵檢測及過濾等一體化安全防護。
在教育城域網出口部署上網行為管理設備,全面了解上網情況和網絡使用情況,包括即時通訊等過濾不良信息,可實現對城域網內師生上網行為的管理與審計、應用流量控制與保障,減少互聯網風險,滿足82號令的合規性需求。
在教育城域網設置一個相對獨立的安全運維區,實現全網統一安全運維管理,部署漏洞掃描和管理平臺,實現漏洞發現、驗證、修復、更新全生命周期管理;部署安全運維堡壘機,結合身份認證系統實現運維人員基于雙因素的唯一身份標識、集中訪問控制、集中審計(加密和非密協議的審計),有效解決一人多賬號、一賬號多人使用等亂象。
如下圖所示:
※ 教育云平臺安全
在教育云平臺邊界部署防火墻、VPN和Web應用防火墻設備,可對教育云平臺進行網絡訪問控制、網絡蠕蟲等多種攻擊行為進行安全防護。同時,防御以Web應用程序漏洞為目標的攻擊,并針對Web服務器進行HTTP/HTTPS流量清洗,提高Web應用的可用性、性能和安全性,確保Web業務應用安全、可靠地提供服務。
在教育云平臺的Web應用服務前端部署服務器應用負載,支持應用引流,分擔應用服務器負載。可以根據應用類型P2P、即時通訊、流媒體、視頻協議等應用引流至高質量鏈路,支持應用服務器負載分擔,針對應用層信息分配流量,提升用戶的訪問體驗。
在教育云平臺從網絡層面設置一個相對獨立的安全運維區,實現全網統一安全運維管理,部署漏洞掃描和管理平臺,實現漏洞發現、驗證、修復、更新全生命周期管理;部署安全運維堡壘機,結合身份認證系統實現運維人員基于雙因素的唯一身份標識、集中訪問控制、集中審計(加密和非密協議審計),有效解決一人多賬號、一賬號多人使用等亂象。
教育云平臺的資源和服務平臺采用云和虛擬化技術實現業務應用的池化,可以很好的滿足業務應用按需擴展、快速服務的需要。在云和虛擬化環境下,安全保障也是一種業務應用,需要按需擴展快速服務。廣聚安全將網絡保障與業務資源池解耦,構建相對獨立的安全資源池,在安全資源池上有選擇性的按需開啟虛擬IDS、虛擬審計、虛擬流量監測、虛擬Waf等安全機制,實現虛機之間、VLAN之間的安全監測功能,保障教育云平臺的安全。
如下圖所示:
方案主要價值
方案價值主要體現在如下幾方面:
1)保障鏈路穩定性,避免單點故障與性能瓶頸,同時保障服務器應用負載分擔與優化,提升帶寬利用率的同時也提升了用戶享用三通兩平臺服務的訪問體驗。
2)提供了從網絡層到應用層的一體化防護能力,有效保障L3-L7的安全。
3)集中管控師生的上網行為,滿足國家公安部82號令上網日志留存的合規性要求。
4)全面保障教育資源平臺與教育管理平臺資源池的安全。
5)實現了教育云平臺的全網入侵檢測、統一安全運維審計、口令和漏洞的全生命周期管理。
網絡安全攻防實訓與仿真演練平臺解決方案
隨著教育信息化的快速發展,網絡安全問題更加突出,對網絡安全人才建設不斷提出新的要求。網絡空間的競爭,歸根結底是人才競爭。從總體上看,我國網絡安全人才還存在數量缺口較大、能力素質不高、結構不盡合理等問題,與維護國家網絡安全、建設網絡強國的要求不相適應。
面臨的挑戰及安全需求
網絡安全人才培養面臨的主要挑戰和需求是缺少培養高素質的網絡攻防高級專門人才的實戰平臺。需要通過提供完善的課程體系和實踐項目,使學生具備扎實的數理基礎和電子通信技術、計算機技術,掌握網絡攻防對抗的基本理論、基本知識、基本技能及綜合應用方法,具有較強的信息系統安全分析與設計、安全防護、安全策略制訂、操作管理、綜合集成、工程設計和技術開發能力,了解網絡空間安全發展動態,受到嚴格的科學思維訓練和全面的素質教育的網絡攻防高級專門人才。
安全解決方案
網絡安全人才培養的實訓與仿真攻擊防御演練平臺,開展各項專項攻防系統/情報收集與分析挖掘/監控評測挖掘/人員培訓教學系統的支撐平臺,用于網絡攻防人才培養、網絡安全技能培訓和網絡安全技能大賽。
攻防演練系統平臺由系統平臺底層、管理層和用戶層組成,如下圖所示:
圖攻防實驗室軟件平臺層次結構
攻防演練系統底層采用OpenStack開源云計算平臺,可以為各種云提供高冗余、可擴展、開放靈活的基礎架構。在此平臺上可以實現各種虛擬化資源的存儲、查詢和檢索等功能,并能提供統一的用戶身份認證以及一致的Web展示界面。
中間管理層主要完成各種功能模塊,包括用戶的管理、身份的認證管理、權限的分配、任務的管控、平臺中各種設備和資源(情報、工具、課件等)的分配。
用戶層主要是負責給攻防演練系統平臺的普通用戶和管理員用戶提供統一的前臺和后臺訪問頁面,以完成各自的實驗任務和管理任務。
監控展示則全程負責攻防演練系統中的各種行為監控,包括系統設備的運行情況、用戶的行為舉止、資源的訪問信息、靶場的安全態勢等。
方案主要價值
方案價值主要體現在如下幾個方面:
1)網絡安全攻防實訓與仿真演練平臺作為網絡空間安全學科建設和人才培養的重要組成部分,成為網絡安全學院學科專業建設的支撐和網絡安全人才培養的實踐訓練搖籃
2)以攻助防、攻防結合,為學校培養網絡安全教師隊伍和學生隊伍
3)融入滲透思維,全程植入安全概念,從攻擊角度探討網絡安全,掌握網絡攻防技能,提升網絡安全防護水平
4)平臺內置的網絡安全課程實驗可以很好的幫助師生順利完成日常教學
智慧校園安全解決方案
“智慧校園”是教育信息化進入高級階段的表現形式,比“數字校園”更先進。集體知識共融共生、業務應用融合創新、移動互聯網物聯網高速泛在是其重要特征。特別是在互聯網+教育的大環境下,為了更好的發揮智慧化教學服務和智慧化教學管理功能,需要加強智慧校園的網絡安全建設。
校園網絡一旦出現了安全隱患,則會造成網絡中大量資料被泄露、偽造和破壞,造成信息傳遞的中斷,給學校、家庭,甚至社會帶來極大的損失。一方面關系到學校的綜合利益和學校的安全建設合規程度,另一方面關系到社會、家庭、師生的利益;再次,隨著安全法的頒布實施,網絡安全不再是教學教務的業務補充而成了教育教務業務應用自身,智慧校園的網絡安全建設也從滿足自身需要到滿足合規要求上升到合法運營的法律層面。
面臨的挑戰及安全需求
智慧校園面臨的網絡安全挑戰和需求主要包括互聯網出口安全、數據中心安全以及數據安全。
校園網互聯網出口安全需要解決出口邊界訪問控制、入侵檢測與防御、單鏈路故障、提升多鏈路帶寬利用率、師生上網行為管理。
數據中心的安全包括數據中心區與互聯網區之間的網絡邊界安全問題、Web應用層安全問題、應用負載和加速問題、弱口令和漏洞管理問題、云中虛擬化資源池的安全問題、數據安全問題以及校園網安全運維問題。
數據安全問題具體包括數據防泄漏管理、數據脫敏管理、數據庫安全審計以及業務用戶通過瀏覽器經由應用服務到數據庫訪問的合法業務操作的全流程審計。
安全解決方案
※ 互聯網出口安全
在校園網互聯網出口部署出口鏈路負載均衡設備,根據訪問目標自動最優選路,根據鏈路負載、丟包情況等動態選擇鏈路出口可保障出口鏈路穩定性,提升城域網出口帶寬利用率。
在校園網互聯網出口位置部署防火墻、VPN和入侵防御設備,可對教育城域網進行網絡訪問控制、網絡蠕蟲、間諜軟件、溢出攻擊等多種深層攻擊行為進行入侵檢測及過濾等一體化安全防護。
在校園網互聯網出口部署上網行為管理設備,全面了解上網情況和網絡使用情況,包括即時通訊等過濾不良信息,可實現對城域網內師生上網行為的管理與審計、應用流量控制與保障,減少互聯網風險,滿足82號令的合規性需求。
※ 數據中心區安全
在數據中心區與互聯網出口區邊界部署防火墻和Web應用防火墻設備,可對教育云平臺進行網絡訪問控制、網絡蠕蟲等多種攻擊行為進行安全防護。同時,防御以Web應用程序漏洞為目標的攻擊,并針對Web服務器進行HTTP/HTTPS流量清洗,提高Web應用的可用性、性能和安全性,確保Web業務應用安全、可靠地提供服務。
在數據中心區的Web應用服務前端部署服務器應用負載,支持應用引流,分擔應用服務器負載。可以根據應用類型P2P、即時通訊、流媒體、視頻協議等應用引流至高質量鏈路,支持應用服務器負載分擔,針對應用層信息分配流量,提升用戶的訪問體驗。
校園網數據中心區采用云和虛擬化技術實現業務應用的池化,可以很好的滿足業務應用按需擴展、快速服務的需要。在云和虛擬化環境下,安全保障也是一種業務應用,需要按需擴展快速服務。廣聚安全將網絡保障與業務資源池解耦,構建相對獨立的安全資源池,在安全資源池上有選擇性的按需開啟虛擬IDS、虛擬審計、虛擬流量監測、虛擬Waf等安全機制,實現虛機之間、VLAN之間的安全監測功能,保障數據中心區的安全。
在校園網連接互聯網出口區和數據中心區的核心交換機上劃分出一個Vlan設置一個相對獨立的安全運維區,實現全網統一安全運維管理,部署漏洞掃描和管理平臺,實現漏洞發現、驗證、修復、更新的全生命周期管理;部署域間安全策略監控設備,實現不同安全域內系統訪問關系梳理、防火墻策略管理與優化、非法外聯行為監測;部署安全運維堡壘機,結合身份認證系統實現運維人員基于雙因素的唯一身份標識、集中訪問控制、集中審計(加密和非密協議的審計),有效解決一人多賬號、一賬號多人使用等亂象。
※ 數據安全
從數據防泄密DLP、數據庫脫敏、數據庫審計和基于WEB的業務全流程審計幾個方面來保障數據安全。
部署網絡DLP、終端DLP設備,在數據存儲、傳輸和使用過程中,發現并識別敏感數據隱患,確保敏感數據的合規使用,防止敏感數據泄漏的數據安全保護系統,保障數據安全、可控、可用。
部署數據庫脫敏設備,采用數據抽取、數據漂白、動態掩碼等規則進行數據變形和敏感信息處理,保證脫敏前后數據關聯關系和前后的運算關系不變,滿足隱私數據保護合規要求。
部署數據庫審計設備,實時監視與審計數據庫管理員的操作,對數據庫的操作行為進行命令級別的細粒度審計,事故追根溯源,提高數據資產安全,系統管理員操作行為的安全審計。
部署基于Web的業務應用全流程審計設備,對合法的業務操作人員操作Web應用進行業務辦理或查詢操作的全過程實施記錄,實現對業務用戶的Web應用業務操作全流程訪問行為審計與監管,業務辦理和操作層面的安全審計,確保全流程操作行為留痕和數據安全。
如下圖所示:
方案主要價值
方案價值主要體現在如下幾方面:
1)保護互聯網出口的安全穩定,保障校園網的安全。
2)對互聯網出口進行流量和上網權限管理,保障核心業務的穩定性,提高工作效率。集中管控師生的上網行為,滿足國家公安部82號令上網日志留存的合規性要求
3)提供了從網絡層到應用層的一體化防護能力,有效保障L3-L7的安全。
4)以可編排可彈性擴展的獨立安全資源池的方式全面保障校園網數據中心業務應用資源池的安全。
5)實現了教育云平臺的全網入侵檢測、統一安全運維審計、基于Web的全業務流程審計、口令和漏洞的全生命周期管理。
6)提升了數據中心安全防護級別,滿足教育信息安全等級保護安全建設要求。
7)從數據存儲、傳輸、共享審計等多個維度保障數據的安全。
