教育行业信息安全解决方案

《教育行业信息安全解决方案》由会员分享，可在线阅读，更多相关《教育行业信息安全解决方案（12页珍藏版）》请在装配图网上搜索。

1、教育行业信息安全解决方案启明星辰“以教育信息化带动教育现代化，把教育信息化纳入国家信息化发展整体战略”。目前，教育信息 化总体上处于初步应用整合阶段，正在向融合创新阶段推进，实现了教育信息化发展理念由以基础 建设为主向以应用驱动为主的重大突破。这一重大突破的重要表现就是数字化校园向智慧校园的升 级转型，数字校园以建设校园网络为基础，利用先进的计算机、网络、通讯技术，实现学校对教 学、科研、教务管理有关的所有信息资源进行全面的数字化，而智慧校园是依托云计算、虚拟化、 物联网、网络安全等技术实现学校、老师、学生、家长安全的、多维度的连接，将教学、科研、教 务管理等资源与应用系统整合，实现智慧化服务

2、和智慧化管理的校园模式。在教育信息化的整体发展历程中，特别是在数字校园向智慧校园升级时，网络安全的重要性和紧迫 性尤为突出，网络安全与信息化是一体之双翼、驱动之双轮，必须统一谋划、统一部署、统一实施 和统一推进。启明星辰为教育管理部门提供覆盖全国的网络安全管理平台解决方案、三通两平台安全解决方案、 网络安全攻防实训仿真演练人才培养方案以及智慧校园互联网出口和虚拟化数据中心的安全方案， 助力智慧校园建设。三通两平台安全解决方案2012年9 月教育部全国教育信息化试点工作座谈会召开，刘延东副总理指出十二五期间教育信息 化建设的核心目标与标志工程为“三通两平台”建设。“三通两平台”是教育信息化十年发

3、展规 划（2011-2020 年）的标志性工程。两个支撑平台分别是教育管理公共服务平台和教育资源公共 服务平台，三个基础建设工程分别是宽带网络校校通（校校通）、优质资源班班通（班班通）和网 络学习空间人人通（人人通），三通两平台内容如下图所示：述一利II用方叵2012年3 月教育部印发教育信息化十年发展规划（2011-2020年），其中第四部分中提及要 “建立全方位的安全保障体系确保教育管理教学和服务等信息系统安全”。在网络、系统、应用和 资源、管理平台建设的同时，构建“三通两平台”网络安全保障体系，确保其安全性与稳定性、实 现信息化教学的高效性成为当务之急。冈屮眾上学空面临的挑战及安全需求三

4、通两平台面临的安全挑战和安全需求主要是城域网出口安全和教育云平台安全。城域网出口安全需要解决城域网之间边界访问控制、网间入侵检测与防御、单链路故障、提升多链 路带宽利用率。教育云平台安全需要解决校校网络互通，班班教学资源共享，学校、家庭和个人自主学习空间人人 通所需要的资源和业务应用的安全性、稳定性。具体来讲需要解决资源和服务两大平台之间的网络 边界安全问题、Web应用层安全问题、应用负载和加速问题、弱口令和漏洞管理问题、云中虚拟化 资源池的安全问题以及两平台的安全运维问题。安全解决方案 城域网出口安全在教育城域网出口部署出口链路负载均衡设备，根据访问目标自动最优选路，根据链路负载、丢包 情况

5、等动态选择链路出口可保障出口链路稳定性，提升城域网出口带宽利用率。在教育城域网出口位置部署防火墙、VPN和入侵防御设备，可对教育城域网进行网络访问控制、网 络蠕虫、间谍软件、溢出攻击等多种深层攻击行为进行入侵检测及过滤等一体化安全防护。在教育城域网出口部署上网行为管理设备，全面了解上网情况和网络使用情况，包括即时通讯等过 滤不良信息，可实现对城域网内师生上网行为的管理与审计、应用流量控制与保障，减少互联网风 险，满足82号令的合规性需求。在教育城域网设置一个相对独立的安全运维区，实现全网统一安全运维管理，部署漏洞扫描和管理 平台，实现漏洞发现、验证、修复、更新全生命周期管理；部署安全运维堡垒机

6、，结合身份认证系 统实现运维人员基于双因素的唯一身份标识、集中访问控制、集中审计（加密和非密协议的审 计），有效解决一人多账号、一账号多人使用等乱象。如下图所示：城域网出口题&出口防畑 +VPH 教育云平台安全在教育云平台边界部署防火墙、VPN和Web应用防火墙设备，可对教育云平台进行网络访问控 制、网络蠕虫等多种攻击行为进行安全防护。同时，防御以 Web 应用程序漏洞为目标的攻击，并 针对Web服务器进行HTTP/HTTPS流量清洗，提高Web应用的可用性、性能和安全性，确保 Web 业务应用安全、可靠地提供服务。在教育云平台的 Web 应用服务前端部署服务器应用负载，支持应用引流，分担应用

7、服务器负载。 可以根据应用类型P2P、即时通讯、流媒体、视频协议等应用引流至高质量链路，支持应用服务器 负载分担，针对应用层信息分配流量，提升用户的访问体验。在教育云平台从网络层面设置一个相对独立的安全运维区，实现全网统一安全运维管理，部署漏洞 扫描和管理平台，实现漏洞发现、验证、修复、更新全生命周期管理；部署安全运维堡垒机，结合 身份认证系统实现运维人员基于双因素的唯一身份标识、集中访问控制、集中审计（加密和非密协 议审计），有效解决一人多账号、一账号多人使用等乱象。教育云平台的资源和服务平台采用云和虚拟化技术实现业务应用的池化，可以很好的满足业务应用 按需扩展、快速服务的需要。在云和虚拟化

8、环境下，安全保障也是一种业务应用，需要按需扩展快 速服务。启明星辰将网络保障与业务资源池解耦，构建相对独立的安全资源池，在安全资源池上有 选择性的按需开启虚拟IDS、虚拟审计、虚拟流量监测、虚拟Waf等安全机制，实现虚机之间、 VLAN 之间的安全监测功能，保障教育云平台的安全。如下图所示：漏扫f宝金稀吹墙-+VPN-、平台WAF ”教育资源服务 平台救育資聽管理 平台VIDSFTeyevAuditASffl tljf口防火墙5Z方案主要价值资源和服务两平台方案价值主要体现在如下几方面：1）保障链路稳定性，避免单点故障与性能瓶颈，同时保障服务器应用负载分担与优化，提升带宽利 用率的同时也提升了

9、用户享用三通两平台服务的访问体验。2）提供了从网络层到应用层的一体化防护能力，有效保障L3-L7的安全。3）集中管控师生的上网行为，满足国家公安部82 号令上网日志留存的合规性要求。4）全面保障教育资源平台与教育管理平台资源池的安全。5）实现了教育云平台的全网入侵检测、统一安全运维审计、口令和漏洞的全生命周期管理网 A-随着教育信息化的快速发展，网络安全问题更加突出，对网络安全人才建设不断提出新的要求。网 络空间的竞争，归根结底是人才竞争。从总体上看，我国网络安全人才还存在数量缺口较大、能力 素质不高、结构不尽合理等问题，与维护国家网络安全、建设网络强国的要求不相适应。面临的挑战及安全需求网络

10、安全人才培养面临的主要挑战和需求是缺少培养高素质的网络攻防高级专门人才的实战平台。 需要通过提供完善的课程体系和实践项目，使学生具备扎实的数理基础和电子通信技术、计算机技 术，掌握网络攻防对抗的基本理论、基本知识、基本技能及综合应用方法，具有较强的信息系统安 全分析与设计、安全防护、安全策略制订、操作管理、综合集成、工程设计和技术开发能力，了解 网络空间安全发展动态，受到严格的科学思维训练和全面的素质教育的网络攻防高级专门人才。安全解决方案网络安全人才培养的实训与仿真攻击防御演练平台，开展各项专项攻防系统/情报收集与分析挖掘/ 监控评测挖掘/人员培训教学系统的支撑平台，用于网络攻防人才培养、网

11、络安全技能培训和网络安 全技能大赛。攻防演练系统平台由系统平台底层、管理层和用户层组成，如下图所示：I蒼理系统底层备靶 坊拓 扑用户层图攻防实验室软件平台层次结构攻防演练系统底层采用 OpenStack 开源云计算平台，可以为各种云提供高冗余、可扩展、开放灵 活的基础架构。在此平台上可以实现各种虚拟化资源的存储、查询和检索等功能，并能提供统一的 用户身份认证以及一致的Web展示界面。中间管理层主要完成各种功能模块，包括用户的管理、身份的认证管理、权限的分配、任务的管 控、平台中各种设备和资源（情报、工具、课件等）的分配。用户层主要是负责给攻防演练系统平台的普通用户和管理员用户提供统一的前台和后

12、台访问页面， 以完成各自的实验任务和管理任务。监控展示则全程负责攻防演练系统中的各种行为监控，包括系统设备的运行情况、用户的行为举止、资源的访问信息、靶场的安全态势等。方案主要价值方案价值主要体现在如下几个方面：1）网络安全攻防实训与仿真演练平台作为网络空间安全学科建设和人才培养的重要组成部分，成为网络安全学院学科专业建设的支撑和网络安全人才培养的实践训练摇篮2）以攻助防、攻防结合，为学校培养网络安全教师队伍和学生队伍3）融入渗透思维，全程植入安全概念，从攻击角度探讨网络安全，掌握网络攻防技能，提升网络安 全防护水平4）平台内置的网络安全课程实验可以很好的帮助师生顺利完成日常教学智慧校园安全解

13、决方案“智慧校园”是教育信息化进入高级阶段的表现形式，比“数字校园”更先进。集体知识共融共 生、业务应用融合创新、移动互联网物联网高速泛在是其重要特征。特别是在互联网+教育的大环 境下，为了更好的发挥智慧化教学服务和智慧化教学管理功能，需要加强智慧校园的网络安全建 设。校园网络一旦出现了安全隐患，则会造成网络中大量资料被泄露、伪造和破坏，造成信息传递的中 断，给学校、家庭，甚至社会带来极大的损失。一方面关系到学校的综合利益和学校的安全建设合 规程度，另一方面关系到社会、家庭、师生的利益；再次，随着安全法的颁布实施，网络安全不再 是教学教务的业务补充而成了教育教务业务应用自身，智慧校园的网络安全

14、建设也从满足自身需要 到满足合规要求上升到合法运营的法律层面。面临的挑战及安全需求智慧校园面临的网络安全挑战和需求主要包括互联网出口安全、数据中心安全以及数据安全。校园网互联网出口安全需要解决出口边界访问控制、入侵检测与防御、单链路故障、提升多链路带 宽利用率、师生上网行为管理。数据中心的安全包括数据中心区与互联网区之间的网络边界安全问题、Web应用层安全问题、应用 负载和加速问题、弱口令和漏洞管理问题、云中虚拟化资源池的安全问题、数据安全问题以及校园 网安全运维问题。数据安全问题具体包括数据防泄漏管理、数据脱敏管理、数据库安全审计以及业务用户通过浏览器 经由应用服务到数据库访问的合法业务操作

15、的全流程审计。安全解决方案 互联网出口安全在校园网互联网出口部署出口链路负载均衡设备，根据访问目标自动最优选路，根据链路负载、丢 包情况等动态选择链路出口可保障出口链路稳定性，提升城域网出口带宽利用率。在校园网互联网出口位置部署防火墙、VPN和入侵防御设备，可对教育城域网进行网络访问控制、网络蠕虫、间谍软件、溢出攻击等多种深层攻击行为进行入侵检测及过滤等一体化安全防护。在校园网互联网出口部署上网行为管理设备，全面了解上网情况和网络使用情况，包括即时通讯等 过滤不良信息，可实现对城域网内师生上网行为的管理与审计、应用流量控制与保障，减少互联网 风险，满足 82 号令的合规性需求。 数据中心区安全

16、在数据中心区与互联网出口区边界部署防火墙和Web应用防火墙设备，可对教育云平台进行网络 访问控制、网络蠕虫等多种攻击行为进行安全防护。同时，防御以Web应用程序漏洞为目标的攻 击，并针对Web服务器进行HTTP/HTTPS流量清洗，提高Web应用的可用性、性能和安全性， 确保Web业务应用安全、可靠地提供服务。在数据中心区的Web应用服务前端部署服务器应用负载，支持应用引流，分担应用服务器负载。 可以根据应用类型P2P、即时通讯、流媒体、视频协议等应用引流至高质量链路，支持应用服务器 负载分担，针对应用层信息分配流量，提升用户的访问体验。校园网数据中心区采用云和虚拟化技术实现业务应用的池化，可

17、以很好的满足业务应用按需扩展、 快速服务的需要。在云和虚拟化环境下，安全保障也是一种业务应用，需要按需扩展快速服务。启 明星辰将网络保障与业务资源池解耦，构建相对独立的安全资源池，在安全资源池上有选择性的按 需开启虚拟IDS、虚拟审计、虚拟流量监测、虚拟Waf等安全机制，实现虚机之间、VLAN之间的 安全监测功能，保障数据中心区的安全。在校园网连接互联网出口区和数据中心区的核心交换机上划分出一个Vian设置一个相对独立的安全 运维区，实现全网统一安全运维管理，部署漏洞扫描和管理平台，实现漏洞发现、验证、修复、更 新的全生命周期管理；部署域间安全策略监控设备，实现不同安全域内系统访问关系梳理、防

18、火墙 策略管理与优化、非法外联行为监测；部署安全运维堡垒机，结合身份认证系统实现运维人员基于 双因素的唯一身份标识、集中访问控制、集中审计（加密和非密协议的审计），有效解决一人多账 号、一账号多人使用等乱象。 数据安全从数据防泄密DLP、数据库脱敏、数据库审计和基于WEB的业务全流程审计几个方面来保障数据 安全。部署网络DLP、终端DLP设备，在数据存储、传输和使用过程中，发现并识别敏感数据隐患，确保 敏感数据的合规使用，防止敏感数据泄漏的数据安全保护系统，保障数据安全、可控、可用。部署数据库脱敏设备，采用数据抽取、数据漂白、动态掩码等规则进行数据变形和敏感信息处理， 保证脱敏前后数据关联关系

19、和前后的运算关系不变，满足隐私数据保护合规要求。部署数据库审计设备，实时监视与审计数据库管理员的操作，对数据库的操作行为进行命令级别的 细粒度审计，事故追根溯源，提高数据资产安全，系统管理员操作行为的安全审计。部署基于Web的业务应用全流程审计设备，对合法的业务操作人员操作Web应用进行业务办理或 查询操作的全过程实施记录，实现对业务用户的Web应用业务操作全流程访问行为审计与监管， 业务办理和操作层面的安全审计，确保全流程操作行为留痕和数据安全。如下图所示：互联网出口%证舷屮*RHl!fna数据中心E宴E安全戏节台出口 +VPN崖希並Ai|b舄7：!湘女全我平合vAudrt方案主要价值方案价

20、值主要体现在如下几方面：1）保护互联网出口的安全稳定，保障校园网的安全。2）对互联网出口进行流量和上网权限管理，保障核心业务的稳定性，提高工作效率。集中管控师生 的上网行为，满足国家公安部82 号令上网日志留存的合规性要求3）提供了从网络层到应用层的一体化防护能力，有效保障L3-L7的安全。4）以可编排可弹性扩展的独立安全资源池的方式全面保障校园网数据中心业务应用资源池的安全。5）实现了教育云平台的全网入侵检测、统一安全运维审计、基于Web的全业务流程审计、令和漏洞的全生命周期管理。6）提升了数据中心安全防护级别，满足教育信息安全等级保护安全建设要求。7）从数据存储、传输、共享审计等多个维度保障数据的安全。全文完 文章来源于网络，仅作为个人学习使用 如有侵权，请联系删除！