山石网科普教整体安全建设解决方案


普教安全需求

教育城域网是一张学校-教育局-教育网三级架构的整体网络。根据访问业务范围分为教育专网和互联网。站在安全角度来看,教育局其内部资源及行为安全性从网络安全角度相对来说是比较安全可控,但是也会存在其相关安全隐患比如说数据泄密、网站应用攻击等;而市级、县级等教育城域网同时也会有多个互联网出口,但是互联网资源及网络行为对于教育局内部来说是不安全的和不可控的。

在普教的信息安全建设主要考虑有三个方面:

  1. 政策合规:普教安全建设满足市教电函政策及相关法规的要求。
  2. 安全防护:从教育局和下属学校两个层面维度来进行分析,教育局要考虑互联网出口安全、业务应用安全防护、数据中心安全、办公终端安全、整体态势监管。下属学校要考虑边界隔离、终端安全及内部风险分析。
  3. IPv6网站升级:针对城域网内部教育局、下属学校单位需要进行网站IPv6升级改造。

方案设计说明

从教育局及下辖学校单位两个层面进行安全现状分析,本方案结合客户的网络架构、业务现状及《市教电函政策》法规政策要求,山石网科从互联网出口、网站安全、数据中心安全、终端安全、整网态势分析、IPv6升级改造等多维度进行安全建设,解决目前整个教育城域网网络当中的各种安全问题,为用户的业务系统提供立体、纵深的安全保障防御体系,保证教育局及下辖学校信息系统整体的安全保护能力。

互联网出口:采用防火墙技术解决城域网互联网出口DDoS攻击,提供L2-L7层防护。采用LLB技术解决多条链路负载不均衡问题,为下设学校师生访问外网选择最优链路,提升访问效率和流畅度。采用NAT端口复用技术解决公网访问IP地址不足问题,保障教育局及内部人员更灵活上网。

网站安全:针对招生系统、学生成绩查询系统提供对外服务所产生的安全隐患,采用语义分析、机器学习等动态Web应用防护技术对重点业务系统进行安全防护,同时通过服务器负载均衡技术保障web业务流量均衡分配,保障业务系统访问流畅性。

数据中心安全:采用防火墙技术加强数据中心边界安全防护能力,采用DBA技术对核心数据的进一步防护。针对业务虚拟化的安全防护,采用专业的虚拟化防护技术提供东西向流量安全的防护,同时解决虚机内入侵防御、URL攻击防护、网络病毒攻击等安全隐患。

终端安全:采用探测技术主动探针城域网内部所有终端资产,并通过漏扫技术进行漏洞扫描。通过反病毒查杀引擎对病毒进行查杀防护。

整体态势监管:为了解决整个城域网教育局内部及下设学校数据/日志分散存储,打破数据信息之间的孤岛,难以发现内部异常行为等问题。采用流量分析、关联分析、机器学习、威胁情报及态势感知大屏展示等技术对数据、日志、流量集中分析和采集。帮助教育局领导把握全局安全态势,及时掌控安全威胁。

IPv6升级改造:保障教育局及下属学校在不改变IPv4网络环境下平滑升级到IPv6网络。帮助客户降低升级改造的高昂成本。同时解决IPv6升级改造过程中比如说“天窗问题”、改造完成后难以审计、溯源问题、IPv6可视化等问题。

安全服务:山石网科不仅从技术角度和管理角度帮助客户建设整体的解决方案,还能够为教育局提供全面的安全服务。

方案价值

  • 满足教育行业监管要求
  • 全方位动态、立体的安全防护
  • 全面风险整体态势展现城域网内部风险。
  • 为教育局提供全面的安全服务能力。