山石网科高校综合解决方案

---

高校安全需求

随着高校信息化建设的逐步深入，学校教务工作对信息系统依赖的程度越来越高，教育信息化建设中大量的信息资源，成为学校成熟的业务展示和应用平台，在未来的教育信息化规划中占有非常重要的地位。

从安全性上分析，校园网业务应用和网络系统日益复杂，如校园网门户网站、一卡通、教务管理系统、学工管理等系统，经常面临外部攻击、内部资源滥用、木马和病毒等一系列网络安全风险，高校网络安全是业务应用发展需要关注的核心和重点。

在高校的信息安全建设主要考虑有三个方面：

1：政策合规：高校信息安全建设必须满足信息安全等级保护及相关法规的要求。

2：安全防护：建立安全体系，实现对高校业务系统层层递进的纵深防护。

3：系统升级：整体架构需要支持IPv6，系统需逐步从IPv4升级到IPv6网络。

解决方案

以高校网络的通用网络结构为基础，充分考虑满足等级保护的相关要求，依照等级保护相关标准，按照分级分区域防护、重点区域独立加固、全网集中、可视化管理的建设思路设计。

高校网络拓扑图

校园网出口边界：利用云端威胁情报与防火墙技术形成监测—防御联动体系，对互联网边界出口安全进行精细化的多维管控、行为分析及流量管理，进而保障边界出口安全。此外还支持多种加密vpn远程接入技术，保障外网访问内部业务的安全性。

重点业务区：重点业务区域部署校园对外提供服务的业务，例如校园网站、一卡通业务、教务管理系统等系统。采用语义分析、机器学习等动态Web应用防护技术对重点业务系统进行安全防护，同时通过链路负载均衡技术保障web业务流量均衡分配，保障业务系统访问流畅性。

核心数据中心：数据中心存在物理服务器和虚拟化环境并行的状态，面临从物理设备到虚拟机的多层次安全隔离防护。核心数据的安全防护以4A管理为依据、从敏感数据发现、数据防泄漏、数据库安全运维、数据库防护及审计进行全方位的整体数据安全防护。此外针对虚拟化环境下的数据安全防护，基于先进的SDN微隔离可视化、虚拟化防火墙、虚拟化防火墙管理等技术手段，解决虚拟环境下东西向、南北向流量、网络边界模糊化、权限过高、操作无法管控、无法定位责任人等安全问题。

安全管理中心：基于GBT36958国标技术标准，对日志、流量、数据进行集中采集，通过流量分析、关联分析、机器学习、威胁情报及态势感知大屏展示等技术将所有数据、日志进行统一管理、统一告警、统一监测、统一审计、统一协同防护。

方案亮点

一键断网：通过山石云景APP对设备进行实时运维监控，并且联动应用交付系统，当网站发生异常时远程通过手机操作即可快速关闭网站，避免损失扩大。

Web资产梳理：山石Web应用防火墙帮助用户主动发现并确认业务系统内的B/S网站信息，并将发现的网站一键添加为保护对象，确保不会遗漏任何一个网站的保护。

便捷化web改造：采用山石应用交付系统实现Web服务器的IPv6轻量化、无感升级、HTTPS审计和加密等，解决网站升级难等问题。