山石网科高校综合解决方案


高校安全需求

随着高校信息化建设的逐步深入,学校教务工作对信息系统依赖的程度越来越高,教育信息化建设中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。

从安全性上分析,校园网业务应用和网络系统日益复杂,如校园网门户网站、一卡通、教务管理系统、学工管理等系统,经常面临外部攻击、内部资源滥用、木马和病毒等一系列网络安全风险,高校网络安全是业务应用发展需要关注的核心和重点。

在高校的信息安全建设主要考虑有三个方面:

1:政策合规:高校信息安全建设必须满足信息安全等级保护及相关法规的要求。

2:安全防护:建立安全体系,实现对高校业务系统层层递进的纵深防护。

3:系统升级:整体架构需要支持IPv6,系统需逐步从IPv4升级到IPv6网络。

解决方案

以高校网络的通用网络结构为基础,充分考虑满足等级保护的相关要求,依照等级保护相关标准,按照分级分区域防护、重点区域独立加固、全网集中、可视化管理的建设思路设计。

高校网络拓扑图

校园网出口边界:利用云端威胁情报与防火墙技术形成监测—防御联动体系,对互联网边界出口安全进行精细化的多维管控、行为分析及流量管理,进而保障边界出口安全。此外还支持多种加密vpn远程接入技术,保障外网访问内部业务的安全性。

重点业务区:重点业务区域部署校园对外提供服务的业务,例如校园网站、一卡通业务、教务管理系统等系统。采用语义分析、机器学习等动态Web应用防护技术对重点业务系统进行安全防护,同时通过链路负载均衡技术保障web业务流量均衡分配,保障业务系统访问流畅性。

核心数据中心:数据中心存在物理服务器和虚拟化环境并行的状态,面临从物理设备到虚拟机的多层次安全隔离防护。核心数据的安全防护以4A管理为依据、从敏感数据发现、数据防泄漏、数据库安全运维、数据库防护及审计进行全方位的整体数据安全防护。此外针对虚拟化环境下的数据安全防护,基于先进的SDN微隔离可视化、虚拟化防火墙、虚拟化防火墙管理等技术手段,解决虚拟环境下东西向、南北向流量、网络边界模糊化、权限过高、操作无法管控、无法定位责任人等安全问题。

安全管理中心:基于GBT36958国标技术标准,对日志、流量、数据进行集中采集,通过流量分析、关联分析、机器学习、威胁情报及态势感知大屏展示等技术将所有数据、日志进行统一管理、统一告警、统一监测、统一审计、统一协同防护。

方案亮点

一键断网:通过山石云景APP对设备进行实时运维监控,并且联动应用交付系统,当网站发生异常时远程通过手机操作即可快速关闭网站,避免损失扩大。

Web资产梳理:山石Web应用防火墙帮助用户主动发现并确认业务系统内的B/S网站信息,并将发现的网站一键添加为保护对象,确保不会遗漏任何一个网站的保护。

便捷化web改造:采用山石应用交付系统实现Web服务器的IPv6轻量化、无感升级、HTTPS审计和加密等,解决网站升级难等问题。

优势、价值

  • 满足相关政策法规,落实相关政策的要求;
  • 全方位立体防护,降低高校安全风险,减少损失;
  • 具有高并发、高冗余、高稳定性,保障业务不间断;
  • 统一规划、统一管理、统一配置,增强高校业务运维效率;