客户之选丨27000+师生共用的财务系统,如何做到安全又高效地运转?


 

导语

财务系统作为高校最重要的业务系统之一,承载着学校会计核算、项目经费管理、财务信息发布等关键业务。很多高校在做信息化建设的时候,由于考虑到高校财务系统业务的特殊性和重要性,会对财务系统单独做专业级别的网络安全防护。某高校财务处内网有一些财务应用系统和一些办公终端,财务应用系统有对外提供访问的应用系统和对内提供访问的应用系统

 

客户需求与痛点

1、层出不穷的网络攻击。目前互联网出现的网络威胁的种类也越来越多,不仅有非法入侵、网络渗透,还有网络欺骗、DOS/DDOS攻击、各种恶意软件、垃圾邮件等。最严重的是无法终止的攻击,DOS/DDOS攻击正是如此,尤其应受到重点关注。

2、日益滋长的应用层威胁。自 2003 年以来,蠕虫、点到点,入侵技术日益滋长并演变到应用层面(L7)的结果,而这些有害代码总是伪装成客户正常业务进行传播,目前部署的防火墙其软硬件设计当初仅按照其工作在L2-L4时的情况考虑,不具有对数据流进行综合、深度监测的能力,自然就无法有效识别伪装成正常业务的非法流量,结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络。

3、Web网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有 75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。为此需要设备提供Web防护功能,对重要的Web应用进行安全防护。

 

解决方案

边界隔离与访问控制

在财务处边界部署一台下一代防火墙,与学校其他网络区域进行隔离,进行基本的访问控制。山石网科下一代防火墙能够对网络攻击行为进行检测及防护,能够实时发现和阻断网络实施攻击和破坏,还能够实时发现和阻断用户内部勒索病毒的扩散和爆发。支持防暴力破解功能,防止非法用户通过暴力方法获取用户名和密码。通过IP信誉系统、垃圾邮件防护功能和僵尸网络防御系统,可以快速有效的识别网络上的恶意流量。

 

入侵防御/防病毒实现深度监测与防御

在财务处边界同时部署入侵防御系统,实时发现和阻断来自外部的蠕虫、病毒、间谍软件和黑客等攻击和入侵。山石网科的入侵防御系统拥有多重的威胁检测和防御能力,内置了高级威胁检测引擎、异常行为检测引擎和关联分析引擎。为用户提供L2-L7层全面威胁防御能力,实现对底层的ARP攻击、网络层的DoS/DDoS攻击、20多种常见协议的异常、病毒蠕虫木马、恶意URL以及Web攻击等一系列入侵威胁进行检测及防御,还提供了增强的Web攻击防护能力,包括SQL注入、XSS防御、CSRF防护、高频交易限制、Web访问控制、网站外链防护以及CC防护能力,保护业务与数据安全。

 

采用WAF保护Web应用业务

在业务服务器前端部署山石网科Web应用防火墙对业务系统进行防护,通Web资产发现、漏洞评估、流量学习、威胁定位等全面应用智能分析和机器学习技术,帮助高校应对OWASP TOP10风险,并针对Webshell、网站挂马、暴力破解等各种Web攻击进行防御,确保网站的运营安全。


图注:某高校财务处网络安全建设方案

 

运行效果

方案基于校园网的实际网络架构和业务安全需求,遵从分区、分级、分域的防护思路,从边界安全到服务器安全的防护体系设计,符合财务处未来的安全规划需求。

本期基于财务处的安全建设,采用传统边界安全和应用安全的融合解决方案,基于访问控制、入侵防范、病毒过滤等安全防护措施,全面提高财务处的安全防护能力,配合学校的安全管理制度,从技术和管理角度保障财务处的安全,为财务处业务系统提供一个安全运行环境。

 

山石视点

山石网科为某高校财务处业务系统提供全面安全防护。在财务专网网络边界,部署山石网科高性能下一代防火墙、入侵防御系统、实现财务专网网络边界L2~L7层安全防护;财务业务系统前置山石网科WEB应用防火墙实现专业级防护,全面提高财务信息化管理和服务水平。

未来,山石网科将继续在“可持续安全运营”技术理念的引领下,以领先的技术创新优势和优质的产品服务,为教育行业提供高效、稳定、自主可控的网络安全防护,为中国的教育事业保驾护航,为您的安全竭尽全力!