教育行业信息安全解决方案
启明星辰
“以教育信息化带动教育现代化,把教育信息化纳入国家信息化发展整体战略”。目前,教育信息化总体上处于初步应用整合阶段,正在向融合创新阶段推进,实现了教育信息化发展理念由以基础建设为主向以应用驱动为主的重大突破。这一重大突破的重要表现就是数字化校园向智慧校园的升级转型,数字校园以建
设校园网络为基础,利用先进的计算机、网络、通讯技术,实现学校对教学、科研、教务管理有关的所有信息资源进行全面的数字化,而智慧校园是依托云计算、虚拟化、物联网、网络安全等技术实现学校、老师、学生、家长安全的、多维度的连接,将教学、科研、教务管理等资源与应用系统整合,实现智慧化服务和智慧化管理的校园模式。
在教育信息化的整体发展历程中,特别是在数字校园向智慧校园升级时,网络安全的重要性和紧迫性尤为突出,网络安全与信息化是一体之双翼、驱动之双轮,必须统一谋划、统一部署、统一实施和统一推进。
启明星辰为教育管理部门提供覆盖全国的网络安全管理平台解决方案、三通两平台安全解决方案、网络安全攻防实训仿真演练人才培养方案以及智慧校园互联网出口和虚拟化数据中心的安全方案,助力智慧校园建设。
三通两平台安全解决方案
2012年9月教育部全国教育信息化试点工作座谈会召开,刘延东副总理指出十二五期间教育信息化建设的核心目标与标志工程为“三通两平台”建设。“三通两平台”是《教育信息化十年发展规划(2011-2020年)》的标志性工程。两个支撑平台分别是教育管理公共服务平台和教育资源公共服务平台,三个基础建设工程分别是宽带网络校校通(校校通)、优质资源班班通(班班通)和网络学习空间人人通(人人
通),三通两平台内容如下图所示:
2012年3月教育部印发《教育信息化十年发展规划(2011-2020年)》,其中第四部分中提及要“建立全方位的安全保障体系确保教育管理教学和服务等信息系统安全”。在网络、系统、应用和资源、管理平台建设的同时,构建“三通两平台”网络安全保障体系,确保其安全性与稳定性、实现信息化教学的高效性成为当务之急。
面临的挑战及安全需求
三通两平台面临的安全挑战和安全需求主要是城域网出口安全和教育云平台安全。
城域网出口安全需要解决城域网之间边界访问控制、网间入侵检测与防御、单链路故障、提升多链路带宽利用率。
教育云平台安全需要解决校校网络互通,班班教学资源共享,学校、家庭和个人自主学习空间人人通所需要的资源和业务应用的安全性、稳定性。具体来讲需要解决资源和服务两大平台之间的网络边界安全问题、Web应用层安全问题、应用负载和加速问题、弱口令和漏洞管理问题、云中虚拟化资源池的安全问题以及两平台的安全运维问题。
安全解决方案
※ 城域网出口安全
在教育城域网出口部署出口链路负载均衡设备,根据访问目标自动最优选路,根据链路负载、丢包情况等动态选择链路出口可保障出口链路稳定性,提升城域网出口带宽利用率。
在教育城域网出口位置部署防火墙、VPN和入侵防御设备,可对教育城域网进行网络访问控制、网络蠕虫、间谍软件、溢出攻击等多种深层攻击行为进行入侵检测及过滤等一体化安全防护。
在教育城域网出口部署上网行为管理设备,全面了解上网情况和网络使用情况,包括即时通讯等过滤不良信息,可实现对城域网内师生上网行为的管理与审计、应用流量控制与保障,减少互联网风险,满足82号令的合规性需求。
在教育城域网设置一个相对独立的安全运维区,实现全网统一安全运维管理,部署漏洞扫描和管理平台,
实现漏洞发现、验证、修复、更新全生命周期管理;部署安全运维堡垒机,结合身份认证系统实现运维人员基于双因素的唯一身份标识、集中访问控制、集中审计(加密和非密协议的审计),有效解决一人多账号、一账号多人使用等乱象。
如下图所示:
※教育云平台安全
web应用防护系统在教育云平台边界部署防火墙、VPN和Web应用防火墙设备,可对教育云平台进行网络访问控制、网络蠕虫等多种攻击行为进行安全防护。同时,防御以Web应用程序漏洞为目标的攻击,并针对Web服务器进行HTTP/HTTPS流量清洗,提高Web应用的可用性、性能和安全性,确保Web业务应用安全、可靠地提供服务。
在教育云平台的Web应用服务前端部署服务器应用负载,支持应用引流,分担应用服务器负载。可以根据应用类型P2P、即时通讯、流媒体、视频协议等应用引流至高质量链路,支持应用服务器负载分担,针对应用层信息分配流量,提升用户的访问体验。
在教育云平台从网络层面设置一个相对独立的安全运维区,实现全网统一安全运维管理,部署漏洞扫描和管理平台,实现漏洞发现、验证、修复、更新全生命周期管理;部署安全运维堡垒机,结合身份认证系统实现运维人员基于双因素的唯一身份标识、集中访问控制、集中审计(加密和非密协议审计),有效解决一人多账号、一账号多人使用等乱象。
教育云平台的资源和服务平台采用云和虚拟化技术实现业务应用的池化,可以很好的满足业务应用按需扩展、快速服务的需要。在云和虚拟化环境下,安全保障也是一种业务应用,需要按需扩展快速服务。启明星辰将网络保障与业务资源池解耦,构建相对独立的安全资源池,在安全资源池上有选择性的按需
开启虚拟IDS、虚拟审计、虚拟流量监测、虚拟Waf等安全机制,实现虚机之间、VLAN之间的安全监测功能,保障教育云平台的安全。
如下图所示:
发表评论