中科网威高校校园网信息安全解决方案一、高校信息化现状近年来随着我国社会经济的不断发展,国家对教育事业的支持和投入不断增加,我国的高等教育从深度和广度上都有了显著的发展和提高。信息化、网络与计算机技术的不断发展也为教育事业提供了强有力的支持手
中科网威高校校园网信息安全解决方案
一、高校信息化现状
近年来随着我国社会经济的不断发展,国家对教育事业的支持和投入不断增加,我国的高等教育从深度和广度上都有了显著的发展和提高。信息化、网络与计算机技术的不断发展也为教育事业提供了强有力的支持手段,为教育模式的创新、先进教育理念的实现提供了可靠的实现方法。
2012年3月,教育部出台了《教育信息化十年发展规划(2011-2020年)》,明确提出“到2020年,全面完成《教育规划纲要》所提出的教育信息化目标任务,形成与国家教育现代化发展目标相适应的教育信息化体系,基本建成人人可享有优质教育资源的信息化学习环境,基本形成学习型社会的信息化支撑服务体系,基本实现所有地区和各级各类学校宽带网络的全面覆盖,教育管理信息化水平显著提高,信息技术与教育融合发展的水平显著升。教育信息化整体上接近国际先进水平,对教育改革和发展的支撑与引领作用充分显现。”
教育部出台的《高等学校“十二五”科学和技术发展规划》中也明确提出要“加快重大科研平台建设与资源共享”,“加强教育信息化对学校科研、人才培养、社会服务和文化传承的支撑”。
学校信息化主要以数字化校园建设为主,主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等;高校数字化校园建设通常先提出总体解决方案,确定数字化校园的体系结构,制定数字化校园的信息标准,以及各系统之间的接口标准,然后分阶段实施。建立全校的网络安全体系,保证校园网络的安全,保证关键数据、关键应用的安全以及关键业务部门的安全,实现校园网络及其应用系统的安全高效运行。
二、高校网络安全建设方案设计
中科网威为高校信息中心提供专业的、先进和完善的整体网络安全服务体系,并可协助高校信息中心建立相应的信息安全管理办法,加强内部培训及管理,建立完善的信息安全管理系统,加强身份认证、门户网站和数据中心的安全体系建设,提高高校信息中心整体的信息安全意识。建议人事、教务、OA、校园网等信息系统按照信息系统等级保护三级标准的要求进行安全规划整改,以达到教育部的安全要求。技术方面的网络安全、主机安全、网站安全、数据库安全主要通过网络安全产品的部署来解决。
校园网从结构上讲,可以分成核心、汇聚和接入三个层次;从网络类型可以划分为教学子网、办公子网、宿舍子网等。其特点是底下的接入方式非常多,包括拨号上网、宽带接入、无线上联等各种形式接入的用户类型也非常复杂,有学生、教职工以及校内商业机构的办公人员。另外,校园网通常是双出口结构,可以通过ChinaNet,也可以通过CERNET达到互联网。多层次、业务复杂的特点使得网络安全显得尤为重要。
此外,高校校园网还存在一个经常被忽视但是越来越严重的现象,很多高校用户反映:现在有相当数量的学生的计算机相关技术水平非常高,甚至超乎管理人员的想象,在这种情况下,高校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,达到办公、教学以及学生上网的多种需求成为了一个难题。很多时候,校园网的安全隐患更多地是来自于校园网内部。相比来自外部的攻击,来自网内的攻击更为可怕,威胁更大。由此可见,目前很多高校校园网的安全环境可以用“内外交迫”来形容。
校园网络与一般的企业网络有很大的区别。因为一般的来说,除了学校内涉及科研的主机以外,网络中其他位置并没有重要的数据信息。而校园网的功能也主要是保证整个网络通讯的顺畅。对于通讯中的数据安全,一般由使用线路的单位或个人自己负责。所以我们可以看出,校园网信息网的安全需求一是要保障整个通讯链路的安全;二次是保护校园网内重要科研服务器以及办公网络的安全。经过对校园系统的安全风险和安全需求分析,我们提出通过部署防火墙对两个安全区域进行隔离。在主干交换机上部署入侵检测设备、漏洞扫描设备,在内网部署防病毒系统和内网管理中心系统于一体的安全解决方案,希望能帮助校园系统有效抵御来自外部和内部网络的非法攻击。
三、高校安全产品部署的必要性
在病毒和黑客日益增多的信息社会,信息系统的安全问题非常严峻,高校信息中心数据非常重要,所建设的应用系统、网站及数据资源,一旦被黑客攻击,将会带来严重的后果及负面影响,必须加强信息系统的安全建设。
1、业务系统中数据库、服务器区是整个业务系统的核心,访问控制措施不足,内部资源可能会被非授权人员访问,保密性、完整性及可用性得不到保证。数据的重要性是信息系统价值的核心,目前在数据安全方面没有相应的审计手段,无法监控对数据的操作,发现问题后也无法查找原因。有必要部署相应的安全产品。
2、门户网站系统中数据库、服务器区目前没有有效的对其进行保护的安全设备,需对内外部的网络攻击进行识别、监视、阻断。有必要部署相应的安全产品。
3、为了解信息系统内的服务器和网络通讯设备的系统漏洞和安装设置漏洞,了解漏洞的分布状况和危险等级,为调整本身的安全策略提供原始数据和资料,需配置一套安全漏洞扫描系统定期对系统设备进行漏洞扫描。
4、WEB网站因需要被公众访问而暴露于外部网络,容易成为黑客的攻击目标,有必要在WEB服务器部署相应的安全产品。
5、信息中心没有专业的信息安全技术队伍,需要选择专业的网络安全公司提供信息安全服务,保障网络的整体安全。在保障网络的整体安全的同时,也提高了高校信息中心系统运维人员的整体安全意识,为今后的网络安全维护工作打下坚实基础。
四、中科网威高校网络安全建设方案
按照信息系统等级保护标准的要求,中科网威整体安全方案的设计如下:
1、 信息安全区域划分
校园网:按着重要程度和业务处理的不同,分为核心区、互联网接入区、应用服务器区、DMZ 区、校园网接入区、校园网安全管理区,针对不同区域进行不同的安全策略和部署。
数据中心网:分为数据存储区、应用中心区、安全管理区、门户网站区,针对不同区域进行不同的安全策略和部署。
2、安全产品部署方案
3、数据中心区安全方案:
数据中心出口部署两台高性能下一代防火墙进行4个安全域的划分;
在安全管理区部署身份认证系统,建立统一的身份认证平台。实现对各信息系统的一次性认证多系统操作,大大增加用户和系统的安全性和简便性。系统建设统一的用户数据库,对用户权限和访问模式等实现集中式的管理,简化系统管理流程,提升用户工作效率;
在安全管理区部署数据库及业务审计系统,对数据库进行时实的监控,增强数据的保密性、完整性以及可用性;
在安全管理区部署一套门户网站WEB防火墙,采用WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等),为WEB应用提供保护;WEB防火墙网页防篡改功能,进行校园网页面内容的保护,防止非授权人员随意篡改内容,增强网站的安全性;
在安全管理区部署一台IPS入侵防火墙,以全面深入的协议分析技术为基础,结合协议异常检测、协议异常检测、状态检测、关联分析形成的检测引擎,实时拦截数据流量中各种类型的恶意攻击流量,把攻击防御在单位网络之外,保护单位的信息资产;
在安全管理区部署一台帐号集中管理审计系统(堡垒机),集中统一的安全管理技术和平台,使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全策略的实施。
4、校园网安全方案:
在互联网出口位置部署两台高性能下一代防火墙,提供对网络的访问控制,同时通过DMZ 区的设置,保护校方对外提供服务器的安全;
在校园网安全管理区部署流量控制和上网行为审计系统来提供对于校内用户访问外网的流量控制和上网行为审计的需求;同时检测用户的非法操作,杜绝内部人员滥用互联网资源的违规行为;
在校园网安全管理区部署安全漏洞扫描系统,对内部信息处理设施安全漏洞及其脆弱性的评估,可以使用户了解信息系统内的服务器和网络通讯设备的系统漏洞和安装设置漏洞,了解漏洞的分布状况和危险等级,并针对每一个漏洞提出一个可行的安全解决方案或补救措施,完整地为网络系统提供安全评估,为调整本身的安全策略提供原始数据和资料。
在校园网安全管理区部署一台VPN安全网关,方便对网络进行远程维护及移动办公接入,同时用于满足移动用户、分校机构、老师、学生等对IT资源(如基于Web的应用、图书系统、校园网系统、文件服务器、FTP服务器、远程控制等)的远程安全接入的需求,最大幅度地保障内部系统数据安全访问。
在DMZ区部署一台WEB防火墙,采用WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等),为WEB应用提供保护。