说明:
业务背景近年来,基础教育的信息化水平有了较大的提高、软硬件建设有了长足的进步,但是当前的教育信息化水平还不能满足教育现代化的发展要求和人民群众的需求期盼,与国际先进水平相比还有明显的差距。“三通两平台”是教育部对“十二五”期间教育信息化核心目标,是在《国家中长期教育改革和发展规划纲要(2010-2020年)》纲领性文件的背景下,总结提炼出“三通两平台”的建设核心目标。其中两平台是指教育公共管理服务平台和教育公共资源服务平台,基本上都是基于云计算技术构建教育服务平台,为民众提供教育相关的业务和服务。在教育服务平台的部署和实施的过程中,如何在保障云计算平台自身安全,更好的为客户提供服务,成为需要重点关注的问题。安全挑战教育服务平台面临的主要安全威胁如下:1.针对教育服务平台的恶意攻击通过拒绝服务攻击等手段,大量消耗服务平台的网络性能和计算性能,导致整个平台无法对外服务2.借助教育服务平台对外攻击利用教育服务平台强大服务、计算和网络能力,对公网其他系统发起的攻击,成为攻击者攻击的资源。3.内部员工的违规操作内部员工、运维人员对教育平台的操作权利,将导致权利滥用造成的数据篡改、数据破坏等安全问题。4.数据共享引发泄露可能由于重要信息的集中存储和使用,引发信息共享和泄密风险。由于平台对外服务多样、系统复杂,攻克单个系统将造成整个平台的数据丢失或破坏。5.不安全的对外服务接口教育服务平台作为资源整合平台,聚集了大量的上下游、发展业务伙伴。系统和业务间通过服务接口相互通信,由于开发标准不统一、对安全风险的认识不足,开发过程中很容易引入漏洞或缺陷,造成潜在的入侵风险。6.安全管理手段缺乏由于教育服务平台的业务复杂性,造成支撑系统众多、交互流程繁杂、安全防护等级和防护手段各异。对于平台管理和运维人员来讲,缺乏有效的资源、网络、业务监控手段,很难准确掌握服务平台的运行情况和安全水平。解决方案交...
说明:
业务背景2013年4月,教育部下发《国家教育管理公共服务平台省级数据中心建设指南》,大力推动基础教育资源中心大规模建设。建设指南提出省级数据中心首先要承载国家信息系统的部署运行,也要支撑本省自建应用系统及其他应用系统的部署运行,为本级及所属各级教育行政部门和学校提供信息系统和数据库存储与服务。服务器框架要满足可用性和可扩充性,当应用系统增加、负载增大时,可以通过层内横向的服务器扩充,满足应用的服务器资源需求,可以实现服务器系统“统一规划、分步扩充”的战略。建设省级教育管理公共服务门户、教育信息公共服务平台、省级电化教育馆等基础教育资源平台,可实现数据集中化、管理集约化、业务精细化,建设省级数据中心是教育信息化发展的必然趋势。伴随着网络中数据交换频繁、资源密集,数据中心成为充满着巨大诱惑的数字城堡,任何防护上的疏漏必将导致不可估量的损失,因此构筑一道安全地防御体系将是这座数字城堡首先面对的问题。安全挑战通过省级基础教育资源中心建设,实现了资源的集中管理和优化配置,提高的业务处理性能和访问效率。同时,由于教育行业敏感数据集中存储,访问行为复杂多变,使基础教育资源中心的安全运营受到很大威胁,成为信息安全敏感地带。基础教育资源中心面临的主要安全威胁包括:1. 外部攻击和入侵教育管理公共服务平台信息系统数据中心建设涉及到大量的网络设备,服务器,存储设备,主机等,其中不可避免地存在着可被攻击者利用的安全弱点和漏洞。根据权威机构图统计,DDoS是数据中心面临的主要安全威胁之一,有超过20%的数据中心异常是由于DDoS攻击导致的。DDoS攻击会大量消耗数据中心的业务带宽和计算资源,严重影响数据中心的正常运营。2. 敏感信息破坏和泄露随着相关信息的数据化,加之内部安全管理制度不够完善,内部或第三方系统运维人员可以借助自身职权,利用数据库操作窃取相关敏感信息,篡改数据、非法...
说明:
业务背景智慧校园建设是近年来高校信息化建设的一个重要方向,随着智慧校园建设的不断深入,信息系统面临的信息安全威胁也在不断增长,信息安全风险日益突出。快速有效的发现智慧校园各业务系统存在的安全威胁,进而采取有效的预防和处置措施,是高校建设智慧校园过程中面临的急需解决的问题。安全挑战高校网络日益成为攻击者攻击的对象和各种病毒的温床,高校常见的安全事件包括门户、招生网站被攻击、篡改、挂马、钓鱼等,学生成绩单被篡改,攻击者入侵高校数据中心利用服务器的高性能高带宽对外发动攻击等。高校智慧校园安全挑战主要包括:1. 边界安全威胁由于校园网与外部网络互联,不可避免的受到外部的各种入侵和攻击,由于校园网边界只部署传统防火墙作为防护设备,对外攻击抵御能力有限。2. 系统漏洞风险校园业务信息系统面临着安全漏洞的威胁,存在缺乏必要的入侵防护手段、缺乏必要的系统漏洞控制措施、业务系统权限控制不合理等问题。3. 网站安全风险高校网站主要面临被挂马被篡改、被DDoS攻击的风险,网站极易成为攻击者侵入校园内网的跳板。4. 上网行为失控风险校园网用户上网带来的风险,包括个人账号密码疏于管理、敏感言论、攻击者攻击工具在校园内传播等。5. 安全管理手段缺失智慧校园信息化管理工作繁重,传统的安全解决方案往往大幅增加安全管理工作的难度,导致问题处理不及时、响应缓慢等问题。随着高校系统、网络规模的扩大,设备的增多,设备管理人员也相应的增多。由于运维工作的复杂性,带来的用户角色、账号管理混乱,违规操作和越权访问事件频发,并且无法实现有效的监管。解决方案智慧校园安全解决方案以全面、整体、长期地满足高校安全保障为目标,以体系化建设为手段,结合重点安全保护对象,实现高校信息安全建设顺利开展。1. 高校网络出口安全防护在高校网络出口部署捷普防火墙系统,防止外部攻击者通过互联网...
说明:
业务背景高校网站作为高校对外展示的窗口,不单是面向校内,同时面向社会也提供了诸多服务功能。由于面向的用户群越来越广泛,所承载的功能也越来越全面,高校网站从一个简单的信息发布和展示平台,逐步转变为汇集了招生就业、远程教育、成果共享、招标采购等众多功能的综合性服务平台。高校网站作为教育信息化建设中大量的信息资源的入口,成为高校成熟的业务展示和应用平台。在高校网站业务发展的同时,高校门户网络面临的安全隐患也在不断增加,网站挂马、网页篡改、DDoS攻击等事件层出不穷,高校网站已经逐渐成为攻击者关注的重点目标。近几年,由于攻击者攻击,造成的修改考试成绩、伪造认证证书等事件屡有发生,高校网站的安全保障工作刻不容缓。安全挑战高校网站的安全风险存在明显的高发期,在高考、招生、学生就业等敏感时期,高校门户网站、高校招生网站会聚集大量的学生及家长访问,受到利益的趋势,攻击者通常选择在这些敏感时期对高校网站进行攻击和破环。高校网站面临的主要安全威胁有以下几方面:1. 网络入侵与僵尸主机风险攻击者入侵校园内网的主机或服务器,获取相关控制权限后成为僵尸主机,以该主机或服务器为跳板,对内网进行探测扫描,发起攻击,对内网业务稳定运行造成影响。2. 网页挂马与网页篡改风险攻击者通过SQL注入、跨站脚本等攻击方式,很容易获取到高校网站的管理权限,进而篡改网页代码,加入恶意网站连接或恶意程序,造成极其恶劣的影响。3. 拒绝服务攻击风险每逢高考招生、高校信息发布或重要节日期间,高校门户网站极易被拒绝服务攻击,导致高校网站负载加剧,无法提供正常提供服务。解决方案交大捷普针对高校网站安全挑战,为高校网站设计了事前预警、事中防护、事后应急的完整安全解决方案。借助捷普网站安全监测平台,为高校客户提供7×24小时实时网站监测服务。1. 事前预警事前预警检测以预先发现系统漏...
说明:
业务背景随着高校信息化建设的不断发展和完善,各种新业务新系统不断涌现,对应用服务器数量的需求也大大增加,很多高校开始采用集中化建设的方式,加大了数据中心的建设力度。由于数据中心业务的特殊性,数据中心基础设施框架下多层应用程序与硬件、网络、操作系统的关系异常复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,攻击者和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显得力不从心。随着计算虚拟化技术的发展,虚拟化数据中心受到越来越多的高校青睐,虚拟化技术不但可降低数据中心的建设与运行成本,而且可简化服务器管理模式,实现服务器数据快速恢复,提高数据中心的管理与运行水平。但伴随虚拟化技术的使用,虚拟化安全问题也逐渐呈现出来。安全挑战高校数据中心逻辑结构高校数据中心面临的主要安全威胁有以下几方面:1. 通用性的安全威胁包括攻击者通过恶意代码或木马程序,对网络、操作系统或应用系统进行攻击;内部人员未经授权接入外部网络,或下载/拷贝软件或文件、打开可疑邮件时引入病毒;攻击者利用应用系统、操作系统中的后门程序攻击系统;授权用户操作失误导致系统文件被覆盖、数据丢失或不能使用。2. 业务信息安全性威胁包括内部人员利用技术或管理漏洞,未经授权修改重要系统数据或系统程序;攻击者利用各种工具获取身份鉴别数据,并对鉴别数据进行分析和解剖,获得鉴别信息,未经授权访问网络、系统,或非法使用应用软件、文件和数据;以及攻击者利用网络结构设计缺陷旁路安全策略,未经授权访问网络。3. 业务服务保证性威胁包括诸如攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具,恶意消耗网络、操作系统和应用系统资源,导致拒绝服务;攻击者利...
说明:
业务背景随着我国学校信息化建设的逐步深入, 学校教务工作对信息系统依赖的程度越来越高; 教育信息化建设中大量的信息资源, 成为学校成熟的业务展示和应用平台, 在未来的教育信息化规划中占有非常重要的地位。从安全性上分析, 高校业务应用和网络系统日益复杂, 外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著, 信息化安全是业务应用 发展需要关注的核心和重点。安全挑战安全物理环境是信息系统安全运行的基础和前提,是系统安全建设的重要组成部分。在等级保护基本要求中将物理安全划分为技术要求的第一部分,从物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面对信息系统的物理环境进行了规范。安全通信网络是在安全计算环境之间进行信息传输及实施安全策略的软硬件设备,是学校的重要基础设施,也是保证数据安全传输和业务可靠运行的关键,更是实现学校数据内部纵向交互、对外提供服务、与其它单位横向交流的重要保证。安全区域边界安全对安全计算环境边界、以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关软硬件设备。区域边界安全防护是实现各安全域边界隔离和计算环境之间安全保障的重要手段,是实现纵深防御的重要防护措施。通过边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证,实现保护环境的区域边界安全。安全计算环境是对系统的信息进行存储、处理及实施安全策略的相关软硬件设备,安全计算环境包括各类计算服务资源和操作系统层面的安全风险。作为学校用于信息存储、传输、应用处理的计算服务资源,其自身安全性涉及到承载业务的方方面面,任何一个节点安全隐患都有可能威胁到整个网络的安全。安全管理是必不可少的手段,所谓“三分技术,七分管理”更加凸显了安全管理的重要性,健全的安全管理体系是各种安全防范措施得以有效实施、网络系统安全实现和维系的保...
说明:
业务背景信息安全,重在人才。然而,我国的网络信息安全专业教育刚刚兴起,培养的专业人才远远不能满足社会需求,由于信息安全技术越来越受到国家的重视以及信息安全领域人才紧缺的状况,很多高校已经越来越重视信息安全专业人才培养。在近几年,各种专业学校或培训性质的学校都开始加强了对信息安全方面的建设;信息安全实验室的建设能够为日常的信息安全教学工作提供良好的实验和演示环境,为信息安全科研工作提供良好的支撑,有助于学校在安全领域教学和科研能力的较快提升;尤其对信息安全攻防实验室的建设,加强培养安全攻防实践信息安全人才,满足国家、社会、企业对信息安全保障的需求。安全挑战1. 复合型人才培养现在很多学生都面临就业难的问题,统计显示70%毕业生找工作难,而工作岗位却很多,这就说明很多毕业生和企业用人标准之间存在一定差距,很多用人单位更希望应聘者不仅具备较好的理论知识,更应具备较好的实践能力,乃至对相关行业有一定认识。这就说明掌握理论、实践能力、行业知识的复合型人才才能更具竞争优势,更能满足社会的需要。2. 新技术、新应用研究院校的重点工作之一是积极争取承担国家重大科研任务,大力促进产学研有机结合,充分发挥高校应用研究重要方面军和科技成果转化生力军的作用,大力加强基础学科研究,重点开展交叉学科研究,支持前沿高技术研究。3. 发挥工程实践作用信息安全是直接面向工程、面向应用的专业领域,因此信息安全教育需要以工程教育方式,更需要有配套的工程实践环境。通过工程实践平台搭建,学生能在该平台进行教学内容的实验和实践,有利于提高学生的动手能力,对理论技术深刻理解和掌握具有重要的意义。4. 校企合作实现共赢通过校企合作,共建网络学院或网络实训学校,使校企双方都可受益,实现共赢。对于学校,填补了计算机网络实验教学方面的空白;极大改善计算机网络实验教学的条件;具备了跟踪先进网络和通信技术,开阔学生的思路...
说明:
业务背景教育城域网的建设对于加快本地区教育信息化的步伐,以信息化带动教育的现代化,全面提高教育管理水平和教学水平有深远的意义。教育城域网的建设能推动以学生为中心的教学改革实践和信息化平台上的基础教育实验,更好地培养适应信息社会生存和发展需要的合格公民,从而达到“教会一个学生、带动一个家庭、推动整个社会”的目的。其价值体现在为使用者带来的服务体验和应用效果中。教育城域网是一对上连接省、市有关单位和CERNET、互联网主干网,对下连接各区、县教育局、学校,沟通全市教育系统各事业单位和学校,对外面向全社会服务的大型综合性信息网络。随着教育信息化进程的推进,各种不良信息、非法入侵、系统漏洞、病毒等安全问题不断涌现,对城域网和应用系统产生巨大的威胁,城域网的安全问题就变得尤其重要。安全挑战教育城域网是本地区的教育信息化的业务开展和技术实现的基础,是本地区教育部门的门户中心、数据中心和交换中心,教育服务中心、管理中心,以及本地的网上教育社区。教育城域网作为整个信息化系统的基础网络,面临的安全风险主要包括:1. 网络基础服务安全挑战教育城域网作为本地区教育信息化的主要平台,必须提供高可靠性、安全性的基础通信服务。由于教育城域网使用基础TCP/IP协议,网络层、应用层协议本身的漏洞和网络技术的开放性,将会给教育城域网带来巨大的安全隐患。教育城域网的主要网络基础安全问题包括缺乏漏洞管理、必要的边界防护措施、计算机病毒、接入安全等。2. 教育相关业务安全挑战教育城域网提供远程教育、名师名教、培训认证等各种在线业务,具有极高的商业价值,必须有良好的安全保障体系进行保护。另外,教育网的很多信息是通过教育网的门户网站来对外发布的,很多业务是对互联网开放,应从网络运营角度提供必要的手段减少安全隐患,防止攻击者入侵、DDoS攻击之类的安全威胁。3. 网络运维管理安全挑战随着...
说明:
业务背景数字化校园是以网络为基础,利用先进的信息化手段和工具—计算机技术、网络技术、通讯技术,实现对学校与教学、科研、管理和生活服务有关的所有信息资源进行全面的数字化;并用科学规范的管理对这些信息资源进行整合和集成,以构成统一的用户管理、统一的资源管理和统一的权限控制,扩展传统校园的功能,实现教育过程的全面信息化。在各教育主管部门的推进下,普通教育、职业教育的信息化程度有了很大提高,很多中小学、中高职业学校正在或已建自己的校园网络。在网络为学校教学、应用带来便利的同时,校园网内病毒泛滥,网络收到攻击、网页被篡改挂马等网络安全事故却也屡屡发生。由于各学校在信息安全方面的认识和投入不足,数字化校园的网络安全问题需要引起足够的重视。安全挑战数字化校园面临的主要网络安全威胁包括:1. 外部恶意扫描和攻击中小学校、中高职业学校的网络边界防护缺失,外部攻击者可轻松通过扫描等方式可以发现漏洞并发起攻击,同时可能会发起渗透式入侵,获取、篡改甚至破坏敏感数据,直接影响中小学校园网络的正常运作。2. 校园网站被挂马篡改外部攻击者通过SQL注入、跨站脚本等攻击方式,可以轻松的拿到校园网站的管理权限,进而篡改网页代码,影响及其恶劣。3. 校园宽带滥用校区办公人员或者学生大量访问P2P资源,消耗大量校园宽带,由于缺少专业的流量控制和应用管理,导致正常业务流量无法得到保证,进而影响大校园网的正常运行。4. 内网病毒蠕虫传播由于校园网内部病毒、蠕虫防范手段缺失,很容易造成内部的广泛传播,不仅会对核心敏感数据造成严重的威胁,甚至可能造成网络拥塞,从而导致网络中断。5. 网络违规访问行为校区办公人员、校内学生可能存在本地浏览非法网站、发表敏感信息和传播非法言论,造成恶劣社会影响,并导致相关国家法律问题。解决方案交大捷普根据信息安全等级保护的相关要求,结合普教...
说明:
业务背景“双高双普”是高质量、高水平普及九年义务教育,普及学前教育、普通高中阶段教育的简称,是由《国家中长期教育改革和发展规划纲要(2010-2020年)》确定的教育发展方针。通过加大教育经费投入,优化教育资源配置,为适龄儿童、少年创造公平接受义务教育的条件,努力提高义务教育普及水平和教育质量,不断满足经济社会发展对高素质劳动者和技能型人才的需求。随着“双高双普”建设的推进,各省区市也相继出台了具体的政策要求和评估标准,其中对学校的网络建设、现代化教育装备等均提出了明确的要求,通过学校网络化、信息化的建设,逐步实现“宽带网络校校通、优质资源班班通、网络学习空间人人通”。安全挑战在“双高双普”网络信息化建设的过程中,主要面临以下网络安全风险和威胁:1. 网络攻击与入侵网络攻击逐渐从简单的网络层攻击转向应用层攻击,基于应用漏洞的攻击以及采用非固定端口的攻击行为给校园网络安全带来了更多的挑战,计算机病毒和木马的恶意传播时刻威胁着网络的安全和稳定。如何检测应用级别的攻击成为网络设备必须面对的问题。 2. 恶意带宽消耗据统计,校园网络有60%以上的流量都被P2P等带宽消耗业务占用,严重影响了正常业务的带宽资源,更严重的将导致远程网络教学无法开展,教师无法获取互联网上的优秀教学课件,大大影响了网络及多媒体教学的质量。另外,P2P软件也逐渐成为病毒和木马传播的主要途径。3. 关键网络业务无法保障互联网是基于开放的IP网络,IP协议本身采用“尽力而为”的方式对数据进行处理,由此导致了互联网应用的无序化竞争,从而间接的导致了网络资源经常处于饱和状态。在带宽资源竞争的过程中,与教学相关的网络应用经常性的处于被动的劣势地位,迫切需要相关网络应用管理策略保证关键应用(如多媒体远程教学、视频会议、电子邮件等)和关键用户的服务体验。 4. 内...
说明:
业务背景《国家中长期教育改革和发展规划纲要(2010-2020年)》指出,我国的教育现代化和信息化已经进入加快发展和全面提高质量的新时期,在这一新时期,对教育信息化提出了新任务、新要求,其中明确提出了要推进标准化高中数字化校园的建设,加快教育信息化进程。在标准化高中数字化校园建设中,数据中心建设尤为重要,其作为学校信息化建设的核心,对于整个学校的信息化应用起着至关重要的作用。近年来,标准化高中数据中心建设已经成为教育装备工作的重点,各级教育主管部门对此项目的投资力度大幅增加。安全挑战随着互联网应用日益深化,标准化高中数据中心运行环境正从传统客户机/服务器向网络连接的中心服务器转型,受其影响,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经熟悉到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显现的力不从心。1. 面向应用层的攻击常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等,典型的应用攻击莫过于“蠕虫”。蠕虫可通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪。2. 面向网络层的攻击标准化高中数据中心面临的网络层攻击主要包括拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)等对数据中心网络带宽造成巨大压力,影响业务的正常运行。攻击者利用各种工具获取身份鉴别数据,未经授权访问网络、系统,或非法使用应用软件、文件和数据。3. 对网络基础设施的攻击数据中心象一座拥有巨大财富的城堡,然而坚固的堡垒很容易从内部被攻破,来自数据中心内部的攻击也更具破坏性。隐藏在校园网络内部的黑客不...
说明:
现状与挑战计算机及网络技术的不断发展,推动着高校信息化建设,并对高校深化教育改革、提高高校管理水平、培养新型人才等方面提出了新的要求。在这个新形势下,各大高校尝试利用私有云计算技术,为高校建设各种网站和应用系统。但云计算以及虚拟化技术的发展和应用除了给高校工作带来易扩展、易管理等特性外,同时也带来了新的安全威胁,云安全已成为制约高校私有云发展的最大因素。1.数据安全数据安全是高校建设私有云最为担心的问题,很多场景都可能会导致云中数据的丢失和泄漏。私有云中的数据泄露可能是因为有针对性的攻击,也可能是人为错误,应用程序漏洞或糟糕的安全措施导致的。一旦高校私有云中的数据泄露,那麽将对高校带来一定的价值问题,因此如何预防数据泄露变成了高校建设私有云最关心的问题。2.不安全的接口和API云计算服务商需要提供大量的网络接口和API来整合上下游,发展业务伙伴,甚至直接提供业务。但是,从业界的安全实践来看,开发过程的安全测试、运行过程中的渗透测试等,不管从测试工具还是测试方法等,针对网络接口和API 都还不够成熟,这些通常工作于后台相对安全环境的功能被开放出来后,带来了额外的安全入侵入口。3.恶意的内部员工恶意的内部人员(如系统管理员)可以访问高校私有云中潜在的敏感信息,并且可以逐渐对更关键的系统进行更高级别的访问,并最终访问数据。仅仅依靠私有云自身的一些防护措施,那麽系统将会面临巨大的安全风险。4.账号和服务劫持在云环境中,如果攻击者能够获得高校私有云的账号相关信息,就可以窃听高校的活动和交易,操纵处理高校相关数据、返回伪造的信息,将高校的私有云用户导向到假冒的站点。使用窃取的凭证,攻击者可以访问高校私有云服务的关键部分,从而破坏这些服务的机密性、完整性和可用性。5.安全监测私有云平台上的网络环境、信息系统架构与传统环境大不相同,原本单一的检查工具已经渐渐不能满足,用户越来越需要全方位的...