解决方案 Case

省级教育资源中心安全解决方案

日期: 2018-12-16
浏览次数: 17

业务背景

2013年4月,教育部下发《国家教育管理公共服务平台省级数据中心建设指南》,大力推动基础教育资源中心大规模建设。建设指南提出省级数据中心首先要承载国家信息系统的部署运行,也要支撑本省自建应用系统及其他应用系统的部署运行,为本级及所属各级教育行政部门和学校提供信息系统和数据库存储与服务。服务器框架要满足可用性和可扩充性,当应用系统增加、负载增大时,可以通过层内横向的服务器扩充,满足应用的服务器资源需求,可以实现服务器系统“统一规划、分步扩充”的战略。

建设省级教育管理公共服务门户、教育信息公共服务平台、省级电化教育馆等基础教育资源平台,可实现数据集中化、管理集约化、业务精细化,建设省级数据中心是教育信息化发展的必然趋势。伴随着网络中数据交换频繁、资源密集,数据中心成为充满着巨大诱惑的数字城堡,任何防护上的疏漏必将导致不可估量的损失,因此构筑一道安全地防御体系将是这座数字城堡首先面对的问题。


安全挑战

通过省级基础教育资源中心建设,实现了资源的集中管理和优化配置,提高的业务处理性能和访问效率。同时,由于教育行业敏感数据集中存储,访问行为复杂多变,使基础教育资源中心的安全运营受到很大威胁,成为信息安全敏感地带。基础教育资源中心面临的主要安全威胁包括:

1. 外部攻击和入侵

教育管理公共服务平台信息系统数据中心建设涉及到大量的网络设备,服务器,存储设备,主机等,其中不可避免地存在着可被攻击者利用的安全弱点和漏洞。

根据权威机构图统计,DDoS是数据中心面临的主要安全威胁之一,有超过20%的数据中心异常是由于DDoS攻击导致的。DDoS攻击会大量消耗数据中心的业务带宽和计算资源,严重影响数据中心的正常运营。


2. 敏感信息破坏和泄露

随着相关信息的数据化,加之内部安全管理制度不够完善,内部或第三方系统运维人员可以借助自身职权,利用数据库操作窃取相关敏感信息,篡改数据、非法出售等,来牟取个人私利。

教育管理公共服务平台数据中心汇集了大量的敏感数据信息,而这些数据在传输过程中极易被窃取或监听,严重损害教育管理机构的公共形象,甚至可能引发法律纠纷。

由于信息业务系统存有漏洞被攻击者攻击,黑市交易敏感信息非法获利的政府安全事件频频发生。


3.安全管理手段缺失

未来随着应用系统的不断发展,教育管理公共服务平台的信息系统应用不断增加,其网络结构也变得越来越复杂,各项系统的使用和配置也变得十分复杂,维护和检查成为一项繁重的工作。

在数据中心安全建设过程中,部署了大量的安全防护和检测设备,但是由于管理和维护困难,这些安全设备的检测和防护效果大打折扣,各设备独立工作,没有有效的资源调度和信息共享,没有形成有效的防御体系。


解决方案

交大捷普根据数据中心业务特点,结合国家信息安全等级保护基本要求,与数据中心整体技术框架相配合,建立相配套的安全保障体系框架,如图所示:


省级教育资源中心安全解决方案


根据省级基础教育资源中心风险分析及现状分析,提供了针对整个数据中心分区分域整体的安全解决方案。省级基础教育资源中心安全解决方案拓扑设计如图所示:


省级教育资源中心安全解决方案


1. 对外互联区

对外互联区安全防护设备主要由双DDoS防护、双路由器、双链路负载均衡器、双入侵防护、双主干防火墙以及双核心数据交换机共同组成。在网络边缘部署双冗余路由器配合接入外部三条以上运营商和专网接入能力,互联网线路经捷普抗拒绝服务系统接入路由器后串接链路负载均衡器,做DDoS防护网络路由的智能选择判断;在链路负载均衡器之后串接双机捷普入侵防御系统和双机捷普智能防火墙,作为内网主干的核心网主干的核心安全设备使用;在防火墙之后最后接入主干双核心交换机。


2. 外部服务区

所有对外提供的Web服务器都放置在外部服务器区,前端配置捷普Web应用防火墙系统、捷普VPN系统等设备,同时配置应用负载均衡。

第三方(下级教育行政主管部门、各级各类学校、企业等)服务器等设备全部集中放置在外部服务区。


3. 应用服务区

应用服务器区主要承载数据中心内的应用服务器,包括中间件服务器、GIS服务器、BL服务器等应用服务器。应用服务器区前端放置捷普下一代智能防火墙、捷普服务器群组防护系统,提供七层应用防护。


4. 数据库服务区

数据库服务区中放置数据库服务器,数据库服务器和前置应用等服务器采用“应用+数据库配合”模式。数据库服务器区前端放置捷普数据库审计与风险控制系统。


5. 内部接入区

省委教育工委和省教育厅内部工作人员电脑通过该接入网络。前端串接宽带管理和防病毒网关设备,用于内网的宽带管理和安全防护。


6. 运维管理区

网络管理区主要放置一系列网络管理设备、安全管理设备,包括捷普安全运维管理系统、捷普网络脆弱性智能评估系统、捷普高性能网络信息审计系统、捷普信息安全一体化集中管理系统等。


客户价值

■ 符合数据中心等级保护相关标准和要求。

■ 构建完整的教育省级数据中心信息安全一体化防护体系。

■ 合理规划业务分布,实现有效的边界控制和权限管理。

■ 有效防止教育敏感信息的破坏和泄露。

■ 保障教育业务系统的安全稳定运行。


Copyright ©2018 西安交大捷普网络科技有限公司 陕ICP备18022218号-1
犀牛云提供企业云服务