业务背景

随着我国学校信息化建设的逐步深入, 学校教务工作对信息系统依赖的程度越来越高; 教育信息化建设中大量的信息资源, 成为学校成熟的业务展示和应用平台, 在未来的教育信息化规划中占有非常重要的地位。从安全性上分析, 高校业务应用和网络系统日益复杂, 外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著, 信息化安全是业务应用 发展需要关注的核心和重点。

安全挑战

安全物理环境是信息系统安全运行的基础和前提，是系统安全建设的重要组成部分。在等级保护基本要求中将物理安全划分为技术要求的第一部分，从物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面对信息系统的物理环境进行了规范。

安全通信网络是在安全计算环境之间进行信息传输及实施安全策略的软硬件设备，是学校的重要基础设施，也是保证数据安全传输和业务可靠运行的关键，更是实现学校数据内部纵向交互、对外提供服务、与其它单位横向交流的重要保证。

安全区域边界安全对安全计算环境边界、以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关软硬件设备。区域边界安全防护是实现各安全域边界隔离和计算环境之间安全保障的重要手段，是实现纵深防御的重要防护措施。通过边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证，实现保护环境的区域边界安全。

安全计算环境是对系统的信息进行存储、处理及实施安全策略的相关软硬件设备，安全计算环境包括各类计算服务资源和操作系统层面的安全风险。作为学校用于信息存储、传输、应用处理的计算服务资源，其自身安全性涉及到承载业务的方方面面，任何一个节点安全隐患都有可能威胁到整个网络的安全。

安全管理是必不可少的手段，所谓“三分技术，七分管理”更加凸显了安全管理的重要性，健全的安全管理体系是各种安全防范措施得以有效实施、网络系统安全实现和维系的保证，安全技术措施和安全管理措施可以相互补充，共同构建完整、有效的网络安全保障体系。

解决方案

1.外网入口

抗DDoS系统：拦截洪水攻击

防火墙：提供访问控制与NAT

入侵防护：提供系统应用层的攻击检测与拦截

    2.数据中心

防火墙：提供访问控制和入侵防护模块，拦截垃圾邮件、钓鱼与病毒邮件

Web防护：提供网页篡改挂马等攻击拦截

私有云安全：通过终端检测响应软件，实现私有云东西向的攻击防护

网页防篡改：提供主机网站文件篡改防护

病毒威胁防护：提供木马蠕虫病毒的防护

APT防护：深入挖掘0day漏洞与木马攻击

    3.二级学院防护

防火墙：提供访问控制

Web防护：利用数据中心Waf，通过学校反向代理进行防护；学校未建反向代理的也可通过云WAF进行防护

服务器端：高级威胁检测、病毒防护和主机防篡改

    4.各实验楼、教育楼防护

防火墙：为防止各实验楼教学楼自建信息系统或主机的安全威胁传播，建立边界访问控制

终端防护：病毒防护

    5.检测核查

漏洞扫描系统：扫描系统应用漏洞，如windows、linux，Unix等漏洞

Web扫描系统：扫描web网站漏洞，如SQL注入，XSS等漏洞

网站资产检测分析：主动探测设备端口、服务、组件等企业资产（御知）

配置核查系统：扫描设备基线配置，如密码策略，锁屏策略等

    6.管理审计

上网行为管理与审计：控制用户上网行为，并审计异常访问信息。

网络审计：提供全网的网络安全审计，满足等保要求

数据库审计：提供业务数据的查询删除记录。

运维审计：控制运维人员的访问行为，同时对运维人员的操作进行字符、视频、文件传输等监控。

    7.安全监测

云端监测：持续监控校园网站的安全情况，如是否存在敏感字词、篡改、挂马等

    8.咨询服务

等级保护定级/备案服务

等级保护安全整改服务

等级保护终测服务

客户价值

■ 提升安全运维效率, 节约学校人员成本；

■ 避免或降低安全事件导致的经济损失和声誉损失；

■ 保护学校IT资产的投资；

■ 提高学校对安全的投入产出比；

■ 建设过程遵循等级保护要求，结合等计划方案进行设计。