启航赋能课件模板 ******
沈阳凡石科技有限公司
2023
高校网络安全等保解决方案
2023.10
启航赋能课件模板 ******
沈阳凡石科技有限公司
2023
高校网络安全等保解决方案
2023.10
近些年高校网络安全事件盘点
勒索病毒 个人隐私泄露 网页篡改
考试成绩篡改 黑客攻击
第五十九条
网络运营者不履行本法第二十一条、第二十五条规定的网络安全
保护义务的,由有关主管部门责令改正,给予警告;拒不改正或
者导致危害网络安全等后果的,处一万元以上十万元以下罚款;
对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、
第三十六条、第三十八条规定的网络安全保护义务的,由有关主
管部门责令改正,给予警告;拒不改正或者导致危害网络安全等
后果的,处十万元以上一百万元以下罚款;对直接负责的主管人
员处一万元以上十万元以下罚款。
等级保护刻不容缓!
法律责任明确-等保2.0安全合规势在必行
教育行业面临新的安全挑战
安全
挑战
暴露面越来越多
敏感资源越来越集中
隐蔽性越来越强
攻击越来越频繁
加密传输、隐蔽信道、代码混淆 互联网+与云计算技术,导致边界发生变化
攻击程序自动化,恶意程序工程化 业务深度融合,攻击目标价值扩大
对抗的要求---我们是否能够“持续性的防护、检测、响应,并能提前分析预警”
高校网络安全四大问题及三大对策
学校网络安全管理
合力不足
管理制度与学校组织架构
没有有机结合,没有明确
的安全监督、漏洞风险全
生命周期管理的流程。
网络安全工作技术
能力不足
学校缺乏专业网络安全团
队支撑,技术部门责任担
当有待加强。
信息资产全生命周
期管理滞后
校园信息资产的状态缺乏
有效的梳理,无校级管理
制度和流程,导致域名、
IP地址等管控力度不足。
网络安全防护体系
被动
漏洞信息和安全事件的应
急处置和整改监督是重点
,事前预警和管控、网站
和信息系统上线检测和持
续监控都有待加强。
依托政策
依托于政策要求,将制度与学校组织架构结合,
设定校级、院系级、系统级多级的责任人,打
造安全问题闭环管理平台。
找准抓手
信息资产是校园网络安全的抓手,将校园信息
资产全生命周期的梳理、管控贯彻到底。
统筹推进
校企协作,技术平台与管理制度融合,实现漏
洞全生命周期管理,打造主动安全管理平台。
四大问题 三大对策
解决方案核心思路:抓资产 摸清家底
◼ 促进关键信息基础设施的运营者以及研究机构、
网络安全服务机构之间的网络安全信息共享;
◼ 针对资产管理,应设定“三元角色”:技术负
责人、管理责任人、应急联系人,并严格划分
权限,制定相应的管理制度宣贯执行。
1、等保2.0对信息资产管理的要求
◼ 信息系统的类型众多,建设单位、技术架构、
部署模式均不尽相同,并且以往的工作中,资
产梳理往往滞后于系统建设,造成管理的盲区;
◼ 通过信息系统资产与学校组织架构的有机结合,
才能够真正确保安全责任落实到位。
2、学校信息系统安全科学有效管理的要求
为什么需要抓资产?
信息资产是网络安全的基础,不仅满足政策要求,更是支撑工作需求
高校网络安全等级保护解决方案
等保2.0解决方案建设思路
两个维度:
1.技术维度
一个中心:安全管理中心
三重防护:
⚫ 计算环境安全
⚫ 通信网络安全
⚫ 区域边界安全
2.管理维度
⚫ 安全管理策略及制度
⚫ 安全管理机构与人员
⚫ 系统安全建设及运维
《信息安全技术 网络安全等级保护安全设计技术要求》
等级保护设计思路-一个中心三重防护
安全管理中心
统一监管集中管控
安全区域边界
安全通信网络
安全计算环境
边界隔离
边界访问控制
边界入侵防范
边界恶意代码过滤
边界完整性保护
边界安全审计
通信完整性和保密性
流量管控审计 主机安全加固
身份鉴别
数据库审计
权限管理
主机防病毒
应用系统安全
主机安全审计
资源控制
剩余信息保护
数据备份与恢复
抗抵赖技术
安全通信网络层面
双链路设备冗余
HTTPS,VPN
可信计算
应提供通信线路、关键网络设备和关键计算设备
的硬件冗余,保证系统的可用性。
应采用密码技术保证通信过程中数据的保密性。
在应用程序的关键执行环节进行动态可信验证
网络架构
通信传输
可信验证
安全区域边界层面
AC,NGFW
应限制无线网络的使用,保证无线网络通过受控
的边界设备接入内部网络。
边界防护
NGFW,DLP
应对进出网络的数据流实现基于应用协议和应用
内容的访问控制。
访问控制
沙箱
反垃圾邮件系统
应在关键网络节点处对垃圾邮件进行检测和防护,
并维护垃圾邮件防护机制的升级和更新。
入侵防范
ACG,流量探针
应能对远程访问的用户行为、访问互联网的用户
行为等单独进行行为审计和数据分析。
安全审计
可信计算 可信验证 在应用程序的关键执行环节进行动态可信验。
安全计算环境层面
堡垒机 身份鉴别
应采用口令、密码技术、生物技术等两种或两种以上组合的
鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应
使用密码技术来实现。
主机加固 访问控制 访问控制的粒度应达到主体为用户级或进程级,客体为文件、
数据库表级。
终端防病毒,沙箱 恶意代码
防范
数据实时备份
业务高可用架构
数据备
份恢复
应提供异地实时备份功能,利用通信网络将重要数据实时备份
至备份场地。
VPN,加密机 数据
保密性
应采用密码技术保证重要数据在传输/存储过程中的保密性, 包括
但不限于鉴别数据、重要业务数据和重要个人信息等。
应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制
及时识别入侵和病毒行为,并将其有效阻断。
安全管理中心层面
安全设备纳管
安全管理区建设
FW
SOC
日志审计系统
主机加固
态势感知系统
安全管理 应通过安全管理员对系统中的安全策略进行配置。
集中管控 划分单独的安全管理区域,并建立安全的信息传输路径。
集中管控 应对网络链路、安全设备、网络设备和服务器等的运行 状
况进行集中监测; 审计记录留存时间符合法律要求。
集中管控 应对安全策略、恶意代码、补丁升级等安全相关事项进行
集中管理;并对各类安全事件进行识别、报警和分析。
通用环境等保要求
等
保
2.0
安全通
信网络
安全区
域边界
安全计
算环境
安全管
理中心
网络架构 通信传输 可信验证
边界防护 访问控制 入侵防范
恶意代码和垃圾邮件防范
安全审计 可信验证
身份鉴别 访问控制 安全审计
可信验证 数据
完整性
数据
保密性
数据备
份恢复
剩余信
息保护
个人信
息保护
系统管理 审计管理 安全管理
恶意代
码防范 入侵防范
集中管理
防火墙
VPN
ACG
WAF
IPS/IDS
日志审计系统
主机/网络杀毒
堡垒机
漏洞扫描
数据库审计
安全运营平台
I类院校 II类院校 III类院校
(01)办公与事务管理 第二级 第二级 第一级
(02)公文与信息交换 第二级 第二级 第一级
(03)人事管理 第二级 第二级 第一级
(04)财务管理 第二级 第二级 第一级
(05)资产管理 第二级 第二级 第一级
(06)后勤管理 第二级 第二级 第一级
(07)学生教育工作管理 第二级 第二级 第一级
(08)学生体质健康数据管理 第二级 第二级 第一级
(09)档案管理 第二级 第二级 第一级
(10)党务管理 第二级 第二级 第一级
(01)教学改革管理 第二级 第二级 第一级
(02)学科、专业管理 第二级 第二级 第一级
(03)教务教学管理 第二级 第二级 第一级
(04)教学资源管理 第二级 第二级 第一级
(05)教学质量评估与保障 第二级 第二级 第一级
(06)科研管理 第三级 第二级 第一级
(07)科研情报 第三级 第二级 第一级
分类 信息系统 建议安全保护等级
(1)校务管理类
(2)教学科研类
(01)招生录取管理 第三级 第二级 第一级
(02)学生就业管理 第二级 第二级 第一级
(01)门户网站 第三级 第二级 第一级
(02)论坛、社区类网站 第三级 第二级 第一级
(03)数字图书馆 第二级 第二级 第一级
(04)电子邮件 第二级 第二级 第一级
(05)视频服务 第二级 第二级 第一级
(06)安防监控 第二级 第二级 第一级
(07)校园一卡通 第三级 第二级 第一级
(08)内网门户与身份认证 第二级 第二级 第一级
(09)公共数据库 第二级 第二级 第一级
(10)运维管理 第二级 第二级 第一级
(4)综合服务类
(3)招生就业类
高校网络安全等级保护定级工作指南
学校信息系统划分在指南中定义为三种,可分
为:
• 重点建设类高等学校信息系统(I类):本
科类院校,教育部直属类院校,省属类院校,
个人信息留存超100万以上;
• 高等学校信息系统(Ⅱ类):本科、大专类
院校,省、市教育厅直属院校;
• 中小学校(含中职中专院校)信息系统(Ⅲ
类):中职、中专、中小学类院校;
等保测评周期:
1、三级以上定级对象要求每年至少开展一
次测评
2、二级信息系统建议每两年开展一次测评
高校等级保护解决方案整体架构
二级等保安全产品列表
必须选配 建议配置
下一代防火墙 负载均衡
终端安全管理、杀毒软件 安全态势感知平台
入侵防御系统 SSL VPN
Web应用防火墙
日志审计系统
运维审计系统
上网行为管理
三级等保安全产品列表
必须选配 建议配置
下一代防火墙 负载均衡
终端安全管理、杀毒软件 安全态势感知平台
入侵防御系统 SSL VPN
Web应用防火墙 网页防篡改
日志审计系统 漏洞扫描系统
运维审计系统 抗DDOS
上网行为管理 主机安全加固
数据库审计
数据备份
高校等级保护解决方案建设清单
校园网安全等保对应安全产品全景图
简单描述为APP区和
DB区以及部分Web区
简单描述为运维管理
相关的功能区域
泛指全网的通信设施,
包括路由、交换等
泛指广域网、互联网
等接入边界
安全域划分
通过网络安全域的划分,可以把一个复杂的大型网络
系统安全问题转化为较小区域更为单纯的安全保护问
题,从而更好地控制网络安全风险,降低系统风险
安全域 功能要求 配套产品举例
安全计算
环境(校园数
据中心、教学
办公区域)
用户身份鉴别 系统漏洞扫描、数据库漏洞扫描
WEB漏扫、服务器负载均衡
日志审计系统、身份鉴别系统
数据库审计系统
终端安全管理(服务端)
数据备份
配置核查(安全服务) 、网络版防病毒系统*1(主机杀毒)
自主访问控制
标记与强制访问控制
系统安全审计
用户数据完整性保护
用户数据保密性保护
数据备份与恢复
系统可执行程序保护 操作系统配置优化(安全服务)
安全区域
边界(校园网
区域边界、校
园网出口、
DMZ区)
区域边界访问控制 网闸、防火墙
防毒墙、IPS
上网行为管理、WAF
DDOS防护、云安全监测中心
网页防篡改、 链路负载均衡
区域边界协议过滤
区域边界安全审计
区域边界完整性保护
安全通信
网络(师生宿
舍区、教学办
公区)
网络安全审计
VPN
加密机
终端安全管理(客户端)
网络数据传输完整性保护
网络数据传输保密性保护
网络可信接入
安全管理
中心(校园运
维管理区)
系统管理 安全管理平台(安全态势感知)
堡垒机
终端安全管理(客户端)
安全管理
审计管理
计算环境域
安全管理域
网络通信域
区域边界域
高校网络安全等级保护建设经典案例
东北大学云数据中心安全建设
⚫ 项目背景:
东北大学以智慧校园建设出发点,建设校级数据中心云计算平台,实现资源灵活扩
展、按需分配,云数据中心平台的安全建设以及租户安全的建设
⚫ 解决方案:
以高校网络安全等级保护建设为标准,通过在数据中心部署安全态势感知、2台
M9000、2台F5000-AI及W2080、L5080、A2200-G、A2025、D2055-G、综
合日志审计等整套等保2.0安全产品实现全校数据中心的云平台安全防护以及租户
安全防护。
⚫ 方案价值:
1、打造校园主动安全平台,以态势感知为核心,联动安全设备自动下发策略实现
校园安全云平台的防护。
2、满足校园云平台等级保护建设要求,实现云数据中心的全方位的安全防护。
南京邮电大学校园网出口建设
⚫ 项目背景及需求:
南京邮电大学的出口设备吞吐能力无法满足业务需求,学校出口带宽近20G,校园内采用传统网
络安全防护措施,无法满足越发复杂的应用系统安全需求。
⚫ 解决方案:
1、校园出口
在校园网出口部署2台M9K防火墙,起NAT、LLB、IPS等功能授权,实现了出口链路的负载均衡
以及校园网出口的安全防护。
2、数据中心
为提高数据中心核心业务系统全面安全防护能力,在数据中心部署2台高性能综合安全网关作为
数据中心出口安全防护设备。
⚫ 方案价值:
简化了出口架构,实现了出口链路的智能负载均衡,同时M9000安全网关提供超百G安全吞吐能
力,为校园网出口实现了安全防护和全部业务流量安全防护无瓶颈。
安全服务助力安徽大学等保建设
⚫ 项目背景及需求:
为贯彻落实国家、教育部信息安全工作部署,安徽大学急需完善信息系统安全技术防护措施、安全管理制度、安全运
维体系,从而全面建设完整的信息安全防护体系,顺利通过信息系统等级测评。
⚫ 安全服务解决方案:
1、等保建设服务
基于等级保护的要求,提供的服务内容包括:等保差距分析、安全漏洞检测、安全基线检查、渗透测试、安全管理制
度建设。
2、安全巡检服务
每个季度对安徽大学的核心业务系统巡检,巡检工作包括安全漏洞扫描、安全基线检查、日志检查,了解业务系统安
全现状及可能面临的安全风险。
3、安全加固整改服务
对信息系统所依赖的服务器操作系统、数据库、网络及安全设备进行配置安全加固,保障信息系统的安全稳定性。
4、应急响应和保障服务
当发生安全事件,委派相关工程师在第一时间赶往客户网络事发地点,在现场为客户查找事发原因并解决相应问题,
并出具详细的安全响应服务报告。并在两会、19大等重大时刻,提供安徽大学的信息系统保障服务。
⚫ 方案价值:
1、为安徽大学信息系统提供等级保护合规咨询服务,帮助安徽大学通过等保测评。
2、建立结构化的信息安全保障体系,整体提高安徽大学信息安全防护能力,满足国家等级保护要求。
3、对信息系统进行安全巡检、漏洞加固,加强网络、系统和设备抵御攻击和威胁的能力,整体提高网络安全防护水平。
高校安全解决方案实践
◼ 哈尔滨工业大学 ◼ 吉林大学 ◼ 南京邮电大学 ◼ 中央民族大学 ◼ 西北师范大学 ◼ 中国民航大学 ◼ 深圳大学 ◼ 黑龙江大学 ◼ 延安大学 ◼ 内蒙古科技大学 ◼ 内蒙古民族大学 ◼ 包头师范大学 ◼ 山东行政学院 ◼ 江西科技学院 ◼ 湖南理工大学 ◼ 山东科技大学 ◼ 辽宁工业大学 ◼ 武汉纺织大学
校园网出口
◼ 南开大学 ◼ 南京大学 ◼ 山东大学 ◼ 湖南大学 ◼ 中南财经政法大学 ◼ 中国石油大学 ◼ 华南师范大学 ◼ 北京交通大学 ◼ 云南大学 ◼ 东北大学 ◼ 四川师范大学 ◼ 天津广播电视大学 ◼ 南京审计大学 ◼ 青岛大学 ◼ 贵州省水利水电职业技
术学院
◼ 天津大学 ◼ 东北大学 ◼ 南开大学 ◼ 三亚市教育局 ◼ 青岛教体局 ◼ 韩山师范学院 ◼ 渭南师范学院
校园数据中心安全 主动安全管控平台
◼ 清华大学 ◼ 天津大学 ◼ 东北大学 ◼ 北京邮电大学 ◼ 华中农业大学 ◼ 中国医科大学 ◼ 湖北工业大学 ◼ 江苏科技大学 ◼ 云南经管学院
校园云安全
沈阳凡石科技有限公司