南京來構(gòu)助力徐州工業(yè)職業(yè)技術(shù)學(xué)院推進(jìn)智慧校園信息系統(tǒng)等級保護(hù)建設(shè)

建設(shè)背景

隨著勒索病毒和安全攻擊事件頻發(fā)，攻擊手段越來越復(fù)雜化、多樣化、隱藏化、潛伏周期也相當(dāng)長，無法預(yù)知到攻擊的爆發(fā)點,因此根據(jù)國家和江蘇省對網(wǎng)絡(luò)建設(shè)和安全、教育信息化規(guī)劃及《江蘇高校智慧校園指導(dǎo)意見》等文件精神，結(jié)合其他高校信息化建設(shè)經(jīng)驗，以及學(xué)校轉(zhuǎn)型發(fā)展及專業(yè)綜合評估和合作評估對信息化教學(xué)及服務(wù)相關(guān)要求，徐州工業(yè)職業(yè)技術(shù)學(xué)院將按照《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，參照信息系統(tǒng)等級保護(hù)相關(guān)要求，以及上級領(lǐng)導(dǎo)部門對網(wǎng)絡(luò)信息安全工作推進(jìn)力度，對標(biāo)二級的等級保護(hù)要求積極增補(bǔ)網(wǎng)絡(luò)信息安全軟硬件，提升校園網(wǎng)網(wǎng)絡(luò)信息安全水平，按期進(jìn)行等級保護(hù)測評。

建設(shè)目標(biāo)

經(jīng)過前期的多次溝通與交流，結(jié)合現(xiàn)狀，徐州工業(yè)職業(yè)技術(shù)學(xué)院此次建設(shè)需要實現(xiàn)以下功能：

1、具備前瞻性，關(guān)聯(lián)性的發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全隱患，比如早期就可以發(fā)現(xiàn)勒索病毒的特征并予以清除；暴力破解、RDP漏洞攻擊、SQL 注入、驅(qū)動人生等攻擊防御；

2、能夠?qū)崿F(xiàn)校園網(wǎng)整體安全情況一目了然，事前、事中、事后都能夠用大數(shù)據(jù)，圖形化，大屏的方式呈現(xiàn)，對校園網(wǎng)安全防御具備相當(dāng)高的指導(dǎo)性；

3、在防御校園網(wǎng)南北向安全的情況下，同時能夠?qū)崿F(xiàn)校園網(wǎng)內(nèi)部東西向流量的安全感知，對于橫向威脅能夠及時檢測，防御和響應(yīng)；

4、學(xué)校的Web流量、辦事大廳、統(tǒng)一身份認(rèn)證門戶等業(yè)務(wù)單臺服務(wù)器目前已經(jīng)無法承載，而且存在單點故障，因此需要應(yīng)用層級別的負(fù)載均衡，更優(yōu)的解決大并發(fā)、大流量情況下業(yè)務(wù)訪問的流暢度，提高用戶訪問體驗度等；

5、數(shù)據(jù)中心應(yīng)用層需要跟校內(nèi)、校外隔離，而不是傳統(tǒng)方式只防校外攻擊，同時虛擬化服務(wù)器的安全也很重要，防止某一個虛擬機(jī)被感染，東西向病毒流量蔓延，從而整個數(shù)據(jù)中心都會被影響。我們需要形成可視化、圖形化的報表，便于安全防御工作的開展；

6、未來還能夠和云端聯(lián)動，最短時間防御攻擊和修復(fù)漏洞隱患等；

7、每季度形成一個科學(xué)的安全事件文件，提前規(guī)劃和預(yù)防，便于使用者決策。

解決方案

針對徐州工業(yè)職業(yè)技術(shù)學(xué)院以上的需求，我公司提供了基于教育行業(yè)等級保護(hù)的解決方案：

1、在數(shù)據(jù)中心出口邊界處，透明部署一臺深信服下一代入侵防御系統(tǒng)NIPS設(shè)備。

深信服下一代入侵防御系統(tǒng)NIPS不僅可以應(yīng)對對漏洞攻擊、蠕蟲病毒、間諜軟件、木馬后門、溢出攻擊、數(shù)據(jù)庫攻擊、暴力破解，而且可以通過多維度的檢測技術(shù)包含基于AI和沙箱等技術(shù)實現(xiàn)識別的精確性，可及時準(zhǔn)確發(fā)現(xiàn)各類非法入侵攻擊行為，并執(zhí)行實時精確阻斷，主動而高效地保護(hù)用戶網(wǎng)絡(luò)安全。

2、在核心交換機(jī)上，單臂部署一臺深信服應(yīng)用交付AD設(shè)備。

深信服應(yīng)用交付 AD 能夠為用戶提供包括多數(shù)據(jù)中心負(fù)載均衡、多鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡的全方位解決方案。不僅實現(xiàn)對各個數(shù)據(jù)中心、鏈路以及服務(wù)器狀態(tài)的實時監(jiān)控，同時根據(jù)預(yù)設(shè)規(guī)則，將用戶的訪問請求分配給相應(yīng)的數(shù)據(jù)中心、鏈路以及服務(wù)器，進(jìn)而實現(xiàn)數(shù)據(jù)流的合理分配，使所有的數(shù)據(jù)中心、鏈路和服務(wù)器都得到充分利用。

3、在核心交換機(jī)上，旁掛部署一臺態(tài)勢感知平臺SIP和一臺潛伏威脅探針STA，構(gòu)成安全感知平臺。

深信服安全感知平臺定位為客戶的安全大腦，是一個集檢測、可視、響應(yīng)處置于一體的大數(shù)據(jù)安全分析平臺。產(chǎn)品以大數(shù)據(jù)分析為核心，結(jié)合了威脅情報、UEBA、機(jī)器學(xué)習(xí)、失陷主機(jī)檢測、大數(shù)據(jù)關(guān)聯(lián)分析、NTA流量分析、可視化等技術(shù)，對全網(wǎng)安全進(jìn)行可視，幫助用戶看清業(yè)務(wù)、看到威脅、看懂風(fēng)險，并輔助用戶決策。

4、在數(shù)據(jù)中心虛擬化服務(wù)器上，部署的深信服終端檢測與響應(yīng)EDR。

深信服終端檢測響應(yīng)平臺EDR，圍繞終端資產(chǎn)安全生命周期，通過預(yù)防、防御、檢測、響應(yīng)賦予終端更為細(xì)致的隔離策略、更為精準(zhǔn)的查殺能力、更為持續(xù)的檢測能力、更為快速的處置能力。在應(yīng)對高級威脅的同時，通過云網(wǎng)端聯(lián)動協(xié)同、威脅情報共享、多層級響應(yīng)機(jī)制，幫助用戶快速處置終端安全問題，構(gòu)建輕量級、智能化、響應(yīng)快的下一代終端安全系統(tǒng)。

價值總結(jié)

年初，通過我司實施交付后，給徐州工業(yè)職業(yè)技術(shù)學(xué)院帶來的價值如下：

1、威脅防御更加全面

縱深防御壁壘：通過網(wǎng)絡(luò)邊界和終端的安全防御全覆蓋，構(gòu)建由終端到網(wǎng)絡(luò)的縱深防御能力；

全面風(fēng)險可視：基于網(wǎng)絡(luò)側(cè)南北向惡意內(nèi)容檢測，結(jié)合終端側(cè)東西向橫向威脅檢測，構(gòu)建基于主機(jī)的橫向及外聯(lián)攻擊畫像，提供全面完整的風(fēng)險可視化能力。

2、威脅防御更加有效

熱點攻擊處置：基于網(wǎng)絡(luò)及終端的威脅線索深度關(guān)聯(lián)，網(wǎng)絡(luò)流量層分析威脅的特征結(jié)合終端層的惡意載荷行為分析，精準(zhǔn)定位諸如無文件攻擊、勒索病毒、挖礦病毒等熱點攻擊；

威脅處置閉環(huán)：在流量層發(fā)現(xiàn)惡意流量，溯源定位攻擊主機(jī)，并發(fā)起對攻擊主機(jī)的全局掃描、分析、舉證、閉環(huán)處置；在終端發(fā)生遠(yuǎn)控行為在流量層對遠(yuǎn)控主機(jī)進(jìn)行聯(lián)動封鎖。

3、安全運(yùn)維更加便捷

運(yùn)維效率提升：相對于網(wǎng)絡(luò)與終端各自為政的管理方式，網(wǎng)端聯(lián)動可實現(xiàn)全局預(yù)警，全面風(fēng)險可視，降低安全建設(shè)的總體成本；

風(fēng)險一鍵處置：依托網(wǎng)端智能聯(lián)動，通過安全運(yùn)營中心的一鍵處置，自動化處置威脅。

4、合理利用后端服務(wù)器資源

通過豐富的負(fù)載均衡算法實現(xiàn)后端服務(wù)器的合理利用，同時建立有效的健康檢查機(jī)制判斷后臺服務(wù)器的可用性，確保業(yè)務(wù)系統(tǒng)的穩(wěn)定性和可靠性。

5、高校合規(guī)持續(xù)保障

隨著《網(wǎng)絡(luò)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》以及《網(wǎng)絡(luò)安全等級保護(hù)條例》的發(fā)布，監(jiān)管層面要求企業(yè)對核心資產(chǎn)的安全性需要進(jìn)行充分保障，對于企業(yè)網(wǎng)絡(luò)與通信安全、設(shè)備和計算安全需要重點保障，滿足企業(yè)合規(guī)的需求。