用“互联网+”的模式培养高素质的人才,是时代发展的趋势,但这一机遇中又充满挑战。在黑客攻击高校网络威胁频发的当下,四川大学锦江学院以落实等级保护工作为核心,借助锐捷网络提供的下一代防火墙、Web应用防火墙、网站防篡改系统、身份认证系统,构建起基于大数据分析技术的态势感知平台,全面提升网络通信、应用数据、身份管理等方面的风控能力,打造出全方位、立体化的防护新架构,为高校网络信息安全市场树立起新的标杆。
图1:四川大学锦江学院
“互联网+教育”乘风波浪 小常青藤“等保”建设立新标
四川大学锦江学院(以下简称“学院”)是经国家教育部批准、由百年名校四川大学举办的独立学院,其全球视野、全新理念以及与国际教育水准接轨的举措,正引领学院向全国一流本科大学,中国式的“小常青藤”目标迈进。
网络信息化作为实现这一目标的重要“引擎”,其安全防护的重要性不言而喻,为进一步提高学院网络信息系统的安全保障能力和防护水平,履行《网络安全法》关于信息安全等级保护的责任,学院从2017年年初就全面启动重要管理信息系统的信息安全等级保护测评和备案工作。
学院信息管理中心从管理信息系统(网站)的网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统运维管理、系统建设管理等方面进行了自查,并借助第三方信息安全等级测评机构与锐捷网络等专业厂商的服务,找出了系统安全现状与等级要求的差距,通过现状数据汇总分析,形成了完整准确的符合等级保护相关标准安全系统建设的需求。具体包括以下四个方面:
第一、网络和通信安全。主要是指安全域的边界防护设备需要具备细粒度的应用级安全策略控制能力,对进出网络的信息内容进行过滤,实现对内容的访问控制。
第二、应用和数据安全。门户网站向来是黑客攻击的重要目标,应采用专业的应用层防护设备提升门户网站安全防护能力,避免网站被恶意篡改、数据泄漏等安全事件发生。
第三、设备和计算安全。不仅需要对各类用户的身份信息进行有效甄别,还对重要设备采用同一用户两种及以上的身份鉴别技术,增加覆盖主要网络设备的网络安全审计机制和技术措施。
第四、安全数据集中管控。需要对分散在各个设备上的审计数据进行收集汇总和集中分析,对网络中发生的各类安全事件进行识别、报警和分析,形成主动的风控机制。
构建立体化防御架构,满足“等保2.0”新要求
事实上,在等保2.0的规范中,并没有具体建议使用任何一种产品,它只是要求你的网络安全空间达到某个安全程度的标准。而在达成这一要求的整个过程中,能够解决“痛点”、满足应用、支持未来扩展的网络安全产品,无疑是一条最快的捷径。为此,学院在锐捷网络的支持下,发挥新一代安全设备的特性,有针对性地将整个网络体系的短板和漏洞逐一补齐,发挥大数据技术的分析能力,满足等保2.0的新要求。
n 部署下一代防火墙,安全域实现“智能感知”
针对网络边界安全的颗粒化访问控制,学院采用了锐捷RG-WALL 1600下一代高性能防火墙,在满足法规的要求下,利用“智能感知”特性,将用户、资源、应用的访问控制实现智能关联。此外,通过深度状态检测、外部攻击防范、内网安全、流量监控、网页过滤、应用层过滤等功能,发挥ASIC硬件芯片性能优势,突破了硬件处理器对应用层安全检测的性能瓶颈,在确保极速上网体验的基础上实现了防病毒、IPS、行为监管、反垃圾邮件等功能。
图2:锐捷RG-WALL 1600打造“智能感知”边界安全
n 网站加装“安全锁”,严防数据篡改、泄露
针对门户网站和重要信息系统的高危特性,学院采用了锐捷网站立体防护方案,利用防止网页内容被篡改,防止网站数据库内容泄露,防止口令被突破,防止系统管理员权限被窃取,防止网站被挂马和植入病毒、恶意代码、间谍软件等特性,对信息泄露、SQL注入,XSS攻击等起到了有效拦截的作用,实现动态化的主动防御。
图3:整体解决方案确保门户网站安全
n 建立堡垒机,确保学院核心业务访问安全
针对学院已经建立的财务、OA、教务、考务、学籍学历、招生录取等系统的访问需求,锐捷提供了堡垒机系统,通过多因素认证、访问授权、行为审计等设置,确保老师和学生的私密信息安全,将人员、设备、业务、行为、数据等多元因素化整为零。
图4:堡垒机实现用户访问和行为审计
n 网络威胁实时预警,大数据平台提升集中管控能力
在“等保2.0”的要求中,明确提出了要对部署在网络中的设备进行管控、数据进行汇总和集中分析、对安全事件进行识别、告警、分析的具体要求。结合上述要求,学院通过部署锐捷RG-BDS大数据平台系统,解决了之前无法对海量安全日志进行挖掘与利用的难题,实现了多种跨厂商设备日志的自动化收集、标准化和关联分析,降低了安全运维人员的时间成本和技术门槛,实时对网络中存在的安全问题进行精准的预警和定位。
图5:锐捷RG-BDS大数据平台打造全方位态势感知能力
为高校网络空间“除霾”,让教育信息化“自由展翅”
在“互联网+教育”的风口上,各大高校的教育信息化已跨入“智慧校园时代”,教育新生态蓬勃发展。但与此同时,网络安全事件也频频发生,不仅导致了教学任务中断故障和相关经济损失,更可能对教育事业带来恶劣影响。而通过一系列安全管理策略的重新梳理,新一代安全设备陆续上线,学院信息化安全工作中的难题迎刃而解,不仅顺利通过了等级保护测评,更打造出了能够螺旋上升,不断自我加固完善的网络威胁防御体系。
针对此次顺利通过“等保”评测和备案工作,学院信息化领导表示:“互联网+”高校教育是一种新的教育变革思想,促使高校教育从封闭走向开放。而《网络安全法》的实施,使学校管理者身上担负的责任更重了。通过本次等保评测工作,学院不仅扫出了隐患、死角、雷区,更在锐捷整套解决方案的基础上实现了统一认证、立体防控、重点监管、分权运维、威胁感知,用大数据预警技术形成了安全防护的良性循环,能够快速地将威胁情报转换为防御方法,也让教育信息化的创新有了更广阔、更自由的“展翅”空间。