校园等级保护解决方案

方案概述

本方案设计主要依据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）（以下简称《基本要求》）和《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019）、《教育行业信息系统安全等级保护定级工作指南（试行）》等相关标准政策，根据高校网络的实际情况和业务特点，本着“适度安全，保护重点”的原则，按照“一个中心，三重保护” 的思想，将高校信息网络进行合理的安全域划分；并根据各个安全区域的特点分别有针对性地设计保护措施和安全策略，Zui大限度提升网络安全防御能力，同时也符合“整体防护、突出重点”的建设要求。

安全技术措施设计

1、通用安全设计

高校网络安全技术体系的设计内容主要涵盖安全管理中心、安全通信网络、安全区域边界、安全计算环境：

安全通信网络设计

l关键网络节点、设备及链路需设计冗余，保证高可用性；

l部署防火墙提供可靠的安全域隔离；

l采用符合国密要求的VPN系统保证远程通信过程中数据的保密性及完整性。

安全区域边界设计

l部署网络准入控制系统，对非授权设备私自接入内部网络的行为进行控制；

l部署主机监控与审计系统，对内部用户非法外联行为进行控制；

l部署防火墙及网络DLP实现基于应用协议和应用内容的访问控制；

l部署抗DDoS与IPS功能（集成于擎天防火墙）、WAF、IDS、APT安全监测等，对网络攻击特别是新型网络攻击行为进行检测、分析、告警和防范；

l部署防病毒网关（集成于擎天防火墙）、僵木蠕系统，在关键网络节点处对恶意代码进行检测和防范；

l部署网络审计系统，对用户的网络访问行为进行审计和数据分析。

安全计算环境设计

l部署堡垒主机对管理用户进行权限管理；

l部署数据库审计系统，对重要的用户行为和重要安全事件进行集中审计；

l部署漏洞管理、基线管理、EDR等系统保障终端及服务器的安全；

l采用密码技术，保障重要数据的完整性、保密性；

l部署容灾备份系统，保障重要数据的可用性；

l对重要网站系统提供网页防篡改、网站安全监控等保护机制。

安全管理中心设计

l通过堡垒主机实现集中的身份鉴别、访问授权和操作审计；

l部署网络管理系统，对网络和信息基础设施的运行状况进行集中监控；

l部署日志审计系统，对分散在网络中的审计数据进行收集汇总和集中分析；

l部署态势感知和安全运营平台，支撑安全监测、分析、预警、响应、处置、追溯等安全管理和运维工作。

2、云计算安全设计

l部署虚拟化的安全设备或安全资源池，实现对云租户南北向流量的检测与防护；

l部署虚拟化分布式安全防护系统，实现对云主机东西向流量的检测与防护；

l部署EDR，实现云主机本地的威胁检测与防护；

l部署云安全管理中心完成统一的策略管理、安全监控、策略迁移和自动化部署。

3、移动互联安全设计

无线接入安全设计

l通过在受控边界处部署防火墙与有线网络实现安全隔离；

l部署无线管理平台，提供无线信号覆盖的热力图，基于热力图进行无线AP的位置、数量、信道的选择；

l通过无线管理平台对接入无线网络的移动终端设备进行身份认证，身份认证支持采用符合国密要求的密码算法；

l部署移动终端管理系统，对非授权无线接入设备和非授权移动终端的接入行为进行定位和阻断。

移动终端安全设计

部署EMM，实现对注册登记的移动设备的远程控制和全生命周期管控，在移动设备丢失或被盗后，通过网络定位搜寻设备位置、远程锁定设备、远程擦除设备上的数据，防止数据泄露。

移动应用安全设计

采用EMM对教育APP进行上线前全面安全检测、安全加固、提供黑白名单功能，控制应用软件的安装、运行。