“以教育信息化带动教育现代化,把教育信息化纳入国家信息化发展整体战略”。目前,教育信息化总体上处于初步应用整合阶段,正在向融合创新阶段推进,实现了教育信息化发展理念由以基础建设为主向以应用驱动为主的重大突破。这一重大突破的重要表现就是数字化校园向智慧校园的升级转型,数字校园以建设校园网络为基础,利用先进的计算机、网络、通讯技术,实现学校对教学、科研、教务管理有关的所有信息资源进行全面的数字化,而智慧校园是依托云计算、虚拟化、物联网、网络安全等技术实现学校、老师、学生、家长安全的、多维度的连接,将教学、科研、教务管理等资源与应用系统整合,实现智慧化服务和智慧化管理的校园模式。
在教育信息化的整体发展历程中,特别是在数字校园向智慧校园升级时,网络安全的重要性和紧迫性尤为突出,网络安全与信息化是一体之双翼、驱动之双轮,必须统一谋划、统一部署、统一实施和统一推进。
启明星辰为教育管理部门提供覆盖全国的网络安全管理平台解决方案、三通两平台安全解决方案、网络安全攻防实训仿真演练人才培养方案以及智慧校园互联网出口和虚拟化数据中心的安全方案,助力智慧校园建设。
三通两平台安全解决方案
2012年9月教育部全国教育信息化试点工作座谈会召开,刘延东副总理指出十二五期间教育信息化建设的核心目标与标志工程为“三通两平台”建设。“三通两平台”是《教育信息化十年发展规划(2011-2020年)》的标志性工程。两个支撑平台分别是教育管理公共服务平台和教育资源公共服务平台,三个基础建设工程分别是宽带网络校校通(校校通)、优质资源班班通(班班通)和网络学习空间人人通(人人通),三通两平台内容如下图所示:
2012年3月教育部印发《教育信息化十年发展规划(2011-2020年)》,其中第四部分中提及要“建立全方位的安全保障体系确保教育管理教学和服务等信息系统安全”。在网络、系统、应用和资源、管理平台建设的同时,构建“三通两平台”网络安全保障体系,确保其安全性与稳定性、实现信息化教学的高效性成为当务之急。
面临的挑战及安全需求
三通两平台面临的安全挑战和安全需求主要是城域网出口安全和教育云平台安全。
城域网出口安全需要解决城域网之间边界访问控制、网间入侵检测与防御、单链路故障、提升多链路带宽利用率。
教育云平台安全需要解决校校网络互通,班班教学资源共享,学校、家庭和个人自主学习空间人人通所需要的资源和业务应用的安全性、稳定性。具体来讲需要解决资源和服务两大平台之间的网络边界安全问题、Web应用层安全问题、应用负载和加速问题、弱口令和漏洞管理问题、云中虚拟化资源池的安全问题以及两平台的安全运维问题。
安全解决方案
※城域网出口安全
在教育城域网出口部署出口链路负载均衡设备,根据访问目标自动最优选路,根据链路负载、丢包情况等动态选择链路出口可保障出口链路稳定性,提升城域网出口带宽利用率。
在教育城域网出口位置部署防火墙、VPN和入侵防御设备,可对教育城域网进行网络访问控制、网络蠕虫、间谍软件、溢出攻击等多种深层攻击行为进行入侵检测及过滤等一体化安全防护。
在教育城域网出口部署上网行为管理设备,全面了解上网情况和网络使用情况,包括即时通讯等过滤不良信息,可实现对城域网内师生上网行为的管理与审计、应用流量控制与保障,减少互联网风险,满足82号令的合规性需求。
在教育城域网设置一个相对独立的安全运维区,实现全网统一安全运维管理,部署漏洞扫描和管理平台,实现漏洞发现、验证、修复、更新全生命周期管理;部署安全运维堡垒机,结合身份认证系统实现运维人员基于双因素的唯一身份标识、集中访问控制、集中审计(加密和非密协议的审计),有效解决一人多账号、一账号多人使用等乱象。
如下图所示:
※教育云平台安全
在教育云平台边界部署防火墙、VPN和Web应用防火墙设备,可对教育云平台进行网络访问控制、网络蠕虫等多种攻击行为进行安全防护。同时,防御以Web应用程序漏洞为目标的攻击,并针对Web服务器进行HTTP/HTTPS流量清洗,提高Web应用的可用性、性能和安全性,确保Web业务应用安全、可靠地提供服务。
在教育云平台的Web应用服务前端部署服务器应用负载,支持应用引流,分担应用服务器负载。可以根据应用类型P2P、即时通讯、流媒体、视频协议等应用引流至高质量链路,支持应用服务器负载分担,针对应用层信息分配流量,提升用户的访问体验。
在教育云平台从网络层面设置一个相对独立的安全运维区,实现全网统一安全运维管理,部署漏洞扫描和管理平台,实现漏洞发现、验证、修复、更新全生命周期管理;部署安全运维堡垒机,结合身份认证系统实现运维人员基于双因素的唯一身份标识、集中访问控制、集中审计(加密和非密协议审计),有效解决一人多账号、一账号多人使用等乱象。
教育云平台的资源和服务平台采用云和虚拟化技术实现业务应用的池化,可以很好的满足业务应用按需扩展、快速服务的需要。在云和虚拟化环境下,安全保障也是一种业务应用,需要按需扩展快速服务。启明星辰将网络保障与业务资源池解耦,构建相对独立的安全资源池,在安全资源池上有选择性的按需开启虚拟IDS、虚拟审计、虚拟流量监测、虚拟Waf等安全机制,实现虚机之间、VLAN之间的安全监测功能,保障教育云平台的安全。
方案主要价值
方案价值主要体现在如下几方面:
1)保障链路稳定性,避免单点故障与性能瓶颈,同时保障服务器应用负载分担与优化,提升带宽利用率的同时也提升了用户享用三通两平台服务的访问体验。
2)提供了从网络层到应用层的一体化防护能力,有效保障L3-L7的安全。
3)集中管控师生的上网行为,满足国家公安部82号令上网日志留存的合规性要求。
4)全面保障教育资源平台与教育管理平台资源池的安全。
5)实现了教育云平台的全网入侵检测、统一安全运维审计、口令和漏洞的全生命周期管理。
网络安全攻防实训与仿真演练平台解决方案
随着教育信息化的快速发展,网络安全问题更加突出,对网络安全人才建设不断提出新的要求。网络空间的竞争,归根结底是人才竞争。从总体上看,我国网络安全人才还存在数量缺口较大、能力素质不高、结构不尽合理等问题,与维护国家网络安全、建设网络强国的要求不相适应。
网络安全人才培养面临的主要挑战和需求是缺少培养高素质的网络攻防高级专门人才的实战平台。需要通过提供完善的课程体系和实践项目,使学生具备扎实的数理基础和电子通信技术、计算机技术,掌握网络攻防对抗的基本理论、基本知识、基本技能及综合应用方法,具有较强的信息系统安全分析与设计、安全防护、安全策略制订、操作管理、综合集成、工程设计和技术开发能力,了解网络空间安全发展动态,受到严格的科学思维训练和全面的素质教育的网络攻防高级专门人才。
网络安全人才培养的实训与仿真攻击防御演练平台,开展各项专项攻防系统/情报收集与分析挖掘/监控评测挖掘/人员培训教学系统的支撑平台,用于网络攻防人才培养、网络安全技能培训和网络安全技能大赛。
攻防演练系统平台由系统平台底层、管理层和用户层组成,如下图所示:
攻防演练系统底层采用OpenStack开源云计算平台,可以为各种云提供高冗余、可扩展、开放灵活的基础架构。在此平台上可以实现各种虚拟化资源的存储、查询和检索等功能,并能提供统一的用户身份认证以及一致的Web展示界面。
中间管理层主要完成各种功能模块,包括用户的管理、身份的认证管理、权限的分配、任务的管控、平台中各种设备和资源(情报、工具、课件等)的分配。
用户层主要是负责给攻防演练系统平台的普通用户和管理员用户提供统一的前台和后台访问页面,以完成各自的实验任务和管理任务。
监控展示则全程负责攻防演练系统中的各种行为监控,包括系统设备的运行情况、用户的行为举止、资源的访问信息、靶场的安全态势等。
方案价值主要体现在如下几个方面:
1)网络安全攻防实训与仿真演练平台作为网络空间安全学科建设和人才培养的重要组成部分,成为网络安全学院学科专业建设的支撑和网络安全人才培养的实践训练摇篮
2)以攻助防、攻防结合,为学校培养网络安全教师队伍和学生队伍
3)融入渗透思维,全程植入安全概念,从攻击角度探讨网络安全,掌握网络攻防技能,提升网络安全防护水平
4)平台内置的网络安全课程实验可以很好的帮助师生顺利完成日常教学
智慧校园安全解决方案
“智慧校园”是教育信息化进入高级阶段的表现形式,比“数字校园”更先进。集体知识共融共生、业务应用融合创新、移动互联网物联网高速泛在是其重要特征。特别是在互联网+教育的大环境下,为了更好的发挥智慧化教学服务和智慧化教学管理功能,需要加强智慧校园的网络安全建设。
校园网络一旦出现了安全隐患,则会造成网络中大量资料被泄露、伪造和破坏,造成信息传递的中断,给学校、家庭,甚至社会带来极大的损失。一方面关系到学校的综合利益和学校的安全建设合规程度,另一方面关系到社会、家庭、师生的利益;再次,随着安全法的颁布实施,网络安全不再是教学教务的业务补充而成了教育教务业务应用自身,智慧校园的网络安全建设也从满足自身需要到满足合规要求上升到合法运营的法律层面。
智慧校园面临的网络安全挑战和需求主要包括互联网出口安全、数据中心安全以及数据安全。
校园网互联网出口安全需要解决出口边界访问控制、入侵检测与防御、单链路故障、提升多链路带宽利用率、师生上网行为管理。
数据中心的安全包括数据中心区与互联网区之间的网络边界安全问题、Web应用层安全问题、应用负载和加速问题、弱口令和漏洞管理问题、云中虚拟化资源池的安全问题、数据安全问题以及校园网安全运维问题。
数据安全问题具体包括数据防泄漏管理、数据脱敏管理、数据库安全审计以及业务用户通过浏览器经由应用服务到数据库访问的合法业务操作的全流程审计。
※互联网出口安全
在校园网互联网出口部署出口链路负载均衡设备,根据访问目标自动最优选路,根据链路负载、丢包情况等动态选择链路出口可保障出口链路稳定性,提升城域网出口带宽利用率。
在校园网互联网出口位置部署防火墙、VPN和入侵防御设备,可对教育城域网进行网络访问控制、网络蠕虫、间谍软件、溢出攻击等多种深层攻击行为进行入侵检测及过滤等一体化安全防护。
在校园网互联网出口部署上网行为管理设备,全面了解上网情况和网络使用情况,包括即时通讯等过滤不良信息,可实现对城域网内师生上网行为的管理与审计、应用流量控制与保障,减少互联网风险,满足82号令的合规性需求。
※数据中心区安全
在数据中心区与互联网出口区边界部署防火墙和Web应用防火墙设备,可对教育云平台进行网络访问控制、网络蠕虫等多种攻击行为进行安全防护。同时,防御以Web应用程序漏洞为目标的攻击,并针对Web服务器进行HTTP/HTTPS流量清洗,提高Web应用的可用性、性能和安全性,确保Web业务应用安全、可靠地提供服务。
在数据中心区的Web应用服务前端部署服务器应用负载,支持应用引流,分担应用服务器负载。可以根据应用类型P2P、即时通讯、流媒体、视频协议等应用引流至高质量链路,支持应用服务器负载分担,针对应用层信息分配流量,提升用户的访问体验。
校园网数据中心区采用云和虚拟化技术实现业务应用的池化,可以很好的满足业务应用按需扩展、快速服务的需要。在云和虚拟化环境下,安全保障也是一种业务应用,需要按需扩展快速服务。启明星辰将网络保障与业务资源池解耦,构建相对独立的安全资源池,在安全资源池上有选择性的按需开启虚拟IDS、虚拟审计、虚拟流量监测、虚拟Waf等安全机制,实现虚机之间、VLAN之间的安全监测功能,保障数据中心区的安全。
在校园网连接互联网出口区和数据中心区的核心交换机上划分出一个Vlan设置一个相对独立的安全运维区,实现全网统一安全运维管理,部署漏洞扫描和管理平台,实现漏洞发现、验证、修复、更新的全生命周期管理;部署域间安全策略监控设备,实现不同安全域内系统访问关系梳理、防火墙策略管理与优化、非法外联行为监测;部署安全运维堡垒机,结合身份认证系统实现运维人员基于双因素的唯一身份标识、集中访问控制、集中审计(加密和非密协议的审计),有效解决一人多账号、一账号多人使用等乱象。
※数据安全
从数据防泄密DLP、数据库脱敏、数据库审计和基于WEB的业务全流程审计几个方面来保障数据安全。
部署网络DLP、终端DLP设备,在数据存储、传输和使用过程中,发现并识别敏感数据隐患,确保敏感数据的合规使用,防止敏感数据泄漏的数据安全保护系统,保障数据安全、可控、可用。
部署数据库脱敏设备,采用数据抽取、数据漂白、动态掩码等规则进行数据变形和敏感信息处理,保证脱敏前后数据关联关系和前后的运算关系不变,满足隐私数据保护合规要求。
部署数据库审计设备,实时监视与审计数据库管理员的操作,对数据库的操作行为进行命令级别的细粒度审计,事故追根溯源,提高数据资产安全,系统管理员操作行为的安全审计。
部署基于Web的业务应用全流程审计设备,对合法的业务操作人员操作Web应用进行业务办理或查询操作的全过程实施记录,实现对业务用户的Web应用业务操作全流程访问行为审计与监管,业务办理和操作层面的安全审计,确保全流程操作行为留痕和数据安全。
1)保护互联网出口的安全稳定,保障校园网的安全。
2)对互联网出口进行流量和上网权限管理,保障核心业务的稳定性,提高工作效率。集中管控师生的上网行为,满足国家公安部82号令上网日志留存的合规性要求
3)提供了从网络层到应用层的一体化防护能力,有效保障L3-L7的安全。
4)以可编排可弹性扩展的独立安全资源池的方式全面保障校园网数据中心业务应用资源池的安全。
5)实现了教育云平台的全网入侵检测、统一安全运维审计、基于Web的全业务流程审计、口令和漏洞的全生命周期管理。
6)提升了数据中心安全防护级别,满足教育信息安全等级保护安全建设要求。
7)从数据存储、传输、共享审计等多个维度保障数据的安全。