让 安 全 更 简 单
教育
教育行业解决方案
进入新世纪以来,信息技术已渗透到经济发展和社会生活的各个方面,人们的生产方式、生活方式以及学习方式正在发生深刻的变化,全民教育、优质教育、个性化学习和终身学习已成为信息时代教育发展的重要特征。我国教育改革和发展正面临着前所未有的机遇和挑战。以教育信息化带动教育现代化,破解制约我国教育发展的难题,促进教育的创新与变革,是加快从教育大国向教育强国迈进的重大战略抉择。教育信息化充分发挥现代信息技术优势,注重信息技术与教育的全面深度融合,在促进教育公平和实现优质教育资源广泛共享、提高教育质量和建设学习型社会、推动教育理念变革和培养具有国际竞争力的创新人才等方面具有独特的重要作用,是实现我国教育现代化宏伟目标不可或缺的动力与支撑。
教育信息化是国家信息化的重要组成部分,是教育改革发展的重要抓手,是支撑引领教育现代化建设的重要引擎。教育信息化对于促进教育均衡发展,提高教育教学质量都具有重要作用。因此在“十二五”期间,为了进一步落实教育信息化,国家相继发布了《国家中长期教育改革和发展规划纲要(2010-2020年)》、以及《教育信息化十年发展规划(2011-2020年)》。而教育信息化近期发展的重点是“三通两平台”的建设,其中“校校通”是基础。为了早日实现教育公平,使广大师生充分利用优质教育信息资源进行教育教学改革,提高现代教育水平,以教育信息化带动教育现代化,努力实现基础教育的跨越式、可持续发展,以教育信息化促进教育的均衡化。因此教育城域网旨在建立由教育局和下辖校园构成的两级网络,连接教育局下属各中小学校以及各级教育主管部门。而在教育城域网建设同时,城域网的网络安全,运维管理等方面的保障性工作也需要进一步加强,需要建立一个与教育城域网并行的多级安全管理体系。
为履行网络安全主体责任,按照网络安全等级保护制度和教育行业法规标准的要求,开展了网络安全等级保护建设工作,以建立、健全教育城域网网络安全防护体系,提升教育城域网整体网络安全防护能力,满足第三级系统网络安全等级保护的能力要求。
教育城域网网络现状
教育城域网包括区电教馆核心网络和区市中重点中学网络,同时向下连接到12个旗县中小学网,每个县中学、小学用户约有7000使用人员,区教育重点市中学有5000使用人员。
XXX教育城域网络建设集中在1999 – 2004年间。广域骨干网采用星形结构,12个区县中重点中学网络通过光纤、专线连接到区域核心交换机上,区域县中其他中小学、偏远学校通过专线、租用的光纤连接到县中重点中学,区重点中学直接通过1000兆光纤连接到区核心网络。核心设备采用较早的北电三层网络设备,部分区县学校核心设备采用北电三层网络设备与二层设备,部分区县学校核心设备采用思科三层交换机(2004年建设的中学网络)。
区各县中小学校园网络
各个区县学校网络为二层设计,核心层直接与区电教馆中心核心设备连接,接入层提供学校师生PC的接入。
教育城域网出口情况
区电教管没有进行对网络出口进行设计规划,目前网络出口采用100M链路连接到运营商网络提供Internet上网服务,通过10M专线连接到教育网,网络出口分别通过防火墙作为安全防护设备,防火墙设备为比较早的传统防火墙。
应用业务系统情况
随着信息技术不断发展,区域和各校的业务相应上线使用,包括学校OA系统、学籍管理、视频会议、电子政务、电子巡考等。应用业务的不断完善目前的教育城域网已无法满足业务系统的需求。
教育城域网骨干网需求
目前核心设备属于早期产品,产品早已停产,网络平时应用的过程中经常出现设备宕机,而导致全网中断,由于产品厂家原因目前的所有该厂家的服务已经中断,而由于电教管管理人员技术薄弱无法解决故障问题,因此每当设备出现宕机后就需要重启设备,大大影响了所有业务的使用。
由于网络设备性能、链路、流量管理等问题,经常导致电教管与各县学校的视频会议、电话会议等无法开展,甚至有时连学校的OA、mail、学籍管理、电子政务等关键业务也受到了影响。
目前城域网络一部能满足扩容需求,教育城域网核心设备老化、性能低、已无扩展等对整体教育信息改革带了很大的阻碍。
教育城域网出口需求分析
随着信息技术的不断发展、信息数据的安全等,网络出口是一个教育城域网网络安全的关键关卡,分析当前该区网络出口情况,网络出口有多条链路,安全设备只能做最基本的安全攻击防御和网络三层的安全防护,不能完全做到对内部业务应用、终端用户PC使用的安全防护。在网络中经常遇到黑客的攻击、门户网站被黑和挂马、网络出口带宽不足网络出口对数据的处理能力差,网络出现安全事件后不能及时定位,不能满足公安部的安全事件审核等。众多安全问题使得教育城网的各级领导和管理人员感到很头疼。
教育城域网资源中心需求
资源中心没有通过统一的规划和部署各种业务系统,因此中心的服务器、存储等都是随时采购,在每次部署数的过程中比较麻烦,由于设备复杂和老化,而导致数据中心的数据存在随时崩溃状态。数据中心业务应用已增至30种,数据中心服务器性能差,也经常造成业务在各校同一时间内访问量过大的时出现业务系统反应较慢,偶尔还会出现死机。
教育城域网运维管理需求
越来越多关键业务应用系统的大规模使用,对教育城域网的运维和管理能力提出了更高的要求,网络应用越复杂,涉及到的层面越多,整个网络也就越脆弱。如何保障关键应用的顺畅运行就成为突出的问题:
- - 各学校网络维护能力有限
- - 教育信息中心缺乏 有效的网络运维和管理的工具
- - 网络资源滥用现象难以管理
- - 恶意网络攻击难以及时定位解决
- - 出现紧急事件时,网络性能难以保证应急响应的顺利运行
- - 无法保障关键业务的可用性
- - 缺少整体规范的主动网络安全管理手段
教育城域网实名制身份认证需求
目前区教育城网中没有良好的认证管理体系,各校随意接入网络,针对各个学校的接入无法控制,无法区分师生身份,造成业务系统、网络应用等混乱使用,而造成一下几点问题:
- - 公安部82号令、教育主管部门的网络安全要求,需要落实相关日志审计的安全措施。
- - 城域网的终端接入不可控,一条网线便可接入各学校的终端,安全隐患大,甚至,很多学校把家属楼接入教育城域网,导致城域网出口带宽不足,有没有办法屏蔽这些用户?
- - 用户在网上发表不良言论,出现安全事件后,日志审计难以真正定位到人,若发生公众事件会严重影响教育局的形象 ;针对难以定位到人的问题,若采取IP/MAC绑定,工作量大,老师移动办公不方便,如何解决?
- - IP地址滥用或内网病毒、IP地址冲突,导致网络中断,影响业务的正常运行,该如何解决?
教育城域网多业务统一门户单点登录需求
数据中心业务应用有30多种,其中有部分业务需要用户账号口令登陆使用,另一部分可直接使用,针对众多业务使用是神需要维护自己每一个应用的账号信息,对于管理员也一样要进行建立和删除账号也相对麻烦。
- - 太多账号密码, 不容易记忆,老师有时候连业务系统的登陆地址都记不住;
- - 登录频繁,每个业务系统都要多次输入密码,操作繁琐;
- - IT管理人员账号管理工作繁杂
- - 账号管理工作量大,账号管理不能及时
- - 用户信息不一致,每个系统都有一套独立的用户数据库,管理员要对每套系统中的用户进行分别管理,工作量大
方案总体设计
根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)的有关规定,本次网络安全等级保护建设完成后,教育城域网应当具备如下安全保护能力:在统一的安全防护策略下,能够免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
为满足上述安全保护能力,结合教育城域网业务发展需求,达到以下5个方面的建设目标:
1) 完善教育城域网网络安全防护技术措施,提升教育城域网技术防护能力,满足第三级系统网络安全等级保护相关技术要求;
2) 建立、健全教育城域网网络安全管理制度、机构和人员要求,提升教育城域网网络安全管理能力,满足第三级系统网络安全等级保护相关管理要求;
3) 建立、健全教育城域网网络安全运营体系,建立起全面、完善、强有力、反应迅速的系统和网络监控体系;建立灵活、高效、可控制、可衡量的运维管理流程,提升教育局运维人员运行管理水平,为各个学校的各个业务系统提供有效的信息服务。提升教育城域网全生命周期网络安全保护能力,满足网络安全等级保护整体框架和关键技术落实等相关要求;
4) 建立、健全安全保护架构,使教育城域网具备安全可视、持续检测和协同防御等安全能力,提升网络安全解决方案整体价值;
5) 建立统一部署身份策略管理中心,对下面各个学校身份认证管理系统下发管理策略,收集各个学校的帐户,实现对所有的城域网用户进行管理。各个学校有权管理学校内的身份认证系统,管理所属学校的帐号,实现分级式的身份认证系统。
设计原则
1. 等级保护建设原则
安全建设不能忽视国家相关政策要求,在安全保障体系建设上最终所要达到的保护效果应符合《网络安全等级保护基本要求》。
2. 体系化的设计原则
系统设计应充分考虑到各个层面的安全风险,构建完整的安全防护体系,充分保证系统的安全性。同时,应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。
3. 产品的先进性原则
教育城域网的安全保障体系建设规模庞大,意义深远。对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点,共同打好工程的技术基础。
4. 按步骤有序建设原则
教育城域网的安全保障体系的建设是一项长期的工程,并非一蹴而就解决所有安全问题。因此,在实际建设过程中要根据实际情况分轻重缓急,分期、分批的进行部署。
5. 安全服务细致化原则
要使得安全保障体系发挥最大的功效,除安全产品的部署外还应提供有效的安全服务,根据教育城域网的网络系统具体现状及承载的重要业务,全面而细致的安全服务会提升日常运维及应急处理风险的能力。安全服务就需要把安全服务商的专业技术经验与行业经验相结合,结合教育城域网的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。
总体设计
基于教育城域网现有的网络拓扑结构,根据业务保障原则/结构简化原则/等级保护原则,按照业务系统/防护等级/工作职能等方面的考虑将网络划分为不同的安全区域。按照“一个中心、三重防护”的设计思路,对整体拓扑规划如下:
城域网出口区:网络出口是教育城域网网络安全的关键关卡。城域网出口主要负责承担整个城域网对全区各学校访问互联网数据转发、流量控制、安全防护、安全审计、远程VPN接入等功能。教育城域网出口要保障整个全区各学校用户安全、稳定、快速的访问资源中心,对网络出口需要满足城域网对外访问链路的智能选路、城域网出口多链路带宽的均衡利用、城域网出口应用流量质量的精细化管理、出口流量的可视化管理、出口边界防护和访问控制等安全要求。
资源中心区(业务区):资源中心作为教育城域网的数据中心、DMZ区,承载了教育城域网所有业务系统,如教育管理平台(将传统的OA办公、学籍管理、考勤系统、考核系统、行政办公系统、E-Mail等管理类系统统一为教育门户,提供一体化的教育管理工作平台)、门户网站集群、名师课堂、网络协作调研、资源类应用等等,为城域网用户和学校提供相关资源访问服务。资源中心区建设必须着重考虑以太交换网络、服务器互联网络、存储网络这三大网络业务的融合,形成完整的统一数据中心体系架构,并且融合安全系统(如应用层防护、网页防篡改、入侵防范等),实现城域网最重要部分“统一数据中心”的安全可靠。
运维管理区:运维管理区对业务环境下的网络操作行为进行集中管理与细粒度审计;对运维人员进行运维审计,并对运维区边界进行防护;用于监控内网安全域之间的流量,对流量中的威胁进行实时检测并统一呈现。运维管理区需要满足集中管理、简化运维:地图展示各分支接入物理设备情况。提供远程接入分支进行集中管理,实现分支配置策略下发、智能升级、故障定位、安全告警等;分支智能监控:集中管理平台提供分支物理设备的智能监控,从网络、业务维度进行分支监控,提高日常分支管理效率;数据集中分析,安全状态清晰展示:对城域网整体的安全状态和日志进行汇总分析,同时对全网安全事件进行统计和分析,安全状态可以通过大屏展示了解到整个城域网网络的安全状态。
核心交换区:核心交换区的核心设备,关键硬件达到冗余。核心骨干能够实现全流量分析管理,可以进行流量采样、流量采集、数据分析处理,使网络核心流量得管理和控制,保证业务的使用,同时进行网络安全审计,符合公安部82号令和等级保护安全审计相关要求。
城域网各学校出口:全网行为管理:对各下属中小学出口实现精细化流量管控;下一代防火墙:构建分区分域的安全防护体系,构建自适应安全防护模型。
无线管理区:学校端零配置部署,分布于各个学校的AP “零配置”,完全由部署于城域网中心机房的“无线控制器”进行统一管理、配置、监控业务支撑平台的优化;远端智能感知:如无线控制器出现故障,学校的AP要能自动感知无线控制器的状态,自动切换,保证业务运行不受影响;需要考虑与有线城网的融合,如AP的部署、VLAN支持、用户认证、安全体系等等。
方案主要价值
方案价值主要体现在如下几方面:
1)保护互联网出口的安全稳定,保障校园网的安全。
2)对互联网出口进行流量和上网权限管理,保障核心业务的稳定性,提高工作效率。集中管控师生的上网行为,满足国家公安部82号令上网日志留存的合规性要求
3)提供了从网络层到应用层的一体化防护能力,有效保障L3-L7的安全。
4)以可编排可弹性扩展的独立安全资源池的方式全面保障校园网数据中心业务应用资源池的安全。
5)实现了教育云平台的全网入侵检测、统一安全运维审计、基于Web的全业务流程审计、口令和漏洞的全生命周期管理。
6)提升了数据中心安全防护级别,满足教育信息安全等级保护安全建设要求。
7)从数据存储、传输、共享审计等多个维度保障数据的安全。
