衛(wèi)士通教育信息化安全解決方案

背景校園網(wǎng)絡建設越來越成熟，學校提供了各種各樣的網(wǎng)上學習環(huán)境、娛樂環(huán)境和各種服務措施，如：數(shù)字圖書館、視頻點播、教學管理系統(tǒng)、財務管理系統(tǒng)、OA系統(tǒng)等。隨著網(wǎng)絡的日漸成熟，相應而來也就出現(xiàn)了各種各樣的網(wǎng)絡安全問題。經(jīng)過詳細的調(diào)研，主要的網(wǎng)絡安全問題表現(xiàn)在：邊界防護問題一一校園網(wǎng)邊界容易受到來自互聯(lián)網(wǎng)的各種攻擊，因此需要重點保護網(wǎng)絡邊界。健康網(wǎng)絡問題一一校園網(wǎng)內(nèi)希望提供綠色的上網(wǎng)環(huán)境，杜絕各種不良信息的接入，因此需要對學生和老師的上網(wǎng)行為進行有效的管理。遠程接入問題一一學生或老師希望在家同樣能夠接入校園，使用校園的資源，因此需要對這種遠程通過互聯(lián)網(wǎng)接入的師生確保其接入的安全性。需求分析對上述校園網(wǎng)現(xiàn)狀采用層次分析理論進行詳細分析，可以得出教育行業(yè)用戶的具體安全需求：網(wǎng)絡層安全需求：確保校園本部以及各分校園區(qū)與互聯(lián)網(wǎng)要進行安全的、可控的邏輯隔離；確保所有進出校園網(wǎng)各節(jié)點的信息和數(shù)據(jù)都能得到嚴格的控制，防止對網(wǎng)絡進行非法訪問；確保不被來自互聯(lián)網(wǎng)攻擊者的攻擊和破壞，能及時發(fā)現(xiàn)和響應各種攻擊與破壞行為；建立病毒預警及響應機制，使得能及時發(fā)現(xiàn)和響應的病毒攻擊和破壞行為；對校園網(wǎng)內(nèi)的上網(wǎng)行為進行監(jiān)控，防止校園網(wǎng)內(nèi)BT、電騾、迅雷等P2P應用占用了大量出口帶寬，防止不良網(wǎng)站的訪問，等等；傳輸層安全需求：確保各分校區(qū)或老師住宅區(qū)以及出差人員的接入安全；確保接入校園網(wǎng)絡的各個節(jié)點網(wǎng)絡之間傳輸?shù)男畔⒌谋Ｃ苄?、完整性和可用性，防止機密信息在傳輸過程中被竊取、篡改和破壞；保證外部合法用戶可以從各種網(wǎng)絡條件下安全接入到校園內(nèi)網(wǎng)；應用層安全需求：進行嚴格的權限設置，確保只有相關人員才可訪問相關應用服務器，嚴禁越權訪問，如:數(shù)字圖書館以及LAB系統(tǒng)校園數(shù)字圖書館的應用越具規(guī)模，從工作人員將自身館藏書籍數(shù)字化開始，到與商業(yè)化合作購買閱覽版權，再將數(shù)據(jù)與校園網(wǎng)共享，讓校內(nèi)外師生都能方便查詢電子文獻資料。OA辦公系統(tǒng)移動處理公文；只有教師才可以使用OA系統(tǒng)，而普通的學生是不能使用的；對于學校的教師可以隨時的使用OA辦公系統(tǒng)來處理公務，和其它內(nèi)部系統(tǒng)資源的查閱；教師可以使用OA系統(tǒng)，但是其中的某些教師不可以訪問財務系統(tǒng)。財務系統(tǒng)教職員工希望能夠從任何時間、任何地點安全的訪問到與自己工資等相關信息（如查詢工資報銷情況）的財務資源。教學管理系統(tǒng)對于學校的學生來說，可以方便的進行移動選課；對于教師，可以方便的了解選課情況，進行網(wǎng)上備課；可通過INTERNET查詢學習成績，證書等。視頻點播學校各學科教師，研究生無論是上班、寒暑假或者是在外出差都可以隨時隨地的獲得學校視頻點播系統(tǒng)。需要支持手機WEB訪問應用系統(tǒng)；出差人員不需要安裝客戶端即可安全接入校園網(wǎng)；整體方案要解決教育行業(yè)的網(wǎng)絡安全問題，首先，防火墻是不可缺少的設備，防火墻是解決網(wǎng)絡邊界問題最成熟的設備，我們建議用戶選擇有帶寬管理，流量控制，限制BT，內(nèi)容過濾以及AAA認證功能的防火墻設備，這樣可以解決校園網(wǎng)中的流量問題，限制師生上BT等下載軟件占用大量帶寬，AAA認證功能可以讓用戶先認證再上網(wǎng)，能夠保證安全性。如果再進行細致的配置，能夠讓防火墻發(fā)揮到最大的效用；其次，為了保證校園網(wǎng)內(nèi)健康的網(wǎng)絡環(huán)境，建議部署網(wǎng)絡行為管理系統(tǒng)，網(wǎng)絡行為管理系統(tǒng)能夠預先設置規(guī)則，限定師生只能上健康的網(wǎng)站，同時能夠對上網(wǎng)的行為進行監(jiān)控和管理，是校園網(wǎng)內(nèi)有效的管理手段。目前解決遠程接入安全最有效的方案就是使用SSLVPN技術，對于校園網(wǎng)來說，需要保證來自各種網(wǎng)絡接入條件的師生都能夠安全的接入到網(wǎng)內(nèi)，同時還要支持手機接入，因此在本方案中我們推薦使用衛(wèi)士通公司睿安安全接入網(wǎng)關來保證遠程接入的安全，睿安安全接入網(wǎng)關不僅支持PC的遠程接入，同時支持手機用戶的接入，能夠滿足校園網(wǎng)用戶的需求。綜上所述，在本方案中我們使用防火墻、網(wǎng)絡行為管理系統(tǒng)、SSLVPN共同組建校園網(wǎng)網(wǎng)絡安全解決方案，防火墻主要解決邊界防護、訪問控制問題，網(wǎng)絡行為管理主要解決上網(wǎng)行為的管理和監(jiān)控，構建綠色校園網(wǎng)絡環(huán)境，SSLVPN主要解決遠程用戶對校園網(wǎng)的安全訪問。根據(jù)解決方案產(chǎn)品部署示意圖如下所示:整體體驗使用本方案，校園網(wǎng)內(nèi)的資源可以安全的對全體師生開放，還可以向兄弟學校和合作單位開放，改變校園孤島的局面，同時還能為校園提供健康綠色的上網(wǎng)環(huán)境。1） .降低運營成本學校不需要再租用專線鏈路即可實現(xiàn)遠程訪問及校區(qū)互連，這樣可以大大節(jié)約租用網(wǎng)絡鏈路的費用。2） 輕松解決老師與學生的校外訪問無需改動原有應用和網(wǎng)絡環(huán)境，即可讓老師、學生在在任何地點，輕松通過Internet訪問校園網(wǎng)內(nèi)部系統(tǒng)如辦公系統(tǒng)、數(shù)字圖書館、FTP下載。3） 提高內(nèi)部網(wǎng)絡以及服務器的安全性可以讓所有遠程接入用戶都必須通過身份認證，才能使用內(nèi)部網(wǎng)絡應用，防止非法用戶的侵入，并可結合物理硬件認證（如：USBKey、SecuelD等）做到強度認證，從而提高了訪問控制以及內(nèi)部網(wǎng)絡的安全性。另外，所有的訪問者均不能直接訪問內(nèi)部服務器，需要通過SSLVPN代理訪問，有效防范了黑客、蠕蟲病毒等對應用服務器的攻擊，大大的提高了校園網(wǎng)絡的安全性。4） 方便的管理性和使用性不僅提供本地圖形化配置界面和命令行配置界面，而且還可以通過Internet網(wǎng)絡對SSLVPN進行遠程管理?？蛻舳藷o需安裝軟件，操作員不需要額外培訓，只要會使用IE瀏覽器，就可通過身份認證訪問校園網(wǎng)絡內(nèi)部資源，原應用系統(tǒng)的操作接口沒有任何改變，無論在什么地方，都和在學校內(nèi)部使用一樣。5） 精細的權限控制睿安安全接入網(wǎng)關具備細顆粒度權限控制功能，可針對不同的使用人員如學校領導、老師、學生設置不同的權限，以保證學校內(nèi)部信息的高度機密及合理使用。并且，通過權限設置，不同的人員只能看到與他相關的應用，非相關應用對他不可見，加強校園網(wǎng)絡數(shù)據(jù)信