落实等保合规，高职院校先行先试

客户背景

四川某职业技术学院是全国水利行业示范性高职院校、四川省示范性高职院校、四川省优质高等职业院校建设计划立项建设院校。学院努力推进水利相关专业教学改革，培养大批新型基层水利水电人才。落实《网络安全法》与等级保护制度，建立安全信息化环境，是学校信息化和网络安全建设的首要任务。

客户痛点

多年来，学院以“教学实践为中心”建设网络架构和进行业务部署，但安全问题逐步显现，如业务之间边界模糊、访问策略粗放或缺失、安全风险难发现等。同时随着学院智慧校园建设的不断完善，虚拟化技术、移动终端技术等新技术的使用，网络安全问题日益突出，主要体现在以下几个方面:

NO.1 黑链站群安全问题

网站建设时间较早，存在的安全隐患较多，也曾发生黑链事件，对学院的形象产生较大影响。

NO.2 主管部门安全要求

主管单位定期对高职校开展安全风险检测，对检出的安全问题限期内责令整改及通报，高职校需满足主管部门的安全建设要求。

NO.3 落实网络安全法集等保2.0

随着《网络安全法》的出台和网络安全等级保护制度 2.0 标准的实行，以《网络安全法》作为工作指引，将等级保护与学校信息化现状结合，在满足等级保护基本要求的基础上建设合规、有效的网络安全体系已成为上海工美的首要大事，同时，还需真正为学校网络提供简单易用的有效防护，在帮助信息中心缩减运维压力的同时，为上海工美建立安全可靠的信息化环境。

解决方案

我们秉持“持续保护、不止合规”的核心理念，携手某厂商的安全解决方案，将等级保护合规建设与高职校业务及特点深入结合，建立“持续检测、安全可视、协同联动”的动态一体化防御，以及等保 2.0 的全生命周期服务支撑，实现高职校与信息化建设的深度融合。

（1）安全域划分与防护

针对学院站群以及内网业务实际情况，通过分区分域的思想，采用某厂商下一代防火墙实现对各区域间的隔离访问，进而达到应用级的访问控制和防护。此外利用自身在网络安全领域的经验，对学院的教学业务的应用特点分析，梳理业务关系和访问对象，为学院制定针对性的防护措施和控制策略，从东西向与南北向的攻击角度进行全面防护，实现合理、安全的网络架构优化。经过一段时间的稳定运行，目前图书馆、教务系统及数据等核心业务也已迁移到各安全域内，实现了一体化、平台化的整合和统一管理。

（2）校外师生 VPN 的安全接入访问

将部分暴露在公网的内部业务系统迁入内网安全域内，通过部署深信服 SSL VPN 实现安全访问，减少攻击面。同时 SSL VPN 作为新形态的移动应用门户，VPN 接入后即可找到所需资源，方便用户使用，另外基于权限应用发布的安全性得到提升的同时，体验也得到全面改善。

（3）高效持续检测安全威胁

以某厂商安全感知平台为中心，结合安全威胁情报等构建安全大脑，对学院的网络环境中各类安全风险进行识别、预警及可视化呈现，能够及时发现僵尸网络、勒索病毒等威胁和安全隐患。同时对攻击行为的跟踪溯源能力;直观的安全可视化呈现也让网络安全管理变化简单易行。

（4）智能联动，整体协防

选用的某厂商下一代防火墙、上网行为管理等安全设备支持与安全感知平台进行联动，当安全感知平台发现异常或智能研判为攻击威胁时，边界设备将进行自动封堵。将防御模式从传统的被动防御向主动防御升级，提升防护效果，同时也大大降低了运维工作量与难度。