落实等保合规,高职院校先行先试
客户背景
四川某职业技术学院是全国水利行业示范性高职院校、四川省示范性高职院校、四川省优质高等职业院校建设计划立项建设院校。学院努力推进水利相关专业教学改革,培养大批新型基层水利水电人才。落实《网络安全法》与等级保护制度,建立安全信息化环境,是学校信息化和网络安全建设的首要任务。
客户痛点
多年来,学院以“教学实践为中心”建设网络架构和进行业务部署,但安全问题逐步显现,如业务之间边界模糊、访问策略粗放或缺失、安全风险难发现等。同时随着学院智慧校园建设的不断完善,虚拟化技术、移动终端技术等新技术的使用,网络安全问题日益突出,主要体现在以下几个方面:
NO.1 黑链站群安全问题
网站建设时间较早,存在的安全隐患较多,也曾发生黑链事件,对学院的形象产生较大影响。
NO.2 主管部门安全要求
主管单位定期对高职校开展安全风险检测,对检出的安全问题限期内责令整改及通报,高职校需满足主管部门的安全建设要求。
NO.3 落实网络安全法集等保2.0
随着《网络安全法》的出台和网络安全等级保护制度 2.0 标准的实行,以《网络安全法》作为工作指引,将等级保 护与学校信息化现状结合,在满足等级保护基本要求的基础上建设合规、有效的网络安全体系已成为上海工 美的首要大事,同时,还需真正为学校网络提供简单易用的有效防护,在帮助信息中心缩减运维压力的同时, 为上海工美建立安全可靠的信息化环境。
解决方案
我们秉持“持续保护、不止合规”的核心理念,携手某厂商的安全解决方案,将等级保护合规建设与高职校业务及特点深入结合,建立“持续检测、安全可 视、协同联动”的动态一体化防御,以及等保 2.0 的全生命周期服务支撑,实现高职校与信息化建设的深度融合。
(1)安全域划分与防护
针对学院站群以及内网业务实际情况,通过分区分域的思想,采用某厂商下一代防火墙实现对各区域间的隔离访问,进 而达到应用级的访问控制和防护。此外利用自身在网络安全领域的经验,对学院的教学业务的应用特点分析,梳理业务关系和访问对象,为学院制定针对性的防护措施和控制策略,从东西向与南北向的攻击角度进行全面防护,实现合理、安全的网络架构优化。经过一段时间的稳定运行,目前图书馆、教务系统及数据等核心业务也已迁移到各安全域 内,实现了一体化、平台化的整合和统一管理。
(2)校外师生 VPN 的安全接入访问
将部分暴露在公网的内部业务系统迁入内网安全域内,通过部署深信服 SSL VPN 实现安全访问,减少攻击面。同时 SSL VPN 作为新形态的移动应用门户,VPN 接入后即可找到所需资源,方便用户使用,另外基于权限应用发布的安全性得到 提升的同时,体验也得到全面改善。
(3)高效持续检测安全威胁
以某厂商安全感知平台为中心,结合安全威胁情报等构建安全大脑,对学院的网络环境中各类安全风险进行识别、预警 及可视化呈现,能够及时发现僵尸网络、勒索病毒等威胁和安全隐患。同时对攻击行为的跟踪溯源能力;直观的安全可 视化呈现也让网络安全管理变化简单易行。
(4)智能联动,整体协防
选用的某厂商下一代防火墙、上网行为管理等安全设备支持与安全感知平台进行联动,当安全感知平台发现异常或智能研判为 攻击威胁时,边界设备将进行自动封堵。将防御模式从传统的被动防御向主动防御升级,提升防护效果,同时也大大降低 了运维工作量与难度。
价值阐述
NO.1 全网脆弱性一目了然,充分洞察潜在风险
通过我们为学院设计的网络安全等级保护解决方案,帮助学院梳理教学资产以及对脆弱性进行分析,例如漏洞、 弱密码、明文传输等,帮助学员精准定位风险用户,并协助处置。
NO.2 勒索病毒等高级威胁持续检测和联动防御,保障全网安全
通过大数据分析、人工智能和UEBA等新技术,帮助用户定位内网潜在的高级风险,如勒索病毒、 挖掘病毒以及APT攻击等,并通过深信服专家服务和端点防护软件一键处置。
NO.3 参照标准设计,等级保护2.0合规要求
以最新的《网络安全等级保护安全设计技术要求》标准,基于“一个中心、三重防护”的安全理念和 “分区分域”的设计原则,充分满足等级保护2.0合规要求,协助用户顺利通过等级保护测评。
客户评价
“我们非常欣赏极云的项目管理能力和资源调配能力,技术团队对项目的规划、工作安排和项目变更的管理都是非常到位的,在合作过程中,我们真切地感受到他们的高度关注和热情投入,未来我们也非常期盼能继续与极云团队展开更深层的合作”
-- 四川某职业技术学院信息科刘主任
服务总机
IDC
售前小云
抖音号
