深信服?安全運(yùn)營沙龍|西南交通大學(xué):構(gòu)建安全治理體系,護(hù)航學(xué)校信息化發(fā)展

欄目介紹

隨著高校信息化建設(shè)的不斷發(fā)展,教學(xué)和管理工作所面臨的網(wǎng)絡(luò)安全威脅正逐步升級,更高水平、高質(zhì)量的信息化建設(shè),離不開高校網(wǎng)絡(luò)安全防護(hù)能力的提升,網(wǎng)絡(luò)安全能力已成為高校信息化建設(shè)的底線能力。

近期“深信服科技股份有限公司”與“高校信息化應(yīng)用”公眾號聯(lián)合推出“深信服·安全運(yùn)營沙龍”專欄,專欄邀請高校信息化專家圍繞 “網(wǎng)絡(luò)攻擊”、“數(shù)據(jù)防護(hù)”、“等級保護(hù)”、“運(yùn)維管理”等重點(diǎn)議題展開深入探討。

近些年,隨著中國教育信息化從1.0到2.0新時(shí)期的開啟,中國教育信息化發(fā)展經(jīng)歷了從“跟跑”到“并跑”再到“領(lǐng)跑”的華麗轉(zhuǎn)變。早在2013年,西南交通大學(xué)就開始進(jìn)行教育信息化改革初嘗試,打造了教學(xué)信息化平臺;近年來,智慧教學(xué)、線上考勤、遠(yuǎn)程互動、云端講壇……現(xiàn)代化教學(xué)手段又陸續(xù)被引進(jìn)西南交大的智慧課堂。作為教育部第一批批準(zhǔn)的教育信息化試點(diǎn)優(yōu)秀單位,西南交大在教育新基建上的投入不斷加碼,教育信息化建設(shè)風(fēng)聲水起。

隨著教育信息化建設(shè)的逐步深入,學(xué)校各類信息系統(tǒng)和數(shù)據(jù)開始成為信息化管理的核心資產(chǎn)和網(wǎng)絡(luò)安全工作重點(diǎn)保護(hù)的對象。和國內(nèi)絕大部分高校類似,西南交通大學(xué)的網(wǎng)絡(luò)安全建設(shè)也存在諸多難點(diǎn)和壓力:第一,學(xué)校受教育部和地方雙側(cè)監(jiān)管,信息化部門責(zé)任重壓力大;第二,校內(nèi)網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)較為薄弱,網(wǎng)絡(luò)安全對抗能力較弱;第三,重設(shè)備投入、輕后期運(yùn)維,缺乏行之有效的服務(wù)化閉合安全體系,難以形成校園整體網(wǎng)絡(luò)安全體系。

如何破解這些難題?西南交通大學(xué)以保護(hù)業(yè)務(wù)運(yùn)行安全和數(shù)據(jù)安全為核心目標(biāo),依據(jù)國內(nèi)外先進(jìn)的網(wǎng)絡(luò)安全模型以及等級保護(hù)2.0標(biāo)準(zhǔn),借助深信服在網(wǎng)絡(luò)安全行業(yè)的技術(shù)實(shí)力,分別從頂層設(shè)計(jì)、組織體系、制度建設(shè)、技術(shù)措施等幾個(gè)方面開展相關(guān)工作,經(jīng)過幾年的具體實(shí)踐,逐漸摸索出了一套適用于學(xué)校的“管理+技術(shù)+運(yùn)營”三位一體、支持“可視、可控、可管、可追溯”的網(wǎng)絡(luò)安全治理體系,較為有效地解決了信息化建設(shè)進(jìn)程中面臨的部分問題。

構(gòu)建流程化的網(wǎng)絡(luò)安全閉環(huán)體系

西南交通大學(xué)在實(shí)踐過程中,始終以網(wǎng)絡(luò)安全閉環(huán)服務(wù)為目標(biāo),解決實(shí)際網(wǎng)絡(luò)安全問題。

在具體方案中,首先,進(jìn)行大面積資產(chǎn)清查,將現(xiàn)有的樓宇I(lǐng)P分段、信息中心資產(chǎn)、二級單位資產(chǎn)、核心資產(chǎn)、普通資產(chǎn)等提出了相應(yīng)的資產(chǎn)梳理和定義解決方案。

其次,將學(xué)校已有的安全態(tài)勢感知、邊界防火墻、終端管理系統(tǒng)等設(shè)備產(chǎn)品和第三方高端專業(yè)服務(wù)結(jié)合,把“技術(shù)和運(yùn)營”、“云端和本地”的體系聯(lián)動起來,建立7*24H校園網(wǎng)絡(luò)實(shí)時(shí)性安全“資產(chǎn)-監(jiān)測-預(yù)警-處置”閉環(huán)。

最后通過防火墻、安全態(tài)勢感知大數(shù)據(jù)平臺和終端安全軟件的聯(lián)動處置響應(yīng),解決學(xué)校大部分安全威脅,大大降低了運(yùn)維難度,而且盤活了之前部署的網(wǎng)絡(luò)安全設(shè)備。

PDR破解虛擬機(jī)“東西向”安全難題

學(xué)校數(shù)據(jù)中心一直以來采用VMware的vSpere+外置存儲方案,在計(jì)算虛擬化層面,一直苦于如何解決虛擬機(jī)“東西向”訪問控制隔離和安全防護(hù)的問題。在參考了眾多國際主流網(wǎng)絡(luò)安全標(biāo)準(zhǔn)后,深信服和西南交通大學(xué)達(dá)成共識:PDR體系在網(wǎng)絡(luò)安全建設(shè)標(biāo)準(zhǔn)中較為經(jīng)典有效。

在具體方案中,深信服結(jié)合西南交通大學(xué)的實(shí)際情況,在數(shù)據(jù)中心部署了2臺核心級防火墻,提供IPS、WAF、防病毒等多項(xiàng)數(shù)據(jù)中心需要的安全能力,讓師生們基于學(xué)校業(yè)務(wù)的訪問控制和隔離變得更加明確直觀易操作,及時(shí)解決重要業(yè)務(wù)和數(shù)據(jù)的安全防護(hù)問題。

同時(shí),接入學(xué)校安全態(tài)勢感知大數(shù)據(jù)平臺,幫助管理人員清楚定位數(shù)據(jù)中心失陷服務(wù)器,對失陷業(yè)務(wù)清楚舉證分析,實(shí)現(xiàn)網(wǎng)絡(luò)安全檢測分析智能化。另外,通過在服務(wù)器終端上部署有代理終端的安全軟件,實(shí)現(xiàn)虛擬機(jī)級別東西向流量訪問控制以及安全防護(hù)。

安全上“云”,加強(qiáng)安全運(yùn)營防線

在安全服務(wù)投入上,西南交通大學(xué)在親身經(jīng)歷了傳統(tǒng)安全服務(wù)后,也幾經(jīng)探尋,最終選擇了深信服“人機(jī)共智”的安全運(yùn)營創(chuàng)新服務(wù)模式,為學(xué)校提供威脅監(jiān)測與主動響應(yīng)解決能力。

具體方案上,將現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備和終端安全日志上傳到專業(yè)的云端安全運(yùn)營中心,進(jìn)行大數(shù)據(jù)、AI綜合分析;同時(shí),將安全日志與威脅情報(bào)關(guān)聯(lián),形成安全事件工單;再經(jīng)過云端安全運(yùn)營中心的安全專家對工單進(jìn)行分析、研判,準(zhǔn)確定位問題,最后通過微信互動群發(fā)出安全預(yù)警,進(jìn)行云上云下交互,實(shí)現(xiàn)閉環(huán)處置安全事件。

西南交通大學(xué)作為中國歷史最悠久的大學(xué)之一,曾經(jīng)“起山海、定唐山、轉(zhuǎn)平越、遷巴蜀”,走出一條不畏百年跋涉的“竢實(shí)揚(yáng)華”之路。如今,西南交大作為教育部直屬的全國重點(diǎn)大學(xué)、國家首批“雙一流”、重點(diǎn)建設(shè)大學(xué),正在開啟一條構(gòu)建安全治理體系,護(hù)航學(xué)校整體信息化發(fā)展之路。

Hash:dfc668e0130e00175a1101ba9c4e29adc20820ec

聲明:此文由 深信服科技 分享發(fā)布,并不意味本站贊同其觀點(diǎn),文章內(nèi)容僅供參考。此文如侵犯到您的合法權(quán)益,請聯(lián)系我們 kefu@qqx.com