深信服•安全运营沙龙|西南交通大学:构建安全治理体系,护航学校信息化发展
栏目介绍
随着高校信息化建设的不断发展,教学和管理工作所面临的网络安全威胁正逐步升级,更高水平、高质量的信息化建设,离不开高校网络安全防护能力的提升,网络安全能力已成为高校信息化建设的底线能力。
近期“深信服科技股份有限公司”与“高校信息化应用”公众号联合推出“深信服·安全运营沙龙”专栏,专栏邀请高校信息化专家围绕 “网络攻击”、“数据防护”、“等级保护”、“运维管理”等重点议题展开深入探讨。
近些年,随着中国教育信息化从1.0到2.0新时期的开启,中国教育信息化发展经历了从“跟跑”到“并跑”再到“领跑”的华丽转变。早在2013年,西南交通大学就开始进行教育信息化改革初尝试,打造了教学信息化平台;近年来,智慧教学、线上考勤、远程互动、云端讲坛……现代化教学手段又陆续被引进西南交大的智慧课堂。作为教育部第一批批准的教育信息化试点优秀单位,西南交大在教育新基建上的投入不断加码,教育信息化建设风声水起。
随着教育信息化建设的逐步深入,学校各类信息系统和数据开始成为信息化管理的核心资产和网络安全工作重点保护的对象。和国内绝大部分高校类似,西南交通大学的网络安全建设也存在诸多难点和压力:第一,学校受教育部和地方双侧监管,信息化部门责任重压力大;第二,校内网络安全人才队伍建设较为薄弱,网络安全对抗能力较弱;第三,重设备投入、轻后期运维,缺乏行之有效的服务化闭合安全体系,难以形成校园整体网络安全体系。
如何破解这些难题?西南交通大学以保护业务运行安全和数据安全为核心目标,依据国内外先进的网络安全模型以及等级保护2.0标准,借助深信服在网络安全行业的技术实力,分别从顶层设计、组织体系、制度建设、技术措施等几个方面开展相关工作,经过几年的具体实践,逐渐摸索出了一套适用于学校的“管理+技术+运营”三位一体、支持“可视、可控、可管、可追溯”的网络安全治理体系,较为有效地解决了信息化建设进程中面临的部分问题。
构建流程化的网络安全闭环体系
西南交通大学在实践过程中,始终以网络安全闭环服务为目标,解决实际网络安全问题。
在具体方案中,首先,进行大面积资产清查,将现有的楼宇IP分段、信息中心资产、二级单位资产、核心资产、普通资产等提出了相应的资产梳理和定义解决方案。
其次,将学校已有的安全态势感知、边界防火墙、终端管理系统等设备产品和第三方高端专业服务结合,把“技术和运营”、“云端和本地”的体系联动起来,建立7*24H校园网络实时性安全“资产-监测-预警-处置”闭环。
最后通过防火墙、安全态势感知大数据平台和终端安全软件的联动处置响应,解决学校大部分安全威胁,大大降低了运维难度,而且盘活了之前部署的网络安全设备。
PDR破解虚拟机“东西向”安全难题
学校数据中心一直以来采用VMware的vSpere+外置存储方案,在计算虚拟化层面,一直苦于如何解决虚拟机“东西向”访问控制隔离和安全防护的问题。在参考了众多国际主流网络安全标准后,深信服和西南交通大学达成共识:PDR体系在网络安全建设标准中较为经典有效。
在具体方案中,深信服结合西南交通大学的实际情况,在数据中心部署了2台核心级防火墙,提供IPS、WAF、防病毒等多项数据中心需要的安全能力,让师生们基于学校业务的访问控制和隔离变得更加明确直观易操作,及时解决重要业务和数据的安全防护问题。
同时,接入学校安全态势感知大数据平台,帮助管理人员清楚定位数据中心失陷服务器,对失陷业务清楚举证分析,实现网络安全检测分析智能化。另外,通过在服务器终端上部署有代理终端的安全软件,实现虚拟机级别东西向流量访问控制以及安全防护。
安全上“云”,加强安全运营防线
在安全服务投入上,西南交通大学在亲身经历了传统安全服务后,也几经探寻,最终选择了深信服“人机共智”的安全运营创新服务模式,为学校提供威胁监测与主动响应解决能力。
具体方案上,将现有的网络安全设备和终端安全日志上传到专业的云端安全运营中心,进行大数据、AI综合分析;同时,将安全日志与威胁情报关联,形成安全事件工单;再经过云端安全运营中心的安全专家对工单进行分析、研判,准确定位问题,最后通过微信互动群发出安全预警,进行云上云下交互,实现闭环处置安全事件。
西南交通大学作为中国历史最悠久的大学之一,曾经“起山海、定唐山、转平越、迁巴蜀”,走出一条不畏百年跋涉的“竢实扬华”之路。如今,西南交大作为教育部直属的全国重点大学、国家首批“双一流”、重点建设大学,正在开启一条构建安全治理体系,护航学校整体信息化发展之路。
Hash:dfc668e0130e00175a1101ba9c4e29adc20820ec
声明:此文由 深信服科技 分享发布,并不意味本站赞同其观点,文章内容仅供参考。此文如侵犯到您的合法权益,请联系我们 kefu@qqx.com