项目背景
随着党校信息化建设的快速发展,能够给教职工和学员的工作以及学习生活带来极大的便利,但是也存在着许多潜在的安全问题。党校是培养党员领导干部和理论干部的学校,虽然是一所学校,但同时也属于党委重要部门。从中央到地方分别设立中央党校,省、自治区、直辖市委党校以及市(地)委党校。从某些意义上来说党校的网络信息要求比普通教育网络要求更高。
校园网络是数字化校园的基础,是衡量党校信息化建设程度的重要标准之一,对加快信息处理、资源优化利用、提高工作效率、实现资源共享等起到了重要的作用。校园网络为党校日常办公、对外交流、教学科研、教务管理和后勒管理等重要工作提供了基础保障。然而,校园网络安全问题也越来越突出,如:计算机病毒的破坏、黑客的攻击、数据的篡改和丢失等网络安全隐患,对校园网络构成了极大的威胁。如何保证校园网络能很好的为党校服务,实现整个校园网络具有高度的稳定性、可用性和安全性,避免不被攻击和破坏,校园网络的安全建设显得非常重要。
党校校园网应用系统数量多且复杂,涉及敏感信息与保密数据。由于党校培训教育的特殊性,党校校园网用户类型比较多样化,除了教职工相对稳定外,学员有各种身份,在校学习时间也各不相同。在党校信息化建设过程中,为了使各种类型用户有良好的用户体验,我们的应用系统在设计时就相对比较复杂。应用系统除了普通办公业务系统外,还有学员管理系统、一卡通系统等之间相互对接,对校园网络的规划与设计、以及网络安全提出了很高的要求。另外在学习培训过程中,有些信息系统涉及敏感信息与保密数据,因此对网络系统提出了更高的安全等级要求。
需求分析
- 操作系统的安全漏洞
目前流行的各种操作系统如:Windows、Linux等均存在网络安全漏洞,给校园网络安全留下了许多隐患。入侵者可以利用各种工具扫描网络及系统中存在的安全漏洞,并通过植入病毒、木马等方式对网络进行恶意攻击,这样的危害可以造成网络的瘫痪,信息的被窃取、篡改等。
- 计算机病毒的感染
计算机病毒是编制者在计算机程序中插人的破坏计算机功能或者破坏数据,影响计算机使用,并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、潜伏性、可触发性、破坏性等特点,在网络上传播极快,给网络安全带来巨大威胁。随着网络技术快速发展和社会信息化进程的加快,当今互联网上的病毒层出不穷,这些计算机病毒轻则直接影响计算机运行速度,破坏网络资源使用效率,重则破坏系统软件和文件系统,甚至破坏计算机硬件系统,造成不可挽回的损失。校园网络所提供的资源共享、邮件服务、网络下载等功能更是为病毒打开了一扇大门,因此,计算机病毒的防范非常重要。 - 应用服务的不安全
许多应用服务软件系统在访问控制及安全通信方面考虑不周全。网络远程教育、门户网站管理系统、图书馆管理系统等在校园网上广泛使用,各应用系统通常采用不同的技术、不同的软件系统进行开发,各种应用可能存在的安全隐患各自不同,大量的应用必将导致大量安全隐患的存在。 - 内部用户在使用计算机时缺乏安全意识
如使用盗版软件,混乱使用移动存储介质,打开来历不明的电子邮件,随意从网络上下载软件等,甚至采用手机热点等不安全方式接入互联网,这些行为很容易导致计算机受到病毒的人侵。 - 黑客的攻击
黑客利用其掌握的计算机和网络技术,利用互联网访问协议漏洞和主机端口的开放性,进行信息的非法访问、窃取和篡改。一是主动攻击,有选择地破坏信息的有效性和完整性。主动攻击包括信息篡改、资源使用、欺骗等:二是被动攻击。被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击在网络正常运行下进行截获、窃取、破译,以获得重要机密信息。 - 党校校园网络安全面临的特殊因素
党校作为大规模轮训、培训党员和领导干部的主阵地、主渠道,由于其特殊性,学员流动量大,学员更换频繁,所以对学员的上网管理变得非常复杂,加之党校校园网络的开放性,这使得党校校园网络更容易受到不明人员的攻击
规划建议
整体安全规划
为了应对当前网络防护以及未知威胁检测、发现、响应、处置的要求,满足《网络安全法》合规以及《网络安全等级保护基本要求》 GB/T 22239-2019中的等级安全要求,以等保2.0“一个中心,三重防御”的保障理念,提出网络安全体系方案;重点突出以安全管理中心建设,引入整体安全运营理念,整合推进网络安全技术体系及管理体系的完善,推进业务与安全能力融合,以切实经验助力用户安全运营,构建优化以“安全通信网络、安全区域边界、安全计算环境以及安全管理中心”的多重防御架构,持续提升整体安全防护的安全能力。
整体建设拓扑
- 安全通信网络建设
在网络区域边界,通过部署下一代防火墙在网络架构上实现不同网络区域之间的隔离,通过下一代防火墙内置的VPN模块实现远程通信传输过程中的校验及密码技术要求。 - 安全区域边界建设
在互联网出口、虚拟专线出口、内网服务器区分别部署防火墙设备,实现边界的访问控制、入侵防御及恶意攻击行为阻断;在DMZ区域布署WAF设备实现对Web应用系统的专项防护,针对HTTP/HTTPS应用数据深度检测分析,识别和拦截SQL注入、XSS等Web应用攻击行为;在核心交换机旁路镜像部署APT攻击预警设备实现关键网络节点和垃圾邮件的检测与防护。 - 安全计算环境建设
通过在网络中部署漏洞扫描设备,对主机、WEB应用、数据库等漏洞扫描、基线配置核查能力等多种类型的扫描,掌握网络中多余、过期的网络用户,充分排查网络中存在的弱口令等安全威胁;在主机及服务器安装杀毒软件,针对主机中的文件进行安全扫描,并针对已知漏洞进行修补,在识别到入侵和病毒行为时进行有效阻断。 - 安全管理中心建设
在网络中部署日志审计系统,将分散在数据中心的网络设备、安全设备上的审计数据进行收集汇总和集中分析;部署运维审计堡垒机系统,集中部署4A管理平台,实现对运维人员集中管理与审计,统一管理,采用单点登录的方式,对系统管理员进行身份鉴别,只允许通过特定的命令或操作界面进行系统管理操作,并对操作进行审计;部署数据库审计系统,对数据库进行细粒度审计、双向审计、全方位风险控制,可以全面记录数据库访问行为,识别越权操作等违规行为,并完成追踪溯源;跟踪敏感数据访问行为轨迹,构建行为模型,及时发现敏感数据泄漏;检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议。
部署大数据态势感知系统,通过对接日志审计系统、流量探针以及EDR等系统,结合云端威胁情报进行多维度的溯源分析,通过大屏展示和监控整体网络安全风险态势。基于大数据技术、AI机器学习、关联分析、自动化编排等,实现安全分析、安全告警、自动化处置网络安全风险,依次构建网络安全综合防御及安全运营自动化体系。
- 安全托管运营服务
本次建设引入安全托管服务MSS进行全生命周期的安全保障体系,以资产为核心、以安全事件管理为关键流程、采用安全域划分的思想、建立一套实时的资产风险模型,协助管理人员进行事件分析、风险分析、预警管理和应急响应处理。
安全托管服务团队借助专业技术工具以标准化管理流程集中研判、快速预警、统一指挥、紧急处置、追查反制等策略和措施,实现事前预警、事中监控、事后响应,快速规范化解决安全问题,力求安全问题闭环管理,持续迭代提升和输出整体安全能力,最大可能地保障业务安全运行。
预期成果
- 满足等级保护技术规范要求
本项目安全建设符合等级保护相关要求的安全防护措施,通过层次化的安全域纵深防护,构建有机的安全防护体系,覆盖网络层、系统层、应用层、数据层、技术管理层等IT系统的所有层面,覆盖预警、保护、检测、响应、恢复等所有环节,综合采用用户鉴别、认证、授权、访问控制、审计、监控、备份恢复等技术,保证防护的全面性、有效性、主动性,从而建立有针对性的合规性安全保障体系框架和安全防护措施。 - 创新的安全防护方式
大多数的网络安全防护都是盲目的,而通过持续监控可以感知和跟踪最新的攻击趋势和规律,结合这些攻击方式而采取针对性的解决方案,比如部署态势感知、防火墙、EDR、流量探针、审计类等。结合大数据分析平台、云端高级分析服务、人工安全服务和应急响应服务相结合,可进行更深度的分析和预警,互相弥补存在的短板问题,实现立体化的安全检测、分析、预警、响应和防护流程。 - 基于AI的高级持续挖掘
高级异常APT威胁发现要求系统能够根据时间关联、空间关联、行为关联以及业务关联综合检测判断出复杂异常行为。以传统安全设备的告警信息为线索,结合上节所描述的智能自学习的异常行为检测技术,能够为客户发现有价值和真实有效的高级持续性攻击行为提供线索。 - 提升客户的社会及经济价值
由于信息安全事件会给客户带来的社会信誉和经济损失,同时国家对于关键基础设施的保护要求越来越严格,通过开展信息安全态势分析、及时发现安全事件,处理安全风险可以减少或降低信息安全事件的发生,同时也降低了造成国家关键基础设施破坏和社会及经济效益损失的可能性。