普教职教
校园网安全管理解决方案
日期:2018-11-20
浏览量:0次
一、行业发展现状
随着信息化的发展,校园网在学校的教学、管理、科研和对外交流中发挥着重要作用,已成为各学校向信息化时代走进的必然趋势。加强校园网的安全建设,一方面关系到学校的综合利益,另一方面也关系到学校的安全建设合规程度。校园网络一旦出现了安全隐患,则会造成网络中大量资料被泄露、伪造和破坏,造成信息传递的中断,给学校带来极大的损失。
当前校园网安全建设主要集中在三大方面:校园云数据中心安全、校园网出口安全、校园用户接入安全。
二、解决方案
校园安全管理解决方案
三、方案优势
1.校园云数据中心安全
安全态势感知:以情报数据为中心,结合资产、漏洞、事件、全流量数据,采用大数据技术,通过实时监测,感知被监测区域的木马和僵尸程序、网站入侵攻击等网络安全事件情况,对网络数据和事件进行采集、存储、处理、挖掘、分析,及时发现网络恶意程序、网络攻击事件等安全威胁,掌握和了解网络安全态势,并进行可视化展示。
云安全资源池:在校园云数据中心的安全建设过程中,要想满足各院系租户的网络安全隔离且独立管理的需求,高性能、高可靠、可扩展、虚拟化、统一管理的安全资源池建设是关键。通过部署在汇聚层的安全多业务资源池,多租户可以自助式申请安全服务。在这个过程中,多租户之间的业务安全隔离和安全设备资源的保证完全依赖于虚拟化技术的实现,结合SDN技术可以实现灵活的服务链。
安全运维管理区建设:随着校园数据中心IT系统不断发展,网络规模和设备数量迅速扩大,日趋复杂的IT系统与不同背景的运维人员的行为容易给信息系统安全带来较大风险,堡垒机系统可以提供统一的运维权限管理平台,制定有针对性的访问审计策略,配合数据库审计系统可以对运维人员的相关重要操作进行记录与溯源。
数据中心Internet出口安全:与互联网对接区域一直以来都是安全建设的重点,也是高校等级保护合规性要求的重点区域,需要各类安全设备各司其职、最大限度的保障数据中心的安全,除了需要部署传统的防火墙、入侵防御设备、负载均衡设备以外,还需要重视特定攻击的抵御能力,例如:应用防火墙(WAF)
可以有效抵御代码级别的攻击。
2.校园出口安全
运营级产品保障可靠性:众所周知,校园网出口是校园安全建设的重要区域,传统方案大多采用“串糖葫芦”式的组网方式,部署防火墙、入侵检测、防病毒网关、负载均衡器、流量控制设备、上网行为审计等多种安全设备,不仅种类繁多而且备份方式效率非常低,极大的影响了整个校园网络的可靠性,新华三多业务安全网关一体化的解决方案,集成了校园网出口安全所需的全部功能,极大的简化出口结构,通过集群技术(SCF)可以保障出口的可靠性。
多业务合一提升用户体验:多业务网关将学校所需的安全功能以模块化的方式融合一台设备中,防火墙、IPS模块可以实现L2~L7层的安全防护;链路负载均衡模块提供基于状态的多条出口链路的调度,确保各条出口链路资源充分利用;应用控制模块可以有效管理外网访问的带宽及上网行为的审计,VPN模块可以满足移动办公人员内部资源访问。
虚拟化一机多用服务全校:一台多业务安全网关可以虚拟成多台防火墙设备,虚拟防火墙之间相互独立,每个虚拟防火墙都具备精细化的资源限制能力,可以为有安全需求的院系提供防火墙资源,也可作为业务系统之间的安全边界。
3.校园用户安全
容量大:校园网核心采用BRAS(Broadband Remote Access Server,宽带远程接入服务器)设备,基于NP架构的BRAS设备天生具有数倍于交换机表项容量,完美迎合校园网中用户设备激增的发展趋势,可支持25万以上的海量终端接入校园网。
管理细:校园网用户的安全不是靠硬件安全设备保证,而需要对场景进行细分,校园网中各类设备针对特定场景紧密配合实现精细化安全管理体验,例如:接入层的准入认证区分不同场景,学校家属区更注重隔离(PPPoE认证),而教学区无线更需要简单高效(Portal认证);去往不同目的地的流量定义不同的认证计费策略,BRAS可以实现Internet计费,Cernet不计费。
运维简:传统校园网认证功能靠大量的接入设备,流控功能需要专业的流控设备,功能实现低效分散,管理复杂配置繁多,BRAS设备将认证任务上收,减少接入层设备的配置工作,缓解运维压力。
随着信息化的发展,校园网在学校的教学、管理、科研和对外交流中发挥着重要作用,已成为各学校向信息化时代走进的必然趋势。加强校园网的安全建设,一方面关系到学校的综合利益,另一方面也关系到学校的安全建设合规程度。校园网络一旦出现了安全隐患,则会造成网络中大量资料被泄露、伪造和破坏,造成信息传递的中断,给学校带来极大的损失。
当前校园网安全建设主要集中在三大方面:校园云数据中心安全、校园网出口安全、校园用户接入安全。
二、解决方案
校园安全管理解决方案
三、方案优势
1.校园云数据中心安全
安全态势感知:以情报数据为中心,结合资产、漏洞、事件、全流量数据,采用大数据技术,通过实时监测,感知被监测区域的木马和僵尸程序、网站入侵攻击等网络安全事件情况,对网络数据和事件进行采集、存储、处理、挖掘、分析,及时发现网络恶意程序、网络攻击事件等安全威胁,掌握和了解网络安全态势,并进行可视化展示。
云安全资源池:在校园云数据中心的安全建设过程中,要想满足各院系租户的网络安全隔离且独立管理的需求,高性能、高可靠、可扩展、虚拟化、统一管理的安全资源池建设是关键。通过部署在汇聚层的安全多业务资源池,多租户可以自助式申请安全服务。在这个过程中,多租户之间的业务安全隔离和安全设备资源的保证完全依赖于虚拟化技术的实现,结合SDN技术可以实现灵活的服务链。
安全运维管理区建设:随着校园数据中心IT系统不断发展,网络规模和设备数量迅速扩大,日趋复杂的IT系统与不同背景的运维人员的行为容易给信息系统安全带来较大风险,堡垒机系统可以提供统一的运维权限管理平台,制定有针对性的访问审计策略,配合数据库审计系统可以对运维人员的相关重要操作进行记录与溯源。
数据中心Internet出口安全:与互联网对接区域一直以来都是安全建设的重点,也是高校等级保护合规性要求的重点区域,需要各类安全设备各司其职、最大限度的保障数据中心的安全,除了需要部署传统的防火墙、入侵防御设备、负载均衡设备以外,还需要重视特定攻击的抵御能力,例如:应用防火墙(WAF)
可以有效抵御代码级别的攻击。
2.校园出口安全
运营级产品保障可靠性:众所周知,校园网出口是校园安全建设的重要区域,传统方案大多采用“串糖葫芦”式的组网方式,部署防火墙、入侵检测、防病毒网关、负载均衡器、流量控制设备、上网行为审计等多种安全设备,不仅种类繁多而且备份方式效率非常低,极大的影响了整个校园网络的可靠性,新华三多业务安全网关一体化的解决方案,集成了校园网出口安全所需的全部功能,极大的简化出口结构,通过集群技术(SCF)可以保障出口的可靠性。
多业务合一提升用户体验:多业务网关将学校所需的安全功能以模块化的方式融合一台设备中,防火墙、IPS模块可以实现L2~L7层的安全防护;链路负载均衡模块提供基于状态的多条出口链路的调度,确保各条出口链路资源充分利用;应用控制模块可以有效管理外网访问的带宽及上网行为的审计,VPN模块可以满足移动办公人员内部资源访问。
虚拟化一机多用服务全校:一台多业务安全网关可以虚拟成多台防火墙设备,虚拟防火墙之间相互独立,每个虚拟防火墙都具备精细化的资源限制能力,可以为有安全需求的院系提供防火墙资源,也可作为业务系统之间的安全边界。
3.校园用户安全
容量大:校园网核心采用BRAS(Broadband Remote Access Server,宽带远程接入服务器)设备,基于NP架构的BRAS设备天生具有数倍于交换机表项容量,完美迎合校园网中用户设备激增的发展趋势,可支持25万以上的海量终端接入校园网。
管理细:校园网用户的安全不是靠硬件安全设备保证,而需要对场景进行细分,校园网中各类设备针对特定场景紧密配合实现精细化安全管理体验,例如:接入层的准入认证区分不同场景,学校家属区更注重隔离(PPPoE认证),而教学区无线更需要简单高效(Portal认证);去往不同目的地的流量定义不同的认证计费策略,BRAS可以实现Internet计费,Cernet不计费。
运维简:传统校园网认证功能靠大量的接入设备,流控功能需要专业的流控设备,功能实现低效分散,管理复杂配置繁多,BRAS设备将认证任务上收,减少接入层设备的配置工作,缓解运维压力。
上一篇:教育云融合数据中心解决方案
下一篇:智慧校园泛连接解决方案