教育城域网安全加固整体规划方案
目录
第1章整体设计方案说明 (2)
第2章方案设计 (2)
2.1方案拓扑 (2)
2.2方案概述 (4)
2.2.1行为管理层面 (4)
2.2.2安全监测层面 (5)
2.2.3集中管理层面 (7)
2.2.4方案价值 (7)
第1章整体设计方案说明
通过和教育厅电教馆反复沟通,本次教育子网方案涉及到113个县和14个地市,覆盖全区中小学,结合各个学校规模情况,提供两种方案供选择。第一种方案主要针对中大型学校,第二种方案针对中小型学校。
方案一:针对规模较大的学校主要采取硬件形式,在每个学校部署上网行为管理和下一代应用防火墙,在市、县、区级搭建互联网出口,并配备下一代应用防火墙、上网行为管理、链路负载均衡,以及旁路部署行为感知分析和展示平台。通过在县级和市级部署集中管理平台(BBC)对下属学校的硬件设备进行集中管理,包括策略下发、性能监控等;在市、县级部署全网安全监测平台实现各个学校分支的安全态势统一展示和管理。
方案二:针对规模较小的县市主要采取软件形式,在市、县级搭建云安全资源平台,通过利用每个学校原有路由器的L2TP功能,将流量引流到相应市、县级云安全资源平台,在市县级云安全资源平台给有安全需求的学校生成虚拟化的上网行为管理和下一代应用防火墙,由行为管理对各个学校提供上网行为管理、流量控制、权限控制等服务,而由下一代防火墙对每个学校提供互联网出口边界的立体化安全防护(包括传统防火墙、防WEB 攻击、防IPS入侵检测、防僵尸网络);通过在县级和市级部署集中管理平台对下属学校的硬件设备进行集中管理,包括策略下发、性能监控等;在市、县级部署全网安全监测平台实现各个学校分支的安全态势统一展示和管理。
最后在自治区搭建全网安全监测平台收集市、县级全网安全监测平台数据进行分析整合展示,形成全网安全监测平台分级、分层展示。同时在区级搭建集中管理平台,对每个学校的行为管理设备做集中统一管控,教育局可以根据管理需求,针对全区下发一些标准的安全管理策略,譬如全市的关键字过滤策略;
第2章方案设计
2.1方案拓扑
2.2方案概述
2.2.1行为管理层面
中小学分级上网行为管理——通过在每个中小学出口部署AC能有效全面封堵互联网上的不良网站,禁止上课时间进行QQ聊天、网络游戏、微博、社交网站等应用访问网络,规范学校在上课时段的上网行为,提供给教育子网各学校绿色和谐的互联网环境。同时通过各学校出口处部署AC满足学校个性化、精细化的上网行为管控,实现学校自主管理本校上网日志的需求并可详尽记录城域网内师生的上网记录,满足公安部82号令对网络行为记录的相关要求、规避可能的法规风险;
教育子网统一认证——通过在教育厅、市、县级平台旁路部署potal认证平台与各学校出口AC联动,实现城域网内用户集中实名认证,并可在城域网内任意地方接入都能方便快速安全的上网,避免一人多个认证账号带来的不便;
中小学出口流控——通过保障城域网访问教育局数据中心的教学资源、以及视频会议等业务的带宽资源,避免上课期间非教学业务占用学校出口带宽而影响在线教学的顺利开展,提高教学效率;
教育子网统一运维管理——通过在自治区、市、县部署SC集中管理平台,厅里面可以统一对全区的上网行为管理设备下发全区基础策略;市、县有独立管理自己SC平台的权利,可以针对市县内所有学校下发特殊策略,满足市县的特殊需求;学校可以通过直接登录上网行为管理设备修改策略。实现上网策略统一下发、满足上网日志集中收集的要求,让行为管理策略最终能够全面落实;
大屏展示——区、市、县通过大屏展示可视化的呈现相应城域网内各接入学校的地理位置分布、在线状态、流量情况、应用分布,以及不良网站的流量与行为排行。为教育局领导提供一个可视化安全运维平台,方便教育局及时了解各学校的网络状况以及安全风险等级;
2.2.2安全监测层面
中小学安全加固——通过在各学校出口处部署下一代防火墙AF,实现加固学校校园网自身安全同时,能有效隔离校园网内产生的安全威胁,避免通过城域网感染其他学校,甚至被动攻击教育局、教育厅的数据中心;
教育子网全网安全监测——
1、全网安全实时监测:实现中小学边界安全状况实时上报监控,及时了解全网安全动态,减少安全运维人员成本;
2、全网安全优化运维:教育子网边界安全状况详情分析,多维度信息找到风险来源点和防护薄弱点,优化安全运维;
3、安全事件全程溯源:安全日志统一管理,对有效攻击事件进行分析,了解
攻击过程利用哪些漏洞发起攻击,实现攻击可追溯;
4、安全设备统一管理:实现集中特征更新与推送,快速实现安全同步;
教育子网集中运维管理——通过在自治区、市、县部署SC集中管理平台,厅里面可以统一对全区的下一代应用防火墙(NGAF)设备下发全区基础策略;
市、县有独立管理自己SC平台的权利,可以针对市县内所有学校下发特殊策略,满足市县的特殊需求;学校可以通过直接登录NGAF设备修改策略。真正实现教育局集中管理、中小学无人管理、安全自动维护、日志统一收集、安全统一分析的效果;
大屏展示——通过大屏展示可视化的呈现教育子网内各接入学校的地理位置分布、安全设备在线状态、安全威胁等级、被攻击次数、攻击来源等信息。为教育局领导提供一个可视化安全运维平台,方便教育局及时了解各学校的网络安全状况。
2.2.3集中管理层面
XX教育子网涉及到多个分支学校,各个分支学校通过独立的网络出口访问Internet,同时分支通过专线/VPN访问总部业务。总部希望通过集中管理平台实现全网可视化运维,智能管理分支网络设备,统一的策略配置和下发,保证公司整个网络的健康运行。同时希望实现查看分支员工上网行为日志、安全日志、网络告警日志等。整体方案设计如下:部署说明:在县、市和区厅内网单臂部署BBC(Branch Business Center)集中管理平台,可对分支上网行为管理和下一代应用防火墙集中管理,降低分支运维难度。主要功能如下:
●分支机构设备上线,分支设备自动加载总部云端管理平台策略配置,无需复杂配
置即可上线运行。
●建设后期设备升级、业务升级只需要从总部DA TA DC或者云端进行下载升级包,
即可按照任务时间进行相关升级工作。
●C集中管理平台实时监控多家分支网络问题、硬件问题、安全问题、流量问题等
告警,实现集团整网运维监控,降低运维难度。
2.2.4方案价值
城域网全网安全建设方案,可帮教育局加固城域网安全,规范城域网接入用户的上网行为,实现城域网高效可视化安全运维,降低城域网运维工作量:
城域网安全加固、上网行为规范
安全设备集约管理,降低运工作量
城域网接入集中认证,提升接入体验
安全日志统一分析,灵活调整安全策略
大屏展示城域网安全威胁,有效事件尽收眼底