遠為教育行業信息安全等級保護解決方案

1. 背景概述

2015年7月9日,教育部和公安部共同發布了《教育部 公安部關于全面推進教育行業信息安全等級保護工作的通知》(以下簡稱為“《通知》”)。根據《通知》指導和要求,“信息安全等級保護制度是提高信息安全保障能力和水平、維護國家安全、社會穩定和公共利益,保障和促進信息化建設的一項基本制度。”《通知》明確指出了教育行業信息安全等級保護建設的工作目標,“貫徹落實國家信息安全等級保護制度的相關法律法規、標準規范以及《教育行業信息系統安全等級保護定級工作指南》的相關要求,提高全體人員的信息技術安全意識,加快推進信息安全等級保護工作,提高信息系統安全防護能力,到2016年底基本完成教育行業信息系統的定級、備案和第三級以上信息系統的測評、整改工作。”《通知》明確了教育行業信息安全等級保護工作的具體內容,包括“(一)組織開展信息系統摸底調查工作;(二)加快推進信息系統安全等級保護定級備案工作;(三)開展信息系統安全等級測評和整改工作;(四)開展信息系統安全等級保護專項檢查。”等多項工作內容。根據《通知》要求,教育行業應積極開展信息系統的定級、備案以及整改、測評等工作。

2. 安全需求分析

根據《教育行業信息系統安全等級保護定級工作指南》(以下簡稱為“《定級指南》”)的指導,教育行業里按照信息系統主管單位的不同,信息系統可劃分為“教育行政部門及其直屬事業單位信息系統”(簡稱“部門信息系統”)和“學校信息系統”兩類。

信息安全等級保護建設是一個量體裁衣的過程,在進行安全體系設計前,需要對被保護定級系統的信息安全現狀進行充分詳實的調研,然后將信息安全現狀與《基本要求》做差異性比對,明確被保護定級系統當前的合標情況。通過合標差距分析,能夠明確被保護定級系統在哪些方面尚未達到等級保護安全標準要求。這些未能夠達到標準要求的方面,即為信息安全防護體系存在的薄弱環節,是需要進行安全整改建設的重點內容,也即是說,合標差距分析其本質就是被保護定級系統安全整改建設的需求分析。

3. 方案設計原則

◆ 適度安全原則

任何信息系統都不能做到絕對的安全,等級保護安全體系的設計,必須在安全需求、安全風險和安全成本之間進行平衡和折中,過低的安全保護無法滿足業務系統實際的安全要求;過高的安全保護則必然導致設計成本大幅增加,系統復雜性和運維、學習成本大幅提高,整個系統環境面臨的技術風險也同樣大幅提高。

◆ 重點保護原則

根據重要性程度的不同,有重點有針對性的進行安全保護,集中資源優先保護涉及核心業務或關鍵信息資產的組件。

◆ 技術、管理并重原則

信息安全問題從來就不是單純的技術問題,把防范黑客入侵和病毒感染理解為信息安全問題的全部是片面的,僅通過部署安全產品很難完全保護定級系統規避所有面臨的安全風險和威脅,必須技術與管理相結合,通過管理手段對非法安全行為進行威懾,保證安全技術措施的落實和執行,這樣才能確保安全體系的有效性。

◆ 分區分域隔離保護原則

分區分域是信息安全保護的有效措施。根據業務功能、訪問行為、重要性程度以及安全需求等因素,通過安全隔離技術手段,將部門信息系統和學校信息系統劃分為不同的安全域,通過技術手段將不同的安全域進行安全隔離,對安全域之間的訪問行為進行隔離控制,能夠有效的提高重要信息資產的安全性。通過安全域的劃分,也可以防止非法訪問行為發生。

4. 遠為教育行業信息安全等級保護解決方案
4.1 安全建設后網絡拓撲圖
4.2 解決方案關鍵安全措施綜述

基于遠為多網安全隔離系統的教育行業信息安全等級保護解決方案中,在安全管理區部署遠為多網安全隔離系統的管理服務器,保證管理服務器和每一個需要接入定級系統的客戶終端在物理上連通。管理服務器上為每臺終端創建用戶賬戶,并且根據不同的資源訪問權限構造不同的虛擬網絡,分別為辦公外網和辦公內網。管理服務器作為統一管理平臺,對所有多網安全隔離系統客戶端進行統一安全管理,通過統一的管理策略對網絡中的終端計算機進行統一管理,其實質是對網絡邊界的管理。 

在所有需要接入定級系統終端計算機上部署多網安全隔離系統客戶端,根據業務需要將終端計算機虛擬成兩臺虛擬機(可根據業務復雜性要求創建多臺虛擬機),兩臺虛擬機分別為辦公外網虛擬機和辦公內網虛擬機。

在辦公內網的網絡邊界處部署多網安全隔離系統網關,網關能夠對訪問定級系統服務器的行為進行嚴格控制,只允許部署了多網安全隔離系統客戶端且設置為辦公內網的虛擬機才能夠訪問,有效保障定級系統應用服務器和數據庫服務器的安全。

通過安全策略配置,多網安全隔離系統網關對虛擬機終端訪問行為進行控制,辦公外網虛擬機只能夠訪問辦公外網中的網絡資源,辦公內網虛擬機只能訪問辦公內網中的網絡資源,實現辦公外網與辦公內網之間的安全隔離,對辦公內網中定級系統服務器的訪問行為受到嚴格控制,達到了對定級系統進行安全保護的目標。

訪問控制策略配置如下:

◆ 辦公外網虛擬機除不能訪問辦公內網資源外,其他網絡資源都可訪問(包括互聯網),同時外部設備不受管制;

◆ 辦公內網虛擬機只能訪問辦公內網內的資源(不能訪問互聯網),開放USB接口,光驅,串口,并口等外設,同時為了保障業務專網虛擬機的安全性,禁止其他外設(如,軟驅、藍牙、1394、SD卡接口、PCMCIA接口、紅外等。)

◆ 辦公內網和辦公外網之間相互隔離、相互獨立:

◆ 辦公外網虛擬機和辦公內網虛擬機之間完全隔離、完全獨立;

◆ 辦公外網和辦公內網的數據傳輸通道完全隔離、完全獨立。

4.3 所需安全產品清單

編號

產品名稱

組件

安全性

說明

部署位置

1

遠為多網安全隔離系統

管理服務器

安全管理

安全管理區

客戶端

安全計算環境

業務終端

多網安全隔離網關

安全區域邊界

定級系統服務器區出口

2

其他安全產品

5. 方案優勢

◆ 符合國家要求

嚴格符合等級保護相關文件和技術標準要求。

◆ 項目容易落地

充分利用用戶現有信息網絡和硬件資源平臺,通過虛擬終端和虛擬網絡技術實現安全保護目標。不改變網絡拓撲,改造小 ,易落地。

◆ 用戶體驗極好

不改變用戶的使用習慣,不改變用戶已有的業務系統,實施簡單,使用方便,無需培訓,學習成本低。

◆ 全方位安全

本方案從終端、網絡到業務系統實現整體保護,無死角、無漏洞,完整覆蓋等級保護所有安全要求,能夠達到用戶安全建設預期和目標。

◆ 擴容極其簡單

可以將新的需要保護的定級系統或者更廣范圍的用戶群納入到遠為虛擬專網中即可,無需新的開發工作量,只需后臺簡單配置,施工簡單,經費節省,工期可控。

天津11选五推荐号 大唐游戏麻将下载 打长沙麻将必胜绝技 平肖是什么 福建体彩36选7规则 单机千炮捕鱼离线版 熊猫棋牌app官方下载 北京11选5开奖结果 36选7复式投注 兴动棋牌哈尔滨麻将 集中盈炒股平台正规