安全技术措施设计

1、通用安全设计

高校网络安全技术体系的设计内容主要涵盖安全管理中心、安全通信网络、安全区域边界、安全计算环境：

安全通信网络设计

l关键网络节点、设备及链路需设计冗余，保证高可用性；

l部署防火墙提供可靠的安全域隔离；

l采用符合国密要求的VPN系统保证远程通信过程中数据的保密性及完整性。

安全区域边界设计

l部署网络准入控制系统，对非授权设备私自接入内部网络的行为进行控制；

l部署主机监控与审计系统，对内部用户非法外联行为进行控制；

l部署防火墙及网络DLP实现基于应用协议和应用内容的访问控制；

l部署抗DDoS与IPS功能（集成于擎天防火墙）、WAF、IDS、APT安全监测等，对网络攻击特别是新型网络攻击行为进行检测、分析、告警和防范；

l部署防病毒网关（集成于擎天防火墙）、僵木蠕系统，在关键网络节点处对恶意代码进行检测和防范；

l部署网络审计系统，对用户的网络访问行为进行审计和数据分析。

安全计算环境设计

l部署堡垒主机对管理用户进行权限管理；

l部署数据库审计系统，对重要的用户行为和重要安全事件进行集中审计；

l部署漏洞管理、基线管理、EDR等系统保障终端及服务器的安全；

l采用密码技术，保障重要数据的完整性、保密性；

l部署容灾备份系统，保障重要数据的可用性；

l对重要网站系统提供网页防篡改、网站安全监控等保护机制。

安全管理中心设计

l通过堡垒主机实现集中的身份鉴别、访问授权和操作审计；

l部署网络管理系统，对网络和信息基础设施的运行状况进行集中监控；

l部署日志审计系统，对分散在网络中的审计数据进行收集汇总和集中分析；

l部署态势感知和安全运营平台，支撑安全监测、分析、预警、响应、处置、追溯等安全管理和运维工作。

2、云计算安全设计

l部署虚拟化的安全设备或安全资源池，实现对云租户南北向流量的检测与防护；

l部署虚拟化分布式安全防护系统，实现对云主机东西向流量的检测与防护；

l部署EDR，实现云主机本地的威胁检测与防护；

l部署云安全管理中心完成统一的策略管理、安全监控、策略迁移和自动化部署。

3、移动互联安全设计

无线接入安全设计

l通过在受控边界处部署防火墙与有线网络实现安全隔离；

l部署无线管理平台，提供无线信号覆盖的热力图，基于热力图进行无线AP的位置、数量、信道的选择；

l通过无线管理平台对接入无线网络的移动终端设备进行身份认证，身份认证支持采用符合国密要求的密码算法；

l部署移动终端管理系统，对非授权无线接入设备和非授权移动终端的接入行为进行定位和阻断。

移动终端安全设计

部署EMM，实现对注册登记的移动设备的远程控制和全生命周期管控，在移动设备丢失或被盗后，通过网络定位搜寻设备位置、远程锁定设备、远程擦除设备上的数据，防止数据泄露。

移动应用安全设计

采用EMM对教育APP进行上线前全面安全检测、安全加固、提供黑白名单功能，控制应用软件的安装、运行。

客户收益

依托这套方案自身完善的网络安全产品与服务体系，协助高校顺利完成等级保护各个阶段的工作。具体带来如下收益：

l全面构建高校网络安全保障体系，符合等级保护制度相关要求及教育行业信息化安全标准，可有效降低安全风险、合理规避法律责任；

l依托本公司对等级保护制度和标准的深入理解以及多年等保成功实践经验将有助于切实加强高校网络整体应对网络威胁风险的能力，提高网络攻击发现速度，完善威胁处置措施；

l助力高校构建安全、稳定的网络环境，保障办公及教学系统的持续稳定运行，提升高校的行业竞争力。