教育城域网安全技术解决方案

1、教育城域网安全技术解决方案安全政策解读和用户问题0102教育城域网安全解决方案03教育城域网安全方案案例目录CONTENT安全政策解读和用户问题01网络安全法解读深入贯彻网络安全法全面完成关键信息基础设施定级备案和测评整改，信息技术安全监测和检查常态化第二十一条 网络运营者应当按照网络安全等级保护制度的要求，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改： （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，

2、并按照规定留存相关的网络 日志不少于六个月；第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；第五十二条负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息等保2.0即将出台将会增加对云计算、大数据、移动互联、物联网等方面的安全扩展性

3、要求，丰富防护内容和要求法律规定等保建设网络安全落实到人相关日志留存六月网络安全主动防御网络安全态势感知强化问责机制明确责权及处罚措施等保1.0定级备案建设整改等级测评监督检查等保2.0风险评估安全监测通报预警案事件调查数据防护灾难备份应急处置自主可控（特别新增集中管控中心）供应链安全效果评价综治考核 等级保护 1.0 到 2.0信息系统安全等级保护网络安全等级保护等保1.0实施流程：定级、备案、建设整改、等级测评、监督检查等保2.0时代： 内涵更为丰富和完善，与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施31个省建立了网络安全责任制 由教育厅局主要负责人作为第一负责人国家政策和业

4、务需求双重驱动教育行业安全趋势和各地动态建立责任制度，明确主体责任网络安全预警预判、舆论引导和应急处置能力不断提升网络安全责任制进一步夯实，关键信息基础设施保障体系不断健全，监测预警形成常态化教育部2018年教育信息化和网络安全工作要点提升感知网络安全态势能力，做好等级保护、风险评估、漏洞发现等基础性工作，完善网络安全监测预警和网络安全重大事件应急处置机制用户面临的问题与挑战问题与挑战（一） web应用安全门户网站B/S架构业务系统主流架构学籍管理网络教研教师管理学习空间OA跳板攻击盗取信息恶意篡改影响名誉漏洞攻击恶意破坏问题与挑战（二） 视频监控系统安全无准入摄像头安全问题弱口令远程服务系统

5、漏洞监控视频泄漏摄像头被控制问题与挑战（三） 安全运维管理传统网络安全设备部署模式内网核心防火墙出口流控数据区动网断网单点故障性能瓶颈运维复杂无法利旧利用率低问题与挑战（四） 网络接入和用网安全游戏 直播 购物 新闻和学习工作无关的事安全问题溯源WIFI密码破解/共享用网管理网络接入安全问题与挑战（五） 安全态势感知海量日志巨大的人力时间成本投入综合分析定位攻击较高的安全技术要求安全设备已经部署整网安全情况模糊安全设备日常运行安全设备功能发挥不足安全被动防御安全态势模糊问题与挑战（六） 安全技术能力 第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在

6、的风险每年至少进行一次检测评估第二十一条、第三十一条 网络运营者和关键信息基础设施运营者都应该按等级保护要求对系统进行安全保护等保2.0章节：设备和计算安全-入侵防范应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；章节：安全建设管理-测试验收应进行上线前的安全性测试，并出具安全测试报告章节：安全运维管理-漏洞和风险管理a)应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补b)应定期开展安全测评，形成安全测评报告，采取措施应对发现测试评估等保合规安全问题识别安全技术能力不足人员、工具缺乏教育城域网安全解决方案02教育城域网安全解决方案核

7、心价值智能防护全面感知深度服务教育城域网安全解决方案概览防火墙入侵监测边界网关边界网关互联网教育网外网接入区安全态势感知统一实名认证运维管理区视频监控区城域网链路出口网关行为审计应用识别堡垒机网页防篡改web防护web监控平台SDN控制器安全服务链视频服务器视频接入安全网关视频接入安全网关摄像头摄像头接入交换机接入交换机汇聚交换机平安校园电子监考视频监控安全控制器统一管理平台网络防护web防护学校教育局安全服务风险监测安全专家等保建设智能防护应用安全web立体防护物联网安全视频监控智能防护安全运维智能的池化管理web安全-智能立体web防护WMS网站监控预警云平台Wlock网页防篡改web服务

8、器web服务器系统扫描、漏洞扫描、木马后门检测实时预警智能报表管理员远程监测/处理WG网站防火墙攻击行为上报防护策略下发防护动作执行防御针对web服务器的攻击，如木马上传、盗链、sql注入攻击等静态、动态网页防篡改web安全-智能立体web防护旁路阻断，不影响链路性能情报中心，同步全球防护策略问题站点一键下线监控内容自定义 城域网视频接入安全网关ISG视频服务器视频接入安全网关管理平台IMS视频监控安全-智能识别、智能防护平安校园电子监考安全管理视频接入安全网关集中管理、统一监测告警和风险评估安全防护识别非摄像头的流量和攻击行为，进行告警及阻止安全准入识别现有摄像头，进行合法注册，接入设备发生

9、变化实时告警视频监控安全-三个层面的智能保障扫描摄像头漏洞下发安全策略ISG 摄像头主动识别、智能流量分析摄像头主动识别可对主流厂商摄像头主动识别，进行准入控制不需手工绑定智能流量分析病毒防护、攻击流量阻断根据视频流特征，识别视频流和非法流量，从根本上解决视频网络入侵问题IMS 视频网络安全集中管控集成多种漏洞库实时扫描IP摄像头发现漏洞，生成评估依据健康度状况，生成安全防护策略自动化推送到前端的视频接入安全网关，形成防护屏障安全运维管理-智能弹性的安全网络SDN安全服务链：安全设备资源池化让网络安全设备的部署、管理、运维 从复杂转向简单和智能内网核心出口数据区安全资源池SDN控制器SDN安全

10、服务链让安全防护更自由负载均衡主备冗余核心交换FW1FW2Chain 1Chain 2资源池化按需引流核心交换FW1FW2Flow 1Flow 2新增服务节点不断流核心交换FW1FW2ServiceChain Packet Flow服务结点故障自动bypass核心交换FW1FW2ServiceChain Packet Flow部署自由 业务自由 运维自由服务节点创建可灵活增加、删除、编辑操作SDN安全服务链让安全运维更简单业务流定义业务编排可按照天/时间点/时间段给予流控限速队列优先级图形化界面 配置管理简单化、直观化全面感知接入和用网安全用户感知，行为感知安全态势感知安全大数据分析网络接入安

11、全和用网管控 感知用户感知行为学校出口：网关EG邮件审计搜索审计URL过滤应用识别教育局：实名认证系统SMPwho分角色管理账号，满足公安82号令where接入区域控制，例如限制学生只能在教学楼上网when时段控制，例如上课是不许上外网、课余时间开放whose终端绑定，避免账号盗号、乱用what设备接入统计，呈现现网终端的统计 跨品牌无感知实名认证NAS 城域网链路 应用识别，应用过滤 用户上网管控基于用户名/姓名的实名制上网日志安全问题溯源到人精细化用网管控【用户、终端类型、时间、位置、接入方式】五元素用户自主服务体系，降低管理员工作量安全协防日志采集沙箱分析流量采集BDS大数据安全分析平台

12、安全态势感知 整体架构安全分析关联分析机器学习海量存储脆弱性管理漏洞管理风险管理云端威胁情报中心探针采集用户精细化行为用户应用审计日志采集防护日志运行日志扫描日志安全协防联动协防及时阻断云安全分析中心分析结果模拟运行结果分析威胁数据威胁数据安全预警与处置知识库工单跟踪告警管理UAC 内网/出口 探针 WMS 网站监控预警云平台行为审计安全沙箱应用分析模拟分析安全日志网络日志漏扫日志终端日志应用日志系统日志NGFW威胁阻断安全防护情报同步智能分析、预测预警网站监控信息安全态势感知的核心 BDS大数据安全分析平台态势认知开放兼容收集日志，满足网络安全法日志留存六个月要求构建安全大数据仓库，全面掌握

13、网络安全动态态势理解结合资产、日志、漏洞等进行大数据关联分析，感知安全风险，直击要害问题态势预测通过工单系统主动闭环安全问题，实时监控处理过程安全知识库提供技术和解决方案，为未来的网络安全提供支持呈现业绩日志、漏洞、风险、基线多维分析，量化安全状况告警、工单等趋势图呈现安全建设业绩安全态势感知第一步：态势认知安全设备网络设备数据库操作系统统一采集SYSLOGSNMPSMBFILEDATABASEWMI时间设备对象严重级别事件特征目的用户源地址源端口协议类型跨品牌设备日志采集感知全网设备动态日志格式统一化日志留存网络安全法日志留存六个月兼容各类主流厂商、设备、系统内置兼容70多个厂商、180多个

14、产品、170多个系统类型不断提升兼容数量，支持快速的兼容性开发安全态势安全态势感知第二步：态势理解 安全事件安全告警资产属性安全漏洞安全基线日志分析资产评估漏扫基扫资产风险系统风险业务风险风险统计风险趋势化繁为简，感知漏洞，感知攻击，感知整网安全态势，做到未雨绸缪！分析引擎图形化关联规则工具海量日志、资产、漏洞关联分析，安全态势一目了然呈现关键问题展现安全态势日志、资产、漏洞关联分析网络安全评分知识库安全基线库日志配置知识日志知识安全经验漏洞库安全态势感知第三步：态势预测工单流程风险工单管理、五大知识库建立深度服务等保建设服务整个流程安全专家专家安全协助风险检测全方位安全分析安全服务 专业的人

15、员 专业的服务风险检测服务安全检测评估、渗透测试、漏洞扫描等全方位安全分析，及时评估风险，提供安全解决方案安全专家服务WEB安全现状分析、专家安全分析及策略优化、安全事件处置等分析客户网站系统、内网系统等面临的安全威胁，及时进行安全事件处置等级保护建设咨询服务依据等级保护标准对客户信息系统进行等保建设咨询，服务等保建设整个流程专业人员具备公安部颁发的信息安全等级保护安全建设专业技术人员证书专业产品防火墙 漏洞扫描 数据库审计 入侵检测等级保护建设的规定动作系统定级备案建设整改等级测评监督检查将网络系统按照重要性和遭受损坏后的危害性分成五个安全保护等级等级确定后，第二级（含）以上信息系统到公安机

16、关备案，公安机关审核后颁发备案证明根据信息系统安全等级，按照国家政策、标准开展安全建设整改备案单位选择符合国家规定条件的测评机构开展等级测评公安机关定期开展监督、检查、指导等级保护建设咨询服务 信息系统定级阶段总体安全规划阶段 安全设计与实施阶段 安全运行与维护阶段安全调查信息系统分析等级保护定级咨询等保定级咨询服务风险评估差距分析总体安全规划设计等保风险评估服务安全服务渗透测试漏洞扫描安全事件处置专家安全分析安全监测及现状分析测评咨询服务等保安全建设服务安全方案详细设计安全整改建设协助测评及运维服务等级保护服务目标满足法律法规要求、满足业务安全要求、提升整体安全能力、增强人员安全意识安全专家

17、服务安全专家服务包含：WEB安全现状分析、专家安全分析及策略优化、安全事件处置等服务WEB安全现状分析专家安全分析及策略优化安全事件处置远程对重点网站进行专家安全分析，排查目前是否被黑客入侵、是否存在挂马或被篡改等结合大数据安全平台BDS，对内网现有安全状况进行深度安全分析，排查安全攻击事件，分析目前存在的安全风险依据现实情况，对BDS进行安全策略优化，以适应现有安全状况安全专家通过远程支持的方式对突发性安全事件进行安全处理，协助快速定位安全问题，将安全事件的影响降到最低安全专家服务安全问题分析及策略优化排查安全攻击事件分析安全弱点 风险检测服务 安全检测评估从风险管理角度，综合国内外相关标准

18、与业界最佳实践，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的防护对策和整改措施准确了解当前信息系统及网络的安全现状明确安全建设需求，提出合理安全建议合理规划安全建设和安全投入为信息安全决策提供支撑和依据提高员工安全意识，培养内部安全人才风险检测服务 安全检测评估评估安全事件一旦发生可能造成的危害提出针对性的防护对策和整改措施风险检测服务 渗透测试验证现有安全措施的防护能力发现系统深层次安全风险最真实模拟黑客方式入侵避免被监管机构或黑客提前发现问题规化渗透方案确定渗透范围制度渗透计划获取目标基本信息获取目标漏洞

19、信息漏洞分析与利用系统入侵敏感数据获取编制渗透测试报告模拟黑客攻击方式对信息系统进行非破坏性安全测试，发现深层次的安全隐患，验证现有安全措施的防护效果，及时了解其被入侵的可能性，提出整改建议风险检测服务 渗透测试对信息系统进行非破坏性安全测试，发现深层次的安全隐患风险检测服务 漏洞扫描确定扫描范围制定扫描计划编制实施方案制定扫描策略漏洞扫描实施编制扫描报告发现系统或设备存在的漏洞提供安全解决方案避免被黑客利用漏洞攻击系统专业人员利用多种专业漏洞扫描工具对目标系统进行交叉扫描验证，对扫描结果进行分析，评估弱点的危害程度及被威胁利用难易程度，提供安全整改建议风险检测服务 漏洞扫描及时发现系统或设备

20、存在的漏洞，提供安全解决方案避免被黑客利用漏洞攻击系统教育城域网安全方案案例03武汉市汉阳区教育局有线无线网及认证系统建设项目覆盖汉阳区中小学校84所，幼儿园75所，职业中专、职业高中3所部署RG-BDS大数据安全平台，对全区中小学各类设备安全日志进行集中收集、标准化为统一格式并进行安全事件关联分析，有效满足网络安全法全网日志留存6个月要求的同时也为汉阳区城域网安全分析能力提供有力支撑重庆开州区教育局城域网建设项目提供整体安全解决方案：大数据安全平台BDS 1套、数据库审计DBS 2000-A 1台、入侵防御IDP2000E 1台 、堡垒机OAS 1000E 1台、PowerCache X5E 1台、上网行为管理UAC-X60 1台、VPN2000E 1台、防火墙X8500 1台、WG2000E-A 1台。方案价值：大数据分析平台BDS，兼容业界各大主流厂商设备，收集城域网出口及相关安全日志，既满足网络安全法全网日志留存6个月合规要求，又能采用大数据关联分析技术实现主动、快速、精确发现安全风险、抵御风险。BDS+WG+防火墙+IDP进行实时动态联动，实现整网安全攻击态势分析及展示，及