教育行业某中心信息化
1项目背景
整个社会正向“网络化的生产关系,数字化的生产力”发展,为抢占教育“制高点”,信息化自然成为了各国发展教育的战略重点。作为一种丰富学习资源,拓展教学空间,提高教育效率的有效手段,信息化为教育的创新与普及提供了新的突破口。然而与此同时,网络社会与生俱来的不安全因素,如病毒、黑客、非法入侵,不健康信息等,也无时无刻不在威胁教育网络的健康发展,而成为教育信息化建设中不容忽视的问题。目前,国内教育行业信息化设施也呈现出网络设备良莠不齐、网络结构复杂、安全意识薄弱等问题,教育行业的信息安全需求,无疑形成了一个庞大的市场。
目前,该大学已发展成为一所具有相当规模,基础较为雄厚,办学效益显著,在国内外具有一定知名度的综合性大学。该大学校园网由网控中心、主干网和各楼内的局域网组成,网络中心、图书馆、文科大楼和学生公寓四个主节点用光纤连成一个主干环路,光缆将校内30多栋教学、科研和行政办公楼群与校园主干网相连。随着该大学校园网络建设的持续和深入发展,面对网络信息安全和网络管理的日新月异,现有网络的各种安全产品已经心有余而力不足。经过严密和分析和论证,决定制定一整套的网络安全策略,增加相应的网络安全产品,真正做到有备无患。
2需求分析
目前许多校园网是从局域网发展来的,由于意识与资金方面的原因,他们在安全方面往往没有太多的设置,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,都无一例外使得校园网陷于瘫痪状态,带来严重的后果。因此,校园网的网络安全需求是全方位的,具体来说,包括以下几个部分:
1、网络病毒的防范
该大学校园网作为重要的大型计算机网络,一方面承担着教学和科研的重任,一方面作为现代化教学手段,还承担着学生学习和实验的任务。学生学习用的计算机及网络,由于使用的人多、人员更换快,计算机病毒感染率极高、且传播速度快,易重复感染。据统计一个新病毒从一台计算机出发仅六个小时就能感染全球互联网机器。网络一旦被病毒侵入而发作,将会对重要数据的安全、网络环境的正常运行带来严重的危害。所以防止计算机病毒是计算机网络安全工作的重要环节。
2、网络安全漏洞
该校园网作为一个管理实体,拥有WWW、邮件、数据库等服务器,终端桌面数量达到几千台,校园内不仅电教室、电子阅览室、办公室的电脑能上网,学生宿舍和家属楼的电脑通过电信宽带也能上网。对于这种大、中型的校园网络,许多防护系统形同虚设,而且学校网络管理人员无法确切了解和解决每台目标主机和整个网络的安全缺陷及安全漏洞,给校园网带来了严重的安全隐患。
3、垃圾邮件过滤
该校园网为全校教师和学生都提供一个邮箱账号,目前用户数规模高达2万多。根据日常的监控统计,垃圾邮件和高度疑似的垃圾邮件就占了总量的90%之多,消耗了大量的系统资源,包括CPU性能、磁盘空间、内存、响应速度等。而垃圾邮件主要分两大类,一类是病毒造成,另一类是广告行为。
4、风险评估服务
该校园网缺少网络管理人员,日常网络的维护量大,特别在网络安全方面暂时没有配备专职、专业的信息安全管理人员,同时在网络规划建设初期时,对整体的网络安全考虑较少,投资有限。因此,为确保整个网络的安全有效运行,有必要对整个网络进行全面的安全性分析和研究,制定出一套满足网络实际安全需求的,切实可行的安全管理和设备配备方案。
榕基企业的“信息安全工程建设项目组”通过综合分析、比较该大学校园网的安全需求,经过客户的同意、确认。目前该大学信息安全工程建设必须首先加强防病毒系统、网络隐患扫描系统、补丁分发系统、垃圾邮件过滤系统的建设,制订统一的安全策略,保障该大学信息安全工程有效运行。
本方案主要考虑建设网络隐患扫描系统,其他如防病毒系统、垃圾邮件过滤系统等已由其他项目综合考虑。网络设备、操作系统、应用程序和数据库扫描技术的实现,我们选用榕基网络隐患扫描系统RJ-iTop-III型机架式扫描服务器,并且在本次方案中详细描述。
3解决方案
榕基网络隐患扫描系统RJ-iTop-III型机架式扫描服务器能够很好地满足该大学信息安全工程建设对漏洞扫描的所有技术需求。该产品同时具有以下特点,更加适合在该大学校园网中进行部署:
?机架式扫描服务器可以很方便的管理信息点多、网络环境较固定、与企业的业务应用紧密相关的大型分布式网络。对下级可以通过扫描任务下达、扫描策略下达以及扫描结果上传等功能,实现策略上的统一,管理上的集中。同时可建立一个只有本机扫描权限的公用帐号,在全网授权范围内公开,则所有员工都可用该帐号发起自评估工作,即有效又方便管理。
?该产品为专用硬件网络漏洞扫描系统,相比国内的其他纯软件扫描产品,该产品能够更加高效的执行扫描工作。该产品采用了先进的调度算法、执行引擎,集成了多种业界领先的扫描技术,拥有全面的漏洞库与及时的系统升级能力,这些都保证产品的检测准确率与扫描速度都大大高于其它同类型扫描产品。
?榕基企业拥有该产品全部的知识产权与核心技术,并提供联动接口,配合其他安全产品构成完整的信息安全保障体系。
榕基网络隐患扫描系统RJ-iTop是根据网络IP地址分布情况进行配置的,它可以部署在网络的任何地方,只要能够访问到要进行扫描评估的目标主机、网络设备等就能够进行工作。
由于该大学复杂的网络分布,出于安全性考虑,建议采用二台机架式扫描服务器,分别部署于该大学校园网的网络中心与学生公寓,通过网络中心的一级机架式扫描服务器对学生公寓的二级机架式扫描服务器进行集中统一管理,简化管理工作的难度,实现了对大规模分布式网络进行实时及定时的漏洞扫描和风险评估,高效、稳定、统一地保障整个网络的安全。(因保密需要,省略产品部署网络拓朴图)
4应用效果
该产品操作简单、部署方便,能够对常见的网络设备、操作系统、应用程序和数据库四个方面进行实时、定时的扫描,不仅方便该大学校园网的管理人员采用系统的出厂默认配置就可以完成扫描任务,指出有关网络的安全漏洞及被检测系统的薄弱环节,给出详细的检测报告,而且具有极高的性价比;
该产品能够将扫描结果自动发送和保存,并给出可操作性很强的漏洞修复方案,或者通过与榕基风险管理系统等其它安全产品进行联动,及时对目标主机进行漏洞修复。方便该大学校园网的管理人员通过邮件结果通知、结果对比分析、定时扫描等方式来验证漏洞是否修复,并持续进行改进,有效杜绝安全隐患;
该产品可以按照部门、操作系统、用途、重要性等不同类型划分资产,使漏洞扫描系统能够和该大学校园网的网络逻辑拓扑结构图相结合,并根据每个资产的用途、重要性进行赋值,方便该大学校园网的管理人员对重要资产进行优先的风险评估与管理;
该产品每周至少升级一次,保证技术在相当长的时间内不落后,避免投资的重复和浪费。系统整机平均无故障时间(MTBF)不低于10,0000小时,保障该大学校园网的信息安全保障体系能够正常持续运行。该大学校园网的管理人员通过对网络隐患扫描系统的日常使用,可以提高相关的安全技术与安全意识;
通过事前的漏洞检测与安全加固,利用软件漏洞而发生的病毒传播和黑客攻击事件大大减少,使得受保护系统在自身和环境的变化中能够不断应对新的安全需求和风险,构建动态安全防护体系,保护用户以往的投资,有效降低信息安全系统的TOC(总体拥有成本);
完善的三级售后服务体系:产品本身(提供详细的漏洞解决方案)、产品网站(为用户提供周到的会员制服务)、网络安全专业小组(免费800电话咨询服务、现场技术支持)。榕基企业的售后服务体系可以及时地响应客户需求,为用户提供专业的全方位服务。