高校網絡安全解決方案
高校網絡安全分析
網絡安全威脅正在向多層次,復合型的方向發展,各種病毒、木馬、蠕蟲、釣魚網站等網絡安全問題給校園用戶的業務系統帶來了巨大的挑戰。
• 高校內部有大量的服務器,對外提供服務,其中不乏代表高校形象的門戶網站,服務器多采用Windows類系統,漏洞多,需要夠提供強大的IPS功能,保護服務器不受到黑客攻擊。
• 對非法網站的訪問需要進行攔截,對上網行為進行管理,保證學生、教師訪問純凈的網絡信息資源。
• 內部網絡有許多私有IP和教育網公用IP,因此訪問CNC要通過NAT。用戶眾多,流量大,每秒新建連接數、并發連接數要求高。
• 高校網絡內部有許多私有IP和教育網公用IP,這些地址是不能通過CNC鏈路直接訪問Internet,因此需要作地址轉換。
• 因為現在學生可以在宿舍上網,進行網頁瀏覽、下載文件、電影等。因此造成校園網流量非常大。所以,高校在選擇UTM設備時候必須擁有卓越的吞吐量、海量的并發連接數,保證網絡中的應用不受到影響。
• 傳播病毒、蠕蟲和其他基于內容的攻擊,利用校園網,共享不合法內容。
這些問題會引起大量與維護或支持校園計算系統和網絡相關的問題,給動態學術環境中的安全防護工作帶來困難。
UTM高校解決方案
UTM設備提供同類產品中最靈活的接入模式、提供海量的新建連接和并發、提供卓越的吞吐量、提供統一的IPS和IDS功能、提供了業內最佳的入侵檢測和防 御、網頁內容過濾、反病毒和反釣魚功能以保護高校的業務和珍貴的IT資產。該綜合的解決方案特定為易于使用、維護成本低,并可以允許您隨意擴展自己的網 絡。
"全面保護"的最佳方案
對于服務器,提供最靈活的接入模式
對于學校的服務器,建議放置在UTM的DMZ區域,這樣保證Internet用戶和內網用戶訪問它的安全性。對于有多個出口的學校,在部署服務器的時候, 建議在CNC和CERNET上配置相關的IP地址,通過UTM的地址映射功能映射到服務器上。通過這樣的部署,CNC用戶可以通過CNC地址訪問服務 器,CERNET用戶通過CERNET地址訪問服務器,保證用戶最快速度訪問到服務器。
同時, UTM可以提供對服務器的鏈路備份功能,當CNC鏈路中斷時候,所有用戶通過CERNET地址訪問服務器;當CERNET鏈路中斷時候,所有用戶通過CNC地址訪問服務器。
對服務器,提供最佳的IPS和IDS保護
為了達到對服務器最佳保護, UTM可以針對服務器同時開啟IPS規則和IDS規則。IPS與IDS對應不同的特征庫,當數據包進入UTM設備,首先經過IPS檢查,可以確定100% 的攻擊,UTM可以對該攻擊進行阻斷;如果數據包疑是攻擊,進行IDS檢查,UTM對該數據進行審計,從而達到IPS和IDS的統一,保證服務器的同時不 會產生因為誤報而將正常數據包阻斷現象。同時通過硬件加速保證系統的性能。
對學生使用P2P等的應用控制
UTM不但能夠實現對TCP/UDP端口的控制,并且可以實現對同一端口不同應用控制的功能。當數據包通過TCP/UDP某一端口進行傳輸時候,華為賽門 鐵克UTM可以對數據包的應用層作深度檢查,達到對于應用進行控制的目的。例如:對BT這種耗費帶寬的控制、對經過HTTP訪問流媒體的控制、對HTTP 不同命令和使用代理服務器控制;對FTP不同命令的控制、對訪問數據庫登陸的控制、對SMTP/POP3命令的控制、對H.323/SIP視頻的控制等。
對由內往外攻擊的控制
通過UTM的連接速率限制規則可以限制某個IP或者網段的每秒新建連接速率,可有效遏制受到病毒感染在運行惡意程序的內網電腦。
通過開啟由內到外的IPS規則,避免內部的PC中木馬后去攻擊銀行、政府等敏感部門,造成法律糾紛。
對學生上網內容的過濾
對于學生訪問成人、反動網站——通過UTM的靜態和動態網頁內容過濾功能,可以根據關鍵字、URL黑名單、或者對網頁內容的分類結果有選擇性地限制對某些網頁的訪問
由于互聯網上各種危險網站層出不窮,用戶根本無法手動更新相應的網站,華為賽門鐵克在全球各個地方有專人負責對全球的URL進行分類。通過廠家對全球網頁 時時進行分類,UTM產品通過在線自動更新網站列表,可以靈活的設置學生訪問網頁的內容,屏蔽瀏覽成人、娛樂等不安全或政策、法律禁止的網站同時通過對 Internet上"釣魚"網站的分類屏蔽,阻止用戶訪問"釣魚"的網站,保證學生和老師上網的安全性。
• 分布式部署方式
客戶價值
• 集中管理,態勢感知。
平臺缺省支持160多種設備的日志采集和管理,包括各主流的主機系統、數據庫、網絡設備、安全設備和存儲設備等;通過易用直觀的呈現界面,集中展現公安系統網絡的整體安全概況和安全趨勢,實現全網安全的集中化管理。
• 準確定位安全事件,快速恢復系統。
強大的關聯分析引擎,能夠跨設備、跨類型對多條事件進行關聯分析;內置了230條關聯規則,可對常見的安全威脅進行識別和告警;同時根據用戶實際業務環 境,提供現場定制關聯規則,滿足公安業務特定場景的安全需求;采用從宏觀到微觀、層層遞進的設計思想,通過最多三次點擊即可實現安全問題的快速定位,發現 問題根源并找到解決方案,從而縮短故障解決時間,快速恢復系統,降低運維成本。
• 領先的事件采集性能,實現海量數據的收集和分析。
iSOC采用獨有的并行方式對日志數據同時進行收集和分析;在相同的系統性能下,其效率優于傳統的關系型數據庫,真正實現海量數據的即時高效收集和分析,滿足公安信息系統海量日志環境要求。
• 豐富的安全知識庫,提高安全運維效率。
結合公司多年在信息安全領域的研究和豐富實踐,形成了安全運維、安全事件處理、關聯場景設定等完善的安全知識庫,同時也可以將客戶的安全案例、經驗總結導入到安全知識庫,建立安全知識共享機制,提高安全運維人員的知識和工作效率。
• 完善的業務流程,規范安全管理。
在系統中建立一套完善的業務流程系統,對安全運維管理工作進行優化,將管理數據電子化,管理過程規范化。運行維護管理根據相關制度進行,對內完善流程,加強管理,,使公安行業人員具備更高的工作效率,提高業務技術能力和解決實際問題的能力。
• 日志的完整性保護,滿足日志合規性的要求。
iSOC平臺對日志采用專用的日志加密技術進行加密存儲,且有內部時間戳防篡改標志,以確保一旦數據被寫入數據庫就無法被改變;同時缺省預置11類合規的大量報表模板,確保安全合規的易用性和可落地性。
• 完善的安全服務體系,為組織提供有力的信息安全保障。
已經建立的安全基礎庫、安全能力研究中心、攻防試驗室、應急響應中心,并有一支強大的專業安全服務隊伍,為iSOC平臺提供安全能力保障,使iSOC平臺為公安系統實現最大價值。