隨著教育信息化發(fā)展與探索的不斷深入,以及智慧教育發(fā)展戰(zhàn)略的提出,信息化已融入進(jìn)學(xué)校日常教學(xué)和校園管理的方方面面,校園網(wǎng)絡(luò)也成為學(xué)校業(yè)務(wù)系統(tǒng)穩(wěn)定、高效運(yùn)行的基礎(chǔ)保障。而一旦發(fā)生校園網(wǎng)絡(luò)安全事件,將嚴(yán)重影響到學(xué)校正常的教學(xué)工作,甚至導(dǎo)致師生和家長(zhǎng)相關(guān)信息的泄露,造成嚴(yán)重的社會(huì)負(fù)面影響。
因此,加強(qiáng)校園網(wǎng)絡(luò)安全建設(shè),提高信息系統(tǒng)日常運(yùn)維管理水平,針對(duì)校園網(wǎng)絡(luò)安全事件做好防范工作,是教育信息化和智慧教育穩(wěn)步推進(jìn)的重要安全保障。而網(wǎng)絡(luò)安全運(yùn)維作為一個(gè)動(dòng)態(tài)管理過程,涉及校內(nèi)、校外多方參與,運(yùn)維人員背景和素養(yǎng)層次不齊等問題成為運(yùn)維過程中的不確定因素。
項(xiàng)目建設(shè)需求
南京外國(guó)語(yǔ)(仙林分校)空港新城小學(xué)由南京市溧水區(qū)教育局與南京外國(guó)語(yǔ)學(xué)校仙林分校合作辦學(xué),按公辦教育標(biāo)準(zhǔn)納入統(tǒng)一管理并提供保障。
圖注:南京外國(guó)語(yǔ)(仙林分校)空港新城小學(xué)
憑借先進(jìn)的技術(shù)、優(yōu)質(zhì)的服務(wù)和良好的口碑,聚銘網(wǎng)絡(luò)與南外仙林分校空港新城小學(xué)就此次校園網(wǎng)絡(luò)安全運(yùn)維建設(shè)項(xiàng)目達(dá)成合作,將著重針對(duì)以下建設(shè)需求進(jìn)行相關(guān)優(yōu)化和完善:
滿足法規(guī)要求
滿足相關(guān)政策法規(guī)是此次項(xiàng)目建設(shè)的重要目標(biāo),針對(duì)教育信息化發(fā)展過程中面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),《網(wǎng)絡(luò)安全法》、“等保2.0”、《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南(試行)》、《江蘇省“十四五”教育信息化發(fā)展專項(xiàng)規(guī)劃》等一系列政策法規(guī)對(duì)教育單位的網(wǎng)絡(luò)安全建設(shè)提出了相關(guān)要求。例如:需要對(duì)用戶身份進(jìn)行鑒權(quán)、用戶訪問權(quán)限最小化授權(quán)原則、運(yùn)維操作過程的完整審計(jì)、定期進(jìn)行數(shù)據(jù)備份等。
賬號(hào)集中管理
為避免在運(yùn)維管理過程中出現(xiàn)運(yùn)維人員賬號(hào)共用、權(quán)限分級(jí)不明、安全事件影響范圍難以控制等網(wǎng)絡(luò)安全隱患,在此次安全運(yùn)維建設(shè)中需要實(shí)現(xiàn)對(duì)運(yùn)維人員密碼統(tǒng)一管理并定期更新。對(duì)不同背景的運(yùn)維人員賬號(hào)權(quán)限進(jìn)行相應(yīng)的分級(jí),將超級(jí)管理員、配置管理員、審計(jì)管理員、操作員等每種角色按層級(jí)、按部門或按人員類別實(shí)現(xiàn)分組授權(quán)與權(quán)限繼承,滿足不同場(chǎng)景下的需求。
運(yùn)維操作審計(jì)
針對(duì)可能由運(yùn)維人員因操作失誤、惡意操作、越權(quán)操作引發(fā)網(wǎng)絡(luò)安全事故風(fēng)險(xiǎn),需要在運(yùn)維過程中做到對(duì)高危操作命令進(jìn)行及時(shí)阻斷,并實(shí)時(shí)記錄和審計(jì)運(yùn)維人員的操作,將相關(guān)日志進(jìn)行記錄和儲(chǔ)存,在出現(xiàn)運(yùn)維安全事件后能夠進(jìn)行精準(zhǔn)的溯源追蹤。
聚銘安全運(yùn)維審計(jì)系統(tǒng)
針對(duì)南京外國(guó)語(yǔ)(仙林分校)空港新城小學(xué)安全運(yùn)維建設(shè)項(xiàng)目的需求,聚銘網(wǎng)絡(luò)立足客觀實(shí)際情況,從實(shí)際業(yè)務(wù)場(chǎng)景下的運(yùn)維需求出發(fā),提出了部署聚銘安全運(yùn)維審計(jì)系統(tǒng)(SOA)的項(xiàng)目建設(shè)方案。系統(tǒng)通過賬號(hào)集中管理、人員身份認(rèn)證、訪問控制、資源授權(quán)、操作審計(jì)、工單系統(tǒng)等,為用戶構(gòu)建出一套安全可靠、適用性強(qiáng)的運(yùn)維審計(jì)建設(shè)方案。
圖注:聚銘安全運(yùn)維審計(jì)系統(tǒng)
強(qiáng)化賬戶管理,滿足合規(guī)要求
聚銘安全運(yùn)維審計(jì)系統(tǒng)通過對(duì)運(yùn)維賬號(hào)進(jìn)行實(shí)名注冊(cè),將賬號(hào)與具體的自然人相關(guān)聯(lián),通過對(duì)動(dòng)態(tài)口令、指紋、密碼等6種鑒權(quán)方式按需組合,驗(yàn)證賬號(hào)登錄人員身份。
在賬號(hào)訪問控制管理方面,聚銘安全運(yùn)維審計(jì)系統(tǒng)將自然人與運(yùn)維權(quán)限、運(yùn)維賬號(hào)與設(shè)備資源綁定,根據(jù)不同運(yùn)維人員的角色和需求授予不同權(quán)限,通過最小粒度授權(quán)達(dá)到權(quán)限控制精細(xì)化的目的。
系統(tǒng)內(nèi)置的工單模塊,可以滿足不同場(chǎng)景下運(yùn)維人員的權(quán)限動(dòng)態(tài)申請(qǐng),并支持離岸審批功能,方便用戶處理突發(fā)情況,提高工單效率。充分滿足“等保2.0”關(guān)于訪問控制、身份鑒別、集中管理的政策要求。
實(shí)時(shí)運(yùn)維審計(jì),操作研判留存
聚銘安全運(yùn)維審計(jì)系統(tǒng)不僅能夠深入解析明文操作、識(shí)別SSH加密操作內(nèi)容,而且對(duì)于RDP遠(yuǎn)程訪問操作,也能夠實(shí)時(shí)記錄鍵盤輸入、剪切板內(nèi)容及鼠標(biāo)位置等信息,監(jiān)控運(yùn)維行為并進(jìn)行威脅性研判。對(duì)于運(yùn)維人員在操作過程中出現(xiàn)的異常情況、違規(guī)操作等危險(xiǎn)行為及時(shí)阻斷。
系統(tǒng)的操作還原技術(shù)能夠對(duì)用戶的操作流程進(jìn)行溯源展現(xiàn),快速定位問題所在、確定相應(yīng)責(zé)任人,建立完善的責(zé)任認(rèn)定體系,為責(zé)任劃定提供支撐,并滿足“等保2.0”關(guān)于安全運(yùn)維審計(jì)的相關(guān)要求。
為安全運(yùn)維提供聚銘方案
通過聚銘安全運(yùn)維審計(jì)系統(tǒng)的部署和運(yùn)維人員安全意識(shí)的進(jìn)一步提高,南京外國(guó)語(yǔ)(仙林分校)空港新城小學(xué)的網(wǎng)絡(luò)運(yùn)維安全性和風(fēng)險(xiǎn)管控能力在不同階段得到了提升。
統(tǒng)一身份認(rèn)證、統(tǒng)一授權(quán)能夠在事前對(duì)訪問來(lái)源和用戶身份進(jìn)行嚴(yán)格驗(yàn)證;深入的解析審計(jì)能力能夠在運(yùn)維過程中實(shí)時(shí)監(jiān)控研判用戶操作行為;事后通過操作還原技術(shù)可以對(duì)用戶操作進(jìn)行回放,并查看完整的操作報(bào)表和事件分析報(bào)告。
未來(lái),聚銘網(wǎng)絡(luò)將繼續(xù)以先進(jìn)的技術(shù)、優(yōu)秀的產(chǎn)品和專業(yè)的配套服務(wù),為我國(guó)教育信息化和智慧教育的發(fā)展提供堅(jiān)實(shí)的網(wǎng)絡(luò)安全保障。