*以下全文转载自中国教育信息化
尹海翔,深圳信息职业技术学院信息中心副主任、高级工程师,深圳市高校教育信息化学会专家
“云、大、物、智、移”等新兴技术不断催化产业与业态变革,为顺应国家“走出去”发展战略,提升职业教育发展质量及人才竞争力,国家提出“双高计划”(即中国特色高水平高职学校和专业建设计划),教育部、广东省人民政府也发文联合推进深圳职业教育高端发展,争创世界一流。
深圳信息职业技术学院(以下简称“深信院”)作为国家“双高计划”院校之一、职业教育创新发展高地“排头兵”,希望通过信息化升级改造,促进信息技术与课堂教学深度融合,打造现代智慧职教,构建职业教育新生态,从而促进学校“双高示范立起来”、“高职本科办起来”、“世界名校建起来”战略目标的达成。
深信院新校区的基础网络始建于2010年,运行时间均超过7年。学校在安全出口及核心网络上采取了相关安全防护措施,如:在出口部署了下一代防火墙、VPN等;在核心和服务器区部署了下一代防火墙、虚拟化防火墙、WAF、数据库审计、堡垒机、漏洞扫描器、基线核查、安全态势感知平台、企业级杀毒软件等。
这些软硬件在学校校园网安全中发挥了极大的保护作用,但随着大数据、人工智能、云技术、物联网等新技术在校园云化数据中心、智能门禁、校情分析决策、学情分析预警以及平安校园等场景广泛应用,现有的安全基础设施难以满足学校智慧校园建设和发展的全面安全防护需求。
为推动校园信息化快速发展,为“世界名校”建设保驾护航,深信院提出“三体架构”,即网络安全技术体系、网络安全管理体系、网络安全运营体系。
1.构建安全合规、风险可控网络安全技术体系
深信院以《网络安全法》、《网络安全等级保护2.0标准体系》等为依据,特别针对等保2.0的新增和加强要求,规划了“一个中心、四重防护”(安全管理中心、基础设施、安全区域边界、安全通信网络、安全计算环境)的建设思路,全面提升现有二级等保业务系统的合规能力,健全安全技术和管理能力。此外,在等保合规基线之上,又针对学校关键网络、核心业务、重要数据实施重点保护。
深信院携手深信服构建了云、网、端结合的主动安全防御体系。首先,对学校重要数据进行分类分级,明确敏感数据;其次,搭建了数据安全监测预警平台,实现了从数据采集、传输、存储、处理、交换、销毁的六大阶段,对敏感数据进行监测;最后,当需要使用敏感数据时采取脱敏措施,实现全方位安全合规有效、风险可防可控的目标。
管理体系是安全措施有效落地保障,深信院主要从以下几方面构建网络安全管理体系。
组织修订了《深圳信息职业技术学院信息安全规章制度汇编》及具体网络安全操作规程,构建了安全管理主框架。
对包括领导层、管理层、执行层在内的组织架构进行分层设。强调执行层面的学校业务老师与外部安全专家相互配合,保障学校安全措施落地。
针对学校日常安全运营和战时安全运营等不同场景,制定不同触发条件下的应对措施,并进行针对性训练提高不同场景下的攻击应对能力。
学校为持续提升网络安全运营人员的安全能力,与深信服联合推出从初级到高级的安全认证,通过培训--认证--实践的方式有效提升人员专业能力。
3.建立立体智能、协同创新网络安全运营体系
建立好安全技术体系和管理体系后,还需要一套运营流程体系保障安全工作持续有效的运行。在运营体系上,深信院全面梳理信息化资产、理清部门权责、优化流程制度、强化安全运营的分类和绩效管理。
对安全部门、业务部门、二级学院等部门进行权责划分,出现安全事件后落实到部门和负责人,保障安全事件高效闭环。
通过智能化的安全技术平台结合深信院安全事件处置流程设置不同的工单派发,当出现安全事件、安全通报、威胁预警以及应急响应时将工单及时派发给对应的责任人限时处置。
针对校园业务的责任主体、应用场景进行分类,根据安全事件的关联业务重要性、受损程度以及影响范围等因素划分分级处理级别。
借助深信服安全技术平台对全校业务资产进行可视化安全运营监测,通过智能化手段早一步发现学校的安全隐患。
深信院通过“三体架构”的不断演进,最终实现构建全校“一盘棋、一体化、常态化”的网络安全协同工作支撑平台,夯实了网络安全运营工作,实现了安全防护关口前移,达到“早发现、早预警、早处置”的防控目标。
深信院作为深圳本土最具创新力的职校之一,在信息化安全防护上探索出了深信院特色的建设道路。面对持续的外部威胁仅在2021年上半年就有效的检测和阻止7999592次攻击,其中仅4月单月就监测到了2495145次攻击,进行通报并封禁攻击IP 351个,实现了0泄露、0通报。在内外力量的努力下,相信不久的将来,学校必将实现打造中国特色世界一流职业学校的宏伟目标。