佛山市南海区教育局是广东省首个“互联网+教学范式研究”试验区,多年来,佛山市南海区教育局把“教育信息化”作为一个品牌来打造,自1999年起教育信息化建设至今,取得了优秀的成绩:
2015年全国基础教育信息化应用现场会在南海区召开;2018年5月,由教育部基础教育司主办的第三届全国基础教育信息化应用展示交流活动在北京举行,南海区以“新课堂”为主题进行布展,展示了在南海教育云应用生态下,构建信息技术与课堂教学课程改革融合发展的成果。但是随着国家“教育信息化2.0”的要求,南海区教育局在网络信息安全方面的管理瓶颈日渐凸显,南海区师生电脑终端规模已达十万余台,大规模的电脑终端投入使用,导致日常管理难度大幅攀升,且勒索、挖矿等病毒越来越猖獗;电教室出现大面积的僵尸网络;师生电脑终端大规模蓝屏、死机等问题,严重影响了信息化教学的开展与效率。
如何对这些终端进行有效安全的治理和综合管理,满足国家当前对信息网络安全管理的要求,成为当前南海区教育信息化持续推进与深化的首要课题。
网络安全问题:出现于终端、根因于安全体系
被动防御模式难以应付APT、0Day等新型攻击
虽然教育城域网出口已部署防火墙且设置访问控制策略,但面对新型的复杂的APT、0Day攻击,这种被动防御模式难以抵御,导致外部向内部的攻击威胁不断。
网络安全措施割裂,面对恶意攻击与病毒传播难以控制
各学校运维能力参差不齐,安全防护建设不一,甚至存在“裸奔”情况,一台电脑终端受病毒感染后,向校园网内及其它学校肆意传播,难以遏制。
安全事件处置被动,始终处于疲于奔命的状态
用户往往都是终端不能用了或被监管单位监测出存在攻击他人行为时,才意识到终端已失陷,只能被动处置,面对大量事件发生,不仅工作量大,且处置缺乏闭环机制,结果难以保障,安防始终处于疲于奔命的状态。
十万余台电脑终端资产,对安全性提出更高挑战
终端分散于各学校、教室、办公室、图书馆等地方,难以统计清终端数量、安全状况,导致难以实现统一的资产安全运营管理。
缺乏有效的管理及通知手段
发现风险无法告知,处理过程无法监控,南海区教育局与各学校之间缺乏有效的沟通渠道,无法及时进行相关的业务处理。“一平台、两体系、三机制、四感知、五可视” 构建教育信息化安全管理体系
针对南海区教育局面临的网络安全困局,深信服安全专家团队深入调研与洞察,根据其城域网现状、业务特点、管理模式、师生用网习惯等特点,结合“一平台、两体系、三机制、四感知、五可视”的建设理念,以安全态势感知+终端检测响应为核心,构建南海区教育信息化安全管理体系,全面解决南海区教育局所面临的网络安全、终端安全、安全运营等系统性难题。
▲教育城域网技术与管理体系架构图
一平台
构建南海区教育城域网统一安全应急中心平台,建立安全事件处置的便捷机制和管道,达到安全隐患及时发现、安全事件应急快速协同处置与统筹监督的目的。
两体系
以监测预警体系、终端防护体系两大体系为基石,构建整个南海区教育局的网端防御体系。实现从上自下的安全监管,自下而上的安全处置,从而完成整个南海区教育局的安全运营闭环体系的搭建。
三机制
对“人-物-权责”进行固化,在平台上导入日常管理机制、安全隐患发现与处置机制、突发事件应急响应机制,实现安全处置工作的协同管理、处置和高效化响应。
▲安全运营管理流程图
四感知
通过与相关安全设备对接和日志、流量、威胁情报汇集,感知城域网侧、学校侧、终端侧、数据中心侧等安全态势现状、安全威胁与安全事件发展态势。
五可视
实现全局、全流程和细粒度安全可视可控,安全事件快速定位、处置高效、响应及时、归档完备。
效果与价值
多维度威胁防御体系
通过构建全新轻量级、智能化、响应快的终端安全系统,提供全网终端病毒、木马、入侵攻击等威胁防御能力。
全网多维度威胁监测体系
深信服安全感知平台提供非法外连、漏洞利用攻击检测、Web应用攻击检测、僵尸网络检测、业务弱点发现等多维度的威胁检测能力。
统一安全应急中心
将全网流量信息进行集中汇总,利用智能化的检测技术发现潜伏到网络内部的高级威胁,可以实时通知到各负责人及管理员,并通过安全设备联动快速对威胁进行响应处置。
安全应急中心也可自动采集网内计算机各项硬件信息的能力,帮助构建分散于各处的终端IT资产统一管理体系。
通报预警体系
建立流程化的安全事件处置机制,在发现并确认安全事件后,通过告警平台以短信邮件等方式下发告警信息督促各学校负责人进行处理与闭环跟踪。
南海区教育局:“自上线以来,安全平台已经成为南海区教育云生态应用的重要组成部分,目前深信服部署的终端安全检测平台EDR和安全感知平台SIP稳定运行,为整个南海区的教育网络安全体系建设带来了质的飞跃,也规范了教育局对于网络安全的管理方法。”