学院官方微信微博

微博

微信

您的位置: 本站首页 >> 校园文化 >> 正文
双高建设成果 : 国家级"双高计划"我校网络安全建设实践①
发布时间:2023-11-10   点击数:


为有效实施我校“建院云盾”计划,补足网络信息安全短板、强弱项,全面落实网络安全保护“三化六防”措施,有效提升校园网络安全水平,内建院网络信息与数据管理中心初步建成稳定、可靠、可扩展的网络技防体系。


一、网络安全防护措施

29295


校园网拓扑图


1. 校园网出口通过网络地址转换(NAT)实现私有IPv4地址与公有IPv4地址的转换,隐藏内部网络的实际IPv4地址,从而减少潜在的网络攻击和安全威胁。另外,在校园网出口边界部署高性能下一代防火墙和上网行为管理系统,提供基于IP地址的安全策略和网络访问控制以及基于用户的访问控制、行为感知和溯源,有效实现内、外网互访的安全隔离和防护。


160D2


下一代防火墙


2E0A9

上网行为管理


2. 校园网络设备通过网络运维平台监管,以可视化动态展现网络设备资源的结构分布、链路关系、性能指标和运行状态等,并能通过颜色策略、动态流量、告警提示变化来表示网络管理系统每个资源的异常等级,做到故障快速定位,有助于网络运维管理人员快速掌握全局网络设备运行状态,强化网络运维管理水平。



35781


网络运维平台-网络拓扑


网络设备进行授权管理,运维管理人员只能采用SSH安全方式登录,禁用Telnet方式登录,并且对运维操作进行安全审计。


3.校园网终端通过准入认证接入校园网,师生用户上网实名认证,哑终端进行信息绑定,确保接入校园网的合规性,实现对各类网络终端上网管控。



27C5D


校园网认证管理平台


4.数据中心边界部署高性能下一代防火墙,传统防火墙、IPS、WAF、防病毒和抗DDOS集于一体,具有较高运行效率和报文深度检测能力,实现了对数据中心多方位的防护。


241C2


数据中心边界下一代防火墙


5.校园网出口路由器旁挂WebVPN和SSL VPN,WebVPN提供基于web的内网应用访问控制,允许授权用户访问只对内网开放的web应用,既便捷又安全;SSL VPN为网络、信息系统和安全设备等运维管理人员校外访问堡垒机并实施运维管理提供安全通信途径。


1876A


WebVPN用户界面


27BCF

SSL VPN管理界面及客户端


6.自建一键断网应急系统,无需远程登录任何网络设备或平台进行操作,通过手机APP即可完成,简单易用,有效提高相关网络安全事件应急速度。


7.数据中心机房供电为双市电、并配备UPS应急电源,部署有机房动环监控系统对配电、漏水、温湿度等进行监控,并将门禁、视屏监控等安防设备接入动环系统,实现对机房全方位安全监控。


4D35C

动环监测平台



二、 应用安全防护措施

1.数据中心边界下一代防火墙开启入侵防御、防病毒和WAF防护,有效防范Webshell、SQL注入、XSS跨站攻击等,进行病毒过滤,实现对应用全面防护,实时预警、阻断高隐蔽性威胁,隔离安全风险。


2DCAB

入侵防护日志



30912


站点防护管理


2.数据中心通过逻辑区域划分和VMware NSX实现横向流量的细粒度控制和隔离,信息系统间拒绝未经授权的访问,防范数据中心的内部安全风险。



1C7BA


VMware NSX管理


3.通过综合日志审计平台审计主机运行日志,确保符合日志留存不少于180天。


15883

日志审计平台


4.通过对系统进行安全服务评估和云杀毒系统等确保各信息系统的安全


1B443

云杀毒


5.Web应用使用 HTTPS 协议进行加密传输、身份认证,实现互联网传输安全保护。


80918

加密传输协议


三、数据安全防护措施


1. 校园云数据中心整体架构从功能角度分5个区域:业务域、心跳域、vCenter管理域、远程监控维护域、备份、恢复测试域。业务域为数据中心核心生产环境,部署各类业务应用、数据库服务等。主数据库采用Oracle RAC高可用,双机并行,易伸缩。


57A01

数据存储结构


2.使用备份软件,建立完善的系统级备份、恢复机制。数据中心机房双活容量200T,有50T空间容灾备份。


12EB6

备份系统


3.通过数据库日志审计平台审计数据库运行日志,不仅操作可追踪、可回放,而且限制访问数据库的IP地址,即使攻入数据库也无法拿走数据。


193C3

数据库审计


四、安全运维


1.制定发布了《内蒙古建筑职业技术学院网络安全管理办法(试行)》《内蒙古建筑职业技术学院数据资产管理办法(试行)》《内蒙古建筑职业技术学院信息化建设与管理办法(试行)》,修订发布了《内蒙古建筑职业技术学院网络安全事件应急处置预案(修订)》。此外,网络信息与数据管理中心在网络安全管理方面制定完善规章制度和工作流程,包括《内蒙古建筑职业技术学院网络安全工作实施细则 (试行)》(网络安全工作总体方针)、《内蒙古建筑职业技术学院一一应用系统安全管理规范》、《内蒙古建筑职业技术学院一主机系统安全管理规范》、《内蒙古建筑职业技术学院一安全检查管理规范》、《网络中心关于校园网主页内容发布管理制度》、《内蒙古建筑职业技术学院校园网络重大事故报告制度》、《校园网络应急处理预案》、《部门职能、岗位职责和工作标准》、《内蒙古建筑职业技术学院一机房安全管理规范》、《内蒙古建筑职业技术学院一一网络系统安全管理规范》等。


2.周期性进行漏洞扫描,定期系统进行漏扫,对发现漏洞进行整改。


2E856

网络安全监测平台


3.态势感知平台、探针等安全设备实时监测校园网安全态势与防火墙联动拦截攻击。


5DD92

安全态势


4.对多个信息系统进行安全等级保护测评和备案,确保符合安全方面的相关要求。


59616

等保测评


(网络信息与数据管理中心 供稿)



版权所有:内蒙古建筑职业技术学院宣传部

地址:内蒙古呼和浩特市回民区 内蒙古青少年生态园南侧  邮编:010070

邮箱:imtcc@imaa.edu.cn