网络安全五维空间 ‖ 新华三智慧校园安全新篇章-等保建设到数据安全-中国教育和科研计算机网CERNET

资讯

校园信息化

技术

资源与应用

产品与装备

信息服务

首页 > 教育信息化 > 专题报道 > "网络安全五维空间"分享汇

网络安全五维空间 ‖ 新华三智慧校园安全新篇章-等保建设到数据安全

2022-08-23 高校信息化应用-微信公众号

　　编者按

　　2021年，高校信息化应用平台发布了“网络安全五维空间”专栏，汇聚政、产、学、研、媒体五方力量，秉持专家办专栏的理念，聚焦教育行业网络空间安全热点话题，今年，高校信息化应用联合新华三集团以轮值专家主题演讲和多平台媒体互动方式拓展网络安全朋友圈，让更多的专家、企业、高校共同参与建设，繁荣网络安全新生态。

　　本期的嘉宾是新华三集团网络安全解决方案架构师李国宝，他将从企业的角度出发，阐述在合规新的趋势下网络安全建设的内容。

新华三集团网络安全解决方案架构师李国宝

　　新华三集团（以下简称“新华三”）在网络安全领域拥有近二十年的经验积累，行业内率先提出"主动安全"理念与技术框架，引领业界从被动防御向主动安全的理念转变。

　　新华三提出的主动安全3.0技术架构，从基础的安全设备建设，到能够完成车联网、工业互联网以及5G安全、远程办公安全等安全场景的建设，实现了安全事件可感知、可预测、可处置，并建立起安全感知中台。在云环境的发展下，包括公有云、私有云，能够提供完整的云安全解决方案。面对不同的业务需求提供完善的安全专业服务与运营，包括咨询规划、安全攻防、安全集成、安全培训、安全产学研建设等。

　　多年来，新华三的多类产品（防火墙、IDPS、应用交付、内容管理）占有率同时位居市场前三（IDC排名）。同时，新华三还主导和参与标准制定百余项，包括GB 40050-2021《网络关键设备通用安全要求》、GB/T 22239-2019《网络安全等级保护基本要求》等。

　　随着安全形势的变化及新的法律法规不断健全，需要面临如何满足商用密码测评的密码安全、符合《数据安全法》，防止数据泄露造成损失的数据安全，以及如何实现增强审计等需求的出口安全、零信任方案替换VPN系统等问题。

出口安全

　　针对校园出口对高性能、高稳定性、大流量、高并发的需求，新华三推出了SecPath M9000-X系列防火墙，其单槽位吞吐性能超700Gbps，联合思伯伦、泰尔实验室实测整机吞吐量可达4.5Tbps。

　　案例1

　　校园网出口建设-南京邮电大学

　　南京邮电大学的出口设备吞吐能力无法满足业务需求，学校出口带宽近20G，校园内采用传统网络安全防护措施，无法满足越发复杂的应用系统安全需求。

　　新华三在校园网出口部署2台M9K防火墙，起NAT、LLB、IPS等功能授权，实现了出口链路的负载均衡以及校园网出口的安全防护。

　　为提高数据中心核心业务系统全面安全防护能力，在数据中心部署两台H3C M9000高性能综合安全网关作为数据中心出口安全防护设备。

　　该方案简化了出口架构，实现了出口链路的智能负载均衡，同时M9000安全网关提供超百G安全吞吐能力，为校园网出口实现了安全防护和全部业务流量安全防护无瓶颈。

　　针对近些年远程访问的需求以及传统VPN用户一旦登录成功，就会被完全授信，VPN陆续暴露的安全问题，新华三推出了SDP零信任解决方案，秉持“永不信任，持续验证”的理念，打破了网络位置和信任间的潜在默认关系，致力于降低信息资源访问过程中的安全风险，新华三采用SDP控制器、SDP可信网关、SDP客户端的轻量SDP零信任方案，对远程教学、远程访问校内资源等需求提供了更加安全可靠的接入方案。

数据安全

　　数据安全是当前面临非常重要的一个问题。习近平主席在中共中央政治局第二次集体学习时强调，“要切实保障国家数据安全，要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。”

　　目前，数据安全领域有三个基础性法律体系，分别是《个人信息保护法》、《数据安全法》和《网络安全法》。一系列法律法规的出台，使得数据安全有法可依。

　　数据安全策略规划是根据客户数据分级的结果，对数据应用场景包含业务流程或使用流程、相关数据活动、参与主体进行分析，结合数据的级别，参照客户数据安全管理需求，从数据存储、制数据访问、数据共享、数据审计等场景制定适合企业的数据安全防护策略方案，为客户数据安全防护提供依据支撑。

　　数据在其全生命周期（采集、传输、存储、处理、交换、销毁）的过程中，在不同阶段都面临对应的数据安全风险，因此要对每一个环节相对应的风险点进行管控。

　　案例2

　　南开大学双中心一体化安全

　　随着校园信息化发展，南开大学传统网络结构无法满足校园业务的快速部署和迁移的需求，需要建设双中心一体化数据中心，虚拟机之间的东西向流量安全防护、数据中心本身的网络安全、访问数据中心南北向流量安全是所面临的问题与挑战。

　　H3C采用软件定义安全理念，通过部署多业务安全网关M9000、高性能Web应用防火墙和NFV安全网关、多台vSwitch和vFW，构建可灵活调度的安全资源池，由SDN控制器来实现网络配置和策略的下发，并实现自动引流。

　　该方案解决了南开大学数据中心南北向、东西向流量安全防护的问题，通过虚拟防火墙的部署和服务链技术，实现基于租户的服务链按需编排。对数据中心内的业务进行虚拟化隔离和访问控制，最大限度地解决了的虚拟化安全防护问题。

密码安全

　　密评和等保相似，是国家政策法规明确的一项要求，政务系统、关键基础设施和等保三级及以上等业务系统都需要开展密评工作。

　　对此，要严格参照标准，明确整改方向。以《GB/T 39786-2021 信息系统密码应用基本要求》为例：第一步，优先考虑易得分点；第二步，重点突破，改造难点；第三步，根据需求，选择得分档次。新华三密码服务支撑能力体现在以下几个方面：一是差距分析；二是密评方案设计；三是密码建设及咨询；四是协助通过密评，协同客户通过测评单位的商用密码应用安全性测评工作。

　　总体而言，新华三在单系统等场景，为教育用户提供安管一体机，轻量过等保解决方案；在整体校园网建设场景，为教育用户提供完善的等保体系解决方案建设；在新形势的合规要求下，提供数据安全、密码安全的解决方案；在增强审计的需求下，提供高稳定性、高性能的出口安全方案；在面临越来越多远程接入的场景下提供SDP零信任升级传统VPN的解决方案。新华三安全解决方案在众多高校得到了应用。

　　案例3

　　安徽大学等保建设

　　为贯彻落实国家、教育部信息安全工作部署，安徽大学急需完善信息系统安全技术防护措施、安全管理制度、安全运维体系，从而全面建设完整的信息安全防护体系，顺利通过信息系统等级测评。

　　对此，新华三提供安全服务解决方案包括以下几个方面：

　　（1）等保建设服务

　　新华三基于等级保护的要求，提供的服务内容包括：等保差距分析、安全漏洞检测、安全基线检查、渗透测试、安全管理制度建设。

　　（2）安全巡检服务

　　每个季度对安徽大学的核心业务系统巡检，巡检工作包括安全漏洞扫描、安全基线检查、日志检查，了解业务系统安全现状及可能面临的安全风险。

　　（3）安全加固整改服务

　　对信息系统所依赖的服务器操作系统、数据库、网络及安全设备进行配置安全加固，保障信息系统的安全稳定性。

　　（4）应急响应和保障服务

　　当发生安全事件，新华三委派相关工程师在第一时间赶往客户网络事发地点，在现场为客户查找事发原因并解决相应问题，并出具详细的安全响应服务报告。并在两会、十九大等重大时刻，新华三提供安徽大学的信息系统保障服务。

　　该方案为安徽大学信息系统提供等级保护合规咨询服务，帮助安徽大学通过等保测评。建立结构化的信息安全保障体系，整体提高安徽大学信息安全防护能力，满足国家等级保护要求。对信息系统进行安全巡检、漏洞加固，加强网络、系统和设备抵御攻击和威胁的能力，整体提高网络安全防护水平。

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。