第1页共9页江汉区教育局安全系统建设方案凹凸科技(中国)二〇二〇年五月第2页共9页目录1.概述.........................................................................................................................31.1背景......................................................................................................................31.2建设原则..............................................................................................................42.江汉区教育局安全现状及需求分析.....................................................................52.1信息系统现状......................................................................................................52.2信息安全需求......................................................................................................63.江汉区教育局安全系统规划.................................................................................73.1防火墙产品..........................................................................................................73.2流控产品.............................................................................................................73.4SIFOSCOPE产品....................................................................................................8第3页共9页1.概述1.1背景武汉市江汉区下辖13条行政街道,114个社区居委会,5个村委会。全区总人口按第五次人口普查统计为59.70万人,实有人口65万人,其中户籍在册人口43.28万人。局内中小学共计213所.内联三镇,外通四海,商机叠起,投资潮涌。深厚坚实的历史根基,铸就了江汉独特的文化底蕴;与时俱进的拼搏奋进,谱写着建设现代商贸金融区的发展乐章。第4页共9页1.2建设原则先进性:依据最新、最先进的国际信息安全标准,采用国际、国内先进的安全技术和安全产品;灵活性:安全产品的使用比较灵活,可以使用与网络中情况类似的业务应用,以便节省客户的重复投资;标准化:参照国际标准ISO9000系列质量保证体系来规范服务商提供的信息安全产品和服务,所采取的信息安全技术和产品遵循国际标准和国家标准,并严格遵守中华人民共和国相关的法律和法规;可扩展性:考虑到安全产品的使用特性,以及XX医院网络业务应用的不断发展,安全产品的配置要适用将来一定时期内的业务需求;多层次、多方位:通过多层次、多方位防止各种手段对信息安全的破坏行为;便于安全统一管理:由于安全技术和管理设计到信息系统的各个方面,因此选用安全产品是必须考虑到统一管理的问题,不仅有利于安全产品的统一管理和配置,同时降低了业务安全管理的复杂性,不会因为安全产品产生额外的安全隐患分步实施:由于受到技术、资金等因素的影响,安全系统的建设不可能一蹴而就,因此,必须考虑轻重缓急,分步实施。第5页共9页2.江汉区教育局安全现状及需求分析2.1信息系统现状江汉区教育局网络信息管理由教育局电教馆负责,区内所有中,小学的网络以及区教育局机关网络建设及维护由电教馆统一规划和管理.江汉区教育局网络结构如下:区教育局给每个中小学分配1到2个公网IP,统一接入到教育局核心路由上,再统一从网关处防火墙上公共internet.教育局内机关和电教馆办公网络直接接入核心交换.区教育局内有服务器区,服务器提供对外服务,webserver,mailserver,以及中学报考,成绩查询的数据应用服务器.第6页共9页2.2信息安全需求1.教育局内网的病毒问题由于各个学校和机关的机器缺少有效的防护和管理,导致经常有内网机器中毒.甚至,有些学校的服务器感染病毒导致教育局内重要服务器中毒.最近的例子,由于内网机器中毒,病毒扩散到教育局的邮件服务器后,邮件服务被中继发送大量的垃圾邮件,导致教育局的域名被各大门户列为黑名单,不但造成教育局与这些邮箱提供商之间的邮件无法收发同时也给教育局造成极大负面的影响.2.P2P流量占用大量带宽教育局内100M电信接入,但是各个学校仍然反映通过教育网上网速度很慢,发现机关内机器P2P下载占用了大量的带宽,导致其他学校上网速度大受影响.同时一些关键的正常服务也无法稳定运行.3.关键应用服务流量集中爆发带宽无法保障教育局内网有艺术招考和成绩查询的服务器,在报考和成绩的查询的这段时间内,连接服务器的流量非常巨大,带宽消耗巨大导致服务器访问速度和数据上传速度缓慢.4.各个中小学的网络无法统一管理一直以来各个中小的学得网络都由各自的管理人员自行管理,但是一旦出现问题经常责问教育局的管理人员,而教育局的网络管理人员无法管理各个学校的网络造成了制造不清,管理不明的问题.总体来说,客户端众多,需要访问内部系统的人员众多,IT管理难道大,主机易于感染病毒,网络容易遭受攻击,医院最关心的是网络的可用性,和数据的安全性。第7页共9页3.江汉区教育局安全系统规划3.1防火墙产品在Intenet出口处部署一台O2Security公司的SifoworksM526。通过部署防火墙能实现网络安全防护的功能包括:1.部署高性能的防火墙放在医院总部的网络出口处,防火墙将有效的保护服务器的安全。并严格规范网络接入。并严禁外网访问直接总部的内部网。2.NAT功能:在总部的防火墙能提供SNAT和DNAT地址转换,保证员工的上网以及公网主页服务器的正常访问。同时记录和监控整个网络的流量的状况和流量健康3.对服务器的保障:对于公司内部,Mail,DNS,业务系统等服务器设置安全策略允许内部所有子网访问,但只是访问这些服务器的指定的一些服务,外部网的所有机器禁止访问内部服务器区的机器。4.抗外部攻击能力:防火墙能够有效防范DoS和DDoS攻击。当攻击发生时,最大限度保证业务不断线,应用系统不中断。5.监控和报告:通过防火墙的监控,管理员可以及时发现网络异常,从而采取措施防止网络瘫痪。如:发现中毒主机,发现恶意用户等。3.2流控产品在防火墙和核心交换之间增加流控sifoworksDU8006.流控产品以透明方式接入防火墙和核心交换之间,无需更改网络上设备原有的配置7.DU800智能协议识别的功能,可以有效地管理的BT等P2P协议的流量,使之在一个合理的带宽以内,保障其他的正常的上网行为不受其影响.第8页共9页8.特殊服务,例如网上成绩查询和招生报名在某一时段,访问量巨大,可以利用带宽管理以及日程安排,合理的控制带宽的使用情况,保留大量的带宽保障此类服务在这一时间内正常运行,其他时间则把保留的带宽释放出来.9.日志记录,可以根据P2P协议的不同,记录该协议使用带宽的情况,并进行topN的排名.3.4Sifoscope产品10.根据MAC-ip绑定用户信息,每个下级的单位定义用户名以便好的记录.11.记录下级的单位的上网行为,以及使用的流量信息.一旦发现可疑的上网行为马上进行报警.12.根据每个单位的流量使用情况进行排名,同时根据各种应用服务进行流量使用排名第9页共9页