隨著教育信息化發(fā)展與探索的不斷深入��,以及智慧教育發(fā)展戰(zhàn)略的提出���,信息化已融入進學校日常教學和校園管理的方方面面,校園網(wǎng)絡也成為學校業(yè)務系統(tǒng)穩(wěn)定����、高效運行的基礎保障。而一旦發(fā)生校園網(wǎng)絡安全事件�,將嚴重影響到學校正常的教學工作,甚至導致師生和家長相關信息的泄露,造成嚴重的社會負面影響�����。
因此���,加強校園網(wǎng)絡安全建設,提高信息系統(tǒng)日常運維管理水平��,針對校園網(wǎng)絡安全事件做好防范工作����,是教育信息化和智慧教育穩(wěn)步推進的重要安全保障。而網(wǎng)絡安全運維作為一個動態(tài)管理過程���,涉及校內(nèi)�����、校外多方參與���,運維人員背景和素養(yǎng)層次不齊等問題成為運維過程中的不確定因素����。
項目建設需求
南京外國語(仙林分校)空港新城小學由南京市溧水區(qū)教育局與南京外國語學校仙林分校合作辦學��,按公辦教育標準納入統(tǒng)一管理并提供保障�����。
圖注:南京外國語(仙林分校)空港新城小學
憑借先進的技術(shù)���、優(yōu)質(zhì)的服務和良好的口碑�,聚銘網(wǎng)絡與南外仙林分?�?崭坌鲁切W就此次校園網(wǎng)絡安全運維建設項目達成合作�����,將著重針對以下建設需求進行相關優(yōu)化和完善:
滿足法規(guī)要求
滿足相關政策法規(guī)是此次項目建設的重要目標�,針對教育信息化發(fā)展過程中面臨的網(wǎng)絡安全風險�����,《網(wǎng)絡安全法》��、“等保2.0”���、《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南(試行)》、《江蘇省“十四五”教育信息化發(fā)展專項規(guī)劃》等一系列政策法規(guī)對教育單位的網(wǎng)絡安全建設提出了相關要求�����。例如:需要對用戶身份進行鑒權(quán)���、用戶訪問權(quán)限最小化授權(quán)原則��、運維操作過程的完整審計��、定期進行數(shù)據(jù)備份等。
賬號集中管理
為避免在運維管理過程中出現(xiàn)運維人員賬號共用��、權(quán)限分級不明��、安全事件影響范圍難以控制等網(wǎng)絡安全隱患�����,在此次安全運維建設中需要實現(xiàn)對運維人員密碼統(tǒng)一管理并定期更新。對不同背景的運維人員賬號權(quán)限進行相應的分級�����,將超級管理員���、配置管理員��、審計管理員�、操作員等每種角色按層級���、按部門或按人員類別實現(xiàn)分組授權(quán)與權(quán)限繼承�,滿足不同場景下的需求���。
運維操作審計
針對可能由運維人員因操作失誤����、惡意操作���、越權(quán)操作引發(fā)網(wǎng)絡安全事故風險����,需要在運維過程中做到對高危操作命令進行及時阻斷,并實時記錄和審計運維人員的操作�����,將相關日志進行記錄和儲存���,在出現(xiàn)運維安全事件后能夠進行精準的溯源追蹤�。
聚銘安全運維審計系統(tǒng)
針對南京外國語(仙林分校)空港新城小學安全運維建設項目的需求�,聚銘網(wǎng)絡立足客觀實際情況,從實際業(yè)務場景下的運維需求出發(fā)��,提出了部署聚銘安全運維審計系統(tǒng)(SOA)的項目建設方案��。系統(tǒng)通過賬號集中管理���、人員身份認證����、訪問控制�、資源授權(quán)��、操作審計、工單系統(tǒng)等�����,為用戶構(gòu)建出一套安全可靠�、適用性強的運維審計建設方案。
圖注:聚銘安全運維審計系統(tǒng)
強化賬戶管理�,滿足合規(guī)要求
聚銘安全運維審計系統(tǒng)通過對運維賬號進行實名注冊,將賬號與具體的自然人相關聯(lián)����,通過對動態(tài)口令、指紋��、密碼等6種鑒權(quán)方式按需組合���,驗證賬號登錄人員身份�����。
在賬號訪問控制管理方面����,聚銘安全運維審計系統(tǒng)將自然人與運維權(quán)限、運維賬號與設備資源綁定���,根據(jù)不同運維人員的角色和需求授予不同權(quán)限����,通過最小粒度授權(quán)達到權(quán)限控制精細化的目的��。
系統(tǒng)內(nèi)置的工單模塊�����,可以滿足不同場景下運維人員的權(quán)限動態(tài)申請��,并支持離岸審批功能�,方便用戶處理突發(fā)情況,提高工單效率�。充分滿足“等保2.0”關于訪問控制、身份鑒別��、集中管理的政策要求�。
實時運維審計,操作研判留存
聚銘安全運維審計系統(tǒng)不僅能夠深入解析明文操作����、識別SSH加密操作內(nèi)容����,而且對于RDP遠程訪問操作����,也能夠實時記錄鍵盤輸入�����、剪切板內(nèi)容及鼠標位置等信息�,監(jiān)控運維行為并進行威脅性研判。對于運維人員在操作過程中出現(xiàn)的異常情況�����、違規(guī)操作等危險行為及時阻斷�����。
系統(tǒng)的操作還原技術(shù)能夠對用戶的操作流程進行溯源展現(xiàn)�,快速定位問題所在、確定相應責任人�����,建立完善的責任認定體系,為責任劃定提供支撐���,并滿足“等保2.0”關于安全運維審計的相關要求��。
為安全運維提供聚銘方案
通過聚銘安全運維審計系統(tǒng)的部署和運維人員安全意識的進一步提高�,南京外國語(仙林分校)空港新城小學的網(wǎng)絡運維安全性和風險管控能力在不同階段得到了提升�。
統(tǒng)一身份認證、統(tǒng)一授權(quán)能夠在事前對訪問來源和用戶身份進行嚴格驗證����;深入的解析審計能力能夠在運維過程中實時監(jiān)控研判用戶操作行為;事后通過操作還原技術(shù)可以對用戶操作進行回放�����,并查看完整的操作報表和事件分析報告�。
未來,聚銘網(wǎng)絡將繼續(xù)以先進的技術(shù)��、優(yōu)秀的產(chǎn)品和專業(yè)的配套服務����,為我國教育信息化和智慧教育的發(fā)展提供堅實的網(wǎng)絡安全保障。
