集中监控教育内网 杜绝内外非法访问

　　随着计算机信息技术的日益发展与完善，互联网技术的普及和发展，给教育信息化工作的开展提供了很多的便利，网络成为教育信息化重要组成的部分。然而，网络的快速发展也给黑客提供了更多的危及着计算机网络信息安全的手段和方法，网络信息安全也成为我们关注的焦点。某教委计算机网络连接形式多样、终端分布不均匀且具有开放性的特点，容易受到黑客、病毒、蠕虫、恶意软件等攻击。因此，如何针对某教委建立一个安全、高效的网络系统，最终为广大师生提供全面服务，成为了某教委迫切需要解决的问题。

　　某教委教育信息网依托教育信息网络平台，构成了以教委为中心，到各学校教学子网、办公子网、宿舍区子网、图书馆子网等的网络体系，并在此基础上开展了多样化的教学和科研业务。

　　目前，该网络基础设施已基本建设完成，具有几个显著特点：首先是教委信息中心作为校园网的核心面向各学校师生，是系统的建设重点；其次各学校校园网数据应用类型比较复杂，主要包括提供网上浏览、电子邮件、远程登录的信息服务系统，提供多媒体网上教学平台的教学应用系统，为各学校综合教务提供服务的办公自动化管理系统，人事信息、教学资源管理应用系统，提供教学科研图书资料的电子图书馆等。

　　某教委各学校网络的安全建设目前还比较简单，但是存在着较多的安全隐患，根据某教委各学校的网络和应用特点，从信息安全的角度并结合本期安全项目建设目标， 某教委及各学校主要存在以下的安全需求：在各学校网络出口处部署访问控制设备，防止外网非授权数据进入学校内网，实现学校内网和广域网的逻辑隔离；实现对访问控制设备的集中管理，实现策略统一下发，日志集中存储；建立统一安全管理平台，对全网设备进行有效监控，并对整体安全态势进行感知，实时准确定位安全事件发生源，对信息系统所面临的蠕虫病毒及黑客入侵等网络攻击形成一套监控、预警、发现、响应的机制；建立系统、有效的安全管理制度。

　　网御神州以信息安全保障体系的建设思想，及对某教委信息系统的网络安全状况的了解，以提升某教委的整体信息安全水平为目标，设计了以下的解决方案。

　　第一，在教委互联网出口处部署两台防火墙，出口处防火墙采用双机热备方式（Active- Active）部署，当一台防火墙当机时，另外一台防火墙有所有会话的备份，从而保证业务的高可用性。同时，充分发挥防火墙的入侵防御、深度内容过滤、高可用性、管理审计等功能，做到事前可见、事中可控、事后可查。通过设置过滤规则，仅仅允许外部用户访问特定主机的特定服务端口，来有效保护某教委教育信息网的内网安全。

　　第二，在各学校网络边界处部署防火墙，对网络内部的相互访问进行访问控制。确保合法用户正常使用网络资源、防止外部用户非法访问某教委下属各学校的内网，阻止网络攻击和越权访问，确保网络访问在有序和可控的环境下进行。

　　第三，采用安全管理平台对该网络中的主机设备、网络设备、安全设备等进行集中监控管理，它包括网络拓扑管理、性能管理、故障管理、安全审计、事件和告警管理等功能模块。

　　通过网御神州对某教委教育信息网互联网出口及各学校网络出口处部署防火墙，限制了外部用户对内网的非法访问，有效保护内网的安全，利用日志审计功能记录网络访问行为，以便跟踪事件并事后追查违规行为；同时通过集中管理将位于全网中的防火墙有效管理起来，减轻了网络管理员的工作量，提供了管理效率。

　　与此同时，建立安全管理平台，对某教委整个网络的运行状态进行监控，确保网络的可靠性与可用性, 及时发现网络和系统主机的故障和性能瓶颈。并实时采集IT计算环境的各种安全日志、事件和告警，进行归一化和事件关联分析和集中存储，实现安全审计，发现外部入侵和内部违规，及时告警，进行应急响应，并出具全面的安全报表和报告，为某教委的信息系统运作高效、稳健地进行提供了有效保障。