客戶背景

四川某職業(yè)技術學院是全國水利行業(yè)示范性高職院校、四川省示范性高職院校、四川省優(yōu)質高等職業(yè)院校建設計劃立項建設院校。學院努力推進水利相關專業(yè)教學改革，培養(yǎng)大批新型基層水利水電人才。落實《網(wǎng)絡安全法》與等級保護制度，建立安全信息化環(huán)境，是學校信息化和網(wǎng)絡安全建設的首要任務。

客戶痛點

多年來，學院以“教學實踐為中心”建設網(wǎng)絡架構和進行業(yè)務部署，但安全問題逐步顯現(xiàn)，如業(yè)務之間邊界模糊、訪問策略粗放或缺失、安全風險難發(fā)現(xiàn)等。同時隨著學院智慧校園建設的不斷完善，虛擬化技術、移動終端技術等新技術的使用，網(wǎng)絡安全問題日益突出，主要體現(xiàn)在以下幾個方面:

NO.1    黑鏈站群安全問題

網(wǎng)站建設時間較早，存在的安全隱患較多，也曾發(fā)生黑鏈事件，對學院的形象產生較大影響。

NO.2    主管部門安全要求

主管單位定期對高職校開展安全風險檢測，對檢出的安全問題限期內責令整改及通報，高職校需滿足主管部門的安全建設要求。

NO.3    落實網(wǎng)絡安全法集等保2.0                                              

隨著《網(wǎng)絡安全法》的出臺和網(wǎng)絡安全等級保護制度 2.0 標準的實行，以《網(wǎng)絡安全法》作為工作指引，將等級保 護與學校信息化現(xiàn)狀結合，在滿足等級保護基本要求的基礎上建設合規(guī)、有效的網(wǎng)絡安全體系已成為上海工 美的首要大事，同時，還需真正為學校網(wǎng)絡提供簡單易用的有效防護，在幫助信息中心縮減運維壓力的同時， 為上海工美建立安全可靠的信息化環(huán)境。

解決方案

我們秉持“持續(xù)保護、不止合規(guī)”的核心理念，攜手某廠商的安全解決方案，將等級保護合規(guī)建設與高職校業(yè)務及特點深入結合，建立“持續(xù)檢測、安全可 視、協(xié)同聯(lián)動”的動態(tài)一體化防御，以及等保 2.0 的全生命周期服務支撐，實現(xiàn)高職校與信息化建設的深度融合。

（1）安全域劃分與防護                                              

針對學院站群以及內網(wǎng)業(yè)務實際情況，通過分區(qū)分域的思想，采用某廠商下一代防火墻實現(xiàn)對各區(qū)域間的隔離訪問，進 而達到應用級的訪問控制和防護。此外利用自身在網(wǎng)絡安全領域的經驗，對學院的教學業(yè)務的應用特點分析，梳理業(yè)務關系和訪問對象，為學院制定針對性的防護措施和控制策略，從東西向與南北向的攻擊角度進行全面防護，實現(xiàn)合理、安全的網(wǎng)絡架構優(yōu)化。經過一段時間的穩(wěn)定運行，目前圖書館、教務系統(tǒng)及數(shù)據(jù)等核心業(yè)務也已遷移到各安全域 內，實現(xiàn)了一體化、平臺化的整合和統(tǒng)一管理。

（2）校外師生 VPN 的安全接入訪問                                                

將部分暴露在公網(wǎng)的內部業(yè)務系統(tǒng)遷入內網(wǎng)安全域內，通過部署深信服 SSL VPN 實現(xiàn)安全訪問，減少攻擊面。同時 SSL VPN 作為新形態(tài)的移動應用門戶，VPN 接入后即可找到所需資源，方便用戶使用，另外基于權限應用發(fā)布的安全性得到 提升的同時，體驗也得到全面改善。

（3）高效持續(xù)檢測安全威脅                                              

以某廠商安全感知平臺為中心，結合安全威脅情報等構建安全大腦，對學院的網(wǎng)絡環(huán)境中各類安全風險進行識別、預警 及可視化呈現(xiàn)，能夠及時發(fā)現(xiàn)僵尸網(wǎng)絡、勒索病毒等威脅和安全隱患。同時對攻擊行為的跟蹤溯源能力;直觀的安全可 視化呈現(xiàn)也讓網(wǎng)絡安全管理變化簡單易行。

（4）智能聯(lián)動，整體協(xié)防                                                

選用的某廠商下一代防火墻、上網(wǎng)行為管理等安全設備支持與安全感知平臺進行聯(lián)動，當安全感知平臺發(fā)現(xiàn)異常或智能研判為 攻擊威脅時，邊界設備將進行自動封堵。將防御模式從傳統(tǒng)的被動防御向主動防御升級，提升防護效果，同時也大大降低 了運維工作量與難度。

價值闡述

NO.1    全網(wǎng)脆弱性一目了然，充分洞察潛在風險

通過我們?yōu)閷W院設計的網(wǎng)絡安全等級保護解決方案，幫助學院梳理教學資產以及對脆弱性進行分析，例如漏洞、 弱密碼、明文傳輸?shù)龋瑤椭鷮W員精準定位風險用戶，并協(xié)助處置。

NO.2    勒索病毒等高級威脅持續(xù)檢測和聯(lián)動防御，保障全網(wǎng)安全                                                                                          

通過大數(shù)據(jù)分析、人工智能和UEBA等新技術，幫助用戶定位內網(wǎng)潛在的高級風險，如勒索病毒、 挖掘病毒以及APT攻擊等，并通過深信服專家服務和端點防護軟件一鍵處置。

NO.3    參照標準設計，等級保護2.0合規(guī)要求

以最新的《網(wǎng)絡安全等級保護安全設計技術要求》標準，基于“一個中心、三重防護”的安全理念和 “分區(qū)分域”的設計原則，充分滿足等級保護2.0合規(guī)要求，協(xié)助用戶順利通過等級保護測評。

客戶評價

“我們非常欣賞極云的項目管理能力和資源調配能力，技術團隊對項目的規(guī)劃、工作安排和項目變更的管理都是非常到位的，在合作過程中，我們真切地感受到他們的高度關注和熱情投入，未來我們也非常期盼能繼續(xù)與極云團隊展開更深層的合作”

-- 四川某職業(yè)技術學院信息科劉主任