某县职业中等专业学校网络安全解决方案

一、背景

某县职业中专，因被通报单位IP存在虚拟货币挖矿活动，是学校电脑中病毒造成。为保护学校利益，学校安全建设需要进行整体安全体系规划设计，全面提高信息安全防护能力，创建安全健康的网络环境，保护国家利益，促进信息化的深入发展。

二、安全防护体系设计方案

按照国家相关规定，某县职业中等专业学校自建信息系统的安全等级适用等级保护第二级要求。顶层安全设计采取“分级分域、横向隔离、纵向加密、可管可控”理念，根据业务系统的服务对象及重要程度划分安全域，并且将各安全域划分为区域边界、通信网络、计算环境三个层次实施安全防护措施；同时采取将安全设备防护与安全服务相结合的设计思路，确保信息安全防护措施的落地；最后，实现技术、管理和运维体系三位一体的等级化安全保障体系。

三、.安全技术体系总体设计示意图（网络拓扑图）

根据《GB/T25070-2010信息安全技术 信息系统等级保护安全设计技术要求》（以下简称“设计技术要求”）要求，需要对网络进行安全区域划分，构建分域的等级安全防护体系，结合我市现有的网络信息拓扑架构，基于分域保护的总体部署架构逻辑图如下所示：

四.详细设计说明

1、防火墙

  防火墙部署在学校互联网出口，负责入站、出站双向IP包的访问控制、应用过滤。开启入侵防御策略，对出站、入站方向的数据包进行包还原，检测攻击行为，攻击特征，若发现攻击行为则进行阻断。同时，开启防病毒策略，对入站方向的HTTP、SMTP、POP3、IMAP等流量进行防病毒过滤清洗。

2、杀毒软件

  在安全管理区部署杀毒软件，安装杀毒软件管理中心，在服务器上安装杀毒软件客户端。终端杀毒引擎支持静态特征匹配和动态沙箱分析技术，可以通过代码特征匹配和动态行为分析识别恶意软件变种与族群，有效解决病毒、木马、漏洞、免杀逃逸等终端威胁。同时系统实时监控每个虚拟机服务器端/虚拟机客户端的运行状态、攻击日志、病毒状态，最大程度的减小了病毒传播的可能。切实保护用户网络内部传输安全。

五、方案价值

  本方案为客户提供高校校园网综合安全防护解决方案，包括互联网接入安全防护、僵尸网络、钓鱼网站、防病毒、URL过滤、深度整合反病毒+主动防御+智能拦截的基于安全的合规建设。通过该方案的建设与实施，从业务上保障校园教学、科研任务的进行。