需求分析
全国高校的校园一卡通系统已实施多年,提升了学校管理效率,大大方便了教师和学生,形成了多方共赢的局面。校园一卡通系统涉及学校、持卡人和银行三个不同的层面,涉及圈存、消费、结算、查询等大量的交易处理,对系统的安全可靠性要求非常高。
校园一卡通系统已成为不法分子蓄意攻击和好动学生尝试攻击的目标,安全防护需求强烈。校园一卡通系统的安全问题涉及网络安全、数据存储安全、密钥管理安全、运维管理安全、软件系统安全等多方面。当前传统网络安全防护方案中,通过部署传统防火墙,来实现一卡通中心业务系统与各业务子系统、银行系统、校园网、财务网等之间的逻辑隔离防护。
在网络安全威胁出现的前期,防火墙起到了一定的安全防护作用,但是随着大量新的面向应用的攻击行为不断涌现,已经无法仅依靠基于防火墙简单的封堵服务端口的方式来实现高安全。鉴于此,我们重点关注网络安全和运维管理安全问题,并提出相应的解决方案。
方案设计
安盟信息作为网络安全隔离防护方案领航者,基于十几年的潜心研究和大量的客户部署实践,总结了一套保证一卡通系统在高安全情况下对外提供服务的安全隔离防护解决方案。
推荐安盟华御安全隔离网闸,部署于已有传统防火墙(外部对接系统)和中心业务系统之间,提高中心业务系统安全防护能。安盟华御安全隔离网闸采用“双主机+隔离硬件”的硬件架构,实现网络间的“摆渡”形式数据交换。通过在安全隔离网闸中设定交换数据内容,与各业务的前置服务器配合,安全隔离网闸主动发起数据交换(主动读取和写入数据),自身对外不提供任何服务端口,来弥补传统防火墙抵御各种已知和未知攻击能力不足的问题。
推荐安盟华御下一代防火墙,来替换传统防火墙,实现中心业务系统与业务子系统、银行网络的安全隔离。相对于传统防火墙,安盟华御下一代防火墙拥有内容过滤和入侵攻击识别等高级防护功能。
推荐安盟华御运维堡垒机,部署于中心业务系统与系统运维平台之间,实现对业务管理员、运维管理员和第三方服务人员的系统运维操作管理和审计。安盟华御运维堡垒机可实现对运维人员的系统登录授权、系统密码代填、操作指令限制、操作全程录屏审计等功能,从而堵上了一卡通系统的管理后门漏洞。
方案优势
1、重点防护:中心业务系统与外部对接系统之间形成物理级安全隔离。
2、差异防护:针对不同的安全防护需求,推荐不同的安全防护设备。
3、细粒度防护:方案实施过程中,安盟信息安全专家会依据不同应用类型,在设备上实现细粒度信令控制。
4、合规防护:方案依据国家等级保护标准要求设计,设备支持三权分立管理,满足等级保护要求。
典型用户
北京交通大学、太原理工大学、西安邮电大学、重庆师范大学、陕西师范大学、长安大学
网友评论