北京启明星辰信息安全技术有限公司 翟胜军

校园网络的安全建设思路---“我的安全我做主”

第十界教育信息化创新与发展论坛

--- 职业教育论坛

汇报内容：

1. 北京启明星辰公司简介2. 校园网络安全需求的特殊性3. 安全建设思路4. 开放网络安全实验室建议

启明星辰公司成立于 1996年，是由留美博士严望佳女士创建的拥有完全自主知识产权的网络安全高科技企业。是国内最具实力的网络安全产品、可信安全管理平台、专业安全服务与解决方案的综合提供商。公司总部位于北京市中关村软件园启明星辰大厦，在全国各省、市、自治区设立分、子公司及办事处三十多个，拥有覆盖全国的渠道体系和技术支持中心。

公司简介

【【公司简介公司简介】】

【【启明星辰大厦启明星辰大厦】】

启明星辰在软件行业的卓越贡献得到了国家和北京市的充分肯定，在相关政策的支持下，位于北京市中关村软件园的启明星辰大厦于 2007

年完工并投入使用，大厦占地 40 余亩，建筑面积 23990 平方米，可同时容纳 2000人办公，环境优美，绿化面积达到 60%。

【【创新实力创新实力】】——核心技术

技术创新

【【创新实力创新实力】】——创新荣誉

中国自主创新十大影响力品牌 ——《人民日报》

中关村科技园区创新型试点企业 ——北京市人民政府 / 科学技术部北京市企业技术中心 ——北京市工业促进局北京市专利引擎试点单位 ——北京市知识产权局电子信息产业发展基金优秀项目 ——中华人民共和国信息产业部国家高科技产业化示范工程 ——国家发展和改革委员会自主知识产权创新与应用试点单位 ——北京市科学技术委员会

安全研究的组织保障

研究漏洞机理研究新攻击特征研究漏洞机理研究新攻击特征

研究攻击躲避机理设计抗躲避机制 /算法研究攻击躲避机理设计抗躲避机制 /算法

发现新漏洞发现新漏洞

ADLABADLABTMTMADLABADLABTMTM

MicrosoftMicrosoft相关软件厂家相关软件厂家MicrosoftMicrosoft相关软件厂家相关软件厂家

CVECNCVECVECNCVE

CERTCNCERT/CC

CERTCNCERT/CC

披露信息安全事件披露信息安全事件远程监控服务远程监控服务远程监控服务远程监控服务

攻击特征无法精确定义攻击特征无法精确定义

新发现安全事件新发现安全事件新发现安全事件新发现安全事件

披露漏洞披露漏洞

启明星辰产品研发团队启明星辰产品研发团队启明星辰产品研发团队启明星辰产品研发团队

列入产品可升级事件库实现精确阻断攻击

列入产品可升级事件库实现精确阻断攻击

基于攻击躲避机理的精确识别程序包

基于攻击躲避机理的精确识别程序包

在线升级引擎，加载新算法实现精确阻断攻击

在线升级引擎，加载新算法实现精确阻断攻击

攻击特征可被精确定义攻击特征可被精确定义

信息安全信息安全博士后工作站博士后工作站信息安全信息安全博士后工作站博士后工作站

开放源代

码

VFVF专家团专家团VFVF专家团专家团 客户安全保障规划与业务流程分析客户安全保障规划与业务流程分析客户安全保障规划与业务流程分析客户安全保障规划与业务流程分析

业务范围业务范围

7

漏洞销售商业化，补丁管理困惑，基于Web的攻击成为热点木马与蠕虫、病毒的结合，恶意代码绑定工具的流行，入侵者门槛越来越低Botnet(僵尸网络 )猖獗，形成“网络黑社会”组织，木马产业链成熟为个人利益、金钱等目的的内部人员篡改、破坏安全事件越来越多

外边的环境很不“太平”

8

每年高考前后，各大学网站都是挂马的“热点”战场文凭可以网上查询以来，开始有人公开叫卖可查询到的“假文凭”学生涉猎网站广泛，病毒泛滥，学生选课系统瘫痪BT资源共 享，网络出口阻塞，教师查资料没有带宽

校园网络也不是“伊甸园”

学生的天性是好奇，求知的最好方式是“兴趣 +实践”学校培养学生的地方，应该学生一个“宽松”的学习环境网络与信息安全是很特殊的技术，只学理论不实践是不行的，而最好的联系场地就是学校的网络

我们的策略只能是疏导，不能是阻塞

校园网络的模型信息中心

图书馆

教学楼

学生宿舍楼教师住宅楼

实验室

办公楼

Cernet/Internet

网站服务区

教学区

10

保护目标

1. 学生不能看的信息 (内部文件、考试题… )

2. 学生不能改的信息 (分数、教师评语… )

1. 保障教学信息系统正常运行 (尤其是带宽的保障 )

2. 重要教学信息系统不被入侵3. 门户网站的信息不被篡改4. 门户与论坛不被挂马等入侵5. 学生计算机不成为“僵尸”

如何理解安全

隔离

防护

可见 (对外 )

可见 (对内 )

检查

可信任的人(建设与修

复 )

可信任的人

安全保障架构 ---“花瓶”模型

五边界

五控点

三验证

校园网络与信息安全建设的原则

1. 合规原则：符合等级保护与有关法规2. 针对原则：保障教学业务运行，重要信息安全与完整3. 适用原则：保护学生对“新技术”的兴趣，限而不止4. 动态原则：关注新安全技术、动态调整策略

一个建议

开放的安全研究实验室互联网

专家指导

虚拟网站

维护者学生小组

虚拟安全环境

1. 提供一个学生可以学习、实验计算机安全技术的环境，成为学生灵感、智慧释放的平台，建设国家信息安全选拔的基地

2. 研究新型攻击技术与防护技术，提高学校安全防护水平虚拟应用

环境

小结小结

1.校园是培养学生的地方，适用于疏导流量与恶意代码，而不都是禁止

2.信息安全建设参考“花瓶”模型进行架构：防护、监控、信任，学校内应重监控措施

谢谢