高校信息系統(tǒng)安全等級保護項目解決方案_v1.0

1、word 格式文檔XXX大學(xué)等級保護項目技術(shù)方案專業(yè)資料整理word 格式文檔2013 年4月專業(yè)資料整理word 格式文檔目錄1項目概述 .11.1項目建設(shè)背景 .11.2項目建設(shè)目標(biāo) .11.3項目建設(shè)內(nèi)容 .11.4項目建設(shè)范圍 .21.5項目建設(shè)依據(jù) .22信息系統(tǒng)現(xiàn)狀與安全需求.32.1信息化建設(shè)現(xiàn)狀綜述 .32.2技術(shù)體系結(jié)構(gòu)現(xiàn)狀 .42.2.1物理環(huán)境 .52.2.2主機層結(jié)構(gòu) .82.2.3網(wǎng)絡(luò)層結(jié)構(gòu) .92.2.4應(yīng)用層結(jié)構(gòu) .92.3管理體系結(jié)構(gòu)現(xiàn)狀 .152.3.1安全管理機構(gòu) .152.3.2安全管理制度 .162.3.3人員安全管理 .222.3.4系統(tǒng)運維管理 .2

2、32.4安全威脅與風(fēng)險 .242.4.1技術(shù)層面威脅與風(fēng)險 .24專業(yè)資料整理word 格式文檔2.4.2管理層面威脅與風(fēng)險272.5等級保護安全需求282.5.1系統(tǒng)安全等級劃分282.5.2系統(tǒng)安全等級282.5.3等級保護基本安全要求292.5.4信息系統(tǒng)定級情況302.6安全需求分析312.6.1技術(shù)層面安全需求分析312.6.2管理層面安全需求分析353等級保護方案設(shè)計363.1安全方案設(shè)計思路363.1.1構(gòu)建分域的控制體系363.1.2構(gòu)建縱深的防御體系373.1.3保證一致的安全強度373.1.4實現(xiàn)集中的安全管理373.2安全技術(shù)方案詳細(xì)設(shè)計383.2.1確定保護強度383.

3、2.2安全域劃分與隔離393.2.3本地備份系統(tǒng)423.2.4網(wǎng)絡(luò)鏈路冗余改造463.2.5PKI 基礎(chǔ)設(shè)施483.2.6安全審計管理50專業(yè)資料整理word 格式文檔3.2.7漏洞掃描系統(tǒng) .543.2.8Web 防火墻 .593.2.9安全管理平臺設(shè)計 .623.2.10安全實施過程管理 .633.2.11服務(wù)交付物 .643.3安全管理方案詳細(xì)設(shè)計 .643.4安全運維方案詳細(xì)設(shè)計 .693.4.1XXX 大學(xué)門戶網(wǎng)站安全監(jiān)控 .693.4.2應(yīng)急響應(yīng)服務(wù) .733.4.3安全通告服務(wù) .753.4.4網(wǎng)絡(luò)及安全設(shè)備維護 .763.4.5系統(tǒng)安全維護 .783.4.6網(wǎng)絡(luò)防護 .783.

4、4.7系統(tǒng)加固 .793.5協(xié)助測評 .833.5.1準(zhǔn)備資料 .833.5.2現(xiàn)場協(xié)助 .833.5.3服務(wù)交付物 .844系統(tǒng)集成實施 .854.1項目組織及人員安排 .854.2系統(tǒng)集成實施 .874.2.1安全規(guī)劃與實施階段 .87專業(yè)資料整理word 格式文檔4.2.2協(xié)助測評階段904.2.3項目驗收914.2.4工作成果文檔934.3項目實施質(zhì)量保證934.3.1概述934.3.2項目執(zhí)行人員的質(zhì)量職責(zé)944.3.3安全審計過程944.3.4內(nèi)部反饋過程944.3.5質(zhì)量改進(jìn)過程954.3.6改進(jìn)需求檢測954.4風(fēng)險規(guī)避措施954.4.1模擬環(huán)境964.4.2系統(tǒng)備份964.4

5、.3系統(tǒng)恢復(fù)974.4.4時間選擇974.4.5過程監(jiān)控984.5項目驗收984.5.1驗收標(biāo)準(zhǔn)984.5.2驗收流程985技術(shù)支持 、售后服務(wù)及培訓(xùn)方案995.1安全運維服務(wù)995.2技術(shù)支持與售后服務(wù)方案100專業(yè)資料整理word 格式文檔5.2.1試運行期的技術(shù)支持與服務(wù)1005.2.2質(zhì)量保證期內(nèi)的技術(shù)支持與售后服務(wù)1005.2.3質(zhì)量保證期外的技術(shù)支持與售后服務(wù)1025.2.4跟蹤服務(wù)1045.2.5工程師資質(zhì)保障1055.3培訓(xùn)方案1055.3.1培訓(xùn)方法1055.3.2培訓(xùn)內(nèi)容1065.3.3服務(wù)交付物1065.3.4長期培訓(xùn)計劃107專業(yè)資料整理word 格式文檔1項目概述1.

6、1項目建設(shè)背景隨著我國學(xué)校信息化建設(shè)的逐步深入，學(xué)校教務(wù)工作對信息系統(tǒng)依賴的程度越來越高；教育信息化建設(shè)中大量的信息資源，成為學(xué)校成熟的業(yè)務(wù)展示和應(yīng)用平臺，在未來的教育信息化規(guī)劃中占有非常重要的地位。從安全性上分析 ，高校業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，外部攻擊 、內(nèi)部資源濫用 、木馬和病毒等不安全因素越來越顯著，信息化安全是業(yè)務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點。為貫徹落實國家信息安全等級保護制度，規(guī)范和指導(dǎo)全國教育信息安全等級保護工作，國家教委教辦廳函 200980 文件發(fā)出 “關(guān)于開展信息系統(tǒng)安全等級保護工作的通知”；教育部教育管理信息中心發(fā)布教育信息系統(tǒng)安全等級保護工作方案（征求意見稿 ）；教育

7、部辦公廳 印發(fā)關(guān)于開展教育系統(tǒng)信息安全等級保護工作專項檢查的通知（教辦廳函2010 80 號）。1.2項目建設(shè)目標(biāo)本次項目建設(shè)目標(biāo) ：為貫徹落實國家 、教育部信息安全工作部署，完善 XXX 大學(xué)信息系統(tǒng)安全技術(shù)防護措施、安全管理制度和安全運維體系，全面建設(shè)完整的信息安全防護體系，順利通過信息系統(tǒng)等級測評，為 XXX 大學(xué)信息化的健康快速發(fā)展保駕護航。1.3項目建設(shè)內(nèi)容天融信依據(jù)國家信息安全等級保護技術(shù)和管理要求，開展信息安全等級保護建設(shè)工專業(yè)資料整理word 格式文檔作，工作的主要內(nèi)容包括 ：（ 1）方案設(shè)計 ；（ 2）系統(tǒng)集成 ；（ 3）維護服務(wù) 。1.4項目建設(shè)范圍本方案的設(shè)計范圍覆蓋XX

8、X 大學(xué)信息系統(tǒng) 。1.5項目建設(shè)依據(jù)為保證整個項目的實施質(zhì)量和圓滿完成本次項目的項目目標(biāo)，在整個等級保護整改建設(shè)項目的設(shè)計規(guī)劃中將遵循以下標(biāo)準(zhǔn) ：計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則（GB17859-1999 ）（基礎(chǔ)標(biāo)準(zhǔn) ）信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2008）（基線標(biāo)準(zhǔn) ）信息系統(tǒng)安全保護等級定級指南（GB/T 22240-2008）（輔助標(biāo)準(zhǔn) ）信息系統(tǒng)安全等級保護實施指南（輔助標(biāo)準(zhǔn) ）信息系統(tǒng)安全等級保護測評準(zhǔn)則（輔助標(biāo)準(zhǔn) ）電子政務(wù)信息系統(tǒng)安全等級保護實施指南 （試行）信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求 （GB/T20271-2006 ）信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)

9、安全技術(shù)要求 （GB/T20270-2006）信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求 （GB/T20272-2006）信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 （GB/T20273-2006 ）信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求 （GA/T671 ）信息系統(tǒng)安全安全管理要求 （GB/T20269 ）信息系統(tǒng)安全工程管理要求 （GB/T20282 ）信息安全技術(shù)服務(wù)器技術(shù)要求 （GB/T21082 ）專業(yè)資料整理word 格式文檔ISO/IEC TR 13335ISO 17799:2005ISO 27001:2005NIST SP-800 系列ISO 20000CobiT2信息系統(tǒng)現(xiàn)狀與安全需求

10、2.1信息化建設(shè)現(xiàn)狀綜述1. 隨著 XXX 大學(xué)信息化建設(shè)的推進(jìn) ，信息化建設(shè)初具規(guī)模 ，服務(wù)器等主機設(shè)備基本到位，大型網(wǎng)絡(luò)設(shè)備 、高端路由設(shè)備 、多種網(wǎng)絡(luò)和系統(tǒng)管理軟件 、專業(yè)數(shù)據(jù)備份軟件及網(wǎng)絡(luò)數(shù)據(jù)安全設(shè)備和軟件等大都配備完成 ，運行保障的基礎(chǔ)技術(shù)手段基本具備；2. XXX 大學(xué)網(wǎng)絡(luò)信息中心技術(shù)力量雄厚 ，在網(wǎng)絡(luò)工程 、數(shù)據(jù)庫建設(shè) 、系統(tǒng)設(shè)計 、軟件開發(fā) 、信息安全等多項領(lǐng)域具有較強的實力和豐富的經(jīng)驗。承擔(dān)信息中心的網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專業(yè)技術(shù)人員達(dá)20 余人；3.XXX 大學(xué)隨著信息系統(tǒng)的逐步建設(shè)，分別針對重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護手段，保障了核心業(yè)

11、務(wù)系統(tǒng)在一般情況下的正常運行，具備了基本的安全防護能力；4.XXX 大學(xué)的日常運行管理比較規(guī)范，按照信息基礎(chǔ)設(shè)施運行操作流程和管理對象專業(yè)資料整理word 格式文檔的不同 ，確定了網(wǎng)絡(luò)系統(tǒng)運行保障管理的角色和崗位，初步建立了問題處理的應(yīng)急響應(yīng)機制 。2.2技術(shù)體系結(jié)構(gòu)現(xiàn)狀XXX 大學(xué)信息系統(tǒng)主要包括六大業(yè)務(wù)應(yīng)用系統(tǒng)，網(wǎng)絡(luò)、認(rèn)證計費 、校園卡 、數(shù)字XX、網(wǎng)站、郵件系統(tǒng) 。網(wǎng)絡(luò)是 XXX 大學(xué)各大業(yè)務(wù)平臺的基礎(chǔ)核心，是整個校園網(wǎng)的基礎(chǔ) ，網(wǎng)絡(luò)上承載著多種校園業(yè)務(wù)應(yīng)用 ，包括認(rèn)證計費 、數(shù)字 XX、網(wǎng)站、郵件等多種業(yè)務(wù)應(yīng)用系統(tǒng)，這些業(yè)務(wù)應(yīng)用系統(tǒng)都運行在XXX 大學(xué)的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上。XXX 大學(xué)認(rèn)證

12、計費系統(tǒng)是針對學(xué)生上互聯(lián)網(wǎng)的一種接入認(rèn)證計費的管理方式，XXX 大學(xué)對學(xué)生上網(wǎng)是按流量進(jìn)行統(tǒng)計收費的 。 認(rèn)證計費系統(tǒng)共 4 臺服務(wù)器 ，兩臺認(rèn)證服務(wù)器 、一臺自服服務(wù)器 ，一臺流量統(tǒng)計服務(wù)器 。 學(xué)生機上網(wǎng)通過 802.1X 協(xié)議進(jìn)行接入認(rèn)證 ，上網(wǎng)流量通過互聯(lián)網(wǎng)出口交換機的端口鏡象功能將上網(wǎng)數(shù)據(jù)發(fā)送到流量統(tǒng)計服務(wù)器 ，學(xué)生通過自服務(wù)服務(wù)器可以查看個人上網(wǎng)流量的使用情況 。計費采用流量計費方式 ，但每月流量與實際費用不成比例 。校園卡屬 XXX 大學(xué)專網(wǎng) ，主要實現(xiàn)學(xué)生校園卡消費管理。校園卡與 XXX 大學(xué)網(wǎng)絡(luò)有三個物理接口 （包括數(shù)字 XX、認(rèn)證計費 、東區(qū)食堂 ）。專網(wǎng)，與中國銀行通過

13、DDN 方式互聯(lián)，沒有部署防火墻 ，數(shù)據(jù)傳輸使用加密機進(jìn)行加密，終端取用 IP/MAC 綁定的安全機制，網(wǎng)管采用昆特網(wǎng)管系統(tǒng)對交換機、服務(wù)器、終端進(jìn)行監(jiān)控管理 。數(shù)字 XX 是 XXX 大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng)，系統(tǒng)中存儲著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息 、財務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息。數(shù)字 XX 有 2 個應(yīng)用服務(wù)器 ，2 個認(rèn)證服務(wù)器 ，1專業(yè)資料整理word 格式文檔個 BI 服務(wù)器，遠(yuǎn)程通過 VPN、橋服務(wù)器管理 ，有 IP 訪問控制機制 ，服務(wù)器是 SUN 的主機，安裝 Solaris 10 系統(tǒng)，2 臺 Oralcle 數(shù)據(jù)庫服務(wù)器 ，2 臺 Weblogic 應(yīng)用服務(wù)器 ， 1 臺對

14、外提供服務(wù)的Apache 服務(wù)器，應(yīng)用系統(tǒng)采取數(shù)據(jù)庫 ，應(yīng)用，服務(wù)的三層安全架構(gòu)模式部署，服務(wù)器沒有做安全加固 ，存在 Web 應(yīng)用攻擊威脅 ，測試服務(wù)器密碼被篡改過。XXX大學(xué)網(wǎng)站系統(tǒng)為 XXX大學(xué)校園的互聯(lián)網(wǎng)窗口 ，起到學(xué)校對外介紹宣傳的功能。目前， XXX 大學(xué)網(wǎng)站系統(tǒng)共有6 臺服務(wù)器 ，服務(wù)器區(qū)域部署了IDS 設(shè)備實時檢測網(wǎng)站的安全動態(tài)，系統(tǒng)配置了主機防火墻 ，一周進(jìn)行一次本機數(shù)據(jù)備份，目前密碼強度基本符合安全要求，有安全應(yīng)急預(yù)案 ，但不完善 ，沒有進(jìn)行過操作演練 。XXX大學(xué)郵件系統(tǒng)主要為XXX 大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù)，目前郵件系統(tǒng)用戶20000 多，郵件系統(tǒng)前端部署了IPS

15、 進(jìn)行安全防護 ，并通過梭子魚垃圾郵件網(wǎng)關(guān)對垃圾郵件進(jìn)行過濾 ，郵件數(shù)據(jù)最終存儲到H3C 的 IP SAN 中，郵件服務(wù)器目前單機運行，沒有做雙機熱備 ，郵件系統(tǒng)受到垃圾郵件，病毒郵件的威脅 ， WEB 郵件服務(wù)發(fā)生過服務(wù)中斷，系統(tǒng)系統(tǒng)存在過郵件退信攻擊與郵件丟失問題，可能由于郵件系統(tǒng)自身脆弱性造成。2.2.1物理環(huán)境機房：位于該樓三層 ，機房總面積約151m 2，機房管理沒有采取記錄進(jìn)出人員時間、數(shù)量和原因等情況 ，配電間沒鋪設(shè)防靜電地板，接入電源為 380V/50HZ/200A ，無雙電互投 ，在線 UPS 40KVA 輸出 1 組，冷備 UPS 40KVA 輸出 2 組，4 個 APC

16、電池柜，每組 32 塊電池。機房鋪設(shè)防靜電地板 ，擁有 2 組 HIROSS 專用空調(diào)保證機房恒溫 、恒濕，空調(diào)無漏水監(jiān)控報警 ，機房內(nèi)配置防漏電保護 、視頻監(jiān)控 、煙感和利達(dá)海鑫柜式滅火、防靜電導(dǎo)流排等必須的防護措施 。機架線序混亂 ，沒有規(guī)范應(yīng)急燈和溫感監(jiān)控。專業(yè)資料整理word 格式文檔機房物理環(huán)境三層機房物理和環(huán)境安全地理位置XXX 大學(xué)三層 。電壓 380V/50HZ/200A ，無雙電互投 ，總接入電量為 2x70 平電源方中央空調(diào)HIROSS 空調(diào) 2 組，沒有空調(diào)漏水監(jiān)控報警 。外設(shè)空調(diào)UPS 在線 40KVA 輸出 1 組，冷備 10KVA 輸出 2 組， APC 電池UPS

17、柜 2 組，每組 32*12V*100Ah 電池 。地板600*600 靜電地板 ，防靜電導(dǎo)流排 。防電涌有防漏電保護 ，無防浪涌 。機房溫濕度空調(diào)顯示溫度 ：1 組： 21.3,2 組：24.2 。氣噴于電源接入?yún)^(qū) 、設(shè)備區(qū)應(yīng)急燈無規(guī)范應(yīng)急燈煙感煙感： XXX 大學(xué)自己做一套 ，消防給做了一套 。溫感沒有部署溫感監(jiān)控 。視頻監(jiān)控有 3 個，分別部署在設(shè)備區(qū)和電源接入?yún)^(qū) 。機架線序混亂 、設(shè)備沒有規(guī)范的標(biāo)簽 。二套利達(dá)海鑫柜式七氟丙烷氣體滅火裝置 (GQQ150/25) ，有滅火器效噴射面積不明 。機房面積配電間 7*7=49m 2 ，機房 17*6=102 m 2 ，物理環(huán)境儲藏間易燃易爆物

18、品隨意堆放 ，物品雜亂 。專業(yè)資料整理word 格式文檔機房：位于該樓地下一層 ，機房總面積約472.72 m 2 ，機房管理沒有采取記錄進(jìn)出人員時間、數(shù)量和原因等情況 ，配電間沒鋪設(shè)防靜電地板，接入電源380V ， 雙路市電供電保障，在線 UPS 120KVA 輸出 2 組、帶載 2627KVA, 4 組電池組 ，每組 32 塊電池 。機房鋪設(shè)防靜電地板 ，3 組 650A HIROSS 專用空調(diào)保證機房恒溫、恒濕，空調(diào)無漏水監(jiān)控報警 。機房內(nèi)配置防漏電保護、 15 個氣體噴淋口 、煙感、視頻監(jiān)控 、紅外線報警器 、二氧化碳滅火裝置 、防靜電導(dǎo)流排等必須的防護措施。機架線序混亂 ，沒有規(guī)范應(yīng)

19、急燈和溫感監(jiān)控。機房物理環(huán)境機房物理和環(huán)境安全地理位置XXX 大學(xué)地下一層 。電源電壓 380V ，雙市電接入 ，總接入電量為2x95 平方 。中央空調(diào)HIROSS 空調(diào) 3 組，650A 。外設(shè)空調(diào)UPS 在線 120KVA 輸出 2 組，UPS 帶載 2627KVA，APC 電UPS池柜 4 組，每組 32*12V*100Ah 電池 。地板600*600 靜電地板 ，有防靜電導(dǎo)流排 。防電涌有防漏電保護 ，無防浪涌 。機房溫濕度空調(diào)顯示溫度 ：1 組：22，2 組：23.7，3 組：22.2。氣噴15 個噴淋頭 。應(yīng)急燈非規(guī)范應(yīng)急燈 。煙感4個煙感。專業(yè)資料整理word 格式文檔機房物理和

20、環(huán)境安全溫感沒有溫感監(jiān)控視頻監(jiān)控有 4 個部署在設(shè)備區(qū) 。機架線序混亂 、設(shè)備沒有規(guī)范的標(biāo)簽 。滅火器二氧化碳滅火器 ，有效噴射面積不明 。機房面積配電間 13*10=130m 2， 機房 20.4*16.8=342.72 m 2，物理環(huán)境清潔無雜物 。2.2.2主機層結(jié)構(gòu)本次評估范圍內(nèi)的六個業(yè)務(wù)應(yīng)用系統(tǒng)涉及41 臺服務(wù)器 。 數(shù)字 XX 系統(tǒng)使用1 臺SUN-fire 15K 和 1 臺 SUN-fire 25K 高端服務(wù)器作為數(shù)字XX 核心服務(wù)器 ，每臺服務(wù)器上劃分了 5 個應(yīng)用域 ， 2 個管理域 ，應(yīng)用域與管理域都安裝的Solaris 10 操作系統(tǒng) ，另外，數(shù)字 XX 還包括 2 臺

21、 SUN 490 服務(wù)器 ,1 臺橋服務(wù)器 。網(wǎng)站系統(tǒng)共有 6 臺 Web 服務(wù)器，部署的 OS 有 Advance AS EL 4.0、Windows 2003 、Red hat 7.3, 起到校園對社會公眾的文化宣傳與介紹功能。郵件系統(tǒng)有 2 臺服務(wù)器 ，部署的 OS 為 Red Hat AS 3 ，郵件系統(tǒng)主要為XXX 大學(xué)師生提供互聯(lián)網(wǎng)郵件服務(wù)。郵件系統(tǒng)目前有兩萬多用戶，郵件用戶包括XXX 大學(xué)學(xué)生與教職員工。網(wǎng)絡(luò)評估范圍包括2 臺網(wǎng)管服務(wù)器 ， 2 臺 DNS 服務(wù)器，1 臺防病毒服務(wù)器與1 臺補訂服務(wù)器，這些服務(wù)器主要用作網(wǎng)絡(luò)與安全管理。認(rèn)證計費系統(tǒng)包括4 臺服務(wù)器 ，部署的 OS

22、 為 Windows server 2003, 認(rèn)證計費系統(tǒng)主要針對學(xué)生接入互聯(lián)網(wǎng)進(jìn)行認(rèn)證與計費管理。專業(yè)資料整理word 格式文檔校園卡系統(tǒng)的評估范圍包括5 臺服務(wù)器 ，其中兩臺是校園卡核心SUN 880 服務(wù)器，另外 3 臺為校園卡與數(shù)字XX、認(rèn)證服務(wù)器 、東區(qū)食堂的互聯(lián)接口服務(wù)器。2.2.3網(wǎng)絡(luò)層結(jié)構(gòu)XXX 大學(xué)網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜 ，網(wǎng)絡(luò)設(shè)備較多 ，互聯(lián)網(wǎng)出口有三條鏈路 ，一條 1000M帶寬接入中國教育網(wǎng) ，一條 100M 帶寬接入網(wǎng)通 ，一條 1000M 帶寬接入中國教育網(wǎng)IPv6網(wǎng)絡(luò)，校園網(wǎng)出口核心設(shè)備由Cisco 6500 系列高端設(shè)備組成 ，并形成冗余架構(gòu) ，保障了互聯(lián)網(wǎng)接入的可

23、用性 。XXX 大學(xué)網(wǎng)絡(luò)中部署了 Macfee 網(wǎng)絡(luò)版防病毒系統(tǒng) 、Allot 帶寬管理設(shè)備 、網(wǎng)康上網(wǎng)行為管理系統(tǒng) 、入侵防御系統(tǒng)及重要的網(wǎng)絡(luò)核心交換機上配備了防火墻模塊 ，這些安全措施分別保護了不同的業(yè)務(wù)應(yīng)用系統(tǒng)的安全性 ，從一定程度上減少了受到網(wǎng)絡(luò)攻擊 、病毒傳播的可能性 ，增強了網(wǎng)絡(luò) 、系統(tǒng)服務(wù)的安全性和可用性 。XXX 大學(xué)網(wǎng)絡(luò)用戶龐大 ，學(xué)生用戶 20000 多，整個網(wǎng)絡(luò)按照教學(xué)樓樓層劃分了VLAN ， XXX 大學(xué)對學(xué)生上互聯(lián)網(wǎng)的行為實施了802.1x 認(rèn)證計費 ，計費方式按照學(xué)生上互聯(lián)網(wǎng)的網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計計費，通過流量計費的方式有效的降低了XXX 大學(xué)學(xué)生對互聯(lián)網(wǎng)帶寬的長期站用

24、 。網(wǎng)絡(luò)評估范圍包括2 臺網(wǎng)管服務(wù)器 ， 2 臺 DNS 服務(wù)器，1 臺防病毒服務(wù)器與1 臺補訂服務(wù)器，這些服務(wù)器主要用作網(wǎng)絡(luò)與安全管理。2.2.4應(yīng)用層結(jié)構(gòu)本次評估范圍涉及六個應(yīng)用系統(tǒng)，分別為網(wǎng)絡(luò) 、認(rèn)證計費 、校園卡 、數(shù)字XX、網(wǎng)站、郵件系統(tǒng) 。專業(yè)資料整理word 格式文檔XXX 大學(xué)信息系統(tǒng)承載了眾多業(yè)務(wù)應(yīng)用 。本次信息安全風(fēng)險評估對象為其中 6 個最為重要的業(yè)務(wù)應(yīng)用系統(tǒng) ：網(wǎng)絡(luò)、認(rèn)證計費 、校園卡、數(shù)字 XX、網(wǎng)站、郵件系統(tǒng) 。XX 網(wǎng)絡(luò)XXX 大學(xué)網(wǎng)絡(luò)結(jié)構(gòu)校為復(fù)雜 ，網(wǎng)絡(luò)設(shè)備較多 ，互聯(lián)網(wǎng)出口有三條鏈路 ，一條 1000M帶寬接入中國教育網(wǎng) ，一條 100M 帶寬接入網(wǎng)通 ，一條

25、 1000M 帶寬以 IPV6 協(xié)議接入中國教育網(wǎng) 。 內(nèi)部網(wǎng)絡(luò)為星形架構(gòu)，接入各個教學(xué)樓與院系，內(nèi)部網(wǎng)絡(luò)主要按照樓層劃分了VLAN，同時網(wǎng)絡(luò)上承載了 XXX 大學(xué)的眾多業(yè)務(wù)應(yīng)用系統(tǒng)，主要包括認(rèn)證計費 、數(shù)字 XX、網(wǎng)站、郵件等多種業(yè)務(wù)應(yīng)用 。認(rèn)證計費業(yè)務(wù)XXX 大學(xué)認(rèn)證計費系統(tǒng)是針對學(xué)生上互聯(lián)網(wǎng)的一種接入認(rèn)證、計費的管理方式 ， XXX大學(xué)對學(xué)生上網(wǎng)是按流量進(jìn)行統(tǒng)計收費的。認(rèn)證 、計費系統(tǒng)共 4 臺服務(wù)器 ，兩臺認(rèn)證服務(wù)器、一臺自服服務(wù)器 ，一臺流量統(tǒng)計服務(wù)器。學(xué)生機上網(wǎng)通過802.1X 協(xié)議進(jìn)行接入認(rèn)證，上網(wǎng)流量通過互聯(lián)網(wǎng)出口交換機的端口鏡象功能將上網(wǎng)數(shù)據(jù)發(fā)送到流量統(tǒng)計服務(wù)器，流量統(tǒng)計服務(wù)

26、器對數(shù)據(jù)進(jìn)行流量統(tǒng)計與分析，學(xué)生能過自服務(wù)器可以查看自已的每月的上網(wǎng)流量使用情況 。專業(yè)資料整理word 格式文檔認(rèn)證計費業(yè)務(wù)應(yīng)用示意圖學(xué)生上網(wǎng)端口鏡象的方式802.1X上網(wǎng)認(rèn)證上網(wǎng)流量自查詢分析數(shù)據(jù)流量認(rèn)證服務(wù)器認(rèn)證（備份服務(wù)器）自服服務(wù)器流量統(tǒng)計服務(wù)器校園卡業(yè)務(wù)XXX 大學(xué)校園卡網(wǎng)絡(luò)屬 XX 專網(wǎng)，主要實現(xiàn)學(xué)生校園卡消費管理功能 。校園卡與 XXX大學(xué)網(wǎng)絡(luò)有三個物理接口（包括數(shù)字XX、計費認(rèn)證 、東區(qū)食堂 ），存在數(shù)據(jù)交換業(yè)務(wù) 。另外校園卡專網(wǎng)還與中國銀行、中國工商銀行有金融數(shù)據(jù)交換。此次評估考慮到校園卡專網(wǎng)的實際情況 ，最終確定評估范圍是校園卡網(wǎng)絡(luò)與XXX 大學(xué)網(wǎng)絡(luò)的三處數(shù)據(jù)交換接口。專

27、業(yè)資料整理word 格式文檔校園卡與學(xué)校網(wǎng)絡(luò)互聯(lián)接口示意圖中國工商銀行校園卡學(xué)校網(wǎng)絡(luò)中國銀行數(shù)字學(xué)校H3C數(shù)據(jù)交換服務(wù)器（雙網(wǎng)卡）校園卡專網(wǎng)認(rèn)證服務(wù)器數(shù)據(jù)交換服務(wù)器港灣H3C 5600（雙網(wǎng)卡）東區(qū)食堂 POS 機數(shù)據(jù)交換服務(wù)器東區(qū)食堂服務(wù)器（雙網(wǎng)卡）數(shù)字 XX數(shù)字 XX 系統(tǒng)是XXX 大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng)，系統(tǒng)中存儲著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息 、財務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息。數(shù)字 XX 系統(tǒng)由兩臺 SUN FIRE 15K/25K高端服務(wù)器構(gòu)成 ，每臺服務(wù)器上啟用5 個服務(wù)域 ，通過交換機 VLAN 功能實現(xiàn)三層的物理安全應(yīng)用架構(gòu) ，數(shù)據(jù)信息通過FC SAN 存儲到 EMC 存儲池中 ，管理人員定期對數(shù)據(jù)進(jìn)行備份管理 ，兩臺服務(wù)器的遠(yuǎn)程