大學(xué)智慧校園信息安全改造建設(shè)方案v

XX大學(xué)校網(wǎng)信息安全改造建設(shè)方案TOC\o"1-5"\h\z\o"CurrentDocument"第一章：項(xiàng)目概述 3學(xué)院信息化現(xiàn)狀 3學(xué)院安全現(xiàn)狀分析 4學(xué)院安全威脅分析 4學(xué)院門戶網(wǎng)站 4校園網(wǎng)業(yè)務(wù)信息系統(tǒng) 5\o"CurrentDocument"第二章：項(xiàng)目建設(shè)方案 6信息安全體系的標(biāo)準(zhǔn)要求 6信息安全體系設(shè)計(jì)方法論 6信息安全體系架構(gòu) 6信息安全等級保護(hù)整改指南 7信息安全技術(shù)體系 8信息安全區(qū)域劃分 8信息安全產(chǎn)品的部署情況說明 9安全建設(shè)與整改依據(jù) 10產(chǎn)品部署方案 13信息安全管理體系 15安全管理體系建設(shè)目標(biāo) 15安全管理體系建設(shè)內(nèi)容 15\o"CurrentDocument"第三章：項(xiàng)目產(chǎn)品清單與概算 18大學(xué)智慧校園信息安全改造建設(shè)方案v第一章：項(xiàng)目概述學(xué)院信息化現(xiàn)狀近年來，隨著我國社會經(jīng)濟(jì)的不斷發(fā)展，國家對教育事業(yè)的支持和投入不斷增加，我國的高等教育從深度和廣度上都有了顯著的發(fā)展和提高。信息化、網(wǎng)絡(luò)與計(jì)算機(jī)技術(shù)的不斷發(fā)展也為教育事業(yè)提供了強(qiáng)有力的支持手段，為教育模式的創(chuàng)新、先進(jìn)教育理念的實(shí)現(xiàn)提供了可靠的實(shí)現(xiàn)方法。2012年3月，教育部出臺了《教育信息化十年發(fā)展規(guī)劃（2011-2020年）》，明確提出“到2020年，全面完成《教育規(guī)劃綱要》所提出的教育信息化目標(biāo)任務(wù)，形成與國家教育現(xiàn)代化發(fā)展目標(biāo)相適應(yīng)的教育信息化體系，基本建成人人可享有優(yōu)質(zhì)教育資源的信息化學(xué)習(xí)環(huán)境，基本形成學(xué)習(xí)型社會的信息化支撐服務(wù)體系，基本實(shí)現(xiàn)所有地區(qū)和各級各類學(xué)校寬帶網(wǎng)絡(luò)的全面覆蓋，教育管理信息化水平顯著提高，信息技術(shù)與教育融合發(fā)展的水平顯著升。教育信息化整體上接近國際先進(jìn)水平，對教育改革和發(fā)展的支撐與引領(lǐng)作用充分顯現(xiàn)?！苯逃砍雠_的《高等學(xué)校“十二五”科學(xué)和技術(shù)發(fā)展規(guī)劃》中也明確提出要“加快重大科研平臺建設(shè)與資源共享”，“加強(qiáng)教育信息化對學(xué)?？蒲?、人才培養(yǎng)、社會服務(wù)和文化傳承的支撐”。學(xué)校信息化主要以數(shù)字化校園建設(shè)為主，主要內(nèi)容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門戶、統(tǒng)一身份認(rèn)證、校園一卡通、網(wǎng)絡(luò)安全體系等；大學(xué)數(shù)字化校園建設(shè)通常先提出總體解決方案，確定數(shù)字化校園的體系結(jié)構(gòu)，制定數(shù)字化校園的信息標(biāo)準(zhǔn)，以與各系統(tǒng)之間的接口標(biāo)準(zhǔn)，然后分階段實(shí)施。校園信息管理系統(tǒng)建設(shè)建設(shè)一整套校園信息管理系統(tǒng)，為實(shí)現(xiàn)“網(wǎng)上辦公、網(wǎng)上管理、網(wǎng)上教學(xué)、網(wǎng)上服務(wù)”提供全面的系統(tǒng)支持。數(shù)據(jù)中心建設(shè)建設(shè)一個為全校服務(wù)的數(shù)據(jù)中心，保證數(shù)據(jù)實(shí)時更新和高度一致。建立統(tǒng)一信息門戶建立一個信息的集成平臺，將分散、異構(gòu)的應(yīng)用和信息資源進(jìn)行聚合，通過統(tǒng)一的訪問入口，實(shí)現(xiàn)結(jié)構(gòu)化數(shù)據(jù)資源、非結(jié)構(gòu)化文檔和互聯(lián)網(wǎng)資源、各種應(yīng)用系統(tǒng)跨數(shù)據(jù)庫、跨系統(tǒng)平臺的無縫接入和集成。校園一卡通建設(shè)校園一卡通建設(shè)，必須滿足數(shù)字化校園的整體規(guī)劃設(shè)計(jì)，一卡通的設(shè)計(jì)要架構(gòu)在校園網(wǎng)上，不僅具備消費(fèi)功能，而且還要具備身份識別和校務(wù)管理功能。正確處理好一卡通與其他已有的信息系統(tǒng)（如圖書管理系統(tǒng)、人事、財務(wù)、教務(wù)等管理系統(tǒng)）的對接和系統(tǒng)數(shù)據(jù)共享問題是“數(shù)據(jù)集中”和“應(yīng)用集成”的重要關(guān)鍵。網(wǎng)絡(luò)安全體系建設(shè)建立全校的網(wǎng)絡(luò)安全體系，保證校園網(wǎng)絡(luò)的安全，保證關(guān)鍵數(shù)據(jù)、關(guān)鍵應(yīng)用的安全以與關(guān)鍵業(yè)務(wù)部門的安全，實(shí)現(xiàn)校園網(wǎng)絡(luò)與其應(yīng)用系統(tǒng)的安全高效運(yùn)行。建設(shè)數(shù)字圖書館、校園無線網(wǎng)、構(gòu)建遠(yuǎn)程教育平臺、教育資源建設(shè)等也是數(shù)字化校園建設(shè)的重要內(nèi)容。學(xué)院安全現(xiàn)狀分析xx大學(xué)位于南部、京九線上享有“南國宋城、客家搖籃、紅色故都、生態(tài)家園、稀土王國、世界鎢都、臍橙之鄉(xiāng)”等美譽(yù)，是一所校園環(huán)境優(yōu)美、文化底蘊(yùn)深厚、學(xué)科門類較全、辦學(xué)特色鮮明、綜合實(shí)力較強(qiáng)、發(fā)展前景良好的省屬本科師范院校。在辦校建校的過程中，xx大學(xué)積極響應(yīng)國家和教育部的相關(guān)指示和方針，對信息化建設(shè)給予了極大的人力、物理和財力的投入。目前達(dá)到了關(guān)鍵業(yè)務(wù)系統(tǒng)的信息化應(yīng)用、全校園互聯(lián)網(wǎng)覆蓋，各校區(qū)之間的骨干網(wǎng)絡(luò)互聯(lián)。學(xué)院安全威脅分析學(xué)院門戶網(wǎng)站學(xué)校網(wǎng)站的安全威脅，包括學(xué)校門戶網(wǎng)站、學(xué)校招生網(wǎng)站、二級各院系等網(wǎng)站，由于高考、招生、學(xué)生就業(yè)等敏感時期，聚集了大量的學(xué)生與家長訪問流量，也引起黑客的關(guān)注，學(xué)校網(wǎng)站面臨的主要安全威脅有：?網(wǎng)頁被掛馬、被篡改黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到學(xué)校網(wǎng)站的管理權(quán)限，進(jìn)而篡改網(wǎng)頁代碼；部分攻擊者將學(xué)校網(wǎng)站替換成黃色網(wǎng)站，影響極其惡劣。?黑客侵入校園內(nèi)網(wǎng)的跳板入侵者成功獲取WEB服務(wù)器的控制權(quán)限后，可以該服務(wù)器為跳板，對內(nèi)網(wǎng)進(jìn)行探測掃描，發(fā)起攻擊，對內(nèi)網(wǎng)核心數(shù)據(jù)造成影響。校園網(wǎng)業(yè)務(wù)信息系統(tǒng)隨著校園網(wǎng)信息化的逐步深入，業(yè)務(wù)系統(tǒng)眾多，“一卡通”、教學(xué)信息管理系統(tǒng)、電子圖書館、教育資源庫等信息化業(yè)務(wù)系統(tǒng)均普遍的被各大學(xué)校采用，而這些系統(tǒng)由于管理與防護(hù)不到位，目前面臨著較嚴(yán)重的安全威脅：業(yè)務(wù)系統(tǒng)缺乏必要的入侵防護(hù)手段學(xué)校網(wǎng)絡(luò)規(guī)模擴(kuò)張迅速，網(wǎng)絡(luò)帶寬與處理能力都有很大的提升，但是管理和維護(hù)人員方面的投入明顯不足，無暇顧與、也沒有條件管理和維護(hù)數(shù)萬臺計(jì)算機(jī)的安全。一旦學(xué)生進(jìn)行黑客攻擊，無法阻斷攻擊并發(fā)現(xiàn)攻擊源，邊界缺乏必要的隔離和審計(jì)措施，出現(xiàn)問題不方便定位，追查取證。系統(tǒng)漏洞缺乏必要的控制措施校園網(wǎng)數(shù)據(jù)中心內(nèi)的系統(tǒng)應(yīng)用眾多、服務(wù)器眾多，管理與維護(hù)方式也不盡相同，無法做到所有的系統(tǒng)實(shí)施統(tǒng)一的漏洞管理政策，缺乏自動化的高效檢查工具和控制手段。業(yè)務(wù)系統(tǒng)權(quán)限控制不合理，有安全隱患由于學(xué)校內(nèi)應(yīng)用眾多，開發(fā)模式多樣，因此難免會造成權(quán)限設(shè)計(jì)時考慮不周，造成權(quán)限漏洞，或給攻擊者以機(jī)會；學(xué)生在內(nèi)網(wǎng)中即可訪問各種業(yè)務(wù)資源，缺乏必要的控制措施；校園“一卡通”系統(tǒng)數(shù)據(jù)有可能被篡改，賬號與資金缺乏安全保障；由于重要數(shù)據(jù)庫的訪問缺乏審計(jì)手段，一旦出現(xiàn)數(shù)據(jù)篡改現(xiàn)象，無法定位問題。大學(xué)智慧校園信息安全改造建設(shè)方案v第二章：項(xiàng)目建設(shè)方案引入知名且具有權(quán)威性的第三方安全服務(wù)機(jī)構(gòu)為xx大學(xué)信息中心提供專業(yè)的、先進(jìn)和完善的整體安全服務(wù)體系，并協(xié)助xx大學(xué)信息中心建立相應(yīng)的信息安全管理辦法，加強(qiáng)內(nèi)部培訓(xùn)與管理，建立完善的信息安全管理系統(tǒng)，加強(qiáng)身份認(rèn)證、門戶網(wǎng)站和數(shù)據(jù)中心的安全體系建設(shè)，提高xx大學(xué)信息中心整體的信息安全意識。建議人事、教務(wù)、OA、校園網(wǎng)等信息系統(tǒng)按照信息系統(tǒng)等級保護(hù)II級標(biāo)準(zhǔn)的要求進(jìn)行安全規(guī)劃整改，以達(dá)到教育部的安全要求。建議財務(wù)、一卡通信息系統(tǒng)按照信息系統(tǒng)等級保護(hù)III級標(biāo)準(zhǔn)的要求進(jìn)行安全規(guī)劃整改，以達(dá)到教育部的安全要求。技術(shù)方面的網(wǎng)絡(luò)安全、主機(jī)安全、網(wǎng)站安全、數(shù)據(jù)庫安全主要通過安全產(chǎn)品的部署來解決。管理方面安全主要通過安全服務(wù)來解決。信息安全體系的標(biāo)準(zhǔn)要求信息安全體系設(shè)計(jì)方法論安全是相對的，不安全是絕對的。安全是根據(jù)需求規(guī)劃出來的，不是出了問題做應(yīng)急處理出來的。安全管理比安全技術(shù)更重要。2.1.3信息安全體系架構(gòu)信息安全體系三層架構(gòu)模型如下圖：信息安全系統(tǒng)是整體的、動態(tài)的。信息安全系統(tǒng)符合MPDRR模型(M-management,P-protect，D-detection，R1-responce，R2-recovery)，因此，要真正實(shí)現(xiàn)一個系統(tǒng)的安全，就需要建立一個從保護(hù)、檢測、響應(yīng)到恢復(fù)的一套全方位的安全保障體系：我們提供的信息安全方案正是基于MPDRR模型構(gòu)建的，符合信息安全系統(tǒng)整體性和動態(tài)性的特點(diǎn)。它集防火墻、入侵檢測、安全掃描、安全審計(jì)等防御于一體，將多種信息安全技術(shù)和優(yōu)秀信息安全產(chǎn)品在技術(shù)上有機(jī)集成，實(shí)現(xiàn)安全產(chǎn)品之間的互通與聯(lián)動，是一個統(tǒng)一的、可擴(kuò)展的安全體系平臺。2.1.3信息安全等級保護(hù)整改指南《信息安全等級保護(hù)安全建設(shè)整改工作指南》對等保整改的思路如下圖：

信息系統(tǒng)安全等舞保護(hù)基本要求一安全管理建設(shè)整改￥安全技術(shù)建設(shè)整改安全管理機(jī)構(gòu)t?■+崗位設(shè)置丫?一人員配備y*+授權(quán)和審批」?+溝通和合作」審核和檢查j■+人員錄用P■+人員離崗￥T人員考核*■1+教育和培訓(xùn)」卡人員訪問管理+物理安全t?-機(jī)房位置選擇1?T防火防雷1?-防水防潮1?T防靜電」?-物理訪問控制,?-防超竊防破壞??T溫濕度控制U?T電力供應(yīng)1?T電磁防護(hù)1主機(jī)安全t?f身份鑒別*■1?f訪問控制+J?f安全審計(jì)+J?f入侵防范裂?+病毒防護(hù)丫?一資源控制y?f安全標(biāo)記+J?一剩余信息保護(hù)j安全管理制度■?/管理制度J??制定和發(fā)布」??評審和修訂」系統(tǒng)運(yùn)維管理t?T環(huán)境管理裂T資產(chǎn)管理?+介質(zhì)管理FT設(shè)備營理*■1?卡監(jiān)控管理p卡安全管理中心+?卡網(wǎng)絡(luò)安全管理+?T系統(tǒng)安全管理，?T變更管理*J?+備份恢復(fù)管理+?T事件處置爐?/應(yīng)急響應(yīng)P?+區(qū)域劃分J??邊界防護(hù)P?―訪問控制/+安全審計(jì)P?+入侵防范J+病毒防護(hù)J??逋信保護(hù)J應(yīng)用安全t?f身份鑒別j?f訪問控制+j?f安全審計(jì)+j?f通信完整性+■1?f通信保密性j?f軟件容錯*■1?一資源控制y安全標(biāo)記+J*+剩余信息保護(hù)￥?一抗抵賴）系統(tǒng)建設(shè)管理牝?一定線備案y+安全方案設(shè)計(jì)￥4產(chǎn)品采購使用。一自行軟件開發(fā)u一外包軟件開發(fā)￥?一工程實(shí)施y?一測試驗(yàn)收y一系統(tǒng)交付丫一安全服箔選擇j?+等線測評y數(shù)據(jù)安全與備份恢復(fù)?*數(shù)據(jù)保密性*?*數(shù)據(jù)完整性。?*備份與恢復(fù)*J參考以上模型，針對等級保護(hù)的技術(shù)要求和管理要求，進(jìn)行相應(yīng)的安全技術(shù)體系和安全管理體系的建立，從而使信息系統(tǒng)達(dá)到等級保護(hù)要求。2.2信息安全技術(shù)體系信息安全技術(shù)體系設(shè)計(jì)主要是針對網(wǎng)絡(luò)安全、主機(jī)安全、網(wǎng)站安全、數(shù)據(jù)庫安全的安全風(fēng)險分析結(jié)果，提出對應(yīng)的解決方案，通過部署相應(yīng)的安全產(chǎn)品與策略來降低或規(guī)避信息系統(tǒng)各個層面的安全風(fēng)險。信息安全區(qū)域劃分?校園網(wǎng)按著重要程度和業(yè)務(wù)處理的不同，分為核心區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、應(yīng)用服務(wù)器區(qū)、DMZ區(qū)、校園網(wǎng)接入?yún)^(qū)、校園網(wǎng)安全管理區(qū)，針對不同區(qū)域進(jìn)行不同的安全策略和部署。?數(shù)據(jù)中心網(wǎng)分為數(shù)據(jù)存儲區(qū)、應(yīng)用中心區(qū)、安全管理區(qū)、門戶網(wǎng)站區(qū)，針對不同區(qū)域進(jìn)行不同的安全策略和部署。信息安全產(chǎn)品的部署情況說明?安全產(chǎn)品部署的必要性在病毒和黑客日益增多的信息社會，信息系統(tǒng)的安全問題非常嚴(yán)峻，XX大學(xué)信息中心數(shù)據(jù)非常重要，所建設(shè)的應(yīng)用系統(tǒng)、網(wǎng)站與數(shù)據(jù)資源，一旦被黑客攻擊，將會帶來嚴(yán)重的后果與負(fù)面影響，必須加強(qiáng)信息系統(tǒng)的安全建設(shè)。1、業(yè)務(wù)系統(tǒng)中數(shù)據(jù)庫、服務(wù)器區(qū)是整個業(yè)務(wù)系統(tǒng)的核心，訪問控制措施不足，內(nèi)部資源可能會被非授權(quán)人員訪問，保密性、完整性與可用性得不到保證。數(shù)據(jù)的重要性是信息系統(tǒng)價值的核心，目前在數(shù)據(jù)安全方面沒有相應(yīng)的審計(jì)手段，無法監(jiān)控對數(shù)據(jù)的操作，發(fā)現(xiàn)問題后也無法查找原因。有必要部署相應(yīng)的安全產(chǎn)品。2、門戶網(wǎng)站系統(tǒng)中數(shù)據(jù)庫、服務(wù)器區(qū)目前沒有有效的對其進(jìn)行保護(hù)的安全設(shè)備，需對內(nèi)外部的網(wǎng)絡(luò)攻擊進(jìn)行識別、監(jiān)視、阻斷。有必要部署相應(yīng)的安全產(chǎn)品。3、為了解信息系統(tǒng)內(nèi)的服務(wù)器和網(wǎng)絡(luò)通訊設(shè)備的系統(tǒng)漏洞和安裝設(shè)置漏洞，了解漏洞的分布狀況和危險等級，為調(diào)整本身的安全策略提供原始數(shù)據(jù)和資料，需配置一套安全漏洞掃描系統(tǒng)定期對系統(tǒng)設(shè)備進(jìn)行漏洞掃描。4、WEB網(wǎng)站因需要被公眾訪問而暴露于外部網(wǎng)絡(luò)，容易成為黑客的攻擊目標(biāo)，有必要在WEB服務(wù)器部署相應(yīng)的安全產(chǎn)品。5、xx大學(xué)信息中心沒有專業(yè)的信息安全技術(shù)隊(duì)伍，需要選擇專業(yè)的網(wǎng)絡(luò)安全公司提供信息安全服務(wù)，保障網(wǎng)絡(luò)的整體安全。在保障網(wǎng)絡(luò)的整體安全的同時，也提高了xx大學(xué)信息中心系統(tǒng)運(yùn)維人員的整體安全意識，為今后的網(wǎng)絡(luò)安全維護(hù)工作打下堅(jiān)實(shí)基礎(chǔ)。?安全產(chǎn)品的部署詳細(xì)說明根據(jù)上節(jié)中所述的存在的主要安全問題，產(chǎn)生了很多安全需求。這些問題一部分可以通過安全產(chǎn)品來解決，安全管理上需要通過安全服務(wù)來解決。產(chǎn)品的數(shù)量和部署充分考慮經(jīng)濟(jì)性、合理性，我們在設(shè)計(jì)的時候充分考慮到了以下因素：1、由于業(yè)務(wù)系統(tǒng)重要性均為II級系統(tǒng)，部分設(shè)備（防火墻）考慮共用。2、校園網(wǎng)部分的安全防護(hù)，部分設(shè)備考慮利舊。根據(jù)xx大學(xué)信息中心網(wǎng)絡(luò)的分析，結(jié)合教育部網(wǎng)絡(luò)建設(shè)的相關(guān)安全要求，考慮到xx大學(xué)信息中心信息安全未來幾年內(nèi)的安全需求，在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上進(jìn)行合理的規(guī)劃，部署若干安全產(chǎn)品，構(gòu)建一個強(qiáng)大的網(wǎng)絡(luò)安全“全網(wǎng)防御”體系，有效保證xx大學(xué)信息中心整體的信息安全性。安全建設(shè)與整改依據(jù)按照信息系統(tǒng)等級保護(hù)標(biāo)準(zhǔn)的要求，我們方案的設(shè)計(jì)依據(jù)如下：序號*口產(chǎn)品依據(jù)標(biāo)準(zhǔn)解決問題1防火墻二級等保要求：網(wǎng)絡(luò)安全'訪問控制a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；b）應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級；.對網(wǎng)絡(luò)邊界進(jìn)行訪問控制限制.安全域的劃分2入侵防御二級等保要求：網(wǎng)絡(luò)安全\入侵防范應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。二級等保要求：主機(jī)安全\入侵防范操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補(bǔ)丁與時得到更新。提供對攻擊行為報警和阻斷。3抗拒絕服務(wù)攻擊DDOS系統(tǒng)二級等保要求：網(wǎng)絡(luò)安全\入侵防范應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。提高網(wǎng)絡(luò)邊界抗拒絕服務(wù)攻擊能力。4上網(wǎng)行為審計(jì)/監(jiān)測二級等保要求：網(wǎng)絡(luò)安全'安全審計(jì)a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；b）審計(jì)記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功與其他與審計(jì)相關(guān)的信息。二級等保要求：應(yīng)用安全'安全審計(jì)a）應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；對互聯(lián)網(wǎng)加強(qiáng)網(wǎng)頁過濾、行為監(jiān)控、流量管理、防止內(nèi)網(wǎng)泄密、防范法規(guī)風(fēng)險、加強(qiáng)互聯(lián)網(wǎng)訪問行為記錄、上網(wǎng)安全管理等。5Web應(yīng)用防護(hù)系統(tǒng)/網(wǎng)頁防篡改系統(tǒng)二級等保要求：網(wǎng)絡(luò)安全\入侵防范應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。對DMZ區(qū)和門戶網(wǎng)站系統(tǒng)進(jìn)行重點(diǎn)WEB防護(hù)，防攻擊、防篡改、防注入等。6安全運(yùn)維管理系統(tǒng)（對網(wǎng)絡(luò)設(shè)備、服務(wù)器、業(yè)務(wù)系統(tǒng)管理和實(shí)時監(jiān)測報警，日志三級等保要求：主機(jī)安全'資源控制C）應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；f）應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警；三級等保要求：網(wǎng)絡(luò)安全'結(jié)構(gòu)安全對網(wǎng)絡(luò)設(shè)備、服務(wù)器、業(yè)務(wù)系統(tǒng)進(jìn)行集中運(yùn)維管理和實(shí)時監(jiān)測報警，日志關(guān)聯(lián)性分析

關(guān)聯(lián)性分析）D）應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；等保要求：網(wǎng)絡(luò)安全'安全審計(jì)a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；c）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報表；三級等保要求：主機(jī)安全'安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；7堡壘主機(jī)（身份認(rèn)證和管理員審計(jì)系統(tǒng)，對網(wǎng)絡(luò)中的設(shè)備進(jìn)行身份驗(yàn)證管理）二級等保要求：網(wǎng)絡(luò)安全'網(wǎng)絡(luò)設(shè)備防護(hù)'a）應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；e）應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出等措施；f）當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。二級等保要求：主機(jī)安全'身份鑒別'a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別；d）當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；對服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行集中運(yùn)維管理登陸，進(jìn)行嚴(yán)格授權(quán)，并進(jìn)行視頻審計(jì)。8數(shù)據(jù)庫與業(yè)務(wù)系統(tǒng)審計(jì)（業(yè)務(wù)人員訪問系統(tǒng)的行為進(jìn)行解析、分析、記錄、取證）二級等保要求：主機(jī)安全'安全審計(jì)a）審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c）審計(jì)記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；d）應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。二級等保要求：應(yīng)用安全'安全審計(jì)a）應(yīng)提供覆蓋到每個用戶的安全審計(jì)功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；b）應(yīng)保證無法刪除、修改或覆蓋審計(jì)記錄；c）審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。對網(wǎng)絡(luò)中二級系統(tǒng)業(yè)務(wù)加強(qiáng)訪問審計(jì)和數(shù)據(jù)庫審計(jì)。9漏洞掃描二級等保要求：系統(tǒng)運(yùn)維管理'網(wǎng)絡(luò)安全管理'd）應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行與時的修補(bǔ)；二級等保要求：系統(tǒng)運(yùn)維管理'系統(tǒng)安全管理'b）應(yīng)定期進(jìn)行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞與時進(jìn)行修補(bǔ)；加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)的掃描，發(fā)現(xiàn)問題與時進(jìn)行加固。產(chǎn)品部署方案互聯(lián)網(wǎng)接入域互聯(lián)網(wǎng)DMZ區(qū)防火墻校園網(wǎng)安全管理域WAF對外服務(wù)器群核心區(qū)入侵檢測計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)行為審計(jì)漏洞掃描安全運(yùn)維平臺抗DDOS校園接入域校園接入域應(yīng)用服務(wù)器區(qū)服務(wù)器群防火墻應(yīng)用中心域數(shù)據(jù)存儲區(qū)入侵防御堡壘機(jī)身份認(rèn)證系統(tǒng)數(shù)據(jù)庫/業(yè)務(wù)審計(jì)安全管理區(qū)網(wǎng)頁防篡改門戶網(wǎng)站應(yīng)用中心域數(shù)據(jù)存儲區(qū)入侵防御堡壘機(jī)身份認(rèn)證系統(tǒng)數(shù)據(jù)庫/業(yè)務(wù)審計(jì)安全管理區(qū)網(wǎng)頁防篡改門戶網(wǎng)站數(shù)據(jù)中心區(qū)數(shù)據(jù)中心區(qū)：通過部署2臺高性能防火墻進(jìn)行4個安全域的劃分；（選配）在安全管理區(qū)部署身份認(rèn)證系統(tǒng)，建立統(tǒng)一的身份認(rèn)證平臺。實(shí)現(xiàn)對各信息系統(tǒng)的一次性認(rèn)證多系統(tǒng)操作，大大增加用戶和系統(tǒng)的安全性和簡便性。系統(tǒng)建設(shè)統(tǒng)一的用戶數(shù)據(jù)庫，對用戶權(quán)限和訪問模式等實(shí)現(xiàn)集中式的管理，簡化系統(tǒng)管理流程，提升用戶工作效率；在安全管理區(qū)部署數(shù)據(jù)庫與業(yè)務(wù)審計(jì)系統(tǒng)，對數(shù)據(jù)庫進(jìn)行時實(shí)的監(jiān)控，增強(qiáng)

數(shù)據(jù)的保密性、完整性以與可用性；?在安全管理區(qū)部署一套門戶網(wǎng)站W(wǎng)EB防火墻，采用WEB入侵異常檢測技術(shù)，對WEB應(yīng)用實(shí)施全面、深度防御，能夠有效識別、阻止日益盛行的WEB應(yīng)用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等），為WEB應(yīng)用提供保護(hù)；?在安全管理區(qū)部署兩臺IPS系統(tǒng)，以全面深入的協(xié)議分析技術(shù)為基礎(chǔ)，結(jié)合協(xié)議異常檢測、協(xié)議異常檢測、狀態(tài)檢測、關(guān)聯(lián)分析形成的檢測引擎，實(shí)時攔截數(shù)據(jù)流量中各種類型的惡意攻擊流量，把攻擊防御在單位網(wǎng)絡(luò)之外，保護(hù)單位的信息資產(chǎn)；在安全管理區(qū)部署1套網(wǎng)頁防篡改系統(tǒng)，分別安裝在網(wǎng)站服務(wù)器上，進(jìn)行頁面內(nèi)容的保護(hù)，防止非授權(quán)人員隨意篡改內(nèi)容，增強(qiáng)網(wǎng)站的安全性；在安全管理區(qū)部署1套帳號集中管理與審計(jì)系統(tǒng)（堡壘機(jī)），集中統(tǒng)一的安全管理技術(shù)和平臺，使得系統(tǒng)和安全管理人員可以對支撐系統(tǒng)的用戶和各種資源進(jìn)行集中管理、集中權(quán)限分配、集中審計(jì)，從技術(shù)上保證支撐系統(tǒng)安全策略的實(shí)施。校園網(wǎng)安全管理區(qū):在互聯(lián)網(wǎng)出口位置部署兩臺高性能防火墻，提供對網(wǎng)絡(luò)的訪問控制，同時通過DMZ區(qū)的設(shè)置，保護(hù)校方對外提供服務(wù)器的安全；（選配）在校園網(wǎng)安全管理區(qū)部署流量控制和計(jì)費(fèi)系統(tǒng)來提供對于校內(nèi)用戶訪問外網(wǎng)的流量控制和計(jì)費(fèi)統(tǒng)計(jì)的需求；在校園網(wǎng)安全管理區(qū)部署安全漏洞掃描系統(tǒng)，對內(nèi)部信息處理設(shè)施安全漏洞與其脆弱性的評估，可以使用戶了解信息系統(tǒng)內(nèi)的服務(wù)器和網(wǎng)絡(luò)通訊設(shè)備的系統(tǒng)漏洞和安裝設(shè)置漏洞，了解漏洞的分布狀況和危險等級，并針對每一個漏洞提出一個可行的安全解決方案或補(bǔ)救措施，完整地為網(wǎng)絡(luò)系統(tǒng)提供安全評估，為調(diào)整本身的安全策略提供原始數(shù)據(jù)和資料。在校園網(wǎng)安全管理區(qū)部署一臺信息安全審計(jì)系統(tǒng)，檢測用戶的非法操作，杜絕內(nèi)部人員濫用互聯(lián)網(wǎng)資源的違規(guī)行為；在校園網(wǎng)安全管理區(qū)部署一套SOC平臺，實(shí)現(xiàn)了安全設(shè)備進(jìn)行集中管理、安全策略統(tǒng)一配置、安全事件集中管理、安全風(fēng)險評估等功能，使網(wǎng)絡(luò)信息安全可控與結(jié)果可視化；在互聯(lián)網(wǎng)出口和核心交換機(jī)之間部署一套DDOS防御網(wǎng)關(guān)，用于攔截各種DDoS攻擊與變種DDoS的攻擊；在校園網(wǎng)安全管理區(qū)部署一臺IDS系統(tǒng)，方便對網(wǎng)絡(luò)情況進(jìn)行記錄、取證工作，對網(wǎng)絡(luò)上的可疑行為做出策略反應(yīng)，與時切斷入侵源,記錄攻擊行為、與時報警并通過各種途徑通知網(wǎng)絡(luò)管理員，最大幅度地保障內(nèi)部系統(tǒng)安全；在DMZ區(qū)部署一套WEB防火墻，采用怔8入侵異常檢測技術(shù)，對WEB應(yīng)用實(shí)施全面、深度防御，能夠有效識別、阻止日益盛行的WEB應(yīng)用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等），為WEB應(yīng)用提供保護(hù)。2.3信息安全管理體系信息安全管理體系設(shè)計(jì)主要是針對安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理的安全風(fēng)險分析結(jié)果，提出對應(yīng)的解決方案，通過相應(yīng)的機(jī)構(gòu)、制度的設(shè)置與安全服務(wù)的采購來降低或規(guī)避信息系統(tǒng)各個層面的安全風(fēng)險。安全管理體系建設(shè)目標(biāo)結(jié)合《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》以與《信息系統(tǒng)安全等級保護(hù)基本要求》等文件精神，為xx大學(xué)信息中心建立完善的安全管理策略，主要針對人員管理，機(jī)房管理，終端機(jī)管理，文檔管理設(shè)備和運(yùn)行等安全管理機(jī)制進(jìn)行稽核和診斷修訂。安全管理體系建設(shè)內(nèi)容為XX大學(xué)信息中心進(jìn)行信息安全決策和管理提供依據(jù)。管理制度是否健全是做好網(wǎng)絡(luò)安全的有力保障，包括機(jī)房管理制度、文檔設(shè)備管理制度、管理人員培訓(xùn)制度、系統(tǒng)使用管理制度等。對信息系統(tǒng)的各項(xiàng)管理制度進(jìn)行細(xì)致的評估，并對各項(xiàng)評估的結(jié)果進(jìn)行詳細(xì)地分析，找出原因。說明存在哪些漏洞，比如信息系統(tǒng)剛剛建立，各項(xiàng)管理規(guī)章制度均沒有健全，為今后的管理留下了隱患。經(jīng)過安全管理評估服務(wù)后，我們根據(jù)XX大學(xué)信息中心網(wǎng)絡(luò)的實(shí)際業(yè)務(wù)情況，與客戶協(xié)商討論，建立完善的安全管理策略，主要針對人員管理，機(jī)房管理，終端機(jī)管理，文檔管理設(shè)備和運(yùn)行等安全管理機(jī)制進(jìn)行稽核和診斷修訂。/安全管理制度安全管理制度建設(shè)主要有以下幾個方面：聘請專業(yè)的咨詢公司，制定安全管理制度和配套的發(fā)布、評審和修訂機(jī)制；1、人員管理包括配套的培訓(xùn)和考核機(jī)制。需要建立內(nèi)部人員管理制度和外部人員管理制度,包括：內(nèi)部工作人員管理正式編制人員，聘用人員等人員的錄用、崗位職責(zé)、保密協(xié)議簽證、教育培訓(xùn)I、保密監(jiān)管、獎懲和離崗離職的管理。外部相關(guān)人員管理內(nèi)部工作人員之后的其他人員以與設(shè)備的維修服務(wù)人員等外來人員的保密要求知會、安全控制區(qū)域隔離、攜帶物品限制和旁站陪同控制。2、物理環(huán)境與設(shè)施管理建立物理環(huán)境與設(shè)備管理制度，包括：周邊環(huán)境：包括周邊監(jiān)制、周界安防和出入控制。涉密場所：包括要害部門部位管理、無線產(chǎn)品使用、多媒體產(chǎn)品使用和安全巡防巡查、竊密檢查。保障設(shè)施：包括定期檢測檢修和線路線纜保護(hù)。3、設(shè)備與介質(zhì)管理建立設(shè)備與介質(zhì)管理制度，包括：設(shè)備與介質(zhì)的采購與選型：安全采購管理、產(chǎn)品選型管理、檢測證書查驗(yàn)和貨物交付驗(yàn)收。設(shè)備與介質(zhì)的操作與使用：安全操作使用、外出攜帶管理、設(shè)備外聯(lián)控制、介質(zhì)使用管理、安全準(zhǔn)入許可。設(shè)備與介質(zhì)的保存與保管：清查登記核對、重要設(shè)備辦公室和明確責(zé)任主體。設(shè)備與介質(zhì)的維修與報廢：申報審批、數(shù)據(jù)保護(hù)和登記備案。4、信息保密管理建立信息保密管理制度，包括：信息分類與控制：密級分類確定、密級信息問題統(tǒng)計(jì)、密級標(biāo)識添加和知悉范圍確定。用戶管理與授權(quán)：用戶清單管理、用戶標(biāo)識符管理和權(quán)限列表審查。信息系統(tǒng)安全互聯(lián)控制。安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)建設(shè)主要有以下幾個方面：設(shè)定安全管理員一職，并明確崗位的職責(zé)與任務(wù)，落實(shí)安全管理責(zé)任制。人員安全管理人員安全管理建設(shè)主要有以下幾個方面：聘請專業(yè)咨詢公司，制定安全培訓(xùn)管理方案，制度化、常態(tài)化進(jìn)行安全培訓(xùn)。進(jìn)一步規(guī)范人員錄用、人員離崗、人員考核、外部人員訪問的管理制度。對XX大學(xué)信息中心工作人員進(jìn)行安全意識培訓(xùn)，加強(qiáng)人員安全意識、避免安全管理漏洞。系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理主要有以下幾個方面：制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級備案、方案設(shè)計(jì)、產(chǎn)品采購使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級測評、安全服務(wù)等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法，并按照管理制度落實(shí)各項(xiàng)管理措施。系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理主要有以下幾個方面：聘請專業(yè)安全維護(hù)公司，對系統(tǒng)的環(huán)境和資產(chǎn)安全、設(shè)備和介質(zhì)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、備份與恢復(fù)等進(jìn)行管理和定期維護(hù)。大學(xué)智慧校園信息安全改造建設(shè)方案v第三章：項(xiàng)目產(chǎn)品清單與概算序號設(shè)備名稱性能參數(shù)數(shù)量單價小計(jì)一、數(shù)據(jù)中心1防火墻建議利舊0002IPS入侵防御系統(tǒng)機(jī)架式硬件專業(yè)ips入侵防御設(shè)備；部署方式：支持旁路監(jiān)聽、透明接入、NAT、混合模式