大學智慧校園信息安全改造建設方案v

XX大學校網(wǎng)信息安全改造建設方案TOC\o"1-5"\h\z\o"CurrentDocument"第一章：項目概述 3學院信息化現(xiàn)狀 3學院安全現(xiàn)狀分析 4學院安全威脅分析 4學院門戶網(wǎng)站 4校園網(wǎng)業(yè)務信息系統(tǒng) 5\o"CurrentDocument"第二章：項目建設方案 6信息安全體系的標準要求 6信息安全體系設計方法論 6信息安全體系架構 6信息安全等級保護整改指南 7信息安全技術體系 8信息安全區(qū)域劃分 8信息安全產(chǎn)品的部署情況說明 9安全建設與整改依據(jù) 10產(chǎn)品部署方案 13信息安全管理體系 15安全管理體系建設目標 15安全管理體系建設內(nèi)容 15\o"CurrentDocument"第三章：項目產(chǎn)品清單與概算 18大學智慧校園信息安全改造建設方案v第一章：項目概述學院信息化現(xiàn)狀近年來，隨著我國社會經(jīng)濟的不斷發(fā)展，國家對教育事業(yè)的支持和投入不斷增加，我國的高等教育從深度和廣度上都有了顯著的發(fā)展和提高。信息化、網(wǎng)絡與計算機技術的不斷發(fā)展也為教育事業(yè)提供了強有力的支持手段，為教育模式的創(chuàng)新、先進教育理念的實現(xiàn)提供了可靠的實現(xiàn)方法。2012年3月，教育部出臺了《教育信息化十年發(fā)展規(guī)劃（2011-2020年）》，明確提出“到2020年，全面完成《教育規(guī)劃綱要》所提出的教育信息化目標任務，形成與國家教育現(xiàn)代化發(fā)展目標相適應的教育信息化體系，基本建成人人可享有優(yōu)質教育資源的信息化學習環(huán)境，基本形成學習型社會的信息化支撐服務體系，基本實現(xiàn)所有地區(qū)和各級各類學校寬帶網(wǎng)絡的全面覆蓋，教育管理信息化水平顯著提高，信息技術與教育融合發(fā)展的水平顯著升。教育信息化整體上接近國際先進水平，對教育改革和發(fā)展的支撐與引領作用充分顯現(xiàn)。”教育部出臺的《高等學?！笆濉笨茖W和技術發(fā)展規(guī)劃》中也明確提出要“加快重大科研平臺建設與資源共享”，“加強教育信息化對學?？蒲小⑷瞬排囵B(yǎng)、社會服務和文化傳承的支撐”。學校信息化主要以數(shù)字化校園建設為主，主要內(nèi)容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門戶、統(tǒng)一身份認證、校園一卡通、網(wǎng)絡安全體系等；大學數(shù)字化校園建設通常先提出總體解決方案，確定數(shù)字化校園的體系結構，制定數(shù)字化校園的信息標準，以與各系統(tǒng)之間的接口標準，然后分階段實施。校園信息管理系統(tǒng)建設建設一整套校園信息管理系統(tǒng)，為實現(xiàn)“網(wǎng)上辦公、網(wǎng)上管理、網(wǎng)上教學、網(wǎng)上服務”提供全面的系統(tǒng)支持。數(shù)據(jù)中心建設建設一個為全校服務的數(shù)據(jù)中心，保證數(shù)據(jù)實時更新和高度一致。建立統(tǒng)一信息門戶建立一個信息的集成平臺，將分散、異構的應用和信息資源進行聚合，通過統(tǒng)一的訪問入口，實現(xiàn)結構化數(shù)據(jù)資源、非結構化文檔和互聯(lián)網(wǎng)資源、各種應用系統(tǒng)跨數(shù)據(jù)庫、跨系統(tǒng)平臺的無縫接入和集成。校園一卡通建設校園一卡通建設，必須滿足數(shù)字化校園的整體規(guī)劃設計，一卡通的設計要架構在校園網(wǎng)上，不僅具備消費功能，而且還要具備身份識別和校務管理功能。正確處理好一卡通與其他已有的信息系統(tǒng)（如圖書管理系統(tǒng)、人事、財務、教務等管理系統(tǒng)）的對接和系統(tǒng)數(shù)據(jù)共享問題是“數(shù)據(jù)集中”和“應用集成”的重要關鍵。網(wǎng)絡安全體系建設建立全校的網(wǎng)絡安全體系，保證校園網(wǎng)絡的安全，保證關鍵數(shù)據(jù)、關鍵應用的安全以與關鍵業(yè)務部門的安全，實現(xiàn)校園網(wǎng)絡與其應用系統(tǒng)的安全高效運行。建設數(shù)字圖書館、校園無線網(wǎng)、構建遠程教育平臺、教育資源建設等也是數(shù)字化校園建設的重要內(nèi)容。學院安全現(xiàn)狀分析xx大學位于南部、京九線上享有“南國宋城、客家搖籃、紅色故都、生態(tài)家園、稀土王國、世界鎢都、臍橙之鄉(xiāng)”等美譽，是一所校園環(huán)境優(yōu)美、文化底蘊深厚、學科門類較全、辦學特色鮮明、綜合實力較強、發(fā)展前景良好的省屬本科師范院校。在辦校建校的過程中，xx大學積極響應國家和教育部的相關指示和方針，對信息化建設給予了極大的人力、物理和財力的投入。目前達到了關鍵業(yè)務系統(tǒng)的信息化應用、全校園互聯(lián)網(wǎng)覆蓋，各校區(qū)之間的骨干網(wǎng)絡互聯(lián)。學院安全威脅分析學院門戶網(wǎng)站學校網(wǎng)站的安全威脅，包括學校門戶網(wǎng)站、學校招生網(wǎng)站、二級各院系等網(wǎng)站，由于高考、招生、學生就業(yè)等敏感時期，聚集了大量的學生與家長訪問流量，也引起黑客的關注，學校網(wǎng)站面臨的主要安全威脅有：?網(wǎng)頁被掛馬、被篡改黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到學校網(wǎng)站的管理權限，進而篡改網(wǎng)頁代碼；部分攻擊者將學校網(wǎng)站替換成黃色網(wǎng)站，影響極其惡劣。?黑客侵入校園內(nèi)網(wǎng)的跳板入侵者成功獲取WEB服務器的控制權限后，可以該服務器為跳板，對內(nèi)網(wǎng)進行探測掃描，發(fā)起攻擊，對內(nèi)網(wǎng)核心數(shù)據(jù)造成影響。校園網(wǎng)業(yè)務信息系統(tǒng)隨著校園網(wǎng)信息化的逐步深入，業(yè)務系統(tǒng)眾多，“一卡通”、教學信息管理系統(tǒng)、電子圖書館、教育資源庫等信息化業(yè)務系統(tǒng)均普遍的被各大學校采用，而這些系統(tǒng)由于管理與防護不到位，目前面臨著較嚴重的安全威脅：業(yè)務系統(tǒng)缺乏必要的入侵防護手段學校網(wǎng)絡規(guī)模擴張迅速，網(wǎng)絡帶寬與處理能力都有很大的提升，但是管理和維護人員方面的投入明顯不足，無暇顧與、也沒有條件管理和維護數(shù)萬臺計算機的安全。一旦學生進行黑客攻擊，無法阻斷攻擊并發(fā)現(xiàn)攻擊源，邊界缺乏必要的隔離和審計措施，出現(xiàn)問題不方便定位，追查取證。系統(tǒng)漏洞缺乏必要的控制措施校園網(wǎng)數(shù)據(jù)中心內(nèi)的系統(tǒng)應用眾多、服務器眾多，管理與維護方式也不盡相同，無法做到所有的系統(tǒng)實施統(tǒng)一的漏洞管理政策，缺乏自動化的高效檢查工具和控制手段。業(yè)務系統(tǒng)權限控制不合理，有安全隱患由于學校內(nèi)應用眾多，開發(fā)模式多樣，因此難免會造成權限設計時考慮不周，造成權限漏洞，或給攻擊者以機會；學生在內(nèi)網(wǎng)中即可訪問各種業(yè)務資源，缺乏必要的控制措施；校園“一卡通”系統(tǒng)數(shù)據(jù)有可能被篡改，賬號與資金缺乏安全保障；由于重要數(shù)據(jù)庫的訪問缺乏審計手段，一旦出現(xiàn)數(shù)據(jù)篡改現(xiàn)象，無法定位問題。大學智慧校園信息安全改造建設方案v第二章：項目建設方案引入知名且具有權威性的第三方安全服務機構為xx大學信息中心提供專業(yè)的、先進和完善的整體安全服務體系，并協(xié)助xx大學信息中心建立相應的信息安全管理辦法，加強內(nèi)部培訓與管理，建立完善的信息安全管理系統(tǒng)，加強身份認證、門戶網(wǎng)站和數(shù)據(jù)中心的安全體系建設，提高xx大學信息中心整體的信息安全意識。建議人事、教務、OA、校園網(wǎng)等信息系統(tǒng)按照信息系統(tǒng)等級保護II級標準的要求進行安全規(guī)劃整改，以達到教育部的安全要求。建議財務、一卡通信息系統(tǒng)按照信息系統(tǒng)等級保護III級標準的要求進行安全規(guī)劃整改，以達到教育部的安全要求。技術方面的網(wǎng)絡安全、主機安全、網(wǎng)站安全、數(shù)據(jù)庫安全主要通過安全產(chǎn)品的部署來解決。管理方面安全主要通過安全服務來解決。信息安全體系的標準要求信息安全體系設計方法論安全是相對的，不安全是絕對的。安全是根據(jù)需求規(guī)劃出來的，不是出了問題做應急處理出來的。安全管理比安全技術更重要。2.1.3信息安全體系架構信息安全體系三層架構模型如下圖：信息安全系統(tǒng)是整體的、動態(tài)的。信息安全系統(tǒng)符合MPDRR模型(M-management,P-protect，D-detection，R1-responce，R2-recovery)，因此，要真正實現(xiàn)一個系統(tǒng)的安全，就需要建立一個從保護、檢測、響應到恢復的一套全方位的安全保障體系：我們提供的信息安全方案正是基于MPDRR模型構建的，符合信息安全系統(tǒng)整體性和動態(tài)性的特點。它集防火墻、入侵檢測、安全掃描、安全審計等防御于一體，將多種信息安全技術和優(yōu)秀信息安全產(chǎn)品在技術上有機集成，實現(xiàn)安全產(chǎn)品之間的互通與聯(lián)動，是一個統(tǒng)一的、可擴展的安全體系平臺。2.1.3信息安全等級保護整改指南《信息安全等級保護安全建設整改工作指南》對等保整改的思路如下圖：

信息系統(tǒng)安全等舞保護基本要求一安全管理建設整改￥安全技術建設整改安全管理機構t?■+崗位設置丫?一人員配備y*+授權和審批」?+溝通和合作」審核和檢查j■+人員錄用P■+人員離崗￥T人員考核*■1+教育和培訓」卡人員訪問管理+物理安全t?-機房位置選擇1?T防火防雷1?-防水防潮1?T防靜電」?-物理訪問控制,?-防超竊防破壞??T溫濕度控制U?T電力供應1?T電磁防護1主機安全t?f身份鑒別*■1?f訪問控制+J?f安全審計+J?f入侵防范裂?+病毒防護丫?一資源控制y?f安全標記+J?一剩余信息保護j安全管理制度■?/管理制度J??制定和發(fā)布」??評審和修訂」系統(tǒng)運維管理t?T環(huán)境管理裂T資產(chǎn)管理?+介質管理FT設備營理*■1?卡監(jiān)控管理p卡安全管理中心+?卡網(wǎng)絡安全管理+?T系統(tǒng)安全管理，?T變更管理*J?+備份恢復管理+?T事件處置爐?/應急響應P?+區(qū)域劃分J??邊界防護P?―訪問控制/+安全審計P?+入侵防范J+病毒防護J??逋信保護J應用安全t?f身份鑒別j?f訪問控制+j?f安全審計+j?f通信完整性+■1?f通信保密性j?f軟件容錯*■1?一資源控制y安全標記+J*+剩余信息保護￥?一抗抵賴）系統(tǒng)建設管理牝?一定線備案y+安全方案設計￥4產(chǎn)品采購使用。一自行軟件開發(fā)u一外包軟件開發(fā)￥?一工程實施y?一測試驗收y一系統(tǒng)交付丫一安全服箔選擇j?+等線測評y數(shù)據(jù)安全與備份恢復?*數(shù)據(jù)保密性*?*數(shù)據(jù)完整性。?*備份與恢復*J參考以上模型，針對等級保護的技術要求和管理要求，進行相應的安全技術體系和安全管理體系的建立，從而使信息系統(tǒng)達到等級保護要求。2.2信息安全技術體系信息安全技術體系設計主要是針對網(wǎng)絡安全、主機安全、網(wǎng)站安全、數(shù)據(jù)庫安全的安全風險分析結果，提出對應的解決方案，通過部署相應的安全產(chǎn)品與策略來降低或規(guī)避信息系統(tǒng)各個層面的安全風險。信息安全區(qū)域劃分?校園網(wǎng)按著重要程度和業(yè)務處理的不同，分為核心區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、應用服務器區(qū)、DMZ區(qū)、校園網(wǎng)接入?yún)^(qū)、校園網(wǎng)安全管理區(qū)，針對不同區(qū)域進行不同的安全策略和部署。?數(shù)據(jù)中心網(wǎng)分為數(shù)據(jù)存儲區(qū)、應用中心區(qū)、安全管理區(qū)、門戶網(wǎng)站區(qū)，針對不同區(qū)域進行不同的安全策略和部署。信息安全產(chǎn)品的部署情況說明?安全產(chǎn)品部署的必要性在病毒和黑客日益增多的信息社會，信息系統(tǒng)的安全問題非常嚴峻，XX大學信息中心數(shù)據(jù)非常重要，所建設的應用系統(tǒng)、網(wǎng)站與數(shù)據(jù)資源，一旦被黑客攻擊，將會帶來嚴重的后果與負面影響，必須加強信息系統(tǒng)的安全建設。1、業(yè)務系統(tǒng)中數(shù)據(jù)庫、服務器區(qū)是整個業(yè)務系統(tǒng)的核心，訪問控制措施不足，內(nèi)部資源可能會被非授權人員訪問，保密性、完整性與可用性得不到保證。數(shù)據(jù)的重要性是信息系統(tǒng)價值的核心，目前在數(shù)據(jù)安全方面沒有相應的審計手段，無法監(jiān)控對數(shù)據(jù)的操作，發(fā)現(xiàn)問題后也無法查找原因。有必要部署相應的安全產(chǎn)品。2、門戶網(wǎng)站系統(tǒng)中數(shù)據(jù)庫、服務器區(qū)目前沒有有效的對其進行保護的安全設備，需對內(nèi)外部的網(wǎng)絡攻擊進行識別、監(jiān)視、阻斷。有必要部署相應的安全產(chǎn)品。3、為了解信息系統(tǒng)內(nèi)的服務器和網(wǎng)絡通訊設備的系統(tǒng)漏洞和安裝設置漏洞，了解漏洞的分布狀況和危險等級，為調整本身的安全策略提供原始數(shù)據(jù)和資料，需配置一套安全漏洞掃描系統(tǒng)定期對系統(tǒng)設備進行漏洞掃描。4、WEB網(wǎng)站因需要被公眾訪問而暴露于外部網(wǎng)絡，容易成為黑客的攻擊目標，有必要在WEB服務器部署相應的安全產(chǎn)品。5、xx大學信息中心沒有專業(yè)的信息安全技術隊伍，需要選擇專業(yè)的網(wǎng)絡安全公司提供信息安全服務，保障網(wǎng)絡的整體安全。在保障網(wǎng)絡的整體安全的同時，也提高了xx大學信息中心系統(tǒng)運維人員的整體安全意識，為今后的網(wǎng)絡安全維護工作打下堅實基礎。?安全產(chǎn)品的部署詳細說明根據(jù)上節(jié)中所述的存在的主要安全問題，產(chǎn)生了很多安全需求。這些問題一部分可以通過安全產(chǎn)品來解決，安全管理上需要通過安全服務來解決。產(chǎn)品的數(shù)量和部署充分考慮經(jīng)濟性、合理性，我們在設計的時候充分考慮到了以下因素：1、由于業(yè)務系統(tǒng)重要性均為II級系統(tǒng)，部分設備（防火墻）考慮共用。2、校園網(wǎng)部分的安全防護，部分設備考慮利舊。根據(jù)xx大學信息中心網(wǎng)絡的分析，結合教育部網(wǎng)絡建設的相關安全要求，考慮到xx大學信息中心信息安全未來幾年內(nèi)的安全需求，在現(xiàn)有網(wǎng)絡的基礎上進行合理的規(guī)劃，部署若干安全產(chǎn)品，構建一個強大的網(wǎng)絡安全“全網(wǎng)防御”體系，有效保證xx大學信息中心整體的信息安全性。安全建設與整改依據(jù)按照信息系統(tǒng)等級保護標準的要求，我們方案的設計依據(jù)如下：序號*口產(chǎn)品依據(jù)標準解決問題1防火墻二級等保要求：網(wǎng)絡安全'訪問控制a）應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能；b）應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級；.對網(wǎng)絡邊界進行訪問控制限制.安全域的劃分2入侵防御二級等保要求：網(wǎng)絡安全\入侵防范應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等。二級等保要求：主機安全\入侵防范操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁與時得到更新。提供對攻擊行為報警和阻斷。3抗拒絕服務攻擊DDOS系統(tǒng)二級等保要求：網(wǎng)絡安全\入侵防范應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等。提高網(wǎng)絡邊界抗拒絕服務攻擊能力。4上網(wǎng)行為審計/監(jiān)測二級等保要求：網(wǎng)絡安全'安全審計a）應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄；b）審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功與其他與審計相關的信息。二級等保要求：應用安全'安全審計a）應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；對互聯(lián)網(wǎng)加強網(wǎng)頁過濾、行為監(jiān)控、流量管理、防止內(nèi)網(wǎng)泄密、防范法規(guī)風險、加強互聯(lián)網(wǎng)訪問行為記錄、上網(wǎng)安全管理等。5Web應用防護系統(tǒng)/網(wǎng)頁防篡改系統(tǒng)二級等保要求：網(wǎng)絡安全\入侵防范應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等。對DMZ區(qū)和門戶網(wǎng)站系統(tǒng)進行重點WEB防護，防攻擊、防篡改、防注入等。6安全運維管理系統(tǒng)（對網(wǎng)絡設備、服務器、業(yè)務系統(tǒng)管理和實時監(jiān)測報警，日志三級等保要求：主機安全'資源控制C）應對重要服務器進行監(jiān)視，包括監(jiān)視服務器的CPU、硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況；f）應能夠對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警；三級等保要求：網(wǎng)絡安全'結構安全對網(wǎng)絡設備、服務器、業(yè)務系統(tǒng)進行集中運維管理和實時監(jiān)測報警，日志關聯(lián)性分析

關聯(lián)性分析）D）應繪制與當前運行情況相符的網(wǎng)絡拓撲結構圖；等保要求：網(wǎng)絡安全'安全審計a）應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄；c）應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；三級等保要求：主機安全'安全審計b）審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件；7堡壘主機（身份認證和管理員審計系統(tǒng)，對網(wǎng)絡中的設備進行身份驗證管理）二級等保要求：網(wǎng)絡安全'網(wǎng)絡設備防護'a）應對登錄網(wǎng)絡設備的用戶進行身份鑒別；e）應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施；f）當對網(wǎng)絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。二級等保要求：主機安全'身份鑒別'a）應對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別；d）當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽；對服務器、網(wǎng)絡設備進行集中運維管理登陸，進行嚴格授權，并進行視頻審計。8數(shù)據(jù)庫與業(yè)務系統(tǒng)審計（業(yè)務人員訪問系統(tǒng)的行為進行解析、分析、記錄、取證）二級等保要求：主機安全'安全審計a）審計范圍應覆蓋到服務器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b）審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件；c）審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；d）應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。二級等保要求：應用安全'安全審計a）應提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；b）應保證無法刪除、修改或覆蓋審計記錄；c）審計記錄的內(nèi)容至少應包括事件日期、時間、發(fā)起者信息、類型、描述和結果等。對網(wǎng)絡中二級系統(tǒng)業(yè)務加強訪問審計和數(shù)據(jù)庫審計。9漏洞掃描二級等保要求：系統(tǒng)運維管理'網(wǎng)絡安全管理'd）應定期對網(wǎng)絡系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)安全漏洞進行與時的修補；二級等保要求：系統(tǒng)運維管理'系統(tǒng)安全管理'b）應定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞與時進行修補；加強對網(wǎng)絡系統(tǒng)的掃描，發(fā)現(xiàn)問題與時進行加固。產(chǎn)品部署方案互聯(lián)網(wǎng)接入域互聯(lián)網(wǎng)DMZ區(qū)防火墻校園網(wǎng)安全管理域WAF對外服務器群核心區(qū)入侵檢測計費系統(tǒng)網(wǎng)絡行為審計漏洞掃描安全運維平臺抗DDOS校園接入域校園接入域應用服務器區(qū)服務器群防火墻應用中心域數(shù)據(jù)存儲區(qū)入侵防御堡壘機身份認證系統(tǒng)數(shù)據(jù)庫/業(yè)務審計安全管理區(qū)網(wǎng)頁防篡改門戶網(wǎng)站應用中心域數(shù)據(jù)存儲區(qū)入侵防御堡壘機身份認證系統(tǒng)數(shù)據(jù)庫/業(yè)務審計安全管理區(qū)網(wǎng)頁防篡改門戶網(wǎng)站數(shù)據(jù)中心區(qū)數(shù)據(jù)中心區(qū)：通過部署2臺高性能防火墻進行4個安全域的劃分；（選配）在安全管理區(qū)部署身份認證系統(tǒng)，建立統(tǒng)一的身份認證平臺。實現(xiàn)對各信息系統(tǒng)的一次性認證多系統(tǒng)操作，大大增加用戶和系統(tǒng)的安全性和簡便性。系統(tǒng)建設統(tǒng)一的用戶數(shù)據(jù)庫，對用戶權限和訪問模式等實現(xiàn)集中式的管理，簡化系統(tǒng)管理流程，提升用戶工作效率；在安全管理區(qū)部署數(shù)據(jù)庫與業(yè)務審計系統(tǒng)，對數(shù)據(jù)庫進行時實的監(jiān)控，增強

數(shù)據(jù)的保密性、完整性以與可用性；?在安全管理區(qū)部署一套門戶網(wǎng)站W(wǎng)EB防火墻，采用WEB入侵異常檢測技術，對WEB應用實施全面、深度防御，能夠有效識別、阻止日益盛行的WEB應用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等），為WEB應用提供保護；?在安全管理區(qū)部署兩臺IPS系統(tǒng)，以全面深入的協(xié)議分析技術為基礎，結合協(xié)議異常檢測、協(xié)議異常檢測、狀態(tài)檢測、關聯(lián)分析形成的檢測引擎，實時攔截數(shù)據(jù)流量中各種類型的惡意攻擊流量，把攻擊防御在單位網(wǎng)絡之外，保護單位的信息資產(chǎn)；在安全管理區(qū)部署1套網(wǎng)頁防篡改系統(tǒng)，分別安裝在網(wǎng)站服務器上，進行頁面內(nèi)容的保護，防止非授權人員隨意篡改內(nèi)容，增強網(wǎng)站的安全性；在安全管理區(qū)部署1套帳號集中管理與審計系統(tǒng)（堡壘機），集中統(tǒng)一的安全管理技術和平臺，使得系統(tǒng)和安全管理人員可以對支撐系統(tǒng)的用戶和各種資源進行集中管理、集中權限分配、集中審計，從技術上保證支撐系統(tǒng)安全策略的實施。校園網(wǎng)安全管理區(qū):在互聯(lián)網(wǎng)出口位置部署兩臺高性能防火墻，提供對網(wǎng)絡的訪問控制，同時通過DMZ區(qū)的設置，保護校方對外提供服務器的安全；（選配）在校園網(wǎng)安全管理區(qū)部署流量控制和計費系統(tǒng)來提供對于校內(nèi)用戶訪問外網(wǎng)的流量控制和計費統(tǒng)計的需求；在校園網(wǎng)安全管理區(qū)部署安全漏洞掃描系統(tǒng)，對內(nèi)部信息處理設施安全漏洞與其脆弱性的評估，可以使用戶了解信息系統(tǒng)內(nèi)的服務器和網(wǎng)絡通訊設備的系統(tǒng)漏洞和安裝設置漏洞，了解漏洞的分布狀況和危險等級，并針對每一個漏洞提出一個可行的安全解決方案或補救措施，完整地為網(wǎng)絡系統(tǒng)提供安全評估，為調整本身的安全策略提供原始數(shù)據(jù)和資料。在校園網(wǎng)安全管理區(qū)部署一臺信息安全審計系統(tǒng)，檢測用戶的非法操作，杜絕內(nèi)部人員濫用互聯(lián)網(wǎng)資源的違規(guī)行為；在校園網(wǎng)安全管理區(qū)部署一套SOC平臺，實現(xiàn)了安全設備進行集中管理、安全策略統(tǒng)一配置、安全事件集中管理、安全風險評估等功能，使網(wǎng)絡信息安全可控與結果可視化；在互聯(lián)網(wǎng)出口和核心交換機之間部署一套DDOS防御網(wǎng)關，用于攔截各種DDoS攻擊與變種DDoS的攻擊；在校園網(wǎng)安全管理區(qū)部署一臺IDS系統(tǒng)，方便對網(wǎng)絡情況進行記錄、取證工作，對網(wǎng)絡上的可疑行為做出策略反應，與時切斷入侵源,記錄攻擊行為、與時報警并通過各種途徑通知網(wǎng)絡管理員，最大幅度地保障內(nèi)部系統(tǒng)安全；在DMZ區(qū)部署一套WEB防火墻，采用怔8入侵異常檢測技術，對WEB應用實施全面、深度防御，能夠有效識別、阻止日益盛行的WEB應用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等），為WEB應用提供保護。2.3信息安全管理體系信息安全管理體系設計主要是針對安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理的安全風險分析結果，提出對應的解決方案，通過相應的機構、制度的設置與安全服務的采購來降低或規(guī)避信息系統(tǒng)各個層面的安全風險。安全管理體系建設目標結合《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護測評準則》以與《信息系統(tǒng)安全等級保護基本要求》等文件精神，為xx大學信息中心建立完善的安全管理策略，主要針對人員管理，機房管理，終端機管理，文檔管理設備和運行等安全管理機制進行稽核和診斷修訂。安全管理體系建設內(nèi)容為XX大學信息中心進行信息安全決策和管理提供依據(jù)。管理制度是否健全是做好網(wǎng)絡安全的有力保障，包括機房管理制度、文檔設備管理制度、管理人員培訓制度、系統(tǒng)使用管理制度等。對信息系統(tǒng)的各項管理制度進行細致的評估，并對各項評估的結果進行詳細地分析，找出原因。說明存在哪些漏洞，比如信息系統(tǒng)剛剛建立，各項管理規(guī)章制度均沒有健全，為今后的管理留下了隱患。經(jīng)過安全管理評估服務后，我們根據(jù)XX大學信息中心網(wǎng)絡的實際業(yè)務情況，與客戶協(xié)商討論，建立完善的安全管理策略，主要針對人員管理，機房管理，終端機管理，文檔管理設備和運行等安全管理機制進行稽核和診斷修訂。/安全管理制度安全管理制度建設主要有以下幾個方面：聘請專業(yè)的咨詢公司，制定安全管理制度和配套的發(fā)布、評審和修訂機制；1、人員管理包括配套的培訓和考核機制。需要建立內(nèi)部人員管理制度和外部人員管理制度,包括：內(nèi)部工作人員管理正式編制人員，聘用人員等人員的錄用、崗位職責、保密協(xié)議簽證、教育培訓I、保密監(jiān)管、獎懲和離崗離職的管理。外部相關人員管理內(nèi)部工作人員之后的其他人員以與設備的維修服務人員等外來人員的保密要求知會、安全控制區(qū)域隔離、攜帶物品限制和旁站陪同控制。2、物理環(huán)境與設施管理建立物理環(huán)境與設備管理制度，包括：周邊環(huán)境：包括周邊監(jiān)制、周界安防和出入控制。涉密場所：包括要害部門部位管理、無線產(chǎn)品使用、多媒體產(chǎn)品使用和安全巡防巡查、竊密檢查。保障設施：包括定期檢測檢修和線路線纜保護。3、設備與介質管理建立設備與介質管理制度，包括：設備與介質的采購與選型：安全采購管理、產(chǎn)品選型管理、檢測證書查驗和貨物交付驗收。設備與介質的操作與使用：安全操作使用、外出攜帶管理、設備外聯(lián)控制、介質使用管理、安全準入許可。設備與介質的保存與保管：清查登記核對、重要設備辦公室和明確責任主體。設備與介質的維修與報廢：申報審批、數(shù)據(jù)保護和登記備案。4、信息保密管理建立信息保密管理制度，包括：信息分類與控制：密級分類確定、密級信息問題統(tǒng)計、密級標識添加和知悉范圍確定。用戶管理與授權：用戶清單管理、用戶標識符管理和權限列表審查。信息系統(tǒng)安全互聯(lián)控制。安全管理機構安全管理機構建設主要有以下幾個方面：設定安全管理員一職，并明確崗位的職責與任務，落實安全管理責任制。人員安全管理人員安全管理建設主要有以下幾個方面：聘請專業(yè)咨詢公司，制定安全培訓管理方案，制度化、常態(tài)化進行安全培訓。進一步規(guī)范人員錄用、人員離崗、人員考核、外部人員訪問的管理制度。對XX大學信息中心工作人員進行安全意識培訓，加強人員安全意識、避免安全管理漏洞。系統(tǒng)建設管理系統(tǒng)建設管理主要有以下幾個方面：制定系統(tǒng)建設相關的管理制度，明確系統(tǒng)定級備案、方案設計、產(chǎn)品采購使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務等內(nèi)容的管理責任部門、具體管理內(nèi)容和控制方法，并按照管理制度落實各項管理措施。系統(tǒng)運維管理系統(tǒng)運維管理主要有以下幾個方面：聘請專業(yè)安全維護公司，對系統(tǒng)的環(huán)境和資產(chǎn)安全、設備和介質安全、網(wǎng)絡安全、系統(tǒng)安全、備份與恢復等進行管理和定期維護。大學智慧校園信息安全改造建設方案v第三章：項目產(chǎn)品清單與概算序號設備名稱性能參數(shù)數(shù)量單價小計一、數(shù)據(jù)中心1防火墻建議利舊0002IPS入侵防御系統(tǒng)機架式硬件專業(yè)ips入侵防御設備；部署方式：支持旁路監(jiān)聽、透明接入、NAT、混合模式