XX大學(xué)智慧校園信息安全改造建設(shè)方案

XX大學(xué)智慧校園信息安全改造建設(shè)方案31、1學(xué)院信息化現(xiàn)狀31、2學(xué)院安全現(xiàn)狀分析41、3學(xué)院安全威脅分析41、3、1學(xué)院門戶網(wǎng)站41、3、2校園網(wǎng)業(yè)務(wù)信息系統(tǒng)5第二章：項(xiàng)目建設(shè)方案62、1信息安全體系的標(biāo)準(zhǔn)要求62、1、1信息安全體系設(shè)計(jì)方法論62、1、3信息安全體系架構(gòu)62、1、3信息安全等級(jí)保護(hù)整改指南72、2信息安全技術(shù)體系82、2、1信息安全區(qū)域劃分82、2、2信息安全產(chǎn)品的部署情況說明92、2、3安全建設(shè)與整改依據(jù)102、2、4產(chǎn)品部署方案132、3信息安全管理體系152、3、1安全管理體系建設(shè)目標(biāo)152、3、2安全管理體系建設(shè)內(nèi)容15第三章：項(xiàng)目產(chǎn)品清單與概算18第一章：項(xiàng)目概述1、1學(xué)院信息化現(xiàn)狀近年來，隨著我國社會(huì)經(jīng)濟(jì)的不斷發(fā)展，國家對(duì)教育事業(yè)的支持和投入不斷增加，我國的高等教育從深度和廣度上都有了顯著的發(fā)展和提高。信息化、網(wǎng)絡(luò)與計(jì)算機(jī)技術(shù)的不斷發(fā)展也為教育事業(yè)提供了強(qiáng)有力的支持手段，為教育模式的創(chuàng)新、先進(jìn)教育理念的實(shí)現(xiàn)提供了可靠的實(shí)現(xiàn)方法。年3月，教育部出臺(tái)了《教育信息化年發(fā)展規(guī)劃（xx-2020年）》，明確提出“到2020年，全面完成《教育規(guī)劃綱要》所提出的教育信息化目標(biāo)任務(wù)，形成與國家教育現(xiàn)代化發(fā)展目標(biāo)相適應(yīng)的教育信息化體系，基本建成人人可享有優(yōu)質(zhì)教育資源的信息化學(xué)習(xí)環(huán)境，基本形成學(xué)習(xí)型社會(huì)的信息化支撐服務(wù)體系，基本實(shí)現(xiàn)所有地區(qū)和各級(jí)各類學(xué)校寬帶網(wǎng)絡(luò)的全面覆蓋，教育管理信息化水平顯著提高，信息技術(shù)與教育融合發(fā)展的水平顯著升。教育信息化整體上接近國際先進(jìn)水平，對(duì)教育改革和發(fā)展的支撐與引領(lǐng)作用充分顯現(xiàn)?！苯逃砍雠_(tái)的《高等學(xué)校“二五”科學(xué)和技術(shù)發(fā)展規(guī)劃》中也明確提出要“加快重大科研平臺(tái)建設(shè)與資源共享”，“加強(qiáng)教育信息化對(duì)學(xué)?？蒲?、人才培養(yǎng)、社會(huì)服務(wù)和文化傳承的支撐”。學(xué)校信息化主要以數(shù)字化校園建設(shè)為主，主要內(nèi)容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門戶、統(tǒng)一身份認(rèn)證、校園一卡通、網(wǎng)絡(luò)安全體系等；大學(xué)數(shù)字化校園建設(shè)通常先提出總體解決方案，確定數(shù)字化校園的體系結(jié)構(gòu)，制定數(shù)字化校園的信息標(biāo)準(zhǔn)，以及各系統(tǒng)之間的接口標(biāo)準(zhǔn)，然后分階段實(shí)施。校園信息管理系統(tǒng)建設(shè)建設(shè)一整套校園信息管理系統(tǒng)，為實(shí)現(xiàn)“網(wǎng)上辦公、網(wǎng)上管理、網(wǎng)上教學(xué)、網(wǎng)上服務(wù)”提供全面的系統(tǒng)支持。數(shù)據(jù)中心建設(shè)建設(shè)一個(gè)為全校服務(wù)的數(shù)據(jù)中心，保證數(shù)據(jù)實(shí)時(shí)更新和高度一致。建立統(tǒng)一信息門戶建立一個(gè)信息的集成平臺(tái)，將分散、異構(gòu)的應(yīng)用和信息資源進(jìn)行聚合，通過統(tǒng)一的訪問入口，實(shí)現(xiàn)結(jié)構(gòu)化數(shù)據(jù)資源、非結(jié)構(gòu)化文檔和互聯(lián)網(wǎng)資源、各種應(yīng)用系統(tǒng)跨數(shù)據(jù)庫、跨系統(tǒng)平臺(tái)的無縫接入和集成。校園一卡通建設(shè)校園一卡通建設(shè)，必須滿足數(shù)字化校園的整體規(guī)劃設(shè)計(jì)，一卡通的設(shè)計(jì)要架構(gòu)在校園網(wǎng)上，不僅具備消費(fèi)功能，而且還要具備身份識(shí)別和校務(wù)管理功能。正確處理好一卡通與其他已有的信息系統(tǒng)（如圖書管理系統(tǒng)、人事、財(cái)務(wù)、教務(wù)等管理系統(tǒng)）的對(duì)接和系統(tǒng)數(shù)據(jù)共享問題是“數(shù)據(jù)集中”和“應(yīng)用集成”的重要關(guān)鍵。網(wǎng)絡(luò)安全體系建設(shè)建立全校的網(wǎng)絡(luò)安全體系，保證校園網(wǎng)絡(luò)的安全，保證關(guān)鍵數(shù)據(jù)、關(guān)鍵應(yīng)用的安全以及關(guān)鍵業(yè)務(wù)部門的安全，實(shí)現(xiàn)校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)的安全高效運(yùn)行。建設(shè)數(shù)字圖書館、校園無線網(wǎng)、構(gòu)建遠(yuǎn)程教育平臺(tái)、教育資源建設(shè)等也是數(shù)字化校園建設(shè)的重要內(nèi)容。1、2學(xué)院安全現(xiàn)狀分析xx大學(xué)位于南部、京九線上享有“南國宋城、客家搖籃、紅色故都、生態(tài)家園、稀土王國、世界鎢都、臍橙之鄉(xiāng)”等美譽(yù)，是一所校園環(huán)境優(yōu)美、文化底蘊(yùn)深厚、學(xué)科門類較全、辦學(xué)特色鮮明、綜合實(shí)力較強(qiáng)、發(fā)展前景良好的省屬本科師范院校。在辦校建校的過程中，xx大學(xué)積極響應(yīng)國家和教育部的相關(guān)指示和方針，對(duì)信息化建設(shè)給予了極大的人力、物理和財(cái)力的投入。目前達(dá)到了關(guān)鍵業(yè)務(wù)系統(tǒng)的信息化應(yīng)用、全校園互聯(lián)網(wǎng)覆蓋，各校區(qū)之間的骨干網(wǎng)絡(luò)互聯(lián)。1、3學(xué)院安全威脅分析1、3、1學(xué)院門戶網(wǎng)站學(xué)校網(wǎng)站的安全威脅，包括學(xué)校門戶網(wǎng)站、學(xué)校招生網(wǎng)站、二級(jí)各院系等網(wǎng)站，由于高考、招生、學(xué)生就業(yè)等敏感時(shí)期，聚集了大量的學(xué)生及家長訪問流量，也引起黑客的關(guān)注，學(xué)校網(wǎng)站面臨的主要安全威脅有：網(wǎng)頁被掛馬、被篡改黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到學(xué)校網(wǎng)站的管理權(quán)限，進(jìn)而篡改網(wǎng)頁代碼；部分攻擊者將學(xué)校網(wǎng)站替換成黃色網(wǎng)站，影響極其惡劣。黑客侵入校園內(nèi)網(wǎng)的跳板入侵者成功獲取WEB服務(wù)器的控制權(quán)限后，可以該服務(wù)器為跳板，對(duì)內(nèi)網(wǎng)進(jìn)行探測掃描，發(fā)起攻擊，對(duì)內(nèi)網(wǎng)核心數(shù)據(jù)造成影響。1、3、2校園網(wǎng)業(yè)務(wù)信息系統(tǒng)隨著校園網(wǎng)信息化的逐步深入，業(yè)務(wù)系統(tǒng)眾多，“一卡通”、教學(xué)信息管理系統(tǒng)、電子圖書館、教育資源庫等信息化業(yè)務(wù)系統(tǒng)均普遍的被各大學(xué)校采用，而這些系統(tǒng)由于管理及防護(hù)不到位，目前面臨著較嚴(yán)重的安全威脅：業(yè)務(wù)系統(tǒng)缺乏必要的入侵防護(hù)手段學(xué)校網(wǎng)絡(luò)規(guī)模擴(kuò)張迅速，網(wǎng)絡(luò)帶寬及處理能力都有很大的提升，但是管理和維護(hù)人員方面的投入明顯不足，無暇顧及、也沒有條件管理和維護(hù)數(shù)萬臺(tái)計(jì)算機(jī)的安全。一旦學(xué)生進(jìn)行黑客攻擊，無法阻斷攻擊并發(fā)現(xiàn)攻擊源，邊界缺乏必要的隔離和審計(jì)措施，出現(xiàn)問題不方便定位，追查取證。系統(tǒng)漏洞缺乏必要的控制措施校園網(wǎng)數(shù)據(jù)中心內(nèi)的系統(tǒng)應(yīng)用眾多、服務(wù)器眾多，管理及維護(hù)方式也不盡相同，無法做到所有的系統(tǒng)實(shí)施統(tǒng)一的漏洞管理政策，缺乏自動(dòng)化的高效檢查工具和控制手段。業(yè)務(wù)系統(tǒng)權(quán)限控制不合理，有安全隱患由于學(xué)校內(nèi)應(yīng)用眾多，開發(fā)模式多樣，因此難免會(huì)造成權(quán)限設(shè)計(jì)時(shí)考慮不周，造成權(quán)限漏洞，或給攻擊者以機(jī)會(huì)；學(xué)生在內(nèi)網(wǎng)中即可訪問各種業(yè)務(wù)資源，缺乏必要的控制措施；校園“一卡通”系統(tǒng)數(shù)據(jù)有可能被篡改，賬號(hào)及資金缺乏安全保障；由于重要數(shù)據(jù)庫的訪問缺乏審計(jì)手段，一旦出現(xiàn)數(shù)據(jù)篡改現(xiàn)象，無法定位問題。第二章：項(xiàng)目建設(shè)方案引入知名且具有權(quán)威性的第三方安全服務(wù)機(jī)構(gòu)為xx大學(xué)信息中心提供專業(yè)的、先進(jìn)和完善的整體安全服務(wù)體系，并協(xié)助xx大學(xué)信息中心建立相應(yīng)的信息安全管理辦法，加強(qiáng)內(nèi)部培訓(xùn)及管理，建立完善的信息安全管理系統(tǒng)，加強(qiáng)身份認(rèn)證、門戶網(wǎng)站和數(shù)據(jù)中心的安全體系建設(shè)，提高xx大學(xué)信息中心整體的信息安全意識(shí)。建議人事、教務(wù)、OA、校園網(wǎng)等信息系統(tǒng)按照信息系統(tǒng)等級(jí)保護(hù)II級(jí)標(biāo)準(zhǔn)的要求進(jìn)行安全規(guī)劃整改，以達(dá)到教育部的安全要求。建議財(cái)務(wù)、一卡通信息系統(tǒng)按照信息系統(tǒng)等級(jí)保護(hù)III級(jí)標(biāo)準(zhǔn)的要求進(jìn)行安全規(guī)劃整改，以達(dá)到教育部的安全要求。技術(shù)方面的網(wǎng)絡(luò)安全、主機(jī)安全、網(wǎng)站安全、數(shù)據(jù)庫安全主要通過安全產(chǎn)品的部署來解決。管理方面安全主要通過安全服務(wù)來解決。2、1信息安全體系的標(biāo)準(zhǔn)要求2、1、1信息安全體系設(shè)計(jì)方法論u安全是相對(duì)的，不安全是絕對(duì)的。u安全是根據(jù)需求規(guī)劃出來的，不是出了問題做應(yīng)急處理出來的。u安全管理比安全技術(shù)更重要。2、1、3信息安全體系架構(gòu)信息安全體系三層架構(gòu)模型如下圖：信息安全系統(tǒng)是整體的、動(dòng)態(tài)的。信息安全系統(tǒng)符合MPDRR模型（M-management，P-protect，D-detection，R1-responce，R2-recovery），因此，要真正實(shí)現(xiàn)一個(gè)系統(tǒng)的安全，就需要建立一個(gè)從保護(hù)、檢測、響應(yīng)到恢復(fù)的一套全方位的安全保障體系：我們提供的信息安全方案正是基于MPDRR模型構(gòu)建的，符合信息安全系統(tǒng)整體性和動(dòng)態(tài)性的特點(diǎn)。它集防火墻、入侵檢測、安全掃描、安全審計(jì)等防御于一體，將多種信息安全技術(shù)和優(yōu)秀信息安全產(chǎn)品在技術(shù)上有機(jī)集成，實(shí)現(xiàn)安全產(chǎn)品之間的互通與聯(lián)動(dòng)，是一個(gè)統(tǒng)一的、可擴(kuò)展的安全體系平臺(tái)。2、1、3信息安全等級(jí)保護(hù)整改指南《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南》對(duì)等保整改的思路如下圖：參考以上模型，針對(duì)等級(jí)保護(hù)的技術(shù)要求和管理要求，進(jìn)行相應(yīng)的安全技術(shù)體系和安全管理體系的建立，從而使信息系統(tǒng)達(dá)到等級(jí)保護(hù)要求。2、2信息安全技術(shù)體系信息安全技術(shù)體系設(shè)計(jì)主要是針對(duì)網(wǎng)絡(luò)安全、主機(jī)安全、網(wǎng)站安全、數(shù)據(jù)庫安全的安全風(fēng)險(xiǎn)分析結(jié)果，提出對(duì)應(yīng)的解決方案，通過部署相應(yīng)的安全產(chǎn)品及策略來降低或規(guī)避信息系統(tǒng)各個(gè)層面的安全風(fēng)險(xiǎn)。2、2、1信息安全區(qū)域劃分校園網(wǎng)按著重要程度和業(yè)務(wù)處理的不同，分為核心區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、應(yīng)用服務(wù)器區(qū)、DMZ區(qū)、校園網(wǎng)接入?yún)^(qū)、校園網(wǎng)安全管理區(qū)，針對(duì)不同區(qū)域進(jìn)行不同的安全策略和部署。數(shù)據(jù)中心網(wǎng)分為數(shù)據(jù)存儲(chǔ)區(qū)、應(yīng)用中心區(qū)、安全管理區(qū)、門戶網(wǎng)站區(qū)，針對(duì)不同區(qū)域進(jìn)行不同的安全策略和部署。2、2、2信息安全產(chǎn)品的部署情況說明u安全產(chǎn)品部署的必要性在病毒和黑客日益增多的信息社會(huì)，信息系統(tǒng)的安全問題非常嚴(yán)峻，xx大學(xué)信息中心數(shù)據(jù)非常重要，所建設(shè)的應(yīng)用系統(tǒng)、網(wǎng)站及數(shù)據(jù)資源，一旦被黑客攻擊，將會(huì)帶來嚴(yán)重的后果及負(fù)面影響，必須加強(qiáng)信息系統(tǒng)的安全建設(shè)。1、業(yè)務(wù)系統(tǒng)中數(shù)據(jù)庫、服務(wù)器區(qū)是整個(gè)業(yè)務(wù)系統(tǒng)的核心，訪問控制措施不足，內(nèi)部資源可能會(huì)被非授權(quán)人員訪問，保密性、完整性及可用性得不到保證。數(shù)據(jù)的重要性是信息系統(tǒng)價(jià)值的核心，目前在數(shù)據(jù)安全方面沒有相應(yīng)的審計(jì)手段，無法監(jiān)控對(duì)數(shù)據(jù)的操作，發(fā)現(xiàn)問題后也無法查找原因。有必要部署相應(yīng)的安全產(chǎn)品。2、門戶網(wǎng)站系統(tǒng)中數(shù)據(jù)庫、服務(wù)器區(qū)目前沒有有效的對(duì)其進(jìn)行保護(hù)的安全設(shè)備，需對(duì)內(nèi)外部的網(wǎng)絡(luò)攻擊進(jìn)行識(shí)別、監(jiān)視、阻斷。有必要部署相應(yīng)的安全產(chǎn)品。3、為了解信息系統(tǒng)內(nèi)的服務(wù)器和網(wǎng)絡(luò)通訊設(shè)備的系統(tǒng)漏洞和安裝設(shè)置漏洞，了解漏洞的分布狀況和危險(xiǎn)等級(jí)，為調(diào)整本身的安全策略提供原始數(shù)據(jù)和資料，需配置一套安全漏洞掃描系統(tǒng)定期對(duì)系統(tǒng)設(shè)備進(jìn)行漏洞掃描。4、WEB網(wǎng)站因需要被公眾訪問而暴露于外部網(wǎng)絡(luò)，容易成為黑客的攻擊目標(biāo)，有必要在WEB服務(wù)器部署相應(yīng)的安全產(chǎn)品。5、xx大學(xué)信息中心沒有專業(yè)的信息安全技術(shù)隊(duì)伍，需要選擇專業(yè)的網(wǎng)絡(luò)安全公司提供信息安全服務(wù)，保障網(wǎng)絡(luò)的整體安全。在保障網(wǎng)絡(luò)的整體安全的同時(shí)，也提高了xx大學(xué)信息中心系統(tǒng)運(yùn)維人員的整體安全意識(shí)，為今后的網(wǎng)絡(luò)安全維護(hù)工作打下堅(jiān)實(shí)基礎(chǔ)。u安全產(chǎn)品的部署詳細(xì)說明根據(jù)上節(jié)中所述的存在的主要安全問題，產(chǎn)生了很多安全需求。這些問題一部分可以通過安全產(chǎn)品來解決，安全管理上需要通過安全服務(wù)來解決。產(chǎn)品的數(shù)量和部署充分考慮經(jīng)濟(jì)性、合理性，我們在設(shè)計(jì)的時(shí)候充分考慮到了以下因素：1、由于業(yè)務(wù)系統(tǒng)重要性均為II級(jí)系統(tǒng)，部分設(shè)備(防火墻)考慮共用。2、校園網(wǎng)部分的安全防護(hù)，部分設(shè)備考慮利舊。根據(jù)xx大學(xué)信息中心網(wǎng)絡(luò)的分析，結(jié)合教育部網(wǎng)絡(luò)建設(shè)的相關(guān)安全要求，考慮到xx大學(xué)信息中心信息安全未來幾年內(nèi)的安全需求，在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上進(jìn)行合理的規(guī)劃，部署若干安全產(chǎn)品，構(gòu)建一個(gè)強(qiáng)大的網(wǎng)絡(luò)安全“全網(wǎng)防御”體系，有效保證xx大學(xué)信息中心整體的信息安全性。2、2、3安全建設(shè)與整改依據(jù)按照信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)的要求，我們方案的設(shè)計(jì)依據(jù)如下：序號(hào)產(chǎn)品依據(jù)標(biāo)準(zhǔn)解決問題1防火墻二級(jí)等保要求：網(wǎng)絡(luò)安全\訪問控制a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級(jí)；1、對(duì)網(wǎng)絡(luò)邊界進(jìn)行訪問控制限制2、安全域的劃分2入侵防御二級(jí)等保要求：網(wǎng)絡(luò)安全\入侵防范應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。二級(jí)等保要求：主機(jī)安全\入侵防范操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新。提供對(duì)攻擊行為報(bào)警和阻斷。3抗拒絕服務(wù)攻擊DDOS系統(tǒng)二級(jí)等保要求：網(wǎng)絡(luò)安全\入侵防范應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。提高網(wǎng)絡(luò)邊界抗拒絕服務(wù)攻擊能力。4上網(wǎng)行為審計(jì)/監(jiān)測二級(jí)等保要求：網(wǎng)絡(luò)安全\安全審計(jì)a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；b)審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。二級(jí)等保要求：應(yīng)用安全\安全審計(jì)a）應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；對(duì)互聯(lián)網(wǎng)加強(qiáng)網(wǎng)頁過濾、行為監(jiān)控、流量管理、防止內(nèi)網(wǎng)泄密、防范法規(guī)風(fēng)險(xiǎn)、加強(qiáng)互聯(lián)網(wǎng)訪問行為記錄、上網(wǎng)安全管理等。5Web應(yīng)用防護(hù)系統(tǒng)/網(wǎng)頁防篡改系統(tǒng)二級(jí)等保要求：網(wǎng)絡(luò)安全\入侵防范應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。對(duì)DMZ區(qū)和門戶網(wǎng)站系統(tǒng)進(jìn)行重點(diǎn)WEB防護(hù)，防攻擊、防篡改、防注入等。6安全運(yùn)維管理系統(tǒng)（對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、業(yè)務(wù)系統(tǒng)管理和實(shí)時(shí)監(jiān)測報(bào)警，日志關(guān)聯(lián)性分析）三級(jí)等保要求：主機(jī)安全\資源控制C)應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；f）應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報(bào)警；三級(jí)等保要求：網(wǎng)絡(luò)安全\結(jié)構(gòu)安全D)應(yīng)繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；等保要求：網(wǎng)絡(luò)安全\安全審計(jì)a)應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；三級(jí)等保要求：主機(jī)安全\安全審計(jì)b）審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、業(yè)務(wù)系統(tǒng)進(jìn)行集中運(yùn)維管理和實(shí)時(shí)監(jiān)測報(bào)警，日志關(guān)聯(lián)性分析7堡壘主機(jī)（身份認(rèn)證和管理員審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)中的設(shè)備進(jìn)行身份驗(yàn)證管理）二級(jí)等保要求：網(wǎng)絡(luò)安全\網(wǎng)絡(luò)設(shè)備防護(hù)\a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；e)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等措施；f)當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。二級(jí)等保要求：主機(jī)安全\身份鑒別\a)應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；d)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行集中運(yùn)維管理登陸，進(jìn)行嚴(yán)格授權(quán)，并進(jìn)行視頻審計(jì)。8數(shù)據(jù)庫及業(yè)務(wù)系統(tǒng)審計(jì)（業(yè)務(wù)人員訪問系統(tǒng)的行為進(jìn)行解析、分析、記錄、取證）二級(jí)等保要求：主機(jī)安全\安全審計(jì)a)審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b)審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c)審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；d)應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。二級(jí)等保要求：應(yīng)用安全\安全審計(jì)a)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)；b)應(yīng)保證無法刪除、修改或覆蓋審計(jì)記錄；c)審計(jì)記錄的內(nèi)容至少應(yīng)包括事件日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等。對(duì)網(wǎng)絡(luò)中二級(jí)系統(tǒng)業(yè)務(wù)加強(qiáng)訪問審計(jì)和數(shù)據(jù)庫審計(jì)。9漏洞掃描二級(jí)等保要求：系統(tǒng)運(yùn)維管理\網(wǎng)絡(luò)安全管理\d)應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；二級(jí)等保要求：系統(tǒng)運(yùn)維管理\系統(tǒng)安全管理\b)應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的掃描，發(fā)現(xiàn)問題及時(shí)進(jìn)行加固。2、2、4產(chǎn)品部署方案數(shù)據(jù)中心區(qū)：u通過部署2臺(tái)高性能防火墻進(jìn)行4個(gè)安全域的劃分；（選配）u在安全管理區(qū)部署身份認(rèn)證系統(tǒng)，建立統(tǒng)一的身份認(rèn)證平臺(tái)。實(shí)現(xiàn)對(duì)各信息系統(tǒng)的一次性認(rèn)證多系統(tǒng)操作，大大增加用戶和系統(tǒng)的安全性和簡便性。系統(tǒng)建設(shè)統(tǒng)一的用戶數(shù)據(jù)庫，對(duì)用戶權(quán)限和訪問模式等實(shí)現(xiàn)集中式的管理，簡化系統(tǒng)管理流程，提升用戶工作效率；u在安全管理區(qū)部署數(shù)據(jù)庫及業(yè)務(wù)審計(jì)系統(tǒng)，對(duì)數(shù)據(jù)庫進(jìn)行時(shí)實(shí)的監(jiān)控，增強(qiáng)數(shù)據(jù)的保密性、完整性以及可用性；u在安全管理區(qū)部署一套門戶網(wǎng)站W(wǎng)EB防火墻，采用WEB入侵異常檢測技術(shù)，對(duì)WEB應(yīng)用實(shí)施全面、深度防御，能夠有效識(shí)別、阻止日益盛行的WEB應(yīng)用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等），為WEB應(yīng)用提供保護(hù)；u在安全管理區(qū)部署兩臺(tái)IPS系統(tǒng)，以全面深入的協(xié)議分析技術(shù)為基礎(chǔ)，結(jié)合協(xié)議異常檢測、協(xié)議異常檢測、狀態(tài)檢測、關(guān)聯(lián)分析形成的檢測引擎，實(shí)時(shí)攔截?cái)?shù)據(jù)流量中各種類型的惡意攻擊流量，把攻擊防御在單位網(wǎng)絡(luò)之外，保護(hù)單位的信息資產(chǎn)；u在安全管理區(qū)部署1套網(wǎng)頁防篡改系統(tǒng)，分別安裝在網(wǎng)站服務(wù)器上，進(jìn)行頁面內(nèi)容的保護(hù)，防止非授權(quán)人員隨意篡改內(nèi)容，增強(qiáng)網(wǎng)站的安全性；u在安全管理區(qū)部署1套帳號(hào)集中管理與審計(jì)系統(tǒng)（堡壘機(jī)），集中統(tǒng)一的安全管理技術(shù)和平臺(tái)，使得系統(tǒng)和安全管理人員可以對(duì)支撐系統(tǒng)的用戶和各種資源進(jìn)行集中管理、集中權(quán)限分配、集中審計(jì)，從技術(shù)上保證支撐系統(tǒng)安全策略的實(shí)施。校園網(wǎng)安全管理區(qū)：u在互聯(lián)網(wǎng)出口位置部署兩臺(tái)高性能防火墻，提供對(duì)網(wǎng)絡(luò)的訪問控制，同時(shí)通過DMZ區(qū)的設(shè)置，保護(hù)校方對(duì)外提供服務(wù)器的安全；（選配）u在校園網(wǎng)安全管理區(qū)部署流量控制和計(jì)費(fèi)系統(tǒng)來提供對(duì)于校內(nèi)用戶訪問外網(wǎng)的流量控制和計(jì)費(fèi)統(tǒng)計(jì)的需求；u在校園網(wǎng)安全管理區(qū)部署安全漏洞掃描系統(tǒng)，對(duì)內(nèi)部信息處理設(shè)施安全漏洞及其脆弱性的評(píng)估，可以使用戶了解信息系統(tǒng)內(nèi)的服務(wù)器和網(wǎng)絡(luò)通訊設(shè)備的系統(tǒng)漏洞和安裝設(shè)置漏洞，了解漏洞的分布狀況和危險(xiǎn)等級(jí)，并針對(duì)每一個(gè)漏洞提出一個(gè)可行的安全解決方案或補(bǔ)救措施，完整地為網(wǎng)絡(luò)系統(tǒng)提供安全評(píng)估，為調(diào)整本身的安全策略提供原始數(shù)據(jù)和資料。u在校園網(wǎng)安全管理區(qū)部署一臺(tái)信息安全審計(jì)系統(tǒng)，檢測用戶的非法操作，杜絕內(nèi)部人員濫用互聯(lián)網(wǎng)資源的違規(guī)行為；u在校園網(wǎng)安全管理區(qū)部署一套SOC平臺(tái)，實(shí)現(xiàn)了安全設(shè)備進(jìn)行集中管理、安全策略統(tǒng)一配置、安全事件集中管理、安全風(fēng)險(xiǎn)評(píng)估等功能，使網(wǎng)絡(luò)信息安全可控與結(jié)果可視化；u在互聯(lián)網(wǎng)出口和核心交換機(jī)之間部署一套DDOS防御網(wǎng)關(guān)，用于攔截各種DDoS攻擊及變種DDoS的攻擊；u在校園網(wǎng)安全管理區(qū)部署一臺(tái)IDS系統(tǒng)，方便對(duì)網(wǎng)絡(luò)情況進(jìn)行記錄、取證工作，對(duì)網(wǎng)絡(luò)上的可疑行為做出策略反應(yīng)，及時(shí)切斷入侵源,記錄攻擊行為、及時(shí)報(bào)警并通過各種途徑通知網(wǎng)絡(luò)管理員，最大幅度地保障內(nèi)部系統(tǒng)安全；u在DMZ區(qū)部署一套WEB防火墻，采用WEB入侵異常檢測技術(shù)，對(duì)WEB應(yīng)用實(shí)施全面、深度防御，能夠有效識(shí)別、阻止日益盛行的WEB應(yīng)用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等），為WEB應(yīng)用提供保護(hù)。2、3信息安全管理體系信息安全管理體系設(shè)計(jì)主要是針對(duì)安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理的安全風(fēng)險(xiǎn)分析結(jié)果，提出對(duì)應(yīng)的解決方案，通過相應(yīng)的機(jī)構(gòu)、制度的設(shè)置及安全服務(wù)的采購來降低或規(guī)避信息系統(tǒng)各個(gè)層面的安全風(fēng)險(xiǎn)。2、3、1安全管理體系建設(shè)目標(biāo)結(jié)合《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)準(zhǔn)則》以及《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等文件精神，為xx大學(xué)信息中心建立完善的安全管理策略，主要針對(duì)人員管理，機(jī)房管理，終端機(jī)管理，文檔管理設(shè)備和運(yùn)行等安全管理機(jī)制進(jìn)行稽核和診斷修訂。2、3、2安全管理體系建設(shè)內(nèi)容為xx大學(xué)信息中心進(jìn)行信息安全決策和管理提供依據(jù)。管理制度是否健全是做好網(wǎng)絡(luò)安全的有力保障，包括機(jī)房管理制度、文檔設(shè)備管理制度、管理人員培訓(xùn)制度、系統(tǒng)使用管理制度等。對(duì)信息系統(tǒng)的各項(xiàng)管理制度進(jìn)行細(xì)致的評(píng)估，并對(duì)各項(xiàng)評(píng)估的結(jié)果進(jìn)行詳細(xì)地分析，找出原因。說明存在哪些漏洞，比如信息系統(tǒng)剛剛建立，各項(xiàng)管理規(guī)章制度均沒有健全，為今后的管理留下了隱患。經(jīng)過安全管理評(píng)估服務(wù)后，我們根據(jù)xx大學(xué)信息中心網(wǎng)絡(luò)的實(shí)際業(yè)務(wù)情況，與客戶協(xié)商討論，建立完善的安全管理策略，主要針對(duì)人員管理，機(jī)房管理，終端機(jī)管理，文檔管理設(shè)備和運(yùn)行等安全管理機(jī)制進(jìn)行稽核和診斷修訂。安全管理制度安全管理制度建設(shè)主要有以下幾個(gè)方面：聘請(qǐng)專業(yè)的咨詢公司，制定安全管理制度和配套的發(fā)布、評(píng)審和修訂機(jī)制；1、人員管理包括配套的培訓(xùn)和考核機(jī)制。需要建立內(nèi)部人員管理制度和外部人員管理制度，包括：內(nèi)部工作人員管理正式編制人員，聘用人員等人員的錄用、崗位職責(zé)、保密協(xié)議簽證、教育培訓(xùn)、保密監(jiān)管、獎(jiǎng)懲和離崗離職的管理。外部相關(guān)人員管理內(nèi)部工作人員之后的其他人員以及設(shè)備的維修服務(wù)人員等外來人員的保密要求知會(huì)、安全控制區(qū)域隔離、攜帶物品限制和旁站陪同控制。2、物理環(huán)境與設(shè)施管理建立物理環(huán)境與設(shè)備管理制度，包括：l周邊環(huán)境：包括周邊監(jiān)制、周界安防和出入控制。l涉密場所：包括要害部門部位管理、無線產(chǎn)品使用、多媒體產(chǎn)品使用和安全巡防巡查、竊密檢查。l保障設(shè)施：包括定期檢測檢修和線路線纜保護(hù)。3、設(shè)備與介質(zhì)管理建立設(shè)備與介質(zhì)管理制度，包括：l設(shè)備與介質(zhì)的采購與選型：安全采購管理、產(chǎn)品選型管理、檢測證書查驗(yàn)和貨物交付驗(yàn)收。l設(shè)備與介質(zhì)的操作與使用：安全操作使用、外出攜帶管理、設(shè)備外聯(lián)控制、介質(zhì)使用管理、安全準(zhǔn)入許可。l設(shè)備與介質(zhì)的保存與保管：清查登記核對(duì)、重要設(shè)備辦公室和明確責(zé)任主體。l設(shè)備與介質(zhì)的維修與報(bào)廢：申報(bào)審批、數(shù)據(jù)保護(hù)和登記備案。4、信息保密管理建立信息保密管理制度，包括：l信息分類與控制：密級(jí)分類確定、密級(jí)信息問題統(tǒng)計(jì)、密級(jí)標(biāo)識(shí)添加和知悉范圍確定。l用戶管理與授權(quán)：用戶清單管理、用戶標(biāo)識(shí)符管理和權(quán)限列表審查。l信息系統(tǒng)安全互聯(lián)控制。安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)建設(shè)主要有以下幾個(gè)方面：設(shè)定安全管理員一職,并明確崗位的職責(zé)與任務(wù)，落實(shí)安全管理責(zé)任制。人員安全管理人員安全管理建設(shè)主要有以下幾個(gè)方面：聘請(qǐng)專業(yè)咨詢公司，制定安全培訓(xùn)管理方案，制度化、常態(tài)化進(jìn)行安全培訓(xùn)。進(jìn)一步規(guī)范人員錄用、人員離崗、人員考核、外部人員訪問的管理制度。對(duì)xx大學(xué)信息中心工作人員進(jìn)行安全意識(shí)培訓(xùn)，加強(qiáng)人員安全意識(shí)、避免安全管理漏洞。系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理主要有以下幾個(gè)方面：制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品采購使用、軟件開發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測評(píng)、安全服務(wù)等內(nèi)容的管理責(zé)任部門、具體管理內(nèi)容和控制方法，并按照管理制度落實(shí)各項(xiàng)管理措施。系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理主要有以下幾個(gè)方面：聘請(qǐng)專業(yè)安全維護(hù)公司，對(duì)系統(tǒng)的環(huán)境和資產(chǎn)安全、設(shè)備和介質(zhì)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、備份與恢復(fù)等進(jìn)行管理和定期維護(hù)。第三章：項(xiàng)目產(chǎn)品清單與概算序號(hào)設(shè)備名稱性能參數(shù)數(shù)量單價(jià)小計(jì)一、數(shù)據(jù)中心1防火墻建議利舊0002IPS入侵防御系統(tǒng)機(jī)架式硬件專業(yè)IPS入侵防御設(shè)備；部署方式：支持旁路監(jiān)聽、透明接入、NAT、混合模式；硬件支持HA高可靠性，雙機(jī)熱備；支持多網(wǎng)段、跨網(wǎng)段的多路混合部署檢測防御；1*10/100/1000M管理口，7檢