高校信息安全建設(shè)規(guī)劃方案技術(shù)標(biāo)

高校信息安全建設(shè)規(guī)劃方案投標(biāo)方案（技術(shù)方案）投標(biāo)方案投標(biāo)人名稱：****有限責(zé)任公司地址：****號(hào)二樓聯(lián)系人：****投標(biāo)日期：****報(bào)告說(shuō)明聲明：本文內(nèi)容信息來(lái)源于公開(kāi)渠道，對(duì)文中內(nèi)容的準(zhǔn)確性、完整性、及時(shí)性或可靠性不作任何保證。本文內(nèi)容僅供參考與學(xué)習(xí)交流使用，不構(gòu)成相關(guān)領(lǐng)域的建議和依據(jù). 81.1建設(shè)背景 81.1.1法律要求 1.1.2政策要求 1.1.3行業(yè)要求 1.2建設(shè)目標(biāo)及內(nèi)容 1.2.1建設(shè)目標(biāo) 1.2.2建設(shè)內(nèi)容 1 1 2.1.2高校網(wǎng)絡(luò)安全現(xiàn)狀 22.2未來(lái)的挑戰(zhàn) 52.2.1“互聯(lián)網(wǎng)+教育” 52.2.2“人工智能+教育” 2.2.3大數(shù)據(jù)平臺(tái) 2.3現(xiàn)狀、差距、風(fēng)險(xiǎn)分析 72.3.1現(xiàn)狀與差距分析 72.3.2差距與風(fēng)險(xiǎn)分析 3.1設(shè)計(jì)思路 3.2一個(gè)出發(fā)點(diǎn) 3.4三種融合 3.6信息安全建設(shè)規(guī)劃拓?fù)鋱D 454.1建設(shè)原則 4.2技術(shù)安全體系建設(shè) 4.2.2安全計(jì)算環(huán)境設(shè)計(jì) 4.2.3安全通信網(wǎng)絡(luò)設(shè)計(jì) 4.2.4安全管理中心設(shè)計(jì) 4.2.5安全區(qū)域劃分 4.2.6新增安全措施 4.2.7優(yōu)化安全措施 4.3應(yīng)用安全建設(shè) 4.3.1應(yīng)用安全設(shè)計(jì) 534.4安全管理體系建設(shè) 4.4.2安全管理制度規(guī)劃 4.4.3安全管理制度梳理服務(wù) 4.5應(yīng)急預(yù)案體系建設(shè) 4.5.1編制目的 4.5.3適用范圍 4.5.4工作原則 4.5.5組織與體系 4.5.7應(yīng)急響應(yīng) 4.5.8后期處置 4.5.9保障措施 4.5.10監(jiān)督管理 第7章安全產(chǎn)品/服務(wù)部署說(shuō)明 7.1網(wǎng)絡(luò)整改及安全產(chǎn)品部署 7.1.1校園網(wǎng)整改及安全域劃分 7.2安全服務(wù) 7.2.1安全意識(shí)教育 7.2.2網(wǎng)絡(luò)安全服務(wù)列表 7.2.3網(wǎng)絡(luò)安全服務(wù)簡(jiǎn)介 7.3一期安全產(chǎn)品/安全服務(wù) 7.3.1堡壘主機(jī)系統(tǒng) 7.3.3數(shù)據(jù)庫(kù)審計(jì)系統(tǒng) 7.3.4主機(jī)安全加固軟件 7.3.5準(zhǔn)入控制系統(tǒng) 7.3.6WEB資產(chǎn)安全治理平臺(tái) 7.4二期安全產(chǎn)品/安全服務(wù) 7.4.1IT綜合運(yùn)維管理系統(tǒng) 7.4.1RFID機(jī)房資產(chǎn)管理系統(tǒng) 7.5三期安全產(chǎn)品/安全服務(wù) 7.5.2安全運(yùn)維管理平臺(tái)(soc+態(tài)勢(shì)感知) 7.6四期安全產(chǎn)品/安全服務(wù) 7.6.1數(shù)據(jù)容災(zāi)備份系統(tǒng) 7.7五期安全產(chǎn)品/安全服務(wù) 7.7.1GRC網(wǎng)絡(luò)安全管理管理平臺(tái) 7.7.2安全值 附件—信息系統(tǒng)建議定級(jí) 圖表目錄圖表1學(xué)校IT資產(chǎn)表 圖表2物理安全現(xiàn)狀差距表 7圖表3網(wǎng)絡(luò)安全現(xiàn)狀差距分析表 圖表4主機(jī)安全現(xiàn)狀差距分析表 圖表5應(yīng)用安全現(xiàn)狀差距分析表 圖表6數(shù)據(jù)安全現(xiàn)狀差距分析表 圖表7安全管理現(xiàn)狀差距分析表 圖表8安全技術(shù)差距與風(fēng)險(xiǎn)分析 圖表9管理體系差距與風(fēng)險(xiǎn) 31圖表10網(wǎng)絡(luò)安全綜合治理行動(dòng)差距與風(fēng)險(xiǎn)分析表 圖表11信息安全建設(shè)和規(guī)劃總體示意圖 圖表12信息安全建設(shè)和規(guī)劃-一期示意圖 圖表13信息安全建設(shè)和規(guī)劃-二期示意圖 圖表14信息安全建設(shè)和規(guī)劃-三期示意圖 圖表15信息安全建設(shè)和規(guī)劃-四期示意圖 圖表16信息安全建設(shè)和規(guī)劃-五期示意圖 圖表17xxxx大學(xué)信息安全組織架構(gòu)示意圖 圖表18xxxx大學(xué)安全管理制度規(guī)劃示意圖 圖表19方案價(jià)值表 圖表20成功案列表 圖表21安全服務(wù)列表 圖表22方案預(yù)算表 著,信息化安全是業(yè)務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點(diǎn)。為貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度和《網(wǎng)絡(luò)安全法》,規(guī)范和指導(dǎo)全國(guó)教育2014年9月，四川省公安廳、四川省教育廳關(guān)于進(jìn)一步加強(qiáng)學(xué)校2014年10月，教育部辦公廳印發(fā)《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南(試行)》的通知。2015年7月，教育部辦公廳印發(fā)關(guān)于全面推進(jìn)教育行業(yè)信息安全2017年2月，教育部辦公廳印發(fā)《2017年教育信息化工作要點(diǎn)》2017年3月，教育部辦公廳印發(fā)《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行2017年6月，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)行。“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”,《網(wǎng)絡(luò)安全法》第二十一教育部正在實(shí)施的《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)方案》;目作任務(wù)對(duì)應(yīng)不同的工作重點(diǎn)，總共10項(xiàng)具體如下：2.信息發(fā)布管理3.網(wǎng)站域名清理●與網(wǎng)絡(luò)安全智能部門(mén)溝通配合●納入學(xué)校安全生產(chǎn)大檢查、開(kāi)學(xué)檢查等●面向網(wǎng)絡(luò)安全管理人員和技術(shù)人員開(kāi)展專題培訓(xùn)●利用新生入學(xué)教育、網(wǎng)絡(luò)安全宣傳周等契機(jī)●提高師生網(wǎng)絡(luò)安全意識(shí)和素養(yǎng)《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)方案》,讓xxxx大學(xué)校園一期建設(shè)后的相關(guān)信息系統(tǒng)達(dá)到《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》第三級(jí)的建設(shè)規(guī)劃，規(guī)劃期限為5年。全面建設(shè)完整的信息安全防護(hù)體系，前瞻性的建設(shè)學(xué)校信息化技術(shù)支撐體系。最終使xxxx大學(xué)具有完善的信●落實(shí)《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)方案》,對(duì)學(xué)?，F(xiàn)有信●建設(shè)能夠監(jiān)控學(xué)校IT資產(chǎn)、管理學(xué)校IT資產(chǎn)、保護(hù)學(xué)校IT●“網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)，歸根到底是人才的競(jìng)爭(zhēng)”,網(wǎng)絡(luò)安全也是時(shí)間一期1.達(dá)到法規(guī)要求中的合法(網(wǎng)絡(luò)安全法)、合規(guī)(等級(jí)保護(hù));漏”“補(bǔ)短”“規(guī)范”提升整體安全防護(hù)能力；3.梳理全網(wǎng)安全隱患進(jìn)行整治，杜絕安流程操作、提升對(duì)整體網(wǎng)絡(luò)的管控程度及事后追責(zé)、溯源能力。年開(kāi)始，建設(shè)周期為3個(gè)月二期機(jī)房運(yùn)維)1.IT運(yùn)維：作業(yè)自動(dòng)調(diào)度、控制處理；實(shí)現(xiàn)對(duì)機(jī)房硬件資產(chǎn)3D可視化、全生命周期管理。備、流量、服務(wù)器、應(yīng)用實(shí)時(shí)監(jiān)控；資產(chǎn)生命周期管理、深度日志分析等。2.機(jī)房運(yùn)維：資產(chǎn)精確定位，一鍵查找；空間規(guī)劃，科學(xué)布局；實(shí)時(shí)跟蹤及自動(dòng)預(yù)警；機(jī)柜微環(huán)境監(jiān)控展現(xiàn)；機(jī)房3D可視化交互，讓管理更加直觀、生設(shè)周期為3個(gè)月三期網(wǎng)絡(luò)核心服務(wù)自動(dòng)化運(yùn)維和優(yōu)化。1.將整體網(wǎng)絡(luò)中的各類事件分析審計(jì)預(yù)警、風(fēng)險(xiǎn)與態(tài)勢(shì)的度量與評(píng)估安全運(yùn)維數(shù)據(jù)技術(shù)、機(jī)器學(xué)習(xí)和模式識(shí)別并兼顧等)最終實(shí)現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運(yùn)營(yíng)和未知威脅態(tài)勢(shì)感知；2.通過(guò)網(wǎng)絡(luò)核心服務(wù)自動(dòng)運(yùn)維系統(tǒng)將效率，增強(qiáng)一致性，避免人工錯(cuò)誤；同時(shí)網(wǎng)絡(luò)核心服務(wù)自動(dòng)運(yùn)維系統(tǒng)自帶安全務(wù)負(fù)載、業(yè)務(wù)健康檢查等功能。年開(kāi)始建設(shè)周期為3個(gè)月四期構(gòu)建完善的災(zāi)備體系與APT攻擊防2.完善了整體的安全防護(hù)體系，能應(yīng)對(duì)主流的APT攻擊。設(shè)周期為3個(gè)月五期1.信息安全綜合管理平臺(tái)能夠幫助高校實(shí)現(xiàn)對(duì)下屬分支信息安全管理工作的部善策略和方針以達(dá)到IT治理的目標(biāo)。建設(shè)周期為3個(gè)月2.1現(xiàn)狀概述xxxx大學(xué)信息化建設(shè)已初具規(guī)模，主機(jī)設(shè)備基本到位，在服務(wù)器機(jī)框式安全網(wǎng)關(guān)(內(nèi)置FW/IPS/IDS/WAF板卡)、上網(wǎng)行為審計(jì)系.1學(xué)校IT資產(chǎn)統(tǒng)計(jì)編號(hào)資產(chǎn)類資產(chǎn)名品牌數(shù)量備注1網(wǎng)絡(luò)設(shè)備核心交換機(jī)**網(wǎng)絡(luò)架構(gòu)清晰，完整。匯聚交換機(jī)**接入交換機(jī)**無(wú)線AP**2安全設(shè)備(軟件/硬件)網(wǎng)絡(luò)防火墻已有殺毒軟件已有要終端)入侵防御系統(tǒng)/防病毒已有已有上網(wǎng)行為管理已有漏掃系統(tǒng)無(wú)反垃圾郵件網(wǎng)關(guān)無(wú)信息終端**5重要信息系統(tǒng)教務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、一卡通系統(tǒng)、學(xué)校網(wǎng)站等**圖表1學(xué)校IT資產(chǎn)表.2網(wǎng)絡(luò)主機(jī)現(xiàn)狀xxxx大學(xué)的全部業(yè)務(wù)部署于70多臺(tái)服務(wù)器上，服務(wù)器系統(tǒng)為隨著教育信息化的大力發(fā)展，校園網(wǎng)絡(luò)作為信息傳播的新媒(一)高校網(wǎng)絡(luò)安全不被重視從整個(gè)網(wǎng)絡(luò)安全行業(yè)來(lái)講，做的更多是事后的“亡羊補(bǔ)牢”,就是修(二)高校網(wǎng)站存在大量安全隱患由來(lái)已久：(三)學(xué)生網(wǎng)絡(luò)安全知識(shí)匱乏(四)學(xué)生抵御誘惑能力差2.2未來(lái)的挑戰(zhàn)隨著國(guó)家教育改革的推進(jìn)，“互聯(lián)網(wǎng)+教育”逐步替代“傳統(tǒng)教育”,教育方式由“一所學(xué)校、一位老師、一間教室”將會(huì)變成“一張網(wǎng)、一個(gè)移動(dòng)終端，幾百萬(wàn)學(xué)生，學(xué)校任你挑、老師由你選”;統(tǒng)的正常運(yùn)行、如何保障“互聯(lián)網(wǎng)+教育”的安全成為我們需要考慮的PDF2500份+、其他),還在不斷持續(xù)更新中，歡迎微信掃碼加入2.3現(xiàn)狀、差距、風(fēng)險(xiǎn)分析圖表2物理安全現(xiàn)狀差距表是否備注物理位置的選擇(G3)1本項(xiàng)要求包括：在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；筑物的高層或地下室，以及用水設(shè)備的下層或隔處于三樓物理訪問(wèn)控制(G3)2本項(xiàng)要求包括：進(jìn)入的人員；來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審活動(dòng)范圍b)需進(jìn)入機(jī)房的來(lái)訪人員并限制和監(jiān)控其活動(dòng)范來(lái)訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審活動(dòng)范圍c)應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)不符合是否備注區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域；d)重要區(qū)域應(yīng)配置電子門(mén)錄進(jìn)入的人員。電子門(mén)禁系統(tǒng)，鑒別和記錄進(jìn)入防盜竊和防破壞(G3)3行固定，并設(shè)置明顯的不易除去的標(biāo)記；c)應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管做好線纜標(biāo)簽。d)應(yīng)對(duì)介質(zhì)分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中；實(shí)現(xiàn)介質(zhì)庫(kù)環(huán)境e)應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；f)應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系防雷擊(G3)4止感應(yīng)雷；安裝防雷保安器c)機(jī)房應(yīng)設(shè)置交流電源地防火(G3)5是否備注a)機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅自動(dòng)滅火器，防火材料b)機(jī)房及相關(guān)的工作房間等級(jí)的建筑材料；c)機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其不符合好標(biāo)記，設(shè)置物防水和防潮(G3)6本項(xiàng)要求包括：房屋頂和活動(dòng)地板下；c)應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；d)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或組件，對(duì)機(jī)房進(jìn)行建議在機(jī)房?jī)?nèi)安裝對(duì)水敏感的檢測(cè)儀表或元件，實(shí)現(xiàn)防水檢測(cè)和防靜電(G3)7本項(xiàng)要求包括：a)主要設(shè)備應(yīng)采用必要的接地防靜電措施；溫濕度控制(G3)8本項(xiàng)要求包括：是否備注機(jī)房應(yīng)設(shè)置溫、濕度自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允精密空調(diào)電力供應(yīng)(A3)9本項(xiàng)要求包括：b)應(yīng)提供短期的備用電力在斷電情況下的正常運(yùn)行(有柴油發(fā)電機(jī))設(shè)置UPS電池供電，并至少保證斷電時(shí)主要設(shè)備在滿負(fù)荷情況下4小時(shí)的正常運(yùn)c)應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)電磁防護(hù)(S3)a)應(yīng)采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；實(shí)現(xiàn)強(qiáng)弱電纜的隔離敷設(shè)，對(duì)重要的網(wǎng)絡(luò)設(shè)備進(jìn)b)電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾；c)應(yīng)對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)現(xiàn)關(guān)鍵設(shè)備的電池屏蔽功能。圖表3網(wǎng)絡(luò)安全現(xiàn)狀差距分析表是否備注結(jié)構(gòu)安全(G3)1a)應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的間，滿足業(yè)務(wù)高峰期需符合要求b)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需符合要求部署有流控審計(jì)系統(tǒng)c)應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服立安全的訪問(wèn)路徑；符合要求需在業(yè)務(wù)終端與服務(wù)器相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。我們會(huì)在工程結(jié)束后重e)應(yīng)根據(jù)各部門(mén)的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；符合要求是否備注f)應(yīng)避免將重要網(wǎng)段部署外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；部署有邊界防護(hù)、訪g)應(yīng)按照對(duì)業(yè)務(wù)服務(wù)的重先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生訪問(wèn)控制(G3)2本項(xiàng)要求包括：a)應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備，啟用訪問(wèn)控制b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)；了訪問(wèn)控制粒度的端口級(jí)c)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾，實(shí)現(xiàn)對(duì)應(yīng)用層HTTP、、SMTP、防火墻附帶的url庫(kù)應(yīng)d)應(yīng)在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接；是否備注e)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)；部署流控設(shè)備對(duì)網(wǎng)絡(luò)最大流量及網(wǎng)絡(luò)連接數(shù)進(jìn)行限制of)重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；未部署訪問(wèn)控制設(shè)備的區(qū)域無(wú)法采用包過(guò)濾或傳輸控制協(xié)議，進(jìn)行邊界訪問(wèn)控制，防止地址欺騙，應(yīng)對(duì)網(wǎng)絡(luò)中的廣播、組播實(shí)現(xiàn)重要網(wǎng)段地址進(jìn)行g(shù))應(yīng)按用戶和系統(tǒng)之間的允許訪問(wèn)規(guī)則，決定允許行資源訪問(wèn)，控制粒度為單個(gè)用戶；需對(duì)訪問(wèn)進(jìn)行策略控安全審計(jì)(G3)3設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志軟件、流控、上網(wǎng)行為管理設(shè)備的日期和時(shí)間、用戶、事其他與審計(jì)相關(guān)的信息；軟件、流控、上網(wǎng)行為管理設(shè)備c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)軟件、流控、上網(wǎng)行為管理設(shè)備護(hù)，避免受到未預(yù)期的刪軟件、流控、上網(wǎng)行為管理設(shè)備安全審計(jì)日志記錄要求保存至少半年以上。4邊界完整性檢查(S3)是否備注本項(xiàng)要求包括：a)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)置，;不符合要求不能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)接入局域網(wǎng)的終端進(jìn)行b)應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶不符合要求入侵防范(G3)5本項(xiàng)要求包括：a)應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等；型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警惡意代碼防范(G3)6本項(xiàng)要求包括：a)應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；部署有防病毒網(wǎng)關(guān)(應(yīng)保持特征、規(guī)則庫(kù)及時(shí)更新)網(wǎng)絡(luò)設(shè)備防護(hù)(G3)77本項(xiàng)要求包括：是否備注a)應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；不符合要求可通過(guò)指定專人維護(hù)網(wǎng)絡(luò)設(shè)備，并通過(guò)用戶名和密碼進(jìn)行身份鑒別b)應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；不符合要求可以有效對(duì)遠(yuǎn)程用戶進(jìn)c)網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)d)主要網(wǎng)絡(luò)設(shè)備應(yīng)對(duì)同一組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；不符合要求主要網(wǎng)絡(luò)設(shè)備未對(duì)同一用戶選擇兩種或兩術(shù)來(lái)進(jìn)行身份鑒別；e)身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)高強(qiáng)度密碼，數(shù)字和字母組成，至少3個(gè)月更f)應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退出等當(dāng)一次登錄密碼錯(cuò)誤次數(shù)超過(guò)6次，應(yīng)能自動(dòng)管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；建議通過(guò)https、ssh等h)應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的不符合要求限圖表4主機(jī)安全現(xiàn)狀差距分析表備注身份鑒別(S3)a)應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；制操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶登陸，進(jìn)行身份標(biāo)識(shí)和鑒別；庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；求略安全設(shè)置，啟用密碼c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；求建議啟用登錄失d)當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；采用IPSecVPN對(duì)程管理安全可靠。e)應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性。建議按照最小使用原則設(shè)置管理員賬號(hào)f)應(yīng)采用兩種或兩訪問(wèn)控制(S3)備注a)應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問(wèn)；需求設(shè)置訪問(wèn)控制策略b)應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)部署堡壘機(jī)，將網(wǎng)絡(luò)管理員、系統(tǒng)管理員和安全審計(jì)員分離，通過(guò)技術(shù)手段控制授予c)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶的權(quán)限分離；d)應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶的默認(rèn)口令；求統(tǒng)一對(duì)賬號(hào)名進(jìn)行修改，杜絕使用e)應(yīng)及時(shí)刪除多余的、過(guò)期的帳戶，避免共求f)應(yīng)對(duì)重要信息資源設(shè)置敏感標(biāo)記；未對(duì)重要服務(wù)器部安全加固措施，并設(shè)置敏感標(biāo)記。署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作；求需求設(shè)置嚴(yán)格的訪問(wèn)控安全審計(jì)(G3)到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；未部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)和堡壘機(jī)，無(wú)法對(duì)服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)備注的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；未部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，無(wú)法對(duì)重要用戶行為、系統(tǒng)資源的異常使用系統(tǒng)內(nèi)重要的安全相關(guān)事審計(jì)系統(tǒng)/數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)c)審計(jì)記錄應(yīng)包括型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；未部署安全審計(jì)系審計(jì)系統(tǒng)/數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)d)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；未部署日志審計(jì)系部署日志審計(jì)系e)應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中未部署日志審計(jì)系部署日志審計(jì)系f)應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪未部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)。(審計(jì)記錄至少應(yīng)保存半年。)部署日志審計(jì)系剩余信息保護(hù)(S3)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中；b)應(yīng)確保系統(tǒng)內(nèi)的求備注清除虛擬內(nèi)存頁(yè)面”功入侵防范(G3)重要服務(wù)器進(jìn)行入侵的行IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供不滿足序的完整性進(jìn)行檢測(cè)，并在檢測(cè)到完整性受到破壞后具有恢復(fù)的措施；的重要程序和文件進(jìn)行檢定期使用完整性檢查工具或腳本對(duì)服務(wù)器的重要程序和文件進(jìn)c)操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)設(shè)置升級(jí)服務(wù)器等持系統(tǒng)補(bǔ)丁及時(shí)得到更務(wù)器進(jìn)行優(yōu)化惡意代碼防范(G3)本項(xiàng)要求包括：碼軟件，并及時(shí)更新防惡意代碼軟件版本和惡意代產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼求防惡意代碼的產(chǎn)品應(yīng)選用不同廠商的產(chǎn)品，此類產(chǎn)品有防惡意備注c)應(yīng)支持防惡意代部署的防惡意代碼應(yīng)具有統(tǒng)一管理的功資源控制(A3)接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；求端接入進(jìn)行管理；采用防火墻訪問(wèn)控制策略及主機(jī)加固軟件對(duì)終端登設(shè)置登錄終端的操作超時(shí)求c)應(yīng)對(duì)重要服務(wù)器器的CPU、硬盤(pán)、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；求不滿足管理軟件、主機(jī)加固系統(tǒng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視并對(duì)服務(wù)器的運(yùn)行狀d)應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度；求應(yīng)對(duì)單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度進(jìn)行限制；e)應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)求管理系統(tǒng)/主機(jī)安全加固軟件對(duì)重要服務(wù)器進(jìn)行狀況異常實(shí)時(shí)告警。xxxx大學(xué)應(yīng)用系統(tǒng)主要是教務(wù)系統(tǒng)、一卡通、財(cái)務(wù)系統(tǒng)等，具體應(yīng)用沒(méi)有問(wèn)題，但沒(méi)有相應(yīng)的安全審計(jì)系統(tǒng)，所以無(wú)法對(duì)系統(tǒng)中安全圖表5應(yīng)用安全現(xiàn)狀差距分析表是否備注身份鑒別(S3)身份標(biāo)識(shí)和鑒別；機(jī)，通過(guò)堡壘機(jī)用戶登陸進(jìn)行身份識(shí)b)應(yīng)對(duì)同一用戶采用別技術(shù)實(shí)現(xiàn)用戶身份鑒c)應(yīng)提供用戶身份標(biāo)識(shí)唯一和鑒別信息復(fù)雜度中不存在重復(fù)用戶身份標(biāo)d)應(yīng)提供登錄失敗處話、限制非法登錄次數(shù)和自動(dòng)退出等措施；e)應(yīng)啟用身份鑒別、查、用戶身份鑒別信息復(fù)雜度檢查以及登錄失敗處訪問(wèn)控制(S3)是否備注本項(xiàng)要求包括：a)應(yīng)提供訪問(wèn)控制功能，依據(jù)安全策略控制用體的訪問(wèn)；圍應(yīng)包括與資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作；制默認(rèn)帳戶的訪問(wèn)權(quán)限；d)應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間大部分設(shè)備只有管理員賬號(hào)，網(wǎng)絡(luò)、系統(tǒng)和安全管理員沒(méi)有分別設(shè)管理員根據(jù)其所承工作權(quán)限，網(wǎng)絡(luò)、系統(tǒng)和安全管理員由一個(gè)人同時(shí)兼e)應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記。f)應(yīng)依據(jù)安全策略嚴(yán)重要信息資源的操作；服務(wù)器加固系統(tǒng)有實(shí)現(xiàn)文件強(qiáng)表強(qiáng)制訪問(wèn)控制、安全審計(jì)(G3)本項(xiàng)要求包括：部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)應(yīng)用系是否備注行審計(jì)；統(tǒng)每個(gè)用戶的安全事件進(jìn)行記錄審計(jì)b)應(yīng)保證無(wú)法單獨(dú)中斷審計(jì)進(jìn)程，無(wú)法刪除、修改或覆蓋審計(jì)記錄；日志審計(jì)對(duì)安全事c)審計(jì)記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)/堡壘機(jī)。d)應(yīng)提供對(duì)審計(jì)記錄析及生成審計(jì)報(bào)表的功部署日志審計(jì)系統(tǒng)/數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)/堡壘機(jī)。剩余信息保護(hù)(S3)本項(xiàng)要求包括：a)應(yīng)保證用戶鑒別信息所在的存儲(chǔ)空間被釋放到完全清除，無(wú)論這些信息是存放在硬盤(pán)上還是在內(nèi)存中；符合要求滿足。件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前得到完全清除。符合要求滿足。通信完整性(S3)本項(xiàng)要求包括：通信保密性(S3)本項(xiàng)要求包括：是否備注接之前，應(yīng)用系統(tǒng)應(yīng)利用中，對(duì)通信的保密性提出b)應(yīng)對(duì)通信過(guò)程中的中，對(duì)通信的保密性提出抗抵賴(G3)者提供數(shù)據(jù)原發(fā)證據(jù)的功應(yīng)用軟件中有此項(xiàng)功能者提供數(shù)據(jù)接收證據(jù)的功應(yīng)用軟件中有此項(xiàng)功能軟件容錯(cuò)(A3)接口輸入或通過(guò)通信接口合系統(tǒng)設(shè)定要求；應(yīng)用軟件有此項(xiàng)功能，當(dāng)故障發(fā)生時(shí)自動(dòng)保護(hù)當(dāng)前所有狀態(tài)，保證系應(yīng)用軟件提供斷點(diǎn)資源控制(A3)a)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時(shí)間內(nèi)未作任何響應(yīng)，另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；如果通信雙方中有一方在10分鐘內(nèi)未作任何響應(yīng)，則自動(dòng)結(jié)束會(huì)話，釋放網(wǎng)絡(luò)連接。大并發(fā)會(huì)話連接數(shù)進(jìn)行限求，設(shè)定最大并發(fā)會(huì)話連是否備注c)應(yīng)能夠?qū)蝹€(gè)帳戶的多重并發(fā)會(huì)話進(jìn)行限d)應(yīng)能夠?qū)σ粋€(gè)時(shí)間數(shù)進(jìn)行限制；由業(yè)務(wù)應(yīng)用系統(tǒng)和e)應(yīng)能夠?qū)σ粋€(gè)訪問(wèn)帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額；f)應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；g)應(yīng)提供服務(wù)優(yōu)先級(jí)據(jù)安全策略設(shè)定訪問(wèn)帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根用戶的權(quán)限設(shè)定服務(wù)等級(jí)及優(yōu)先級(jí)，并保證優(yōu)先級(jí)用戶首先使用系統(tǒng)資源的圖表6數(shù)據(jù)安全現(xiàn)狀差距分析表備注數(shù)據(jù)完整性(S3)1壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)2數(shù)據(jù)保密性(S3)實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸保密性；實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。3備份和恢復(fù)(A3)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場(chǎng)外存放；求b)應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；不符合要求份的功能，定時(shí)批量或份至少每月一次。災(zāi)備系統(tǒng)c)應(yīng)采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；d)應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗圖表7安全管理現(xiàn)狀差距分析表備注物理資產(chǎn)安全管理移、廢棄等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)信息系統(tǒng)相關(guān)的資識(shí)、使用、轉(zhuǎn)移、廢機(jī)房監(jiān)控、機(jī)房值班、機(jī)房需進(jìn)行查漏補(bǔ)缺對(duì)進(jìn)出機(jī)房的人員和房值班、機(jī)房環(huán)境保障等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺需進(jìn)行查漏補(bǔ)缺網(wǎng)絡(luò)網(wǎng)絡(luò)安全管理對(duì)網(wǎng)絡(luò)及安全設(shè)備的操作、需進(jìn)行查漏補(bǔ)缺對(duì)網(wǎng)絡(luò)及安全設(shè)備的錄和監(jiān)控等做出規(guī)系統(tǒng)需進(jìn)行查漏補(bǔ)缺的操作、配置、日志應(yīng)用需進(jìn)行查漏補(bǔ)缺用和升級(jí)等做出規(guī)定需進(jìn)行查漏補(bǔ)缺理、使用和升級(jí)等做出規(guī)定終端計(jì)算機(jī)管理對(duì)終端計(jì)算機(jī)的日常使用、軟件安裝，入網(wǎng)、維修、報(bào)需進(jìn)行查漏補(bǔ)缺網(wǎng)、維修、報(bào)廢等做便攜計(jì)算機(jī)管理修等做出規(guī)定。需進(jìn)行查漏補(bǔ)缺網(wǎng)、文件存儲(chǔ)、維修移動(dòng)存儲(chǔ)介質(zhì)管理需進(jìn)行查漏補(bǔ)缺用、管理、維修等做建設(shè)項(xiàng)目安全審核出規(guī)定。需進(jìn)行查漏補(bǔ)缺對(duì)信息化項(xiàng)目安全需求、安全保障方案及系統(tǒng)開(kāi)發(fā)安全管理線測(cè)試、開(kāi)發(fā)人員保密責(zé)任需進(jìn)行查漏補(bǔ)缺人員保密責(zé)任等做出管理理對(duì)設(shè)立安全管理機(jī)構(gòu)、機(jī)構(gòu)職能、人員職責(zé)及管理，如重要崗位保密責(zé)任、人員離崗離職等方面做出規(guī)定。需進(jìn)行查漏補(bǔ)缺構(gòu)、機(jī)構(gòu)職能、人員崗位保密責(zé)任、人員離崗離職等方面做出需進(jìn)行查漏補(bǔ)缺用戶、特權(quán)用戶(網(wǎng)絡(luò)、系統(tǒng)、安全管理員)的審批、權(quán)限、安全要求等做出規(guī)需進(jìn)行查漏補(bǔ)缺要業(yè)務(wù)用戶、特權(quán)用全管理員)的審批、需進(jìn)行查漏補(bǔ)缺對(duì)信息系統(tǒng)中使用的密碼強(qiáng)度、變更和保對(duì)應(yīng)急計(jì)劃、處理、實(shí)施、需進(jìn)行查漏補(bǔ)缺對(duì)應(yīng)急計(jì)劃、處理、實(shí)施、演練等做出規(guī)對(duì)信息系統(tǒng)的變更申報(bào)、審需進(jìn)行查漏補(bǔ)缺對(duì)信息系統(tǒng)的變更申報(bào)、審批流程以及實(shí)網(wǎng)絡(luò)安全檢查對(duì)網(wǎng)絡(luò)安全檢查流程、工作需進(jìn)行查漏補(bǔ)缺程、工作內(nèi)容等做出圖表8安全技術(shù)差距與風(fēng)險(xiǎn)分析1安全審計(jì)主機(jī)和網(wǎng)絡(luò)層面還欠缺安全審計(jì)、非法內(nèi)/外聯(lián)檢查系統(tǒng)；1.發(fā)生安全事件時(shí)，無(wú)法追責(zé)、溯源；3.無(wú)法對(duì)全網(wǎng)安全設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一日志2未定期對(duì)重要服務(wù)器、局域網(wǎng)絡(luò)進(jìn)行滲透測(cè)試和安全加固等；1攻擊者可能通過(guò)低安全級(jí)別的業(yè)務(wù)系統(tǒng)服務(wù)器為跳板向安全級(jí)別較高的業(yè)務(wù)系統(tǒng)發(fā)起攻擊；2.可能遭受入侵攻擊；3.無(wú)實(shí)時(shí)設(shè)備日志記錄、告警，也不能對(duì)記錄數(shù)據(jù)進(jìn)行分析，增加了運(yùn)維風(fēng)險(xiǎn)；3數(shù)據(jù)庫(kù)缺少審計(jì)與防護(hù)措施4統(tǒng)一安全管理缺乏輔助運(yùn)維的統(tǒng)一安全管理平臺(tái)，無(wú)法將目前信息系統(tǒng)中各轉(zhuǎn)變?yōu)橹悄艿年P(guān)聯(lián)分析。需要實(shí)現(xiàn)以技術(shù)人員(維護(hù)人員、(相應(yīng)的管理制度和事件處理流程)和技術(shù)監(jiān)控三者的融合的全方位安5現(xiàn)有的安全防護(hù)設(shè)施無(wú)法應(yīng)對(duì)有針對(duì)性、高持續(xù)的攻擊。需提升對(duì)“復(fù)合型攻擊”和“未知威脅”的安全把控能力，并深度挖掘隱藏在網(wǎng)絡(luò)中的黑客攻擊行為，保障業(yè)圖表9管理體系差距與風(fēng)險(xiǎn)類別1安全策略的安全意識(shí)、缺乏統(tǒng)一的安全操作流程和指導(dǎo)手冊(cè)；2安全制度安全組織自我管理，缺乏統(tǒng)一的安全管理體系；3系統(tǒng)建設(shè)由于運(yùn)維、外包等原因，防護(hù)體系的建設(shè)依賴于各重要業(yè)務(wù)系統(tǒng)的建設(shè)，在今后的防護(hù)體系建設(shè)和改造中希望將安全防護(hù)體系統(tǒng)一考慮；4系統(tǒng)運(yùn)維重大安全隱患，極有可能成為攻擊跳板；5識(shí)水平，沒(méi)有形成定期統(tǒng)一的安全檢查制度和安全基線要求；67安全發(fā)展圖表10網(wǎng)絡(luò)安全綜合治理行動(dòng)差距與風(fēng)險(xiǎn)分析表類別1治亂缺少網(wǎng)站內(nèi)容檢查系統(tǒng)，不能及時(shí)檢查到網(wǎng)站發(fā)布內(nèi)容中的敏感信息2堵漏缺少安全檢查和評(píng)估機(jī)制，不能及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞、后門(mén)、暗鏈、弱口3我校應(yīng)盡快完成信息系統(tǒng)(網(wǎng)站)等級(jí)保護(hù)定級(jí)、測(cè)評(píng)、整改工作；明4規(guī)范范數(shù)據(jù)采集、存儲(chǔ)使用和開(kāi)放共享，建立異地?cái)?shù)據(jù)3.1設(shè)計(jì)思路3.2一個(gè)出發(fā)點(diǎn)3.3兩大標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》是我國(guó)對(duì)非涉密信息系統(tǒng)實(shí)行保護(hù)的基本要求，其涵蓋十個(gè)層面：1)物理安全、2)網(wǎng)絡(luò)安全、3)主機(jī)安全、4)應(yīng)用安全、5)數(shù)據(jù)安全、6)安全管理制度、7)安全管理機(jī)構(gòu)、8)人員安全管理、9)系統(tǒng)建設(shè)管理、10)系統(tǒng)運(yùn)維管點(diǎn)”,著重于控制信息系統(tǒng)遭受損害時(shí)對(duì)外(國(guó)家安全、公眾利益、社會(huì)秩序、經(jīng)濟(jì)建設(shè))產(chǎn)生的影響。ISO27000是信息安全管理體系，包含建活動(dòng)建立信息安全管理體系。其包含十一個(gè)控制域：1)安全策略、2)信息安全的組織、3)資產(chǎn)管理、4)人力資源安全、5)物理和環(huán)境安全、6)通信和操作管理、7)訪問(wèn)控制、8)系統(tǒng)采集、開(kāi)發(fā)和維護(hù)、9)信息安全事故管理、10)業(yè)務(wù)連續(xù)性管理、11)符合性。3.4三種融合3)更高可靠性，降低單點(diǎn)故障7)虛擬化部署，安全資源池化3.5四個(gè)體系等),以及信息安全管理的過(guò)程(計(jì)劃-實(shí)施-監(jiān)控-改進(jìn))“進(jìn)不來(lái)”(身份認(rèn)證),防止非法用戶接入網(wǎng)絡(luò)；“拿不走”(訪問(wèn)控制),用戶訪問(wèn)授權(quán)，防止非授權(quán)用戶獲取“看不懂”(內(nèi)容安全),數(shù)據(jù)加密傳輸，防止信息被非法劫“跑不了”(審計(jì)監(jiān)控),無(wú)論是授權(quán)的使用還是非授權(quán)的使“可恢復(fù)”(容災(zāi)備份),系統(tǒng)遭受破壞時(shí)，我們能及時(shí)啟用備學(xué)時(shí)和m學(xué)時(shí)和m生面金1次1(本地)應(yīng)用服務(wù)器區(qū))統(tǒng)一安全同關(guān)vAN3wANQ防防軟件備注11臺(tái)一期21臺(tái)3日志審計(jì)1臺(tái)41臺(tái)5主機(jī)數(shù)待定套61臺(tái)7終端數(shù)待定套8IT綜合運(yùn)維管理系統(tǒng)1套二期91套1套2臺(tái)三期勢(shì)感知)1臺(tái)1臺(tái)四期1套1套五期圖表12信息安全建設(shè)和規(guī)劃-一期示意圖圖表12信息安全建設(shè)和規(guī)劃-一期示意圖防病毒軟件務(wù)防傷毒軟性圖表13信息安全建設(shè)和規(guī)劃-二期示意圖運(yùn)程訪間運(yùn)程訪間VLAN2VLAN1透安全加固主機(jī)要徑加事軟件VLAN2VL內(nèi)網(wǎng)接入?yún)^(qū)交肌操人空上網(wǎng)行為審計(jì)數(shù)據(jù)庫(kù)市計(jì)，網(wǎng)培管理系統(tǒng)數(shù)據(jù)右滅一體機(jī)(本地)但皇機(jī)日志審計(jì)準(zhǔn)入控制系統(tǒng)圖書(shū)館學(xué)生宿舍DMZ(WEB應(yīng)用服務(wù)器區(qū))云WAF統(tǒng)一安全網(wǎng)關(guān)內(nèi)網(wǎng)核心交換區(qū)機(jī)房資3EQ\*jc3\*hps12\o\al(\s\up7(全),嗽)業(yè)第42業(yè)不純1教學(xué)模圖書(shū)館學(xué)生宿舍教學(xué)模1學(xué)生宿舍1教字樓X學(xué)生宿舍X學(xué)生宿舍X防病毒軟件數(shù)據(jù)中心圖表15信息安全建設(shè)和規(guī)劃-四期示意圖DMZ(Wts應(yīng)用服務(wù)器區(qū))云WAF防病毒欽件主徑加取神內(nèi)網(wǎng)核心交換區(qū)合防病毒軟件EQ\*jc3\*hps12\o\al(\s\up4(機(jī)女),址骨)EQ\*jc3\*hps12\o\al(\s\up4(全),系)防算南軟件(本地)統(tǒng)一安全同關(guān)安全日理平白w止業(yè)務(wù)服務(wù)81防的毒次性(異地)數(shù)機(jī)防病毒軟件徑加物中數(shù)試系件2號(hào)系純1全機(jī)安全管理區(qū)合EQ\*jc3\*hps12\o\al(\s\up6(W),安)EQ\*jc3\*hps12\o\al(\s\up6(tB圓產(chǎn)),全白平)臺(tái)機(jī)第教學(xué)模1學(xué)生高舍1教學(xué)模X學(xué)生礎(chǔ)舍X學(xué)生宿舍X應(yīng)用服務(wù)器區(qū))云WAF(異地)w業(yè)為124.1建設(shè)原則1、統(tǒng)一原則：安全建設(shè)應(yīng)該統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)但具體的建設(shè)內(nèi)4、可擴(kuò)展性原則：方案設(shè)計(jì)要立足于現(xiàn)有的安全需求，但同時(shí)為4.2技術(shù)安全體系建設(shè)(一)、區(qū)域邊界防護(hù)：對(duì)Internet提供服務(wù)的服務(wù)器應(yīng)當(dāng)單獨(dú)部署于DMZ安全域中。防火墻在安全區(qū)域邊界實(shí)施相應(yīng)的訪問(wèn)控制策略，對(duì)進(jìn)出安全區(qū)入侵防護(hù)系統(tǒng)、入侵檢測(cè)系統(tǒng)可以對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行監(jiān)測(cè)、報(bào)在DMZ區(qū)服務(wù)器前部署的WAB應(yīng)用防火墻從應(yīng)用協(xié)議、用戶權(quán)(二)、區(qū)域邊界包過(guò)濾(三)、區(qū)域邊界安全審計(jì)(四)、區(qū)域邊界完整性保護(hù)通過(guò)部署主機(jī)監(jiān)控與準(zhǔn)入控制系統(tǒng)，可以實(shí)現(xiàn)終端非法外聯(lián)行為的發(fā)現(xiàn)與管控，可以實(shí)現(xiàn)對(duì)非合規(guī)內(nèi)聯(lián)行為的發(fā)現(xiàn)和阻斷。網(wǎng)絡(luò)接入控制系統(tǒng)對(duì)內(nèi)聯(lián)行為的合規(guī)性和合法性進(jìn)行判斷，然后根據(jù)安全策略，采用報(bào)警、引導(dǎo)至安全修復(fù)區(qū)、阻斷等幾種方式進(jìn)行處置。4.2.2安全計(jì)算環(huán)境設(shè)計(jì)服務(wù)器操作系統(tǒng)安全加固系統(tǒng)對(duì)用戶使用的客體資源實(shí)施針對(duì)性保護(hù)，在這些客體資源重新分配前，對(duì)其原使用者的信息進(jìn)行清除，任鏈，其中采用可信計(jì)算等技術(shù)，實(shí)現(xiàn)系統(tǒng)運(yùn)行過(guò)程中可執(zhí)行程序的完整性檢驗(yàn)，阻止非授權(quán)程序的啟動(dòng)和執(zhí)行，同時(shí)防范重要執(zhí)行程序務(wù)器和終端上部署防病毒軟件，實(shí)現(xiàn)對(duì)惡意代碼的防范。(需保持惡意代碼庫(kù)的及時(shí)更新)按照“最小化原則”對(duì)門(mén)戶網(wǎng)站和業(yè)務(wù)服務(wù)器的操作系統(tǒng)進(jìn)行梳理，刪除或屏蔽不必要給功能、組件、權(quán)限。部署數(shù)據(jù)備份系統(tǒng)對(duì)重要服務(wù)器的數(shù)據(jù)進(jìn)行備份，評(píng)估相關(guān)業(yè)務(wù)通過(guò)SSLVPN實(shí)現(xiàn)遠(yuǎn)程安全接入和訪問(wèn)，SSLVPN本身具有安全審計(jì)功能，能夠?qū)尤朐L問(wèn)行為進(jìn)行審計(jì)記錄，包括訪問(wèn)行為發(fā)生的時(shí)間、是否成功、主體、客體、源地址、目標(biāo)地址、類型等信息。SSLVPN能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾蕴峁┩ㄟ^(guò)網(wǎng)絡(luò)接入控制系統(tǒng)，能夠?qū)尤朐O(shè)備的身份進(jìn)行鑒別，并且在進(jìn)行安全系統(tǒng)設(shè)計(jì)時(shí)，應(yīng)當(dāng)首先設(shè)計(jì)安全管理中心，從安全管集中部署各種安全產(chǎn)品或安全措施的管理或維護(hù)中心，實(shí)現(xiàn)對(duì)信集中身份管理、集中認(rèn)證授權(quán)、集中操作審計(jì)。2)設(shè)置安全管理中心，由安全管理中心統(tǒng)一對(duì)計(jì)算環(huán)境安全支撐平臺(tái)實(shí)施安全管理，實(shí)現(xiàn)包括主客體標(biāo)記、用戶授權(quán)、策略維護(hù)和更3)設(shè)置系統(tǒng)管理中心，聯(lián)合統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)整個(gè)系統(tǒng)的證書(shū)和密鑰實(shí)施統(tǒng)一管理，對(duì)用戶身份和軟硬件資源配置實(shí)施統(tǒng)一控制和管理；由各安全產(chǎn)品管理中心或維護(hù)中心共同構(gòu)成系統(tǒng)管理中心，實(shí)4)部署審計(jì)管理平臺(tái)，接收各個(gè)區(qū)域的審存儲(chǔ)、分析和處理提供平臺(tái)，作為管理員實(shí)施事件追蹤、責(zé)任認(rèn)定以根據(jù)業(yè)務(wù)功能以及安全需求的不同，將xxxx大學(xué)互聯(lián)網(wǎng)接入?yún)^(qū)域、內(nèi)網(wǎng)核心交換區(qū)、內(nèi)網(wǎng)安全管理區(qū)(審計(jì)核查區(qū)域)、內(nèi)網(wǎng)接入?yún)^(qū)和內(nèi)網(wǎng)服務(wù)器區(qū)、DMZ區(qū)共6個(gè)安全域。詳細(xì)說(shuō)明6.DMZ區(qū)：用于部署對(duì)外提供服務(wù)的業(yè)務(wù)應(yīng)用服務(wù)器，部署有服1)在安全管理區(qū)部署安全審計(jì)系統(tǒng)(堡壘機(jī)、數(shù)據(jù)庫(kù)審計(jì)、日志審計(jì)),實(shí)現(xiàn)對(duì)全網(wǎng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的登錄、操作進(jìn)2)在門(mén)戶網(wǎng)站和業(yè)務(wù)系統(tǒng)相關(guān)的服務(wù)器(Windows操作系統(tǒng)和Linux操作系統(tǒng))上安裝部署服務(wù)器操作系統(tǒng)安全加固軟件，提高服務(wù)器操作系統(tǒng)登錄的身份鑒別強(qiáng)度，實(shí)現(xiàn)雙因子身份認(rèn)證；對(duì)服務(wù)器操3)部署數(shù)據(jù)備份系統(tǒng)，部署數(shù)據(jù)備份系統(tǒng)對(duì)門(mén)戶網(wǎng)站和業(yè)務(wù)系統(tǒng)份數(shù)、備份策略(全量或增量)等安全因素；4)通過(guò)部署ZDNS、IT綜合運(yùn)維管理系統(tǒng)及RFID機(jī)房資產(chǎn)管理系統(tǒng)對(duì)學(xué)校整體IP地址、網(wǎng)絡(luò)核心服務(wù)、網(wǎng)絡(luò)設(shè)備、硬件資產(chǎn)、網(wǎng)絡(luò)的5)部署WEB資產(chǎn)安全管理平臺(tái)，通過(guò)資產(chǎn)發(fā)現(xiàn)、漏洞掃描、旁路阻斷等技術(shù)以及完善的網(wǎng)站及業(yè)務(wù)系統(tǒng)備案制度，形成網(wǎng)站及業(yè)務(wù)6)部署云WAF,通過(guò)云端防護(hù)體系，解析HTTP請(qǐng)求進(jìn)行規(guī)則7)通過(guò)統(tǒng)一安全管理中心、APT高級(jí)威脅分析平臺(tái)的部署，對(duì)網(wǎng)安全防護(hù)、預(yù)警。及APT攻擊分防御。同時(shí)結(jié)合大數(shù)據(jù)分析技術(shù)和數(shù)1)按照三權(quán)分立原則設(shè)置系統(tǒng)管理員角色，并根據(jù)管理員角色2)規(guī)范管理維護(hù)賬戶，對(duì)于重要網(wǎng)絡(luò)設(shè)備，一定要做到每人一賬每個(gè)管理員使用自己的賬戶登錄系統(tǒng)；更改門(mén)戶網(wǎng)站和郵件系統(tǒng)服務(wù)規(guī)定，復(fù)雜度通常應(yīng)不弱于：至少8位，應(yīng)包括大小寫(xiě)字母、數(shù)字、3)對(duì)于重要網(wǎng)絡(luò)設(shè)備，一定要通過(guò)限定登錄地址、通過(guò)堡壘機(jī)等4)完善數(shù)據(jù)備份恢復(fù)方案，在內(nèi)部進(jìn)行培訓(xùn)和演練，投入相應(yīng)人力、物力資源，確保數(shù)據(jù)備份恢復(fù)方案有效、可行、可操5)對(duì)門(mén)戶網(wǎng)站、業(yè)務(wù)系統(tǒng)慢原因進(jìn)行徹底分析，通過(guò)優(yōu)化程序、擴(kuò)容資源、增加、增加冷熱軟硬件備份設(shè)備、通過(guò)負(fù)載均衡等措施，4.3應(yīng)用安全建設(shè)應(yīng)用安全是指門(mén)戶網(wǎng)站和其它業(yè)務(wù)系統(tǒng)自身應(yīng)具備的安全功開(kāi)發(fā)、部署、測(cè)試等過(guò)程中一定要盡量避免對(duì)系統(tǒng)的正常使用造成影也無(wú)法達(dá)到具備完全合標(biāo)安全功能的水平，應(yīng)充分評(píng)估殘余的安全風(fēng)險(xiǎn)，并通過(guò)其他安全措施嘗試解決和避免，直至達(dá)到風(fēng)險(xiǎn)可接受水平中變得至關(guān)重要。目前數(shù)據(jù)中心前已布置有邊界安全設(shè)備及WEB應(yīng)用安全管理機(jī)構(gòu)的規(guī)劃，將從xxxx大學(xué)的實(shí)際情況出發(fā)，以安全組方法。其內(nèi)容包含但不少于等級(jí)保護(hù)基本要求中的第3級(jí)信息系統(tǒng)的xxxx大學(xué)信息安全組織架構(gòu)是xxxx大學(xué)參與信息安全工作的各部不同角色進(jìn)行優(yōu)化組合的結(jié)果，反映了xxxx大學(xué)各類組織在信息安全xxxx大學(xué)的組織架構(gòu)進(jìn)行重組，而是在xxxx大學(xué)原有組織架構(gòu)的基礎(chǔ)構(gòu)主要包括參與xxxx大學(xué)信息安全決策、管理、執(zhí)行一個(gè)完善有效的信息安全組織架構(gòu)來(lái)支撐。另外在未來(lái)xxxx大學(xué)信息借鑒國(guó)際最佳實(shí)踐的基礎(chǔ)上根據(jù)xxxx大學(xué)信息安全工作開(kāi)展的需求進(jìn)1、信息安全決策機(jī)構(gòu)信息安全決策機(jī)構(gòu)處于整個(gè)信息安全組織架構(gòu)的頂端，主要從高校高層的角度對(duì)于信息安全方面的工作進(jìn)行指導(dǎo)和控制，xxxx息安全決策機(jī)構(gòu)應(yīng)當(dāng)是xxxx大學(xué)信息安全工作的最高決定者，它的主2)決定xxxx大學(xué)信息安全組織主管或代表組成的跨部門(mén)的委員會(huì)，也可以是高校CIO或類似級(jí)別的和管理者，它同時(shí)具有2種角色：xxxx大學(xué)信息安全管理機(jī)構(gòu)是信息安全工作的規(guī)則制定者和決策4)對(duì)xxxx大學(xué)信息安全工作的開(kāi)展進(jìn)行日常管理和監(jiān)督信息安全工程組織一般以獨(dú)立項(xiàng)目小組的形式存在于高校中，由b.提供各種安全服務(wù)以直接支持業(yè)務(wù)，包括監(jiān)控、事件響應(yīng)、4、信息安全監(jiān)管機(jī)構(gòu)信息安全監(jiān)管機(jī)構(gòu)是針對(duì)xxxx大學(xué)信息安全管理機(jī)構(gòu)和執(zhí)行機(jī)構(gòu)是誰(shuí)的職責(zé)?”,在許多高校中對(duì)于信息安全相關(guān)職責(zé)仍停留在傳統(tǒng)全角色與職責(zé)，使高校中每個(gè)員工都能找到自己的位置，同時(shí)為以后f.用戶xxxx大學(xué)信息略、分配安全責(zé)任并協(xié)調(diào)整個(gè)xxxx大學(xué)范圍的安全策略實(shí)施，確保對(duì)全領(lǐng)導(dǎo)小組應(yīng)通過(guò)合理的責(zé)任分配和有效的資源管理促進(jìn)xxxx大學(xué)網(wǎng)●就整個(gè)xxxx大學(xué)的信息安全的作用和責(zé)任達(dá)成一致；●就信息安全的重要和原則性的方法、處理過(guò)程達(dá)成一致，并提●確保將安全作為制定業(yè)務(wù)建設(shè)和維護(hù)計(jì)劃、內(nèi)部信息系統(tǒng)建設(shè)●授權(quán)對(duì)安全控制措施是否完善進(jìn)行評(píng)估，并協(xié)調(diào)新系統(tǒng)或新服將外部安全信息及知識(shí)及時(shí)發(fā)布到xxxx大學(xué)內(nèi)部相關(guān)安全人員的共享負(fù)責(zé)xxxx大學(xué)日常安全維護(hù)工作，包括信息安全依賴安全運(yùn)行管理平臺(tái)以及各種安全審計(jì)產(chǎn)品對(duì)管理網(wǎng)的用戶可利用xxxx大學(xué)現(xiàn)有的安全信息管理平臺(tái)，對(duì)網(wǎng)絡(luò)進(jìn)行全定期對(duì)主機(jī)的網(wǎng)絡(luò)服務(wù)進(jìn)行全面安全檢測(cè)，在發(fā)現(xiàn)安全設(shè)置不當(dāng)根據(jù)等級(jí)保護(hù)基本要求對(duì)管理制度建設(shè)的要求，結(jié)合x(chóng)xxx大學(xué)的《xxxx大學(xué)信息安全方針》,確定xxxx大學(xué)信息安全工作要求和指標(biāo)的總體框架《xxxx大學(xué)信息安全體系框架》,約束和指導(dǎo)xxxx大學(xué)各層人員信息安全工作的規(guī)章制度、管理辦法和工作流程，規(guī)章制度安全技術(shù)規(guī)范管理流程保密協(xié)議管理流程信息安全方針是綱領(lǐng)性的安全策略主文檔，闡述了安全策略的目以信息系統(tǒng)安全等級(jí)保護(hù)管理要求為依據(jù)，結(jié)合x(chóng)xxx大學(xué)自身管要求，分五個(gè)步驟(落實(shí)安全責(zé)任、管理現(xiàn)狀分析、制定安全策略和制度、落實(shí)安全管理措施、安全自檢與調(diào)整)落實(shí)安全管理制度。安全管理制度體系安全管理方針和安全策略面向中高層管理層各類安全管理制度面向安全管理人員各類安全操作規(guī)程面向安全技術(shù)人員各類操作記錄表格面向一線運(yùn)維人員程管理。由于主要的建設(shè)活動(dòng)是由服務(wù)方(如集成方、開(kāi)發(fā)方、測(cè)評(píng)方、安全服務(wù)方)完成的，運(yùn)營(yíng)使用單位人員的主要工作是對(duì)其進(jìn)行編號(hào)流程1明確主管領(lǐng)導(dǎo)、落實(shí)責(zé)任部門(mén)2落實(shí)安全崗位和人員3信息系統(tǒng)安全管理現(xiàn)狀分析4確定安全管理策略和安全管理制度5落實(shí)安全管理措施6人員安全管理系統(tǒng)運(yùn)維管理系統(tǒng)建設(shè)管理環(huán)境和資產(chǎn)管理事件處理和應(yīng)急響應(yīng)設(shè)備和介質(zhì)管理災(zāi)難備份日常運(yùn)行維護(hù)安全監(jiān)測(cè)集中安全管理其他安全運(yùn)維管理7安全自查和調(diào)整度，輸出《安全管理制度建議報(bào)告》;4)依據(jù)《安全管理制度建議報(bào)告》,完善客戶安全管理制度，細(xì)化服務(wù)方式服務(wù)周期交付文檔《信息安全管理制度》4.5應(yīng)急預(yù)案體系建設(shè)4.5.2編制依據(jù)4.5.3適用范圍相關(guān)科研單位、學(xué)校的信息系統(tǒng)及承載這些信息系統(tǒng)的網(wǎng)絡(luò)(以下簡(jiǎn)稱重要信息系統(tǒng))。不包括運(yùn)營(yíng)商基礎(chǔ)網(wǎng)絡(luò)設(shè)施。4.5.4工作原則項(xiàng)目完成后，xxxx大學(xué)信息管理部門(mén)應(yīng)與xxxx股份有限公司項(xiàng)目息安全突發(fā)事件后，由xxxx大學(xué)相關(guān)負(fù)責(zé)人與信息安全應(yīng)急小組，負(fù)度。報(bào)告內(nèi)容主要包括信息來(lái)源、影響范圍、事件性質(zhì)、事件發(fā)展趨建立網(wǎng)絡(luò)與信息安全報(bào)告制度●網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常，●網(wǎng)絡(luò)和信息系統(tǒng)癱瘓，應(yīng)用服務(wù)中斷或數(shù)據(jù)篡改，丟失等情對(duì)于可能發(fā)生或已經(jīng)發(fā)生的網(wǎng)絡(luò)與信息安全突發(fā)事件，應(yīng)急小組立即采取措施控制事態(tài)，并在1小時(shí)內(nèi)進(jìn)行風(fēng)險(xiǎn)評(píng)估，判定事件等4.5.7應(yīng)急響應(yīng)置工作，立即采取措施控制事態(tài)，同時(shí)向應(yīng)急小組報(bào)告。應(yīng)急小組辦有關(guān)方面(公安機(jī)關(guān)、xxxx大學(xué)、xxxx公司組建的應(yīng)急專家組)的聯(lián)降到一定程度或基本得到解決，將各監(jiān)測(cè)統(tǒng)計(jì)數(shù)應(yīng)急小組辦公室向xxxx大學(xué)主管領(lǐng)導(dǎo)提出應(yīng)急結(jié)束的建議，經(jīng)批準(zhǔn)后4.5.9保障措施重要信息系統(tǒng)均應(yīng)建立異地容災(zāi)備份系統(tǒng)(在xxxx項(xiàng)目組的技術(shù)支持指導(dǎo)下由xxxx大學(xué)建設(shè))和相關(guān)工作機(jī)制，保證重要數(shù)據(jù)在受到4.5.10監(jiān)督管理委派專家為xxxx大學(xué)梳理和制定信息安全突發(fā)事件應(yīng)急預(yù)案，委建設(shè)符合國(guó)家和教育行業(yè)標(biāo)準(zhǔn)要求的信息安全系統(tǒng)保護(hù)業(yè)務(wù)正常運(yùn)行影響保護(hù)數(shù)據(jù)保護(hù)學(xué)校的業(yè)務(wù)數(shù)據(jù)，避免數(shù)據(jù)丟失、損壞保護(hù)IT資產(chǎn)防止IT設(shè)備丟失、“隱形”,讓IT資產(chǎn)做到物盡其用。人隱私保護(hù)學(xué)校老師和學(xué)生個(gè)人信息，防止重要個(gè)人信息泄漏安全專業(yè)人才培養(yǎng)培養(yǎng)學(xué)校安全防護(hù)人才，提升學(xué)校安全防護(hù)能力和綜合教學(xué)能力維護(hù)學(xué)校聲譽(yù)圖表19方案價(jià)值表項(xiàng)目名稱主要建設(shè)內(nèi)容(元)項(xiàng)目完成備注全系統(tǒng)運(yùn)營(yíng)維護(hù)等保合規(guī)、警優(yōu)級(jí)保護(hù)整改等保合規(guī)、系、風(fēng)險(xiǎn)評(píng)估優(yōu)成網(wǎng)站應(yīng)用安系、客戶端安全防護(hù)優(yōu)圖表20成功案列表7.1網(wǎng)絡(luò)整改及安全產(chǎn)品部署根據(jù)業(yè)務(wù)功能以及安全需求的不同，將xxxx大學(xué)信息網(wǎng)絡(luò)規(guī)劃為互聯(lián)網(wǎng)接入?yún)^(qū)域、內(nèi)網(wǎng)核心交換區(qū)、內(nèi)網(wǎng)安全管理區(qū)(審計(jì)核查區(qū)域)、內(nèi)網(wǎng)接入?yún)^(qū)和內(nèi)網(wǎng)服務(wù)器區(qū)、DMZ區(qū)共6個(gè)安全域。詳細(xì)說(shuō)明6.DMZ區(qū)：用于部署對(duì)外提供服務(wù)的業(yè)務(wù)應(yīng)用的服務(wù)器，部署有7.2安全服務(wù)在本次方案設(shè)計(jì)中我們引入2類安全服務(wù)，一是針對(duì)全校師生的網(wǎng)絡(luò)安全意識(shí)教育服務(wù)；二是針對(duì)整體網(wǎng)絡(luò)環(huán)境的安全服務(wù)包含(包含風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試、安全加固、安全通報(bào)、網(wǎng)站監(jiān)測(cè)等);具體安全意識(shí)教育方案教育教育教育方案教育內(nèi)容教育計(jì)劃教育教育方式將全體員工分為三部分(領(lǐng)導(dǎo)層、專業(yè)人員、普通師生)/兩部分 專業(yè)人員：網(wǎng)絡(luò)安全法、信息安全技術(shù)等；(根據(jù)實(shí)際需求看是保留)培訓(xùn)目的一、培訓(xùn)開(kāi)始使學(xué)員了解培訓(xùn)的目標(biāo)和內(nèi)容講師自我介紹、課程目標(biāo)介紹、課程內(nèi)容介紹二、信息安全形勢(shì)通過(guò)一些具體數(shù)據(jù)統(tǒng)計(jì)和案例安全事件“層出不窮”惡意代碼“快速泛濫”統(tǒng)計(jì)分析：通過(guò)一組統(tǒng)計(jì)數(shù)據(jù)說(shuō)明安全事件的分析，使管理層從不同的角度了解當(dāng)前信息安全的嚴(yán)峻形勢(shì)，認(rèn)清信息安全事件的危害性與急迫性。網(wǎng)絡(luò)犯罪“蒸蒸日上”敏感信息泄密“觸目驚心”應(yīng)用系統(tǒng)漏洞“隨處可見(jiàn)”信息安全損失的“冰山理論”現(xiàn)場(chǎng)實(shí)驗(yàn)：計(jì)算機(jī)木馬是如何控生成、傳播和控制你的電腦的。視頻演示：北京海淀區(qū)陳某的電腦遭入侵后被敲詐案例。間諜案”給我們的啟示漏洞展示：工業(yè)企業(yè)網(wǎng)站、應(yīng)用主機(jī)及工控系統(tǒng)由于應(yīng)用系統(tǒng)漏洞遭入侵的案例。三、什么是信息安全?結(jié)合前過(guò)一些通俗易懂的解釋使管理層了的定義、內(nèi)容及建設(shè)方法，認(rèn)識(shí)到建立信息安全保障體系對(duì)于企業(yè)的重要意義。業(yè)的重要意義。信息安全三種屬性(機(jī)密性、完整性和可用性)信息安全的保護(hù)對(duì)象(信息資信息安全的保護(hù)要求(個(gè)人和企業(yè)信息安全的要求)求(人大、公安部、國(guó)資委、工信部等)數(shù)據(jù)統(tǒng)計(jì)：面對(duì)信息系統(tǒng)故障，不同類型的企業(yè)能存活多久?國(guó)外研究：企業(yè)信息資方?案例分析：麥當(dāng)勞的垃圾也是信息資產(chǎn)。統(tǒng)計(jì)分析：2011年某行業(yè)系統(tǒng)中斷的類型與原因分析。案例分析：某軍工研究所泄密帶來(lái)的后果。法買(mǎi)賣(mài)帶來(lái)的后果。國(guó)內(nèi)研究：國(guó)內(nèi)企業(yè)建立信息安全保障體系的方法。四、高校如何有效建立信息安全體系?從管理層的角度了解高校信息安全建設(shè)的一般過(guò)程，認(rèn)清每個(gè)過(guò)程中的關(guān)鍵環(huán)節(jié)，理解企業(yè)信息安全保障體系的建立的正“無(wú)知者無(wú)畏”:安全要從風(fēng)險(xiǎn)評(píng)估開(kāi)始!“三個(gè)和尚沒(méi)水喝”:有效的信息安全組織建立是基礎(chǔ)。討厭的“蜘蛛網(wǎng)”:信息安全需要統(tǒng)一規(guī)劃和標(biāo)準(zhǔn)架構(gòu)。旋轉(zhuǎn)的“木馬”:管理安全要行?！叭旨夹g(shù)七分管理”:管理與技術(shù)并重才是王道!措施要深入業(yè)務(wù)?！敖⑷婪谰€”:組織中的信息安全需要齊抓共管。案例分析：《泰坦尼克號(hào)》給我們的啟示統(tǒng)計(jì)分析：國(guó)內(nèi)企業(yè)信息化及信息安全投入分析案例分析：某電信運(yùn)營(yíng)商投入巨資建立安全體系為什么還存在漏洞?統(tǒng)計(jì)分析：墨菲定律的啟示--下一個(gè)“倒霉案例分析：某企業(yè)業(yè)務(wù)流程中的存在的信息安全案例分析：某央企信息安全標(biāo)桿企業(yè)的信息安五、信息安全體系建設(shè)難點(diǎn)及管理層關(guān)注點(diǎn)向管理層指出信息安全建設(shè)的難點(diǎn)，通過(guò)相關(guān)企業(yè)的成功案例分析，指出何應(yīng)對(duì)這些難點(diǎn)和管理層主要關(guān)注信息安全治理機(jī)制的建立是信息安全有效管理的基礎(chǔ)；敏感信息資產(chǎn)識(shí)別、分類及控制是信息安全的核心。各崗位、角色相關(guān)人員的信息安全職責(zé)和任務(wù)都包含哪些?通過(guò)制度與流程把信息安全要求落實(shí)各個(gè)崗位是關(guān)鍵；安全問(wèn)題，再用管理措施解決復(fù)雜的人員安全問(wèn)題；安全措施的落實(shí)要考慮安全與效率的平衡，要根據(jù)企業(yè)文化逐步推進(jìn)；密條線、信息安全條線及工控安全條線職責(zé)不案例分析：某行業(yè)把信息安全作為企業(yè)定級(jí)的依據(jù)案例分析：某企業(yè)通過(guò)制度化、流程化及工具化方法來(lái)管理信息安全。案例分析：某企業(yè)為部門(mén)、個(gè)人建立信息安全指標(biāo)體系。評(píng)價(jià)方法及績(jī)效考核等措施作為保障手段；信息安全要從上到下貫徹，全員參與，加強(qiáng)培訓(xùn)、持續(xù)完案例分析：某企業(yè)豐富多彩的員工安全意識(shí)培訓(xùn)。建立策略信息資產(chǎn)人力資源安全物理安全信息泄露訪問(wèn)控制系統(tǒng)開(kāi)發(fā)安全事件災(zāi)難恢復(fù)法律法規(guī)通過(guò)實(shí)際的例子與案例介紹，并結(jié)合ISO27001的內(nèi)容，從管理層的角度出發(fā)，來(lái)看信息安全日常工作中都有哪些要格外注意的問(wèn)題，并了解業(yè)界的一些最佳實(shí)踐。針對(duì)專業(yè)人員開(kāi)展為期2天的信息安全技術(shù)專題培訓(xùn)，提高專業(yè)時(shí)間內(nèi)容講師自我介紹課程介紹&培訓(xùn)內(nèi)容介紹培訓(xùn)注意事項(xiàng)全介紹網(wǎng)絡(luò)安全所包含的基礎(chǔ)領(lǐng)域(注：以下包括部分講解問(wèn)題)網(wǎng)絡(luò)架構(gòu)安全訪問(wèn)控制安全審計(jì)網(wǎng)絡(luò)邊界完整性入侵防范惡意代碼防范網(wǎng)絡(luò)設(shè)備安全11:30~討論和學(xué)員進(jìn)行交流，對(duì)存在的問(wèn)題進(jìn)行討論13:30~介紹安全域(注：以下包括部分講解問(wèn)題)安全域設(shè)計(jì)原理安全域劃分安全域邊界整合15:30~茶歇15:40~講解問(wèn)題)路由器IOS設(shè)備本身的訪問(wèn)控制網(wǎng)絡(luò)服務(wù)安全配置IP欺騙的簡(jiǎn)單防護(hù)安全審計(jì)配置一些網(wǎng)絡(luò)攻擊的限制17:10~和學(xué)員進(jìn)行交流，對(duì)存在的問(wèn)題進(jìn)行討論第一天培訓(xùn)結(jié)束第一天培訓(xùn)結(jié)束第一天培訓(xùn)內(nèi)容回顧介紹安全運(yùn)維(注：以下包括部分講解問(wèn)資產(chǎn)管理設(shè)備管理監(jiān)控管理和安全管理中心網(wǎng)絡(luò)安全管理系統(tǒng)安全管理備份與恢復(fù)管理安全事件處置10:30~10:40~(二)問(wèn)題)資產(chǎn)管理設(shè)備管理監(jiān)控管理和安全管理中心網(wǎng)絡(luò)安全管理系統(tǒng)安全管理備份與恢復(fù)管理安全事件處置13:30~置(一)問(wèn)題)防火墻防病毒網(wǎng)關(guān)安全網(wǎng)頁(yè)防篡改系統(tǒng)網(wǎng)絡(luò)審計(jì)系統(tǒng)SSLVPN設(shè)備桌面終端管理系統(tǒng)漏洞掃描評(píng)估系統(tǒng)帶寬管理系統(tǒng)15:20~茶歇15:30~置(二)問(wèn)題)防火墻防病毒網(wǎng)關(guān)安全網(wǎng)頁(yè)防篡改系統(tǒng)網(wǎng)絡(luò)審計(jì)系統(tǒng)SSLVPN設(shè)備桌面終端管理系統(tǒng)漏洞掃描評(píng)估系統(tǒng)帶寬管理系統(tǒng)17:00~和學(xué)員進(jìn)行交流，對(duì)存在的問(wèn)題進(jìn)行討論培訓(xùn)結(jié)束作。(也可提供現(xiàn)場(chǎng)培訓(xùn)方式)附：安全意識(shí)培涉及的培訓(xùn)產(chǎn)品(用戶定制)類別輸出網(wǎng)站安全監(jiān)控1.網(wǎng)站被攻擊(sql注入、xss、非法訪問(wèn)、服務(wù)器異常等)情況，及時(shí)通知，2.檢測(cè)網(wǎng)站敏感信息、被釣魚(yú)、被掛馬等情況，及時(shí)通知，并出具臨時(shí)解決辦法?！禭XX網(wǎng)站安全監(jiān)控周報(bào)》《XXX網(wǎng)站安全監(jiān)控月報(bào)》安全通告1.所在行業(yè)的最新的安全事件預(yù)警通1.工具滲透：信息收集、端口掃描、密2.人工滲透：模擬黑客攻擊的滲透性測(cè)議。安全隱患、驗(yàn)證現(xiàn)有的安全防護(hù)措施、評(píng)估被入侵的可能性，并進(jìn)行漏洞封堵)《XXX滲透測(cè)試服務(wù)報(bào)告》安全加固安全加固，遵循系統(tǒng)安全加固指南對(duì)授權(quán)指定的設(shè)備進(jìn)行安全加固和安全增強(qiáng)，增加系統(tǒng)的抗攻擊能力(操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備加固)?！禭XX安全加固匯總報(bào)告》《XXX系統(tǒng)安全加固報(bào)告》《XXX加固前漏洞掃描報(bào)告》《XXX加固后漏洞掃描報(bào)告》《XXX應(yīng)急及回退方案》務(wù)1.通過(guò)安全評(píng)估工具定期對(duì)用戶授權(quán)信息系統(tǒng)/網(wǎng)絡(luò)節(jié)點(diǎn)，進(jìn)行脆弱性評(píng)估獲得-漏洞對(duì)應(yīng)及分布情況，并提供可操作《XXX風(fēng)險(xiǎn)評(píng)估掃描報(bào)告》《XXX風(fēng)險(xiǎn)整改建議》3.緊急事件響應(yīng)處理，在接到客戶應(yīng)急響應(yīng)服務(wù)請(qǐng)求后，安全專家提供遠(yuǎn)程安全支持和現(xiàn)場(chǎng)安全支持，判斷事件類型，排查問(wèn)題原因，協(xié)助事件溯源，協(xié)助客戶降低影響，并提供分析建議?！禭XX安全事件應(yīng)急預(yù)案》障1.重要時(shí)期安全保障，是指在重大會(huì)議、節(jié)假日等特殊時(shí)期內(nèi)，我司派出安全攻防經(jīng)驗(yàn)豐富的安全專家，進(jìn)駐XXX,對(duì)目標(biāo)系統(tǒng)進(jìn)行現(xiàn)場(chǎng)安全值守和監(jiān)控和日志分析。安全巡檢服務(wù)定期對(duì)用戶授權(quán)信息系統(tǒng)進(jìn)行的安全檢告，給出存在的安全風(fēng)險(xiǎn)并提供對(duì)應(yīng)的修復(fù)建議。1.安全漏洞評(píng)估《XXX安全巡檢服務(wù)報(bào)告》《XXX漏洞掃描報(bào)告》《XXX基線核查報(bào)告》《XXX日志分析報(bào)告》1.提供月度安全分析報(bào)表與優(yōu)化建議；3.對(duì)年度安全狀況作總體評(píng)估并編制總結(jié)報(bào)告，結(jié)合行業(yè)安全態(tài)勢(shì)制定下一年度安全優(yōu)化建議?！禭XX月度安全分析報(bào)表》《XXX年度安全分析報(bào)表》《XXX安全優(yōu)化建議》1.根據(jù)客戶現(xiàn)有人員和安全現(xiàn)狀，協(xié)助建立網(wǎng)絡(luò)安全組織體系，明確人員職2對(duì)體系內(nèi)安全工作人員日常工作內(nèi)容但不限于安全設(shè)備的管理，安全工具的使用，安全工作匯報(bào)的規(guī)范性?！禭XX安全管理制度規(guī)范》圖表21安全服務(wù)列表的一系列措施。本次安全加固服務(wù)是對(duì)xxxx大學(xué)整體網(wǎng)絡(luò)建設(shè)(合同約定時(shí)間內(nèi))提供的一系列安全服務(wù)。目的是全面提高信息系統(tǒng)的整信息資產(chǎn)信息資產(chǎn)弱點(diǎn)全措施資產(chǎn)擁有者成脅來(lái)源(5)根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計(jì)本次安全風(fēng)險(xiǎn)評(píng)估主要針對(duì)xxxx大學(xué)的WEB服務(wù)、各業(yè)務(wù)應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)安全進(jìn)行安全評(píng)估，獲得WEB服務(wù)、其他應(yīng)用軟件系統(tǒng)(如微軟的IIS);主機(jī)安全評(píng)估不包含非附屬于操作系統(tǒng)的軟件產(chǎn)品(如微軟的SQLSERVER)的安全評(píng)估。主機(jī)安全包括：客戶端?！鲇脩舭踩刂婆_(tái)安全用戶許可權(quán)限帳戶鎖定設(shè)置選項(xiàng)帳號(hào)安全管理■系統(tǒng)安全系統(tǒng)日志受信主機(jī)安全安全終端設(shè)置系統(tǒng)文件完整性及存取許可安全SUID/SGID許可程序安全文件系統(tǒng)安全特性審計(jì)策略信任域的管理■網(wǎng)絡(luò)服務(wù)安全FTP服務(wù)器安全郵件系統(tǒng)安全Finger服務(wù)安全Xwindow安全HTTP服務(wù)器安全RPC服務(wù)安全DNS服務(wù)安全共享服務(wù)安全Proxy服務(wù)安全主機(jī)安全服務(wù)涉及到BIOS、操作系統(tǒng)的基本配置文件、系統(tǒng)注冊(cè)代價(jià)分析(Scanningcostanalysis),提供書(shū)面的掃描代價(jià)分析報(bào)告，并概述：完整，全面發(fā)現(xiàn)本項(xiàng)目范圍內(nèi)系統(tǒng)數(shù)據(jù)庫(kù)的漏洞和安全隱患■數(shù)據(jù)庫(kù)用戶名和密碼管理用戶權(quán)限設(shè)置密碼策略設(shè)置冗余賬號(hào)的管理■數(shù)據(jù)庫(kù)訪問(wèn)控制■通訊安全配置■登錄認(rèn)證方式■數(shù)據(jù)的安全敏感信息的存儲(chǔ)方式數(shù)據(jù)庫(kù)備份數(shù)據(jù)庫(kù)存儲(chǔ)介質(zhì)安全傳輸加密■安全漏洞檢查■補(bǔ)丁管理■數(shù)據(jù)庫(kù)的安全審計(jì)登錄日志審計(jì)操作日志審計(jì)■網(wǎng)絡(luò)架構(gòu)■網(wǎng)絡(luò)脆弱性■數(shù)據(jù)流■應(yīng)用系統(tǒng)、■終端主機(jī)■物理安全■管理安全提升xxxx大學(xué)整體網(wǎng)絡(luò)的安全防護(hù)能力，最大程度的減小安全隱患。統(tǒng)安全性能的方法。本次滲透測(cè)試服務(wù)的主要內(nèi)容是WEB應(yīng)用漏洞和安全加固是對(duì)信息系統(tǒng)中的主機(jī)系統(tǒng)(包括主機(jī)所運(yùn)行的應(yīng)用系統(tǒng))與網(wǎng)絡(luò)設(shè)備、安全設(shè)備的脆弱性進(jìn)行分析并修補(bǔ)。另外，安全加及應(yīng)用中間件等軟件系統(tǒng)，堵塞漏洞“”后門(mén)“”,合理進(jìn)行安全性■服務(wù)器系統(tǒng)加固■操作系統(tǒng)加固■網(wǎng)絡(luò)安全加固■應(yīng)用服務(wù)加固■網(wǎng)絡(luò)設(shè)備、安全設(shè)備加固7.3一期安全產(chǎn)品/安全服務(wù)嚴(yán)重的攻擊來(lái)自系統(tǒng)內(nèi)部(80%來(lái)自內(nèi)部攻擊),內(nèi)控堡壘主機(jī)主領(lǐng)先公司，這些公司一般都提供先進(jìn)的CLI功能，管理員可以通過(guò)黑客常常通過(guò)手段(如：社會(huì)工程、惡意程序、系統(tǒng)設(shè)置漏洞、緩沖區(qū)溢出程序等)獲取用戶權(quán)限，然后使用該權(quán)限登陸系統(tǒng)。內(nèi)控建議在xxxx大學(xué)網(wǎng)絡(luò)中部署堡壘主機(jī)系統(tǒng)，為了給系統(tǒng)管理員查防火墻、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)等。然而，信息依然還面臨著諸多的困難及風(fēng)險(xiǎn)，如：制，因此員工不適當(dāng)或?yàn)E用公司網(wǎng)絡(luò)資源的行為，如進(jìn)行BT下載、觀對(duì)日志審計(jì)、行為審計(jì)有明確的要求，確保關(guān)鍵信息系統(tǒng)在可審計(jì)、按照xxxx大學(xué)網(wǎng)絡(luò)整體安全規(guī)劃，審計(jì)要遵循全網(wǎng)統(tǒng)一的安全規(guī)通過(guò)開(kāi)啟的SNMP協(xié)議，或者syslog協(xié)議，學(xué)習(xí)到各個(gè)設(shè)備的日志信息，對(duì)日志進(jìn)行分析，通過(guò)分析到的信息展示出各設(shè)備的狀如有異常，則根據(jù)提前約定好的策略發(fā)送到管理員處，以及時(shí)對(duì)其做參數(shù)設(shè)置、系統(tǒng)日志管理等。硬件系統(tǒng)采用模塊結(jié)構(gòu)，保證系統(tǒng)內(nèi)個(gè)控制參數(shù)，且支持web界面可配置，且恢復(fù)數(shù)據(jù)不影響正常的審計(jì)功能；支持自動(dòng)備份審計(jì)日志，備份完后通過(guò)FTP方式外送到外部設(shè)惡意代碼，有效防御APT攻擊，并提供終端資產(chǎn)管理、漏洞補(bǔ)丁管XP盾甲防護(hù)等，服務(wù)器和WEB應(yīng)用防護(hù)，并根據(jù)大數(shù)據(jù)作安全態(tài)勢(shì)對(duì)服務(wù)器終端安裝安全防護(hù)軟件，提升服務(wù)器終端整體安全1、產(chǎn)品采用云+端的云安全管理平臺(tái)(SAAS模式)解決服務(wù)器的全防護(hù)(防黑/防入侵/抗攻擊)、云監(jiān)控(安全監(jiān)控/性能監(jiān)控/日志監(jiān)控)、云管理以及基于大數(shù)據(jù)架構(gòu)的安全事件分析等功能；2、防暴力破解、防惡意掃描：實(shí)現(xiàn)攔截各種惡意掃描和暴力破解4、能夠禁止一般的帳號(hào)創(chuàng)建，針對(duì)帳號(hào)提權(quán)、帳號(hào)克隆等其他形意設(shè)置IP地址，可能造成IP地址沖突，關(guān)鍵設(shè)備的工作異常。若出現(xiàn)惡意盜用、冒用IP地址以謀求非法利益，后果將行、串行口、紅外口、1394口、Modem等外圍設(shè)操作系統(tǒng)補(bǔ)丁問(wèn)題。每隔一段時(shí)間微軟發(fā)布修復(fù)系統(tǒng)漏洞的補(bǔ)丁，但很多用戶不能及時(shí)使用這些補(bǔ)丁修復(fù)系統(tǒng)，造成重大損失MAC地址\IP地址\用戶名和密碼\機(jī)器指紋\U-KEY\智能卡\數(shù)字證書(shū)認(rèn)證\LDAP及無(wú)縫結(jié)合域AD管理認(rèn)證\手機(jī)短信\實(shí)名認(rèn)證等。支持HTTP/HTTPS/POP3等協(xié)議重定向，支持WEB/QQ等應(yīng)用高性能標(biāo)準(zhǔn)1U/2U網(wǎng)絡(luò)服務(wù)器，自主Linux64位安全高性能具有中央控制管理和遠(yuǎn)程部控管理功能，支持在網(wǎng)內(nèi)所有服務(wù)可以提供基本的安全資質(zhì)證書(shū)，以保證滿足等?？己嘶疽髮?duì)計(jì)算機(jī)外設(shè)接口、網(wǎng)絡(luò)通訊接口提供禁用、啟用控制功能終端接入認(rèn)證，未經(jīng)認(rèn)證計(jì)算機(jī)無(wú)法接入網(wǎng)絡(luò)使用身份認(rèn)證，非法身份無(wú)法登陸操作系統(tǒng)安全域劃分，劃分不同權(quán)限的安全域，靈活設(shè)置相互終端數(shù)據(jù)安全，對(duì)本地磁盤(pán)進(jìn)行整體加密，預(yù)防數(shù)據(jù)外泄違規(guī)外聯(lián)監(jiān)控統(tǒng)一介質(zhì)管理，移動(dòng)介質(zhì)注冊(cè)數(shù)目>400審計(jì)計(jì)算機(jī)IP地址、主機(jī)名、用戶名等基本配置信息的變更對(duì)指定的重要文件可進(jìn)行防讀取、防復(fù)制、防刪除控制支持可跨VLAN進(jìn)行監(jiān)控與審計(jì)支持分權(quán)、分級(jí)管理，以適應(yīng)復(fù)雜網(wǎng)絡(luò)環(huán)境的管理需二期安全7.3.6WEB資產(chǎn)安全治理平臺(tái)Web安全治理平臺(tái)是以符合國(guó)家關(guān)于網(wǎng)站安全相應(yīng)的政策文件為出發(fā)點(diǎn)，結(jié)合黨政機(jī)關(guān)、高校、企事業(yè)單位等客戶Web安全治理之中遇到的問(wèn)題而精心研發(fā)的一款治理型產(chǎn)品。其通過(guò)資產(chǎn)發(fā)現(xiàn)、漏洞掃描、旁路阻斷等技術(shù)以及完善的網(wǎng)站及業(yè)務(wù)系統(tǒng)備案制度，形成網(wǎng)站建立平臺(tái)化符合公安的網(wǎng)站安全準(zhǔn)入備案制度監(jiān)控網(wǎng)站日常運(yùn)營(yíng)狀態(tài)(包含安全性、合規(guī)性、可用性)實(shí)時(shí)查看各個(gè)網(wǎng)站的流量狀況，發(fā)現(xiàn)僵尸網(wǎng)站和被惡意探測(cè)的主動(dòng)探測(cè)各個(gè)服務(wù)器的指紋信息，更全面掌握服務(wù)器的信息建立統(tǒng)一管理、監(jiān)測(cè)、防護(hù)平臺(tái)，滿足2563號(hào)文件中的相應(yīng)要求本次方案中在安全管理區(qū)部署WEB綜合治理平臺(tái)，統(tǒng)一對(duì)全網(wǎng)的WEB資產(chǎn)進(jìn)行統(tǒng)一管理、網(wǎng)站全生命周期管理。檢測(cè)結(jié)練.第改，感，后門(mén)等對(duì)于不合規(guī)站進(jìn)行陽(yáng)斷健WebRAY治理平臺(tái)，能夠主動(dòng)發(fā)現(xiàn)內(nèi)部網(wǎng)站及案系統(tǒng)相結(jié)合，簡(jiǎn)化工作流程，使網(wǎng)站及業(yè)務(wù)系統(tǒng)的安全狀態(tài)一目了然。治理平臺(tái)提供網(wǎng)站安全的日常監(jiān)控，包含脆弱性管理，篡改監(jiān)控、暗鏈/黑鏈、網(wǎng)站后門(mén)、釣魚(yú)、木馬等安全問(wèn)題，并提供專業(yè)的修補(bǔ)意見(jiàn)。并且提供網(wǎng)站監(jiān)控平臺(tái)7*24小時(shí)不間斷監(jiān)控，保持監(jiān)控的持續(xù)性。突發(fā)攻擊事件發(fā)生時(shí)，及時(shí)進(jìn)行響應(yīng)與處理，構(gòu)建完善的網(wǎng)站安全體系。對(duì)于大范圍的網(wǎng)站利用自動(dòng)化的減低人工成本。通過(guò)統(tǒng)一的指標(biāo)進(jìn)行全方位監(jiān)控，為統(tǒng)一管理、監(jiān)公、學(xué)習(xí)、生活不可缺少的一部分，而Web系統(tǒng)的不斷增多卻導(dǎo)致了管理上的問(wèn)題。有的單位由于安全意識(shí)不強(qiáng)，往往在需要的時(shí)候申請(qǐng)網(wǎng)站，而不需要時(shí)卻不能及時(shí)關(guān)閉；有些老師依托學(xué)校資源建立個(gè)人博客、個(gè)人學(xué)術(shù)論壇，但往往只重用途，不重安全。而學(xué)校信息中心人員有限，無(wú)法對(duì)Web系統(tǒng)實(shí)時(shí)進(jìn)行檢查，由于這些不能及時(shí)進(jìn)行統(tǒng)理平臺(tái)在網(wǎng)絡(luò)出口旁路部署自學(xué)習(xí)引擎，通過(guò)對(duì)鏡像流量Http訪問(wèn)的分析，自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)對(duì)外提供訪問(wèn)的網(wǎng)站及業(yè)務(wù)系統(tǒng)。對(duì)于內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的發(fā)現(xiàn)，可以通過(guò)在各安全域部署探針，發(fā)現(xiàn)內(nèi)部基于Web訪問(wèn)的業(yè)務(wù)系統(tǒng)，并將內(nèi)容匯總到治理平臺(tái)。備案也是網(wǎng)站管理的一個(gè)必備步驟。治理平臺(tái)具有備案審核機(jī)制并將安全檢查融合在備案過(guò)程中。網(wǎng)站的安全準(zhǔn)入實(shí)現(xiàn)邏輯如下：理人員可通過(guò)平臺(tái)實(shí)現(xiàn)對(duì)網(wǎng)站及業(yè)務(wù)系統(tǒng)的審核工作。目前學(xué)校各學(xué)院及不了解申請(qǐng)流程，申請(qǐng)人往往不能提前準(zhǔn)備好所需資料，導(dǎo)致辦公流程多次反復(fù)，既影響了申請(qǐng)人的時(shí)間也降低了信息中心的辦事效率。進(jìn)行，方便師生的同時(shí)也大大減少了不必要的重復(fù)工作，而且各類申Web安全治理平臺(tái)利用安全檢查引擎對(duì)下設(shè)重點(diǎn)網(wǎng)站與業(yè)務(wù)系統(tǒng)進(jìn)行安全監(jiān)控，其中安全監(jiān)控模塊包括基本配置功能以及可選功能兩大部分?；竟δ馨韵氯?xiàng)：時(shí)告警，并可以通過(guò)配置對(duì)高危問(wèn)題自動(dòng)進(jìn)行阻斷。被篡改情況，第一時(shí)間通知用戶。用戶可根據(jù)WebRay提供的安全建議及時(shí)修風(fēng)險(xiǎn)。遠(yuǎn)程實(shí)時(shí)監(jiān)測(cè)目標(biāo)站點(diǎn)頁(yè)面狀況，發(fā)現(xiàn)頁(yè)面出現(xiàn)敏感關(guān)鍵詞，影響擴(kuò)散，給自身帶來(lái)聲譽(yù)和法律風(fēng)險(xiǎn)。用戶也可以自定義所關(guān)心的敏感詞做檢查。其中篡改檢測(cè)采用自主知識(shí)產(chǎn)權(quán)的頁(yè)面矢量比較算法，能夠識(shí)別頁(yè)面正常更新和篡改，暗戀檢測(cè)采用動(dòng)態(tài)沙箱技術(shù)檢測(cè)js動(dòng)態(tài)生成的暗鏈，css暗鏈等。敏感詞檢測(cè)采用語(yǔ)義分析技術(shù)針對(duì)政漏洞檢測(cè)包含Web漏洞、系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、中間目前該系統(tǒng)支持遠(yuǎn)程O(píng)WASP定義的Web威脅和及其相關(guān)的漏洞掃描監(jiān)控服務(wù)。通過(guò)遠(yuǎn)程的Web應(yīng)用業(yè)務(wù)漏洞掃描服務(wù)，由安全專家定期進(jìn)行Web應(yīng)用業(yè)務(wù)結(jié)構(gòu)分析、漏洞分析，即時(shí)獲得Web應(yīng)用業(yè)務(wù)的Webshell也叫做網(wǎng)站后門(mén)，根據(jù)一些安全研究報(bào)告我們發(fā)現(xiàn)，以反共黑客為例，其往往是在早期在網(wǎng)站中植入后門(mén)，然后進(jìn)行提權(quán)，并定期進(jìn)行存活性探測(cè)，并于重大活動(dòng)或定期進(jìn)行篡改活動(dòng)。而在網(wǎng)站后門(mén)的檢測(cè)在以往的安全中并沒(méi)有很好的重視，治理平臺(tái)中的Webshell檢測(cè)系統(tǒng)不同于傳統(tǒng)的網(wǎng)站后門(mén)檢測(cè)，不需要在服務(wù)器上安裝檢測(cè)插件，而是通過(guò)對(duì)流量的分析，以及Webshell傳輸特征庫(kù)，實(shí)現(xiàn)對(duì)Webshell的檢測(cè)。URL數(shù)據(jù)庫(kù)、IP信譽(yù)和自動(dòng)化的掃描輔助以人工確認(rèn)等綜合手段，從而構(gòu)建高效、準(zhǔn)確的反釣魚(yú)監(jiān)控系統(tǒng)。在的假冒的釣魚(yú)網(wǎng)站，同時(shí)支持三種搜索引擎的釣魚(yú)檢測(cè)算法，對(duì)釣魚(yú)鏈接或者網(wǎng)頁(yè)能保留證據(jù).面中的惡意代碼，從而使的網(wǎng)站管理員能夠第一時(shí)間感知網(wǎng)站的安全狀態(tài)，及時(shí)清除網(wǎng)頁(yè)木馬，避免給用戶帶來(lái)安全威脅，繼而影響網(wǎng)站務(wù)從不同線路來(lái)訪問(wèn)得速度情況、Web應(yīng)用業(yè)務(wù)響應(yīng)時(shí)間，從而判斷是否能達(dá)到最優(yōu)、最安全的服務(wù)質(zhì)量。通過(guò)監(jiān)測(cè)系統(tǒng)，從各省運(yùn)營(yíng)商網(wǎng)絡(luò)線路遠(yuǎn)程實(shí)時(shí)監(jiān)測(cè)目標(biāo)站點(diǎn)在多種網(wǎng)絡(luò)協(xié)議下的響應(yīng)速度、首頁(yè)加載時(shí)間等反映Web應(yīng)用業(yè)務(wù)性能狀況的內(nèi)容，一旦發(fā)現(xiàn)網(wǎng)站無(wú)法訪問(wèn)，第一時(shí)間通知用戶，如圖1-8所示：全線路探測(cè)的PING、DNS監(jiān)控域名解析變動(dòng)、HTTPGET、HEAD、關(guān)鍵字監(jiān)控，檢測(cè)目標(biāo)站點(diǎn)的首頁(yè)訪問(wèn)時(shí)延，能計(jì)量服務(wù)器對(duì)于Web系統(tǒng)的安全各校的以往思路是增加安全設(shè)備，但根據(jù)經(jīng)常曝出的安全事件來(lái)看，僅僅通過(guò)防御設(shè)備并不能有效的進(jìn)行攻擊防護(hù)。治理平臺(tái)的風(fēng)險(xiǎn)監(jiān)控預(yù)警系統(tǒng)主要可以幫助信息中心定期的對(duì)校內(nèi)的Web系統(tǒng)進(jìn)行脆弱性檢測(cè)，就如習(xí)近平總書(shū)記在419講話中提到的“找出漏洞、認(rèn)清風(fēng)險(xiǎn)”。除此之外，還建立了針