智慧校園安全防護(hù)解決方案

已達(dá)到“二級(jí)”合格標(biāo)準(zhǔn)。管理信息系統(tǒng)如門戶網(wǎng)站、系統(tǒng)、招生系統(tǒng)、教務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、金龍卡、教學(xué)資源系統(tǒng)、教學(xué)質(zhì)量監(jiān)控系統(tǒng)、圖書管理系統(tǒng)以及各部門自主購(gòu)買的一系列應(yīng)用系統(tǒng)等等，可以說(shuō)這些應(yīng)用系統(tǒng)基本上覆蓋了大部分校園信息化所具備的管理系統(tǒng)。學(xué)校中心機(jī)房有在用服務(wù)器，存儲(chǔ)設(shè)備數(shù)套，分屬各處室、分院及圖書館，各自運(yùn)行、存儲(chǔ)獨(dú)立的管理系統(tǒng)及數(shù)字資源。信息化建設(shè)已經(jīng)基本覆蓋校內(nèi)的大部分管理信息化領(lǐng)域，數(shù)字校園建設(shè)初具規(guī)模。當(dāng)前已建的這些應(yīng)用系統(tǒng)，基本能夠解決高校在行政辦公管理、教務(wù)管理、學(xué)工管理以積累了不同業(yè)務(wù)、不同階段的各類數(shù)據(jù)。而這些數(shù)據(jù)的沉淀，作為我校在“十二五”期間，信息化建設(shè)的重要成果，為下一階段的數(shù)據(jù)決策和分析提供有校通過(guò)在“十二五”期間的信息化建設(shè)，在完成各類結(jié)果數(shù)據(jù)沉淀的同時(shí)，為各級(jí)各類型業(yè)務(wù)部門利用信息技術(shù)和手段開(kāi)展業(yè)務(wù)辦理，提供了有效的應(yīng)用環(huán)境。在業(yè)務(wù)辦理過(guò)程中，因?yàn)橛辛嘶讵?dú)立面向單體業(yè)務(wù)開(kāi)發(fā)的各類業(yè)務(wù)應(yīng)用系統(tǒng)，辦理效率在大幅提升，為高校整體運(yùn)營(yíng)層面大大降低了因?yàn)槿斯し绞綆?lái)的運(yùn)營(yíng)成本。面向?qū)W生，也能夠利用信息化的手段為他們提供基于某個(gè)業(yè)務(wù)場(chǎng)景的業(yè)務(wù)服務(wù)。不可否認(rèn)的是，高校通過(guò)“十二五”期間展開(kāi)的信息化在信息化建設(shè)的道路上仍然有很多的空間需要提升。隨著信息化建設(shè)的推進(jìn)，云計(jì)算的技術(shù)的不斷成熟以及在高校領(lǐng)域的不斷滲入云計(jì)算通過(guò)將數(shù)據(jù)統(tǒng)一存儲(chǔ)在云計(jì)算服務(wù)器中，加強(qiáng)對(duì)核心數(shù)據(jù)的集中管控，比傳統(tǒng)分等行為更加簡(jiǎn)單易行，同時(shí)更容易實(shí)現(xiàn)系統(tǒng)容錯(cuò)、高可用性和冗余及災(zāi)備恢復(fù)。但云計(jì)算在帶來(lái)方便快捷的同時(shí)也帶來(lái)新的挑戰(zhàn)我們不得不進(jìn)一步發(fā)現(xiàn)，從高校整體信息化建設(shè)的過(guò)程、應(yīng)用的過(guò)程以及后期維護(hù)的過(guò)程中，仍然存在問(wèn)題有些問(wèn)題直接影響了高校后續(xù)信息化建設(shè)的節(jié)奏與效果。這些問(wèn)題主要1.1.1缺乏統(tǒng)一的開(kāi)放支撐平臺(tái)，多廠商共建造成過(guò)程風(fēng)險(xiǎn)高校在“十二五”期間建設(shè)的信息化系統(tǒng)眾多。其間涉及門戶網(wǎng)站、系統(tǒng)、招生系統(tǒng)、教務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、金龍卡、教學(xué)資源系統(tǒng)、教學(xué)質(zhì)量監(jiān)控系統(tǒng)、圖書管理系統(tǒng)以及各部門自主購(gòu)買的一系列應(yīng)用系統(tǒng)等等。信息化建設(shè)過(guò)程中，多個(gè)廠商參與共建，而建設(shè)的內(nèi)容都是以業(yè)務(wù)部門需求為核心的單體業(yè)務(wù)系統(tǒng)，現(xiàn)在是普遍高校信息化建設(shè)的現(xiàn)狀。學(xué)校的信息化建設(shè)在設(shè)計(jì)初期，都在強(qiáng)調(diào)頂層規(guī)劃。應(yīng)該講，這樣一張藍(lán)圖是指導(dǎo)學(xué)校后續(xù)的信息化逐步推進(jìn)的原則中，由于不同廠商參與建設(shè)的學(xué)校信息化，就會(huì)出現(xiàn)實(shí)際建設(shè)路徑與最初設(shè)計(jì)藍(lán)圖不一致的情況。歸結(jié)原因主要有以下兩點(diǎn)：其一，不同廠商采用不同的技術(shù)架構(gòu)開(kāi)發(fā)設(shè)計(jì)，過(guò)程相對(duì)封閉。而學(xué)校信息化一旦需要從單體系統(tǒng)向一體化轉(zhuǎn)型時(shí)，就會(huì)帶來(lái)因?yàn)榉忾]技術(shù)架構(gòu)帶來(lái)的沖突，使整合難度加大，對(duì)學(xué)校而言建設(shè)安全風(fēng)險(xiǎn)增加。其二，建設(shè)邊界相對(duì)模糊，帶來(lái)學(xué)校從單體系統(tǒng)一體化轉(zhuǎn)型過(guò)程中，權(quán)責(zé)難以明確的問(wèn)題。廠商之間互相推諉，撇清責(zé)任。這對(duì)學(xué)校信息化安全建設(shè)過(guò)程無(wú)疑風(fēng)險(xiǎn)巨大。在安全性和用戶直接使用感受上都存在問(wèn)題，師生在使用各信息系統(tǒng)時(shí)往往會(huì)面對(duì)各種賬號(hào)，在用戶體驗(yàn)上大打折扣。1.1.2校級(jí)流程管控缺失，各處室割離建設(shè)造成流程雜亂當(dāng)前大部分高校在信息化建設(shè)過(guò)程中，各個(gè)部門和二級(jí)學(xué)院的規(guī)劃和建設(shè)，都是各自為政，建設(shè)自己的管理信息系統(tǒng)或應(yīng)用軟件，這些軟件系統(tǒng)來(lái)源于不同部門的采購(gòu)，軟件產(chǎn)品分屬于不同的生產(chǎn)商。這種狀況表現(xiàn)在應(yīng)用過(guò)程中功能重疊、數(shù)據(jù)格式多樣性和系統(tǒng)之間各系統(tǒng)難于共享信息。由不同的軟件供應(yīng)商提供建設(shè)的各個(gè)業(yè)務(wù)系統(tǒng)的建設(shè)覆蓋面較窄，且中間涉及到與該業(yè)務(wù)部門相關(guān)的大量業(yè)務(wù)流程。這些業(yè)務(wù)流程長(zhǎng)短不一，其應(yīng)用場(chǎng)景也相對(duì)校級(jí)的業(yè)務(wù)流程現(xiàn)在在國(guó)內(nèi)的大部分高校信息化建設(shè)過(guò)程中都相對(duì)缺失。帶來(lái)這個(gè)問(wèn)題的主要原因是由于單體業(yè)務(wù)系統(tǒng)的人為割裂建設(shè)有關(guān)。業(yè)務(wù)部門是這些業(yè)務(wù)系統(tǒng)建設(shè)的需求提出單位，他們所關(guān)注的僅僅是這個(gè)業(yè)務(wù)部門在某個(gè)業(yè)務(wù)場(chǎng)景中的流程需要。他們并不會(huì)過(guò)內(nèi)部的業(yè)務(wù)流程，每流程節(jié)點(diǎn)的執(zhí)行人、執(zhí)行時(shí)間、執(zhí)行耗時(shí)、執(zhí)行效果、執(zhí)行評(píng)價(jià)等這些信息也是一無(wú)所知，這也就帶來(lái)了當(dāng)前大部分高校在進(jìn)行信息化建設(shè)過(guò)程中校級(jí)流程的缺失。1.1.3流程雜亂及數(shù)據(jù)質(zhì)量監(jiān)控缺失造成數(shù)據(jù)質(zhì)量低下高校目前構(gòu)建的這些業(yè)務(wù)應(yīng)用系統(tǒng)，從單體的系統(tǒng)使用情況看，仍然存在“建的多，用對(duì)業(yè)務(wù)系統(tǒng)而言，在應(yīng)用環(huán)節(jié)的缺失，直接影響對(duì)應(yīng)業(yè)務(wù)數(shù)據(jù)的沉淀，更不用提到所謂數(shù)據(jù)質(zhì)量的問(wèn)題。這是影響數(shù)據(jù)質(zhì)量不高的原因之一。另外，學(xué)校對(duì)于數(shù)據(jù)質(zhì)量的監(jiān)控，包括數(shù)據(jù)交換過(guò)程的監(jiān)控、代碼標(biāo)準(zhǔn)的監(jiān)控缺失，也導(dǎo)致數(shù)據(jù)質(zhì)量的低下，實(shí)為原因之二。1.1.4高校普遍網(wǎng)站安全防護(hù)力度不夠安全漏洞未及時(shí)更新隨著教育行業(yè)信息化的快速發(fā)展和網(wǎng)絡(luò)信息技術(shù)的普及應(yīng)用，網(wǎng)絡(luò)安全面臨的威脅越來(lái)越嚴(yán)峻。很多高校的網(wǎng)站或信息系統(tǒng)存在跨站腳本、注入和后臺(tái)管理弱口令等高危漏洞，部分網(wǎng)站已經(jīng)被植入木馬。部分雖然配置了安全防護(hù)設(shè)備，但疏于管理，實(shí)效性較差，安全防護(hù)效果不明顯。總體來(lái)看，教育行業(yè)的網(wǎng)絡(luò)與信息安全形勢(shì)嚴(yán)峻，及時(shí)查補(bǔ)信息安全漏洞，積極采取應(yīng)對(duì)措施1.1.5高校數(shù)據(jù)中心安全危機(jī)和運(yùn)維管控難度加大隨著教育信息化建設(shè)的逐步深入，教務(wù)工作對(duì)信息系統(tǒng)依賴的程度越來(lái)越高，數(shù)據(jù)服務(wù)器成為了高校重要組成內(nèi)容，積聚越來(lái)越多的信息資源。近幾年網(wǎng)上黑客攻擊，修改考試成績(jī)，騙取認(rèn)證證書等事件屢有發(fā)生，教育系統(tǒng)已經(jīng)逐漸成為黑客關(guān)注的重點(diǎn)目標(biāo)，高校數(shù)據(jù)中心的安全保障工作已經(jīng)迫在眉睫。教育系統(tǒng)信息泄露安全風(fēng)險(xiǎn)分析1、來(lái)自互聯(lián)網(wǎng)風(fēng)險(xiǎn)教育行業(yè)網(wǎng)站系統(tǒng)中括學(xué)校院系門戶、教學(xué)管理系統(tǒng)、網(wǎng)上課程、數(shù)字圖書館、網(wǎng)上辦公等，為高校師生們提供各式各樣的網(wǎng)絡(luò)服務(wù)。并且都與上級(jí)教育部門進(jìn)行多項(xiàng)聯(lián)系，教育系統(tǒng)網(wǎng)絡(luò)如果與公網(wǎng)直接或間接互聯(lián)，那么由于互聯(lián)網(wǎng)自身的廣泛性、自由性等特點(diǎn)，像高校這樣的教育行業(yè)單位自然會(huì)被惡意的入侵者列入其攻擊目標(biāo)的前列。需要對(duì)數(shù)據(jù)庫(kù)的安全進(jìn)行權(quán)限控制和加密措施2、來(lái)自運(yùn)維管理的安全風(fēng)險(xiǎn)隨著信息教育行業(yè)信息化建設(shè)進(jìn)程，由于設(shè)備和服務(wù)器眾多，特別是建設(shè)有數(shù)據(jù)中心，云平臺(tái)和虛擬機(jī)眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問(wèn)、誤操作、濫用、惡意破壞等情況時(shí)有發(fā)生，這嚴(yán)重影響教務(wù)工作運(yùn)行效能，并對(duì)學(xué)校聲譽(yù)造成重大影響。另外黑客的惡意訪問(wèn)也有可能獲取可估量的損失。如何提高系統(tǒng)運(yùn)維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計(jì)依據(jù)，降低運(yùn)維成本，滿足相關(guān)標(biāo)準(zhǔn)要求，越來(lái)越成為高校關(guān)心1.1.6私有云的建設(shè)，帶來(lái)便利的同時(shí)面臨著新的挑戰(zhàn)高校現(xiàn)在的的數(shù)據(jù)量和應(yīng)用規(guī)模越來(lái)越大，大部分的高校建設(shè)或者考慮建設(shè)自己的私有云以滿足未來(lái)越來(lái)越大的數(shù)據(jù)規(guī)模。從風(fēng)險(xiǎn)管理的角度講，云的風(fēng)險(xiǎn)來(lái)源于管理資產(chǎn)、威脅、脆弱性和防護(hù)措施及其相關(guān)關(guān)系，保障云計(jì)算平臺(tái)的持續(xù)安全，以及其所支撐的業(yè)務(wù)的安全。云計(jì)算平臺(tái)是在傳統(tǒng)技術(shù)的基礎(chǔ)上，增加了一個(gè)虛擬化層，并且具有了資源池化、按需分配，彈性調(diào)配，高可靠等特點(diǎn)。因此，傳統(tǒng)的安全威脅種類依然存在，傳統(tǒng)的安全防護(hù)方案依然可以發(fā)揮一定的作用。綜合考慮云計(jì)算所帶來(lái)的變化、風(fēng)險(xiǎn)，從保障系統(tǒng)整體安全出發(fā)，其面臨的主要挑戰(zhàn)和需求如下：法律和合規(guī)動(dòng)態(tài)、虛擬化網(wǎng)絡(luò)邊界安全虛擬化安全流量可視化數(shù)據(jù)保密和防泄露安全運(yùn)維和管理針對(duì)云計(jì)算所面臨的安全威脅及來(lái)自各方面的安全需求，需要對(duì)科學(xué)設(shè)計(jì)云計(jì)算平臺(tái)的安全防護(hù)架構(gòu)，選擇安全措施，并進(jìn)行持續(xù)管理，滿足云計(jì)算平臺(tái)的全生命周期的安全。信息化問(wèn)題解決思路2.1信息化云-管-端整體布局圖-1整體技術(shù)架構(gòu)如上圖所述，高校需要建設(shè)一個(gè)完整的開(kāi)放式的私有云生態(tài)體系，實(shí)際上是包括了從開(kāi)發(fā)生態(tài)、運(yùn)行生態(tài)、應(yīng)用服務(wù)生態(tài)到運(yùn)營(yíng)生態(tài)的式向最終用戶進(jìn)行業(yè)務(wù)展現(xiàn)。每個(gè)階段的建設(shè)思路和模式都對(duì)整體信息化建設(shè)起著至關(guān)重要通過(guò)組件化開(kāi)發(fā)平臺(tái)，形成應(yīng)用和組件，應(yīng)用和組件掛載到校園服務(wù)總線，可為校內(nèi)應(yīng)用服務(wù)池和業(yè)務(wù)應(yīng)用管理服務(wù)平臺(tái)調(diào)用。并將其通過(guò)資源庫(kù)的方式積累為行業(yè)資源庫(kù)，為日后資源復(fù)用提供儲(chǔ)備。同時(shí)開(kāi)發(fā)平臺(tái)能夠?qū)ν獠康牡谌綉?yīng)用進(jìn)行服務(wù)化的封新的應(yīng)用或組件，掛載到校園服務(wù)總線。基于組件化開(kāi)發(fā)平臺(tái)的可視化開(kāi)發(fā)過(guò)程，校內(nèi)的廣大師生和社會(huì)人士也可以通過(guò)該工具完成簡(jiǎn)單的應(yīng)用服務(wù)開(kāi)發(fā)，并通過(guò)發(fā)布工具發(fā)布到校內(nèi)，增強(qiáng)信息化建設(shè)整體參與面的廣度和深度。以校園服務(wù)總線、應(yīng)用管理服務(wù)平臺(tái)以及包括主數(shù)據(jù)管理、身份認(rèn)證管理、統(tǒng)一通訊、移動(dòng)支撐平臺(tái)等在內(nèi)的公共應(yīng)用組件，為學(xué)校提供統(tǒng)一的、高交互性、高開(kāi)放性的服務(wù)應(yīng)用運(yùn)行環(huán)境。其提供的服務(wù)都是通過(guò)校園服務(wù)總線進(jìn)行統(tǒng)一發(fā)布的服務(wù)，通過(guò)業(yè)務(wù)應(yīng)用管理服務(wù)平臺(tái)將其編排成符合學(xué)校需要的業(yè)務(wù)邏輯，提供給用戶使用。校園服務(wù)總線負(fù)責(zé)整個(gè)學(xué)校信息化建設(shè)各個(gè)平臺(tái)間服務(wù)交互和信息傳遞，通過(guò)服務(wù)治理工具管理服務(wù)運(yùn)行，通過(guò)基于校園服務(wù)總線務(wù)標(biāo)準(zhǔn)管理工具保障各服務(wù)間調(diào)用的規(guī)范性。被服務(wù)調(diào)度總線封裝的，除了組件化開(kāi)發(fā)平臺(tái)提供的應(yīng)用和組件外，還包括校內(nèi)很多的基礎(chǔ)應(yīng)用組件，如主數(shù)據(jù)管理、統(tǒng)一身份認(rèn)證、統(tǒng)一支付等，都以服務(wù)的方式在服務(wù)調(diào)度平臺(tái)上進(jìn)行掛載，并借由服務(wù)調(diào)度平臺(tái)完成同其它平臺(tái)的集成。改變?cè)械男姓?、管理化信息系統(tǒng)使用模式，以類互聯(lián)網(wǎng)的模式，形成校內(nèi)的應(yīng)用超市，包括校內(nèi)師生綜合服務(wù)平臺(tái)和校外的服務(wù)應(yīng)用池，有效接入，實(shí)現(xiàn)應(yīng)用服務(wù)的動(dòng)態(tài)分配和按需使用。并對(duì)服務(wù)使用進(jìn)行全面監(jiān)控和管理，對(duì)業(yè)務(wù)過(guò)程和服務(wù)質(zhì)量做到有效評(píng)估。云計(jì)算平臺(tái)的安全保障技術(shù)體系不同于傳統(tǒng)系統(tǒng)，它也必須實(shí)現(xiàn)和提供資源彈性、按需分配、全程自動(dòng)化的能力，不僅僅為云平臺(tái)提供安全服務(wù)，還必須為租戶提供安全服務(wù)，因此需要在傳統(tǒng)的安全技術(shù)架構(gòu)基礎(chǔ)上，實(shí)現(xiàn)安全充分考慮云計(jì)算的特點(diǎn)和優(yōu)勢(shì)，以及最新的安全防護(hù)技術(shù)發(fā)展情況，為了達(dá)成提供資源彈性、按需分配的安全能力，云平臺(tái)的安全技術(shù)實(shí)現(xiàn)架構(gòu)設(shè)計(jì)如下：?安全資源池：可以由傳統(tǒng)的物理安全防護(hù)組件、虛擬化安全防護(hù)組件組成，提供基?安全平臺(tái)：提供對(duì)基礎(chǔ)安全防護(hù)組件的注冊(cè)、調(diào)度和安全策略管理。可以設(shè)立一個(gè)綜合的安全管理平臺(tái)，或者分立的安全管理平臺(tái)，如安全評(píng)估平臺(tái)、異常流量檢測(cè)統(tǒng)計(jì)分析和報(bào)表等功能，是租戶管理其安全服務(wù)的門戶通過(guò)此技術(shù)實(shí)現(xiàn)架構(gòu)，可以實(shí)現(xiàn)安全服務(wù)/能力的按需分配和彈性調(diào)度。當(dāng)然，在進(jìn)行安全防護(hù)措施具體部署時(shí)，仍可以采用傳統(tǒng)的安全域劃分方法，明確安全措施的部署位置、安全策略和要求，做到有效的安全管控。對(duì)于安全域的劃分方法詳見(jiàn)第五章。對(duì)于具體的安全控制措施來(lái)講，通常具有硬件盒子和虛擬化軟件兩種形式，可以根據(jù)云平臺(tái)的實(shí)際情況進(jìn)行部署方案選擇。云平臺(tái)的安全防護(hù)措施可以與云平臺(tái)體系架構(gòu)有機(jī)的集成在一起，對(duì)云平臺(tái)及云租戶提供按需的安全能力?；谕ㄓ闷脚_(tái)組件的應(yīng)用基于通用平臺(tái)組件的應(yīng)用理理理理安全服臺(tái)管理基于基礎(chǔ)設(shè)施的應(yīng)用系統(tǒng)軟件基于基礎(chǔ)設(shè)施的應(yīng)用系統(tǒng)軟件平臺(tái)平臺(tái)器器2.3運(yùn)營(yíng)生態(tài)體系—信息的高可用性通過(guò)對(duì)高校信息化建設(shè)現(xiàn)狀與問(wèn)題的分析與總結(jié)，未來(lái)高校信息化建設(shè)的核心是以面向個(gè)高開(kāi)放度的信息化環(huán)境，更好的應(yīng)對(duì)學(xué)校內(nèi)部業(yè)務(wù)變化和外部信息技術(shù)發(fā)展趨勢(shì)帶來(lái)的沖擊。構(gòu)建這樣的一種生態(tài)體系，學(xué)校需要從技術(shù)架構(gòu)、建設(shè)思路、建設(shè)模式等多個(gè)方面進(jìn)行轉(zhuǎn)變。要做到能夠同時(shí)滿足技術(shù)發(fā)展的需要、學(xué)校業(yè)務(wù)的需求、供應(yīng)商參與的訴求，充分利用學(xué)校在信息化方面的人力與物力投入，構(gòu)建良性的、可持續(xù)發(fā)展的校園信息化生態(tài)。圍繞行政部門建設(shè)信息化的思路和模式。基于開(kāi)放的信息化環(huán)境，將校內(nèi)信息化建設(shè)成果和校外互聯(lián)網(wǎng)應(yīng)用都以服務(wù)的形態(tài)進(jìn)行重新梳理、重新組合，并通過(guò)有效的管理機(jī)制在校內(nèi)的統(tǒng)一應(yīng)用平臺(tái)上進(jìn)行注冊(cè)、發(fā)布，為校內(nèi)師生提供綜合性的服務(wù)獲取通道和高體驗(yàn)度的應(yīng)用服務(wù)，大大增加用戶黏性與依賴度?；诟呤褂寐实木C合服務(wù)，校內(nèi)師生不但可以在綜合服務(wù)平臺(tái)上使用服務(wù)，還可以對(duì)校內(nèi)服務(wù)進(jìn)行評(píng)價(jià)和反饋，綜合服務(wù)平臺(tái)同時(shí)記錄下各類用戶的操作軌跡、用戶行為，輔以傳統(tǒng)的管理業(yè)務(wù)數(shù)據(jù)，為各級(jí)管理者提供全面、有效的數(shù)據(jù)分析服務(wù)，幫助各級(jí)管理者決策分析，優(yōu)化業(yè)務(wù)模式。各類需要優(yōu)化的應(yīng)用，需要有效的運(yùn)營(yíng)機(jī)制保障，在校內(nèi)建立長(zhǎng)效化、持續(xù)化的運(yùn)營(yíng)機(jī)制，保證校內(nèi)應(yīng)用和服務(wù)的升級(jí)與迭代。在運(yùn)營(yíng)機(jī)制的保障下，借助快速建模工共同提升校內(nèi)信息化水平。建設(shè)一套上網(wǎng)行為管理系統(tǒng)，有效防止互聯(lián)網(wǎng)有害信息在高校的散布與傳播，加強(qiáng)對(duì)危害國(guó)家安全、影響社會(huì)穩(wěn)定、淫穢色情等有害信息的預(yù)防、監(jiān)控和管理力度，防范各種破環(huán)活動(dòng)，配合公安部門及時(shí)發(fā)現(xiàn)和打擊各種網(wǎng)上違法犯罪行為。通過(guò)對(duì)網(wǎng)絡(luò)進(jìn)行有效的控制和監(jiān)管，規(guī)范用戶正確的上網(wǎng)行為，努力創(chuàng)建和諧校園。確保應(yīng)用安全的最大化，防止網(wǎng)頁(yè)內(nèi)容被篡改，防止網(wǎng)站數(shù)據(jù)庫(kù)內(nèi)容泄露，防止口令被突破，防止系統(tǒng)管理員權(quán)限被竊取，防止網(wǎng)站被掛馬和植入病毒、惡意代碼、間諜軟件等，防止用戶輸入信息的泄露，防止賬號(hào)失竊，防注入，防攻擊等。由于信息化系統(tǒng)的脆弱性、技術(shù)的復(fù)雜性、操作的人為因素，在設(shè)計(jì)以預(yù)防、減少或消除潛在風(fēng)險(xiǎn)為目標(biāo)的安全架構(gòu)時(shí)，引入運(yùn)維管理與操作監(jiān)控機(jī)制以預(yù)防、發(fā)現(xiàn)錯(cuò)誤或違規(guī)事件，對(duì)風(fēng)險(xiǎn)進(jìn)行事前防范、事中控制、事后監(jiān)督和糾正的組合管理是十分必要的及時(shí)的進(jìn)行信息化系統(tǒng)的安全評(píng)估及安全掃描，從而發(fā)現(xiàn)的各種系統(tǒng)漏洞，并且依據(jù)既定的相關(guān)策略，采取措施予以彌補(bǔ)，消除已暴露的問(wèn)題和可能的隱患，加固主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備和架構(gòu)、應(yīng)用程序安全漏洞，提高信息系統(tǒng)的健壯性，抵御外部的各種安全風(fēng)險(xiǎn)以及惡意攻擊，實(shí)現(xiàn)信息系統(tǒng)長(zhǎng)期安全、穩(wěn)定運(yùn)行的最終目標(biāo)。新的建設(shè)模式需要新的技術(shù)體系支持，改良校內(nèi)現(xiàn)有架構(gòu)是本次項(xiàng)目規(guī)劃與建設(shè)中非常重要的環(huán)節(jié)。基礎(chǔ)架構(gòu)的合理性和先進(jìn)性以及開(kāi)放性決定了我校未來(lái)信息化建設(shè)成敗。通過(guò)建立新的基礎(chǔ)支撐平臺(tái)，實(shí)現(xiàn)對(duì)校內(nèi)各類應(yīng)用、服務(wù)的有序接入和管理，綜合數(shù)據(jù)層面、開(kāi)發(fā)層面、應(yīng)用層面和運(yùn)維層面，建立統(tǒng)一的基礎(chǔ)支撐架構(gòu)，保證信息化建設(shè)的基礎(chǔ)堅(jiān)實(shí)。高校經(jīng)過(guò)多年的信息化建設(shè)，已經(jīng)形成了一套校內(nèi)的信息標(biāo)準(zhǔn)，并且學(xué)校現(xiàn)在已經(jīng)建立了公共數(shù)據(jù)平臺(tái)，用于處理各業(yè)務(wù)系統(tǒng)的共享數(shù)據(jù)交換和集成，同時(shí)積累大量的業(yè)務(wù)數(shù)據(jù)。但隨著信息技術(shù)的發(fā)展和校內(nèi)業(yè)務(wù)的調(diào)整，原有信息標(biāo)準(zhǔn)已經(jīng)不能滿足未來(lái)的信息化發(fā)展需在一定問(wèn)題。因此，為了達(dá)成上文信息化生態(tài)的整體建設(shè)目標(biāo)，建議對(duì)現(xiàn)有的公共數(shù)據(jù)平臺(tái)進(jìn)行升級(jí)改造，從以下幾個(gè)層面提升數(shù)據(jù)平臺(tái)的能力：升級(jí)現(xiàn)有信息標(biāo)準(zhǔn)管理系統(tǒng)，一方面可以全面升級(jí)學(xué)校原有信息標(biāo)準(zhǔn)的內(nèi)容，另一方面可以加強(qiáng)信息標(biāo)準(zhǔn)的實(shí)際使用和執(zhí)行情況的管理手段，學(xué)校內(nèi)部的主數(shù)據(jù)庫(kù)和業(yè)務(wù)數(shù)據(jù)庫(kù)一旦有和信息標(biāo)準(zhǔn)不同步或不一致的情況，系統(tǒng)將及時(shí)檢查并將差異情況提報(bào)給數(shù)據(jù)平臺(tái)管理人員，幫助其了解和及時(shí)糾正信息標(biāo)準(zhǔn)執(zhí)行的差異，確保信息標(biāo)準(zhǔn)的可執(zhí)行性?，F(xiàn)有公共數(shù)據(jù)平臺(tái)的數(shù)據(jù)集成和共享完全基于的方式進(jìn)行，作為業(yè)內(nèi)通用和常用的成熟技術(shù)，在數(shù)據(jù)交換和共享過(guò)程中的穩(wěn)定性和高適用性具有很好的優(yōu)勢(shì)。但隨著信息架構(gòu)的發(fā)展，傳統(tǒng)的方式缺少數(shù)據(jù)共享的及時(shí)性和靈活性，無(wú)法將一些需要快速反饋的數(shù)據(jù)進(jìn)行有效息化建設(shè)過(guò)程中，需要提供及時(shí)有效、靈活可配的數(shù)據(jù)共享方式，便于后期碎片化服務(wù)的封數(shù)據(jù)作為信息化建設(shè)的核心內(nèi)容，其質(zhì)量好壞在高校內(nèi)一直是一個(gè)無(wú)法量化的黑盒，但數(shù)據(jù)質(zhì)量的好壞直接影響到學(xué)校后期數(shù)據(jù)分析和數(shù)據(jù)利用的有效性，因此需要一套先進(jìn)的管理工具，對(duì)學(xué)校的數(shù)據(jù)質(zhì)量進(jìn)行全面的監(jiān)控，幫助數(shù)據(jù)平臺(tái)管理人員了解校內(nèi)數(shù)據(jù)質(zhì)量，便于其有效推進(jìn)和提升校內(nèi)整體數(shù)據(jù)質(zhì)量?，F(xiàn)有公共數(shù)據(jù)平臺(tái)的主要作用是保證校內(nèi)共享數(shù)據(jù)的交換，因此其主要是對(duì)現(xiàn)有業(yè)務(wù)數(shù)據(jù)的同步更新與共享發(fā)布，并沒(méi)有對(duì)抽取上來(lái)的共享業(yè)務(wù)數(shù)據(jù)的歷史數(shù)據(jù)進(jìn)行保存，一旦學(xué)校的業(yè)務(wù)系統(tǒng)不具備對(duì)歷史業(yè)務(wù)數(shù)據(jù)的存檔功能，學(xué)校大量的歷史數(shù)據(jù)便會(huì)隨著新業(yè)務(wù)數(shù)據(jù)的更新而丟失，很大程度上后期學(xué)校進(jìn)行數(shù)據(jù)分析和數(shù)據(jù)統(tǒng)計(jì)的使用。臺(tái)升級(jí)建設(shè)同樣需要對(duì)歷史業(yè)務(wù)數(shù)據(jù)進(jìn)行詳盡保存，以天為單位進(jìn)行歷史數(shù)據(jù)切片保存，作為學(xué)校數(shù)據(jù)資產(chǎn)的積累?；谏鲜鏊膫€(gè)層面，高校在后期需要通過(guò)建立一個(gè)符合教育行業(yè)特性的高校數(shù)主據(jù)管理平臺(tái)。覆蓋高校數(shù)據(jù)層面全生命周期的管理。從信息標(biāo)準(zhǔn)、代碼標(biāo)準(zhǔn)，到數(shù)據(jù)共享、交換，直至最終的數(shù)據(jù)質(zhì)量保證等。將高質(zhì)量的主數(shù)據(jù)以服務(wù)的方式提供給校園服務(wù)總線，便于上層應(yīng)用的抽取和使用。同時(shí)需要提升信息標(biāo)準(zhǔn)執(zhí)行能力，采用自動(dòng)化工具對(duì)校內(nèi)信息標(biāo)準(zhǔn)和代碼標(biāo)提升數(shù)據(jù)共享集成能力，做到數(shù)據(jù)實(shí)時(shí)共享。信息標(biāo)準(zhǔn)建設(shè)：在進(jìn)行后期信息化建設(shè)之前，需要對(duì)校內(nèi)的信息標(biāo)準(zhǔn)和數(shù)據(jù)質(zhì)量進(jìn)行重新的梳理和規(guī)劃，以服務(wù)化和開(kāi)放性的視角重新定義校內(nèi)信息標(biāo)準(zhǔn)，使之具有可擴(kuò)展性和可持續(xù)性。對(duì)學(xué)?，F(xiàn)有信息標(biāo)準(zhǔn)和數(shù)據(jù)質(zhì)量進(jìn)行全面梳理和優(yōu)化，使之能夠提供符合教育行業(yè)標(biāo)準(zhǔn)的參考代碼標(biāo)準(zhǔn)模式及數(shù)據(jù)共享和交換需求的主數(shù)據(jù)模式。信息標(biāo)準(zhǔn)主要建設(shè)內(nèi)容如下：1.數(shù)據(jù)清洗與數(shù)據(jù)質(zhì)量提升對(duì)校內(nèi)現(xiàn)有業(yè)務(wù)數(shù)據(jù)進(jìn)行全盤分析和檢查，找出數(shù)據(jù)質(zhì)量隱患和存在問(wèn)題，對(duì)質(zhì)量不高的數(shù)據(jù)和無(wú)效數(shù)據(jù)進(jìn)行清洗和優(yōu)化，保證現(xiàn)有業(yè)務(wù)數(shù)據(jù)的高質(zhì)量，為后期進(jìn)行信息化改造奠2.信息標(biāo)準(zhǔn)升級(jí)基于最新的國(guó)標(biāo)、部標(biāo)、行標(biāo)，結(jié)合現(xiàn)有校標(biāo)和校內(nèi)實(shí)際業(yè)務(wù)情況，充分考慮后期信息化改造需要，將校內(nèi)信息標(biāo)準(zhǔn)進(jìn)行重新梳理和升級(jí)，使之符合最新的技術(shù)規(guī)范和業(yè)務(wù)需求。3.數(shù)據(jù)流向規(guī)劃對(duì)校內(nèi)各業(yè)務(wù)部門和行政單位的數(shù)據(jù)流向進(jìn)行重新規(guī)劃，消除原先數(shù)據(jù)責(zé)任單位不明確的現(xiàn)象，并確定校內(nèi)數(shù)據(jù)出處的權(quán)威性。避免出現(xiàn)數(shù)據(jù)二異性。信息標(biāo)準(zhǔn)管理工具：提供數(shù)據(jù)標(biāo)準(zhǔn)管理、代碼標(biāo)準(zhǔn)管理、數(shù)據(jù)流向管理、代碼檢測(cè)管理工具。幫助學(xué)校有效提升數(shù)據(jù)質(zhì)量，強(qiáng)化數(shù)據(jù)管理能力。元數(shù)據(jù)管理工具：對(duì)主數(shù)據(jù)和代碼標(biāo)準(zhǔn)模型進(jìn)行維護(hù)，提供語(yǔ)義支持，實(shí)現(xiàn)對(duì)底層模型的集中維護(hù)和管理，提供對(duì)數(shù)據(jù)分類的管理。主數(shù)據(jù)和業(yè)務(wù)系統(tǒng)代碼表之間映射關(guān)系的管理，檢測(cè)元數(shù)據(jù)和系統(tǒng)數(shù)據(jù)庫(kù)之間表、字段以及字段屬性的不一致情況，根據(jù)元數(shù)據(jù)檢測(cè)情況創(chuàng)建數(shù)據(jù)庫(kù)實(shí)體對(duì)象數(shù)據(jù)集成平臺(tái)：提供集成接口支持、數(shù)據(jù)集成庫(kù)、拓?fù)涔芾砉ぞ摺⒓稍O(shè)計(jì)工具、集成調(diào)度工具等實(shí)現(xiàn)數(shù)據(jù)流向集成。數(shù)據(jù)共享接口發(fā)布工具：通過(guò)可自定義的數(shù)據(jù)發(fā)布接口，實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)實(shí)時(shí)、按需的共享需求。提供數(shù)據(jù)共享服務(wù)接口的新增、刪除、修改、授權(quán)、接口啟停以及運(yùn)行管理。數(shù)據(jù)備份管理工具：實(shí)現(xiàn)構(gòu)建主數(shù)據(jù)倉(cāng)庫(kù)來(lái)保留了代碼標(biāo)準(zhǔn)、主數(shù)據(jù)的歷史數(shù)據(jù)，能重現(xiàn)每天的數(shù)據(jù)情況，方便日后的時(shí)間維度上的數(shù)據(jù)分析工作。運(yùn)行監(jiān)控工具：為信息中心運(yùn)行監(jiān)控人員提供系統(tǒng)的動(dòng)態(tài)，異常情況，數(shù)據(jù)情況等。以圖形化的方式，較通俗易懂的表現(xiàn)形式來(lái)展現(xiàn)系統(tǒng)的各種運(yùn)行和異常情況，并且按照事為了保證校內(nèi)外應(yīng)用的高效接入和順暢的用戶體驗(yàn)，需要建立校級(jí)的身份認(rèn)證管理統(tǒng)一管理校內(nèi)外各類應(yīng)用及系統(tǒng)的登錄、訪問(wèn)和互相之間的認(rèn)證。充分保證外部應(yīng)用訪問(wèn)時(shí)數(shù)據(jù)權(quán)限和訪問(wèn)權(quán)限細(xì)顆粒度的控制。同時(shí)對(duì)校內(nèi)所有賬號(hào)進(jìn)行基于工具化的有效監(jiān)控和管理，保證校內(nèi)賬號(hào)和密碼的安全。身份管理：為數(shù)字校園提供集成用戶身份認(rèn)證和單點(diǎn)登錄服務(wù)，并為校園系統(tǒng)提供認(rèn)證和接口服務(wù)，同時(shí)包含身份自助服務(wù)、賬號(hào)管理、應(yīng)用認(rèn)證管理等。認(rèn)證服務(wù)反向代理：認(rèn)證服務(wù)的反向代理服務(wù)器，簡(jiǎn)化第三方接入的接入工作。集群部署：包括兩臺(tái)認(rèn)證服務(wù)器、兩臺(tái)的部署。審計(jì)管理：為管理員提供及時(shí)發(fā)現(xiàn)問(wèn)題之用，可審計(jì)出異常的帳號(hào)、不合理的認(rèn)證行為和授權(quán)行為，用于發(fā)現(xiàn)系統(tǒng)可能存在的安全問(wèn)題和隱患。監(jiān)控管理：為管理員提供了掌握系統(tǒng)各項(xiàng)服務(wù)運(yùn)行狀態(tài)的功能，可幫助管理員盡早發(fā)現(xiàn)身份認(rèn)證：身份認(rèn)證功能是身份認(rèn)證管理平臺(tái)的核心基礎(chǔ)服務(wù)，隨著信息化建設(shè)的不斷深入，當(dāng)前所采用的身份認(rèn)證的方式也逐漸增多，平臺(tái)需要支持多終端認(rèn)證、第三方帳號(hào)綁定、動(dòng)態(tài)登錄、掃描登錄、免登錄、二次登錄等多種登錄方式。開(kāi)放服務(wù)：主要包括接入應(yīng)用管理，開(kāi)放接口管理，開(kāi)放接口，代理權(quán)限插件，用于把學(xué)校的認(rèn)證能力開(kāi)放出去，方便師生訪問(wèn)第三方應(yīng)用。師生綜合服務(wù)是校園生態(tài)體系建立的關(guān)鍵環(huán)節(jié)，將分散在各個(gè)系統(tǒng)中面向教師、學(xué)生的服務(wù)內(nèi)容進(jìn)行重新梳理和歸類，通過(guò)服務(wù)重新定義、封裝的方式在應(yīng)用服務(wù)管理平臺(tái)上進(jìn)行綜合呈現(xiàn)，面向教師、學(xué)生提供覆蓋全生命周期、可以不斷完善、師生真正關(guān)心、有實(shí)用價(jià)值、便捷的信息服務(wù)；高?，F(xiàn)有的信息門戶只完成了對(duì)校內(nèi)各類資訊和個(gè)人信息的數(shù)據(jù)層面整合，實(shí)現(xiàn)了簡(jiǎn)單的信息集成，由于技術(shù)架構(gòu)的局限性，無(wú)法按照學(xué)生和教師的視角抽取、封裝和展現(xiàn)碎片化的服務(wù)。因此在本次建設(shè)規(guī)劃中，建議按照最新的服務(wù)體系生態(tài)重新構(gòu)建面向師生綜合服務(wù)的門戶系統(tǒng)，同時(shí)，提供完整的服務(wù)前臺(tái)交互與后臺(tái)管理功能，支撐服務(wù)管理效率和管理水平的提升，監(jiān)控和優(yōu)化服務(wù)質(zhì)量。更好的滿足學(xué)校業(yè)務(wù)需要和師生服務(wù)需應(yīng)用門戶：提供一站式辦事大廳服務(wù)門戶，基礎(chǔ)組件包含熱門排行、最新推薦，即將開(kāi)放應(yīng)用、應(yīng)用收藏等，支持針對(duì)應(yīng)用服務(wù)中心進(jìn)行多維度查詢搜索服務(wù)。注冊(cè)、授權(quán)和使用平臺(tái)，對(duì)于校內(nèi)應(yīng)用提供接入信息維護(hù)、下架申請(qǐng)、審核等管理功能應(yīng)用授權(quán)管理：面向應(yīng)用的接入提供用戶組管理、應(yīng)用權(quán)限管理?；A(chǔ)應(yīng)用：通知公告、調(diào)查問(wèn)卷、新聞?dòng)嗛?、在線咨詢、個(gè)人數(shù)據(jù)對(duì)現(xiàn)有管理系統(tǒng)解構(gòu)、重組和碎片化會(huì)產(chǎn)生后臺(tái)服務(wù)的大量調(diào)用和集成，除了數(shù)據(jù)層面的數(shù)據(jù)共享之外，還需要解決校內(nèi)信息化建設(shè)中存在的緊耦合、異構(gòu)性等各類問(wèn)題，充分利用現(xiàn)有建設(shè)成果構(gòu)建全新的高校信息化生態(tài)，建立基于高校行業(yè)特征的校園服務(wù)總線。實(shí)現(xiàn)從簡(jiǎn)單的“數(shù)據(jù)集成，門戶集成”向“服務(wù)集成”模式的轉(zhuǎn)變。提供接口標(biāo)準(zhǔn)管理、服務(wù)治理、服務(wù)交換等全方面的底層服務(wù)管理平臺(tái)，為其他基礎(chǔ)平臺(tái)和公共應(yīng)用組件、上層服務(wù)提供總體服務(wù)調(diào)度和管理。保證校內(nèi)信息體系的可管理性。實(shí)現(xiàn)服務(wù)管理從離散到集中，具備更可控的系統(tǒng)架構(gòu)，增加信息化資源的可管理性、實(shí)現(xiàn)技術(shù)架構(gòu)從差異化到標(biāo)準(zhǔn)化，更統(tǒng)一的集成方式，降低改造成本、實(shí)現(xiàn)建設(shè)過(guò)程從繁亂到有序，帶來(lái)更簡(jiǎn)化的建設(shè)方式，降低運(yùn)維難度、實(shí)現(xiàn)整體體系從封閉到開(kāi)放，形成更良性的運(yùn)營(yíng)環(huán)境，增加信息化生態(tài)的可持續(xù)性。格式不同的轉(zhuǎn)換問(wèn)題，解決大并發(fā)情況下服務(wù)負(fù)載、服務(wù)緩存的問(wèn)題，并實(shí)現(xiàn)服務(wù)流程的可視化編排，保證服務(wù)調(diào)用、服務(wù)交互時(shí)的穩(wěn)定性和安全性。服務(wù)注冊(cè)工具：校園服務(wù)總線需要提供接口供開(kāi)發(fā)人員注冊(cè)服務(wù)，僅需提供服務(wù)的相關(guān)元信息及文件，即可實(shí)現(xiàn)注冊(cè)步驟。而文件格式的基本驗(yàn)證部分需要自動(dòng)完成，后期將要求服務(wù)提供者附加范例代碼。其中的從屬系統(tǒng)標(biāo)簽則用于服務(wù)分組。對(duì)于形式的服務(wù)，需要提供詳細(xì)的參數(shù)信息或提供對(duì)于服務(wù)的輸入和輸出實(shí)例實(shí)現(xiàn)注冊(cè)。對(duì)于服務(wù)的搜索，平臺(tái)會(huì)提供服務(wù)分類的基礎(chǔ)模板，系統(tǒng)管理員可以對(duì)其進(jìn)行擴(kuò)展，第三方可根據(jù)服務(wù)分類進(jìn)行搜索。注冊(cè)狀態(tài)查看：校園服務(wù)總線具有一定的開(kāi)放性，但并不代表所有的服務(wù)都可注冊(cè)上來(lái)，所以注冊(cè)服務(wù)的過(guò)程需要人工審核的步驟。而開(kāi)發(fā)人員則可在注冊(cè)狀態(tài)查看功能模塊查看到已注冊(cè)服務(wù)的當(dāng)前狀態(tài)（審核通過(guò)、未審核、審核中）服務(wù)監(jiān)控：校園服務(wù)總線提供對(duì)平臺(tái)及服務(wù)所運(yùn)行服務(wù)器的監(jiān)控功能?？紤]到平臺(tái)本身的運(yùn)行狀態(tài)對(duì)其上運(yùn)行的服務(wù)及應(yīng)用有著極重要的影響，對(duì)其的監(jiān)控必不可少，但對(duì)高校硬件的監(jiān)控本就存在一套體系，所以校園服務(wù)總線僅提供平臺(tái)硬件的關(guān)鍵總線運(yùn)行起關(guān)鍵性影響的指標(biāo)（如占用和內(nèi)存使用情況）該服務(wù)的功能是否合理，后期還將考慮該服務(wù)是否應(yīng)該注冊(cè)在該系統(tǒng)下。提供給系統(tǒng)管理員的信息具體包括服務(wù)名稱、服務(wù)所屬應(yīng)用/模塊、接口人等。當(dāng)前審核狀態(tài)則包括審核中和云計(jì)算系統(tǒng)具有傳統(tǒng)系統(tǒng)的一些特點(diǎn)，從上面的安全域劃分結(jié)果可以看到，其在外部接口層、核心交換層的安全域劃分是基本相同的，針對(duì)這些傳統(tǒng)的安全區(qū)域仍舊可以采用傳統(tǒng)的安全措施和方法進(jìn)行安全防護(hù)。如下圖所示：當(dāng)然，從上面的安全域劃分結(jié)果可以看到，相對(duì)于傳統(tǒng)的網(wǎng)絡(luò)與信息系統(tǒng)來(lái)講，云平臺(tái)由于采用了虛擬化技術(shù)，在計(jì)算服務(wù)層、資源層的安全域劃分與傳統(tǒng)系統(tǒng)有所不同，這主要體現(xiàn)在虛擬化部分，即生產(chǎn)區(qū)、非生產(chǎn)區(qū)、管理區(qū)、支撐服務(wù)區(qū)、堡壘區(qū)、區(qū)等。這里主要論述和說(shuō)明生產(chǎn)區(qū)的安全建設(shè)。非生產(chǎn)區(qū)和管理區(qū)、區(qū)類似，不在累贅說(shuō)明：生產(chǎn)區(qū)部署了虛擬化主機(jī)、軟件平臺(tái)、應(yīng)用層，應(yīng)基于虛擬化技術(shù)實(shí)現(xiàn)，因此其安全防護(hù)應(yīng)考慮虛擬化安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。虛擬化安全虛擬化安全主要涉及虛擬化組件及其管理的安全，包括了虛擬化操作系統(tǒng)、虛擬化交換機(jī)、虛擬主機(jī)、虛擬存儲(chǔ)及虛擬化安全管理系統(tǒng)的安全。網(wǎng)絡(luò)安全主要涉及防火墻、異常流量檢測(cè)和清洗、網(wǎng)絡(luò)入侵檢測(cè)、惡意代碼防護(hù)、接入、安防火墻及邊界防護(hù)安全域需要隔離，并需要采取訪問(wèn)控制措施對(duì)安全域內(nèi)外的通信進(jìn)行有效管控。通?？刹捎玫拇胧┯小⒕W(wǎng)絡(luò)設(shè)備、防火墻、設(shè)備等，這里主要對(duì)防火墻的功能、部署進(jìn)行說(shuō)明網(wǎng)絡(luò)異常流量監(jiān)測(cè)與分析云計(jì)算中心部署的應(yīng)用和業(yè)務(wù)非常豐富，如基于流媒體的音視頻服務(wù)，業(yè)務(wù)等等，必然會(huì)受到各種網(wǎng)絡(luò)攻擊，如，進(jìn)而出現(xiàn)大量異常流量。在這種流量成分日益復(fù)雜，異常流量海量涌現(xiàn)的情況下，對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)和分析，從而全面了解流量的各種分布以及變化趨流量統(tǒng)計(jì)分析并生成相應(yīng)的統(tǒng)計(jì)報(bào)表。統(tǒng)計(jì)對(duì)象的粒度可以為地址、地址段、用戶（用地址或地址段的組流量統(tǒng)計(jì)結(jié)果對(duì)流量工程具有很重要的參考價(jià)值。應(yīng)用組成分布顯示云計(jì)算中心內(nèi)部各種業(yè)務(wù)的開(kāi)展情況，結(jié)合地域分布的信息，也可以指導(dǎo)流量工程。流量的變化趨勢(shì)顯示流量隨時(shí)間的變化規(guī)律以及峰值時(shí)段對(duì)帶寬的占用情況，這些數(shù)據(jù)有助于進(jìn)行云計(jì)算中心容量規(guī)劃。雙向異常流量監(jiān)測(cè)異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)中的由內(nèi)至外、由外至發(fā)異常流量，也可監(jiān)測(cè)外來(lái)異常流量；異常流量定位異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對(duì)網(wǎng)絡(luò)中的流量進(jìn)行持續(xù)監(jiān)控和實(shí)時(shí)分析，并對(duì)異常流量進(jìn)行及時(shí)的發(fā)現(xiàn)、告警和定位，使網(wǎng)管人員能夠準(zhǔn)確的發(fā)現(xiàn)異常流量進(jìn)入網(wǎng)絡(luò)的端口和攻擊目標(biāo)；異常流量分析對(duì)于云平臺(tái)，其數(shù)據(jù)流量較大，且內(nèi)置的虛擬交換機(jī)可以直接輸出數(shù)據(jù)算中心采用基于流（）信息的流量分析產(chǎn)品。網(wǎng)絡(luò)入侵檢測(cè)云計(jì)算對(duì)外提供服務(wù)，完全面向互聯(lián)網(wǎng)，所面臨的威脅被無(wú)限放大，在云計(jì)算中心網(wǎng)絡(luò)出口采用入侵檢測(cè)機(jī)制，收集各種信息，由內(nèi)置的專家系統(tǒng)進(jìn)行分析，發(fā)現(xiàn)其中潛在的攻擊行為。由網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)捕獲分析網(wǎng)絡(luò)中的所有報(bào)文，發(fā)現(xiàn)其中的攻擊企圖，根據(jù)事先制定的策略通知管理員或自行采取保護(hù)措施。應(yīng)用安全應(yīng)用防護(hù)云計(jì)算中心一般都是采用的方式來(lái)對(duì)外提供各類服務(wù)，特別是在2.0的技術(shù)趨勢(shì)下，75%以上的攻擊都瞄準(zhǔn)了網(wǎng)站。這些攻擊可能導(dǎo)致云計(jì)算服務(wù)提供商遭受聲譽(yù)和經(jīng)濟(jì)損失，可能造成惡劣的社會(huì)影響。應(yīng)用防護(hù)技術(shù)通過(guò)深入分析和解析的有效性、提供安全模型只允許已知流量通過(guò)、應(yīng)用層規(guī)則、基于會(huì)話的保護(hù)，可檢測(cè)應(yīng)用程序異常情況和敏感數(shù)據(jù)（如信用卡、網(wǎng)銀帳號(hào)等）是否正在被竊取，并阻斷攻擊或隱蔽敏感數(shù)據(jù)，保護(hù)云計(jì)算平臺(tái)的服務(wù)器，確保云計(jì)算平臺(tái)應(yīng)用和服務(wù)免受侵害。數(shù)據(jù)安全對(duì)于數(shù)據(jù)安全，需要涉及數(shù)據(jù)的產(chǎn)生、傳輸、存儲(chǔ)、使用、遷移、銷毀以及備份和恢復(fù)的全生命周期，并在數(shù)據(jù)的不同生周期階段采用數(shù)據(jù)分類分級(jí)、標(biāo)識(shí)、加密、審計(jì)、擦除等手段。另外，在采用了這些基礎(chǔ)防護(hù)技術(shù)措施之外，還應(yīng)考慮數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)防泄露以及數(shù)據(jù)庫(kù)防火墻的手段，最大限度地保證云平臺(tái)中的數(shù)據(jù)安全。云平臺(tái)的管理運(yùn)維人員、第三方運(yùn)維人員以及租戶需要多云計(jì)算平臺(tái)的主機(jī)、應(yīng)用及網(wǎng)進(jìn)行認(rèn)證、授權(quán)、訪問(wèn)控制和審計(jì)。堡壘機(jī)就是完成上述功能的關(guān)鍵設(shè)備，典型應(yīng)用場(chǎng)景如網(wǎng)絡(luò)設(shè)備和服務(wù)器區(qū)網(wǎng)絡(luò)設(shè)備和服務(wù)器區(qū)UNIX/LINUXServerWindows網(wǎng)絡(luò)設(shè)備安全設(shè)備DBserver返回結(jié)果執(zhí)行訪問(wèn)操作：SSH/TELNET/RDP//VNC/FTP/SFTP…...堡壘機(jī)審計(jì)控制臺(tái)WEB登錄返回結(jié)果維護(hù)人員云平臺(tái)管理/運(yùn)維人員第三方代維人員云平臺(tái)租戶功能堡壘機(jī)可以提供一套先進(jìn)的運(yùn)維安全管控與審計(jì)解決方案，目標(biāo)是幫助云計(jì)算中心運(yùn)維人員轉(zhuǎn)變傳統(tǒng)安全運(yùn)維被動(dòng)響應(yīng)的模式，建立面向用戶的集中、主動(dòng)的運(yùn)維安全管控模式，降低人為安全風(fēng)險(xiǎn)，滿足合規(guī)要求，保障企業(yè)效益，主要實(shí)現(xiàn)功能如下：?集中賬號(hào)管理建立基于唯一身份標(biāo)識(shí)的全局實(shí)名制管理，支持統(tǒng)一賬號(hào)管理策略，實(shí)現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無(wú)縫連接；?集中訪問(wèn)控制通過(guò)集中訪問(wèn)控制和細(xì)粒度的命令級(jí)授權(quán)策略，基于最小權(quán)限原則，實(shí)現(xiàn)集中有序的運(yùn)維操作管理，讓正確的人做正確的事；?集中安全審計(jì)基于唯一身份標(biāo)識(shí)，通過(guò)對(duì)用戶從登錄到退出的全程操作行為進(jìn)行審計(jì)，監(jiān)控用戶對(duì)目標(biāo)設(shè)備的所有敏感操作，聚焦關(guān)鍵事件，實(shí)現(xiàn)對(duì)安全事件地及時(shí)發(fā)現(xiàn)預(yù)警，及準(zhǔn)確可查根據(jù)多年的教育行業(yè)信息系統(tǒng)安全實(shí)踐經(jīng)驗(yàn)，在深入理解國(guó)家法律法規(guī)和行業(yè)標(biāo)準(zhǔn)要求的基礎(chǔ)下，結(jié)合對(duì)客戶業(yè)務(wù)應(yīng)用及安全技術(shù)的研究，為學(xué)?？偨Y(jié)出“網(wǎng)關(guān)控制+內(nèi)部安全管理”的合規(guī)信息系統(tǒng)管端管理安全方法論，來(lái)指導(dǎo)高校信息系統(tǒng)安全體系的建設(shè)。在此次方案中我們?yōu)橛脩籼峁┚W(wǎng)絡(luò)安全管理系統(tǒng)、下一代防火墻、防火墻、網(wǎng)絡(luò)安全管理系統(tǒng)。我們推薦的安全產(chǎn)品有以下特點(diǎn)：對(duì)高校上網(wǎng)網(wǎng)絡(luò)流量提供三步循環(huán)的解決方案——可視、可行為，從而完整的了解網(wǎng)絡(luò)帶寬的使用狀況。網(wǎng)絡(luò)安全管理系統(tǒng)求，提供最有效的控制策略，讓網(wǎng)絡(luò)資源得到最合理的提供內(nèi)容檢索、模糊查詢、自動(dòng)報(bào)表等功能，方便管理者跟蹤、追溯網(wǎng)絡(luò)的使用情況，幫助管理者定位網(wǎng)絡(luò)問(wèn)針對(duì)一個(gè)入侵行為中的各種技術(shù)手段進(jìn)行統(tǒng)一的檢測(cè)和防護(hù)，如應(yīng)用掃描、漏洞利用、入侵、非法訪問(wèn)、蠕下一代防火墻蟲病毒、帶寬濫用、惡意代碼等。更高性能的應(yīng)用內(nèi)容防護(hù)方案。防火墻為網(wǎng)關(guān)設(shè)備，防護(hù)對(duì)象為、服務(wù)器，可針對(duì)安全事件發(fā)生時(shí)序進(jìn)行安全建模，分別針對(duì)安全漏洞、攻擊手段及最終攻擊結(jié)果進(jìn)行掃描、防護(hù)及診斷，提供綜合應(yīng)用安全解決方案。匯聚交換機(jī)接入交換機(jī)匯聚交換機(jī)接入交換機(jī)下一代防火墻網(wǎng)絡(luò)安全管理系統(tǒng)區(qū)域匯聚交換機(jī)Web應(yīng)用防火墻無(wú)線接入數(shù)據(jù)中心辦公區(qū)域辦公區(qū)域在網(wǎng)絡(luò)出口處部署網(wǎng)絡(luò)安全管理系統(tǒng)，對(duì)學(xué)校內(nèi)師生的無(wú)線和有線上網(wǎng)行為進(jìn)行管理。在核心交換機(jī)與內(nèi)網(wǎng)用戶之間部署防火墻，為高校辦公用戶及服務(wù)器提供安全服務(wù)。部署應(yīng)用防火墻，對(duì)高校數(shù)據(jù)中心的內(nèi)的服務(wù)器、郵件服務(wù)器提供安全防護(hù)。息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，通過(guò)深入了解高校信息系統(tǒng)情況，分析信息系統(tǒng)可能面臨的威脅，存在的弱點(diǎn)，以及弱點(diǎn)被襲擊或帶來(lái)破壞的可能性及影響，對(duì)當(dāng)前信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行分析和定義，采用專業(yè)漏洞檢測(cè)工具和工作模版，從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，根據(jù)聯(lián)合檢查要求，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施；為防范和化解信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地為保障信息安全提供科學(xué)依據(jù)。高校所有信息系統(tǒng)資產(chǎn)、內(nèi)網(wǎng)及外網(wǎng)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備1)市關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的實(shí)施意見(jiàn)（深科信[2006]268號(hào)）5)用戶自身業(yè)務(wù)安全需求評(píng)估信息系統(tǒng)存在的高中低風(fēng)險(xiǎn)的數(shù)量、可能性、影響。主要從安全技術(shù)和安全管理物理安全信息系統(tǒng)機(jī)房在物理位置選擇、出入管理、動(dòng)力環(huán)境等方面采取的措施是否有效。信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)是否安全合理；惡意代碼防范措施是否有效。網(wǎng)絡(luò)設(shè)備、安全設(shè)備配置是否安全、有效；l主機(jī)系統(tǒng)層安全（針對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件）是否能對(duì)主機(jī)系統(tǒng)用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段；后臺(tái)維護(hù)人員的權(quán)限是否是最小授權(quán)；后臺(tái)維護(hù)人員的邏輯訪問(wèn)路徑是否可信；入侵防范措施、惡意代碼防范是否充分有效；主機(jī)系統(tǒng)資源使用是否可控。l應(yīng)用層安全（針對(duì)應(yīng)用軟件）是否能對(duì)應(yīng)用軟件用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段；用戶訪問(wèn)權(quán)限是否是最小授權(quán)；剩余信息是否能夠被釋放或重新分配；是否能保證通信過(guò)程中的完整性、保密性；是否存在代碼安全缺陷。l安全管理組織機(jī)構(gòu)是否有恰當(dāng)?shù)陌踩芾斫M織架構(gòu)；與信息安全相關(guān)的授權(quán)審批、審核檢查流程是否存在并能夠有效組織實(shí)施。l安全管理制度是否有恰當(dāng)?shù)陌踩芾碇贫润w系；安全管理制度體系的制定、審批、維護(hù)流程是否存在并能夠有效組織實(shí)施。l人員安全管理信息系統(tǒng)后臺(tái)維護(hù)技術(shù)人員在錄用、在職、離崗時(shí)是否采取了恰當(dāng)?shù)陌踩芾矸绞?；是否?duì)從事信息安全崗位的人員采取了信息安全考核；是否對(duì)第三方人員訪問(wèn)內(nèi)部系統(tǒng)采取了安全控制措施；是否能夠采取各種措施提高技術(shù)人員的安全意識(shí)。l系統(tǒng)建設(shè)管理是否對(duì)信息系統(tǒng)建設(shè)各個(gè)階段包括方案設(shè)計(jì)、產(chǎn)品采購(gòu)、軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付等進(jìn)行安全控制。l系統(tǒng)運(yùn)維管理是否對(duì)信息系統(tǒng)運(yùn)行過(guò)程中進(jìn)行安全控制，例如機(jī)房用介質(zhì)、機(jī)房設(shè)備、審計(jì)和監(jiān)控、系統(tǒng)漏洞管理、邏輯訪問(wèn)控制、安全配置管理、變更管理等。評(píng)估方式配置核查由測(cè)評(píng)人員在客戶現(xiàn)場(chǎng)根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時(shí)專家訪談?dòng)少Y深測(cè)評(píng)人員同客戶信息安全主管、審計(jì)部門、開(kāi)發(fā)部門及運(yùn)維部門按調(diào)查模版要求進(jìn)行面對(duì)面訪談。資料審閱查閱信息系統(tǒng)建設(shè)、運(yùn)維過(guò)程中的過(guò)程文檔、記錄，采用分時(shí)段系統(tǒng)查閱和有針對(duì)性抽樣查閱的方法進(jìn)行。專家評(píng)議組織行業(yè)專家運(yùn)用恰當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法進(jìn)行集體會(huì)診評(píng)議。整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程中產(chǎn)生的評(píng)估過(guò)程文檔和評(píng)估結(jié)果文檔，包括（但不僅限于此）：1)風(fēng)險(xiǎn)評(píng)估計(jì)劃：闡述風(fēng)險(xiǎn)評(píng)估的目標(biāo)、范圍、團(tuán)隊(duì)、評(píng)估方法、評(píng)估結(jié)果的形式和2)風(fēng)險(xiǎn)評(píng)估程序：明確評(píng)估的目的、職責(zé)、過(guò)程、相關(guān)的文件要求，并且準(zhǔn)備實(shí)施評(píng)3)資產(chǎn)識(shí)別清單：根據(jù)組織在風(fēng)險(xiǎn)評(píng)估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識(shí)別，形成資產(chǎn)識(shí)別清單，清單中應(yīng)明確各資產(chǎn)的責(zé)任人/部門；4)重要資產(chǎn)清單：根據(jù)資產(chǎn)識(shí)別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等；5)威脅列表：根據(jù)威脅識(shí)別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來(lái)6)脆弱性列表：根據(jù)脆弱性識(shí)別和賦值的結(jié)果，形成脆弱性列表，包括脆弱性名稱、7)已有安全措施確認(rèn)表：根據(jù)已采取的安全措施確認(rèn)的結(jié)果，形成表，包括已有安全措施名稱、類型、功能描述及實(shí)施效果等；8)風(fēng)險(xiǎn)評(píng)估報(bào)告：對(duì)整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說(shuō)明被評(píng)估對(duì)象，風(fēng)險(xiǎn)評(píng)估方法，資產(chǎn)、威脅、脆弱性的識(shí)別結(jié)果，風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)統(tǒng)計(jì)和結(jié)論等內(nèi)容；9)風(fēng)險(xiǎn)處理計(jì)劃：對(duì)評(píng)估結(jié)果中不可接受的風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)處理計(jì)劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過(guò)10)風(fēng)險(xiǎn)評(píng)估記錄：根據(jù)組織的風(fēng)險(xiǎn)評(píng)估程序文件，記錄對(duì)重要資產(chǎn)的風(fēng)險(xiǎn)評(píng)估過(guò)程。實(shí)行等級(jí)保護(hù)有利于客戶完善信息安全管理體系，提高信息安全和信息系統(tǒng)安全建設(shè)的整體水平；達(dá)到對(duì)信息和信息系統(tǒng)重點(diǎn)保護(hù)和有效對(duì)性和時(shí)效性，使信息安全和信息系統(tǒng)安全建設(shè)更加突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》對(duì)于高校在規(guī)劃、設(shè)計(jì)階段的信息系統(tǒng)及承擔(dān)行政審批功能的信息系統(tǒng)全部完成等級(jí)保依據(jù)國(guó)家《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》的相關(guān)要求，協(xié)助客戶相關(guān)負(fù)責(zé)人員開(kāi)展定級(jí)備案工作，包括定級(jí)信息系統(tǒng)的數(shù)量、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況的選擇，確定定級(jí)對(duì)象，對(duì)定級(jí)對(duì)象受侵害的客體及對(duì)客體的侵害程度的確定，按照定級(jí)要求與信息系統(tǒng)等級(jí)的關(guān)系初步確定信息系統(tǒng)安全保護(hù)等級(jí)，并按《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》模板出具相關(guān)定級(jí)對(duì)象的信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告。依照《信息安全等級(jí)保護(hù)管理辦法》對(duì)定級(jí)二級(jí)以上的信息系統(tǒng)，協(xié)助客戶向地方網(wǎng)監(jiān)進(jìn)行信息系統(tǒng)安全等級(jí)保護(hù)的備案工作。測(cè)評(píng)完成后30日內(nèi)提交《備案表》表四及其有關(guān)材料。2)《備案表》需通過(guò)“等級(jí)保護(hù)備案端軟件”填寫信息，并導(dǎo)出文檔生成。另，在填寫表三“09系統(tǒng)定級(jí)報(bào)告”時(shí)，需把《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》上傳到“附件”再導(dǎo)出文檔。另，第三級(jí)以上系統(tǒng)備案電子數(shù)據(jù)還應(yīng)包括《備案表》表四所列的各項(xiàng)內(nèi)容。結(jié)合客戶上年度聯(lián)合檢查中發(fā)現(xiàn)的問(wèn)題進(jìn)行加固修復(fù)，包含但不限于聯(lián)合檢查整改、風(fēng)評(píng)評(píng)估結(jié)論的整改，落實(shí)完成管理加固、服務(wù)器加固、網(wǎng)絡(luò)加固、應(yīng)用系統(tǒng)加固、數(shù)據(jù)庫(kù)系統(tǒng)加固、安全策略加固、安全設(shè)備加固等。1)上年度信息安全聯(lián)合檢查整改；2)上年度信息安全風(fēng)險(xiǎn)評(píng)估不可接受風(fēng)險(xiǎn)整改；3)信息安全管理體系問(wèn)題優(yōu)化和完善；針對(duì)安全評(píng)估及安全掃描過(guò)程中發(fā)現(xiàn)的各種措施予以彌補(bǔ)，消除已暴露的問(wèn)題和可能的隱患，加固主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備和架構(gòu)、應(yīng)用程序安全漏洞，提高客戶信息系統(tǒng)的健壯性，抵御外部的各種安全風(fēng)險(xiǎn)以及惡意攻擊，實(shí)現(xiàn)客戶信息系統(tǒng)長(zhǎng)期安全、穩(wěn)定運(yùn)行的最終目標(biāo)。1）分析安全評(píng)估及安全掃描結(jié)果，并進(jìn)一步確定系統(tǒng)加固的需求（主要考慮承載于系）；）：利用定制腳本進(jìn)行加固。編寫并提交系統(tǒng)加固報(bào)告。某些安全漏洞的修復(fù)可能并不困難（所以有經(jīng)驗(yàn)的用戶完全可以自己實(shí)施安全修復(fù)），但經(jīng)驗(yàn)不夠豐富的用戶很難全面解決系統(tǒng)的安全問(wèn)題，因?yàn)橐粋€(gè)系統(tǒng)的危險(xiǎn)性在于系統(tǒng)中最薄弱的地方，有可能用戶采取了不少安全措施，卻仍然不全面、不徹底。因此，全面實(shí)施安全加固，真正徹底解決系統(tǒng)安全漏洞是完善整個(gè)安全體系的重要步驟。《上年度信息安全聯(lián)合檢查整改》《上年度信息安全風(fēng)險(xiǎn)評(píng)估不可接受風(fēng)險(xiǎn)整改》《主機(jī)安全加固報(bào)告》《數(shù)據(jù)庫(kù)安全加固報(bào)告》《網(wǎng)絡(luò)設(shè)備安全加固報(bào)告》《應(yīng)用程序解決方案》《網(wǎng)絡(luò)安全架構(gòu)解決方案》結(jié)合高校信息安全管理現(xiàn)狀，查找現(xiàn)有信息安全管理制度與聯(lián)合檢查要求之間的差距，配合建立與完善信息安全制度，落實(shí)信息安全制度執(zhí)行記錄，保證信息安全管理體系運(yùn)行的服務(wù)內(nèi)容調(diào)研分析客戶信息安全管理現(xiàn)狀，參考行業(yè)客戶信息安全管理經(jīng)驗(yàn)查找現(xiàn)有信息安全管理制度與聯(lián)合檢查要求之間的差距，建立和完善2015年度聯(lián)合檢查工作所要求的信息安全管理體系，協(xié)助落實(shí)執(zhí)行記錄。）：4)信息系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)維、廢棄等環(huán)節(jié)的信息安全制度；依據(jù)《評(píng)分標(biāo)準(zhǔn)》配合客戶開(kāi)展安全防護(hù)措施合規(guī)檢查，檢查現(xiàn)信息系統(tǒng)中安全防范措施的落實(shí)情況，對(duì)不符合檢查要求的現(xiàn)狀和措施進(jìn)行優(yōu)化和整改，查漏補(bǔ)缺使得安全防護(hù)措按照《2016年市黨政機(jī)關(guān)信息安全聯(lián)合檢查工作方案》和《2016年市黨政機(jī)關(guān)信息安全聯(lián)合檢查現(xiàn)場(chǎng)抽查表及評(píng)分標(biāo)準(zhǔn)》配合客戶（包括下屬單位）開(kāi)展自查工作，真實(shí)詳盡了使得安全防護(hù)措施落到實(shí)處。1)檢查確保內(nèi)網(wǎng)電腦安裝了防病毒系統(tǒng)，病毒代碼及時(shí)更新；2)檢查確保已記錄網(wǎng)絡(luò)訪問(wèn)日志，訪問(wèn)日志可追溯到檢查日期前60天，且訪問(wèn)日志）；3)檢查確保所有向互聯(lián)網(wǎng)發(fā)布的應(yīng)用系統(tǒng)已受網(wǎng)頁(yè)防篡改工具保護(hù)，且具備網(wǎng)站自動(dòng)恢復(fù)功能;4)對(duì)互聯(lián)網(wǎng)發(fā)布的網(wǎng)站進(jìn)行安全測(cè)評(píng)，出具《網(wǎng)站安全5)協(xié)助對(duì)2016年網(wǎng)站應(yīng)用層掃描發(fā)現(xiàn)的中高風(fēng)險(xiǎn)全部完成整改；6)編制整理信息發(fā)布審批制度及相關(guān)記錄；7)確保非涉密計(jì)算機(jī)及外網(wǎng)計(jì)算機(jī)無(wú)存儲(chǔ)、處理、傳輸涉密信息的痕跡；8)編制單位在使用的計(jì)算機(jī)資產(chǎn)的統(tǒng)計(jì)信息表，包含：d)計(jì)算機(jī)使用人或責(zé)任人；g)服務(wù)器的內(nèi)外網(wǎng)對(duì)應(yīng)。9)確保單位開(kāi)辦交互式欄目的信息系統(tǒng)具備關(guān)鍵字過(guò)濾措施及有害信息的處理措施；11)對(duì)用戶使用的外包開(kāi)發(fā)軟件進(jìn)行安全檢測(cè)；12)對(duì)用戶網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行科學(xué)、合理的安全域設(shè)計(jì)和劃分；13)對(duì)用戶網(wǎng)絡(luò)各安全域進(jìn)行科學(xué)、合理的定性定級(jí)，編制各安全域的安全防護(hù)設(shè)計(jì)方14)協(xié)助用戶保密部門，對(duì)涉密計(jì)算機(jī)和涉密存儲(chǔ)介質(zhì)進(jìn)行檢查，檢查內(nèi)容包外聯(lián)、物理隔離、移動(dòng)存儲(chǔ)介質(zhì)的混用、密件處理、監(jiān)控軟件狀態(tài)等；15)協(xié)助完成用戶所有網(wǎng)站在公安網(wǎng)監(jiān)部門和運(yùn)營(yíng)商的備案，并取得國(guó)際聯(lián)網(wǎng)備案登記16)檢查用戶單位信息系統(tǒng)現(xiàn)有安全防范技術(shù)措施的有效性，提供優(yōu)化建議。網(wǎng)站系統(tǒng)中存在的技術(shù)與管理上的脆弱點(diǎn)，從而針對(duì)性實(shí)施安全整改。隨著應(yīng)用的日益廣泛及其中蘊(yùn)藏價(jià)值的不斷提升，引發(fā)了黑客的攻擊熱潮，如網(wǎng)站內(nèi)容被篡改、頁(yè)面被植入木馬、網(wǎng)站機(jī)密信息被竊取等安全事件的反復(fù)發(fā)生，給政府形象、信息網(wǎng)絡(luò)甚至核心業(yè)務(wù)造成嚴(yán)重的破壞。絡(luò)系統(tǒng)、安全管理等方面進(jìn)行全面的安全檢測(cè)，幫助用戶了解網(wǎng)站系統(tǒng)存在的安全隱患，為改善并提高網(wǎng)站的安全性提供保障。信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)是否安全合理；網(wǎng)絡(luò)設(shè)備、安全設(shè)備配置是否安全、有效；2)主機(jī)系統(tǒng)層安全（針對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)）是否能對(duì)主機(jī)系統(tǒng)用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段；后臺(tái)維護(hù)人員的權(quán)限是否是最小授權(quán)；后臺(tái)維護(hù)人員的邏輯訪問(wèn)路徑是否可信；入侵防范措施、惡意代碼防范是否充分有效；主機(jī)系統(tǒng)資源使用是否可控。3)應(yīng)用層安全（針對(duì)網(wǎng)站系統(tǒng)）是否能對(duì)應(yīng)用軟件用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段；用戶訪問(wèn)權(quán)限是否是最小授權(quán)；是否能保證通信過(guò)程中的完整性、保密性；是否存在代碼安全缺陷。4)數(shù)據(jù)安全數(shù)據(jù)是否備份并進(jìn)行恢復(fù)測(cè)試安全掃描服務(wù)遵循“發(fā)現(xiàn)－掃描－定性－修復(fù)－審核”弱點(diǎn)全面評(píng)估法則，借助“榕基網(wǎng)絡(luò)隱患掃描系統(tǒng)”快速發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)，準(zhǔn)確識(shí)別資產(chǎn)屬性、全面掃描安全漏洞，清晰定性安全風(fēng)險(xiǎn)，給出修復(fù)建議和預(yù)防措施，并對(duì)風(fēng)險(xiǎn)控制策略進(jìn)行有效審核，從而在弱點(diǎn)全面評(píng)估的基礎(chǔ)上實(shí)現(xiàn)安全自主掌控。風(fēng)險(xiǎn)管理為基礎(chǔ),支持各類應(yīng)用程序的掃描。2)漏洞檢測(cè)：提供有豐富的策略包，針對(duì)各種應(yīng)用系統(tǒng)以及各種典型的應(yīng)用漏洞進(jìn)行檢測(cè)（如注入、注入、注入、注入、跨站腳本、代碼注入、表單繞過(guò)、弱口令、敏對(duì)網(wǎng)頁(yè)木馬傳播的病毒類型做出準(zhǔn)確剖析和網(wǎng)頁(yè)木馬宿主做出精確定位。如弱口令、弱配置等。5)滲透測(cè)試：通過(guò)當(dāng)前弱點(diǎn)，模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對(duì)目標(biāo)應(yīng)用的安全性做出深入分析，并實(shí)施無(wú)害攻擊，取得系統(tǒng)安全威脅的直接證據(jù)。對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包進(jìn)行檢測(cè)，發(fā)現(xiàn)惡意代發(fā)現(xiàn)和防止不當(dāng)操作、越權(quán)操作；網(wǎng)絡(luò)環(huán)境趨于復(fù)雜，致使需要尋找新的安全解決方案來(lái)滿足除了抵擋外部攻擊以外的安全需求。以往，網(wǎng)絡(luò)攻擊手段基本停留在第三層的網(wǎng)絡(luò)層，而隨著2.0時(shí)代的到來(lái)，大量的應(yīng)用程序都建立在了和等協(xié)議之上，傳統(tǒng)的防火墻對(duì)應(yīng)用層望塵莫及?；诰W(wǎng)絡(luò)層的操作就意味著傳統(tǒng)防火墻只能根據(jù)與數(shù)據(jù)包源地址和目標(biāo)地址有關(guān)的信息來(lái)檢測(cè)流量，但是對(duì)于上述的和流量卻是無(wú)能為力。雖然現(xiàn)在有針對(duì)應(yīng)用層的設(shè)備，但是卻無(wú)法識(shí)別具體的應(yīng)用，達(dá)不到目前用戶所需的精細(xì)力度的應(yīng)用層控制，因而也無(wú)法對(duì)特定應(yīng)用進(jìn)行防護(hù)，需要配置兼容傳統(tǒng)防火墻和抵御新網(wǎng)絡(luò)環(huán)境下威脅的下一代防火墻。標(biāo)準(zhǔn)從安全功能、安全保證、環(huán)境適應(yīng)性和性能四個(gè)方面，對(duì)第二代防火墻提出了新的要求，應(yīng)用層控制、攻擊防護(hù)、信息泄漏防護(hù)、惡意代碼防護(hù)和入侵防御是此次定義的第二代防火墻的幾大功能支持深度應(yīng)用識(shí)別技術(shù)，可根據(jù)協(xié)議特征、行為特征及關(guān)聯(lián)分析等，準(zhǔn)確識(shí)別數(shù)千種網(wǎng)絡(luò)應(yīng)用，可支持加密流量的應(yīng)用識(shí)別木馬、蠕蟲、間諜軟件、漏洞攻擊、逃逸攻擊等安全威脅，為內(nèi)網(wǎng)提供L27層網(wǎng)絡(luò)安全防護(hù)支持多鏈路條件下的智能鏈路負(fù)載均衡功能，實(shí)現(xiàn)防火墻全功能虛擬化，滿足多樣化的根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（）發(fā)布的《2015年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告》數(shù)據(jù)顯示，截至2015年12月底，中國(guó)網(wǎng)站總量規(guī)模為364.7萬(wàn)個(gè)，網(wǎng)民規(guī)模大6.49億，手機(jī)網(wǎng)民規(guī)模5.57億，互聯(lián)網(wǎng)普及率達(dá)到49%。但是人們?cè)谙硎芑ヂ?lián)網(wǎng)帶來(lái)的巨大便利的同時(shí)，時(shí)國(guó)家監(jiān)管單位的安全監(jiān)管要求，如公安部82號(hào)、信息安全等級(jí)保護(hù)，需要健全自身信息安全保障體系具備五大核心功能：用戶多樣化認(rèn)證、網(wǎng)絡(luò)訪問(wèn)控制、應(yīng)用控制、網(wǎng)絡(luò)流量管理及日志1、本地認(rèn)證、微信、短信、第三方外部服務(wù)器的身份認(rèn)證，實(shí)現(xiàn)差異化管理，有效管控?zé)o線，有線網(wǎng)絡(luò)接入控制3、對(duì)數(shù)據(jù)包的深度檢測(cè)功能，對(duì)網(wǎng)絡(luò)流量能準(zhǔn)確的按協(xié)議、應(yīng)用識(shí)別，精準(zhǔn)控制用戶行為，規(guī)范用戶的上網(wǎng)行為4、基于單個(gè)服務(wù)、服務(wù)組、多服務(wù)、應(yīng)用的任意組合等進(jìn)行帶寬控制和流量阻斷，實(shí)現(xiàn)帶寬的有效使用5、完善的日志審計(jì)與報(bào)表功能，實(shí)時(shí)統(tǒng)計(jì)出當(dāng)前網(wǎng)絡(luò)中的各種報(bào)文流量，進(jìn)行綜合流量分析，對(duì)符合行為策略的事件實(shí)時(shí)告警并記錄，滿足管理和國(guó)家監(jiān)管要求政策法規(guī)1、根據(jù)國(guó)家相關(guān)法律的規(guī)定，在外部網(wǎng)絡(luò)上發(fā)布淫穢信息與及迷信、反動(dòng)、分裂等言論均為違法行為，如有濫用單位網(wǎng)絡(luò)進(jìn)行了上述行為，將把單位拖進(jìn)復(fù)雜的、難以脫身的法有互聯(lián)網(wǎng)單位均要安裝網(wǎng)絡(luò)安全審計(jì)系統(tǒng)2、信息安全等級(jí)保護(hù)是我國(guó)信息安全保障的基本制度、基本策略、基本方法。開(kāi)展信息安全等級(jí)保護(hù)工作，目的是要解決我國(guó)信息安全面臨的威脅和存在的主要問(wèn)題，而等級(jí)保護(hù)包含5個(gè)方面的建設(shè)，物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全。而其中的網(wǎng)絡(luò)安全與主機(jī)安全，就可以通過(guò)建設(shè)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)來(lái)實(shí)現(xiàn)3、加強(qiáng)上網(wǎng)機(jī)構(gòu)內(nèi)外部網(wǎng)絡(luò)信息控制監(jiān)管的同時(shí)，為避免相關(guān)信息外泄及事后的追溯取證需提供了有效的技術(shù)支撐，能夠詳實(shí)記錄網(wǎng)絡(luò)內(nèi)的各種網(wǎng)絡(luò)活動(dòng)1、能夠全面詳實(shí)地記錄網(wǎng)絡(luò)內(nèi)流經(jīng)監(jiān)聽(tīng)出口的各種網(wǎng)絡(luò)行為2、針對(duì)互聯(lián)網(wǎng)上流行的可還原協(xié)議，任天行系統(tǒng)能夠在記錄網(wǎng)絡(luò)內(nèi)流經(jīng)監(jiān)聽(tīng)出口的各種網(wǎng)絡(luò)行為產(chǎn)生的具體內(nèi)容3、提供自定義危險(xiǎn)行為和內(nèi)容報(bào)警行為4、根據(jù)歷史上網(wǎng)日志數(shù)據(jù)統(tǒng)計(jì)產(chǎn)生豐富詳細(xì)的報(bào)表5、采用通過(guò)5實(shí)現(xiàn)數(shù)據(jù)保護(hù)，快速日志查詢1、支持審計(jì)藏、維、日、韓、泰等特殊語(yǔ)種；滿足國(guó)家監(jiān)管部門和信息安全等級(jí)保護(hù)建設(shè)需求，政治合規(guī)性。2、內(nèi)網(wǎng)無(wú)線、有線網(wǎng)絡(luò)環(huán)境下的行為審計(jì)，網(wǎng)絡(luò)審計(jì)根據(jù)國(guó)家有關(guān)法規(guī)規(guī)定保存至少60天，以