XXX青年職業(yè)學(xué)院安全規(guī)劃方案

XXX青年職業(yè)學(xué)院安全規(guī)劃方案■文檔編號DOCPROPERTY文檔編號請輸入文檔編號■密級DOCPROPERTY密級請輸入文檔密級■版本編號Ver1.3■日期?DATE\@"yyyy"2014綠盟科技 -請輸入文檔密級前言高校信息化現(xiàn)狀高校信息化主要以數(shù)字化校園建設(shè)為主，主要內(nèi)容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門戶、統(tǒng)一身份認(rèn)證、校園一卡通、網(wǎng)絡(luò)安全體系等；大學(xué)數(shù)字化校園建設(shè)通常先提出總體解決方案，確定數(shù)字化校園的體系結(jié)構(gòu)，制定數(shù)字化校園的信息標(biāo)準(zhǔn)，以及各系統(tǒng)之間的接口標(biāo)準(zhǔn)，然后分階段實施?！餍@信息管理系統(tǒng)建設(shè)建設(shè)一整套校園信息管理系統(tǒng)，為實現(xiàn)“網(wǎng)上辦公、網(wǎng)上管理、網(wǎng)上教學(xué)、網(wǎng)上服務(wù)”提供全面的系統(tǒng)支持?！鲾?shù)據(jù)中心建設(shè)建設(shè)一個為全校服務(wù)的數(shù)據(jù)中心，保證數(shù)據(jù)實時更新和高度一致?！鹘⒔y(tǒng)一信息門戶建立一個信息的集成平臺，將分散、異構(gòu)的應(yīng)用和信息資源進(jìn)行聚合，通過統(tǒng)一的訪問入口，實現(xiàn)結(jié)構(gòu)化數(shù)據(jù)資源、非結(jié)構(gòu)化文檔和互聯(lián)網(wǎng)資源、各種應(yīng)用系統(tǒng)跨數(shù)據(jù)庫、跨系統(tǒng)平臺的無縫接入和集成?！餍@一卡通建設(shè)校園一卡通建設(shè)，必須滿足數(shù)字化校園的整體規(guī)劃設(shè)計，一卡通的設(shè)計要架構(gòu)在校園網(wǎng)上，不僅具備消費(fèi)功能，而且還要具備身份識別和校務(wù)管理功能。正確處理好一卡通與其他已有的信息系統(tǒng)（如圖書管理系統(tǒng)、人事、財務(wù)、教務(wù)等管理系統(tǒng)）的對接和系統(tǒng)數(shù)據(jù)共享問題是“數(shù)據(jù)集中”和“應(yīng)用集成”的重要關(guān)鍵?！骶W(wǎng)絡(luò)安全體系建設(shè)建立全校的網(wǎng)絡(luò)安全體系，保證校園網(wǎng)絡(luò)的安全，保證關(guān)鍵數(shù)據(jù)、關(guān)鍵應(yīng)用的安全以及關(guān)鍵業(yè)務(wù)部門的安全，實現(xiàn)校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)的安全高效運(yùn)行。建設(shè)數(shù)字圖書館、校園無線網(wǎng)、構(gòu)建遠(yuǎn)程教育平臺、教育資源建設(shè)等也是數(shù)字化校園建設(shè)的重要內(nèi)容。高校信息安全事件當(dāng)前高校網(wǎng)絡(luò)系統(tǒng)是一個龐大復(fù)雜的系統(tǒng)，在支撐高校業(yè)務(wù)運(yùn)營、發(fā)展的同時，信息系統(tǒng)面臨的信息安全威脅也在不斷增長、被發(fā)現(xiàn)的脆弱性或弱點(diǎn)越來越多、信息安全風(fēng)險日益突出，成為高校面臨的重要的、急需解決的問題之一。高校在進(jìn)行數(shù)字化校園建設(shè)的過程中，曾發(fā)生不少信息安全事件，摘要簡述如下：Case1：服務(wù)器被入侵綠盟科技福建辦事處教育事件應(yīng)急響應(yīng)，今年3月份，福建某高校網(wǎng)絡(luò)出口癱瘓，經(jīng)過綠盟科技應(yīng)急工程師現(xiàn)場檢查，分析原因為高校數(shù)據(jù)中心一臺服務(wù)器被黑客入侵，成為肉雞，被植入僵尸木馬程序，受黑客控制瘋狂往外網(wǎng)發(fā)包，導(dǎo)致學(xué)校網(wǎng)絡(luò)出口癱瘓；綠盟科技應(yīng)急工程師清除了服務(wù)器上相關(guān)木馬程序，并對服務(wù)器進(jìn)行加固，學(xué)校網(wǎng)絡(luò)恢復(fù)正常；Case2：高校網(wǎng)站被入侵篡改西安某中專，學(xué)校網(wǎng)站系統(tǒng)被篡改，工程師現(xiàn)場排除故障，分析原因為前期被入侵，植入了很多的WEBSHELL；綠盟應(yīng)急工程師清除網(wǎng)站上相關(guān)惡意軟件，系統(tǒng)恢復(fù)正常；Case3：高校數(shù)據(jù)庫被竊取石家莊某高校在最近高招中，發(fā)現(xiàn)網(wǎng)站被掛馬、篡改，并且學(xué)校內(nèi)部也曾經(jīng)發(fā)現(xiàn)教務(wù)部學(xué)生成績的數(shù)據(jù)庫，有被惡意篡改的痕跡；Case4：高考網(wǎng)站安全高峰期2011年高考期間，全國110多家高校網(wǎng)站被黑客入侵（不乏北京、上海等重點(diǎn)高校），在大力進(jìn)行高校網(wǎng)站業(yè)務(wù)建設(shè)的同時，各高校在門戶網(wǎng)站面臨的安全隱患也在增加。青年職業(yè)學(xué)院安全威脅分析目前青年職業(yè)學(xué)院新校區(qū)正在建設(shè)中，安全建設(shè)基本處于一片空白，急需對網(wǎng)絡(luò)安全進(jìn)行一次全面的規(guī)劃，以便在后續(xù)的安全建設(shè)中有序、有效地建立起完善的安全體系。目前現(xiàn)狀：新校區(qū)網(wǎng)絡(luò)中暫未部署任何安全防護(hù)設(shè)備。但在校區(qū)的互聯(lián)網(wǎng)出口處，由運(yùn)營商提供了上網(wǎng)行為管理設(shè)備，可對校園網(wǎng)用戶的上網(wǎng)行為起到監(jiān)測和管理作用。外部安全威脅外部惡意入侵者一般是網(wǎng)絡(luò)黑客，以炫耀技術(shù)、惡意破壞、篡改數(shù)據(jù)等為目的，常規(guī)的安全防護(hù)優(yōu)先考慮的是針對此類攻擊的安全防護(hù)。一般外部惡意入侵主要對服務(wù)器群進(jìn)行攻擊，見圖入侵1；如果服務(wù)器群做了基礎(chǔ)防護(hù)，黑客考慮對內(nèi)網(wǎng)用戶進(jìn)行攻擊作跳板，最終對服務(wù)器群再次攻擊，見入侵2、入侵3跳板攻擊行為。服務(wù)器區(qū)安全威脅隨著校園網(wǎng)信息化的逐步深入，業(yè)務(wù)系統(tǒng)眾多，“一卡通”、教學(xué)信息管理系統(tǒng)、電子圖書館、教育資源庫等信息化業(yè)務(wù)系統(tǒng)均普遍的被各大高校采用，而這些系統(tǒng)服務(wù)器由于管理及防護(hù)不到位，普遍存在許多安全漏洞，給黑客入侵創(chuàng)造了很大的機(jī)會：服務(wù)器系統(tǒng)本身存在漏洞校園網(wǎng)數(shù)據(jù)中心內(nèi)的系統(tǒng)應(yīng)用眾多、服務(wù)器眾多，管理及維護(hù)方式也不盡相同，無法做到所有的系統(tǒng)實施統(tǒng)一的漏洞管理政策（比如補(bǔ)丁及時升級、安裝防病毒軟件）。網(wǎng)站開發(fā)代碼缺陷門戶網(wǎng)站作為向外開放的接口，是黑客最優(yōu)先考慮的攻擊入侵手段，現(xiàn)在高校網(wǎng)站包括高校門戶網(wǎng)站、高校招生網(wǎng)站、二級各院系等網(wǎng)站，由于高考、招生、學(xué)生就業(yè)等敏感時期，聚集了大量的學(xué)生及家長訪問流量，也引起黑客的關(guān)注。網(wǎng)站開發(fā)過程中往往忽略了代碼的安全性，這也是導(dǎo)致近年來高校網(wǎng)站被不斷入侵的根本原因，黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到高校網(wǎng)站的管理權(quán)限，進(jìn)而篡改網(wǎng)頁代碼；部分攻擊者將高校網(wǎng)站替換成黃色網(wǎng)站，影響極其惡劣。黑客侵入網(wǎng)站服務(wù)器為跳板入侵者成功獲取WEB服務(wù)器的控制權(quán)限后，可以該服務(wù)器為跳板，對內(nèi)網(wǎng)其他服務(wù)器進(jìn)行探測掃描，發(fā)起攻擊，對內(nèi)網(wǎng)核心數(shù)據(jù)造成影響；教師辦公區(qū)安全威脅外部惡意入侵者對老師辦公區(qū)的入侵并不難，主要途徑包括木馬之植入和漏洞利用，讓教師訪問特定的掛馬網(wǎng)站或者安裝惡意插件均是植入木馬的常用手段，漏洞利用則是由于教師電腦未及時更新補(bǔ)丁導(dǎo)致的。教師辦公區(qū)的入侵目的只有兩個：獲取教師重要數(shù)據(jù)，如教師個人隱私、學(xué)生信息、成績等。作為跳板，木馬的其中一個功能是能記錄登錄學(xué)校相關(guān)應(yīng)用系統(tǒng)的賬號密碼，直接導(dǎo)致學(xué)校應(yīng)用系統(tǒng)賬號泄漏，相關(guān)的應(yīng)用系統(tǒng)信息也面臨被破壞、篡改等威脅。學(xué)生宿舍區(qū)安全威脅外部惡意入侵者對學(xué)生宿舍區(qū)的入侵與對教師辦公區(qū)的入侵手段和目的均相同。內(nèi)部安全威脅內(nèi)部惡意入侵的主體是學(xué)生。目前互聯(lián)網(wǎng)上黑客論壇、黑客工具較多，學(xué)生群體很容易接觸到黑客攻防知識，加上學(xué)生好奇心重，缺少必要的社會責(zé)任和法律法規(guī)，容易利用一些黑客工具發(fā)起網(wǎng)絡(luò)攻擊。學(xué)校網(wǎng)絡(luò)缺少必要的監(jiān)控手段，當(dāng)犯罪發(fā)生時難以定位攻擊者。尤其是青年職業(yè)學(xué)院還有網(wǎng)絡(luò)相關(guān)的專業(yè)，學(xué)生本著學(xué)習(xí)試驗、炫耀技術(shù)實力或者惡意破壞等目的均有可能對內(nèi)網(wǎng)系統(tǒng)進(jìn)行入侵，典型的就是多家高校發(fā)生的入侵篡改考試成績的案例。短期安全建設(shè)規(guī)劃方案安全部署方案部署說明WEB應(yīng)用防火墻（WAF）WAF作為專注于保護(hù)Web應(yīng)用和Web服務(wù)的安全產(chǎn)品，采用事前預(yù)防、事中防護(hù)、事后補(bǔ)償?shù)恼w解決方案。事前，WAF能發(fā)現(xiàn)網(wǎng)站漏洞，提醒管理者修補(bǔ)；事中，WAF能提供基于規(guī)則的靜態(tài)防護(hù)，以及基于應(yīng)用交互邏輯的動態(tài)防護(hù)；事后，WAF能檢測出網(wǎng)頁篡改，提醒管理者修復(fù)，并遮蓋被篡改頁面。WAF一般串聯(lián)部署在WEB網(wǎng)站服務(wù)器前端，直接對WEB應(yīng)用服務(wù)器進(jìn)行專門防護(hù)。入侵防護(hù)系統(tǒng)（IPS）IPS作為一款在線的安全防護(hù)設(shè)備，能實時、主動攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量，保護(hù)各高校信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。IPS建議串聯(lián)部署在互聯(lián)網(wǎng)出口處，防護(hù)外部攻擊者對內(nèi)部網(wǎng)絡(luò)的入侵，同時防護(hù)學(xué)生宿舍區(qū)對服務(wù)器區(qū)的入侵行為，即學(xué)生對服務(wù)器和教師辦公區(qū)的訪問數(shù)據(jù)必須經(jīng)過IPS。部署效益表產(chǎn)品介紹產(chǎn)品詳細(xì)介紹見附錄A。長遠(yuǎn)安全體系規(guī)劃方案病毒傳播、黑客的攻擊并不是一個靜態(tài)的過程，也就要求網(wǎng)絡(luò)安全防護(hù)系統(tǒng)是動態(tài)的、整體的，要真正實現(xiàn)一個系統(tǒng)的安全，就需要建立一個從保護(hù)、檢測、響應(yīng)到恢復(fù)的一套全方位的安全保障體系。高校的信息安全保障方案需要從體系化的角度，全面、整體、長期地滿足高校安全保障的要求；由于人員、資金、資源等方面的限制，安全建設(shè)總是要求將有限的資源用在“刀刃”上，區(qū)分高校的業(yè)務(wù)系統(tǒng)進(jìn)行重點(diǎn)防護(hù)是必要的；體系化建設(shè)結(jié)合重點(diǎn)保護(hù)的策略，是高校信息安全建設(shè)的最優(yōu)選擇。信息安全體系化建設(shè)體系化建設(shè)通常需要從信息安全組織體系、管理體系、技術(shù)體系三個方面著手建立統(tǒng)一的安全保障體系，力保網(wǎng)絡(luò)信息安全；組織體系著眼于人員組織架構(gòu)，像崗位設(shè)置、職責(zé)授權(quán)、人員任用、績效考核等；管理體系側(cè)重在制度的梳理，制定高校安全計劃并持續(xù)改進(jìn)，制定運(yùn)行、維護(hù)、監(jiān)控制度，明確審計的內(nèi)容和程序等；技術(shù)體系分成準(zhǔn)備、預(yù)防、檢測、保護(hù)、響應(yīng)、監(jiān)控、評價七個階段，根據(jù)用戶需求采用相應(yīng)的安全防護(hù)技術(shù)。體系化建設(shè)亦須遵循PDCA原則，即是計劃(Plan)、實施(Do)、檢查(Check)、調(diào)整(Adjustment)，并不斷改善。體系化建設(shè)建議重點(diǎn)考慮遵循等保、分域管理、應(yīng)急響應(yīng)。體系化之遵循等保1994年國務(wù)院發(fā)布《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令），規(guī)定“計算機(jī)信息系統(tǒng)實行安全等級保護(hù)”的制度框架。1999年國家發(fā)布實施的《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》GB17859-1999，這是第一部強(qiáng)制性國家信息安全標(biāo)準(zhǔn)，也是一個技術(shù)法規(guī)。2009年11月，教育部為進(jìn)一步加強(qiáng)教育系統(tǒng)信息安全工作，由辦公廳印發(fā)《關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知》（教辦廳函[2009]80號），決定在教育系統(tǒng)全面開展信息安全等級保護(hù)工作；等級保護(hù)不僅是對信息安全產(chǎn)品或系統(tǒng)的檢測、評估以及定級，更重要的是，等級保護(hù)是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度，是一項基礎(chǔ)性和制度性的工作。通過將等級化方法和高校信息安全體系建設(shè)有效結(jié)合，設(shè)計一套符合高校需求的信息安全保障體系，是適合我國國情、系統(tǒng)化地解決高校信息安全問題的一個非常有效的方法。體系化之分域管理安全域服務(wù)的根本目的是為了更好的保障高校業(yè)務(wù)信息系統(tǒng)的安全，保障高校業(yè)務(wù)的穩(wěn)健運(yùn)行，保障高校信息系統(tǒng)業(yè)務(wù)使命的順利達(dá)成。因此安全域的設(shè)計必須以信息系統(tǒng)提供的業(yè)務(wù)服務(wù)為中心，以業(yè)務(wù)安全需求為根本出發(fā)點(diǎn)，以抵御威脅、減少漏洞、控制信息安全風(fēng)險及符合相關(guān)標(biāo)準(zhǔn)規(guī)范為根本立足點(diǎn)。另外，安全域的設(shè)計大多是基于現(xiàn)有信息系統(tǒng)進(jìn)行的，必然要結(jié)合現(xiàn)有系統(tǒng)的實際情況，同時又要考慮對信息系統(tǒng)的安全建設(shè)的指導(dǎo)作用。因此，安全域的設(shè)計應(yīng)從信息系統(tǒng)普遍的實際情況出發(fā)創(chuàng)建信息系統(tǒng)模型、規(guī)范和優(yōu)化信息系統(tǒng)結(jié)構(gòu)，以及便于安全防護(hù)策略的設(shè)計、實現(xiàn)和部署。建議高校安全域劃分如下：技術(shù)支撐域：可以包括網(wǎng)絡(luò)中心、數(shù)據(jù)中心、電教中心、圖書館等；負(fù)責(zé)高校信息化規(guī)劃和建設(shè)，對高校信息基礎(chǔ)設(shè)施進(jìn)行管理，提供信息交流與服務(wù)。學(xué)生域：可以包括本招辦、研招辦、留學(xué)生辦、學(xué)生處、研究生工作部、就業(yè)中心、物業(yè)中心（住宿）、各院系；主要針對學(xué)生從招生、入學(xué)、在校培養(yǎng)、畢業(yè)的全程管理。教學(xué)域：包括研究生院、教務(wù)處、注冊中心、各院系；開展教學(xué)活動及教學(xué)管理?？蒲杏颍喊蒲性?、各院系；對全?？蒲许椖抗芾?，包括科研合同管理、科研成果管理、科研機(jī)構(gòu)管理、科研交流與協(xié)作。財務(wù)資產(chǎn)域：包括財務(wù)處、結(jié)算中心、會計核算中心、審計室、實驗室與設(shè)備處、房產(chǎn)處、各院系；負(fù)責(zé)學(xué)校所有的經(jīng)費(fèi)業(yè)務(wù)，全校國有資產(chǎn)管理，實驗室及其設(shè)備管理、房產(chǎn)管理等。校務(wù)職能域：涉及學(xué)校的人力資源、后勤保障、社會服務(wù)及發(fā)展決策等職能部門，有條件的學(xué)?？梢赃M(jìn)行細(xì)分。安全域的劃分可以通過物理方式，即同一個安全域中的計算機(jī)接在同一個網(wǎng)絡(luò)交換機(jī)上，也可以通過邏輯方式，即利用VLAN技術(shù)，同一個安全域中的計算機(jī)劃分在同一個VLAN上。安全域之間的邊界保護(hù)，可以通過使用三層交換機(jī)的訪問控制列表(ACL)來實現(xiàn)，對保密要求高的安全域，與其它安全域之間的邊界保護(hù)，應(yīng)使用防火墻（SG）或入侵保護(hù)（NIPS）設(shè)備進(jìn)行訪問控制，以提高這些安全域的安全性。對于不同等級的安全域間通信，禁止高密級信息由高等級安全域流向低等級安全域。不同的安全域應(yīng)分析其使用人員、業(yè)務(wù)類型、流量走向、服務(wù)對象等，對于保密要求比較高的安全域，也可以考慮在系統(tǒng)終端上安裝內(nèi)網(wǎng)安全管理系統(tǒng)（EPS），對終端的補(bǔ)丁、病毒庫同步進(jìn)行統(tǒng)一管理，監(jiān)控終端主機(jī)的違規(guī)外聯(lián)、違規(guī)開啟服務(wù)端口，控制終端外設(shè)端口的使用等，開啟主機(jī)防火墻、主機(jī)入侵保護(hù)、防ARP欺騙以強(qiáng)化終端主機(jī)安全保護(hù)，保障安全域內(nèi)網(wǎng)絡(luò)安全。體系化之應(yīng)急響應(yīng)針對各種可能突發(fā)的信息安全事件，建議高校制訂對應(yīng)的應(yīng)急響應(yīng)預(yù)案，預(yù)案對響應(yīng)的流程進(jìn)行梳理，具有可操作性，并明確專人負(fù)責(zé)，預(yù)案對安全事件進(jìn)行分類分級別，不同級別事件啟動相應(yīng)的流程，對應(yīng)不同的組織人員響應(yīng)，通過該方案使損失減到最小。校園安全需要重點(diǎn)防護(hù)高校信息業(yè)務(wù)系統(tǒng)眾多，為了將有限的資源用在“刀刃”上，需要對重點(diǎn)的業(yè)務(wù)系統(tǒng)進(jìn)行防護(hù)。重點(diǎn)防護(hù)之高校門戶網(wǎng)站高校門戶網(wǎng)站已從一個簡單的信息發(fā)布、展示平臺，逐步轉(zhuǎn)變?yōu)閰R集了招生就業(yè)、遠(yuǎn)程教育、成果共享、招標(biāo)采購等多功能的綜合性業(yè)務(wù)平臺。高校網(wǎng)站已積聚了教育信息化建設(shè)中大量的信息資源，成為高校成熟的校務(wù)展示和應(yīng)用平臺。作為高校對外展示窗口的門戶網(wǎng)站，所面向的用戶群越來越廣泛，所承載的功能越來越全面，不單是面向校內(nèi)，同時面向社會也提供了諸多服務(wù)功能。對高校的門戶網(wǎng)站安全保護(hù)是必需的：（1）定制綠盟網(wǎng)站安全監(jiān)測服務(wù)（NSFOCUSWSS）；網(wǎng)站的風(fēng)險漏洞是站點(diǎn)被攻擊的根源，基于云安全平臺的綠盟網(wǎng)站安全監(jiān)測服務(wù)（NSFOCUSWSS），可以周期性地進(jìn)行網(wǎng)站應(yīng)用層遠(yuǎn)程漏洞掃描，在事前提供網(wǎng)站安全預(yù)警，及時發(fā)現(xiàn)高校門戶網(wǎng)站中是否存在安全漏洞，并提供相應(yīng)的修補(bǔ)建議；借助“遠(yuǎn)程網(wǎng)頁掛馬監(jiān)測服務(wù)”，可高效、準(zhǔn)確識別網(wǎng)站頁面中的惡意代碼，使網(wǎng)站管理員能夠第一時間得知自己網(wǎng)站的安全狀態(tài)，避免由于網(wǎng)站被掛馬給學(xué)生、家長、社會訪問者帶來的安全威脅；另外網(wǎng)頁敏感內(nèi)容監(jiān)測服務(wù)、網(wǎng)頁篡改監(jiān)測服務(wù)、網(wǎng)站訪問平穩(wěn)度檢測服務(wù)、網(wǎng)站域名解析監(jiān)測服務(wù)等可以在高校門戶網(wǎng)站運(yùn)維期間提供有效的監(jiān)控手段，幫助高校網(wǎng)站管理者及時高效地發(fā)現(xiàn)網(wǎng)站存在的問題。（2）在高校門戶網(wǎng)站前部署一套綠盟WEB應(yīng)用防護(hù)系統(tǒng)（NSFOCUSWAF）；高校網(wǎng)站系統(tǒng)往往包含門戶、各院系的網(wǎng)站，因此WEB服務(wù)器較多，某一個院系的網(wǎng)站被入侵后，極易造成整個網(wǎng)站系統(tǒng)被滲透（跳轉(zhuǎn)攻擊方式）；綠盟科技WAF防護(hù)系統(tǒng)作為專門針對網(wǎng)站防護(hù)的工具，可以對來自Web應(yīng)用程序客戶端的各類請求進(jìn)行內(nèi)容檢測和驗證，提供細(xì)粒度應(yīng)用層DDoS攻擊防護(hù)功能，確保訪問流量的安全性與合法性；對非法的請求予以實時阻斷，有效防止HTTP及HTTPS應(yīng)用下各類安全威脅，如SQL注入、XSS、跨站偽造（CSRF）、cookie篡改等，有效應(yīng)對黑客攻擊、網(wǎng)頁掛馬、敏感信息泄露等安全問題，充分保障高校網(wǎng)站各類Web應(yīng)用的高可用性和可靠性。

重點(diǎn)防護(hù)之高校數(shù)據(jù)中心（1）在高校數(shù)據(jù)中心部署綠盟遠(yuǎn)程安全評估系統(tǒng)（NSFOCUSRSAS）；數(shù)據(jù)中心作為高校信息化的心臟，運(yùn)行著高校各種業(yè)務(wù)系統(tǒng)，保存著這些業(yè)務(wù)系統(tǒng)產(chǎn)生的敏感數(shù)據(jù)，如試卷、學(xué)生考試成績、學(xué)籍學(xué)歷數(shù)據(jù)、科研項目的研究成果等，因而有必要對高校數(shù)據(jù)中心服務(wù)器的漏洞進(jìn)行統(tǒng)一的管理；綠盟安全評估系統(tǒng)（NSFOCUSRSAS）依托綠盟科技多年的安全服務(wù)實踐經(jīng)驗，第一時間主動對高校數(shù)據(jù)中心的網(wǎng)絡(luò)資產(chǎn)進(jìn)行細(xì)致深入的漏洞檢測、分析，并給高校用戶提供專業(yè)、有效的漏洞防護(hù)建議，及時修補(bǔ)漏洞，讓攻擊者無機(jī)可乘。遠(yuǎn)程安全評估系統(tǒng)將資產(chǎn)、漏洞和威脅緊密結(jié)合，提供了圖形化的資產(chǎn)管理方式，并通過可量化的模型呈現(xiàn)，幫助高校用戶對網(wǎng)絡(luò)中存在的風(fēng)險有一個整體、直觀的認(rèn)識，做到真正意義上的風(fēng)險量化。漏洞管理能夠?qū)︻A(yù)防已知安全漏洞的攻擊起到很好的作用，做到真正的“未雨綢繆”。（2）在高校數(shù)據(jù)中心部署入侵防護(hù)系統(tǒng)（NSFOCUSNIPS）：高校數(shù)據(jù)中心主要包含“一卡通”、數(shù)據(jù)庫、學(xué)籍學(xué)歷管理系統(tǒng)等重要業(yè)務(wù)系統(tǒng)，針對高校內(nèi)部網(wǎng)絡(luò)用戶訪問數(shù)據(jù)中心的流量，提供針對性的實時檢測和防御功能，過濾對服務(wù)器操作系統(tǒng)的攻擊（緩沖區(qū)溢出攻擊、惡意掃描、漏洞攻擊等）、對數(shù)據(jù)庫的攻擊（SQL注入、緩沖區(qū)溢出攻擊、植入式攻擊等）、對業(yè)務(wù)系統(tǒng)應(yīng)用程序的攻擊等流量，即IPS接收到數(shù)據(jù)中心外部的數(shù)據(jù)流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)數(shù)據(jù)中心內(nèi)部，可以有效的阻斷對重要數(shù)據(jù)的惡意攻擊，防止重要數(shù)據(jù)泄漏和更改。網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動的、實時的防護(hù)，自動對惡意流量如蠕蟲、病毒、間諜軟件、DDoS、黑客攻擊等進(jìn)行實時阻斷，避免或減緩攻擊可能給學(xué)校帶來的損失。重點(diǎn)防護(hù)之高校網(wǎng)絡(luò)中心（1）在高校網(wǎng)絡(luò)中心部署遠(yuǎn)程安全評估系統(tǒng)（NSFOCUSRSAS）；作為高校網(wǎng)絡(luò)基礎(chǔ)設(shè)施的核心交換機(jī)、路由器、防火墻、接入網(wǎng)、服務(wù)器等，如果存在安全漏洞，將對高校的網(wǎng)絡(luò)運(yùn)維埋下被黑客攻擊的隱患；遠(yuǎn)程安全評估系統(tǒng)（NSFOCUSRSAS）依托綠盟科技多年的安全服務(wù)實踐經(jīng)驗，可以第一時間主動對高校網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行細(xì)致深入的漏洞檢測、分析，并給高校用戶提供專業(yè)、有效的漏洞防護(hù)建議，及時修補(bǔ)漏洞，讓攻擊者無機(jī)可乘。遠(yuǎn)程安全評估系統(tǒng)將資產(chǎn)、漏洞和威脅緊密結(jié)合，提供了圖形化的資產(chǎn)管理方式，并通過可量化的模型呈現(xiàn)，幫助高校用戶對網(wǎng)絡(luò)中存在的風(fēng)險有一個整體、直觀的認(rèn)識，做到真正意義上的風(fēng)險量化。漏洞管理能夠?qū)︻A(yù)防已知安全漏洞的攻擊起到很好的作用，做到真正的“未雨綢繆”。（2）在高校網(wǎng)絡(luò)出口部署入侵防護(hù)系統(tǒng)（NSFOCUSNIPS）：針對互聯(lián)網(wǎng)上的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS等混合威脅及黑客攻擊，提供針對性的實時檢測和防御功能，即IPS接收到外部數(shù)據(jù)流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動的、實時的防護(hù)，其設(shè)計目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實時阻斷，在任何未授權(quán)活動開始前發(fā)現(xiàn)攻擊，避免或減緩攻擊可能給學(xué)校帶來的損失；NIPS具備雙向防護(hù)功能，也可以阻斷內(nèi)網(wǎng)發(fā)起的黑客攻擊流量，避免對公網(wǎng)發(fā)起攻擊，造成流量阻塞。服務(wù)和安全產(chǎn)品推薦推薦安全服務(wù)安全服務(wù)簡要說明安全體系ISMS建設(shè)綠盟科技安全顧問協(xié)助客戶建立信息安全管理體系(ISMS)，提升整體安全管理水平。安全域劃分與安全策略綠盟科技安全顧問為客戶提供安全域劃分的支持，并制定對應(yīng)的安全保護(hù)策略。等級保護(hù)咨詢綠盟科技安全顧問根據(jù)客戶所在行業(yè)等級保護(hù)的要求，進(jìn)行差距分析，在定級、評估、整改、運(yùn)維方面提供支持。應(yīng)急預(yù)案制定與演練綠盟科技安全顧問基于客戶信息系統(tǒng)安全防護(hù)的技術(shù)和管理組織的實際情況，為客戶制定應(yīng)急預(yù)案，并指導(dǎo)客戶進(jìn)行演練。緊急事件響應(yīng)處理在接到客戶應(yīng)急響應(yīng)服務(wù)請求后，綠盟科技安全專家提供遠(yuǎn)程安全支持和現(xiàn)場安全支持，判斷事件類型，協(xié)助客戶降低影響，并提供分析建議。

推薦安全產(chǎn)品組合重要業(yè)務(wù)系統(tǒng)安全防護(hù)產(chǎn)品簡要說明高校門戶網(wǎng)站綠盟網(wǎng)站安全監(jiān)測服務(wù)（NSFOCUSWSS）7*24小時不間斷網(wǎng)站安全實時監(jiān)控服務(wù)，幫助客戶隨時掌控Web應(yīng)用的安全狀況，在網(wǎng)站出現(xiàn)風(fēng)險情況后在第一時間通過郵件、短信方式通知用戶。綠盟WEB應(yīng)用防護(hù)系統(tǒng)（NSFOCUSWAF）專業(yè)網(wǎng)站安全防護(hù)系統(tǒng)，提供SQL注入及跨站腳本漏洞檢測和分析功能；提供TCPFlood及HTTPFlood攻擊防護(hù)功能；提供服務(wù)器側(cè)惡意代碼過濾功能；提供網(wǎng)絡(luò)爬蟲和網(wǎng)頁盜鏈防護(hù)功能。高校數(shù)據(jù)中心綠盟遠(yuǎn)程安全評估系統(tǒng)（NSFOCUSRSAS）專業(yè)的漏洞管理產(chǎn)品，對數(shù)據(jù)中心中的網(wǎng)絡(luò)資產(chǎn)（服務(wù)器、交換機(jī)、存儲）進(jìn)行漏洞掃描、分析，提供專業(yè)、有效的漏洞防護(hù)建議；將資產(chǎn)、漏洞和威脅緊密結(jié)合，提供了圖形化、可量化的風(fēng)險報告，整體、直觀地展示高校網(wǎng)絡(luò)中的風(fēng)險走勢。綠盟入侵防護(hù)系統(tǒng)（NSFOCUSNIPS）在線部署的安全防護(hù)產(chǎn)品，主動對高校數(shù)據(jù)中心流量中的惡意流量如蠕蟲、病毒、間諜軟件、黑客攻擊等進(jìn)行實時阻斷，避免或減緩攻擊可能給用戶帶來的損失。高校網(wǎng)絡(luò)中心綠盟遠(yuǎn)程安全評估系統(tǒng)（NSFOCUSRSAS）專業(yè)的漏洞管理產(chǎn)品，對校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施（核心交換機(jī)、路由器、接入交換機(jī)等）進(jìn)行漏洞掃描、分析，提供專業(yè)、有效的漏洞防護(hù)建議；將資產(chǎn)、漏洞和威脅緊密結(jié)合，提供了圖形化、可量化的風(fēng)險報告，整體、直觀地展示高校網(wǎng)絡(luò)中的風(fēng)險走勢。綠盟入侵防護(hù)系統(tǒng)（NSFOCUSNIPS）在線部署的安全防護(hù)產(chǎn)品，主動對高校網(wǎng)絡(luò)出口進(jìn)出流量中的惡意流量如蠕蟲、病毒、間諜軟件、黑客攻擊等進(jìn)行實時雙向阻斷，避免或減緩內(nèi)網(wǎng)遭受攻擊，或阻斷對外網(wǎng)的攻擊流量。其它綠盟下一代防火墻（NSFOCUSNGFW）高性能專業(yè)防火墻，部署在校園網(wǎng)絡(luò)安全域邊界，對域間流量進(jìn)行隔離，不同域間進(jìn)行訪問控制。

綠盟產(chǎn)品介紹綠盟網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)（以下簡稱“NSFOCUSNIPS”）是綠盟科技擁有完全自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品，作為一種在線部署的產(chǎn)品，其設(shè)計目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動應(yīng)對各類攻擊流量，第一時間將安全威脅阻隔在企業(yè)網(wǎng)絡(luò)外部。這類產(chǎn)品彌補(bǔ)了防火墻、入侵檢測等產(chǎn)品的不足，提供動態(tài)的、深度的、主動的安全防御，為企業(yè)提供了一個全新的入侵防護(hù)解決方案。NSFOCUSNIPS是網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)同類產(chǎn)品中的精品典范，該產(chǎn)品高度融合高性能、高安全性、高可靠性和易操作性等特性，產(chǎn)品內(nèi)置先進(jìn)的Web信譽(yù)機(jī)制，同時具備深度入侵防護(hù)、精細(xì)流量控制，以及全面用戶上網(wǎng)行為監(jiān)管等多項功能，能夠為用戶提供深度攻擊防御和應(yīng)用帶寬保護(hù)的完美價值體驗。入侵防護(hù)實時、主動攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。Web安全基于互聯(lián)網(wǎng)Web站點(diǎn)的“云計算”掛馬檢測結(jié)果，結(jié)合URL信譽(yù)評價技術(shù)，保護(hù)用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時不受侵害，及時、有效地第一時間攔截Web威脅。Web行為過濾綠盟SCM具有業(yè)界領(lǐng)先的中英文網(wǎng)頁過濾數(shù)據(jù)庫，包括超過1000萬條的URL，多種精細(xì)分類（如不良言論、色情暴力、網(wǎng)絡(luò)“釣魚”、論壇聊天等）；實現(xiàn)全面、準(zhǔn)確、高效的非工作無關(guān)網(wǎng)站、不良、高風(fēng)險網(wǎng)站過濾；可以實現(xiàn)釣魚等惡語站點(diǎn)。業(yè)界著名的NSFOCUS安全研究組采用先進(jìn)的網(wǎng)頁動態(tài)分類技術(shù)，經(jīng)過高智能、準(zhǔn)確檢測驗證，及時更新URL分類數(shù)據(jù)庫和網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)庫，提供全天候的內(nèi)容安全管理。流量