XX大學(xué)智慧校園信息安全改造建設(shè)方案v20

XX大學(xué)校園網(wǎng)信息安全改造建設(shè)方案TOC\o"1-5"\h\z\o"CurrentDocument"第一章:項目概述2\o"CurrentDocument"1.1學(xué)院信息化現(xiàn)狀2\o"CurrentDocument"1。2學(xué)院安全現(xiàn)狀分析.4\o"CurrentDocument"1.3學(xué)院安全威脅分析4\o"CurrentDocument"1。3.1學(xué)院門戶網(wǎng)站4\o"CurrentDocument"1.3。2校園網(wǎng)業(yè)務(wù)信息系統(tǒng)4設(shè)方案5\o"CurrentDocument"2.1信息安全體系的標(biāo)準(zhǔn)要求.6\o"CurrentDocument"2。1。1信息安全體系設(shè)計方法論6\o"CurrentDocument"2.1.3信息安全體系架構(gòu)6\o"CurrentDocument"2.1.3信息安全等級保護整改指南6\o"CurrentDocument"2.2信息安全技術(shù)體系6\o"CurrentDocument"2。2?1信息安全區(qū)域劃分7\o"CurrentDocument"2.2。2信息安全產(chǎn)品的部署情況說明7\o"CurrentDocument"2。2。3安全建設(shè)與整改依據(jù)8\o"CurrentDocument"2。2.4產(chǎn)品部署方案11\o"CurrentDocument"2。3信息安全管理體系12\o"CurrentDocument"2。3?1安全管理體系建設(shè)目標(biāo)12\o"CurrentDocument"2。3。2安全管理體系建設(shè)內(nèi)容13\o"CurrentDocument"第三章：項目產(chǎn)品清單與概算15第一章:項目概述1。1學(xué)院信息化現(xiàn)狀近年來，隨著我國社會經(jīng)濟的不斷發(fā)展，國家對教育事業(yè)的支持和投入不斷增加，我國的高等教育從深度和廣度上都有了顯著的發(fā)展和提高。信息化、網(wǎng)絡(luò)與計算機技術(shù)的不斷發(fā)展也為教育事業(yè)提供了強有力的支持手段,為教育模式的創(chuàng)新、先進教育理念的實現(xiàn)提供了可靠的實現(xiàn)方法。2012年3月，教育部出臺了《教育信息化十年發(fā)展規(guī)劃（2011—2020年）》，明確提出“到2020年，全面完成《教育規(guī)劃綱要》所提出的教育信息化目標(biāo)任務(wù)，形成與國家教育現(xiàn)代化發(fā)展目標(biāo)相適應(yīng)的教育信息化體系，基本建成人人可享有優(yōu)質(zhì)教育資源的信息化學(xué)習(xí)環(huán)境，基本形成學(xué)習(xí)型社會的信息化支撐服務(wù)體系，基本實現(xiàn)所有地區(qū)和各級各類學(xué)校寬帶網(wǎng)絡(luò)的全面覆蓋，教育管理信息化水平顯著提高，信息技術(shù)與教育融合發(fā)展的水平顯著升。教育信息化整體上接近國際先進水平，對教育改革和發(fā)展的支撐與引領(lǐng)作用充分顯現(xiàn)?！苯逃砍雠_的《高等學(xué)?！笆濉笨茖W(xué)和技術(shù)發(fā)展規(guī)劃》中也明確提出要“加快重大科研平臺建設(shè)與資源共享〃,“加強教育信息化對學(xué)校科研、人才培養(yǎng)、社會服務(wù)和文化傳承的支撐”.學(xué)校信息化主要以數(shù)字化校園建設(shè)為主,主要內(nèi)容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門戶、統(tǒng)一身份認(rèn)證、校園一卡通、網(wǎng)絡(luò)安全體系等；大學(xué)數(shù)字化校園建設(shè)通常先提出總體解決方案，確定數(shù)字化校園的體系結(jié)構(gòu)，制定數(shù)字化校園的信息標(biāo)準(zhǔn)，以及各系統(tǒng)之間的接口標(biāo)準(zhǔn)，然后分階段實施。?校園信息管理系統(tǒng)建設(shè)建設(shè)一整套校園信息管理系統(tǒng)，為實現(xiàn)“網(wǎng)上辦公、網(wǎng)上管理、網(wǎng)上教學(xué)、網(wǎng)上服務(wù)〃提供全面的系統(tǒng)支持。?數(shù)據(jù)中心建設(shè)建設(shè)一個為全校服務(wù)的數(shù)據(jù)中心，保證數(shù)據(jù)實時更新和高度一致.?建立統(tǒng)一信息門戶建立一個信息的集成平臺，將分散、異構(gòu)的應(yīng)用和信息資源進行聚合，通過統(tǒng)一的訪問入口，實現(xiàn)結(jié)構(gòu)化數(shù)據(jù)資源、非結(jié)構(gòu)化文檔和互聯(lián)網(wǎng)資源、各種應(yīng)用系統(tǒng)跨數(shù)據(jù)庫、跨系統(tǒng)平臺的無縫接入和集成。?校園一卡通建設(shè)校園一卡通建設(shè)，必須滿足數(shù)字化校園的整體規(guī)劃設(shè)計，一卡通的設(shè)計要架構(gòu)在校園網(wǎng)上，不僅具備消費功能，而且還要具備身份識別和校務(wù)管理功能。正確處理好一卡通與其他已有的信息系統(tǒng)（如圖書管理系統(tǒng)、人事、財務(wù)、教務(wù)等管理系統(tǒng)）的對接和系統(tǒng)數(shù)據(jù)共享問題是“數(shù)據(jù)集中〃和“應(yīng)用集成”的重要關(guān)鍵。?網(wǎng)絡(luò)安全體系建設(shè)建立全校的網(wǎng)絡(luò)安全體系，保證校園網(wǎng)絡(luò)的安全，保證關(guān)鍵數(shù)據(jù)、關(guān)鍵應(yīng)用的安全以及關(guān)鍵業(yè)務(wù)部門的安全，實現(xiàn)校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)的安全高效運行。建設(shè)數(shù)字圖書館、校園無線網(wǎng)、構(gòu)建遠(yuǎn)程教育平臺、教育資源建設(shè)等也是數(shù)字化校園建設(shè)的重要內(nèi)容。1。2學(xué)院安全現(xiàn)狀分析xx大學(xué)位于南部、京九線上享有“南國宋城、客家搖籃、紅色故都、生態(tài)家園、稀土王國、世界鎢都、臍橙之鄉(xiāng)”等美譽，是一所校園環(huán)境優(yōu)美、文化底蘊深厚、學(xué)科門類較全、辦學(xué)特色鮮明、綜合實力較強、發(fā)展前景良好的省屬本科師范院校。在辦校建校的過程中，xx大學(xué)積極響應(yīng)國家和教育部的相關(guān)指示和方針，對信息化建設(shè)給予了極大的人力、物理和財力的投入。目前達到了關(guān)鍵業(yè)務(wù)系統(tǒng)的信息化應(yīng)用、全校園互聯(lián)網(wǎng)覆蓋，各校區(qū)之間的骨干網(wǎng)絡(luò)互聯(lián)。1。3學(xué)院安全威脅分析1.3.1學(xué)院門戶網(wǎng)站學(xué)校網(wǎng)站的安全威脅，包括學(xué)校門戶網(wǎng)站、學(xué)校招生網(wǎng)站、二級各院系等網(wǎng)站，由于高考、招生、學(xué)生就業(yè)等敏感時期，聚集了大量的學(xué)生及家長訪問流量，也引起黑客的關(guān)注，學(xué)校網(wǎng)站面臨的主要安全威脅有：?網(wǎng)頁被掛馬、被篡改黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到學(xué)校網(wǎng)站的管理權(quán)限，進而篡改網(wǎng)頁代碼；部分攻擊者將學(xué)校網(wǎng)站替換成黃色網(wǎng)站，影響極其惡劣。?黑客侵入校園內(nèi)網(wǎng)的跳板入侵者成功獲取WEB服務(wù)器的控制權(quán)限后，可以該服務(wù)器為跳板，對內(nèi)網(wǎng)進行探測掃描，發(fā)起攻擊，對內(nèi)網(wǎng)核心數(shù)據(jù)造成影響。1。3。2校園網(wǎng)業(yè)務(wù)信息系統(tǒng)隨著校園網(wǎng)信息化的逐步深入，業(yè)務(wù)系統(tǒng)眾多，“一卡通”、教學(xué)信息管理系統(tǒng)、電子圖書館、教育資源庫等信息化業(yè)務(wù)系統(tǒng)均普遍的被各大學(xué)校采用，而這些系統(tǒng)由于管理及防護不到位,目前面臨著較嚴(yán)重的安全威脅：?業(yè)務(wù)系統(tǒng)缺乏必要的入侵防護手段學(xué)校網(wǎng)絡(luò)規(guī)模擴張迅速，網(wǎng)絡(luò)帶寬及處理能力都有很大的提升，但是管理和維護人員方面的投入明顯不足，無暇顧及、也沒有條件管理和維護數(shù)萬臺計算機的安全.一旦學(xué)生進行黑客攻擊，無法阻斷攻擊并發(fā)現(xiàn)攻擊源，邊界缺乏必要的隔離和審計措施，出現(xiàn)問題不方便定位，追查取證。?系統(tǒng)漏洞缺乏必要的控制措施校園網(wǎng)數(shù)據(jù)中心內(nèi)的系統(tǒng)應(yīng)用眾多、服務(wù)器眾多，管理及維護方式也不盡相同，無法做到所有的系統(tǒng)實施統(tǒng)一的漏洞管理政策，缺乏自動化的高效檢查工具和控制手段。?業(yè)務(wù)系統(tǒng)權(quán)限控制不合理，有安全隱患由于學(xué)校內(nèi)應(yīng)用眾多，開發(fā)模式多樣，因此難免會造成權(quán)限設(shè)計時考慮不周，造成權(quán)限漏洞，或給攻擊者以機會；學(xué)生在內(nèi)網(wǎng)中即可訪問各種業(yè)務(wù)資源，缺乏必要的控制措施；校園“一卡通”系統(tǒng)數(shù)據(jù)有可能被篡改，賬號及資金缺乏安全保障；由于重要數(shù)據(jù)庫的訪問缺乏審計手段，一旦出現(xiàn)數(shù)據(jù)篡改現(xiàn)象，無法定位問題。第二章：項目建設(shè)方案引入知名且具有權(quán)威性的第三方安全服務(wù)機構(gòu)為xx大學(xué)信息中心提供專業(yè)的、先進和完善的整體安全服務(wù)體系，并協(xié)助xx大學(xué)信息中心建立相應(yīng)的信息安全管理辦法，加強內(nèi)部培訓(xùn)及管理，建立完善的信息安全管理系統(tǒng)，加強身份認(rèn)證、門戶網(wǎng)站和數(shù)據(jù)中心的安全體系建設(shè)，提高xx大學(xué)信息中心整體的信息安全意識。建議人事、教務(wù)、OA、校園網(wǎng)等信息系統(tǒng)按照信息系統(tǒng)等級保護II級標(biāo)準(zhǔn)的要求進行安全規(guī)劃整改，以達到教育部的安全要求.建議財務(wù)、一卡通信息系統(tǒng)按照信息系統(tǒng)等級保護III級標(biāo)準(zhǔn)的要求進行安全規(guī)劃整改，以達到教育部的安全要求.技術(shù)方面的網(wǎng)絡(luò)安全、主機安全、網(wǎng)站安全、數(shù)據(jù)庫安全主要通過安全產(chǎn)品的部署來解決。管理方面安全主要通過安全服務(wù)來解決。2。1信息安全體系的標(biāo)準(zhǔn)要求2。1.1信息安全體系設(shè)計方法論?安全是相對的，不安全是絕對的。?安全是根據(jù)需求規(guī)劃出來的，不是出了問題做應(yīng)急處理出來的.?安全管理比安全技術(shù)更重要。2。1.3信息安全體系架構(gòu)信息安全體系三層架構(gòu)模型如下圖：信息安全系統(tǒng)是整體的、動態(tài)的.信息安全系統(tǒng)符合MPDRR模型(M一management，P-protect，D—detection，R1—responce,R2—recovery)，因此，要真正實現(xiàn)一個系統(tǒng)的安全，就需要建立一個從保護、檢測、響應(yīng)到恢復(fù)的一套全方位的安全保障體系：我們提供的信息安全方案正是基于MPDRR模型構(gòu)建的，符合信息安全系統(tǒng)整體性和動態(tài)性的特點。它集防火墻、入侵檢測、安全掃描、安全審計等防御于一體，將多種信息安全技術(shù)和優(yōu)秀信息安全產(chǎn)品在技術(shù)上有機集成，實現(xiàn)安全產(chǎn)品之間的互通與聯(lián)動，是一個統(tǒng)一的、可擴展的安全體系平臺。2.1.3信息安全等級保護整改指南《信息安全等級保護安全建設(shè)整改工作指南》對等保整改的思路如下圖：參考以上模型，針對等級保護的技術(shù)要求和管理要求，進行相應(yīng)的安全技術(shù)體系和安全管理體系的建立，從而使信息系統(tǒng)達到等級保護要求。2。2信息安全技術(shù)體系信息安全技術(shù)體系設(shè)計主要是針對網(wǎng)絡(luò)安全、主機安全、網(wǎng)站安全、數(shù)據(jù)庫安全的安全風(fēng)險分析結(jié)果，提出對應(yīng)的解決方案，通過部署相應(yīng)的安全產(chǎn)品及策略來降低或規(guī)避信息系統(tǒng)各個層面的安全風(fēng)險.2。2。1信息安全區(qū)域劃分?校園網(wǎng)按著重要程度和業(yè)務(wù)處理的不同，分為核心區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、應(yīng)用服務(wù)器區(qū)、DMZ區(qū)、校園網(wǎng)接入?yún)^(qū)、校園網(wǎng)安全管理區(qū)，針對不同區(qū)域進行不同的安全策略和部署。?數(shù)據(jù)中心網(wǎng)分為數(shù)據(jù)存儲區(qū)、應(yīng)用中心區(qū)、安全管理區(qū)、門戶網(wǎng)站區(qū)，針對不同區(qū)域進行不同的安全策略和部署。2。2。2信息安全產(chǎn)品的部署情況說明?安全產(chǎn)品部署的必要性在病毒和黑客日益增多的信息社會，信息系統(tǒng)的安全問題非常嚴(yán)峻,xx大學(xué)信息中心數(shù)據(jù)非常重要，所建設(shè)的應(yīng)用系統(tǒng)、網(wǎng)站及數(shù)據(jù)資源，一旦被黑客攻擊，將會帶來嚴(yán)重的后果及負(fù)面影響，必須加強信息系統(tǒng)的安全建設(shè)。1、業(yè)務(wù)系統(tǒng)中數(shù)據(jù)庫、服務(wù)器區(qū)是整個業(yè)務(wù)系統(tǒng)的核心，訪問控制措施不足，內(nèi)部資源可能會被非授權(quán)人員訪問，保密性、完整性及可用性得不到保證。數(shù)據(jù)的重要性是信息系統(tǒng)價值的核心，目前在數(shù)據(jù)安全方面沒有相應(yīng)的審計手段，無法監(jiān)控對數(shù)據(jù)的操作,發(fā)現(xiàn)問題后也無法查找原因。有必要部署相應(yīng)的安全產(chǎn)品。2、門戶網(wǎng)站系統(tǒng)中數(shù)據(jù)庫、服務(wù)器區(qū)目前沒有有效的對其進行保護的安全設(shè)備，需對內(nèi)外部的網(wǎng)絡(luò)攻擊進行識別、監(jiān)視、阻斷。有必要部署相應(yīng)的安全產(chǎn)品。3、為了解信息系統(tǒng)內(nèi)的服務(wù)器和網(wǎng)絡(luò)通訊設(shè)備的系統(tǒng)漏洞和安裝設(shè)置漏洞，了解漏洞的分布狀況和危險等級，為調(diào)整本身的安全策略提供原始數(shù)據(jù)和資料，需配置一套安全漏洞掃描系統(tǒng)定期對系統(tǒng)設(shè)備進行漏洞掃描。4、WEB網(wǎng)站因需要被公眾訪問而暴露于外部網(wǎng)絡(luò)，容易成為黑客的攻擊目標(biāo),有必要在WEB服務(wù)器部署相應(yīng)的安全產(chǎn)品。5、xx大學(xué)信息中心沒有專業(yè)的信息安全技術(shù)隊伍，需要選擇專業(yè)的網(wǎng)絡(luò)安全公司提供信息安全服務(wù),保障網(wǎng)絡(luò)的整體安全。在保障網(wǎng)絡(luò)的整體安全的同時,也提高了xx大學(xué)信息中心系統(tǒng)運維人員的整體安全意識，為今后的網(wǎng)絡(luò)安全維護工作打下堅實基礎(chǔ)。安全產(chǎn)品的部署詳細(xì)說明根據(jù)上節(jié)中所述的存在的主要安全問題，產(chǎn)生了很多安全需求.這些問題一部分可以通過安全產(chǎn)品來解決，安全管理上需要通過安全服務(wù)來解決。產(chǎn)品的數(shù)量和部署充分考慮經(jīng)濟性、合理性，我們在設(shè)計的時候充分考慮到了以下因素：1、由于業(yè)務(wù)系統(tǒng)重要性均為II級系統(tǒng)，部分設(shè)備（防火墻）考慮共用.2、校園網(wǎng)部分的安全防護，部分設(shè)備考慮利舊。根據(jù)xx大學(xué)信息中心網(wǎng)絡(luò)的分析，結(jié)合教育部網(wǎng)絡(luò)建設(shè)的相關(guān)安全要求，考慮到xx大學(xué)信息中心信息安全未來幾年內(nèi)的安全需求，在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上進行合理的規(guī)劃，部署若干安全產(chǎn)品，構(gòu)建一個強大的網(wǎng)絡(luò)安全“全網(wǎng)防御”體系，有效保證xx大學(xué)信息中心整體的信息安全性.2。2。3安全建設(shè)與整改依據(jù)按照信息系統(tǒng)等級保護標(biāo)準(zhǔn)的要求，我們方案的設(shè)計依據(jù)如下：

序號產(chǎn)品依據(jù)標(biāo)準(zhǔn)1防火墻二級等保要求：網(wǎng)絡(luò)安全'訪問控制a）應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；b）應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為網(wǎng)段級；2入侵防御二級等保要求：網(wǎng)絡(luò)安全'入侵防范應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)義IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等.二級等保要求：主機安全'入侵防范操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級服務(wù)器等方式保持及時得到更新。3抗拒絕服務(wù)攻擊DDOS系統(tǒng)二級等保要求：網(wǎng)絡(luò)安全'入侵防范應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)義IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。4上網(wǎng)行為審計/監(jiān)測二級等保要求：網(wǎng)絡(luò)安全'安全審計a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；b）審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。二級等保要求：應(yīng)用安全'安全審計a）應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；5Web應(yīng)用防護系統(tǒng)/網(wǎng)頁防篡改系統(tǒng)二級等保要求:網(wǎng)絡(luò)安全'入侵防范應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。6安全運維管理系統(tǒng)（對網(wǎng)絡(luò)設(shè)備、服務(wù)器、業(yè)務(wù)系統(tǒng)管理和實時監(jiān)測報警，日志三級等保要求：主機安全'資源控制C）應(yīng)對重要服務(wù)器進行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；f）應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進行檢測和報警；三級等保要求：網(wǎng)絡(luò)安全'結(jié)構(gòu)安全

關(guān)聯(lián)性分析）D）應(yīng)繪制與當(dāng)前運行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；等保要求：網(wǎng)絡(luò)安全'安全審計a）應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；c）應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；三級等保要求:主機安全'安全審計b）審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全才7堡壘主機（身份認(rèn)證和管理員審計系統(tǒng)，對網(wǎng)絡(luò)中的設(shè)備進行身份驗證管理）二級等保要求:網(wǎng)絡(luò)安全'網(wǎng)絡(luò)設(shè)備防護'a）應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別；e）應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退出f）當(dāng)對網(wǎng)絡(luò)設(shè)備進行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。二級等保要求:主機安全'身份鑒別'a）應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標(biāo)識和鑒別；d）當(dāng)對服務(wù)器進行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；8數(shù)據(jù)庫及業(yè)務(wù)系統(tǒng)審計（業(yè)務(wù)人員訪問系統(tǒng)的行為進行解析、分析、記錄、取證）二級等保要求：主機安全'安全審計a）審計范圍應(yīng)覆蓋到服務(wù)器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b）審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全才c）審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；d）應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。二級等保要求：應(yīng)用安全'安全審計a）應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；b）應(yīng)保證無法刪除、修改或覆蓋審計記錄；c）審計記錄的內(nèi)容至少應(yīng)包括事件日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。9漏洞掃描二級等保要求：系統(tǒng)運維管理'網(wǎng)絡(luò)安全管理'd）應(yīng)定期對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進行及時的修補；二級等保要求：系統(tǒng)運維管理'系統(tǒng)安全管理'b）應(yīng)定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補；2。2。4產(chǎn)品部署方案數(shù)據(jù)中心區(qū)：?通過部署2臺高性能防火墻進行4個安全域的劃分；（選配）?在安全管理區(qū)部署身份認(rèn)證系統(tǒng)，建立統(tǒng)一的身份認(rèn)證平臺。實現(xiàn)對各信息系統(tǒng)的一次性認(rèn)證多系統(tǒng)操作，大大增加用戶和系統(tǒng)的安全性和簡便性。系統(tǒng)建設(shè)統(tǒng)一的用戶數(shù)據(jù)庫，對用戶權(quán)限和訪問模式等實現(xiàn)集中式的管理，簡化系統(tǒng)管理流程，提升用戶工作效率；?在安全管理區(qū)部署數(shù)據(jù)庫及業(yè)務(wù)審計系統(tǒng)，對數(shù)據(jù)庫進行時實的監(jiān)控，增強數(shù)據(jù)的保密性、完整性以及可用性；?在安全管理區(qū)部署一套門戶網(wǎng)站W(wǎng)EB防火墻，采用WEB入侵異常檢測技術(shù)，對WEB應(yīng)用實施全面、深度防御，能夠有效識別、阻止日益盛行的WEB應(yīng)用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等），為WEB應(yīng)用提供保護；?在安全管理區(qū)部署兩臺IPS系統(tǒng)，以全面深入的協(xié)議分析技術(shù)為基礎(chǔ)，結(jié)合協(xié)議異常檢測、協(xié)議異常檢測、狀態(tài)檢測、關(guān)聯(lián)分析形成的檢測引擎，實時攔截數(shù)據(jù)流量中各種類型的惡意攻擊流量，把攻擊防御在單位網(wǎng)絡(luò)之外，保護單位的信息資產(chǎn)；?在安全管理區(qū)部署1套網(wǎng)頁防篡改系統(tǒng)，分別安裝在網(wǎng)站服務(wù)器上，進行頁面內(nèi)容的保護，防止非授權(quán)人員隨意篡改內(nèi)容，增強網(wǎng)站的安全性；?在安全管理區(qū)部署1套帳號集中管理與審計系統(tǒng)（堡壘機），集中統(tǒng)一的安全管理技術(shù)和平臺，使得系統(tǒng)和安全管理人員可以對支撐系統(tǒng)的用戶和各種資源進行集中管理、集中權(quán)限分配、集中審計，從技術(shù)上保證支撐系統(tǒng)安全策略的實施。校園網(wǎng)安全管理區(qū)?在互聯(lián)網(wǎng)出口位置部署兩臺高性能防火墻，提供對網(wǎng)絡(luò)的訪問控制，同時通過DMZ區(qū)的設(shè)置,保護校方對外提供服務(wù)器的安全；（選配）?在校園網(wǎng)安全管理區(qū)部署流量控制和計費系統(tǒng)來提供對于校內(nèi)用戶訪問外網(wǎng)的流量控制和計費統(tǒng)計的需求;?在校園網(wǎng)安全管理區(qū)部署安全漏洞掃描系統(tǒng)，對內(nèi)部信息處理設(shè)施安全漏洞及其脆弱性的評估，可以使用戶了解信息系統(tǒng)內(nèi)的服務(wù)器和網(wǎng)絡(luò)通訊設(shè)備的系統(tǒng)漏洞和安裝設(shè)置漏洞，了解漏洞的分布狀況和危險等級，并針對每一個漏洞提出一個可行的安全解決方案或補救措施，完整地為網(wǎng)絡(luò)系統(tǒng)提供安全評估，為調(diào)整本身的安全策略提供原始數(shù)據(jù)和資料.?在校園網(wǎng)安全管理區(qū)部署一臺信息安全審計系統(tǒng)，檢測用戶的非法操作，杜絕內(nèi)部人員濫用互聯(lián)網(wǎng)資源的違規(guī)行為；?在校園網(wǎng)安全管理區(qū)部署一套SOC平臺，實現(xiàn)了安全設(shè)備進行集中管理、安全策略統(tǒng)一配置、安全事件集中管理、安全風(fēng)險評估等功能，使網(wǎng)絡(luò)信息安全可控與結(jié)果可視化；?在互聯(lián)網(wǎng)出口和核心交換機之間部署一套DDOS防御網(wǎng)關(guān)，用于攔截各種DDoS攻擊及變種DDoS的攻擊；在校園網(wǎng)安全管理區(qū)部署一臺IDS系統(tǒng)，方便對網(wǎng)絡(luò)情況進行記錄、取證工作，對網(wǎng)絡(luò)上的可疑行為做出策略反應(yīng)，及時切斷入侵源，記錄攻擊行為、及時報警并通過各種途徑通知網(wǎng)絡(luò)管理員，最大幅度地保障內(nèi)部系統(tǒng)安全；在DMZ區(qū)部署一套WEB防火墻，采用WEB入侵異常檢測技術(shù)，對WEB應(yīng)用實施全面、深度防御,能夠有效識別、阻止日益盛行的WEB應(yīng)用黑客攻擊（如SQL注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷等），為WEB應(yīng)用提供保護。2。3信息安全管理體系信息安全管理體系設(shè)計主要是針對安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理的安全風(fēng)險分析結(jié)果，提出對應(yīng)的解決方案，通過相應(yīng)的機構(gòu)、制度的設(shè)置及安全服務(wù)的采購來降低或規(guī)避信息系統(tǒng)各個層面的安全風(fēng)險。2。3。1安全管理體系建設(shè)目標(biāo)結(jié)合《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)安全等級保護測評準(zhǔn)則》以及《信息系統(tǒng)安全等級保護基本要求》等文件精神,為xx大學(xué)信息中心建立完善的安全管理策略，主要針對人員管理，機房管理，終端機管理，文檔管理設(shè)備和運行等安全管理機制進行稽核和診斷修訂.2.3.2安全管理體系建設(shè)內(nèi)容為xx大學(xué)信息中心進行信息安全決策和管理提供依據(jù)。管理制度是否健全是做好網(wǎng)絡(luò)安全的有力保障，包括機房管理制度、文檔設(shè)備管理制度、管理人員培訓(xùn)制度、系統(tǒng)使用管理制度等。對信息系統(tǒng)的各項管理制度進行細(xì)致的評估，并對各項評估的結(jié)果進行詳細(xì)地分析，找出原因.說明存在哪些漏洞，比如信息系統(tǒng)剛剛建立，各項管理規(guī)章制度均沒有健全,為今后的管理留下了隱患。經(jīng)過安全管理評估服務(wù)后，我們根據(jù)xx大學(xué)信息中心網(wǎng)絡(luò)的實際業(yè)務(wù)情況，與客戶協(xié)商討論，建立完善的安全管理策略，主要針對人員管理，機房管理，終端機管理，文檔管理設(shè)備和運行等安全管理機制進行稽核和診斷修訂.安全管理制度安全管理制度建設(shè)主要有以下幾個方面：聘請專業(yè)的咨詢公司，制定安全管理制度和配套的發(fā)布、評審和修訂機制；1、人員管理包括配套的培訓(xùn)和考核機制。需要建立內(nèi)部人員管理制度和外部人員管理制度，包括：內(nèi)部工作人員管理正式編制人員，聘用人員等人員的錄用、崗位職責(zé)、保密協(xié)議簽證、教育培訓(xùn)、保密監(jiān)管、獎懲和離崗離職的管理。外部相關(guān)人員管理內(nèi)部工作人員之后的其他人員以及設(shè)備的維修服務(wù)人員等外來人員的保密要求知會、安全控制區(qū)域隔離、攜帶物品限制和旁站陪同控制。2、物理環(huán)境與設(shè)施管理建立物理環(huán)境與設(shè)備管理制度，包括：周邊環(huán)境：包括周邊監(jiān)制、周界安防和出入控制.涉密場所：包括要害部門部位管理、無線產(chǎn)品使用、多媒體產(chǎn)品使用和安全巡防巡查、竊密檢查.保障設(shè)施：包括定期檢測檢修和線路線纜保護.3、設(shè)備與介質(zhì)管理建立設(shè)備與介質(zhì)管理制度，包括：設(shè)備與介質(zhì)的采購與選型：安全采購管理、產(chǎn)品選型管理、檢測證書查驗和貨物交付驗收。設(shè)備與介質(zhì)的操作與使用：安全操作使用、外出攜帶管理、設(shè)備外聯(lián)控制、介質(zhì)使用管理、安全準(zhǔn)入許可。設(shè)備與介質(zhì)的保存與保管：清查登記核對、重要設(shè)備辦公室和明確責(zé)任主體.設(shè)備與介質(zhì)的維修與報廢：申報審批、數(shù)據(jù)保護和登記備案。4、信息保密管理建立信息保密管理制度,包括：信息分類與控制：密級分類確定、密級信息問題統(tǒng)計、密級標(biāo)識添加和知悉范圍確定.用戶管理與授權(quán)：用戶清單管理、用戶標(biāo)識符管理和權(quán)限列表審查.信息系統(tǒng)安全互聯(lián)控制。?安全管理機構(gòu)安全管理機構(gòu)建設(shè)主要有以下幾個方面：設(shè)定安全管理員一職，并明確崗位的職責(zé)與任務(wù)，落實安全管理責(zé)任制。?人員安全管理人員安全管理建設(shè)主要有以下幾個方面：聘請專業(yè)咨詢公司，制定安全培訓(xùn)管理方案,制度化、常態(tài)化進行安全培訓(xùn)。進一步規(guī)范人員錄用、人員離崗、人員考核、外部人員訪問的管理制度.對xx大學(xué)信息中心工作人員進行安全意識培訓(xùn)，加強人員安全意識、避免安全管理漏洞。?系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理主要有以下幾個方面：制定系統(tǒng)建設(shè)相關(guān)的管理制度，明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使

用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等內(nèi)容的管理責(zé)任部

門、具體管理內(nèi)容和控制方法，并按照管理制度落實各項管理措施。系統(tǒng)運維管理系統(tǒng)運維管理主要有以下幾個方面：聘請專業(yè)安全維護公司，對系統(tǒng)的環(huán)境和資產(chǎn)安全、設(shè)備和介質(zhì)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、備份與恢復(fù)等進行管理和定期維護。第三章：項目產(chǎn)品清單與概算序號設(shè)備名稱性能參數(shù)數(shù)量單價小計一、數(shù)據(jù)中心1防火墻建議利舊0002IPS入侵防御系統(tǒng)機架式硬件專業(yè)IPS入侵防御設(shè)備；部署方式:支持旁路監(jiān)聽、透明接入、NAT、混合模式；硬件支持HA高可靠性，雙機熱備；支持多網(wǎng)段、跨網(wǎng)段的多