高校信息系统安全等级保护解决方案v10

资源描述

《高校信息系统安全等级保护解决方案v10》由会员分享，可在线阅读，更多相关《高校信息系统安全等级保护解决方案v10（96页珍藏版）》请在金锄头文库上搜索。

1、XXX 大学等级保护项目大学等级保护项目技术方案技术方案 20132013 年年 4 4 月月北京天融信公司第 I 页目目录录 1项目概述项目概述.1 1.1项目建设背景1 1.2项目建设目标1 1.3项目建设内容1 1.4项目建设范围1 1.5项目建设依据2 2信息系统现状与安全需求信息系统现状与安全需求 3 2.1信息化建设现状综述3 2.2技术体系结构现状3 2.2.1物理环境.4 2.2.2主机层结构.6 2.2.3网络层结构.7 2.2.4应用层结构.8 2.3管理体系结构现状13 2.3.1安全管理机构.13 2.3.2安全管理制度.13 2.3.3人员安全管理.18 2.

2、3.4系统运维管理.19 2.4安全威胁与风险20 2.4.1技术层面威胁与风险.20 2.4.2管理层面威胁与风险.22 2.5等级保护安全需求23 2.5.1系统安全等级划分.23 2.5.2系统安全等级.23 2.5.3等级保护基本安全要求 .23 2.5.4信息系统定级情况.24 北京天融信公司第 II 页 2.6安全需求分析25 2.6.1技术层面安全需求分析 .25 2.6.2管理层面安全需求分析 .28 3等级保护方案设计等级保护方案设计29 3.1安全方案设计思路29 3.1.1构建分域的控制体系.30 3.1.2构建纵深的防御体系.30 3.1.3保证一致的安全强度.30 3

3、.1.4实现集中的安全管理.30 3.2安全技术方案详细设计31 3.2.1确定保护强度.31 3.2.2安全域划分与隔离.31 3.2.3本地备份系统.35 3.2.4网络链路冗余改造.39 3.2.5PKI 基础设施.40 3.2.6安全审计管理.42 3.2.7漏洞扫描系统.45 3.2.8Web 防火墙 49 3.2.9安全管理平台设计.51 3.2.10安全实施过程管理 52 3.2.11服务交付物 53 3.3安全管理方案详细设计53 3.4安全运维方案详细设计58 3.4.1XXX 大学门户网站安全监控58 3.4.2应急响应服务.61 3.4.3安全通告服务.62 3.4.4网

4、络及安全设备维护.63 3.4.5系统安全维护.65 北京天融信公司第 III 页 3.4.6网络防护.65 3.4.7系统加固.66 3.5协助测评69 3.5.1准备资料.69 3.5.2现场协助.70 3.5.3服务交付物.70 4系统集成实施系统集成实施 .71 4.1项目组织及人员安排71 4.2系统集成实施73 4.2.1安全规划与实施阶段.73 4.2.2协助测评阶段.75 4.2.3项目验收.76 4.2.4工作成果文档.77 4.3项目实施质量保证78 4.3.1概述.78 4.3.2项目执行人员的质量职责 .78 4.3.3安全审计过程.78 4.3.4内部反馈过程.79

5、4.3.5质量改进过程.79 4.3.6改进需求检测.79 4.4风险规避措施80 4.4.1模拟环境.80 4.4.2系统备份.80 4.4.3系统恢复.81 4.4.4时间选择.81 4.4.5过程监控.81 4.5项目验收82 4.5.1验收标准.82 北京天融信公司第 IV 页 4.5.2验收流程.82 5技术支持、售后服务及培训方案技术支持、售后服务及培训方案 .83 5.1安全运维服务83 5.2技术支持与售后服务方案83 5.2.1试运行期的技术支持与服务 .83 5.2.2质量保证期内的技术支持与售后服务84 5.2.3质量保证期外的技术支持与售后服务85 5.2.4跟踪服务.

6、86 5.2.5工程师资质保障.87 5.3培训方案87 5.3.1培训方法.87 5.3.2培训内容.87 5.3.3服务交付物.88 5.3.4长期培训计划.88 北京天融信公司第 1 页 1 项目概述项目概述 1.1 项目建设背景随着我国学校信息化建设的逐步深入，学校教务工作对信息系统依赖的程度越来越高；教育信息化建设中大量的信息资源，成为学校成熟的业务展示和应用平台，在未来的教育信息化规划中占有非常重要的地位。从安全性上分析，高校业务应用和网络系统日益复杂，外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著，信息化安全是业务应用发展需要关注的核心和重点。为贯彻落实国家

7、信息安全等级保护制度，规范和指导全国教育信息安全等级保护工作，国家教委教办厅函200980 文件发出“关于开展信息系统安全等级保护工作的通知” ；教育部教育管理信息中心发布教育信息系统安全等级保护工作方案（征求意见稿）；教育部办公厅印发关于开展教育系统信息安全等级保护工作专项检查的通知（教办厅函 201080 号）。 1.2 项目建设目标本次项目建设目标：为贯彻落实国家、教育部信息安全工作部署，完善 XXX 大学信息系统安全技术防护措施、安全管理制度和安全运维体系，全面建设完整的信息安全防护体系，顺利通过信息系统等级测评，为 XXX 大学信息化的健康快速发展保驾护航。 1.

8、3 项目建设内容天融信依据国家信息安全等级保护技术和管理要求，开展信息安全等级保护建设工作，工作的主要内容包括：（1）方案设计；（2）系统集成；（3）维护服务。 1.4 项目建设范围本方案的设计范围覆盖 XXX 大学信息系统。北京天融信公司第 2 页 1.5 项目建设依据为保证整个项目的实施质量和圆满完成本次项目的项目目标，在整个等级保护整改建设项目的设计规划中将遵循以下标准：计算机信息系统安全保护等级划分准则（GB17859-1999）（基础标准）信息系统安全等级保护基本要求（GB/T 22239-2008）（基线标准）信息系统安全保护等级定级指南（GB/T 22240-2

9、008）（辅助标准）信息系统安全等级保护实施指南（辅助标准）信息系统安全等级保护测评准则（辅助标准）电子政务信息系统安全等级保护实施指南（试行）信息安全技术信息系统通用安全技术要求（GB/T20271-2006）信息安全技术网络基础安全技术要求（GB/T20270-2006）信息安全技术操作系统安全技术要求（GB/T20272-2006）信息安全技术数据库管理系统安全技术要求（GB/T20273-2006）信息安全技术终端计算机系统安全等级技术要求（GA/T671）信息系统安全安全管理要求（GB/T20269）信息系统安全工程管理要求（GB/T20282）信

10、息安全技术服务器技术要求（GB/T21082） ISO/IEC TR 13335 ISO 17799:2005 ISO 27001:2005 NIST SP-800 系列 ISO 20000 CobiT 北京天融信公司第 3 页 2 信息系统现状与安全需求信息系统现状与安全需求 2.1 信息化建设现状综述 1. 随着 XXX 大学信息化建设的推进，信息化建设初具规模，服务器等主机设备基本到位，大型网络设备、高端路由设备、多种网络和系统管理软件、专业数据备份软件及网络数据安全设备和软件等大都配备完成，运行保障的基础技术手段基本具备； 2. XXX 大学网络信息中心技术力量雄厚，在网络工程

11、、数据库建设、系统设计、软件开发、信息安全等多项领域具有较强的实力和丰富的经验。承担信息中心的网络系统管理和应用支持的专业技术人员达 20 余人； 3. XXX 大学随着信息系统的逐步建设，分别针对重要应用系统采用了防火墙、 IPS/IDS、防病毒等常规安全防护手段，保障了核心业务系统在一般情况下的正常运行，具备了基本的安全防护能力； 4. XXX 大学的日常运行管理比较规范，按照信息基础设施运行操作流程和管理对象的不同，确定了网络系统运行保障管理的角色和岗位，初步建立了问题处理的应急响应机制。 2.2 技术体系结构现状 XXX 大学信息系统主要包括六大业务应用系统，网络、认证计费、

12、校园卡、数字 XX、网站、邮件系统。网络是 XXX 大学各大业务平台的基础核心，是整个校园网的基础，网络上承载着多种校园业务应用，包括认证计费、数字 XX、网站、邮件等多种业务应用系统，这些业务应用系统都运行在 XXX 大学的基础网络环境上。 XXX 大学认证计费系统是针对学生上互联网的一种接入认证计费的管理方式，XXX 大学对学生上网是按流量进行统计收费的。认证计费系统共 4 台服务器，两台认证服务器、北京天融信公司第 4 页一台自服服务器，一台流量统计服务器。学生机上网通过 802.1X 协议进行接入认证，上网流量通过互联网出口交换机的端口镜象功能将上网数据发送到流量统计服

13、务器，学生通过自服务服务器可以查看个人上网流量的使用情况。计费采用流量计费方式，但每月流量与实际费用不成比例。校园卡属 XXX 大学专网，主要实现学生校园卡消费管理。校园卡与 XXX 大学网络有三个物理接口（包括数字 XX、认证计费、东区食堂）。专网，与中国银行通过 DDN 方式互联，没有部署防火墙，数据传输使用加密机进行加密，终端取用 IP/MAC 绑定的安全机制，网管采用昆特网管系统对交换机、服务器、终端进行监控管理。数字 XX 是 XXX 大学最重要的业务应用系统，系统中存储着重要的教务工作数据、学生考试信息、财务数据等重要数据信息。数字 XX 有 2 个应用服务器，2

14、个认证服务器，1 个 BI 服务器，远程通过 VPN、桥服务器管理，有 IP 访问控制机制，服务器是 SUN 的主机，安装 Solaris 10 系统，2 台 Oralcle 数据库服务器，2 台 Weblogic 应用服务器，1 台对外提供服务的 Apache 服务器，应用系统采取数据库，应用，服务的三层安全架构模式部署，服务器没有做安全加固，存在 Web 应用攻击威胁，测试服务器密码被篡改过。 XXX 大学网站系统为 XXX 大学校园的互联网窗口，起到学校对外介绍宣传的功能。目前，XXX 大学网站系统共有 6 台服务器，服务器区域部署了 IDS 设备实时检测网站的安全动态，系统配

15、置了主机防火墙，一周进行一次本机数据备份，目前密码强度基本符合安全要求，有安全应急预案，但不完善，没有进行过操作演练。 XXX 大学邮件系统主要为 XXX 大学教师与学生提供邮件收发服务，目前邮件系统用户 20000 多，邮件系统前端部署了 IPS 进行安全防护，并通过梭子鱼垃圾邮件网关对垃圾邮件进行过滤，邮件数据最终存储到 H3C 的 IP SAN 中，邮件服务器目前单机运行，没有做双机热备，邮件系统受到垃圾邮件，病毒邮件的威胁，WEB 邮件服务发生过服务中断，系统系统存在过邮件退信攻击与邮件丢失问题，可能由于邮件系统自身脆弱性造成。 2.2.1 物理环境物理环境机房：机房：位于

16、该楼三层，机房总面积约 151m2，机房管理没有采取记录进出人员时间、数量和北京天融信公司第 5 页原因等情况，配电间没铺设防静电地板，接入电源为 380V/50HZ/200A，无双电互投，在线 UPS 40KVA 输出 1 组，冷备 UPS 40KVA 输出 2 组，4 个 APC 电池柜，每组 32 块电池。机房铺设防静电地板，拥有 2 组 HIROSS 专用空调保证机房恒温、恒湿，空调无漏水监控报警，机房内配置防漏电保护、视频监控、烟感和利达海鑫柜式灭火、防静电导流排等必须的防护措施。机架线序混乱，没有规范应急灯和温感监控。机房物理环境三层机房物理和环境安全三层机房物理和环境安全地理位置XXX 大学三层。电源电压 380V/50HZ/200A，无双电互投，总接入电量为 2x70 平方中央空调HIROSS 空调 2 组，没有空调漏水监控报警。外设空调 UPS UPS 在线

展开阅读全文