收藏
下载资源

xxxxx高校信息安全建设规划方案讲义教材

上传人:youn****329 文档编号:128776493 上传时间:2020-04-21 格式:DOCX 页数:165 大小:2.46MB
返回 下载 相关 举报
xxxxx高校信息安全建设规划方案讲义教材_第1页
第1页 / 共165页
xxxxx高校信息安全建设规划方案讲义教材_第2页
第2页 / 共165页
xxxxx高校信息安全建设规划方案讲义教材_第3页
第3页 / 共165页
xxxxx高校信息安全建设规划方案讲义教材_第4页
第4页 / 共165页
xxxxx高校信息安全建设规划方案讲义教材_第5页
第5页 / 共165页
点击查看更多>>
资源描述

《xxxxx高校信息安全建设规划方案讲义教材》由会员分享,可在线阅读,更多相关《xxxxx高校信息安全建设规划方案讲义教材(165页珍藏版)》请在金锄头文库上搜索。

1、xxxx大学信息安全建设设计方案xxxx大学信息安全建设设计方案xxxx股份有限公司2018年6月版本变更记录时间版本说明修改人2017-5-30V1.1文档修改2018-6-6V1.2文档修改文档说明本文档作为xxxx大学信息安全设计方案的输出文档;本文件的读者范围为我公司参与项目建设的人员以及xxxx大学信息安全建设的相关人员。版权声明本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属我公司所有,受到有关产权及版权法保护。任何个人、机构未经双方书面授权许可,不得以任何方式复制或引用本文件的任何片断。目录第 1 章方案概述71.1建设背景71.1.1

2、法律要求81.1.2政策要求101.1.3行业要求101.2建设目标及内容111.2.1建设目标111.2.2建设内容12第 2 章现状、挑战、风险12.1现状概述12.1.1信息系统现状12.1.2高校网络安全现状22.2未来的挑战52.2.1“互联网+教育”52.2.2“人工智能+教育”52.2.3大数据平台52.3现状、差距、风险分析62.3.1现状与差距分析62.3.2差距与风险分析29第 3 章方案设计323.1设计思路323.2一个出发点323.3两大标准333.4三种融合333.5四个体系353.6信息安全建设规划拓扑图36第 4 章方案建设434.1建设原则434.2技术安全体

3、系建设434.2.1安全区域边界设计434.2.2安全计算环境设计444.2.3安全通信网络设计464.2.4安全管理中心设计464.2.5安全区域划分474.2.6新增安全措施484.2.7优化安全措施494.3应用安全建设504.3.1应用安全设计504.3.2业务系统应用安全504.4安全管理体系建设504.4.1安全管理机构概述504.4.2安全管理制度规划614.4.3安全管理制度梳理服务624.5应急预案体系建设664.5.1编制目的664.5.2编制依据674.5.3适用范围674.5.4工作原则674.5.5组织与体系674.5.6预防预警684.5.7应急响应694.5.8后

4、期处置704.5.9保障措施714.5.10监督管理72第 5 章方案价值74第 6 章类似成功案例75第 7 章安全产品/服务部署说明767.1网络整改及安全产品部署767.1.1校园网整改及安全域划分767.1.2服务器、终端及应用系统安全加固767.2安全服务777.2.1安全意识教育787.2.2网络安全服务列表887.2.3网络安全服务简介897.3一期安全产品/安全服务977.3.1堡垒主机系统977.3.2日志审计系统997.3.3数据库审计系统1027.3.4主机安全加固软件1047.3.5准入控制系统1077.3.6WEB资产安全治理平台1117.4二期安全产品/安全服务11

5、97.4.1云WAF1197.4.1IT综合运维管理系统1217.4.1RFID机房资产管理系统1277.5三期安全产品/安全服务1297.5.1ZDNS部署1297.5.2安全运维管理平台(soc+态势感知)1337.6四期安全产品/安全服务1367.6.1APT高级威胁分析平台1367.6.1数据容灾备份系统1387.7五期安全产品/安全服务1397.7.1GRC网络安全管理管理平台1397.7.2安全值146第 8 章方案预算149附件信息系统建议定级151图表目录图表 1 学校IT资产表2图表 2 物理安全现状差距表6图表 3 网络安全现状差距分析表10图表 4 主机安全现状差距分析表

6、15图表 5 应用安全现状差距分析表20图表 6 数据安全现状差距分析表24图表 7 安全管理现状差距分析表26图表 8 安全技术差距与风险分析29图表 9 管理体系差距与风险30图表 10 网络安全综合治理行动差距与风险分析表30图表 11 信息安全建设和规划总体示意图36图表 12 信息安全建设和规划-一期示意图38图表 13 信息安全建设和规划-二期示意图39图表 14 信息安全建设和规划-三期示意图40图表 15 信息安全建设和规划-四期示意图41图表 16 信息安全建设和规划-五期示意图42图表 17 xxxx大学信息安全组织架构示意图56图表 18 xxxx大学安全管理制度规划示意

7、图62图表 19 方案价值表74图表 20 成功案列表75图表 21 安全服务列表78图表 22 方案预算表138第 1 章 方案概述1.1 建设背景随着我国学校信息化建设的逐步深入,学校教务工作、招生工作、学籍管理工作、科研管理工作、学生校内的学习和生活等对信息系统依赖的程度越来越高;教育信息化建设中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。从安全性上分析,高校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,信息化安全是业务应用发展需要关注的核心和重点。为贯彻落实国家信息安全等级保护制度和网络安全法,规

8、范和指导全国教育信息化建设工作,国家发布了一系列关于教育行业信息化工作的通知,并且随着我国网络安全法的正式实行,保障信息系统安全已经成为学校应承担的法律义务。2014年9月,四川省公安厅、四川省教育厅关于进一步加强学校网络和信息安全保护工作的通知。2014年10月,教育部办公厅印发教育行业信息系统安全等级保护定级工作指南(试行)的通知。2015年7月,教育部办公厅印发关于全面推进教育行业信息安全等级保护工作的通知。2017年2月,教育部办公厅印发2017年教育信息化工作要点的通知。2017年3月,教育部办公厅印发教育行业网络安全综合治理行动方案的通知。2017年6月,中华人民共和国网络安全法正

9、式实行。1.1.1 法律要求在今年颁发的中华人民共和国网络安全法中明确规定了法律层面的网络安全。具体如下:“没有网络安全,就没有国家安全”,网络安全法第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外,网络安全法中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定:网络日志留存:第二十一条还规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录

10、网络运行状态、网络安全事件的技术措施,留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上述网络安全保护义务的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。漏洞处置:第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。没有网络安全事件应急预案的,没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的,会被

11、依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。容灾备份:第三十四条第三项规定,关键信息基础设施单位对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。应急演练:第三十四条第四项规定,关键信息基础设施单位应当制定网络安全事件应急预案,并定期进行演练。没有网络安全事件预案的,或者没有定期演练的,会被依照此条进行责令改正。安全检测评估:第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评

12、估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检测评估的单位要被责令改正。1.1.2 政策要求教育部正在实施的教育行业网络安全综合治理行动方案;目标是提升安全水平,增强防护能力,有效防范风险,保障运行和数据安全。原则是:问题导向、突出重点、完善机制,狠抓落实。实施范围是各级教育行政部门及其直属单位高等学校。方案主要有四大项主要任务,“治乱”、“堵漏”、“补短”、“规范”。每一项工作任务对应不同的工作重点,总共10项具体如下:1. 统一标识2. 信息发布管理3. 网站域名清理4. 安全监测预警5. 检测风险6. 网络安全等保7. 测评和整改8. 数据安全9. 关

13、键信息基础设施10. 应急响应1.1.3 行业要求2016年11月教育部网络安全和信息化领导小组的成立,国家层面对教育行业信息化安全的重视程度日益增加。教育部对教育行业网络信息安全的工作要求如下:提高思想认识,加强组织领导l 认真学习贯彻中华人民共和国网络安全法l 将工作纳入重要议事日程予以部署l 明确主管领导、牵头部门和责任人l 提供必要的工作保障加强协调配合,形成工作合力l 与网络安全智能部门沟通配合l 探索与专业机构、企业建立合作机制加强监督检查,完善通报机制l 教育信息化月报通报进展情况l 纳入校园及周边治安综合治理工作考核评价l 纳入学校安全生产大检查、开学检查等开展宣传教育、提升安

14、全意识l 面向网络安全管理人员和技术人员开展专题培训l 利用新生入学教育、网络安全宣传周等契机l 提高师生网络安全意识和素养1.2 建设目标及内容1.2.1 建设目标本次项目建设目标:贯彻国家、教育部信息安全工作部署,落实教育行业网络安全综合治理行动方案,让xxxx大学校园一期建设后的相关信息系统达到信息系统安全等级保护基本要求第三级的要求,并完成等保备案。根据学校实际情况、发展趋势、行业背景,对学校制定信息安全建设规划,规划期限为5年。全面建设完整的信息安全防护体系,前瞻性的建设学校信息化技术支撑体系。最终使xxxx大学具有完善的信息安全组织体系、信息安全管理体系、信息安全运行体系、信息安全技术体系;具体有以下几点:l 落实教育行业网络安全综合治理行动方案,对学校现有信息系统做到“治乱”、“堵漏”、“补短”、“规范”。l 建设符合国家等级保护制度要求、符合ISO27000信息安全管理认证体系要求和满足网络安全法对学校信息系统要求的高校网络安全防护体系。l 建设能够监控学校IT资产、管理

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号