收藏
下载资源

2020(安全生产)2020年高校信息系统安全等级保护解决方案

上传人:精****库 文档编号:134469941 上传时间:2020-06-05 格式:DOC 页数:104 大小:551.61KB
返回 下载 相关 举报
2020(安全生产)2020年高校信息系统安全等级保护解决方案_第1页
第1页 / 共104页
2020(安全生产)2020年高校信息系统安全等级保护解决方案_第2页
第2页 / 共104页
2020(安全生产)2020年高校信息系统安全等级保护解决方案_第3页
第3页 / 共104页
2020(安全生产)2020年高校信息系统安全等级保护解决方案_第4页
第4页 / 共104页
2020(安全生产)2020年高校信息系统安全等级保护解决方案_第5页
第5页 / 共104页
点击查看更多>>
资源描述

《2020(安全生产)2020年高校信息系统安全等级保护解决方案》由会员分享,可在线阅读,更多相关《2020(安全生产)2020年高校信息系统安全等级保护解决方案(104页珍藏版)》请在金锄头文库上搜索。

1、XXX 大学等级保护项目 技术方案 2013 年 4 月 目 录 1项目概述 1 1 1项目建设背景 1 1 2项目建设目标 1 1 3项目建设内容 1 1 4项目建设范围 1 1 5项目建设依据 2 2信息系统现状与安全需求 3 2 1信息化建设现状综述 3 2 2技术体系结构现状 3 2 2 1物理环境 4 2 2 2主机层结构 6 2 2 3网络层结构 7 2 2 4应用层结构 8 2 3管理体系结构现状 13 2 3 1安全管理机构 13 2 3 2安全管理制度 13 2 3 3人员安全管理 18 2 3 4系统运维管理 19 2 4安全威胁与风险 20 2 4 1技术层面威胁与风险

2、20 2 4 2管理层面威胁与风险 22 2 5等级保护安全需求 23 2 5 1系统安全等级划分 23 2 5 2系统安全等级 23 2 5 3等级保护基本安全要求 23 2 5 4信息系统定级情况 24 2 6安全需求分析 25 2 6 1技术层面安全需求分析 25 2 6 2管理层面安全需求分析 28 3等级保护方案设计 29 3 1安全方案设计思路 29 3 1 1构建分域的控制体系 30 3 1 2构建纵深的防御体系 30 3 1 3保证一致的安全强度 30 3 1 4实现集中的安全管理 30 3 2安全技术方案详细设计 31 3 2 1确定保护强度 31 3 2 2安全域划分与隔离

3、 31 3 2 3本地备份系统 35 3 2 4网络链路冗余改造 39 3 2 5PKI 基础设施 40 3 2 6安全审计管理 42 3 2 7漏洞扫描系统 45 3 2 8Web 防火墙 49 3 2 9安全管理平台设计 51 3 2 10安全实施过程管理 52 3 2 11服务交付物 53 3 3安全管理方案详细设计 53 3 4安全运维方案详细设计 58 3 4 1XXX 大学门户网站安全监控 58 3 4 2应急响应服务 61 3 4 3安全通告服务 62 3 4 4网络及安全设备维护 63 3 4 5系统安全维护 65 3 4 6网络防护 65 3 4 7系统加固 66 3 5协助

4、测评 69 3 5 1准备资料 69 3 5 2现场协助 70 3 5 3服务交付物 70 4系统集成实施 71 4 1项目组织及人员安排 71 4 2系统集成实施 73 4 2 1安全规划与实施阶段 73 4 2 2协助测评阶段 75 4 2 3项目验收 76 4 2 4工作成果文档 77 4 3项目实施质量保证 78 4 3 1概述 78 4 3 2项目执行人员的质量职责 78 4 3 3安全审计过程 78 4 3 4内部反馈过程 79 4 3 5质量改进过程 79 4 3 6改进需求检测 79 4 4风险规避措施 80 4 4 1模拟环境 80 4 4 2系统备份 80 4 4 3系统恢

5、复 81 4 4 4时间选择 81 4 4 5过程监控 81 4 5项目验收 82 4 5 1验收标准 82 4 5 2验收流程 82 5技术支持 售后服务及培训方案 83 5 1安全运维服务 83 5 2技术支持与售后服务方案 83 5 2 1试运行期的技术支持与服务 83 5 2 2质量保证期内的技术支持与售后服务 84 5 2 3质量保证期外的技术支持与售后服务 85 5 2 4跟踪服务 86 5 2 5工程师资质保障 87 5 3培训方案 87 5 3 1培训方法 87 5 3 2培训内容 87 5 3 3服务交付物 88 5 3 4长期培训计划 88 1 项目概述 1 1 项目建设背

6、景 随着我国学校信息化建设的逐步深入 学校教务工作对信息系统依赖的程度越来越高 教育信息化建设中大量的信息资源 成为学校成熟的业务展示和应用平台 在未来的教育 信息化规划中占有非常重要的地位 从安全性上分析 高校业务应用和网络系统日益复杂 外部攻击 内部资源滥用 木马和病毒等不安全因素越来越显著 信息化安全是业务应用 发展需要关注的核心和重点 为贯彻落实国家信息安全等级保护制度 规范和指导全国教育信息安全等级保护工作 国家教委教办厅函 2009 80 文件发出 关于开展信息系统安全等级保护工作的通知 教 育部教育管理信息中心发布 教育信息系统安全等级保护工作方案 征求意见稿 教育 部办公厅 印

7、发关于开展教育系统信息安全等级保护工作专项检查的通知 教办厅函 2010 80 号 1 2 项目建设目标 本次项目建设目标 为贯彻落实国家 教育部信息安全工作部署 完善 XXX 大学信 息系统安全技术防护措施 安全管理制度和安全运维体系 全面建设完整的信息安全防护 体系 顺利通过信息系统等级测评 为 XXX 大学信息化的健康快速发展保驾护航 1 3 项目建设内容 天融信依据国家信息安全等级保护技术和管理要求 开展信息安全等级保护建设工作 工作的主要内容包括 1 方案设计 2 系统集成 3 维护服务 1 4 项目建设范围 本方案的设计范围覆盖 XXX 大学信息系统 1 5 项目建设依据 为保证整

8、个项目的实施质量和圆满完成本次项目的项目目标 在整个等级保护整改建 设项目的设计规划中将遵循以下标准 计算机信息系统安全保护等级划分准则 GB17859 1999 基础标准 信息系统安全等级保护基本要求 GB T 22239 2008 基线标准 信息系统安全保护等级定级指南 GB T 22240 2008 辅助标准 信息系统安全等级保护实施指南 辅助标准 信息系统安全等级保护测评准则 辅助标准 电子政务信息系统安全等级保护实施指南 试行 信息安全技术 信息系统通用安全技术要求 GB T20271 2006 信息安全技术 网络基础安全技术要求 GB T20270 2006 信息安全技术 操作系统

9、安全技术要求 GB T20272 2006 信息安全技术 数据库管理系统安全技术要求 GB T20273 2006 信息安全技术 终端计算机系统安全等级技术要求 GA T671 信息系统安全安全管理要求 GB T20269 信息系统安全工程管理要求 GB T20282 信息安全技术 服务器技术要求 GB T21082 ISO IEC TR 13335 ISO 17799 2005 ISO 27001 2005 NIST SP 800 系列 ISO 20000 CobiT 2 信息系统现状与安全需求 2 1 信息化建设现状综述 1 随着 XXX 大学信息化建设的推进 信息化建设初具规模 服务器等

10、主机设备基本 到位 大型网络设备 高端路由设备 多种网络和系统管理软件 专业数据备份 软件及网络数据安全设备和软件等大都配备完成 运行保障的基础技术手段基本 具备 2 XXX 大学网络信息中心技术力量雄厚 在网络工程 数据库建设 系统设计 软 件开发 信息安全等多项领域具有较强的实力和丰富的经验 承担信息中心的网 络系统管理和应用支持的专业技术人员达 20 余人 3 XXX 大学随着信息系统的逐步建设 分别针对重要应用系统采用了防火墙 IPS IDS 防病毒等常规安全防护手段 保障了核心业务系统在一般情况下的正 常运行 具备了基本的安全防护能力 4 XXX 大学的日常运行管理比较规范 按照信息

11、基础设施运行操作流程和管理对象 的不同 确定了网络系统运行保障管理的角色和岗位 初步建立了问题处理的应 急响应机制 2 2 技术体系结构现状 XXX 大学信息系统主要包括六大业务应用系统 网络 认证计费 校园卡 数字 XX 网站 邮件系统 网络是 XXX 大学各大业务平台的基础核心 是整个校园网的基础 网络上承载着多 种校园业务应用 包括认证计费 数字 XX 网站 邮件等多种业务应用系统 这些业务 应用系统都运行在 XXX 大学的基础网络环境上 XXX 大学认证计费系统是针对学生上互联网的一种接入认证计费的管理方式 XXX 大学对学生上网是按流量进行统计收费的 认证计费系统共 4 台服务器 两

12、台认证服务 器 一台自服服务器 一台流量统计服务器 学生机上网通过 802 1X 协议进行接入认证 上网流量通过互联网出口交换机的端口镜象功能将上网数据发送到流量统计服务器 学生 通过自服务服务器可以查看个人上网流量的使用情况 计费采用流量计费方式 但每月流 量与实际费用不成比例 校园卡属 XXX 大学专网 主要实现学生校园卡消费管理 校园卡与 XXX 大学网络有 三个物理接口 包括数字 XX 认证计费 东区食堂 专网 与中国银行通过 DDN 方 式互联 没有部署防火墙 数据传输使用加密机进行加密 终端取用 IP MAC 绑定的安 全机制 网管采用昆特网管系统对交换机 服务器 终端进行监控管理

13、 数字 XX 是 XXX 大学最重要的业务应用系统 系统中存储着重要的教务工作数据 学生考试信息 财务数据等重要数据信息 数字 XX 有 2 个应用服务器 2 个认证服务器 1 个 BI 服务器 远程通过 VPN 桥服务器管理 有 IP 访问控制机制 服务器是 SUN 的 主机 安装 Solaris 10 系统 2 台 Oralcle 数据库服务器 2 台 Weblogic 应用服务器 1 台对外提供服务的 Apache 服务器 应用系统采取数据库 应用 服务的三层安全架构 模式部署 服务器没有做安全加固 存在 Web 应用攻击威胁 测试服务器密码被篡改过 XXX 大学网站系统为 XXX 大学

14、校园的互联网窗口 起到学校对外介绍宣传的功能 目前 XXX 大学网站系统共有 6 台服务器 服务器区域部署了 IDS 设备实时检测网站的 安全动态 系统配置了主机防火墙 一周进行一次本机数据备份 目前密码强度基本符合 安全要求 有安全应急预案 但不完善 没有进行过操作演练 XXX 大学邮件系统主要为 XXX 大学教师与学生提供邮件收发服务 目前邮件系统用 户 20000 多 邮件系统前端部署了 IPS 进行安全防护 并通过梭子鱼垃圾邮件网关对垃 圾邮件进行过滤 邮件数据最终存储到 H3C 的 IP SAN 中 邮件服务器目前单机运行 没有做双机热备 邮件系统受到垃圾邮件 病毒邮件的威胁 WEB

15、 邮件服务发生过服务 中断 系统系统存在过邮件退信攻击与邮件丢失问题 可能由于邮件系统自身脆弱性造成 2 2 1 物理环境 机房 位于该楼三层 机房总面积约 151m2 机房管理没有采取记录进出人员时间 数量 和原因等情况 配电间没铺设防静电地板 接入电源为 380V 50HZ 200A 无双电互投 在线 UPS 40KVA 输出 1 组 冷备 UPS 40KVA 输出 2 组 4 个 APC 电池柜 每组 32 块电池 机房铺设防静电地板 拥有 2 组 HIROSS 专用空调保证机房恒温 恒湿 空调 无漏水监控报警 机房内配置防漏电保护 视频监控 烟感和利达海鑫柜式灭火 防静电 导流排等必须

16、的防护措施 机架线序混乱 没有规范应急灯和温感监控 机房物理环境 三层机房物理和环境安全 地理位置XXX 大学三层 电源 电压 380V 50HZ 200A 无双电互投 总接入电量为 2x70 平方 三层机房物理和环境安全 中央空调HIROSS 空调 2 组 没有空调漏水监控报警 外设空调 UPS UPS 在线 40KVA 输出 1 组 冷备 10KVA 输出 2 组 APC 电 池柜 2 组 每组 32 12V 100Ah 电池 地板600 600 静电地板 防静电导流排 防电涌有防漏电保护 无防浪涌 机房温湿度空调显示温度 1 组 21 3 2 组 24 2 气喷于电源接入区 设备区 应急灯无规范应急灯 烟感烟感 XXX 大学自己做一套 消防给做了一套 温感没有部署温感监控 视频监控有 3 个 分别部署在设备区和电源接入区 机架线序混乱 设备没有规范的标签 灭火器 二套利达海鑫柜式七氟丙烷气体灭火装置 GQQ150 25 有 效喷射面积不明 机房面积配电间 7 7 49m2 机房 17 6 102 m2 物理环境储藏间易燃易爆物品随意堆放 物品杂乱 机房 位于该楼地下一层 机房总面

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 企业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号