《xxxxx高校信息安全建设规划方案》由会员分享,可在线阅读,更多相关《xxxxx高校信息安全建设规划方案(164页珍藏版)》请在金锄头文库上搜索。
1、xxxx 大学信息安全建设设计方案xxxx 大学信息安全建设设计方案xxxx 股份有限公司2018 年 6 月xxxx 大学信息安全建设设计方案版本变更记录版本变更记录时间时间版本版本说明说明修改人修改人2017-5-30V1.1文档修改2018-6-6V1.2文档修改文档说明文档说明本文档作为 xxxx 大学信息安全设计方案的输出文档;本文件的读者范 围为我公司参与项目建设的人员以及 xxxx 大学信息安全建设的相关人员。版权声明版权声明本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属我公司所有,受到有关产权及版权法保护。任何个人、机构未经双方书面
2、授权许可,不得以任何方式复制或引用本文件的任何片断。xxxx 大学信息安全建设设计方案目录第 1 章方案概述 .71.1建设背景 .71.1.1 法律要求 81.1.2 政策要求 .101.1.3 行业要求 .101.2建设目标及内容 111.2.1 建设目标 .111.2.2 建设内容 .12第 2 章现状、挑战、风险 .12.1现状概述 .12.1.1 信息系统现状 12.1.2 高校网络安全现状 22.2未来的挑战 .52.2.1 “互联网+教育” .52.2.2 “人工智能+教育” .52.2.3 大数据平台 52.3现状、差距、风险分析 .62.3.1 现状与差距分析 62.3.2
3、差距与风险分析 .29第 3 章方案设计 323.1设计思路 323.2一个出发点 32xxxx 大学信息安全建设设计方案3.3两大标准 333.4三种融合 333.5四个体系 353.6信息安全建设规划拓扑图 36第 4 章方案建设 434.1建设原则 434.2技术安全体系建设 434.2.1 安全区域边界设计 .434.2.2 安全计算环境设计 .444.2.3 安全通信网络设计 .464.2.4 安全管理中心设计 .464.2.5 安全区域划分 .474.2.6 新增安全措施 .484.2.7 优化安全措施 .494.3应用安全建设 504.3.1 应用安全设计 .504.3.2 业务
4、系统应用安全 .504.4安全管理体系建设 504.4.1 安全管理机构概述 .504.4.2 安全管理制度规划 .614.4.3 安全管理制度梳理服务 .624.5应急预案体系建设 664.5.1 编制目的 .66xxxx 大学信息安全建设设计方案4.5.2 编制依据 .674.5.3 适用范围 .674.5.4 工作原则 .674.5.5 组织与体系 .674.5.6 预防预警 .684.5.7 应急响应 .694.5.8 后期处置 .704.5.9 保障措施 .714.5.10监督管理 72第 5 章方案价值 74第 6 章类似成功案例 75第 7 章安全产品/服务部署说明 .767.1
5、网络整改及安全产品部署 767.1.1 校园网整改及安全域划分 .767.1.2 服务器、终端及应用系统安全加固 .767.2安全服务 777.2.1 安全意识教育 .787.2.2 网络安全服务列表 .887.2.3 网络安全服务简介 .897.3一期安全产品/安全服务 .977.3.1 堡垒主机系统 .977.3.2 日志审计系统 .997.3.3 数据库审计系统 102xxxx 大学信息安全建设设计方案7.3.4 主机安全加固软件 1047.3.5 准入控制系统 1077.3.6 WEB 资产安全治理平台.1117.4二期安全产品/安全服务 1197.4.1 云 WAF.1197.4.1
6、 IT 综合运维管理系统1217.4.1 RFID 机房资产管理系统1277.5三期安全产品/安全服务 1297.5.1 ZDNS 部署1297.5.2 安全运维管理平台(soc+态势感知) 1337.6四期安全产品/安全服务 1367.6.1 APT 高级威胁分析平台.1367.6.1 数据容灾备份系统 1387.7五期安全产品/安全服务 1397.7.1 GRC 网络安全管理管理平台.1397.7.2 安全值 146第 8 章方案预算 .149附件信息系统建议定级 151xxxx 大学信息安全建设设计方案图表目录图表目录图表 1 学校 IT 资产表 2图表 2 物理安全现状差距表 .6图表
7、 3 网络安全现状差距分析表 10图表 4 主机安全现状差距分析表 15图表 5 应用安全现状差距分析表 20图表 6 数据安全现状差距分析表 24图表 7 安全管理现状差距分析表 26图表 8 安全技术差距与风险分析 29图表 9 管理体系差距与风险 30图表 10 网络安全综合治理行动差距与风险分析表 .30图表 11 信息安全建设和规划总体示意图 .36图表 12 信息安全建设和规划-一期示意图 38图表 13 信息安全建设和规划-二期示意图 39图表 14 信息安全建设和规划-三期示意图 40图表 15 信息安全建设和规划-四期示意图 41图表 16 信息安全建设和规划-五期示意图 4
8、2图表 17 xxxx 大学信息安全组织架构示意图.56图表 18 xxxx 大学安全管理制度规划示意图.62图表 19 方案价值表 .74图表 20 成功案列表 .75图表 21 安全服务列表 .78图表 22 方案预算表 138xxxx 大学信息安全建设设计方案第第 1 1 章章方案概述方案概述1.1 建设背景建设背景随着我国学校信息化建设的逐步深入,学校教务工作、招生工作、学籍管理工作、科研管理工作、学生校内的学习和生活等对信息系统依赖的程度越来越高;教育信息化建设中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。从安全性上分析,高校业务应用
9、和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,信息化安全是业务应用发展需要关注的核心和重点。为贯彻落实国家信息安全等级保护制度和网络安全法,规范和指导全国教育信息化建设工作,国家发布了一系列关于教育行业信息化工作的通知,并且随着我国网络安全法的正式实行,保障信息系统安全已经成为学校应承担的法律义务。2014 年 9 月,四川省公安厅、四川省教育厅关于进一步加强学校网络和信息安全保护工作的通知。2014 年 10 月,教育部办公厅印发教育行业信息系统安全等级保护定级工作指南(试行)的通知。2015 年 7 月,教育部办公厅印发关于全面推进教育行业信息安全等级保护工
10、作的通知。2017 年 2 月,教育部办公厅印发2017 年教育信息化工作要点的通知。2017 年 3 月,教育部办公厅印发教育行业网络安全综合治理行动方案的通知。2017 年 6 月,中华人民共和国网络安全法正式实行。xxxx 大学信息安全建设设计方案1.1.11.1.1法律要求法律要求在今年颁发的中华人民共和国网络安全法中明确规定了法律层面的网络安全。具体如下:“没有网络安全,就没有国家安全没有网络安全,就没有国家安全”,网络安全法第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外,网络
11、安全法中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定:网络日志留存:网络日志留存:第二十一条还规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上述网络安全保护义务的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。漏洞处置:漏洞处置
12、:第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。没有网络安全事件应急预案的,没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。xxxx 大学信息安全建设设计方案容灾备份:容灾备份:第三十四条第三项规定,关键信息基础设施单位对重要系统和数据库进行容灾备份。没有对重要系统和数据库进
13、行容灾备份的会被依照此条款责令改正。应急演练:应急演练:第三十四条第四项规定,关键信息基础设施单位应当制定网络安全事件应急预案,并定期进行演练。没有网络安全事件预案的,或者没有定期演练的,会被依照此条进行责令改正。安全检测评估:安全检测评估:第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检测评估的单位要被责令改正。1.1.21.1.2政策要求政策要求教育部正在实施的教育行业网络安全综合治理行动方案;目标是提升安全水平,增强
14、防护能力,有效防范风险,保障运行和数据安全。原则是:问题导向、突出重点、完善机制,狠抓落实。实施范围是各级教育行政部门及其直属单位高等学校。方案主要有四大项主要任务,“治乱”、“堵漏”、“补短”、“规范”。每一项工作任务对应不同的工作重点,总共 10 项具体如下:1. 统一标识2. 信息发布管理3. 网站域名清理4. 安全监测预警5. 检测风险6. 网络安全等保7. 测评和整改xxxx 大学信息安全建设设计方案8. 数据安全9. 关键信息基础设施10.应急响应1.1.31.1.3行业要求行业要求2016 年 11 月教育部网络安全和信息化领导小组的成立,国家层面对教育行业信息化安全的重视程度日
15、益增加。教育部对教育行业网络信息安全的工作要求如下:提高思想认识,加强组织领导提高思想认识,加强组织领导 认真学习贯彻中华人民共和国网络安全法 将工作纳入重要议事日程予以部署 明确主管领导、牵头部门和责任人 提供必要的工作保障加强协调配合,形成工作合力加强协调配合,形成工作合力 与网络安全智能部门沟通配合 探索与专业机构、企业建立合作机制加强监督检查,完善通报机制加强监督检查,完善通报机制 教育信息化月报通报进展情况 纳入校园及周边治安综合治理工作考核评价 纳入学校安全生产大检查、开学检查等开展宣传教育、提升安全意识开展宣传教育、提升安全意识 面向网络安全管理人员和技术人员开展专题培训 利用新
16、生入学教育、网络安全宣传周等契机 提高师生网络安全意识和素养xxxx 大学信息安全建设设计方案1.2 建设目标及内容建设目标及内容1.2.11.2.1建设目标建设目标本次项目建设目标:贯彻国家、教育部信息安全工作部署,落实教育行业网络安全综合治理行动方案,让 xxxx 大学校园一期建设后的相关信息系统达到信息系统安全等级保护基本要求第三级的要求,并完成等保备案。根据学校实际情况、发展趋势、行业背景,对学校制定信息安全建设规划,规划期限为 5 年。全面建设完整的信息安全防护体系,前瞻性的建设学校信息化技术支撑体系。最终使 xxxx 大学具有完善的信息安全组织体系、信息安全管理体系、信息安全运行体系、信息安全技术体系;具体有以下几点: 落实教育行业网络安全综合治理行动方案,对学校现有信息系统做到“治乱”、“堵漏”、“补短”、“规范”。 建设符合国家等级保护制度要求、符合 ISO27000 信息安全管理认证体系要求和满足网络安全法对学校信息系统要求的高校网络安全防护体系。 建设能够监
