收藏
下载资源

高校信息系统安全等级保护解决方案-v

上传人:hs****ma 文档编号:497140843 上传时间:2023-09-27 格式:DOC 页数:126 大小:4.27MB
返回 下载 相关 举报
高校信息系统安全等级保护解决方案-v_第1页
第1页 / 共126页
高校信息系统安全等级保护解决方案-v_第2页
第2页 / 共126页
高校信息系统安全等级保护解决方案-v_第3页
第3页 / 共126页
高校信息系统安全等级保护解决方案-v_第4页
第4页 / 共126页
高校信息系统安全等级保护解决方案-v_第5页
第5页 / 共126页
点击查看更多>>
资源描述

《高校信息系统安全等级保护解决方案-v》由会员分享,可在线阅读,更多相关《高校信息系统安全等级保护解决方案-v(126页珍藏版)》请在金锄头文库上搜索。

1、XXX大学等级保护项目技术方案2013年4月 / 文档可自由编辑目 录1项目概述11.1项目建设背景11.2项目建设目标11.3项目建设内容11.4项目建设范围11.5项目建设依据22信息系统现状与安全需求32.1信息化建设现状综述32.2技术体系结构现状32.2.1物理环境42.2.2主机层结构62.2.3网络层结构72.2.4应用层结构82.3管理体系结构现状132.3.1安全管理机构132.3.2安全管理制度132.3.3人员安全管理182.3.4系统运维管理192.4安全威胁与风险202.4.1技术层面威胁与风险202.4.2管理层面威胁与风险222.5等级保护安全需求232.5.1系

2、统安全等级划分232.5.2系统安全等级232.5.3等级保护基本安全要求232.5.4信息系统定级情况242.6安全需求分析252.6.1技术层面安全需求分析252.6.2管理层面安全需求分析283等级保护方案设计293.1安全方案设计思路293.1.1构建分域的控制体系303.1.2构建纵深的防御体系303.1.3保证一致的安全强度303.1.4实现集中的安全管理303.2安全技术方案详细设计313.2.1确定保护强度313.2.2安全域划分与隔离313.2.3本地备份系统353.2.4网络链路冗余改造393.2.5PKI基础设施403.2.6安全审计管理423.2.7漏洞扫描系统453.

3、2.8Web防火墙493.2.9安全管理平台设计513.2.10安全实施过程管理523.2.11服务交付物533.3安全管理方案详细设计533.4安全运维方案详细设计583.4.1XXX大学门户网站安全监控583.4.2应急响应服务613.4.3安全通告服务623.4.4网络及安全设备维护633.4.5系统安全维护653.4.6网络防护653.4.7系统加固663.5协助测评693.5.1准备资料693.5.2现场协助703.5.3服务交付物704系统集成实施714.1项目组织及人员安排714.2系统集成实施734.2.1安全规划与实施阶段734.2.2协助测评阶段754.2.3项目验收764

4、.2.4工作成果文档774.3项目实施质量保证784.3.1概述784.3.2项目执行人员的质量职责784.3.3安全审计过程784.3.4内部反馈过程794.3.5质量改进过程794.3.6改进需求检测794.4风险规避措施804.4.1模拟环境804.4.2系统备份804.4.3系统恢复814.4.4时间选择814.4.5过程监控814.5项目验收824.5.1验收标准824.5.2验收流程825技术支持、售后服务及培训方案835.1安全运维服务835.2技术支持与售后服务方案835.2.1试运行期的技术支持与服务835.2.2质量保证期内的技术支持与售后服务845.2.3质量保证期外的技

5、术支持与售后服务855.2.4跟踪服务865.2.5工程师资质保障875.3培训方案875.3.1培训方法875.3.2培训内容875.3.3服务交付物885.3.4长期培训计划881 项目概述1.1 项目建设背景 随着我国学校信息化建设的逐步深入,学校教务工作对信息系统依赖的程度越来越高;教育信息化建设中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。从安全性上分析,高校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,信息化安全是业务应用发展需要关注的核心和重点。为贯彻落实国家信息安全等级保护制度,规范和指导

6、全国教育信息安全等级保护工作,国家教委教办厅函200980文件发出“关于开展信息系统安全等级保护工作的通知”;教育部教育管理信息中心发布教育信息系统安全等级保护工作方案(征求意见稿);教育部办公厅印发关于开展教育系统信息安全等级保护工作专项检查的通知(教办厅函201080号)。1.2 项目建设目标本次项目建设目标:为贯彻落实国家、教育部信息安全工作部署,完善XXX大学信息系统安全技术防护措施、安全管理制度和安全运维体系,全面建设完整的信息安全防护体系,顺利通过信息系统等级测评,为XXX大学信息化的健康快速发展保驾护航。1.3 项目建设内容天融信依据国家信息安全等级保护技术和管理要求,开展信息安

7、全等级保护建设工作,工作的主要内容包括:(1)方案设计;(2)系统集成;(3)维护服务。1.4 项目建设范围本方案的设计范围覆盖XXX大学信息系统。1.5 项目建设依据为保证整个项目的实施质量和圆满完成本次项目的项目目标,在整个等级保护整改建设项目的设计规划中将遵循以下标准: 计算机信息系统安全保护等级划分准则(GB17859-1999)(基础标准) 信息系统安全等级保护基本要求(GB/T 22239-2008)(基线标准) 信息系统安全保护等级定级指南(GB/T 22240-2008)(辅助标准) 信息系统安全等级保护实施指南 (辅助标准) 信息系统安全等级保护测评准则 (辅助标准) 电子政

8、务信息系统安全等级保护实施指南(试行) 信息安全技术 信息系统通用安全技术要求(GB/T20271-2006) 信息安全技术 网络基础安全技术要求(GB/T20270-2006) 信息安全技术 操作系统安全技术要求(GB/T20272-2006) 信息安全技术 数据库管理系统安全技术要求(GB/T20273-2006) 信息安全技术 终端计算机系统安全等级技术要求(GA/T671) 信息系统安全安全管理要求(GB/T20269) 信息系统安全工程管理要求(GB/T20282) 信息安全技术 服务器技术要求(GB/T21082) ISO/IEC TR 13335 ISO 17799:2005 I

9、SO 27001:2005 NIST SP-800系列 ISO 20000 CobiT2 信息系统现状与安全需求2.1 信息化建设现状综述1. 随着XXX大学信息化建设的推进,信息化建设初具规模,服务器等主机设备基本到位,大型网络设备、高端路由设备、多种网络和系统管理软件、专业数据备份软件及网络数据安全设备和软件等大都配备完成,运行保障的基础技术手段基本具备; 2. XXX大学网络信息中心技术力量雄厚,在网络工程、数据库建设、系统设计、软件开发、信息安全等多项领域具有较强的实力和丰富的经验。承担信息中心的网络系统管理和应用支持的专业技术人员达20余人; 3. XXX大学随着信息系统的逐步建设,

10、分别针对重要应用系统采用了防火墙、IPS/IDS、防病毒等常规安全防护手段,保障了核心业务系统在一般情况下的正常运行,具备了基本的安全防护能力; 4. XXX大学的日常运行管理比较规范,按照信息基础设施运行操作流程和管理对象的不同,确定了网络系统运行保障管理的角色和岗位,初步建立了问题处理的应急响应机制。 2.2 技术体系结构现状XXX大学信息系统主要包括六大业务应用系统,网络、认证计费、校园卡、数字XX、网站、邮件系统。网络是XXX大学各大业务平台的基础核心,是整个校园网的基础,网络上承载着多种校园业务应用,包括认证计费、数字XX、网站、邮件等多种业务应用系统,这些业务应用系统都运行在XXX

11、大学的基础网络环境上。XXX大学认证计费系统是针对学生上互联网的一种接入认证计费的管理方式,XXX大学对学生上网是按流量进行统计收费的。认证计费系统共4台服务器,两台认证服务器、一台自服服务器,一台流量统计服务器。学生机上网通过802.1X协议进行接入认证,上网流量通过互联网出口交换机的端口镜象功能将上网数据发送到流量统计服务器,学生通过自服务服务器可以查看个人上网流量的使用情况。计费采用流量计费方式,但每月流量与实际费用不成比例。校园卡属XXX大学专网,主要实现学生校园卡消费管理。校园卡与XXX大学网络有三个物理接口(包括数字XX、认证计费、东区食堂)。专网,与中国银行通过DDN方式互联,没

12、有部署防火墙,数据传输使用加密机进行加密,终端取用IP/MAC绑定的安全机制,网管采用昆特网管系统对交换机、服务器、终端进行监控管理。数字XX是XXX大学最重要的业务应用系统,系统中存储着重要的教务工作数据、学生考试信息、财务数据等重要数据信息。数字XX有2个应用服务器,2个认证服务器,1个BI服务器,远程通过VPN、桥服务器管理,有IP访问控制机制,服务器是SUN的主机,安装Solaris 10系统,2台Oralcle数据库服务器,2台Weblogic应用服务器,1台对外提供服务的Apache服务器,应用系统采取数据库,应用,服务的三层安全架构模式部署,服务器没有做安全加固,存在Web应用攻

13、击威胁,测试服务器密码被篡改过。XXX大学网站系统为XXX大学校园的互联网窗口,起到学校对外介绍宣传的功能。目前,XXX大学网站系统共有6台服务器,服务器区域部署了IDS设备实时检测网站的安全动态,系统配置了主机防火墙,一周进行一次本机数据备份,目前密码强度基本符合安全要求,有安全应急预案,但不完善,没有进行过操作演练。XXX大学邮件系统主要为XXX大学教师与学生提供邮件收发服务,目前邮件系统用户20000多,邮件系统前端部署了IPS进行安全防护,并通过梭子鱼垃圾邮件网关对垃圾邮件进行过滤,邮件数据最终存储到H3C的IP SAN中,邮件服务器目前单机运行,没有做双机热备,邮件系统受到垃圾邮件,

14、病毒邮件的威胁,WEB邮件服务发生过服务中断,系统系统存在过邮件退信攻击与邮件丢失问题,可能由于邮件系统自身脆弱性造成。2.2.1 物理环境l 机房:位于该楼三层,机房总面积约151m2,机房管理没有采取记录进出人员时间、数量和原因等情况,配电间没铺设防静电地板,接入电源为380V/50HZ/200A,无双电互投,在线UPS 40KVA输出1组,冷备UPS 40KVA输出2组,4个APC电池柜,每组32块电池。机房铺设防静电地板,拥有2组HIROSS专用空调保证机房恒温、恒湿,空调无漏水监控报警,机房内配置防漏电保护、视频监控、烟感和利达海鑫柜式灭火、防静电导流排等必须的防护措施。机架线序混乱,没有规范应急灯和温感监控。机房物理环境三层机房物理和环境安全地理位置XXX大学三层。电源电压380V/50HZ/200A,无双电互投,总接入电量为2x70平方中央空调HIROSS 空调2组,没有空调漏水监控报警。外设空调UPSUPS在线40KVA输出1组,冷备10KVA输出2组,APC电池柜

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号