《高校信息系统安全等级保护解决方案_v1.0》由会员分享,可在线阅读,更多相关《高校信息系统安全等级保护解决方案_v1.0(99页珍藏版)》请在金锄头文库上搜索。
1、-*大学等级保护工程技术方案2013年4月. z.-目 录1工程概述11.1工程建立背景11.2工程建立目标11.3工程建立容11.4工程建立围11.5工程建立依据22信息系统现状与平安需求32.1信息化建立现状综述32.2技术体系构造现状3物理环境4主机层构造6网络层构造7应用层构造82.3管理体系构造现状13平安管理机构13平安管理制度13人员平安管理18系统运维管理192.4平安威胁与风险20技术层面威胁与风险20管理层面威胁与风险222.5等级保护平安需求23系统平安等级划分23系统平安等级23等级保护根本平安要求23信息系统定级情况242.6平安需求分析25技术层面平安需求分析25管
2、理层面平安需求分析283等级保护方案设计293.1平安方案设计思路29构建分域的控制体系30构建纵深的防御体系30保证一致的平安强度30实现集中的平安管理303.2平安技术方案详细设计31确定保护强度31平安域划分与隔离31本地备份系统35网络链路冗余改造39PKI根底设施40平安审计管理42漏洞扫描系统45Web防火墙49平安管理平台设计51平安实施过程管理52效劳交付物533.3平安管理方案详细设计533.4平安运维方案详细设计58*大学门户平安监控58应急响应效劳61平安通告效劳62网络及平安设备维护63系统平安维护65网络防护65系统加固663.5协助测评69准备资料69现场协助70效
3、劳交付物704系统集成实施714.1工程组织及人员安排714.2系统集成实施73平安规划与实施阶段73协助测评阶段75工程验收76工作成果文档774.3工程实施质量保证78概述78工程执行人员的质量职责78平安审计过程78部反应过程79质量改良过程79改良需求检测794.4风险躲避措施80模拟环境80系统备份80系统恢复81时间选择81过程监控814.5工程验收82验收标准82验收流程825技术支持、售后效劳及培训方案835.1平安运维效劳835.2技术支持与售后效劳方案83试运行期的技术支持与效劳83质量保证期的技术支持与售后效劳84质量保证期外的技术支持与售后效劳85跟踪效劳86工程师资质
4、保障875.3培训方案87培训方法87培训容87效劳交付物88长期培训方案88. z.-1 工程概述1.1 工程建立背景随着我国学校信息化建立的逐步深入,学校教务工作对信息系统依赖的程度越来越高;教育信息化建立量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。从平安性上分析,高校业务应用和网络系统日益复杂,外部攻击、部资源滥用、木马和病毒等不平安因素越来越显著,信息化平安是业务应用开展需要关注的核心和重点。为贯彻落实信息平安等级保护制度,规和指导全国教育信息平安等级保护工作,教委教办厅函200980文件发出“关于开展信息系统平安等级保护工作的通知;教育
5、部教育管理信息中心发布教育信息系统平安等级保护工作方案征求意见稿;教育部办公厅印发关于开展教育系统信息平安等级保护工作专项检查的通知教办厅函201080号。1.2 工程建立目标本次工程建立目标:为贯彻落实、教育部信息平安工作部署,完善*大学信息系统平安技术防护措施、平安管理制度和平安运维体系,全面建立完整的信息平安防护体系,顺利通过信息系统等级测评,为*大学信息化的安康快速开展保驾护航。1.3 工程建立容天融信依据信息平安等级保护技术和管理要求,开展信息平安等级保护建立工作,工作的主要容包括:1方案设计;2系统集成;3维护效劳。1.4 工程建立围本方案的设计围覆盖*大学信息系统。1.5 工程建
6、立依据为保证整个工程的实施质量和圆满完本钱次工程的工程目标,在整个等级保护整改建立工程的设计规划中将遵循以下标准: 计算机信息系统平安保护等级划分准则GB17859-1999根底标准 信息系统平安等级保护根本要求GB/T 22239-2008基线标准 信息系统平安保护等级定级指南GB/T 22240-2008辅助标准 信息系统平安等级保护实施指南辅助标准 信息系统平安等级保护测评准则 辅助标准 电子政务信息系统平安等级保护实施指南试行 信息平安技术信息系统通用平安技术要求GB/T20271-2006 信息平安技术网络根底平安技术要求GB/T20270-2006 信息平安技术操作系统平安技术要求
7、GB/T20272-2006 信息平安技术数据库管理系统平安技术要求GB/T20273-2006 信息平安技术终端计算机系统平安等级技术要求GA/T671 信息系统平安平安管理要求GB/T20269 信息系统平安工程管理要求GB/T20282 信息平安技术效劳器技术要求GB/T21082 ISO/IEC TR 13335 ISO 17799:2005 ISO 27001:2005 NIST SP-800系列 ISO 20000 CobiT2 信息系统现状与平安需求2.1 信息化建立现状综述1. 随着*大学信息化建立的推进,信息化建立初具规模,效劳器等主机设备根本到位,大型网络设备、高端路由设备
8、、多种网络和系统管理软件、专业数据备份软件及网络数据平安设备和软件等大都配备完成,运行保障的根底技术手段根本具备; 2. *大学网络信息中心技术力量雄厚,在网络工程、数据库建立、系统设计、软件开发、信息平安等多项领域具有较强的实力和丰富的经历。承当信息中心的网络系统管理和应用支持的专业技术人员达20余人; 3. *大学随着信息系统的逐步建立,分别针对重要应用系统采用了防火墙、IPS/IDS、防病毒等常规平安防护手段,保障了核心业务系统在一般情况下的正常运行,具备了根本的平安防护能力; 4. *大学的日常运行管理比拟规,按照信息根底设施运行操作流程和管理对象的不同,确定了网络系统运行保障管理的角
9、色和岗位,初步建立了问题处理的应急响应机制。 2.2 技术体系构造现状*大学信息系统主要包括六大业务应用系统,网络、认证计费、校园卡、数字*、系统。网络是*大学各大业务平台的根底核心,是整个校园网的根底,网络上承载着多种校园业务应用,包括认证计费、数字*、等多种业务应用系统,这些业务应用系统都运行在*大学的根底网络环境上。*大学认证计费系统是针对学生上互联网的一种接入认证计费的管理方式,*大学对学生上网是按流量进展统计收费的。认证计费系统共4台效劳器,两台认证效劳器、一台自服效劳器,一台流量统计效劳器。学生机上网通过802.1*协议进展接入认证,上网流量通过互联网出口交换机的端口镜象功能将上网
10、数据发送到流量统计效劳器,学生通过自效劳效劳器可以查看个人上网流量的使用情况。计费采用流量计费方式,但每月流量与实际费用不成比例。校园卡属*大学专网,主要实现学生校园卡消费管理。校园卡与*大学网络有三个物理接口包括数字*、认证计费、东区食堂。专网,与中国银行通过DDN方式互联,没有部署防火墙,数据传输使用加密机进展加密,终端取用IP/MAC绑定的平安机制,网管采用昆特网管系统对交换机、效劳器、终端进展监控管理。数字*是*大学最重要的业务应用系统,系统中存储着重要的教务工作数据、学生考试信息、财务数据等重要数据信息。数字*有2个应用效劳器,2个认证效劳器,1个BI效劳器,远程通过VPN、桥效劳器
11、管理,有IP访问控制机制,效劳器是SUN的主机,安装Solaris 10系统,2台Oralcle数据库效劳器,2台Weblogic应用效劳器,1台对外提供效劳的Apache效劳器,应用系统采取数据库,应用,效劳的三层平安架构模式部署,效劳器没有做平安加固,存在Web应用攻击威胁,测试效劳器密码被篡改正。*大学系统为*大学校园的互联网窗口,起到学校对外介绍宣传的功能。目前,*大学系统共有6台效劳器,效劳器区域部署了IDS设备实时检测的平安动态,系统配置了主机防火墙,一周进展一次本机数据备份,目前密码强度根本符合平安要求,有平安应急预案,但不完善,没有进展过操作演练。*大学系统主要为*大学教师与学
12、生提供收发效劳,目前系统用户20000多,系统前端部署了IPS进展平安防护,并通过梭子鱼垃圾网关对垃圾进展过滤,数据最终存储到H3C的IP SAN中,效劳器目前单机运行,没有做双机热备,系统受到垃圾,病毒的威胁,WEB效劳发生过效劳中断,系统系统存在过退信攻击与丧失问题,可能由于系统自身脆弱性造成。2.2.1 物理环境l 机房:位于该楼三层,机房总面积约151m2,机房管理没有采取记录进出人员时间、数量和原因等情况,配电间没铺设防静电地板,接入电源为380V/50HZ/200A,无双电互投,在线UPS 40KVA输出1组,冷备UPS 40KVA输出2组,4个APC电池柜,每组32块电池。机房铺
13、设防静电地板,拥有2组HIROSS专用空调保证机房恒温、恒湿,空调无漏水监控报警,机房配置防漏电保护、视频监控、烟感和利达海鑫柜式灭火、防静电导流排等必须的防护措施。机架线序混乱,没有规应急灯和温感监控。机房物理环境三层机房物理和环境平安地理位置*大学三层。电源电压380V/50HZ/200A,无双电互投,总接入电量为2*70平方中央空调HIROSS 空调2组,没有空调漏水监控报警。外设空调UPSUPS在线40KVA输出1组,冷备10KVA输出2组,APC电池柜2组,每组32*12V*100Ah电池。地板600*600静电地板,防静电导流排。防电涌有防漏电保护,无防浪涌。机房温湿度空调显示温度
14、:1组:21.3,2组:24.2。气喷于电源接入区、设备区应急灯无规应急灯烟感烟感:*大学自己做一套,消防给做了一套。温感没有部署温感监控。视频监控有3个,分别部署在设备区和电源接入区。机架线序混乱、设备没有规的标签。灭火器二套利达海鑫柜式七氟丙烷气体灭火装置(GQQ150/25),有效喷射面积不明。机房面积配电间7*7=49m2,机房17*6=102 m2,物理环境储藏间易燃易爆物品随意堆放,物品杂乱。l 机房:位于该楼地下一层,机房总面积约472.72 m2,机房管理没有采取记录进出人员时间、数量和原因等情况,配电间没铺设防静电地板,接入电源380V,双路市电供电保障,在线UPS 120KVA输出2组、带载2627KVA, 4组电池组,每组32块电池。机房铺设防静电地板,3组650A HIROSS专用空调保证机房恒温、恒湿,空调无漏水监控报警。机房配置防漏电保护、15个气体喷淋口、烟感、视频监控、红外线报警器、二氧化碳灭火装置、防静电导流排等必须的防护措施。机架线序混乱,没有规应急灯和温感监控。机房物理环境机房物理和环
