智慧校园安全防护解决专业方案.docx
《智慧校园安全防护解决专业方案.docx》由会员分享,可在线阅读,更多相关《智慧校园安全防护解决专业方案.docx(51页珍藏版)》请在咨信网上搜索。
1、高校信息化安全防护处理方案11月1高校信息化现实状况41.1信息化存在问题和分析41.1.1缺乏统一开放支撑平台,多厂商共建造成过程风险51.1.2校级步骤管控缺失,各处室割离建设造成步骤杂乱51.1.3步骤杂乱及数据质量监控缺失造成数据质量低下61.1.4高校普遍网站安全防护力度不够 安全漏洞未立即更新61.1.5高校数据中心安全危机和运维管控难度加大61.1.6私有云建设,带来便利同时面临着新挑战72信息化问题处理思绪82.1信息化云-管-端整体布局82.2信息化云数据中心安全防护92.3运行生态体系信息高可用性112.4构建一套高可用性、安全性信息化系统体系123高校信息化需要建设内容1
2、23.1信息化系统建设内容123.1.1基础支撑平台123.2信息化数据中心安全建设内容183.2.1数据中心业务生产区安全193.2.2数据中心运维管理区213.3信息化系统管端安全建设内容223.3.1安全设计223.3.2安全布署234高校信息化系统安全服务需求244.1风险评定机制244.2等级保护定级立案帮助304.3信息系统加固修复314.4信息安全制度自查和优化324.5安全防护方法自查和优化334.6门户网站安全测评及安全整改355提议增加安全设备/服务376相关产品介绍386.1下一代防火墙386.1.1下一代防火墙配置背景386.1.2下一代防火墙实现功效396.1.3下一
3、代防火墙效果396.2上网行为管理406.2.1上网行为管理配置背景406.2.2上网行为管理功效406.2.3上网行为管理实现效果416.3网络安全审计系统416.3.1网络安全审计系统配置背景416.3.2网络安全审计系统实现功效426.3.3网络安全审计系统实现效果436.4云运维审计系统(堡垒机)436.4.1云运维审计系统配置背景436.4.2云运维审计系统功效446.4.3云运维审计系统实现效果456.5Web应用防火墙和网站监控平台456.5.1Web应用防火墙和网站监控平台配置背景456.5.2Web应用防火墙和网站监控平台实现功效456.5.3Web应用防火墙和网站监控平台实
4、现效果471 高校信息化现实状况现在,高校经过这几年加大对信息化建设,已经实现全校网络覆盖,安全防护能力业已达成“二级”合格标准。管理信息系统如门户网站、OA系统、招生系统、教务系统、财务系统、金龙卡、教学资源系统、教学质量监控系统、图书管理系统和各部门自主购置一系列应用系统等等,能够说这些应用系统基础上覆盖了大部分校园信息化所含有管理系统。学校中心机房有在用服务器,存放设备数套,分属各处室、分院及图书馆,各自运行、存放独立管理系统及数字资源。信息化建设已经基础覆盖校内大部分管理信息化领域,数字校园建设初具规模。目前已建这些应用系统,基础能够处理高校在行政办公管理、教务管理、学工管理和科研管理
5、等范围内结果性数据维护需求。在方便了各业务部门进行业务处理同时,也积累了不一样业务、不一样阶段各类数据。而这些数据沉淀,作为我校在“十二五”期间,信息化建设关键结果,为下一阶段数据决议和分析提供有效依据和支撑。事实证实,高校经过在“十二五”期间信息化建设,在完成各类结果数据沉淀同时,为各级各类型业务部门利用信息技术和手段开展业务办理,提供了有效应用环境。在业务办理过程中,因为有了基于独立面向单体业务开发各类业务应用系统,办理效率在大幅提升,为高校整体运行层面大大降低了因为人工方法带来运行成本。面向学生,也能够利用信息化手段为她们提供基于某个业务场景业务服务。不可否认是,高校经过“十二五”期间展
6、开信息化建设,在确保原有业务开展质量同时,较大幅度提升了业务管理水平和效率。尽管如此,在信息化建设道路上仍然有很多空间需要提升。伴随信息化建设推进,云计算技术不停成熟和在高校领域不停渗透云计算经过将数据统一存放在云计算服务器中,加强对关键数据集中管控,比传统分布在大量终端上数据行为更安全。因为数据集中,使得安全审计、安全评定、安全运维等行为愈加简单易行,同时更轻易实现系统容错、高可用性和冗余及灾备恢复。但云计算在带来方便快捷同时也带来新挑战1.1 信息化存在问题和分析我们不得不深入发觉,从高校整体信息化建设过程、应用过程和后期维护过程中,仍然存在问题有些问题直接影响了高校后续信息化建设节奏和效
7、果。这些问题关键集中在以下多个方面:1.1.1 缺乏统一开放支撑平台,多厂商共建造成过程风险高校在“十二五”期间建设信息化系统众多。其间包含门户网站、OA系统、招生系统、教务系统、财务系统、金龙卡、教学资源系统、教学质量监控系统、图书管理系统和各部门自主购置一系列应用系统等等。信息化建设过程中,多个厂商参与共建,而建设内容全部是以业务部门需求为关键单体业务系统,现在是普遍高校信息化建设现实状况。学校信息化建设在设计早期,全部在强调顶层计划。应该讲,这么一张蓝图是指导学校后续信息化逐步推进标准。但在实际过程中,因为不一样厂商参与建设学校信息化,就会出现实际建设路径和最初设计蓝图不一致情况。归结原
8、因关键有以下两点:其一,不一样厂商采取不一样技术架构开发设计,过程相对封闭。而学校信息化一旦需要从单体系统向一体化转型时,就会带来因为封闭技术架构带来冲突,使整合难度加大,对学校而言建设安全风险增加。其二,建设边界相对模糊,带来学校从单体系统一体化转型过程中,权责难以明确问题。厂商之间相互推诿,撇清责任。这对学校信息化安全建设过程无疑风险巨大。其三,缺乏统一安全身份认证手段,各厂商承建系统对权限管控手段水平不一,在安全性和用户直接使用感受上全部存在问题,师生在使用各信息系统时往往见面对多种账号,在用户体验上大打折扣。1.1.2 校级步骤管控缺失,各处室割离建设造成步骤杂乱目前大部分高校在信息化
9、建设过程中,各个部门和二级学院计划和建设 ,全部是各自为政,建设自己管理信息系统或应用软件,这些软件系统起源于不一样部门采购,软件产品分属于不一样生产商。这种情况表现在应用过程中功效重合、数据格式多样性和系统之间无关联性。所谓“信息孤岛”就由此产生,信息孤岛产生使信息资源利用率大打折扣,各系统难于共享信息。由不一样软件供给商提供建设各个业务系统建设覆盖面较窄,且中间包含到和该业务部门相关大量业务步骤。这些业务步骤长短不一,其应用场景也相对固定。校级业务步骤现在在中国大部分高校信息化建设过程中全部相对缺失。带来这个问题关键原因是因为单体业务系统人为割裂建设相关。业务部门是这些业务系统建设需求提出
10、单位,她们所关注仅仅是这个业务部门在某个业务场景中步骤需要。她们并不会过多关注校级层面步骤和自己部门业务步骤关联到底有哪些。同时,就是针对自己部门内部业务步骤,每步骤节点实施人、实施时间、实施耗时、实施效果、实施评价等这些信息也是一无所知,这也就带来了目前大部分高校在进行信息化建设过程中校级步骤缺失。1.1.3 步骤杂乱及数据质量监控缺失造成数据质量低下高校现在构建这些业务应用系统,从单体系统使用情况看,仍然存在“建多,用少”情况。对业务系统而言,在应用步骤缺失,直接影响对应业务数据沉淀,更不用提到所谓数据质量问题。这是影响数据质量不高原因之一。另外,学校对于数据质量监控,包含数据交换过程监控
11、、代码标准监控缺失,也造成数据质量低下,实为原因之二。1.1.4 高校普遍网站安全防护力度不够 安全漏洞未立即更新 伴随教育行业信息化快速发展和网络信息技术普及应用,网络安全方面临威胁越来越严峻。很多高校网站或信息系统存在跨站脚本、SQL注入和后台管理弱口令等高危漏洞,部分网站已经被植入木马。部分即使配置了安全防护设备,但疏于管理,实效性较差,安全防护效果不显著。总体来看,教育行业网络和信息安全形势严峻,立即查补信息安全漏洞,主动采取应对方法 1.1.5 高校数据中心安全危机和运维管控难度加大伴随教育信息化建设逐步深入,教务工作对信息系统依靠程度越来越高,数据服务器成为了高校关键组成内容,积聚
12、越来越多信息资源。近几年网上黑客攻击,修改考试成绩,骗取认证证书等事件屡有发生,教育系统已经逐步成为黑客关注关键目标,高校数据中心安全保障工作已经迫在眉睫。教育系统信息泄露安全风险分析1、来自互联网风险 教育行业网站系统中括学校院系门户、教学管理系统、网上课程、数字图书馆、网上办公等,为高校师生们提供各式各样网络服务。而且全部和上级教育部门进行多项联络,教育系统网络假如和Internet公网直接或间接互联,那么因为互联网本身广泛性、自由性等特点,像高校这么教育行业单位自然会被恶意入侵者列入其攻击目标前列。需要对数据库安全进行权限控制和加密方法 2、来自运维管理安全风险 伴随信息教育行业信息化建
13、设进程,因为设备和服务器众多,尤其是建设有数据中心,云平台和虚拟机众多,系统管理员压力太大等原因,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响教务工作运行效能,并对学校声誉造成重大影响。另外黑客恶意访问也有可能获取系统权限,闯进部门内部网络,造成不可估量损失。怎样提升系统运维管理水平,跟踪服务器上用户操作行为,预防黑客入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为高校关心问题。1.1.6 私有云建设,带来便利同时面临着新挑战高校现在数据量和应用规模越来越大,大部分高校建设或考虑建设自己私有云以满足未来越来越大数据规模。从风险管理角度讲,云风险起源于管理
14、资产、威胁、脆弱性和防护方法及其相关关系,保障云计算平台连续安全,和其所支撑业务安全。云计算平台是在传统IT技术基础上,增加了一个虚拟化层,而且含有了资源池化、按需分配,弹性调配,高可靠等特点。所以,传统安全威胁种类仍然存在,传统安全防护方案仍然能够发挥一定作用。综合考虑云计算所带来改变、风险,从保障系统整体安全出发,其面临关键挑战和需求以下: 法律和合规 动态、虚拟化网络边界安全 虚拟化安全 流量可视化 数据保密和防泄露 安全运维和管理针对云计算所面临安全威胁及来自各方面安全需求,需要对科学设计云计算平台安全防护架构,选择安全方法,并进行连续管理,满足云计算平台全生命周期安全。信息化问题处理
15、思绪2 信息化问题处理思绪2.1 信息化云-管-端整体布局图 2.11整体技术架构如上图所述,高校需要建设一个完整开放式私有云IT生态体系,实际上是包含了从开发生态、运行生态、应用服务生态到运行生态全生命周期建设过程,并最终以服务方法向最终用户进行业务展现。每个阶段建设思绪和模式全部对整体信息化建设起着至关关键影响。开发生态:经过组件化开发平台,形成应用和组件,应用和组件挂载到校园服务总线,可为校内应用服务池和业务应用管理服务平台调用。并将其经过资源库方法积累为行业资源库,为以后资源复用提供贮备。同时开发平台能够对外部第三方应用进行服务化封装,一样形成新应用或组件,挂载到校园服务总线。基于组件
16、化开发平台可视化开发过程,校内广大师生和社会人士也能够经过该工具完成简单应用服务开发,并经过公布工具公布到校内,增强信息化建设整体参与面广度和深度。运行生态:以校园服务总线、应用管理服务平台和包含主数据管理、身份认证管理、统一通讯、移动支撑平台等在内公共应用组件,为学校提供统一、高交互性、高开放性服务应用运行环境。其提供服务全部是经过校园服务总线进行统一公布服务,经过业务应用管理服务平台将其编排成符合学校需要业务逻辑,提供给用户使用。校园服务总线负责整个学校信息化建设各个平台间服务交互和信息传输,经过服务治理工具管理服务运行,经过基于校园服务总线服务集成工具完成服务集成和交互,经过服务标准管理
17、工具保障各服务间调用规范性。被服务调度总线封装,除了组件化开发平台提供给用和组件外,还包含校内很多基础应用组件,如主数据管理、统一身份认证、统一支付等,全部以服务方法在服务调度平台上进行挂载,并借由服务调度平台完成同其它平台集成。应用服务生态:改变原有行政化、管理化信息系统使用模式,以类互联网模式,形成校内应用超市,包含校内师生综合服务平台和校外服务应用池,有效接入,实现应用服务动态分配和按需使用。并对服务使用进行全方面监控和管理,对业务过程和服务质量做到有效评定。2.2 信息化云数据中心安全防护云计算平台安全保障技术体系不一样于传统系统,它也必需实现和提供资源弹性、按需分配、全程自动化能力,
18、不仅仅为云平台提供安全服务,还必需为租户提供安全服务,所以需要在传统安全技术架构基础上,实现安全资源抽象化、池化,提供弹性、按需和自动化布署能力。充足考虑云计算特点和优势,和最新安全防护技术发展情况,为了达成提供资源弹性、按需分配安全能力,云平台安全技术实现架构设计以下:说明: 安全资源池:能够由传统物理安全防护组件、虚拟化安全防护组件组成,提供基础安全防护能力; 安全平台:提供对基础安全防护组件注册、调度和安全策略管理。能够设置一个综合安全管理平台,或分立安全管理平台,如安全评定平台、异常流量检测平台等; 安全服务:提供给云平台租户使用多种安全服务,提供安全策略配置、状态监测、统计分析和报表
19、等功效,是租户管理其安全服务门户经过此技术实现架构,能够实现安全服务/能力按需分配和弹性调度。当然,在进行安全防护方法具体布署时,仍能够采取传统安全域划分方法,明确安全方法布署位置、安全策略和要求,做到有效安全管控。对于安全域划分方法详见第五章。对于具体安全控制方法来讲,通常含有硬件盒子和虚拟化软件两种形式,能够依据云平台实际情况进行布署方案选择。云平台安全防护方法能够和云平台体系架构有机集成在一起,对云平台及云租户提供按需安全能力。2.3 运行生态体系信息高可用性经过对高校信息化建设现实状况和问题分析和总结,未来高校信息化建设关键是以面向角色服务为导向建立整体数字化校园开放性生态体系。以优异
20、技术构架为依靠,发明一个高开放度信息化环境,愈加好应对学校内部业务改变和外部信息技术发展趋势带来冲击。构建这么一个生态体系,学校需要从技术架构、建设思绪、建设模式等多个方面进行转变。要做到能够同时满足技术发展需要、学校业务需求、供给商参与诉求,充足利用学校在信息化方面人力和物力投入,构建良性、可连续发展校园信息化生态。围绕行政部门建设信息化思绪和模式。基于开放信息化环境,将校内信息化建设结果和校外互联网应用全部以服务形态进行重新梳理、重新组合,并经过有效管理机制在校内统一应用平台上进行注册、公布,为校内师生提供综合性服务获取通道和高体验度应用服务,大大增加用户黏性和依靠度。基于高使用率综合服务
21、,校内师生不仅能够在综合服务平台上使用服务,还能够对校内服务进行评价和反馈,综合服务平台同时统计下各类用户操作轨迹、用户行为,辅以传统管理业务数据,为各级管理者提供全方面、有效数据分析服务,帮助各级管理者决议分析,优化业务模式。各类需要优化应用,需要有效运行机制保障,在校内建立长久有效化、连续化运行机制,确保校内应用和服务升级和迭代。在运行机制保障下,借助快速建模工具和快速开发平台,让信息中心、建设方和服务提供商全部能够基于完善运行机制参与其中,共同提升校内信息化水平。2.4 构建一套高可用性、安全性信息化系统体系 建设一套上网行为管理系统,有效预防互联网有害信息在高校散布和传输,加强对危害国
22、家安全、影响社会稳定、淫秽色情等有害信息预防、监控和管理力度,防范多种破环活动,配合公安部门立即发觉和打击多种网上违法犯罪行为。经过对网络进行有效控制和监管,规范用户正确上网行为,努力创建友好校园。 确保web应用安全最大化,预防网页内容被篡改,预防网站数据库内容泄露,预防口令被突破,预防系统管理员权限被窃取,预防网站被挂马和植入病毒、恶意代码、间谍软件等,预防用户输入信息泄露,预防账号失窃,防SQL注入,防XSS攻击等。 因为信息化系统脆弱性、技术复杂性、操作人为原因,在设计以预防、降低或消除潜在风险为目标安全架构时,引入运维管理和操作监控机制以预防、发觉错误或违规事件,对IT风险进行事前防
23、范、事中控制、事后监督和纠正组合管理是十分必需 立即进行信息化系统安全评定及安全扫描,从而发觉多种系统漏洞,而且依据既定相关策略,采取方法给予填补,消除已暴露问题和可能隐患,加固主机系统、网络设备和架构、WEB应用程序安全漏洞,提升信息系统健壮性,抵御外部多种安全风险和恶意攻击,实现信息系统长久安全、稳定运行最终目标。3 高校信息化需要建设内容3.1 信息化系统建设内容3.1.1 基础支撑平台新建设模式需要新技术体系支持,改良校内现有IT架构是此次项目计划和建设中很关键步骤。基础架构合理性和优异性和开放性决定了我校未来信息化建设成败。经过建立新基础支撑平台,实现对校内各类应用、服务有序接入和管
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 智慧 校园 安全 防护 解决 专业 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。