高校信息系统安全等级保护解决方案样本.doc
《高校信息系统安全等级保护解决方案样本.doc》由会员分享,可在线阅读,更多相关《高校信息系统安全等级保护解决方案样本.doc(94页珍藏版)》请在咨信网上搜索。
1、XXX大学等级保护项目技术方案4月目 录1项目概述11.1项目建设背景11.2项目建设目标11.3项目建设内容11.4项目建设范围11.5项目建设依据22信息系统现实状况和安全需求32.1信息化建设现实状况综述32.2技术体系结构现实状况32.2.1物理环境42.2.2主机层结构62.2.3网络层结构72.2.4应用层结构82.3管理体系结构现实状况132.3.1安全管理机构132.3.2安全管理制度132.3.3人员安全管理182.3.4系统运维管理192.4安全威胁和风险202.4.1技术层面威胁和风险202.4.2管理层面威胁和风险222.5等级保护安全需求232.5.1系统安全等级划分
2、232.5.2系统安全等级232.5.3等级保护基础安全要求232.5.4信息系统定级情况242.6安全需求分析252.6.1技术层面安全需求分析252.6.2管理层面安全需求分析283等级保护方案设计293.1安全方案设计思绪293.1.1构建分域控制体系303.1.2构建纵深防御体系303.1.3确保一致安全强度303.1.4实现集中安全管理303.2安全技术方案具体设计313.2.1确定保护强度313.2.2安全域划分和隔离313.2.3当地备份系统353.2.4网络链路冗余改造393.2.5PKI基础设施403.2.6安全审计管理423.2.7漏洞扫描系统453.2.8Web防火墙49
3、3.2.9安全管理平台设计513.2.10安全实施过程管理523.2.11服务交付物533.3安全管理方案具体设计533.4安全运维方案具体设计583.4.1XXX大学门户网站安全监控583.4.2应急响应服务613.4.3安全通告服务623.4.4网络及安全设备维护633.4.5系统安全维护653.4.6网络防护653.4.7系统加固663.5帮助测评693.5.1准备资料693.5.2现场帮助703.5.3服务交付物704系统集成实施714.1项目组织及人员安排714.2系统集成实施734.2.1安全计划和实施阶段734.2.2帮助测评阶段754.2.3项目验收764.2.4工作结果文档7
4、74.3项目实施质量确保784.3.1概述784.3.2项目实施人员质量职责784.3.3安全审计过程784.3.4内部反馈过程794.3.5质量改善过程794.3.6改善需求检测794.4风险规避方法804.4.1模拟环境804.4.2系统备份804.4.3系统恢复814.4.4时间选择814.4.5过程监控814.5项目验收824.5.1验收标准824.5.2验收步骤825技术支持、售后服务及培训方案835.1安全运维服务835.2技术支持和售后服务方案835.2.1试运行期技术支持和服务835.2.2质量确保期内技术支持和售后服务845.2.3质量确保期外技术支持和售后服务855.2.4
5、跟踪服务865.2.5工程师资质保障875.3培训方案875.3.1培训方法875.3.2培训内容875.3.3服务交付物885.3.4长久培训计划881 项目概述1.1 项目建设背景 伴随中国学校信息化建设逐步深入,学校教务工作对信息系统依靠程度越来越高;教育信息化建设中大量信息资源,成为学校成熟业务展示和应用平台,在未来教育信息化计划中占有很关键地位。从安全性上分析,高校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全原因越来越显著,信息化安全是业务应用发展需要关注关键和关键。为落实落实国家信息安全等级保护制度,规范和指导全国教育信息安全等级保护工作,国家教委教办厅函
6、80文件发出“相关开展信息系统安全等级保护工作通知”;教育部教育管理信息中心公布教育信息系统安全等级保护工作方案(征求意见稿);教育部办公厅印发相关开展教育系统信息安全等级保护工作专题检验通知(教办厅函80号)。1.2 项目建设目标此次项目建设目标:为落实落实国家、教育部信息安全工作布署,完善XXX大学信息系统安全技术防护方法、安全管理制度和安全运维体系,全方面建设完整信息安全防护体系,顺利经过信息系统等级测评,为XXX大学信息化健康快速发展保驾护航。1.3 项目建设内容天融信依据国家信息安全等级保护技术和管理要求,开展信息安全等级保护建设工作,工作关键内容包含:(1)方案设计;(2)系统集成
7、;(3)维护服务。1.4 项目建设范围本方案设计范围覆盖XXX大学信息系统。1.5 项目建设依据为确保整个项目标实施质量和圆满完成此次项目标项目目标,在整个等级保护整改建设项目标设计计划中将遵照以下标准: 计算机信息系统安全保护等级划分准则(GB17859-1999)(基础标准) 信息系统安全等级保护基础要求(GB/T 22239-)(基线标准) 信息系统安全保护等级定级指南(GB/T 22240-)(辅助标准) 信息系统安全等级保护实施指南 (辅助标准) 信息系统安全等级保护测评准则 (辅助标准) 电子政务信息系统安全等级保护实施指南(试行) 信息安全技术 信息系统通用安全技术要求(GB/T
8、20271-) 信息安全技术 网络基础安全技术要求(GB/T20270-) 信息安全技术 操作系统安全技术要求(GB/T20272-) 信息安全技术 数据库管理系统安全技术要求(GB/T20273-) 信息安全技术 终端计算机系统安全等级技术要求(GA/T671) 信息系统安全安全管理要求(GB/T20269) 信息系统安全工程管理要求(GB/T20282) 信息安全技术 服务器技术要求(GB/T21082) ISO/IEC TR 13335 ISO 17799: ISO 27001: NIST SP-800系列 ISO 0 CobiT2 信息系统现实状况和安全需求2.1 信息化建设现实状况综
9、述1. 伴随XXX大学信息化建设推进,信息化建设初具规模,服务器等主机设备基础到位,大型网络设备、高端路由设备、多个网络和系统管理软件、专业数据备份软件及网络数据安全设备和软件等大全部配置完成,运行保障基础技术手段基础含有; 2. XXX大学网络信息中心技术力量雄厚,在网络工程、数据库建设、系统设计、软件开发、信息安全等多项领域含有较强实力和丰富经验。负担信息中心网络系统管理和应用支持专业技术人员达20余人; 3. XXX大学伴随信息系统逐步建设,分别针对关键应用系统采取了防火墙、IPS/IDS、防病毒等常规安全防护手段,保障了关键业务系统在通常情况下正常运行,含有了基础安全防护能力; 4.
10、XXX大学日常运行管理比较规范,根据信息基础设施运行操作步骤和管理对象不一样,确定了网络系统运行保障管理角色和岗位,初步建立了问题处理应急响应机制。 2.2 技术体系结构现实状况XXX大学信息系统关键包含六大业务应用系统,网络、认证计费、校园卡、数字XX、网站、邮件系统。网络是XXX大学各大业务平台基础关键,是整个校园网基础,网络上承载着多个校园业务应用,包含认证计费、数字XX、网站、邮件等多个业务应用系统,这些业务应用系统全部运行在XXX大学基础网络环境上。XXX大学认证计费系统是针对学生上互联网一个接入认证计费管理方法,XXX大学对学生上网是按流量进行统计收费。认证计费系统共4台服务器,两
11、台认证服务器、一台自服服务器,一台流量统计服务器。学生机上网经过802.1X协议进行接入认证,上网流量经过互联网出口交换机端口镜象功效将上网数据发送到流量统计服务器,学生经过自服务服务器能够查看个人上网流量使用情况。计费采取流量计费方法,但每个月流量和实际费用不成百分比。校园卡属XXX大学专网,关键实现学生校园卡消费管理。校园卡和XXX大学网络有三个物理接口(包含数字XX、认证计费、东区食堂)。专网,和中国银行经过DDN方法互联,没有布署防火墙,数据传输使用加密机进行加密,终端取用IP/MAC绑定安全机制,网管采取昆特网管系统对交换机、服务器、终端进行监控管理。数字XX是XXX大学最关键业务应
12、用系统,系统中存放着关键教务工作数据、学生考试信息、财务数据等关键数据信息。数字XX有2个应用服务器,2个认证服务器,1个BI服务器,远程经过VPN、桥服务器管理,有IP访问控制机制,服务器是SUN主机,安装Solaris 10系统,2台Oralcle数据库服务器,2台Weblogic应用服务器,1台对外提供服务Apache服务器,应用系统采取数据库,应用,服务三层安全架构模式布署,服务器没有做安全加固,存在Web应用攻击威胁,测试服务器密码被篡改过。XXX大学网站系统为XXX大学校园互联网窗口,起到学校对外介绍宣传功效。现在,XXX大学网站系统共有6台服务器,服务器区域布署了IDS设备实时检
13、测网站安全动态,系统配置了主机防火墙,一周进行一次本机数据备份,现在密码强度基础符合安全要求,有安全应急预案,但不完善,没有进行过操作演练。XXX大学邮件系统关键为XXX大学老师和学生提供邮件收发服务,现在邮件系统用户0多,邮件系统前端布署了IPS进行安全防护,并经过梭子鱼垃圾邮件网关对垃圾邮件进行过滤,邮件数据最终存放到H3CIP SAN中,邮件服务器现在单机运行,没有做双机热备,邮件系统受到垃圾邮件,病毒邮件威胁,WEB邮件服务发生过服务中止,系统系统存在过邮件退信攻击和邮件丢失问题,可能因为邮件系统本身脆弱性造成。2.2.1 物理环境l 机房:在该楼三层,机房总面积约151m2,机房管理
14、没有采取统计进出人员时间、数量和原因等情况,配电间没铺设防静电地板,接入电源为380V/50HZ/200A,无双电互投,在线UPS 40KVA输出1组,冷备UPS 40KVA输出2组,4个APC电池柜,每组32块电池。机房铺设防静电地板,拥有2组HIROSS专用空调确保机房恒温、恒湿,空调无漏水监控报警,机房内配置防漏电保护、视频监控、烟感和利达海鑫柜式灭火、防静电导流排等必需防护方法。机架线序混乱,没有规范应急灯和温感监控。机房物理环境三层机房物理和环境安全地理位置XXX大学三层。电源电压380V/50HZ/200A,无双电互投,总接入电量为2x70平方中央空调HIROSS 空调2组,没有空
15、调漏水监控报警。外设空调UPSUPS在线40KVA输出1组,冷备10KVA输出2组,APC电池柜2组,每组32*12V*100Ah电池。地板600*600静电地板,防静电导流排。防电涌有防漏电保护,无防浪涌。机房温湿度空调显示温度:1组:21.3,2组:24.2。气喷于电源接入区、设备区应急灯无规范应急灯烟感烟感:XXX大学自己做一套,消防给做了一套。温感没有布署温感监控。视频监控有3个,分别布署在设备区和电源接入区。机架线序混乱、设备没有规范标签。灭火器二套利达海鑫柜式七氟丙烷气体灭火装置(GQQ150/25),有效喷射面积不明。机房面积配电间7*7=49m2,机房17*6=102 m2,物
16、理环境储藏间易燃易爆物品随意堆放,物品杂乱。l 机房:在该楼地下一层,机房总面积约472.72 m2,机房管理没有采取统计进出人员时间、数量和原因等情况,配电间没铺设防静电地板,接入电源380V, 双路市电供电保障,在线UPS 120KVA输出2组、带载2627KVA, 4组电池组,每组32块电池。机房铺设防静电地板,3组650A HIROSS专用空调确保机房恒温、恒湿,空调无漏水监控报警。机房内配置防漏电保护、15个气体喷淋口、烟感、视频监控、红外线报警器、二氧化碳灭火装置、防静电导流排等必需防护方法。机架线序混乱,没有规范应急灯和温感监控。机房物理环境机房物理和环境安全地理位置XXX大学地
17、下一层。电源电压380V,双市电接入,总接入电量为2x95平方。中央空调HIROSS空调3组,650A。外设空调UPSUPS在线120KVA输出2组,UPS带载2627KVA ,APC电池柜4组,每组32*12V*100Ah电池。地板600*600静电地板,有防静电导流排。防电涌有防漏电保护,无防浪涌。机房温湿度空调显示温度:1组:22,2组:23.7,3组:22.2。气喷15个喷淋头。应急灯非规范应急灯。烟感4个烟感。温感没有温感监控视频监控有4个布署在设备区。机架线序混乱、设备没有规范标签。灭火器二氧化碳灭火器,有效喷射面积不明。机房面积配电间13*10=130m2,机房20.4*16.8
18、=342.72 m2,物理环境清洁无杂物。2.2.2 主机层结构此次评定范围内六个业务应用系统包含41台服务器。数字XX系统使用1台SUN-fire 15K和1台SUN-fire 25K高端服务器作为数字XX关键服务器,每台服务器上划分了5个应用域,2个管理域,应用域和管理域全部安装Solaris 10操作系统,另外,数字XX还包含2台SUN 490服务器,1台桥服务器。 网站系统共有6台Web服务器,布署OS 有Advance AS EL 4.0、Windows 、Red hat 7.3,起到校园对社会公众文化宣传和介绍功效。邮件系统有2台服务器,布署OS 为Red Hat AS 3,邮件系
19、统关键为XXX大学师生提供互联网邮件服务。邮件系统现在有两万多用户,邮件用户包含XXX大学学生和教职职员。网络评定范围包含2台网管服务器,2台DNS服务器,1台防病毒服务器和1台补订服务器,这些服务器关键用作网络和安全管理。认证计费系统包含4台服务器,布署OS 为Windows server ,认证计费系统关键针对学生接入互联网进行认证和计费管理。校园卡系统评定范围包含5台服务器,其中两台是校园卡关键SUN 880服务器,另外3台为校园卡和数字XX、认证服务器、东区食堂互联接口服务器。2.2.3 网络层结构XXX大学网络结构较为复杂,网络设备较多,互联网出口有三条链路,一条1000M带宽接入中
20、国教育网,一条100M带宽接入网通,一条1000M带宽接入中国教育网IPv6网络,校园网出口关键设备由Cisco 6500系列高端设备组成,并形成冗余架构,保障了互联网接入可用性。XXX大学网络中布署了Macfee网络版防病毒系统、Allot带宽管理设备、网康上网行为管理系统、入侵防御系统及关键网络关键交换机上配置了防火墙模块,这些安全方法分别保护了不一样业务应用系统安全性,从一定程度上降低了受到网络攻击、病毒传输可能性,增强了网络、系统服务安全性和可用性。 XXX大学网络用户庞大,学生用户0多,整个网络根据教学楼楼层划分了VLAN,XXX大学对学生上互联网行为实施了802.1x认证计费,计费
21、方法根据学生上互联网网络流量进行统计计费,经过流量计费方法有效降低了XXX大学学生对互联网带宽长久站用。网络评定范围包含2台网管服务器,2台DNS服务器,1台防病毒服务器和1台补订服务器,这些服务器关键用作网络和安全管理。2.2.4 应用层结构此次评定范围包含六个应用系统,分别为网络、认证计费、校园卡、数字XX、网站、邮件系统。XXX大学信息系统承载了众多业务应用。此次信息安全风险评定对象为其中6个最为关键业务应用系统:网络、认证计费、校园卡、数字XX、网站、邮件系统。l XX网络XXX大学网络结构校为复杂,网络设备较多,互联网出口有三条链路,一条1000M带宽接入中国教育网,一条100M带宽
22、接入网通,一条1000M带宽以IPV6协议接入中国教育网。内部网络为星形架构,接入各个教学楼和院系,内部网络关键根据楼层划分了VLAN,同时网络上承载了XXX大学众多业务应用系统,关键包含认证计费、数字XX、网站、邮件等多个业务应用。l 认证计费业务XXX大学认证计费系统是针对学生上互联网一个接入认证、计费管理方法,XXX大学对学生上网是按流量进行统计收费。认证、计费系统共4台服务器,两台认证服务器、一台自服服务器,一台流量统计服务器。学生机上网经过802.1X协议进行接入认证,上网流量经过互联网出口交换机端口镜象功效将上网数据发送到流量统计服务器,流量统计服务器对数据进行流量统计和分析,学生
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 高校 信息系统安全 等级 保护 解决方案 样本
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。