1、xxxx 大学信息安全建设设计方案xxxx 大学信息安全建设设计方案xxxx 股份有限公司2018 年 6 月xxxx 大学信息安全建设设计方案版本变更记录时间 版本 说明 修改人2017-5-30 V1.1 文档修改2018-6-6 V1.2 文档修改文档说明本文档作为 xxxx 大学信息安全设计方案的输出文档;本文件的读者范围为我公司参与项目建设的人员以及 xxxx 大学信息安全建设的相关人员。版权声明本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属我公司所有,受到有关产权及版权法保护。任何个人、机构未经双方书面授权许可,不得以任何方式复制或引用
2、本文件的任何片断。xxxx 大学信息安全建设设计方案目录第 1 章 方案概述 .71.1 建设背景 .71.1.1 法律要求 81.1.2 政策要求 .101.1.3 行业要求 .101.2 建设目标及内容 111.2.1 建设目标 .111.2.2 建设内容 .12第 2 章 现状、挑战、风险 .12.1 现状概述 .12.1.1 信息系统现状 12.1.2 高校网络安全现状 22.2 未来的挑战 .52.2.1 “互联网+教育” .52.2.2 “人工智能+教育” .52.2.3 大数据平台 52.3 现状、差距、风险分析 .62.3.1 现状与差距分析 62.3.2 差距与风险分析 .2
3、9第 3 章 方案设计 323.1 设计思路 323.2 一个出发点 32xxxx 大学信息安全建设设计方案3.3 两大标准 333.4 三种融合 333.5 四个体系 353.6 信息安全建设规划拓扑图 36第 4 章 方案建设 434.1 建设原则 434.2 技术安全体系建设 434.2.1 安全区域边界设计 .434.2.2 安全计算环境设计 .444.2.3 安全通信网络设计 .464.2.4 安全管理中心设计 .464.2.5 安全区域划分 .474.2.6 新增安全措施 .484.2.7 优化安全措施 .494.3 应用安全建设 504.3.1 应用安全设计 .504.3.2 业
4、务系统应用安全 .504.4 安全管理体系建设 504.4.1 安全管理机构概述 .504.4.2 安全管理制度规划 .614.4.3 安全管理制度梳理服务 .624.5 应急预案体系建设 664.5.1 编制目的 .66xxxx 大学信息安全建设设计方案4.5.2 编制依据 .674.5.3 适用范围 .674.5.4 工作原则 .674.5.5 组织与体系 .674.5.6 预防预警 .684.5.7 应急响应 .694.5.8 后期处置 .704.5.9 保障措施 .714.5.10 监督管理 72第 5 章 方案价值 74第 6 章 类似成功案例 75第 7 章 安全产品/服务部署说明
5、 .767.1 网络整改及安全产品部署 767.1.1 校园网整改及安全域划分 .767.1.2 服务器、终端及应用系统安全加固 .767.2 安全服务 777.2.1 安全意识教育 .787.2.2 网络安全服务列表 .887.2.3 网络安全服务简介 .897.3 一期安全产品/安全服务 .977.3.1 堡垒主机系统 .977.3.2 日志审计系统 .997.3.3 数据库审计系统 102xxxx 大学信息安全建设设计方案7.3.4 主机安全加固软件 1047.3.5 准入控制系统 1077.3.6 WEB 资产安全治理平台 .1117.4 二期安全产品/安全服务 1197.4.1 云
6、WAF.1197.4.1 IT 综合运维管理系统 1217.4.1 RFID 机房资产管理系统 1277.5 三期安全产品/安全服务 1297.5.1 ZDNS 部署 1297.5.2 安全运维管理平台(soc+态势感知) 1337.6 四期安全产品/安全服务 1367.6.1 APT 高级威胁分析平台 .1367.6.1 数据容灾备份系统 1387.7 五期安全产品/安全服务 1397.7.1 GRC 网络安全管理管理平台 .1397.7.2 安全值 146第 8 章 方案预算 .149附件 信息系统建议定级 151xxxx 大学信息安全建设设计方案图表目录图表 1 学校 IT 资产表 2图
7、表 2 物理安全现状差距表 .6图表 3 网络安全现状差距分析表 10图表 4 主机安全现状差距分析表 15图表 5 应用安全现状差距分析表 20图表 6 数据安全现状差距分析表 24图表 7 安全管理现状差距分析表 26图表 8 安全技术差距与风险分析 29图表 9 管理体系差距与风险 30图表 10 网络安全综合治理行动差距与风险分析表 .30图表 11 信息安全建设和规划总体示意图 .36图表 12 信息安全建设和规划-一期示意图 38图表 13 信息安全建设和规划-二期示意图 39图表 14 信息安全建设和规划-三期示意图 40图表 15 信息安全建设和规划-四期示意图 41图表 16
8、 信息安全建设和规划-五期示意图 42图表 17 xxxx 大学信息安全组织架构示意图 .56图表 18 xxxx 大学安全管理制度规划示意图 .62图表 19 方案价值表 .74图表 20 成功案列表 .75图表 21 安全服务列表 .78图表 22 方案预算表 138xxxx 大学信息安全建设设计方案第 1 章 方案概述1.1 建设背景随着我国学校信息化建设的逐步深入,学校教务工作、招生工作、学籍管理工作、科研管理工作、学生校内的学习和生活等对信息系统依赖的程度越来越高;教育信息化建设中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。从安全性上
9、分析,高校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,信息化安全是业务应用发展需要关注的核心和重点。为贯彻落实国家信息安全等级保护制度和网络安全法,规范和指导全国教育信息化建设工作,国家发布了一系列关于教育行业信息化工作的通知,并且随着我国网络安全法的正式实行,保障信息系统安全已经成为学校应承担的法律义务。2014 年 9 月,四川省公安厅、四川省教育厅关于进一步加强学校网络和信息安全保护工作的通知。2014 年 10 月,教育部办公厅印发教育行业信息系统安全等级保护定级工作指南(试行)的通知。2015 年 7 月,教育部办公厅印发关于全面推进教育行业
10、信息安全等级保护工作的通知。2017 年 2 月,教育部办公厅印发2017 年教育信息化工作要点的通知。2017 年 3 月,教育部办公厅印发教育行业网络安全综合治理行动方案的通知。2017 年 6 月,中华人民共和国网络安全法正式实行。xxxx 大学信息安全建设设计方案1.1.1 法律要求在今年颁发的中华人民共和国网络安全法中明确规定了法律层面的网络安全。具体如下:“没有网络安全,就没有国家安全”,网络安全法第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求,开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外,网络安全法中还从网络运行安全、
11、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定:网络日志留存:第二十一条还规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上述网络安全保护义务的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。漏洞处置:第二十五条规定,网络运营者应当制定网络安全事件应
12、急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。没有网络安全事件应急预案的,没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。xxxx 大学信息安全建设设计方案容灾备份:第三十四条第三项规定,关键信息基础设施单位对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。应急演练:第三十四条第四
13、项规定,关键信息基础设施单位应当制定网络安全事件应急预案,并定期进行演练。没有网络安全事件预案的,或者没有定期演练的,会被依照此条进行责令改正。安全检测评估:第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检测评估的单位要被责令改正。1.1.2 政策要求教育部正在实施的教育行业网络安全综合治理行动方案;目标是提升安全水平,增强防护能力,有效防范风险,保障运行和数据安全。原则是:问题导向、突出重点、完善机制,狠抓落实。实施范围
14、是各级教育行政部门及其直属单位高等学校。方案主要有四大项主要任务,“治乱”、“堵漏”、“补短”、“规范”。每一项工作任务对应不同的工作重点,总共 10 项具体如下:1. 统一标识2. 信息发布管理3. 网站域名清理4. 安全监测预警5. 检测风险6. 网络安全等保7. 测评和整改xxxx 大学信息安全建设设计方案8. 数据安全9. 关键信息基础设施10. 应急响应1.1.3 行业要求2016 年 11 月教育部网络安全和信息化领导小组的成立,国家层面对教育行业信息化安全的重视程度日益增加。教育部对教育行业网络信息安全的工作要求如下:提高思想认识,加强组织领导 认真学习贯彻中华人民共和国网络安全
15、法 将工作纳入重要议事日程予以部署 明确主管领导、牵头部门和责任人 提供必要的工作保障加强协调配合,形成工作合力 与网络安全智能部门沟通配合 探索与专业机构、企业建立合作机制加强监督检查,完善通报机制 教育信息化月报通报进展情况 纳入校园及周边治安综合治理工作考核评价 纳入学校安全生产大检查、开学检查等开展宣传教育、提升安全意识 面向网络安全管理人员和技术人员开展专题培训 利用新生入学教育、网络安全宣传周等契机 提高师生网络安全意识和素养xxxx 大学信息安全建设设计方案1.2 建设目标及内容1.2.1 建设目标本次项目建设目标:贯彻国家、教育部信息安全工作部署,落实教育行业网络安全综合治理行
16、动方案,让 xxxx 大学校园一期建设后的相关信息系统达到信息系统安全等级保护基本要求第三级的要求,并完成等保备案。根据学校实际情况、发展趋势、行业背景,对学校制定信息安全建设规划,规划期限为 5 年。全面建设完整的信息安全防护体系,前瞻性的建设学校信息化技术支撑体系。最终使 xxxx 大学具有完善的信息安全组织体系、信息安全管理体系、信息安全运行体系、信息安全技术体系;具体有以下几点: 落实教育行业网络安全综合治理行动方案,对学校现有信息系统做到“治乱”、“堵漏”、“补短”、“规范”。 建设符合国家等级保护制度要求、符合 ISO27000 信息安全管理认证体系要求和满足网络安全法对学校信息系
17、统要求的高校网络安全防护体系。 建设能够监控学校 IT 资产、管理学校 IT 资产、保护学校 IT资产的安全运维管理体系。 “网络空间的竞争,归根到底是人才的竞争”,网络安全也是如此,谁拥有网络安全人才,谁就能掌握网络安全的主动权。通过规划建设安全实训人才培养平台,通过平台模拟攻防实训,能让我校技术管理老师和学员掌握安全防御技术,辅助我校网络安全人才培养工作。 建设学校大数据平台和异地数据灾备系统。xxxx 大学信息安全建设设计方案1.2.2 建设内容建设范围包括 xxxx 大学骨干网络、基础设施和信息系统等。建设任务表如下:时期 安全建设重点 达到效果 时间一期满足法律、政策、行业对本单位的
18、要求完善边界防御、终端安全防护、数据安全、安全隐患梳理整治、WEB资产治理、安全审计体系建立等。包括定级备案测评、整改、重要主机安全加固防护、安全管理体系等。1.达到法规要求中的合法(网络安全法)、合规(等级保护);2.完成政策要求中的“治乱”“堵漏”“补短”“规范”提升整体安全防护能力;3.梳理全网安全隐患进行整治,杜绝安全短板,提升整体网络的安全防护能力;4.通过各类审计、运维设备,规范运维流程操作、提升对整体网络的管控程度及事后追责、溯源能力。2018年开始,建设周期为 3 个月二期智能运维体系建设(IT 运维与机房运维)实现网络设备、业务、应用、服务智慧运维、智能管理。实现对机房硬件资
19、产 3D 可视化、全生命周期管理。1.IT 运维:作业自动调度、控制处理;运维管理工单流程化;网络拓扑、设备、流量、服务器、应用实时监控;资产生命周期管理、深度日志分析等。2.机房运维:资产精确定位,一键查找;空间规划,科学布局;实时跟踪及自动预警;机柜微环境监控展现;机房 3D 可视化交互,让管理更加直观、生动。2019年开始建设周期为3 个月三期安全统一管理、安全/威胁可视化、网络核心服务自动化运维建立全面的风险管理体系并对未知威胁态势感知。网络核心服务自动化运维和优化。1.将整体网络中的各类事件分析审计预警、风险与态势的度量与评估安全运维流程标准化、例行化和常态化,基于大数据技术、机器学
20、习和模式识别并兼顾安全信息统一管理的功能(SOC 和 SIEM等)最终实现业务信息系统的持续安全运营和未知威胁态势感知;2.通过网络核心服务自动运维系统将 2020年开始建设周期为3 个月xxxx 大学信息安全建设设计方案DNSDHCPIPAM 三者有序集成,提高效率,增强一致性,避免人工错误;同时网络核心服务自动运维系统自带安全属性,能解决流量聚集、流量调度、业务负载、业务健康检查等功能。四期异地容灾体系与 APT 攻击防御构建完善的灾备体系与 APT 攻击防护体系。1.重要数据的灾后恢复能力提升。2.完善了整体的安全防护体系,能应对主流的 APT 攻击。2021年开始建设周期为3 个月五期
21、网络安全工作流程化、安全意识培养通过 GRC 网络安全管理指导平台将日常的网络安全工作规范化、流程化、制度化。1.信息安全综合管理平台能够帮助高校实现信息安全领域工作数据集中监管,实现对下属分支信息安全管理工作的部署、监督、检查和指导,通过对过程数据及工作流程的汇总可以落实职责,完善策略和方针以达到 IT 治理的目标。2021年-2022年建设周期为 3 个月xxxx 大学信息安全建设设计方案1第 2 章 现状、挑战、风险2.1 现状概述2.1.1 信息系统现状2.1.1.1 现状概述xxxx 大学信息化建设已初具规模,主机设备基本到位,在服务器上安装了卡巴斯基防病毒软件,网络设备配备齐全,安
22、全设备部署有机框式安全网关(内置 FW/IPS/IDS/WAF 板卡)、上网行为审计系统、流控审计系统、防病毒网关系统等,同时具有网络运维管理软件、备份服务器等网络运行安全保障技术手段。但是安全技术体系并不完善:1、主机和网络层面还欠缺安全审计、非法内/外联检查系统;2、数据库缺少审计与防护措施。3、未定期对重要服务器进行渗透测试和安全加固等;安全管理方面:1、安全管理制度不完善、2、缺乏有效的安全运维机制和辅助运维的平台、3、缺乏监测与应急响应机制。2.1.1.1.1 学校 IT 资产统计注:*代表本次调研未确定因素。编号 资产类 资产名 品牌 数量 备注核心交换机 * *汇聚交换机 * *
23、接入交换机 * *1 网络设备无线 AP * *网络架构清晰,完整。网络防火墙 已有2 安全设备(软件/硬件) 杀毒软件 已有 (服务器与重要终端)xxxx 大学信息安全建设设计方案2入侵防御系统/防病毒已有WEB 应用防火墙 已有上网行为管理 已有漏扫系统 无反垃圾邮件网关 无信息终端 * *5 重要信息系统 教务系统、财务系统、一卡通系统、学校网站等* *图表 1 学校 IT 资产表2.1.1.1.2 网络主机现状xxxx 大学的全部业务部署于 70 多台服务器上,服务器系统为Windows Server,linux。数据库系统为 SQL、MSQL、ORACL。主要运行OA、一卡通、财务、
24、教务、WEB 网站等系统。xxxx 大学办公终端大约有_台左右,注册用户数上万。使用的操作系统主要为 win7、win8、win10。2.1.2 高校网络安全现状随着教育信息化的大力发展,校园网络作为信息传播的新媒体,为学校的教学和科研提供了方便、快捷的信息检索,科技查询服务和国内外信息交流服务,已经成为全校师生必不可少的教学与科研的工具,实现了办公自动化,实现了高等教育信息化,成为广大师生获取信息和交流思想的重要渠道。高校校园网,不仅是高校教育信息化的重要基础设施,同时也是学校可持续发展的重要保证。xxxx 大学信息安全建设设计方案3但在积极发展办公自动化,实现资源共享的同时,也出现了诸多问
25、题,其中最主要的是网络安全问题,病毒恶意软件,间谍软件,邮件炸弹以及黑客攻击等各种安全威胁事件,成指数级增长,使人们更加深刻的认识到了网络安全的重要。因此,校园网安全问题已经成为当前校园网络建设中,不可忽视的首要问题。高校校园网络存在的安全风险(一) 高校网络安全不被重视目前高校网络信息化建设尤其是安全现状令人担忧。国家对教育行业的网络安全资金非常有限,再到高校的投入,比例更是少的可怜,微量投入不足以支撑起如此庞大的需求和面临的安全态势,加之高校自身对网络安全的重视程度不够:一方面,学校认为没有必要做更高级别安全防护的必要性,认为没有什么可“偷”的;另一方面,从整个网络安全行业来讲,做的更多是
26、事后的“亡羊补牢”,就是修补漏洞,并不能够完全做到预防。学校拥有了硬件设备和相关的网络防护工具之后,并没有将这些设备的作用完全发挥出来,普遍缺乏成熟安全体系和相应专业人员,因此导致教育行业安全观滞后于互联网行业发展。(二) 高校网站存在大量安全隐患由来已久:一、高校网站建设和管理不统一,高校内部网站数量多,建设单位杂,安全管理困难;二、网站日常维护缺失,高校网站重建设、重功能,日常安全维护较差,各类安全漏洞长期得不到修复;三、对网站安全不重视,由于高校网站的公益性,被入侵和篡改网页造成的损失不太明显,网站安全往往得不到重视,弱口令、信息泄露随处可见;xxxx 大学信息安全建设设计方案4四、服务
27、器普遍存在漏洞,维护团队安全技术能力普遍不足,甚至有的维护团队就是由学生担任,在提供学生学习平台的同时并不能兼顾网络安全。除此之外,高校的网络应用系统和管理系统,大多是由不同的服务商独立建设,在网络安全保防方面都处于相对独立,服务商的水平直接决定了网络全安的水平。(三) 学生网络安全知识匮乏网络发展至今天上网就像看电视一样简单,用户群的能力和水平良莠不齐,对安全观念技术一无所知的人,比比皆是。这种状况直接构成高校网络安全的隐患,有些校园网络用户对防病毒不是很在意,根本就没装防病毒软件,或者装后一年甚至几年后都没有再升级。往往在机器中毒后才慌慌张张的找对策。现在很多学生都有这样的想法,只是浏览不
28、下载病毒及黑客程序就无从下手了,IE 浏览器尚存在安全漏洞,可以让黑客们在其网页上撰写一些简单的 java 程序,只要上网者点击该链接,就可能让黑客从你的硬盘中窃取重要的文档,因此就算只是开启网页,都可能遭受黑客的入侵。不少校园网用户,对账户或是邮件密码的设定不重视,总是使用自己的生日和常见的吉祥数字,或者就直接将密码和账号设定成同一个。黑客要入侵计算机,若是遇到有密码保护的主机,通常通过软件用穷举法破解密码,若密码设置过于简单,破译不费吹灰之力,设定密码就没有意义。(四) 学生抵御诱惑能力差大学生正处于心理发育和思想成型阶段。抵御诱惑能力较差。随着大脑的大量普及和计算机网络技术快速发展,广大
29、学生遨游网络空间,寻求精神刺激、满足自己的好奇心和表现欲。不少学生对于如何攻破防火墙、解开他人电脑密码、更改网站信息、最新的黑客工具和技术等存在很大的兴趣。他们在进行这种危险的尝试时并没有意识到xxxx 大学信息安全建设设计方案5这样是一种违规违法的行为,只是单纯的满足自己的某种欲望或心存侥幸心理。这同样成为校园网重要的未知不安全因素。2.2 未来的挑战2.2.1 “互联网+教育”随着国家教育改革的推进,“互联网+教育”逐步替代“传统教育”,教育方式由“一所学校、一位老师、一间教室”将会变成“一张网、一个移动终端,几百万学生,学校任你挑、老师由你选”; “微课堂”、“手机课堂”的学习方式占比将
30、会更多。教育与互联网的结合,方便了学生的学习,提高了教学质量。但也带来了新的挑战,新模式下如何保护学生的个人信息,如何保障系统的正常运行、如何保障“互联网+教育”的安全成为我们需要考虑的问题。2.2.2 “人工智能+教育”目前,人工智能技术在教育上的应用主要体现在图像识别和语音识别两个方面。这两个技术虽然得到了应用,但尚处于初级阶段。不过随着人工智能技术的发展,“人工智能”在高校的应用将会更多,更成熟。未来 “人工智能”将分担学校的部分工作,保障“人工智能”的安全成为我们需要考虑的问题。2.2.3 大数据平台教育大数据已经上升到国家战略层面,引起社会各界的广泛关注和高度重视。建设高校大数据平台
31、将助推教育的全方位变革与创新发展。平台具有三大用途:1)培养大数据人才、2)深化高校管理促进高校改革发展、3)提高高校科研水平和绩效平台。xxxx 大学信息安全建设设计方案62.3 现状、差距、风险分析2.3.1 现状与差距分析2.3.1.1 物理安全现状与差距分析xxxx 大学机房以于前期按照相关标准建设完成,存在的安全隐患不多,但仍需完善相关物理安全措施。详细内容请参考下面表格:图表 2 物理安全现状差距表序号 要求指标项是否符合 现状分析 备注物理位置的选择(G3)本项要求包括:a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;符合1b)机房场地应避免设在建筑物的高层或地下室
32、,以及用水设备的下层或隔壁。 符合 处于三楼物理访问控制(G3)本项要求包括:a)机房出入口应安排专人值守,控制、鉴别和记录进入的人员;符合来访人员应经过申请和审批流程,并限制和监控其活动范围b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; 符合来访人员应经过申请和审批流程,并限制和监控其活动范围c)应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;不符合在重要区域前做好标记,设置物理隔离装置。2d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。符合在重要区域配置电子门禁系统,鉴别和记录进入xxxx 大学信息安全建
33、设设计方案7序号 要求指标项是否符合 现状分析 备注人员身份。防盗窃和防破坏(G3)本项要求包括:a)应将主要设备放置在机房内; 符合b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;符合 对所有设备进行明确标识。c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;符合 做好线缆标签。d)应对介质分类标识,存储在介质库或档案室中; 符合实现介质库环境满足磁介质和纸介质的存放要求e)应利用光、电等技术设置机房防盗报警系统; 符合应利用光、电等技术设置机房防盗报警系统;3f)应对机房设置监控报警系统。 符合防雷击(G3)本项要求包括:a)机房建筑应设置避雷装置; 符合 安装避雷装置b)应
34、设置防雷保安器,防止感应雷; 符合 安装防雷保安器4c)机房应设置交流电源地线。 符合防火(G3)本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;符合 自动灭火器,防火材料5b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;符合xxxx 大学信息安全建设设计方案8序号 要求指标项是否符合 现状分析 备注c)机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。不符合在重要区域前做好标记,设置物理隔离装置防水和防潮(G3)本项要求包括:a)水管安装,不得穿过机房屋顶和活动地板下; 符合b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;符合c)
35、应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;基本符合6d)应安装对水敏感的检测仪表或组件,对机房进行防水检测和报警。基本符合建议在机房内安装对水敏感的检测仪表或元件,实现防水检测和报警。防静电(G3)本项要求包括:a)主要设备应采用必要的接地防静电措施; 符合 主要设备接地7b)机房应采用防静电地板。 符合 静电地板温湿度控制(G3)本项要求包括:8 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。符合 精密空调电力供应(A3)本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备;符合9b)应提供短期的备用电力供应,至少满足主要设备在断电情况
36、 下的正常运行基本符合 配置有 UPS,供电 1 小时(有柴油发电机)设置 UPS 电池供电,并至少保证断电时主要设备xxxx 大学信息安全建设设计方案9序号 要求指标项是否符合 现状分析 备注要求; 在满负荷情况下4 小时的正常运行。c)应设置冗余或并行的电力电缆线路为计算机系统供电;符合 冗余线路d)应建立备用供电系统。 符合 备用柴油发电机电磁防护(S3)本项要求包括:a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;符合实现强弱电缆的隔离敷设,对重要的网络设备进行外壳安全接地。b)电源线和通信线缆应隔离铺设,避免互相干扰; 符合10c)应对关键设备和磁介质实施电磁屏蔽。 符合实现关
37、键设备的电池屏蔽功能。xxxx 大学信息安全建设设计方案102.3.1.2 网络安全现状与差距分析xxxx 大学网络安全已有相关的防护手段,基本满足 3 级等保要求,所欠缺的部分为审计部分。详见下表:图表 3 网络安全现状差距分析表序号 要求指标项是否符合 差距分析 备注结构安全(G3)本项要求包括:a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; 符合要求 满足b)应保证网络各个部分的带宽满足业务高峰期需要; 符合要求 部署有流控审计系统c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;符合要求需在业务终端与服务器之间的(路由器、交换机、防火墙)上建立AC
38、L(访问控制列表)。d)应绘制与当前运行情况相符的网络拓扑结构图; 基本符合要求有绘制与当前运行情况相符的网络拓扑结构图。我们会在工程结束后重新绘制网络拓扑图。1e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;符合要求 满足xxxx 大学信息安全建设设计方案11序号 要求指标项是否符合 差距分析 备注f)应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;符合要求部署有边界防护、访问控制等安全设备,后期建议进行业务流程梳理;优化策略。g)应按照对业务服务的
39、重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。符合要求 应设置合理带宽分配策略。 按照业务服务的重要次序进行带宽保护。访问控制(G3)本项要求包括:a)应在网络边界部署访问控制设备,启用访问控制功能;符合要求 满足b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;符合要求在应用防火墙上实现了访问控制粒度的端口级 c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3 等协议命令级的控制;基本符合要求 满足防火墙附带的 url 库应能实现应用层的控制。需及时更新协议库。2d)应在会话处于非活跃
40、一定时间或会话结束后终止网络连接;符合要求 满足xxxx 大学信息安全建设设计方案12序号 要求指标项是否符合 差距分析 备注e)应限制网络最大流量数及网络连接数; 符合要求部署流控设备对网络最大流量及网络连接数进行限制。f)重要网段应采取技术手段防止地址欺骗; 基本符合要求未部署访问控制设备的区域无法采用包过滤或传输控制协议,进行边界访问控制,防止地址欺骗,应对网络中的广播、组播进行必要的控制。实现重要网段地址进行有效保护防止地址欺骗。g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;符合要求 需对访问进行策略控制。h)应限制具有拨号访问权限
41、的用户数量。 符合要求安全审计(G3)本项要求包括:a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 符合要求部署有网络运维管理软件、流控、上网行为管理设备b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;符合要求部署有网络运维管理软件、流控、上网行为管理设备c)应能够根据记录数据进行分析,并生成审计报表; 符合要求部署有网络运维管理软件、流控、上网行为管理设备3d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。基本符合要求部署有网络运维管理软件、流控、上网行为管理设备安全审计日志记录要求保存至少半年以上。边界完整性检
42、查(S3)4 本项要求包括:xxxx 大学信息安全建设设计方案13序号 要求指标项是否符合 差距分析 备注a)应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,;不符合要求不能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断。部署准入控制系统,对接入局域网的终端进行有效管理,b)应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。不符合要求 采用准入控制系统,杜绝私自外联入侵防范(G3)本项要求包括:a)应在网络边界处监视以下攻击行为:端口扫描、强力攻击、 木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和
43、网络蠕虫攻击等;符合要求部署有入侵防御(应保持特征库及时更新)5b)当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警符合要求部署有入侵防御(应保持特征库及时更新)恶意代码防范(G3)本项要求包括:a)应在网络边界处对恶意代码进行检测和清除; 符合要求部署有防病毒网关(应保持特征、规则库及时更新)6b)应维护恶意代码库的升级和检测系统的更新。 符合要求网络设备防护(G3)本项要求包括:a)应对登录网络设备的用户进行身份鉴别; 不符合要求可通过指定专人维护网络设备,并通过用户名和密码 进行身份鉴别b)应对网络设备的管理员登录地址进行限制; 不符合要
44、求增添堡垒机设备,这样可以有效对远程用户进行管理。7c)网络设备用户的标识应 符合要求 对设备进行唯一的标示。xxxx 大学信息安全建设设计方案14序号 要求指标项是否符合 差距分析 备注唯一;d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;不符合要求主要网络设备未对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;增设堡垒机和双因素认证设备e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 符合要求用户口令应 12 位以上高强度密码,数字和字母组成,至少 3 个月更换一次。f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网
45、络登录连接超时自动退出等措施;基本符合要求当一次登录密码错误次数超过 6 次, 应能自动关闭并告警。g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;基本符合要求建议通过 https、ssh等加密措施进行远程管理。h)应实现设备特权用户的权限分离。 不符合要求部署堡垒机控制用户权限xxxx 大学信息安全建设设计方案152.3.1.3 主机安全现状与差距分析图表 4 主机安全现状差距分析表序号 要求指标项是否符合差距分析 备注身份鉴别(S3)本项要求包括:a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;符合要求通过账号密码限制操作系统和数据库系统的用户登
46、陆,进行身份标识和鉴别;b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;基本符合要求建议完善密码策略安全设置,启用密码定期更换时间。c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;基本符合要求建议启用登录失败处理功能。d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;符合要求采用 IPSec VPN 对传输加密的方法来保证远程管理安全可靠。e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。不符合要求建议按照最小使用原则设置管理员账号1f)应采用两种或两种以上组
47、合的鉴别技术对管理用户进行身份鉴别。不符合要求增设堡垒机访问控制(S3)本项要求包括:a)应启用访问控制功能,依据安全策略控制用户对资源的访问;符合要求通过安全设备按需求设置访问控制策略2b)应根据管理用户的角色分配权限,实现管不符合要求部署堡垒机,将网络管理员、系统管理xxxx 大学信息安全建设设计方案16序号 要求指标项是否符合差距分析 备注理用户的权限分离,仅授予管理用户所需的最小权限;员和安全审计员分离,通过技术手段控制授予所需要的最小权限。c)应实现操作系统和数据库系统特权用户的权限分离;符合要求 满足d)应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;基本
48、符合要求统一对账号名进行修改,杜绝使用administration 等默认用户名。e)应及时删除多余的、过期的帐户,避免共享帐户的存在。基本符合要求建议按照最小分配原则进行账户设定。f)应对重要信息资源设置敏感标记;不符合要求未对重要服务器部署服务器加固系统,采取安全加固措施,并设置敏感标记。对重要服务器部署服务器加固系统,采取安全加固措施,并设置敏感标记g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作;基本符合要求满足通过安全设备按需求设置严格的访问控制策略安全审计(G3)本项要求包括:a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;不符合要求未部署数据库审计系统和堡垒机,无法对服务器和重要客户端上的每个操作系统用户和数据库用户进行审计。部署数据库审计/堡垒机系统b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;不符合要求未部署数据库审计系统,无法对重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件进行审计。部署堡垒机/日志审计系统/数据库审计系统3c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结不符合要求未部署安全审计系统,无法进行审计。部署堡垒机/日志审计系统/数据库审计系统
