xxxxx高校信息安全建设规划方案.doc

_xxxx大学信息安全建设设计方案xxxx股份有限公司2018年6月版本变更记录时间版本说明修改人2017-5-30V1.1文档修改2018-6-6V1.2文档修改文档说明本文档作为xxxx大学信息安全设计方案的输出文档；本文件的读者范围为我公司参与项目建设的人员以及xxxx大学信息安全建设的相关人员。版权声明本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属我公司所有，受到有关产权及版权法保护。任何个人、机构未经双方书面授权许可，不得以任何方式复制或引用本文件的任何片断。目录第 1 章方案概述71.1建设背景71.1.1法律要求81.1.2政策要求101.1.3行业要求101.2建设目标及内容111.2.1建设目标111.2.2建设内容12第 2 章现状、挑战、风险12.1现状概述12.1.1信息系统现状12.1.2高校网络安全现状22.2未来的挑战52.2.1“互联网+教育”52.2.2“人工智能+教育”52.2.3大数据平台52.3现状、差距、风险分析62.3.1现状与差距分析62.3.2差距与风险分析29第 3 章方案设计323.1设计思路323.2一个出发点323.3两大标准333.4三种融合333.5四个体系353.6信息安全建设规划拓扑图36第 4 章方案建设434.1建设原则434.2技术安全体系建设434.2.1安全区域边界设计434.2.2安全计算环境设计444.2.3安全通信网络设计464.2.4安全管理中心设计464.2.5安全区域划分474.2.6新增安全措施484.2.7优化安全措施494.3应用安全建设504.3.1应用安全设计504.3.2业务系统应用安全504.4安全管理体系建设504.4.1安全管理机构概述504.4.2安全管理制度规划614.4.3安全管理制度梳理服务624.5应急预案体系建设664.5.1编制目的664.5.2编制依据674.5.3适用范围674.5.4工作原则674.5.5组织与体系674.5.6预防预警684.5.7应急响应694.5.8后期处置704.5.9保障措施714.5.10监督管理72第 5 章方案价值74第 6 章类似成功案例75第 7 章安全产品/服务部署说明767.1网络整改及安全产品部署767.1.1校园网整改及安全域划分767.1.2服务器、终端及应用系统安全加固767.2安全服务777.2.1安全意识教育787.2.2网络安全服务列表887.2.3网络安全服务简介897.3一期安全产品/安全服务977.3.1堡垒主机系统977.3.2日志审计系统997.3.3数据库审计系统1027.3.4主机安全加固软件1047.3.5准入控制系统1077.3.6WEB资产安全治理平台1117.4二期安全产品/安全服务1197.4.1云WAF1197.4.1IT综合运维管理系统1217.4.1RFID机房资产管理系统1277.5三期安全产品/安全服务1297.5.1ZDNS部署1297.5.2安全运维管理平台（soc+态势感知）1337.6四期安全产品/安全服务1367.6.1APT高级威胁分析平台1367.6.1数据容灾备份系统1387.7五期安全产品/安全服务1397.7.1GRC网络安全管理管理平台1397.7.2安全值146第 8 章方案预算149附件信息系统建议定级151图表目录图表 1 学校IT资产表2图表 2 物理安全现状差距表6图表 3 网络安全现状差距分析表10图表 4 主机安全现状差距分析表15图表 5 应用安全现状差距分析表20图表 6 数据安全现状差距分析表24图表 7 安全管理现状差距分析表26图表 8 安全技术差距与风险分析29图表 9 管理体系差距与风险30图表 10 网络安全综合治理行动差距与风险分析表30图表 11 信息安全建设和规划总体示意图36图表 12 信息安全建设和规划-一期示意图38图表 13 信息安全建设和规划-二期示意图39图表 14 信息安全建设和规划-三期示意图40图表 15 信息安全建设和规划-四期示意图41图表 16 信息安全建设和规划-五期示意图42图表 17 xxxx大学信息安全组织架构示意图56图表 18 xxxx大学安全管理制度规划示意图62图表 19 方案价值表74图表 20 成功案列表75图表 21 安全服务列表78图表 22 方案预算表138第 1 章 方案概述1.1 建设背景随着我国学校信息化建设的逐步深入，学校教务工作、招生工作、学籍管理工作、科研管理工作、学生校内的学习和生活等对信息系统依赖的程度越来越高；教育信息化建设中大量的信息资源，成为学校成熟的业务展示和应用平台，在未来的教育信息化规划中占有非常重要的地位。从安全性上分析，高校业务应用和网络系统日益复杂，外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著，信息化安全是业务应用发展需要关注的核心和重点。为贯彻落实国家信息安全等级保护制度和网络安全法，规范和指导全国教育信息化建设工作，国家发布了一系列关于教育行业信息化工作的通知，并且随着我国网络安全法的正式实行，保障信息系统安全已经成为学校应承担的法律义务。2014年9月，四川省公安厅、四川省教育厅关于进一步加强学校网络和信息安全保护工作的通知。2014年10月，教育部办公厅印发教育行业信息系统安全等级保护定级工作指南（试行）的通知。2015年7月，教育部办公厅印发关于全面推进教育行业信息安全等级保护工作的通知。2017年2月，教育部办公厅印发2017年教育信息化工作要点的通知。2017年3月，教育部办公厅印发教育行业网络安全综合治理行动方案的通知。2017年6月，中华人民共和国网络安全法正式实行。1.1.1 法律要求在今年颁发的中华人民共和国网络安全法中明确规定了法律层面的网络安全。具体如下：“没有网络安全，就没有国家安全”，网络安全法第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外，网络安全法中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定：网络日志留存：第二十一条还规定，网络运营者应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施，留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上述网络安全保护义务的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。漏洞处置：第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。没有网络安全事件应急预案的，没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。容灾备份：第三十四条第三项规定，关键信息基础设施单位对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。应急演练：第三十四条第四项规定，关键信息基础设施单位应当制定网络安全事件应急预案，并定期进行演练。没有网络安全事件预案的，或者没有定期演练的，会被依照此条进行责令改正。安全检测评估：第三十八条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检测评估的单位要被责令改正。1.1.2 政策要求教育部正在实施的教育行业网络安全综合治理行动方案；目标是提升安全水平，增强防护能力，有效防范风险，保障运行和数据安全。原则是：问题导向、突出重点、完善机制，狠抓落实。实施范围是各级教育行政部门及其直属单位高等学校。方案主要有四大项主要任务，“治乱”、“堵漏”、“补短”、“规范”。每一项工作任务对应不同的工作重点，总共10项具体如下：1. 统一标识2. 信息发布管理3. 网站域名清理4. 安全监测预警5. 检测风险6. 网络安全等保7. 测评和整改8. 数据安全9. 关键信息基础设施10. 应急响应1.1.3 行业要求2016年11月教育部网络安全和信息化领导小组的成立，国家层面对教育行业信息化安全的重视程度日益增加。教育部对教育行业网络信息安全的工作要求如下：提高思想认识，加强组织领导l 认真学习贯彻中华人民共和国网络安全法l 将工作纳入重要议事日程予以部署l 明确主管领导、牵头部门和责任人l 提供必要的工作保障加强协调配合，形成工作合力l 与网络安全智能部门沟通配合l 探索与专业机构、企业建立合作机制加强监督检查，完善通报机制l 教育信息化月报通报进展情况l 纳入校园及周边治安综合治理工作考核评价l 纳入学校安全生产大检查、开学检查等开展宣传教育、提升安全意识l 面向网络安全管理人员和技术人员开展专题培训l 利用新生入学教育、网络安全宣传周等契机l 提高师生网络安全意识和素养1.2 建设目标及内容1.2.1 建设目标本次项目建设目标：贯彻国家、教育部信息安全工作部署，落实教育行业网络安全综合治理行动方案，让xxxx大学校园一期建设后的相关信息系统达到信息系统安全等级保护基本要求第三级的要求，并完成等保备案。根据学校实际情况、发展趋势、行业背景，对学校制定信息安全建设规划，规划期限为5年。全面建设完整的信息安全防护体系，前瞻性的建设学校信息化技术支撑体系。最终使xxxx大学具有完善的信息安全组织体系、信息安全管理体系、信息安全运行体系、信息安全技术体系；具体有以下几点：l 落实教育行业网络安全综合治理行动方案，对学校现有信息系统做到“治乱”、“堵漏”、“补短”、“规范”。l 建设符合国家等级保护制度要求、符合ISO27000信息安全管理认证体系要求和满足网络安全法对学校信息系统要求的高校网络安全防护体系。l 建设能够监控学校IT资产、管理学校IT资产、保护学校IT资产的安全运维管理体系。l “网络空间的竞争，归根到底是人才的竞争”，网络安全也是如此，谁拥有网络安全人才，谁就能掌握网络安全的主动权。通过规划建设安全实训人才培养平台，通过平台模拟攻防实训，能让我校技术管理老师和学员掌握安全防御技术，辅助我校网络安全人才培养工作。l 建设学校大数据平台和异地数据灾备系统。1.2.2 建设内容建设范围包括xxxx大学骨干网络、基础设施和信息系统等。建设任务表如下：时期安全建设重点达到效果时间一期满足法律、政策、行业对本单位的要求完善边界防御、终端安全防护、数据安全、安全隐患梳理整治、WEB资产治理、安全审计体系建立等。包括定级备案测评、整改、重要主机安全加固防护、安全管理体系等。1.达到法规要求中的合法（网络安全法）、合规（等级保护）；2.完成政策要求中的“治乱”“堵漏”“补短”“规范”提升整体安全防护能力；3.梳理全网安全隐患进行整治，杜绝安全短板，提升整体网络的安全防护能力；4.通过各类审计、运维设备，规范运维流程操作、提升对整体网络的管控程度及事后追责、溯源能力。2018年开始，建设周期为3 个月二期智能运维体系建设（IT运维与机房运维）实现网络设备、业务、应用、服务智慧运维、智能管理。实现对机房硬件资产3D可视化、全生命周期管理。1.IT运维：作业自动调度、控制处理；运维管理工单流程化；网络拓扑、设备、流量、服务器、应用实时监控；资产生命周期管理、深度日志分析等。2.机房运维：资产精确定位，一键查找；空间规划，科学布局；实时跟踪及自动预警；机柜微环境监控展现；机房3D可视化交互，让管理更加直观、生动。2019年开始建设周期为3 个月三期安全统一管理、安全/威胁可视化、网络核心服务自动化运维建立全面的风险管理体系并对未知威胁态势感知。网络核心服务自动化运维和优化。1.将整体网络中的各类事件分析审计预警、风险与态势的度量与评估安全运维流程标准化、例行化和常态化，基于大数据技术、机器学习和模式识别并兼顾安全信息统一管理的功能（SOC和SIEM等）最终实现业务信息系统的持续安全运营和未知威胁态势感知；2.通过网络核心服务自动运维系统将 DNSDHCPIPAM三者有序集成，提高效率，增强一致性，避免人工错误；同时网络核心服务自动运维系统自带安全属性，能解决流量聚集、流量调度、业务负载、业务健康检查等功能。2020年开始建设周期为3 个月四期异地容灾体系与APT攻击防御构建完善的灾备体系与APT攻击防护体系。1.重要数据的灾后恢复能力提升。2.完善了整体的安全防护体系，能应对主流的APT攻击。2021年开始建设周期为3 个月五期网络安全工作流程化、安全意识培养通过GRC网络安全管理指导平台将日常的网络安全工作规范化、流程化、制度化。1.信息安全综合管理平台能够帮助高校实现信息安全领域工作数据集中监管，实现对下属分支信息安全管理工作的部署、监督、检查和指导，通过对过程数据及工作流程的汇总可以落实职责，完善策略和方针以达到IT治理的目标。2021年-2022年建设周期为3 个月精品资料_第 2 章 现状、挑战、风险2.1 现状概述2.1.1 信息系统现状 现状概述xxxx大学信息化建设已初具规模，主机设备基本到位，在服务器上安装了卡巴斯基防病毒软件，网络设备配备齐全，安全设备部署有机框式安全网关（内置FW/IPS/IDS/WAF板卡）、上网行为审计系统、流控审计系统、防病毒网关系统等，同时具有网络运维管理软件、备份服务器等网络运行安全保障技术手段。但是安全技术体系并不完善：1、主机和网络层面还欠缺安全审计、非法内/外联检查系统；2、数据库缺少审计与防护措施。3、未定期对重要服务器进行渗透测试和安全加固等；安全管理方面：1、安全管理制度不完善、2、缺乏有效的安全运维机制和辅助运维的平台、3、缺乏监测与应急响应机制。.1 学校IT资产统计注：*代表本次调研未确定因素。编号资产类资产名品牌数量备注1网络设备核心交换机*网络架构清晰，完整。汇聚交换机*接入交换机*无线AP*2安全设备(软件/硬件)网络防火墙已有杀毒软件已有（服务器与重要终端）入侵防御系统/防病毒已有WEB应用防火墙已有上网行为管理已有漏扫系统无反垃圾邮件网关无信息终端*5重要信息系统教务系统、财务系统、一卡通系统、学校网站等*图表 1 学校IT资产表.2 网络主机现状xxxx大学的全部业务部署于70多台服务器上，服务器系统为Windows Server，linux。数据库系统为SQL、MSQL、ORACL。主要运行OA、一卡通、财务、教务、WEB网站等系统。xxxx大学办公终端大约有_台左右，注册用户数上万。使用的操作系统主要为win7、win8、win10。2.1.2 高校网络安全现状随着教育信息化的大力发展，校园网络作为信息传播的新媒体，为学校的教学和科研提供了方便、快捷的信息检索，科技查询服务和国内外信息交流服务，已经成为全校师生必不可少的教学与科研的工具，实现了办公自动化，实现了高等教育信息化，成为广大师生获取信息和交流思想的重要渠道。高校校园网，不仅是高校教育信息化的重要基础设施，同时也是学校可持续发展的重要保证。但在积极发展办公自动化，实现资源共享的同时，也出现了诸多问题，其中最主要的是网络安全问题，病毒恶意软件，间谍软件，邮件炸弹以及黑客攻击等各种安全威胁事件，成指数级增长，使人们更加深刻的认识到了网络安全的重要。因此，校园网安全问题已经成为当前校园网络建设中，不可忽视的首要问题。高校校园网络存在的安全风险（一）高校网络安全不被重视目前高校网络信息化建设尤其是安全现状令人担忧。国家对教育行业的网络安全资金非常有限，再到高校的投入，比例更是少的可怜，微量投入不足以支撑起如此庞大的需求和面临的安全态势，加之高校自身对网络安全的重视程度不够：一方面，学校认为没有必要做更高级别安全防护的必要性，认为没有什么可“偷”的；另一方面，从整个网络安全行业来讲，做的更多是事后的“亡羊补牢”，就是修补漏洞，并不能够完全做到预防。学校拥有了硬件设备和相关的网络防护工具之后，并没有将这些设备的作用完全发挥出来，普遍缺乏成熟安全体系和相应专业人员，因此导致教育行业安全观滞后于互联网行业发展。（二）高校网站存在大量安全隐患由来已久：一、高校网站建设和管理不统一，高校内部网站数量多，建设单位杂，安全管理困难；二、网站日常维护缺失，高校网站重建设、重功能，日常安全维护较差，各类安全漏洞长期得不到修复；三、对网站安全不重视，由于高校网站的公益性，被入侵和篡改网页造成的损失不太明显，网站安全往往得不到重视，弱口令、信息泄露随处可见；四、服务器普遍存在漏洞，维护团队安全技术能力普遍不足，甚至有的维护团队就是由学生担任，在提供学生学习平台的同时并不能兼顾网络安全。除此之外，高校的网络应用系统和管理系统，大多是由不同的服务商独立建设，在网络安全保防方面都处于相对独立，服务商的水平直接决定了网络全安的水平。（三）学生网络安全知识匮乏网络发展至今天上网就像看电视一样简单，用户群的能力和水平良莠不齐，对安全观念技术一无所知的人，比比皆是。这种状况直接构成高校网络安全的隐患，有些校园网络用户对防病毒不是很在意，根本就没装防病毒软件，或者装后一年甚至几年后都没有再升级。往往在机器中毒后才慌慌张张的找对策。现在很多学生都有这样的想法，只是浏览不下载病毒及黑客程序就无从下手了，IE浏览器尚存在安全漏洞，可以让黑客们在其网页上撰写一些简单的java程序，只要上网者点击该链接，就可能让黑客从你的硬盘中窃取重要的文档，因此就算只是开启网页，都可能遭受黑客的入侵。不少校园网用户，对账户或是邮件密码的设定不重视，总是使用自己的生日和常见的吉祥数字，或者就直接将密码和账号设定成同一个。黑客要入侵计算机，若是遇到有密码保护的主机，通常通过软件用穷举法破解密码，若密码设置过于简单，破译不费吹灰之力，设定密码就没有意义。（四）学生抵御诱惑能力差大学生正处于心理发育和思想成型阶段。抵御诱惑能力较差。随着大脑的大量普及和计算机网络技术快速发展，广大学生遨游网络空间，寻求精神刺激、满足自己的好奇心和表现欲。不少学生对于如何攻破防火墙、解开他人电脑密码、更改网站信息、最新的黑客工具和技术等存在很大的兴趣。他们在进行这种危险的尝试时并没有意识到这样是一种违规违法的行为，只是单纯的满足自己的某种欲望或心存侥幸心理。这同样成为校园网重要的未知不安全因素。2.2 未来的挑战2.2.1 “互联网+教育”随着国家教育改革的推进，“互联网+教育”逐步替代“传统教育”，教育方式由“一所学校、一位老师、一间教室”将会变成“一张网、一个移动终端，几百万学生，学校任你挑、老师由你选”； “微课堂”、“手机课堂”的学习方式占比将会更多。教育与互联网的结合，方便了学生的学习，提高了教学质量。但也带来了新的挑战，新模式下如何保护学生的个人信息，如何保障系统的正常运行、如何保障“互联网+教育”的安全成为我们需要考虑的问题。2.2.2 “人工智能+教育”目前，人工智能技术在教育上的应用主要体现在图像识别和语音识别两个方面。这两个技术虽然得到了应用，但尚处于初级阶段。不过随着人工智能技术的发展，“人工智能”在高校的应用将会更多，更成熟。未来 “人工智能”将分担学校的部分工作，保障“人工智能”的安全成为我们需要考虑的问题。2.2.3 大数据平台教育大数据已经上升到国家战略层面，引起社会各界的广泛关注和高度重视。建设高校大数据平台将助推教育的全方位变革与创新发展。平台具有三大用途:1)培养大数据人才、2）深化高校管理促进高校改革发展、3）提高高校科研水平和绩效平台。2.3 现状、差距、风险分析2.3.1 现状与差距分析 物理安全现状与差距分析xxxx大学机房以于前期按照相关标准建设完成，存在的安全隐患不多，但仍需完善相关物理安全措施。详细内容请参考下面表格：图表 2 物理安全现状差距表序号要求指标项是否符合现状分析备注1物理位置的选择（G3）本项要求包括：a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；符合b)机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。符合处于三楼2物理访问控制（G3）本项要求包括：a)机房出入口应安排专人值守，控制、鉴别和记录进入的人员；符合来访人员应经过申请和审批流程，并限制和监控其活动范围b)需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；符合来访人员应经过申请和审批流程，并限制和监控其活动范围c)应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；不符合在重要区域前做好标记，设置物理隔离装置。d) 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。符合在重要区域配置电子门禁系统，鉴别和记录进入人员身份。3防盗窃和防破坏（G3）本项要求包括：a)应将主要设备放置在机房内；符合b)应将设备或主要部件进行固定，并设置明显的不易除去的标记；符合对所有设备进行明确标识。c)应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；符合做好线缆标签。d)应对介质分类标识，存储在介质库或档案室中；符合实现介质库环境满足磁介质和纸介质的存放要求e)应利用光、电等技术设置机房防盗报警系统；符合应利用光、电等技术设置机房防盗报警系统；f)应对机房设置监控报警系统。符合4防雷击（G3）本项要求包括：a)机房建筑应设置避雷装置；符合安装避雷装置b)应设置防雷保安器，防止感应雷；符合安装防雷保安器c)机房应设置交流电源地线。符合5防火（G3）本项要求包括：a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；符合自动灭火器，防火材料b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；符合c)机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。不符合在重要区域前做好标记，设置物理隔离装置6防水和防潮（G3）本项要求包括：a)水管安装，不得穿过机房屋顶和活动地板下；符合b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；符合c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；基本符合d)应安装对水敏感的检测仪表或组件，对机房进行防水检测和报警。基本符合建议在机房内安装对水敏感的检测仪表或元件，实现防水检测和报警。7防静电（G3）本项要求包括：a)主要设备应采用必要的接地防静电措施；符合主要设备接地b)机房应采用防静电地板。符合静电地板8温湿度控制（G3）本项要求包括：机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。符合精密空调9电力供应（A3）本项要求包括：a)应在机房供电线路上配置稳压器和过电压防护设备；符合b)应提供短期的备用电力供应，至少满足主要设备在断电情况 下的正常运行要求；基本符合配置有UPS,供电1小时（有柴油发电机）设置 UPS电池供电，并至少保证断电时主要设备在满负荷情况下4小时的正常运行。c)应设置冗余或并行的电力电缆线路为计算机系统供电；符合冗余线路d)应建立备用供电系统。符合备用柴油发电机10电磁防护（S3）本项要求包括：a)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；符合实现强弱电缆的隔离敷设，对重要的网络设备进行外壳安全接地。b)电源线和通信线缆应隔离铺设，避免互相干扰；符合c)应对关键设备和磁介质实施电磁屏蔽。符合实现关键设备的电池屏蔽功能。 网络安全现状与差距分析xxxx大学网络安全已有相关的防护手段，基本满足3级等保要求，所欠缺的部分为审计部分。详见下表：图表 3 网络安全现状差距分析表序号要求指标项是否符合差距分析备注1结构安全（G3）本项要求包括：a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；符合要求满足b)应保证网络各个部分的带宽满足业务高峰期需要；符合要求部署有流控审计系统c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；符合要求需在业务终端与服务器之间的（路由器、交换机、防火墙）上建立ACL（访问控制列表）。d)应绘制与当前运行情况相符的网络拓扑结构图；基本符合要求有绘制与当前运行情况相符的网络拓扑结构图。我们会在工程结束后重新绘制网络拓扑图。e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；符合要求满足f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；符合要求部署有边界防护、访问控制等安全设备，后期建议进行业务流程梳理；优化策略。g)应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。符合要求应设置合理带宽分配策略。按照业务服务的重要次序进行带宽保护。2访问控制（G3）本项要求包括：a)应在网络边界部署访问控制设备，启用访问控制功能；符合要求满足b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；符合要求在应用防火墙上实现了访问控制粒度的端口级 c)应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；基本符合要求满足防火墙附带的url库应能实现应用层的控制。需及时更新协议库。d)应在会话处于非活跃一定时间或会话结束后终止网络连接；符合要求满足e)应限制网络最大流量数及网络连接数；符合要求部署流控设备对网络最大流量及网络连接数进行限制。f)重要网段应采取技术手段防止地址欺骗；基本符合要求未部署访问控制设备的区域无法采用包过滤或传输控制协议，进行边界访问控制，防止地址欺骗，应对网络中的广播、组播进行必要的控制。实现重要网段地址进行有效保护防止地址欺骗。g)应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；符合要求需对访问进行策略控制。h)应限制具有拨号访问权限的用户数量。符合要求3安全审计（G3）本项要求包括：a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；符合要求部署有网络运维管理软件、流控、上网行为管理设备b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；符合要求部署有网络运维管理软件、流控、上网行为管理设备c)应能够根据记录数据进行分析，并生成审计报表；符合要求部署有网络运维管理软件、流控、上网行为管理设备d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。基本符合要求部署有网络运维管理软件、流控、上网行为管理设备安全审计日志记录要求保存至少半年以上。4边界完整性检查（S3）本项要求包括：a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，；不符合要求不能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断。部署准入控制系统，对接入局域网的终端进行有效管理,b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。不符合要求采用准入控制系统，杜绝私自外联5入侵防范（G3）本项要求包括：a)应在网络边界处监视以下攻击行为：端口扫描、强力攻击、 木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；符合要求部署有入侵防御（应保持特征库及时更新）b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警符合要求部署有入侵防御（应保持特征库及时更新）6恶意代码防范（G3）本项要求包括：a)应在网络边界处对恶意代码进行检测和清除；符合要求部署有防病毒网关（应保持特征、规则库及时更新）b)应维护恶意代码库的升级和检测系统的更新。符合要求7网络设备防护（G3）本项要求包括：a)应对登录网络设备的用户进行身份鉴别；不符合要求可通过指定专人维护网络设备，并通过用户名和密码 进行身份鉴别b)应对网络设备的管理员登录地址进行限制；不符合要求增添堡垒机设备，这样可以有效对远程用户进行管理。c)网络设备用户的标识应唯一；符合要求对设备进行唯一的标示。d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；不符合要求主要网络设备未对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；增设堡垒机和双因素认证设备e)身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；符合要求用户口令应12位以上高强度密码，数字和字母组成，至少3 个月更换一次。f)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；基本符合要求当一次登录密码错误次数超过 6 次， 应能自动关闭并告警。g)当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；基本符合要求建议通过https、ssh等加密措施进行远程管理。h)应实现设备特权用户的权限分离。不符合要求部署堡垒机控制用户权限 主机安全现状与差距分析图表 4 主机安全现状差距分析表序号要求指标项是否符合差距分析备注1身份鉴别（S3）本项要求包括：a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；符合要求通过账号密码限制操作系统和数据库系统的用户登陆，进行身份标识和鉴别；b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；基本符合要求建议完善密码策略安全设置，启用密码定期更换时间。c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；基本符合要求建议启用登录失败处理功能。d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；符合要求采用IPSec VPN对传输加密的方法来保证远程管理安全可靠。e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。不符合要求建议按照最小使用原则设置管理员账号f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。不符合要求增设堡垒机2访问控制（S3）本项要求包括：a)应启用访问控制功能，依据安全策略控制用户对资源的访问；符合要求通过安全设备按需求设置访问控制策略b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；不符合要求部署堡垒机，将网络管理员、系统管理员和安全审计员分离，通过技术手段控制授予所需要的最小权限。c)应实现操作系统和数据库系统特权用户的权限分离；符合要求满足d)应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；基本符合要求统一对账号名进行修改，杜绝使用administration等默认用户名。e)应及时删除多余的、过期的帐户，避免共享帐户的存在。基本符合要求建议按照最小分配原则进行账户设定。f)应对重要信息资源设置敏感标记；不符合要求未对重要服务器部署服务器加固系统，采取安全加固措施，并设置敏感标记。对重要服务器部署服务器加固系统，采取安全加固措施，并设置敏感标记g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；基本符合要求满足通过安全设备按需求设置严格的访问控制策略3安全审计（G3）本项要求包括：a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；不符合要求未部署数据库审计系统和堡垒机，无法对服务器和重要客户端上的每个操作系统用户和数据库用户进行审计。部署数据库审计/堡垒机系统b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；不符合要求未部署数据库审计系统，无法对重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件进行审计。部署堡垒机/日志审计系统/数据库审计系统c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；不符合要求未部署安全审计系统，无法进行审计。部署堡垒机/日志审计系统/数据库审计系统d)应能够根据记录数据进行分析，并生成审计报表；不符合要求未部署日志审计系统/数据库审计系统，无法对异常行为实时告警。部署日志审计系统/数据库审计系统e)应保护审计进程，避免受到未预期的中断；不符合要求未部署日志审计系统/数据库审计系统部署日志审计系统/数据库审计系统f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。不符合要求未部署日志审计系统/数据库审计系统。（审计记录至少应保存半年。）部署日志审计系统/数据库审计系统4剩余信息保护（S3）本项要求包括：a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；符合要求满足b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除。基本符合要求在终端Windows操作系统启用“关机前清除虚拟内存页面”功能项。5入侵防范（G3）本项要求包括：a)应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；不符合要求不满足服务器终端部署主机安全加固系统b)应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；不符合要求未定期使用完整性检查工具或脚本对服务器的重要程序和文件进行检查。定期使用完整性检查工具或脚本对服务器的重要程序和文件进行检查。c)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。符合要求通过补丁服务器保持系统补丁及时得到更新。通过安全加固软件结合人工的方式对服务器进行优化6恶意代码防范（G3）本项要求包括：a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；符合要求应保持防恶意代码软件的及时更新b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；基本符合要求防恶意代码的产品应选用不同厂商的产品，此类产品有防恶意代码软件或防病毒软件。c)应支持防恶意代码的统一管理。符合要求部署的防恶意代码应具有统一管理的功能。7资源控制（A3）本项要求包括：a)应通过设定终端接入方式、网络地址范围等条件限制终端登录；基本符合要求通过防火墙对终端接入进行管理；采用防火墙访问控制策略及主机加固软件对终端登接入进行限制。b)应根据安全策略设置登录终端的操作超时锁定；基本符合要求应在主机上设置超时锁定功能c)应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；基本符合要求不满足可通过网络运维管理软件、主机加固系统对重要服务器进行监视并对服务器的运行状况异常实时告警。d)应限制单个用户对系统资源的最大或最小使用限度；基本符合要求应对单个用户对系统资源的最大或最小使用限度进行限制；e)应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。基本符合要求可通过网络运维管理系统/主机安全加固软件对重要服务器进行监视并对服务器的运行状况异常实时告警。 应用安全现状与差距分析xxxx大学应用系统主要是教务系统、一卡通、财务系统等，具体应用没有问题，但没有相应的安全审计系统，所以无法对系统中安全事件进行审计。详见下表：图表 5 应用安全现状差距分析表序号要求指标项是否符合差距分析备注1身份鉴别（S3）本项要求包括：a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别；不符合要求未采用技术手段，提供专用的登录控制模块对登录用户的身份进行标识和鉴别。增设堡垒机，通过堡垒机用户登陆进行身份识别和鉴别。b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；不符合要求未采用两种以上组合的鉴别技术。采用堡垒机和双因素设备。c)应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；符合要求满足d)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；符合要求满足e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。符合要求满足2访问控制（S3）本项要求包括：a)应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；符合要求满足b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；符合要求满足c)应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；符合要求满足d)应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。基本符合要求大部分设备只有管理员账号，网络、系统和安全管理员没有分别设置，并由一个人同时兼任。对每个系统管理员根据其所承担的任务，设置其工作权限，网络、系统和安全管理员应分别设置，不能由一个人同时兼任。e)应具有对重要信息资源设置敏感标记的功能；基本符合要求对重要服务器部署服务器加固系统，采取安全加固措施，并设置敏感标记。f)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；基本符合要求服务器加固系统有实现文件强制访问控制、注册表强制访问控制、进程强制访问控制、程序授权控