高校网络与信息安全保障体系的思考PPT课件

高校网络与信息安全保障体系的思考 电子科技大学信息中心2015 11 26 提纲 政策解读等保定级备案安全检查我校的信息安全建设工作 政策解读 教育部文件 政策解读 定级依据定级思路定级工作流程 信息系统分类表 政策及要求 政策及要求 政策解读 所有高校信息系统都是二级以上I类院校的重点系统定为三级 科研管理 科研情报招生录取管理门户网站 论坛 社区类网站校园一卡通 根据定级工作指南 政策解读 列表里的信息系统都要备案 二级域名的网站怎么算 二级系统一定要做测评 备案测评要多少钱 等保工作有没有时间节点要求 几点疑问 等保定级备案 步骤 定级 备案 整改 测评 监督检查定级方式 自主定级 自行聘请专家进行评审 主管部门审核批准定级依据 教育行业信息系统安全等级保护定级工作指南 试行 备案方式 二级以上系统到市级以上公安机关办理备案手续 三级以上信息系统同时报教育部备案 等保定级备案 备案提交材料 信息系统安全等级保护定级报告 和 信息系统安全等级保护备案表 下载链接 等保定级备案 电子科技大学2015年6月25日完成3个二级系统的备案 电子科技大学中文门户网站电子科技大学本科招生网电子科技大学研究生招生网 等保定级备案 电子科技大学备案情况 3个二级系统 电子科技大学中文门户网站电子科技大学本科招生网电子科技大学研究生招生网 等保定级备案 1 时间节点的要求 教技厅函 2015 68号 部属高校应于2016年6月30日前完成公安机关定级备案部属高校应于2016年12月31日前完成测评整改科技司将结合年度网络安全检查 对各部属单位信息系统安全等级保护工作情况进行现场抽查 等保定级备案 2 测评经费的需求二级系统每两年一次测评三级系统每年至少一次测评区域指导价 经济越发达地区 价格越贵 没有上级专项经费支持测评之后 还要花钱整改 安全检查 2015 5 27省公安厅网安总队到电子科技大学进行安全检查 检查内容依据川公发 2014 75号 针对四个方向 互联网站重要信息系统学校公共上网服务场所内部联网系统 安全检查 2014年9月22日川公发 2014 75号四川省公安教育联合发文 关于进一步加强学校网络和信息安全保护工作的通知 互联网站重要信息系统学校公共上网服务场所内部联网系统 1 定级备案 2 安全审计日志 3 制度建设 4 安全防护措施建设 安全检查 互联网站一级网站 主页门户 双备案 工信部ICP备案和公安厅等保备案审计日志留存情况 访问日志 网站是否有交互式论坛 留言板等内容审查安全防护 网页防篡改系统iGuard Web应用入侵审计系统iAudit 网站应用防火墙iWall Fail2ban防火墙 1 定级备案 2 安全审计日志 3 制度建设 4 安全防护措施建设 安全检查 互联网站二级网站 校内登记二级域名305个 其中有效域名约240个部门 院系 实验室等网站 向信息中心申请二级域名 部门 院系自行开发 管理 维护网站及服务器其中部分网站基于信息中心的虚拟主机平台或托管在信息中心机房 部分职能部门网站基于信息中心的网站群平台开发由信息中心提供技术支持和统一维护 1 定级备案 2 安全审计日志 3 制度建设 4 安全防护措施建设 安全检查 互联网站二级网站安全防护2013年Web应用防火墙 安恒明御WAF 上线 保障清水河校区托管服务机房的Web应用 30个网站 防病毒 主要采用第三方免费软件防入侵 无统一措施防攻击破坏 双机热备或数据备份等机制重灾区网站群 1 定级备案 2 安全审计日志 3 制度建设 4 安全防护措施建设 安全检查 2014年9月22日川公发 2014 75号四川省公安教育联合发文 关于进一步加强学校网络和信息安全保护工作的通知 互联网站重要信息系统学校公共上网服务场所内部联网系统 1 定级备案 2 安全审计日志 3 制度建设 4 安全防护措施建设 安全检查 重要信息系统是否定级是否备案 公安厅等保备案审计日志留存情况 访问日志 系统用户是否实名制认证 1 定级备案 2 安全审计日志 3 制度建设 4 安全防护措施建设 安全检查 重要信息系统校内重要信息系统由相关主管部门负责建设开发和运行维护 服务器放置于信息中心机房统一管理 财务系统除外 信息门户 一卡通 本科教务系统 学工系统 人事系统的数据库由信息中心统一管理 采用RAC双机集群 dataguard容灾部署 每周全量备份 每天增量备份到存储阵列和磁带库 政策及要求 1 实名认证 2 安全审计设备 3 日志记录 尤其是源端口号 安全检查 1 定级备案 2 安全审计日志 3 制度建设 4 安全防护措施建设 安全检查 内部联网系统和 重要信息系统的要求一致备案 公安厅等保备案审计日志留存情况 访问日志 系统用户是否实名制认证 1 定级备案 2 安全审计日志 3 制度建设 4 安全防护措施建设 我校的信息安全建设工作 制度建设安全防护措施建设十三五规划 制度建设 1 网络安全组织管理主管领导校长 副校长管理机构网络信息安全领导小组信息中心网络安全员专职or兼职 制度建设 2 规章制度管理网络信息服务管理办法所有网络信息服务必须进行审批和备案安全责任人为所在单位第一责任人违反规定后的处分 制度建设 安全目标责任书网络与信息安全保密协议安全联络员新建域名申请流程信息系统和网站上线流程 制度建设 2 规章制度管理应急流程与应急预案安全事件响应如何保证30分钟内断网 3秒断网 如何线索查证 应急响应流程 制度建设 数据中心其他制度保障 数据中心网络安全管理手册 数据中心服务器安全管理手册 数据中心日常检查制度 机房设备管理维护制度 数据中心应急预案 数据中心值班制度 数据中心机房出入管理制度 托管服务器管理制度 数据库存储备份管理制度 小型机管理制度 安全防护措施建设 数据中心安全防护2010年防火墙 思科ASA5550 上线 透明旁路双机部署 保障核心应用服务安全 2010年VPN设备 思科ASA5520 上线 结合防火墙策略实现远程维护管理 2013年统一身份认证与各应用系统的安全登录SSL证书加密升级 2013年数据库审计设备 SecureGrid 和网站安全应用防火墙 安恒明御WAF 上线2014年万兆防火墙 JuniperSRX3600