XXX青年职业学院安全规划方案

XXX青年职业学院安全规划方案■文档编号DOCPROPERTY文档编号请输入文档编号■密级DOCPROPERTY密级请输入文档密级■版本编号Ver1.3■日期©DATE\@"yyyy"2014绿盟科技 -请输入文档密级前言高校信息化现状高校信息化主要以数字化校园建设为主，主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等；大学数字化校园建设通常先提出总体解决方案，确定数字化校园的体系结构，制定数字化校园的信息标准，以及各系统之间的接口标准，然后分阶段实施。△校园信息管理系统建设建设一整套校园信息管理系统，为实现“网上办公、网上管理、网上教学、网上服务”提供全面的系统支持。△数据中心建设建设一个为全校服务的数据中心，保证数据实时更新和高度一致。△建立统一信息门户建立一个信息的集成平台，将分散、异构的应用和信息资源进行聚合，通过统一的访问入口，实现结构化数据资源、非结构化文档和互联网资源、各种应用系统跨数据库、跨系统平台的无缝接入和集成。△校园一卡通建设校园一卡通建设，必须满足数字化校园的整体规划设计，一卡通的设计要架构在校园网上，不仅具备消费功能，而且还要具备身份识别和校务管理功能。正确处理好一卡通与其他已有的信息系统（如图书管理系统、人事、财务、教务等管理系统）的对接和系统数据共享问题是“数据集中”和“应用集成”的重要关键。△网络安全体系建设建立全校的网络安全体系，保证校园网络的安全，保证关键数据、关键应用的安全以及关键业务部门的安全，实现校园网络及其应用系统的安全高效运行。建设数字图书馆、校园无线网、构建远程教育平台、教育资源建设等也是数字化校园建设的重要内容。高校信息安全事件当前高校网络系统是一个庞大复杂的系统，在支撑高校业务运营、发展的同时，信息系统面临的信息安全威胁也在不断增长、被发现的脆弱性或弱点越来越多、信息安全风险日益突出，成为高校面临的重要的、急需解决的问题之一。高校在进行数字化校园建设的过程中，曾发生不少信息安全事件，摘要简述如下：Case1：服务器被入侵绿盟科技福建办事处教育事件应急响应，今年3月份，福建某高校网络出口瘫痪，经过绿盟科技应急工程师现场检查，分析原因为高校数据中心一台服务器被黑客入侵，成为肉鸡，被植入僵尸木马程序，受黑客控制疯狂往外网发包，导致学校网络出口瘫痪；绿盟科技应急工程师清除了服务器上相关木马程序，并对服务器进行加固，学校网络恢复正常；Case2：高校网站被入侵篡改西安某中专，学校网站系统被篡改，工程师现场排除故障，分析原因为前期被入侵，植入了很多的WEBSHELL；绿盟应急工程师清除网站上相关恶意软件，系统恢复正常；Case3：高校数据库被窃取石家庄某高校在最近高招中，发现网站被挂马、篡改，并且学校内部也曾经发现教务部学生成绩的数据库，有被恶意篡改的痕迹；Case4：高考网站安全高峰期2011年高考期间，全国110多家高校网站被黑客入侵（不乏北京、上海等重点高校），在大力进行高校网站业务建设的同时，各高校在门户网站面临的安全隐患也在增加。青年职业学院安全威胁分析目前青年职业学院新校区正在建设中，安全建设基本处于一片空白，急需对网络安全进行一次全面的规划，以便在后续的安全建设中有序、有效地建立起完善的安全体系。目前现状：新校区网络中暂未部署任何安全防护设备。但在校区的互联网出口处，由运营商提供了上网行为管理设备，可对校园网用户的上网行为起到监测和管理作用。外部安全威胁外部恶意入侵者一般是网络黑客，以炫耀技术、恶意破坏、篡改数据等为目的，常规的安全防护优先考虑的是针对此类攻击的安全防护。一般外部恶意入侵主要对服务器群进行攻击，见图入侵1；如果服务器群做了基础防护，黑客考虑对内网用户进行攻击作跳板，最终对服务器群再次攻击，见入侵2、入侵3跳板攻击行为。服务器区安全威胁随着校园网信息化的逐步深入，业务系统众多，“一卡通”、教学信息管理系统、电子图书馆、教育资源库等信息化业务系统均普遍的被各大高校采用，而这些系统服务器由于管理及防护不到位，普遍存在许多安全漏洞，给黑客入侵创造了很大的机会：服务器系统本身存在漏洞校园网数据中心内的系统应用众多、服务器众多，管理及维护方式也不尽相同，无法做到所有的系统实施统一的漏洞管理政策（比如补丁及时升级、安装防病毒软件）。网站开发代码缺陷门户网站作为向外开放的接口，是黑客最优先考虑的攻击入侵手段，现在高校网站包括高校门户网站、高校招生网站、二级各院系等网站，由于高考、招生、学生就业等敏感时期，聚集了大量的学生及家长访问流量，也引起黑客的关注。网站开发过程中往往忽略了代码的安全性，这也是导致近年来高校网站被不断入侵的根本原因，黑客通过SQL注入、跨站脚本等攻击方式，可以轻松的拿到高校网站的管理权限，进而篡改网页代码；部分攻击者将高校网站替换成黄色网站，影响极其恶劣。黑客侵入网站服务器为跳板入侵者成功获取WEB服务器的控制权限后，可以该服务器为跳板，对内网其他服务器进行探测扫描，发起攻击，对内网核心数据造成影响；教师办公区安全威胁外部恶意入侵者对老师办公区的入侵并不难，主要途径包括木马之植入和漏洞利用，让教师访问特定的挂马网站或者安装恶意插件均是植入木马的常用手段，漏洞利用则是由于教师电脑未及时更新补丁导致的。教师办公区的入侵目的只有两个：获取教师重要数据，如教师个人隐私、学生信息、成绩等。作为跳板，木马的其中一个功能是能记录登录学校相关应用系统的账号密码，直接导致学校应用系统账号泄漏，相关的应用系统信息也面临被破坏、篡改等威胁。学生宿舍区安全威胁外部恶意入侵者对学生宿舍区的入侵与对教师办公区的入侵手段和目的均相同。内部安全威胁内部恶意入侵的主体是学生。目前互联网上黑客论坛、黑客工具较多，学生群体很容易接触到黑客攻防知识，加上学生好奇心重，缺少必要的社会责任和法律法规，容易利用一些黑客工具发起网络攻击。学校网络缺少必要的监控手段，当犯罪发生时难以定位攻击者。尤其是青年职业学院还有网络相关的专业，学生本着学习试验、炫耀技术实力或者恶意破坏等目的均有可能对内网系统进行入侵，典型的就是多家高校发生的入侵篡改考试成绩的案例。短期安全建设规划方案安全部署方案部署说明WEB应用防火墙（WAF）WAF作为专注于保护Web应用和Web服务的安全产品，采用事前预防、事中防护、事后补偿的整体解决方案。事前，WAF能发现网站漏洞，提醒管理者修补；事中，WAF能提供基于规则的静态防护，以及基于应用交互逻辑的动态防护；事后，WAF能检测出网页篡改，提醒管理者修复，并遮盖被篡改页面。WAF一般串联部署在WEB网站服务器前端，直接对WEB应用服务器进行专门防护。入侵防护系统（IPS）IPS作为一款在线的安全防护设备，能实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量，保护各高校信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。IPS建议串联部署在互联网出口处，防护外部攻击者对内部网络的入侵，同时防护学生宿舍区对服务器区的入侵行为，即学生对服务器和教师办公区的访问数据必须经过IPS。部署效益表产品介绍产品详细介绍见附录A。长远安全体系规划方案病毒传播、黑客的攻击并不是一个静态的过程，也就要求网络安全防护系统是动态的、整体的，要真正实现一个系统的安全，就需要建立一个从保护、检测、响应到恢复的一套全方位的安全保障体系。高校的信息安全保障方案需要从体系化的角度，全面、整体、长期地满足高校安全保障的要求；由于人员、资金、资源等方面的限制，安全建设总是要求将有限的资源用在“刀刃”上，区分高校的业务系统进行重点防护是必要的；体系化建设结合重点保护的策略，是高校信息安全建设的最优选择。信息安全体系化建设体系化建设通常需要从信息安全组织体系、管理体系、技术体系三个方面着手建立统一的安全保障体系，力保网络信息安全；组织体系着眼于人员组织架构，像岗位设置、职责授权、人员任用、绩效考核等；管理体系侧重在制度的梳理，制定高校安全计划并持续改进，制定运行、维护、监控制度，明确审计的内容和程序等；技术体系分成准备、预防、检测、保护、响应、监控、评价七个阶段，根据用户需求采用相应的安全防护技术。体系化建设亦须遵循PDCA原则，即是计划(Plan)、实施(Do)、检查(Check)、调整(Adjustment)，并不断改善。体系化建设建议重点考虑遵循等保、分域管理、应急响应。体系化之遵循等保1994年国务院发布《中华人民共和国计算机信息系统安全保护条例》（国务院147号令），规定“计算机信息系统实行安全等级保护”的制度框架。1999年国家发布实施的《计算机信息系统安全保护等级划分准则》GB17859-1999，这是第一部强制性国家信息安全标准，也是一个技术法规。2009年11月，教育部为进一步加强教育系统信息安全工作，由办公厅印发《关于开展信息系统安全等级保护工作的通知》（教办厅函[2009]80号），决定在教育系统全面开展信息安全等级保护工作；等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更重要的是，等级保护是围绕信息安全保障全过程的一项基础性的管理制度，是一项基础性和制度性的工作。通过将等级化方法和高校信息安全体系建设有效结合，设计一套符合高校需求的信息安全保障体系，是适合我国国情、系统化地解决高校信息安全问题的一个非常有效的方法。体系化之分域管理安全域服务的根本目的是为了更好的保障高校业务信息系统的安全，保障高校业务的稳健运行，保障高校信息系统业务使命的顺利达成。因此安全域的设计必须以信息系统提供的业务服务为中心，以业务安全需求为根本出发点，以抵御威胁、减少漏洞、控制信息安全风险及符合相关标准规范为根本立足点。另外，安全域的设计大多是基于现有信息系统进行的，必然要结合现有系统的实际情况，同时又要考虑对信息系统的安全建设的指导作用。因此，安全域的设计应从信息系统普遍的实际情况出发创建信息系统模型、规范和优化信息系统结构，以及便于安全防护策略的设计、实现和部署。建议高校安全域划分如下：技术支撑域：可以包括网络中心、数据中心、电教中心、图书馆等；负责高校信息化规划和建设，对高校信息基础设施进行管理，提供信息交流与服务。学生域：可以包括本招办、研招办、留学生办、学生处、研究生工作部、就业中心、物业中心（住宿）、各院系；主要针对学生从招生、入学、在校培养、毕业的全程管理。教学域：包括研究生院、教务处、注册中心、各院系；开展教学活动及教学管理。科研域：包括科研院、各院系；对全校科研项目管理，包括科研合同管理、科研成果管理、科研机构管理、科研交流与协作。财务资产域：包括财务处、结算中心、会计核算中心、审计室、实验室与设备处、房产处、各院系；负责学校所有的经费业务，全校国有资产管理，实验室及其设备管理、房产管理等。校务职能域：涉及学校的人力资源、后勤保障、社会服务及发展决策等职能部门，有条件的学校可以进行细分。安全域的划分可以通过物理方式，即同一个安全域中的计算机接在同一个网络交换机上，也可以通过逻辑方式，即利用VLAN技术，同一个安全域中的计算机划分在同一个VLAN上。安全域之间的边界保护，可以通过使用三层交换机的访问控制列表(ACL)来实现，对保密要求高的安全域，与其它安全域之间的边界保护，应使用防火墙（SG）或入侵保护（NIPS）设备进行访问控制，以提高这些安全域的安全性。对于不同等级的安全域间通信，禁止高密级信息由高等级安全域流向低等级安全域。不同的安全域应分析其使用人员、业务类型、流量走向、服务对象等，对于保密要求比较高的安全域，也可以考虑在系统终端上安装内网安全管理系统（EPS），对终端的补丁、病毒库同步进行统一管理，监控终端主机的违规外联、违规开启服务端口，控制终端外设端口的使用等，开启主机防火墙、主机入侵保护、防ARP欺骗以强化终端主机安全保护，保障安全域内网络安全。体系化之应急响应针对各种可能突发的信息安全事件，建议高校制订对应的应急响应预案，预案对响应的流程进行梳理，具有可操作性，并明确专人负责，预案对安全事件进行分类分级别，不同级别事件启动相应的流程，对应不同的组织人员响应，通过该方案使损失减到最小。校园安全需要重点防护高校信息业务系统众多，为了将有限的资源用在“刀刃”上，需要对重点的业务系统进行防护。重点防护之高校门户网站高校门户网站已从一个简单的信息发布、展示平台，逐步转变为汇集了招生就业、远程教育、成果共享、招标采购等多功能的综合性业务平台。高校网站已积聚了教育信息化建设中大量的信息资源，成为高校成熟的校务展示和应用平台。作为高校对外展示窗口的门户网站，所面向的用户群越来越广泛，所承载的功能越来越全面，不单是面向校内，同时面向社会也提供了诸多服务功能。对高校的门户网站安全保护是必需的：（1）定制绿盟网站安全监测服务（NSFOCUSWSS）；网站的风险漏洞是站点被攻击的根源，基于云安全平台的绿盟网站安全监测服务（NSFOCUSWSS），可以周期性地进行网站应用层远程漏洞扫描，在事前提供网站安全预警，及时发现高校门户网站中是否存在安全漏洞，并提供相应的修补建议；借助“远程网页挂马监测服务”，可高效、准确识别网站页面中的恶意代码，使网站管理员能够第一时间得知自己网站的安全状态，避免由于网站被挂马给学生、家长、社会访问者带来的安全威胁；另外网页敏感内容监测服务、网页篡改监测服务、网站访问平稳度检测服务、网站域名解析监测服务等可以在高校门户网站运维期间提供有效的监控手段，帮助高校网站管理者及时高效地发现网站存在的问题。（2）在高校门户网站前部署一套绿盟WEB应用防护系统（NSFOCUSWAF）；高校网站系统往往包含门户、各院系的网站，因此WEB服务器较多，某一个院系的网站被入侵后，极易造成整个网站系统被渗透（跳转攻击方式）；绿盟科技WAF防护系统作为专门针对网站防护的工具，可以对来自Web应用程序客户端的各类请求进行内容检测和验证，提供细粒度应用层DDoS攻击防护功能，确保访问流量的安全性与合法性；对非法的请求予以实时阻断，有效防止HTTP及HTTPS应用下各类安全威胁，如SQL注入、XSS、跨站伪造（CSRF）、cookie篡改等，有效应对黑客攻击、网页挂马、敏感信息泄露等安全问题，充分保障高校网站各类Web应用的高可用性和可靠性。

重点防护之高校数据中心（1）在高校数据中心部署绿盟远程安全评估系统（NSFOCUSRSAS）；数据中心作为高校信息化的心脏，运行着高校各种业务系统，保存着这些业务系统产生的敏感数据，如试卷、学生考试成绩、学籍学历数据、科研项目的研究成果等，因而有必要对高校数据中心服务器的漏洞进行统一的管理；绿盟安全评估系统（NSFOCUSRSAS）依托绿盟科技多年的安全服务实践经验，第一时间主动对高校数据中心的网络资产进行细致深入的漏洞检测、分析，并给高校用户提供专业、有效的漏洞防护建议，及时修补漏洞，让攻击者无机可乘。远程安全评估系统将资产、漏洞和威胁紧密结合，提供了图形化的资产管理方式，并通过可量化的模型呈现，帮助高校用户对网络中存在的风险有一个整体、直观的认识，做到真正意义上的风险量化。漏洞管理能够对预防已知安全漏洞的攻击起到很好的作用，做到真正的“未雨绸缪”。（2）在高校数据中心部署入侵防护系统（NSFOCUSNIPS）：高校数据中心主要包含“一卡通”、数据库、学籍学历管理系统等重要业务系统，针对高校内部网络用户访问数据中心的流量，提供针对性的实时检测和防御功能，过滤对服务器操作系统的攻击（缓冲区溢出攻击、恶意扫描、漏洞攻击等）、对数据库的攻击（SQL注入、缓冲区溢出攻击、植入式攻击等）、对业务系统应用程序的攻击等流量，即IPS接收到数据中心外部的数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进数据中心内部，可以有效的阻断对重要数据的恶意攻击，防止重要数据泄漏和更改。网络入侵防护系统作为一种在线部署的产品，提供主动的、实时的防护，自动对恶意流量如蠕虫、病毒、间谍软件、DDoS、黑客攻击等进行实时阻断，避免或减缓攻击可能给学校带来的损失。重点防护之高校网络中心（1）在高校网络中心部署远程安全评估系统（NSFOCUSRSAS）；作为高校网络基础设施的核心交换机、路由器、防火墙、接入网、服务器等，如果存在安全漏洞，将对高校的网络运维埋下被黑客攻击的隐患；远程安全评估系统（NSFOCUSRSAS）依托绿盟科技多年的安全服务实践经验，可以第一时间主动对高校网络中的资产进行细致深入的漏洞检测、分析，并给高校用户提供专业、有效的漏洞防护建议，及时修补漏洞，让攻击者无机可乘。远程安全评估系统将资产、漏洞和威胁紧密结合，提供了图形化的资产管理方式，并通过可量化的模型呈现，帮助高校用户对网络中存在的风险有一个整体、直观的认识，做到真正意义上的风险量化。漏洞管理能够对预防已知安全漏洞的攻击起到很好的作用，做到真正的“未雨绸缪”。（2）在高校网络出口部署入侵防护系统（NSFOCUSNIPS）：针对互联网上的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等混合威胁及黑客攻击，提供针对性的实时检测和防御功能，即IPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。网络入侵防护系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，在任何未授权活动开始前发现攻击，避免或减缓攻击可能给学校带来的损失；NIPS具备双向防护功能，也可以阻断内网发起的黑客攻击流量，避免对公网发起攻击，造成流量阻塞。服务和安全产品推荐推荐安全服务安全服务简要说明安全体系ISMS建设绿盟科技安全顾问协助客户建立信息安全管理体系(ISMS)，提升整体安全管理水平。安全域划分与安全策略绿盟科技安全顾问为客户提供安全域划分的支持，并制定对应的安全保护策略。等级保护咨询绿盟科技安全顾问根据客户所在行业等级保护的要求，进行差距分析，在定级、评估、整改、运维方面提供支持。应急预案制定与演练绿盟科技安全顾问基于客户信息系统安全防护的技术和管理组织的实际情况，为客户制定应急预案，并指导客户进行演练。紧急事件响应处理在接到客户应急响应服务请求后，绿盟科技安全专家提供远程安全支持和现场安全支持，判断事件类型，协助客户降低影响，并提供分析建议。

推荐安全产品组合重要业务系统安全防护产品简要说明高校门户网站绿盟网站安全监测服务（NSFOCUSWSS）7*24小时不间断网站安全实时监控服务，帮助客户随时掌控Web应用的安全状况，在网站出现风险情况后在第一时间通过邮件、短信方式通知用户。绿盟WEB应用防护系统（NSFOCUSWAF）专业网站安全防护系统，提供SQL注入及跨站脚本漏洞检测和分析功能；提供TCPFlood及HTTPFlood攻击防护功能；提供服务器侧恶意代码过滤功能；提供网络爬虫和网页盗链防护功能。高校数据中心绿盟远程安全评估系统（NSFOCUSRSAS）专业的漏洞管理产品，对数据中心中的网络资产（服务器、交换机、存储）进行漏洞扫描、分析，提供专业、有效的漏洞防护建议；将资产、漏洞和威胁紧密结合，提供了图形化、可量化的风险报告，整体、直观地展示高校网络中的风险走势。绿盟入侵防护系统（NSFOCUSNIPS）在线部署的安全防护产品，主动对高校数据中心流量中的恶意流量如蠕虫、病毒、间谍软件、黑客攻击等进行实时阻断，避免或减缓攻击可能给用户带来的损失。高校网络中心绿盟远程安全评估系统（NSFOCUSRSAS）专业的漏洞管理产品，对校园网络基础设施（核心交换机、路由器、接入交换机等）进行漏洞扫描、分析，提供专业、有效的漏洞防护建议；将资产、漏洞和威胁紧密结合，提供了图形化、可量化的风险报告，整体、直观地展示高校网络中的风险走势。绿盟入侵防护系统（NSFOCUSNIPS）在线部署的安全防护产品，主动对高校网络出口进出流量中的恶意流量如蠕虫、病毒、间谍软件、黑客攻击等进行实时双向阻断，避免或减缓内网遭受攻击，或阻断对外网的攻击流量。其它绿盟下一代防火墙（NSFOCUSNGFW）高性能专业防火墙，部署在校园网络安全域边界，对域间流量进行隔离，不同域间进行访问控制。

绿盟产品介绍绿盟网络入侵保护系统绿盟网络入侵防护系统（以下简称“NSFOCUSNIPS”）是绿盟科技拥有完全自主知识产权的新一代安全产品，作为一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动应对各类攻击流量，第一时间将安全威胁阻隔在企业网络外部。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵防护解决方案。NSFOCUSNIPS是网络入侵防护系统同类产品中的精品典范，该产品高度融合高性能、高安全性、高可靠性和易操作性等特性，产品内置先进的Web信誉机制，同时具备深度入侵防护、精细流量控制，以及全面用户上网行为监管等多项功能，能够为用户提供深度攻击防御和应用带宽保护的完美价值体验。入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。Web安全基于互联网Web站点的“云计算”挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地第一时间拦截Web威胁。Web行为过滤绿盟SCM具有业界领先的中英文网页过滤数据库，包括超过1000万条的URL，多种精细分类（如不良言论、色情暴力、网络“钓鱼”、论坛聊天等）；实现全面、准确、高效的非工作无关网站、不良、高风险网站过滤；可以实现钓鱼等恶语站点。业界著名的NSFOCUS安全研究组采用先进的网页动态分类技术，经过高智能、准确检测验证，及时更新URL分类数据库和网络应用协议数据库，提供全天候的内容安全管理。流量