1、xxxx 大学信息安全建设设计方案xxxx 大学信息安全建设设计方案xxxx 股份有限公司2018 年 6 月xxxx 大学信息安全建设设计方案版本变更记录时间 版本 说明 修改人2017-5-30 V1.1 文档修改2018-6-6 V1.2 文档修改文档说明本文档作为 xxxx 大学信息安全设计方案的输出文档;本文件的读者范围为我公司参与项目建设的人员以及 xxxx 大学信息安全建设的相关人员。版权声明本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属我公司所有,受到有关产权及版权法保护。任何个人、机构未经双方书面授权许可,不得以任何方式复制或引用
2、本文件的任何片断。xxxx 大学信息安全建设设计方案目录第 1 章 方案概述 .71.1 建设背景 .71.1.1 法律要求 .81.1.2 政策要求 .101.1.3 行业要求 .101.2 建设目标及内容 .111.2.1 建设目标 .111.2.2 建设内容 .12第 2 章 现状、挑战、风险 .12.1 现状概述 .12.1.1 信息系统现状 .12.1.2 高校网络安全现状 .22.2 未来的挑战 .52.2.1 “互联网+教育” .52.2.2 “人工智能+教育” .52.2.3 大数据平台 .52.3 现状、差距、风险分析 .62.3.1 现状与差距分析 .62.3.2 差距与风
3、险分析 .29第 3 章 方案设计 .323.1 设计思路 .323.2 一个出发点 .32xxxx 大学信息安全建设设计方案3.3 两大标准 .333.4 三种融合 .333.5 四个体系 .353.6 信息安全建设规划拓扑图 .36第 4 章 方案建设 .434.1 建设原则 .434.2 技术安全体系建设 .434.2.1 安全区域边界设计 .434.2.2 安全计算环境设计 .444.2.3 安全通信网络设计 .464.2.4 安全管理中心设计 .464.2.5 安全区域划分 .474.2.6 新增安全措施 .484.2.7 优化安全措施 .494.3 应用安全建设 .504.3.1
4、应用安全设计 .504.3.2 业务系统应用安全 .504.4 安全管理体系建设 .504.4.1 安全管理机构概述 .504.4.2 安全管理制度规划 .614.4.3 安全管理制度梳理服务 .624.5 应急预案体系建设 .664.5.1 编制目的 .66xxxx 大学信息安全建设设计方案4.5.2 编制依据 .674.5.3 适用范围 .674.5.4 工作原则 .674.5.5 组织与体系 .674.5.6 预防预警 .684.5.7 应急响应 .694.5.8 后期处置 .704.5.9 保障措施 .714.5.10 监督管理 .72第 5 章 方案价值 .74第 6 章 类似成功案
5、例 .75第 7 章 安全产品/服务部署说明 .767.1 网络整改及安全产品部署 .767.1.1 校园网整改及安全域划分 .767.1.2 服务器、终端及应用系统安全加固 .767.2 安全服务 .777.2.1 安全意识教育 .787.2.2 网络安全服务列表 .887.2.3 网络安全服务简介 .897.3 一期安全产品/安全服务 .977.3.1 堡垒主机系统 .977.3.2 日志审计系统 .997.3.3 数据库审计系统 .102xxxx 大学信息安全建设设计方案7.3.4 主机安全加固软件 .1047.3.5 准入控制系统 .1077.3.6 WEB 资产安全治理平台 .111
6、7.4 二期安全产品/安全服务 .1197.4.1 云 WAF.1197.4.1 IT 综合运维管理系统 .1217.4.1 RFID 机房资产管理系统 .1277.5 三期安全产品/安全服务 .1297.5.1 ZDNS 部署 .1297.5.2 安全运维管理平台(soc+态势感知) .1337.6 四期安全产品/安全服务 .1367.6.1 APT 高级威胁分析平台 .1367.6.1 数据容灾备份系统 .1387.7 五期安全产品/安全服务 .1397.7.1 GRC 网络安全管理管理平台 .1397.7.2 安全值 .146第 8 章 方案预算 .149附件 信息系统建议定级 .151
7、xxxx 大学信息安全建设设计方案图表目录图表 1 学校 IT 资产表 .2图表 2 物理安全现状差距表 .6图表 3 网络安全现状差距分析表 .10图表 4 主机安全现状差距分析表 .15图表 5 应用安全现状差距分析表 .20图表 6 数据安全现状差距分析表 .24图表 7 安全管理现状差距分析表 .26图表 8 安全技术差距与风险分析 .29图表 9 管理体系差距与风险 .30图表 10 网络安全综合治理行动差距与风险分析表 .30图表 11 信息安全建设和规划总体示意图 .36图表 12 信息安全建设和规划-一期示意图 .38图表 13 信息安全建设和规划-二期示意图 .39图表 14
8、 信息安全建设和规划-三期示意图 .40图表 15 信息安全建设和规划-四期示意图 .41图表 16 信息安全建设和规划-五期示意图 .42图表 17 xxxx 大学信息安全组织架构示意图 .56图表 18 xxxx 大学安全管理制度规划示意图 .62图表 19 方案价值表 .74图表 20 成功案列表 .75图表 21 安全服务列表 .78图表 22 方案预算表 .138xxxx 大学信息安全建设设计方案第 1 章 方案概述1.1 建设背景随着我国学校信息化建设的逐步深入,学校教务工作、招生工作、学籍管理工作、科研管理工作、学生校内的学习和生活等对信息系统依赖的程度越来越高;教育信息化建设中
9、大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。从安全性上分析,高校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,信息化安全是业务应用发展需要关注的核心和重点。为贯彻落实国家信息安全等级保护制度和网络安全法,规范和指导全国教育信息化建设工作,国家发布了一系列关于教育行业信息化工作的通知,并且随着我国网络安全法的正式实行,保障信息系统安全已经成为学校应承担的法律义务。2014 年 9 月,四川省公安厅、四川省教育厅关于进一步加强学校网络和信息安全保护工作的通知。2014 年 10 月,教育部办公厅印发教育行业信
10、息系统安全等级保护定级工作指南(试行)的通知。2015 年 7 月,教育部办公厅印发关于全面推进教育行业信息安全等级保护工作的通知。2017 年 2 月,教育部办公厅印发2017 年教育信息化工作要点的通知。2017 年 3 月,教育部办公厅印发教育行业网络安全综合治理行动方案的通知。2017 年 6 月,中华人民共和国网络安全法正式实行。xxxx 大学信息安全建设设计方案1.1.1 法律要求在今年颁发的中华人民共和国网络安全法中明确规定了法律层面的网络安全。具体如下:“没有网络安全,就没有国家安全”,网络安全法第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求,开展
11、网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外,网络安全法中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定:网络日志留存:第二十一条还规定,网络运营者应当制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,留存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密等措施。未履行上述网络安全保护义务的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对
12、直接负责的主管人员处五千元以上五万元以下罚款。漏洞处置:第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。没有网络安全事件应急预案的,没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的,会被依照此条款责令整改,拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。xxxx 大学信息安全建设设计方案容灾备份:第三十四条第三项规定,关键信息基础设施单位对重要系统和
13、数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。应急演练:第三十四条第四项规定,关键信息基础设施单位应当制定网络安全事件应急预案,并定期进行演练。没有网络安全事件预案的,或者没有定期演练的,会被依照此条进行责令改正。安全检测评估:第三十八条规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检测评估的单位要被责令改正。1.1.2 政策要求教育部正在实施的教育行业网络安全综合治理行动方案;目标是提升安全水平,增强防护能力,有效防范风险,保障运行和数据安全。原则是:问题导向、突出重点、完善机制,狠抓落实。实施范围是各级教育行政部门及其直属单位高等学校。方案主要有四大项主要任务,“治乱”、“堵漏”、“补短”、“规范”。每一项工作任务对应不同的工作重点,总共 10 项具体如下:1. 统一标识2. 信息发布管理3. 网站域名清理4. 安全监测预警5. 检测风险6. 网络安全等保7. 测评和整改
