1、XXX大学等级保护项目技术方案2013年4月目 录1项目概述11.1项目建设背景11.2项目建设目标11.3项目建设内容11.4项目建设范围11.5项目建设依据22信息系统现状与安全需求32.1信息化建设现状综述32.2技术体系结构现状3物理环境4主机层结构6网络层结构7应用层结构82.3管理体系结构现状13安全管理机构13安全管理制度13人员安全管理18系统运维管理192.4安全威胁与风险20技术层面威胁与风险20管理层面威胁与风险222.5等级保护安全需求23系统安全等级划分23系统安全等级23等级保护基本安全要求23信息系统定级情况242.6安全需求分析25技术层面安全需求分析25管理层2、面安全需求分析283等级保护方案设计293.1安全方案设计思路29构建分域的控制体系30构建纵深的防御体系30保证一致的安全强度30实现集中的安全管理303.2安全技术方案详细设计31确定保护强度31安全域划分与隔离31本地备份系统35网络链路冗余改造39PKI基础设施40安全审计管理42漏洞扫描系统45Web防火墙49安全管理平台设计51安全实施过程管理52服务交付物533.3安全管理方案详细设计533.4安全运维方案详细设计58XXX大学门户网站安全监控58应急响应服务61安全通告服务62网络及安全设备维护63系统安全维护65网络防护65系统加固663.5协助测评69准备资料69现场协助73、0服务交付物704系统集成实施714.1项目组织及人员安排714.2系统集成实施73安全规划与实施阶段73协助测评阶段75项目验收76工作成果文档774.3项目实施质量保证78概述784.3.2项目执行人员的质量职责78安全审计过程78内部反馈过程79质量改进过程79改进需求检测794.4风险规避措施80模拟环境80系统备份80系统恢复81时间选择81过程监控814.5项目验收82验收标准82验收流程825技术支持、售后服务及培训方案835.1安全运维服务835.2技术支持与售后服务方案83试运行期的技术支持与服务83质量保证期内的技术支持与售后服务84质量保证期外的技术支持与售后服务85跟踪4、服务86工程师资质保障875.3培训方案87培训方法87培训内容87服务交付物88长期培训计划881 项目概述1.1 项目建设背景 随着我国学校信息化建设的逐步深入，学校教务工作对信息系统依赖的程度越来越高；教育信息化建设中大量的信息资源，成为学校成熟的业务展示和应用平台，在未来的教育信息化规划中占有非常重要的地位。从安全性上分析，高校业务应用和网络系统日益复杂，外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著，信息化安全是业务应用发展需要关注的核心和重点。为贯彻落实国家信息安全等级保护制度，规范和指导全国教育信息安全等级保护工作，国家教委教办厅函200980文件发出“关于开展信息系统5、安全等级保护工作的通知”；教育部教育管理信息中心发布教育信息系统安全等级保护工作方案（征求意见稿）；教育部办公厅印发关于开展教育系统信息安全等级保护工作专项检查的通知（教办厅函201080号）。1.2 项目建设目标本次项目建设目标：为贯彻落实国家、教育部信息安全工作部署，完善XXX大学信息系统安全技术防护措施、安全管理制度和安全运维体系，全面建设完整的信息安全防护体系，顺利通过信息系统等级测评，为XXX大学信息化的健康快速发展保驾护航。1.3 项目建设内容天融信依据国家信息安全等级保护技术和管理要求，开展信息安全等级保护建设工作，工作的主要内容包括：（1）方案设计；（2）系统集成；（3）维护服6、务。1.4 项目建设范围本方案的设计范围覆盖XXX大学信息系统。1.5 项目建设依据为保证整个项目的实施质量和圆满完成本次项目的项目目标，在整个等级保护整改建设项目的设计规划中将遵循以下标准： 计算机信息系统安全保护等级划分准则（GB17859-1999）（基础标准） 信息系统安全等级保护基本要求（GB/T 22239-2008）（基线标准） 信息系统安全保护等级定级指南（GB/T 22240-2008）（辅助标准） 信息系统安全等级保护实施指南 （辅助标准） 信息系统安全等级保护测评准则 （辅助标准） 电子政务信息系统安全等级保护实施指南（试行） 信息安全技术 信息系统通用安全技术要求（GB7、/T20271-2006） 信息安全技术 网络基础安全技术要求（GB/T20270-2006） 信息安全技术 操作系统安全技术要求（GB/T20272-2006） 信息安全技术 数据库管理系统安全技术要求（GB/T20273-2006） 信息安全技术 终端计算机系统安全等级技术要求（GA/T671） 信息系统安全安全管理要求（GB/T20269） 信息系统安全工程管理要求（GB/T20282） 信息安全技术 服务器技术要求（GB/T21082） ISO/IEC TR 13335 ISO 17799:2005 ISO 27001:2005 NIST SP-800系列 ISO 20000 Cobi8、T2 信息系统现状与安全需求2.1 信息化建设现状综述1. 随着XXX大学信息化建设的推进，信息化建设初具规模，服务器等主机设备基本到位，大型网络设备、高端路由设备、多种网络和系统管理软件、专业数据备份软件及网络数据安全设备和软件等大都配备完成，运行保障的基础技术手段基本具备； 2. XXX大学网络信息中心技术力量雄厚，在网络工程、数据库建设、系统设计、软件开发、信息安全等多项领域具有较强的实力和丰富的经验。承担信息中心的网络系统管理和应用支持的专业技术人员达20余人； 3. XXX大学随着信息系统的逐步建设，分别针对重要应用系统采用了防火墙、IPS/IDS、防病毒等常规安全防护手段，保障了核9、心业务系统在一般情况下的正常运行，具备了基本的安全防护能力； 4. XXX大学的日常运行管理比较规范，按照信息基础设施运行操作流程和管理对象的不同，确定了网络系统运行保障管理的角色和岗位，初步建立了问题处理的应急响应机制。 2.2 技术体系结构现状XXX大学信息系统主要包括六大业务应用系统，网络、认证计费、校园卡、数字XX、网站、邮件系统。网络是XXX大学各大业务平台的基础核心，是整个校园网的基础，网络上承载着多种校园业务应用，包括认证计费、数字XX、网站、邮件等多种业务应用系统，这些业务应用系统都运行在XXX大学的基础网络环境上。XXX大学认证计费系统是针对学生上互联网的一种接入认证计费的管10、理方式，XXX大学对学生上网是按流量进行统计收费的。认证计费系统共4台服务器，两台认证服务器、一台自服服务器，一台流量统计服务器。学生机上网通过802.1X协议进行接入认证，上网流量通过互联网出口交换机的端口镜象功能将上网数据发送到流量统计服务器，学生通过自服务服务器可以查看个人上网流量的使用情况。计费采用流量计费方式，但每月流量与实际费用不成比例。校园卡属XXX大学专网，主要实现学生校园卡消费管理。校园卡与XXX大学网络有三个物理接口（包括数字XX、认证计费、东区食堂）。专网，与中国银行通过DDN方式互联，没有部署防火墙，数据传输使用加密机进行加密，终端取用IP/MAC绑定的安全机制，网管采11、用昆特网管系统对交换机、服务器、终端进行监控管理。数字XX是XXX大学最重要的业务应用系统，系统中存储着重要的教务工作数据、学生考试信息、财务数据等重要数据信息。数字XX有2个应用服务器，2个认证服务器，1个BI服务器，远程通过VPN、桥服务器管理，有IP访问控制机制，服务器是SUN的主机，安装Solaris 10系统，2台Oralcle数据库服务器，2台Weblogic应用服务器，1台对外提供服务的Apache服务器，应用系统采取数据库，应用，服务的三层安全架构模式部署，服务器没有做安全加固，存在Web应用攻击威胁，测试服务器密码被篡改过。XXX大学网站系统为XXX大学校园的互联网窗口，起到12、学校对外介绍宣传的功能。目前，XXX大学网站系统共有6台服务器，服务器区域部署了IDS设备实时检测网站的安全动态，系统配置了主机防火墙，一周进行一次本机数据备份，目前密码强度基本符合安全要求，有安全应急预案，但不完善，没有进行过操作演练。XXX大学邮件系统主要为XXX大学教师与学生提供邮件收发服务，目前邮件系统用户20000多，邮件系统前端部署了IPS进行安全防护，并通过梭子鱼垃圾邮件网关对垃圾邮件进行过滤，邮件数据最终存储到H3C的IP SAN中，邮件服务器目前单机运行，没有做双机热备，邮件系统受到垃圾邮件，病毒邮件的威胁，WEB邮件服务发生过服务中断，系统系统存在过邮件退信攻击与邮件丢失问13、题，可能由于邮件系统自身脆弱性造成。2.2.1 物理环境l 机房：位于该楼三层，机房总面积约151m2，机房管理没有采取记录进出人员时间、数量和原因等情况，配电间没铺设防静电地板，接入电源为380V/50HZ/200A，无双电互投，在线UPS 40KVA输出1组，冷备UPS 40KVA输出2组，4个APC电池柜，每组32块电池。机房铺设防静电地板，拥有2组HIROSS专用空调保证机房恒温、恒湿，空调无漏水监控报警，机房内配置防漏电保护、视频监控、烟感和利达海鑫柜式灭火、防静电导流排等必须的防护措施。机架线序混乱，没有规范应急灯和温感监控。机房物理环境三层机房物理和环境安全地理位置XXX大学三层14、。电源电压380V/50HZ/200A，无双电互投，总接入电量为2x70平方中央空调HIROSS 空调2组，没有空调漏水监控报警。外设空调UPSUPS在线40KVA输出1组，冷备10KVA输出2组，APC电池柜2组，每组32*12V*100Ah电池。地板600*600静电地板，防静电导流排。防电涌有防漏电保护，无防浪涌。机房温湿度空调显示温度：1组：21.3,2组：24.2。气喷于电源接入区、设备区应急灯无规范应急灯烟感烟感：XXX大学自己做一套，消防给做了一套。温感没有部署温感监控。视频监控有3个，分别部署在设备区和电源接入区。机架线序混乱、设备没有规范的标签。灭火器二套利达海鑫柜式七氟丙烷15、气体灭火装置(GQQ150/25)，有效喷射面积不明。机房面积配电间7*7=49m2，机房17*6=102 m2，物理环境储藏间易燃易爆物品随意堆放，物品杂乱。l 机房：位于该楼地下一层，机房总面积约472.72 m2，机房管理没有采取记录进出人员时间、数量和原因等情况，配电间没铺设防静电地板，接入电源380V， 双路市电供电保障，在线UPS 120KVA输出2组、带载2627KVA, 4组电池组，每组32块电池。机房铺设防静电地板，3组650A HIROSS专用空调保证机房恒温、恒湿，空调无漏水监控报警。机房内配置防漏电保护、15个气体喷淋口、烟感、视频监控、红外线报警器、二氧化碳灭火装置、16、防静电导流排等必须的防护措施。机架线序混乱，没有规范应急灯和温感监控。机房物理环境机房物理和环境安全地理位置XXX大学地下一层。电源电压380V，双市电接入，总接入电量为2x95平方。中央空调HIROSS空调3组，650A。外设空调UPSUPS在线120KVA输出2组，UPS带载2627KVA ，APC电池柜4组，每组32*12V*100Ah电池。地板600*600静电地板，有防静电导流排。防电涌有防漏电保护，无防浪涌。机房温湿度空调显示温度：1组：22，2组：23.7，3组：22.2。气喷15个喷淋头。应急灯非规范应急灯。烟感4个烟感。温感没有温感监控视频监控有4个部署在设备区。机架线序混乱17、设备没有规范的标签。灭火器二氧化碳灭火器，有效喷射面积不明。机房面积配电间13*10=130m2，机房20.4*16.8=342.72 m2，物理环境清洁无杂物。2.2.2 主机层结构本次评估范围内的六个业务应用系统涉及41台服务器。数字XX系统使用1台SUN-fire 15K和1台SUN-fire 25K高端服务器作为数字XX核心服务器，每台服务器上划分了5个应用域，2个管理域，应用域与管理域都安装的Solaris 10操作系统，另外，数字XX还包括2台SUN 490服务器,1台桥服务器。 网站系统共有6台Web服务器，部署的OS 有Advance AS EL 4.0、Windows 2018、03、Red hat 7.3,起到校园对社会公众的文化宣传与介绍功能。邮件系统有2台服务器，部署的OS 为Red Hat AS 3，邮件系统主要为XXX大学师生提供互联网邮件服务。邮件系统目前有两万多用户，邮件用户包括XXX大学学生与教职员工。网络评估范围包括2台网管服务器，2台DNS服务器，1台防病毒服务器与1台补订服务器，这些服务器主要用作网络与安全管理。认证计费系统包括4台服务器，部署的OS 为Windows server 2003,认证计费系统主要针对学生接入互联网进行认证与计费管理。校园卡系统的评估范围包括5台服务器，其中两台是校园卡核心SUN 880服务器，另外3台为校园卡与数字X19、X、认证服务器、东区食堂的互联接口服务器。2.2.3 网络层结构XXX大学网络结构较为复杂，网络设备较多，互联网出口有三条链路，一条1000M带宽接入中国教育网，一条100M带宽接入网通，一条1000M带宽接入中国教育网IPv6网络，校园网出口核心设备由Cisco 6500系列高端设备组成，并形成冗余架构，保障了互联网接入的可用性。XXX大学网络中部署了Macfee网络版防病毒系统、Allot带宽管理设备、网康上网行为管理系统、入侵防御系统及重要的网络核心交换机上配备了防火墙模块，这些安全措施分别保护了不同的业务应用系统的安全性，从一定程度上减少了受到网络攻击、病毒传播的可能性，增强了网络、系20、统服务的安全性和可用性。 XXX大学网络用户庞大，学生用户20000多，整个网络按照教学楼楼层划分了VLAN，XXX大学对学生上互联网的行为实施了802.1x认证计费，计费方式按照学生上互联网的网络流量进行统计计费，通过流量计费的方式有效的降低了XXX大学学生对互联网带宽的长期站用。网络评估范围包括2台网管服务器，2台DNS服务器，1台防病毒服务器与1台补订服务器，这些服务器主要用作网络与安全管理。2.2.4 应用层结构本次评估范围涉及六个应用系统，分别为网络、认证计费、校园卡、数字XX、网站、邮件系统。XXX大学信息系统承载了众多业务应用。本次信息安全风险评估对象为其中6个最为重要的业务应用21、系统：网络、认证计费、校园卡、数字XX、网站、邮件系统。l XX网络XXX大学网络结构校为复杂，网络设备较多，互联网出口有三条链路，一条1000M带宽接入中国教育网，一条100M带宽接入网通，一条1000M带宽以IPV6协议接入中国教育网。内部网络为星形架构，接入各个教学楼与院系，内部网络主要按照楼层划分了VLAN，同时网络上承载了XXX大学的众多业务应用系统，主要包括认证计费、数字XX、网站、邮件等多种业务应用。l 认证计费业务XXX大学认证计费系统是针对学生上互联网的一种接入认证、计费的管理方式，XXX大学对学生上网是按流量进行统计收费的。认证、计费系统共4台服务器，两台认证服务器、一台自22、服服务器，一台流量统计服务器。学生机上网通过802.1X协议进行接入认证，上网流量通过互联网出口交换机的端口镜象功能将上网数据发送到流量统计服务器，流量统计服务器对数据进行流量统计与分析，学生能过自服务器可以查看自已的每月的上网流量使用情况。l 校园卡业务XXX大学校园卡网络属XX专网，主要实现学生校园卡消费管理功能。校园卡与XXX大学网络有三个物理接口（包括数字XX、计费认证、东区食堂），存在数据交换业务。另外校园卡专网还与中国银行、中国工商银行有金融数据交换。此次评估考虑到校园卡专网的实际情况，最终确定评估范围是校园卡网络与XXX大学网络的三处数据交换接口。l 数字XX数字XX系统是XXX23、大学最重要的业务应用系统，系统中存储着重要的教务工作数据、学生考试信息、财务数据等重要数据信息。数字XX系统由两台SUN FIRE 15K/25K高端服务器构成，每台服务器上启用5个服务域，通过交换机VLAN功能实现三层的物理安全应用架构，数据信息通过FC SAN存储到EMC存储池中，管理人员定期对数据进行备份管理，两台服务器的远程管理有两种方式，一是通过接入深信服VPN对服务器进行管理，二是通过远程登录桥服务器在对服务器进行管理。l 网站系统XXX大学网站系统为XXX大学校园的互联网窗口，起到学校对外介绍宣传的功能。目前，XXX大学网站系统共有6台服务器，服务器区域部署了IDS设备实时检测网24、站的安全动态。l 邮件系统XXX大学邮件系统主要为XXX大学教师与学生提供邮件收发服务，目前邮件系统用户20000多，邮件系统前端部署了IPS进行安全防护，并通过梭子鱼垃圾邮件网关对垃圾邮件进行过滤，邮件数据最终存储到H3C的IP SAN中。2.3 管理体系结构现状2.3.1 安全管理机构XXX大学网络与教育技术中心成立于上世纪90年代，中心主要承担了XXX大学网络信息化建设与运行维护工作，中心下设7个科室，分别为办公室、网络运行室、信息管理室、用户服务室、多媒体教学服务室、新闻制作室与校园卡管理室7个科室。目前中心编制共计45人，其中，管理岗位9人（包括中心领导4人，办公室及各级管理人员5人25、），占总编制20%；技术人员36人，占总编制80%。中心工作由顾涛负责主持，主管网络与教育技术中心具体工作，是本部门面向学校的直接责任人，全面负责中心工作，各科室分别设立不同的岗位职责，并设立科室主任管理员岗位，每个岗位有明确的岗位职责手册。2.3.2 安全管理制度XXX大学网络与教育技术中心各个科室的管理制度如下表l 中心办公室室管理制度中心办公室 管理制度三重一大制度实施细则例会制度值班制度工作周报制度任务单制度员工培训制度经费使用管理办法办公设备与家具管理办法出差管理办法项目文件归档管理办法奖励制度影像资料管理办法l 多媒体教学室管理制度多媒体制作室 管理制度多媒体教学服务台管理及操作规26、程多媒体教学设备使用、管理规定中控室值机人员作业及交接班管理规程多媒体教学设备巡检员工作规程巡检岗故障维修及维护作业管理规定多媒体教学设备登记、出入库及投影机灯泡使用管理规定教学服务器密码管理制度技术档案及原始资料管理规定教学服务器机房环境管理规定教学服务器机房维护作业管理规定多媒体教学设备及教学服务器紧急情况处理预案l 网络运行室管理制度网络运行室 管理制度国家相关法规中华XXX共和国计算机信息网络国际联网管理暂行规定中国教育和科研计算机网络管理办法（试行）中国教育和科研计算机网用户守则校园基本管理办法（公开）中国XXX大学校园网管理条例中国XXX大学校园网接入管理管理办法服务器接入管理规定27、域名管理规定域名申请和变更表中国XXX大学接入校园网接入协议（个人）中国XXX大学校园网入网协议（单位）中国XXX大学校园网信息安全管理办法中国XXX大学学生校园网管理办法（宿舍区）中国XXX大学学生校园网网络收费办法（宿舍区）中国XXX大学学生校园网管理办法（宿舍区）中国XXX大学学生校园网网络收费办法（办公区）中国XXX大学校园网电子邮件管理办法中国XXX大学校园网IP地址管理办法中国XXX大学校园网信息服务管理办法网络运行和服务的内部管理制度中国XXX大学校园网机房管理制度中国XXX大学设备间管理制度网络与教育技术中心用户服务和网络运行管理制度网络与教育技术中心用户室和运行室岗位职责网络28、与教育技术中心网络技术文档管理制度网络与教育技术中心项目管理办法测试制度网络与教育技术中心设备资产管理制度库房管理办法电动车使用管理办法光纤施工和设备安装管理办法设备及房间命名规则网络与教育技术中心安全管理规定网络与教育技术中心网络事件处理规定网络应急处理职责表l 校园卡管理室管理制度校园卡管理室 管理制度校园卡片文件结构校园卡绑定银行卡使用规定校园卡发放和使用管理规定校园卡管理中心岗位职责校园卡管理中心网络信息发布管理细则校园卡管理中心应对灾难性故障的紧急预案校园卡系统IP地址管理规定校园卡系统财务结算管理细则校园卡系统个人生物特征采集和使用管理规定校园卡系统密钥及PSAM卡片使用管理规定校29、园卡系统商户接入管理办法校园卡系统信息安全保障细则校园卡系统证照采集和使用管理规定校园卡管理中心收费管理办法中国XXX大学校人员编码细则l 新闻管理室管理制度新闻制作室 管理制度工作中既要热情、主动又要认真、及时，决不遗漏重大新闻及有明确要求的新闻摄录要及时地制作、存档视频资料，并向需要的有关部门提供相应视频资料尽量不让与工作无关的人员进入机房、办公室等相关工作场所节假日加班后安排适当时间倒休磁带保存制度设备使用制度l 信息管理室管理制度 信息管理室 管理制度第一部分 项目管理和建设方面的管理制度“数字XX”用户培训管理制度“数字XX”用户登录咨询、密码修改的受理服务管理制度“数字XX”应用项30、目需求变更响应管理制度“数字XX”信息标准版本及变更管理制度“数字XX”应用项目确认、评审、签字和验收制度“数字XX”应用项目技术文档规范编写管理制度“数字XX”文档分类、存储、版本及更新管理制度“数字XX”登录用户密码和用户信息管理制度“数字XX”部门信息管理员建立、联络和培训管理制度VPN资源管理制度VPN系统运维管理制度第二部分 系统硬件和系统级软件方面的管理制度网络与教育技术中心服务器管理制度网络与教育技术中心服务器运行保障制度存储系统管理制度网络教育技术中心系统级口令密码和用户管理制度硬件设备购买和保管制度“数字XX”系统事故应急管理办法数据库管理制度和办法第三部分 研发方面的管理制31、度“数字XX”需求变更响应管理制度“数字XX”源代码管理规范“数字XX”系统更新流程管理规范研发人员操作管理制度数据信息安全管理制度“数字XX”平台安全管理制度“数字XX”文档安全管理规范知识库维护管理规范2.3.3 人员安全管理网络与教育技术中心的人员录用由XXX大学人事处具体管理，中心提出人员需求，人事处负责人员的招聘考核，考核通过后再由中心进行二次考核方可录用，新员工录用不需要签署保密协议。目前中心人员进多出少，所以没有较为完善的人员离岗流程规范。各科室分别设立不同的岗位，并有明确的岗位职责手册，中心会不定期的组织员工外出参加相关岗位技术培训，但没有科室考核制度。各科室人员结构如表9所示32、：网络与教育技术中心各科室主要人员结构主任副主任副总工程师中心办公室 网络运行室用户服务室信息管理室 新闻制作室多媒体教学服务室校园卡管理中心临时人员2.3.4 系统运维管理环境管理：XXX大学网络规模庞大，网络资产8000多件，设备100多个，机房管理由专人负责，并建立机房管理制度。资产管理：XXX大学资产统一由资产设备处管理，网络与教育技术中心负责相关设备、系统的运行维护工作，并保证设备管理落实到人。介质管理：网络与教育技术中心没有制定介质管理规范，保障U盘等介质使用的安全性。设备管理：网络与教育技术中心没有完善的设备管理制度与规范，包括设备操作规范，设备维护规范，但重要的信息系统的维护、33、更新与建设会按严格的项目实施流程进行。监控与安全管理：网络与教育技术中心没有建设集中的网络监控与安全预警响应平台，目前正处在规划阶段。网络安全管理：网络运行室没有制定规范性的网络运行管理制度与规范，目前完全依靠工作人员的工作经验进行网络的运维与安全管理。系统安全管理：重要的信息系统建设、维护与管理会严格依据项目流程建设，会对系统的安全性进行考虑设计，但没有形成规范性的运维管理规范与制度，对安全、规范化的管理，运维考虑不足。恶意代码防范管理：网络与教育技术中心统一购买了MCAFEE防病毒系统，但没有强制所有终端机必需安装，没有规范化的病毒管理制度与规范。密码管理：网络与教育技术中心对密码管理有要34、求，但各科室的密码管理执行力较差。备份恢复：网络与教育技术中心对重要信息系统的数据备份有管理要求，但没有完善的考核机制，不能考核管理制度的执行力度。安全事件处理：网络与教育技术中心没有安全事件处理机制与流程，当安全事件发生，完成依据管理人员的工作经验进行临时处理。2.4 安全威胁与风险通过前期的风险评估工作，我们对XXX大学信息系统所面临的安全威胁与风险总结如下，分为技术层面威胁与风险、管理层面威胁与风险：2.4.1 技术层面威胁与风险序号类别威胁与风险1基础设施（机房）和机房无人值守，没有进行记录，机房没有进入申请和审批流程，如果无授权人员进入，则有较大安全隐患；2机房配电间没有铺设防静电地35、板，无法有效防护静电；3和机房内空调下漏水检测系统属于被动式的，没有直观有效的监控方式；4机房供电系统采用2x70平方的电缆380V、200A电力接入，一组40KVA UPS、冷备10KVA 输出2组、一路市电没有互投设备。出现电力故障XXX大学业务系统将面临全面停止的风险；5和机房缺乏主动式漏水检测和温感监控设备，二氧化碳灭火器缺乏维护检查，一旦机房环境发生变化，得不到及时的告警通知，消防措施也不到位；6储藏间易燃物品随意堆放，物品杂乱；7机房内综合布线混乱，各设备没有明显标签；8通信网络网络设备中弱口令现象较多，虽然有ACL进行网络控制，但是ACL允许的IP地址范围较宽，存在较大的安全隐患36、；9DNS服务器作为所有XX师生都要访问的设备，没有对区域传输的IP地址做限制，简单的命令便可以泄露XXX大学所有的域名记录，方便攻击者对网络架构进行分析；10网络没有流量、带宽及行为管理措施，现有流量管理设备及上网行为管理设备没有使用；11IP v6监控系统web登陆方式存在弱口令guest/guest，可以被轻易猜出，登陆以后可以直接看到校园网的网络拓扑和流量情况；12区域边界IPS的规则库没有及时升级，导致设备的安全防护效果大打折扣；13信息系统边界划分不明确，在边界处缺乏有效访问控制机制，核心交换机上的防火墙模块未启用，如：校园卡与XXX大学网络有互联接口，但安全互联控制策略机制不健全37、，交换机没有做访问控制策略,没有采用安全隔离网闸或防火墙进行逻辑有效隔离； 14办公网划分VLAN依据楼层方式划分，无法有效制定访问控制策略；15数字XX、邮件系统、门户网站服务器本身的安全防护机制比较缺乏，目前主要是凭借内网地址的逻辑隔离，来实现系统安全；16计算环境数字XX服务器大多开启了telnet、rlogin、rsh、finger等服务，telnet登陆方式的密码容易被嗅探，finger服务暴漏了主机上的用户名列表，使得用户名、口令的安全性大大降低；17数字XX桥服务器作为对数字XX进行维护的重要通道，其本身的安全性极差，缺乏补丁更新，开启多个默认共享，反而成为向内网入侵的一个便利通38、道；18认证计费服务器虽然安装了杀毒软件，但由于版本没有更新，杀毒软件本身存在安全漏洞，且存在snmp弱口令，认证计费系统的安全性急剧降低；19北塔网管服务器作为网络监控的核心设备，存在snmp弱口令，可以列举出操作系统的用户名、开放的端口、安装的软件、进程列表等，网管平台的安全没得到保证； 20网站应用系统缺乏安全加固，存在跨站脚本攻击问题；21邮件系统没有强制使用https登陆，用户邮箱口令存在被嗅探窃取的风险22办公网终端无法进行有效控制和管理，存在更新补丁不及时，病毒软件未强制安装等问题；23核心应用缺乏集中统一的身份认证、授权、用户管理、综合审计，无法有效防止非授权用户访问、泄密、越39、权等行为的发生，事后无法追查；24安全运维缺乏统一的监控审计手段，不能有效监控、审查内部人员操作行为，无法保护内网主机、服务器、网络及数据库安全；25缺乏整体的安全运行管理平台，问题发生时，要根据运维管理人员的经验来判定问题的大致范围，不能对事件进行有效监控、预警、分析、关联及追查。2.4.2 管理层面威胁与风险序号类别威胁与风险1安全策略随着业务应用系统的不断增加，网络结构日益复杂，由于各业务系统建设、运维分散，没有总体规划逐渐不能适应越来越复杂的应用需求。主要表现在缺乏整体安全策略、没有统一规范的安全体系建设标准，安全职责划分不明确，各业务系统的安全防护程度不一、人员没有形成统一的安全意识40、缺乏统一的安全操作流程和指导手册；2安全制度安全组织拥有安全管理员岗位，但安全岗位职能没有很好得到执行，没有对整个业务体系安全进行统一规划和管理。安全管理基本上靠运维管理人员的自我管理，缺乏统一的安全管理体系；3系统建设由于运维、外包等原因，防护体系的建设依赖于各重要业务系统的建设，在今后的防护体系建设和改造中希望将安全防护体系统一考虑；4系统运维对于各分院、系及处室自行建设的信息系统，无法有效安全监管，造成重大安全隐患，极有可能成为攻击跳板；5缺少专业性的安全运维服务队伍支撑，业务系统的安全检查和漏洞评估没有周期性执行，各主机的安全程度主要依赖于各管理员个人的安全意识水平，没有形成定期统一41、的安全检查制度和安全基线要求；6各项应急预案即使有也没有很好的贯彻与演练实施，导致一但发生重大安全问题无法快速进行故障的排除和解决，安全隐患较大。2.5 等级保护安全需求2.5.1 系统安全等级划分信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。等级定义 第一级息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造42、成损害，但不损害国家安全。第三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级信息系统受到破坏后，会对国家安全造成特别严重损害。2.5.2 系统安全等级通过对系统业务信息安全性和系统服务安全性的分析，依据信息系统受到破坏后，会对公民、法人和其他组织的合法权益，以及对社会秩序、公共利益、国家安全造成的损害程度确定系统的安全等级。XXX大学信息系统的技术要求应满足安全等级二级和三级的基本要求，管理要求应满足信息系统最高级（三级）要求。2.5.3 等级保护基本安全要求43、不同级别的信息系统应具备不同的安全保护能力，根据GBT 22239-2008信息安全技术信息系统安全等级保护基本要求，对安全等级二级和三级的信息系统应具备的基本安全保护能力要求如下：第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源44、损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。上述对二级和三级的信息系统的基本安全保护能力要求是一种整体和抽象的描述。信息系统所应该具有的基本安全保护能力，将通过体现基本安全保护能力的安全目标的提出，以及实现安全目标的具体技术要求和管理要求的描述得到具体化。基本要求的各级指标如下图所示：2.5.4 信息系统定级情况XXX大学主要业务系统及定级情况，请见下表：序号业务系统概述1 数字XX（等保三级） XXX大学最重要的业务应用系统，系统中存储着重要的教务工作数据、学生考试信息、财务数据等重要数据信息。 2 网站（等保二级） 网站系统为XXX大学校园的互联网窗口，起45、到学校对外介绍宣传的功能。 3 邮件系统（等保二级） 为XXX大学教师与学生提供邮件收发服务，目前邮件系统用户20000多。 4 认证计费系统针对学生上互联网的一种接入认证、计费的管理方式，是按上网流量进行统计收费的。 5 校园卡网络 校园卡网络属XX专网，主要实现学生校园卡消费管理功能。 6 办公网 学校教职员工办公网络，处理日常工作所在的办公网络。 目前XXX大学的核心业务系统数字XX是等级保护三级系统，网站和邮件系统为等级保护二级系统，在安全体系设计上，要充分考虑已定级系统的安全技术措施和安全管理措施要符合并满足国家的相关政策法规要求。2.6 安全需求分析2.6.1 技术层面安全需求分析46、根据2.3.1技术层面威胁与风险列表，分析XXX大学的安全需求如下表：序号类别威胁与风险安全需求1物理环境和机房无人值守，没有进行记录，机房没有进入申请和审批流程，如果无授权人员进入，则有较大安全隐患； 明确机房管理制度及流程2机房配电间没有铺设防静电地板，无法有效防护静电； 防静电地板3和机房内空调下漏水检测系统属于被动式的，没有直观有效的监控方式； 温湿度监控 动力环境监控 视频监控系统4机房供电系统采用2x70平方的电缆380V、200A电力接入，一组40KVA UPS、无备用UPS，一旦出现电力故障，XXX大学业务系统将面临全面停止的风险； 增加备用UPS5和机房缺乏主动式漏水检测和温47、感监控设备，二氧化碳灭火器缺乏维护检查，一旦机房环境发生变化，得不到及时的告警通知，消防措施也不到位； 温湿度监控 动力环境监控 视频监控系统 火灾自动消防系统6储藏间易燃物品随意堆放，物品杂乱； 机房管理制度及流程7机房内综合布线混乱，各设备没有明显标签； 机房管理制度及流程8通信网络网络设备中弱口令现象较多，虽然有ACL进行网络控制，但是ACL允许的IP地址范围较宽，存在较大的安全隐患； 安全加固 安全运维9DNS服务器作为所有XX师生都要访问的设备，没有对区域传输的IP地址做限制，简单的命令便可以泄露XXX大学所有的域名记录，方便攻击者对网络架构进行分析； 安全加固 安全运维11IP v48、6监控系统web登陆方式存在弱口令guest/guest，可以被轻易猜出，登陆以后可以直接看到校园网的网络拓扑和流量情况； 安全加固 安全运维12区域边界IPS的规则库没有及时升级，导致设备的安全防护效果大打折扣； 安全加固 安全运维13信息系统边界划分不明确，在边界处缺乏有效访问控制机制，如：校园卡与XXX大学网络有互联接口，但安全互联控制策略机制不健全，交换机没有做访问控制策略；数字XX、网站系统安全域防护措施薄弱。 安全域划分 入侵检测及防御 防火墙14办公网划分VLAN依据楼层方式划分，无法有效制定访问控制策略； 安全域划分15数字XX、邮件系统、门户网站服务器本身的安全防护机制比较缺49、乏，目前主要是凭借内网地址的逻辑隔离，来实现系统安全； 安全域划分 入侵检测及防御 防火墙16计算环境数字XX服务器大多开启了telnet、rlogin、rsh、finger等服务，telnet登陆方式的密码容易被嗅探，finger服务暴漏了主机上的用户名列表，使得用户名、口令的安全性大大降低； 安全加固 安全运维17数字XX桥服务器作为对数字XX进行维护的重要通道，其本身的安全性极差，缺乏补丁更新，开启多个默认共享，反而成为向内网入侵的一个便利通道； 安全加固 安全运维18认证计费服务器虽然安装了杀毒软件，但由于版本没有更新，杀毒软件本身存在安全漏洞，且存在snmp弱口令，认证计费系统的安全50、性急剧降低； 安全加固 安全运维19北塔网管服务器作为网络监控的核心设备，存在snmp弱口令，可以列举出操作系统的用户名、开放的端口、安装的软件、进程列表等，网管平台的安全没得到保证； 安全加固 安全运维20网站应用系统缺乏安全加固，存在跨站脚本攻击问题； 安全加固 安全运维21邮件系统没有强制使用https登陆，用户邮箱口令存在被嗅探窃取的风险； 安全加固 安全运维22办公网终端无法进行有效控制和管理，存在更新补丁不及时，病毒软件未强制安装等问题； 终端管理与控制23核心应用缺乏集中统一的身份认证、授权、用户管理、综合审计，无法有效防止非授权用户访问、泄密、越权等行为的发生，事后无法追查； 51、身份认证 用户管理 统一授权 综合审计24安全运维缺乏统一的监控审计手段，不能有效监控、审查内部人员操作行为，无法保护内网主机、服务器、网络及数据库安全； 安全运行管理 综合审计管理25缺乏整体的安全运行管理，问题发生时，要根据运维管理人员的经验来判定问题的大致范围，不能对事件进行有效监控、预警、分析、关联及追查。 安全运行管理 集中运维管理2.6.2 管理层面安全需求分析根据2.3.1技术层面威胁与风险列表，分析XXX大学的安全需求如下表：序号类别威胁与风险安全需求分析1安全策略随着业务应用系统的不断增加，网络结构日益复杂，由于各业务系统建设、运维分散，没有总体规划逐渐不能适应越来越复杂的应52、用需求。主要表现在缺乏整体安全策略、没有统一规范的安全体系建设标准，安全职责划分不明确，各业务系统的安全防护程度不一、人员没有形成统一的安全意识、缺乏统一的安全操作流程和指导手册； 安全方针策略，总纲指引2安全制度安全组织拥有安全管理员岗位，但安全岗位职能没有很好得到执行，没有对整个业务体系安全进行统一规划和管理。安全管理基本上靠运维管理人员的自我管理，缺乏统一的安全管理体系； 安全组织及职责 安全管理机构 人员安全管理3系统建设由于运维、外包等原因，防护体系的建设依赖于各重要业务系统的建设，在今后的防护体系建设和改造中希望将安全防护体系统一考虑； 系统建设管理4系统运维对于各分院、系及处室自53、行建设的信息系统，无法有效安全监管，造成重大安全隐患，极有可能成为攻击跳板； 安全运维及监管5缺少足专业性的安全运维服务队伍支撑，业务系统的安全检查和漏洞评估没有周期性执行，各主机的安全程度主要依赖于各管理员个人的安全意识水平，没有形成定期统一的安全检查制度和安全基线要求； 安全运维6各项应急预案即使有也没有很好的贯彻与演练实施，导致一但发生重大安全问题无法快速进行故障的排除和解决，安全隐患较大。 安全运维 应急预案3 等级保护方案设计3.1 安全方案设计思路XXX大学信息系统安全保障建设的基本思路是：以保护信息系统为核心，严格参考等级保护的思路和标准，从多个层面进行建设，满足信息系统在物理层54、面、网络层面、系统层面、应用层面和管理层面的安全需求，建成后的安全保障体系将充分符合国家等级保护标准，能够为XXX大学信息系统稳定运行提供有力保障。天融信设计的XXX安全保障体系建设的主要要点包括以下四个方面：3.1.1 构建分域的控制体系信息系统安全等级保护解决方案，在总体架构上将按照分域保护思路进行，本方案参考IATF信息安全技术框架，将信息系统从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施；因此方案将从保护计算环境、保护边界、保护网络基础设施三个55、层面进行设计。3.1.2 构建纵深的防御体系信息系统安全建设方案包括技术和管理两个部分，本方案针对XXX大学信息系统的通信网络、区域边界、计算环境，综合采用访问控制、入侵防御、恶意代码法防范、安全审计、防病毒、传输加密、集中数据备份等多种技术和措施，实现业务应用的可用性、完整性和保密性保护，并在此基础上实现综合集中的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力。3.1.3 保证一致的安全强度信息系统应采用分级的办法，采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防56、护体系。因此在建设手段上，本方案采取“大平台”的方式进行建设，在平台上实现各个级别信息系统的基本保护，比如统一的防病毒系统、统一的日志系统、统一的审计系统，然后在基本保护的基础上，再根据各个信息系统的重要程度，采取高强度的保护措施。3.1.4 实现集中的安全管理信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平台，实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管，通过关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全57、事件的发生。3.2 安全技术方案详细设计3.2.1 确定保护强度根据信息安全技术 信息系统等级保护安全建设技术方案设计规范，在信息系统进行安全防护系统规划的过程中，必须按照分域、分级的原则进行规划和设计，要划分具体的安全计算环境、安全区域边界、安全通信网络，并根据信息系统的等级来确定不同环节的保护等级，实现分级的保护。XXX大学信息系统全网为等级保护三级，因此计算环境、区域边界、通信网络以及管理中心严格按照等级保护三级技术要求进行建设，服务和安全保护强度均为三级。本文借鉴IATF架构和等级保护设计要求对网站的安全解决方案进行描述，分为计算环境，区域边界、通信网络和安全管理中心，在技术措施上根据58、上述四个方面进行了归类和划分，但并不代表他们之间没有关系，恰恰相反这四部分以管理中心为基础，之间相关管理，互相支撑。比如集中审计，在本方案中，计算环境、区域边界和通信网络都会涉及集中审计，所有的日志收集均有该系统完成，通过管理平台形成一个分布式的审计系统，有管理平台统一管理。 3.2.2 安全域划分与隔离3.2.2.1 安全需求 XXX大学校园网承载着为全校师生提供服务的数字XX、邮件、网站等多个业务系统，这些业务系统彼此承载的数据、应用人员分属不同的部门和类别，因此，不同的业务系统具有不同的安全防护需求； XXX大学承载的多个网络区域中，其VLAN划分是根据楼层来定义，需要根据用户所属的职能59、部门，调整VLAN划分策略，确保跨部门的访问得到有效的控制； XXX大学校园网承载着多个业务系统，这些业务与其他网络区域及业务系统可能存在多个数据交互的边界，需要在这些边界实时统一有效的安全防护策略。3.2.2.2 解决方案根据XXX大学网络与信息系统各节点的网络结构、具体的应用以及安全等级的需求，可以考虑使用逻辑隔离技术（VLAN或防火墙技术）将整个XXX大学的网络系统划分为三个层次的安全域：第一层次安全域：将整个XXX大学网络信息系统看作是一个大的安全域，包含基础网络、数字XX、XXX大学邮件、门户网站等多个局域网及应用系统；第二层次安全域：将同安全等级各应用系统从逻辑上和物理上分别划分。60、设立DMZ区域，一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于学院内部网络和外部网络之间的小网络区域内，在这个小网络区域内放置一些必须公开的服务器设施，如学院的Web服务器、FTP服务器和论坛等。另一方面，通过一个DMZ区域，更加有效地保护了内部网络，增加外部攻击者的攻击难度；第二层次安全域划分示意图DMZ区划分示意图第三层次安全域：主要是各应用系统内部根据应用人群的终端分布、部门等划分子网或子系统；可能包括以下安全区域： 各业务部门安全区：主要根据办公网内各业务部门职能划分VLAN，对过去根据楼层划分的VLAN进行调整，同一职能部门的终端划分为同一VLAN，不同职能部门间VLAN数据交61、换需要经过三层网络设备或防火墙实施访问控制策略。3.2.2.3 建设效果 可以有效制定边界安全策略； 便于安全产品部署，提高网络与信息系统防护能力； 满足未来发展需要，灵活性和扩展性更好； 为将来的集中管理奠定技术基础。3.2.3 本地备份系统3.2.3.1 安全需求 XXX大学重要业务系统的应用无法通过备份软件定期保存，如发信息系统严重的安全事件，可能导致重要信息系统无法及时恢复； XXX大学信息系统未采用数据级备份，如发信息系统严重的安全事件，可能导致重要数据丢失、不可恢复。3.2.3.2 解决方案第一阶段：建设备份存储系统，实现数据级备份通过备份软件对重要业务系统的数据进行统一数据备份管62、理，将数据集中备份至虚拟带库。并制定磁带备份策略。从而实现XXX大学的数据级备份。与传统磁带库相比，虚拟磁带库拥有以下优势： 最佳的备份速度和可靠性 VTL 通过将磁盘仿真为行业标准磁带库，提高了现有第三方备份应用软件的速度和可靠性。VTL 使用光纤通道 (FC) 或 IP ，以极高速度向基于磁盘的虚拟磁带传输数据并从基于磁盘的虚拟磁带复原数据。VTL 通过消除机械手故障和物理磁带介质错误，使得其可靠性达到最优，改善了备份和复原的成功率。 可用性和性能始终是 IT 人士关心的关键问题， VTL 解决方案采用存储控制器感知的 I/O 负载平衡并使用智能存储系统大型数组的透明故障切换和故障回复功能63、。也可以将两台 VTL 专用管理器配置为双工，将服务的可用性发挥到最大。 降低了备份的设备和管理成本 VTL 的固有能力是可以通过 FC 或 IP SAN 聚集和供应备份资源和虚拟磁带机/带库，在此基础上，这种独特的解决方案根据策略，通过基于 IP 的增量复制选项提供了新一级的集中式管理，其中的复制选项通过 IP 以点对点或多对一的配置复制虚拟磁带。VTL 通过让用户使用回滚或已加载的快照触发整个磁盘或文件恢复，从而显著降低了原来在 IT工作者身上所要消耗的管理费用。VTL 还消除了对带库共享选项的依赖需要，来协调对 FC 磁带机/带库的访问。 提供持续数据保护 除了利用磁盘速度和多重数据流的64、能力来满足备份窗口的要求外， VTL 还提供持续数据保护 (CDP) 选项。CDP 将VTL 转换为一个基于磁带和基于磁盘备份的单一平台，提供高速、可靠的，同时减少了数据损失，将停机时间降到最低，帮助客户实现恢复点和恢复时间目标。 VTL 基于磁盘的备份模式使 CDP 可以持续的复制并记录传入的信息，提供无数已知的好的时间点。生成的副本包含处于稳定状态的应用程序、和电子邮件数据，允许用户根据需要快速恢复关键业务数据。CDP 也扩展了VTL的 快速数据恢复功能的综合范围，包括通过 iSCSI、光纤通道 HBA 或 PXE 进行远程启动恢复以及通过恢复光盘对整个系统进行复原。 支持在线和离线两种磁65、带复制方式 由于 VTL 是基于磁盘的，所以备份到虚拟磁带的速度从本质上就比传统磁带备份要快，使得在指定的备份窗口内可以顺利完成相关备份。同时这还解决了备份面临的一个关键挑战，即许多高效面临服从性和长期的归档命令时，都被要求在磁盘或物理磁带（或两者）上为备份的数据保留冗余副本的问题。 VTL 是一站式解决方案：除了备份和复原外，VTL 使数据易于从一张磁盘复制到另一张磁盘，或从虚拟磁带导出到物理磁带，以便进行现场磁带复制和异地磁带搬运。 磁带复制 通过VTL 控制台，虚拟磁带可以自动地（通过策略）或根据需要被导出。VTL 也允许使用备份应用程序的复制功能将数据拷贝到物理磁带。不论哪种方式，虚拟66、磁带和物理磁带之间的数据移动都是在后台离线状态下进行，因此可以在任意方便的时间内执行这种处理操作，而不会影响生产应用程序服务器的性能。 磁带搬运 为了达到磁带搬运的目的，VTL 可以将数据复制到远程站点，在这些站点上可以将数据存储到基于磁盘的虚拟磁带，也可以将这些数据导出到物理磁带。这种复制处理效率很高，因为它独立于生产服务器并使用节约带宽、基于增量的算法，通过 IP 跨越任意距离，将数据复制到异地远程位置。 集中并简化了分支机构的备份 VTL简化、整合分散在远程办公地点的数据备份到一个集中的数据中心，实施整个高校范围的数据保护。VTL 允许远程备份服务器通过 IP 访问虚拟磁带机/带库，同时67、使得这些服务器可以使用中央数据中心的备份设备。VTL 提供的异地备份功能使得不必在每个场所都进行备份存储，并对远程办公地点提供了另外的数据保护。另外，由于是集中备份，所以可以方便地管理并对整个企业的数据进行可靠归档。 提供与现有 IT 环境的无缝集成 市面上多数VTL 可以无缝集成到现有 IT 环境中。虚拟磁带库部署示意图如下：第二阶段：建设备用服务器系统，实现应用级备份完成备份存储系统建设后，建设应用服务器应用虚拟化部署，XXX大学所有应用系统及数据将以文件形式存放在主机房或备份机房的存储设备中，当发生异常情况时，虚拟化系统将通过动态迁移、容错技术，实现零宕机、零数据损失的故障切换，最终形成68、XXX大学应用级数据备份。3.2.3.3 建设效果 建立一个完整的备份系统，实现XXX大学业务系统与数据库的本地备份。 实现零宕机、零数据损失的故障切换，保障XXX大学业务可用性和数据可恢复性。3.2.4 网络链路冗余改造3.2.4.1 安全需求XXX大学网络结构采用单一核心设备及单一链路，故易出现网络单点故障3.2.4.2 解决方案XXX大学网络承载着学院众多的应用系统，一旦发生网络链路的单点故障事件，将为学院教职员工及学生带来极大的不便。长时间的信息安全事件可能会引起群体性事件。但考虑到高校网络对信息系统实时性要求的特殊性及经济承受能力，XXX大学网络链路冗余改造设计为核心设备Intern69、et和核心设备重要应用服务器的链路冗余，核心交换汇聚交换接入交换单链路设计。这样设计在保证网络高可用同时，也保证了方案的经济性和适用性。改造后拓扑示意如下：在原有网络基础上，以网络出口核心交换设备重要应用区域链路上所有节点设计双机热备构架，形成骨干网络的链路冗余。保证任何一个节点失效不影响整个网络的连通性。两条链路互为热备，并通过合理的配置与设计，让两条链路分担网络中传输的通信流负载，这样网络冗余不仅可以提高网络的可用性，而且还可以提高网络的总体性能。3.2.4.3 建设效果 主干网络有一定的冗余和备份，故障恢复迅速； 在用户数据较多、突发流量大的情况下，避免出现网络瓶颈。3.2.5 PKI基70、础设施3.2.5.1 安全需求 XXX大学校园网承载着多个业务系统，每个业务都有自己独立的用户访问认证方式，虽然建设了统一身份认证，对于特殊类型的用户比如教师用工号进行认证缺乏必要的安全性，如果一旦工号丢失或盗用，会给用户或集体造成损失和风险； 数字XX等核心业务应用认证方式主要基于用户名/口令方式，访问控制措施薄弱，缺乏管理和授权保护； XXX大学的人员、设备、应用等实体缺乏全局、统一的数字身份，难以解决给大量人员网络身份识别安全的问题； 上层业务系统缺乏保密性、完整性和真实性的支撑服务； 信息安全传输、安全存储和抗抵赖缺乏有效的防护手段。 3.2.5.2 解决方案PKI/CA体系构建在XX71、X大学应用系统前端，包括认证中心、注册中心、密钥管理中心、统一身份认证接口等几个部分。新华社PKI/CA认证体系部署示意图如下：各院所网络区域核心网络区域XXX大学PKI/CA系统部署结构示意图CA安全区：主要承载CA Server、主从LDAP、数据库、加密机、OCSP等；其中CA服务器负责全网数字证书签发、主从LDAP为全网数字证书的查询提供服务、加密机用于产生CA中心的签名密钥对；OCSP服务器主要为数字证书应用提供实时在线查询服务。KMC管理区：主要承载KMC Server、加密机等；KM Server为CA Server提供加密密钥的存储及管理服务；加密机用于产生通信加密的对称密钥；72、KMC管理区承载的各种设施部署在数字XX的网络安全域，并通过VLAN及防火墙等技术与CA安全区实现逻辑隔离；RA注册区：主要承载各院所的RA注册服务器，为各院所的师生管理提供数字证书注册服务；该区域与CA安全区的通信采用加密的安全方式传输，并在区域边界实施逻辑隔离。3.2.5.3 建设效果通过建设全网统一的PKI/CA认证基础设施，为全网教师建立了唯一可识别的数字身份证书体系，有效地保障了XXX大学全网信息系统数据访问的机密性、完整性及不可抵赖性，为今后XXX大学已有及新建信息系统提供了基础的保障平台；同时，以“集中认证、分管注册”的指导思想部署的数字证书系统，充分地满足了目前XXX大学用户众73、多、部门分管负责、账户集中管理的现状及发展需求。具体表现为： 所有人员和信息系统建立全局集中的数字身份，并与已建的统一身份认证系统集成，实现集中认证； 为相关的应用系统提供安全支撑服务，解决信息传输、加密和关键操作抗抵赖问题； 提升原有业务系统的认证强度，并支持网络、主机、操作系统和应用等多层次的安全登陆问题； 解决内部人员越级访问敏感信息及恶意篡改问题。3.2.6 安全审计管理3.2.6.1 安全需求 对内网用户访问行为缺乏监控，用户的操作行为不透明，事先无法控制恶意行为，事后无法对事件进行定位追溯，如果有恶意的用户操作行为会给业务系统带来风险。 信息系统中没有建立审计机制，并没有建立相应的74、网络审计模块、主机审计模块、数据库审计模块和安全设备审计模块等，没有建立定期针对某些事件信息数据进行安全审计的机制，确保信息系统采用的安全控制的有效性。 不能集中发现网络内的恶意操作行为，缺乏既定策略识别非授权访问、入侵等现象，并进行分析。受控对象的活动没有进行安全审计，不能为网络、系统与应用安全管理人员及高层管理人员提供一个监督、检查当前信息系统运行状况的有效手段。3.2.6.2 解决方案综合安全审计管理基于信息系统日常应用、安全运维、安全事件预警的信息采集、数据关联、数据分析、数据输出为用户提供全面的安全审计管理功能。系统中采用内网审计、运维审计、设备日志审计等子系统构成。系统逻辑部署如下75、图：综合安全审计管理系统部署示意图内网审计系统以旁路方式接入，通常采用交换机数据镜像，将需要审计关注的数据镜像到系统的数据采集端口。运维审计系统采用物理旁路，逻辑串联的方式接入用户网络。接入点为服务器区的出口。设备日志审计系统直接部署于网络中保持与被采集设备网络互通即可。内网审计管理系统包括：数据库类（SQL Server、DB2、Oracle、 Sybase、MySQL）、运维管理类（Telnet、FTP、NetBIOS）、业务类（HTTP、POP3、SMTP）；同时，系统支持对其他协议基本信息的审计，并能方便的扩展对其他协议更细粒度的支持；采用领先的协议识别和智能关联技术，提供全面深入的协76、议分析、解码、回放，审计内容包括登录账号、持续时间、流量、操作命令、操作对象、操作参数、关键字、敏感数据、涉密信息、操作执行结果等等；采用多级审计体系，从不同的角度和层次来反映发生在用户和被保护资源间的各种访问和操作，包括了会话级、记录级、事件级、详细级审计，对不同的保护资源根据其重要性采用不同的审计级别进行审计，可以有效地节约计算和存储资源，又能实现对等级保护原则的支持。运维审计管理系统通过对信息系统各类安全事件进行收集、记录，分析用户操作行为，定位操作者的来龙去脉，重建事件过程，直至完整的分析定位事件的本源且审计日志不可篡改、不可否认，为安全管理提高策略依据和分析工具。系统支持字符终端访问77、控制：基于用户、设备IP、登录IP、设备账号、日期、时间、命令集、空闲时间任意逻辑组合的字符终端访问控制策略；支持图形终端文件传输控制：针对图形终端系统, 支持文件传输、剪贴板功能的开启或关闭控制；支持基于Web的B/S交互和C/S交互方便用户的应用；全面支持各类字符终端（ssh，telnet）、图形终端（RDP、VNC、X11）、文件传输（FTP、SFTP)、数据库管理工具、KVM、企业自定义应用的单点登录等。设备日志审计采用典型设备日志采集协议：SNMP、SYSLOG、自定义等，对主机设备、网络设备、安全设备等基础设施系统安全日志进行采集、归档、分析、输出，最终形成全面的报表，提供高危日志78、告警等预处理功能。综合安全审计管理系统提供多级授权管理支持集成第三方认证、高效查询功能、强大的报表生成功能；系统管理支持配置备份、还原，支持双机热备，支持“集中管理、分级部署”，支持高性能高可用负起均衡集群部署，系统自身具有系统审计功能，对管理员配置变更、用户操作登陆等信息有详细的记录和日志查询。3.2.6.3 建设效果 有效减少业务系统核心信息资产的破坏和泄漏,降低损失； 有效控制运维操作风险，便于事后追查原因与界定责任； 有效控制业务运行风险，掌握业务系统安全状况,全局把控； 审计任何合法和非法操作行为，以便发现问题后查找原因； 对用户访问过程中的登录、登出以及完成的各种操作等事件进行统计79、和分析，为公司管理人员提供管理网络、内部人员、第三方人员的强有力证据； 对业务系统的访问流量进行统计，进一步掌握安全趋势，为故障定位和解决提供有力依据，以帮助管理人员快速有效解决问题； 解决运维过程中无法对图形界面的审计难题，实现系统运维中图形、字符、安全客户端等全面的支持。3.2.7 漏洞扫描系统3.2.7.1 安全需求 当前采用人工定期的对网络安全自我检测、评估； 安装新软件、启动新服务后的检查，缺乏相应的安全检测； 信息系统建设和改造前后的安全规划评估和成效检验目前没有开展； 信息系统的安全建设方案和建设成效缺乏有效评估依据，无法真实得到相应数据； 信息系统出现安全事故后无法对安全事故的80、分析调查； 对重大安全事件前缺乏有效的准备；3.2.7.2 解决方案漏洞扫描系统按照具体功能的包括：资产管理、漏洞扫描、漏洞分析、漏洞管理以及自身管理功能等模块，基于WEB方式构成整个漏洞扫描平台，系统部署示意图如下：漏洞扫描系统部署示意图通过部署漏洞扫描系统将实现如下功能：资产管理系统能够采用多种不同的方式自动发现网络资产，能够把资产管理和组织结构或者网络拓扑结构紧密结合；支持IP地址、域名和地址簿等多种资产管理方式；支持通过Excel文件将地址导入到地址簿功能。资产管理能够将资产的重要性量化，并且通过形象的图示将资产的风险值和的风险等级直观地展现出来，并且能够将节点、风险及对应责任人相关联81、。漏洞扫描漏洞知识库从操作系统、服务、应用程序和漏洞严重程度多个视角进行分类，需要给出具体的分类信息。支持对漏洞信息的检索功能，可以从其中快速检索到指定类别或者名称的漏洞信息，并具体说明支持的检索方式。提供漏洞知识库中包含的主流操作系统、数据库、网络设的备列表信息。提供专用的安全检测模块对常见的Web应用进行深度内容分析，精确识别SQL注入漏洞。能够扫描常见的网络客户端软件（网络防病毒Symantec、TrendMicro、McAfee）的安全漏洞。漏洞知识库漏洞信息大于2000条，提供详细的漏洞描述和对应的解决方案描述；漏洞知识库与国际CVE标准兼容，并提供CVE Compatible证书。82、漏洞知识库和漏洞检测规则支持手动升级和自动升级，支持本地升级和在线升级，在线升级支持代理方式升级。支持对多个扫描任务并发执行，支持多任务自动调度。系统内置不同的策略模板如针对Unix、Windows操作系统等模板，同时允许用户定制扫描策略；用户可定义扫描范围、扫描使用的参数集、扫描并发主机数等具体扫描选项。可以在扫描过程中人工指定包括SNMP、SMB等常见协议的登陆口令，登陆到相应的系统中对特定应用进行深入扫描。可定义扫描端口范围、端口扫描方式，支持多种口令猜测方式，包括利用Telnet, Pop3, Ftp, Windows SMB等协议进行口令猜测，允许外挂用户提供的字典档。允许管理员配置83、扫描通知，在扫描任务运行开始时向被扫描的资产发送扫描通知；具体说明针对不同操作系统（如Windows、Linux、Unix等）具体的实现方式。漏洞分析能够对扫描结果数据进行在线分析，能够根据端口、漏洞、BANNER信息、IP地址等关键字对主机信息进行查询并能将查询结果保存。能够在线对多个已完成的扫描任务进行合并分析。提供趋势分析能力，能够对多次结果进行分析并给出网络和主机的漏洞分布和风险的趋势。漏洞分析报告应提供在线浏览报告和离线打印报告；离线报表提供针对不同角色的默认模板，允许用户定制报告的内容、报告的格式等。离线报告可以输出到HTML、WORD、EXCEL等文件，报告可以直接下载或通过邮件84、直接发送给相应管理人员。在线报表中对综述、主机、漏洞、趋势等信息进行分类显示；综述中应对漏洞和风险分布进行定量统计分析并展示；主机中应提供漏洞分布、风险值和风险等级信息，并能对主机信息根据不同字段进行排序和过滤显示，方便用户查看；漏洞中应提供漏洞详细信息和该漏洞影响的主机列表。漏洞管理提供XML、SNMP TRAP和HTTP等二次开发接口给其他的安全产品或者安全管理平台调用，并且提供具体接口的说明文档。对扫描出来的资产的安全漏洞能够发送邮件给对应的资产管理员，通知其限期内修复漏洞并自动对修复进行验证，实现对漏洞的有效跟踪和验证。提供对资产风险的多次趋势分析能力，能够有效地分析网络整体和主机的漏85、洞分布和风险的趋势。支持和微软WSUS补丁系统的联动，能够将补丁下发策略直接下发给客户端。管理功能安装、配置和管理维护较为简便；系统无须人工干预能够自动、周期运行，系统升级、扫描、结果分析和结果邮件自动发送等能够自动执行。支持分布式部署，上级节点能够统一管理和控制下级节点，下级节点能够自动将扫描结果上传到上级节点；请说明分布式部署使用的通信端口。提供审计功能，能够对登录日志、操作日志和异常报告进行记录和查询。提供备份恢复机制，能够对扫描结果、日志、扫描模板、参数集等配置文件进行导出和导入操作；能够对系统创建还原点对系统进行备份和还原。3.2.7.3 建设效果 网络管理人员可以定期的进行网络安全86、检测服务，可帮助用户最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效的利用已有系统，优化资源，提高网络的运行效率； 有效避免形式多样的漏洞给信息系统构成的安全隐患，如安装新软件和启动新服务都有可能对原来业务系统造成危害，因此进行这些操作之后应该重新扫描系统，才能使安全得到保障； 配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全规划评估和成效检验； 信息系统安全事故后可以通过漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在，帮助弥补漏洞，尽可能多得提供资料方便调查攻击的来源； 重大安全事件前网络漏洞扫描系统能够帮助用户及时的找出网络中存在的隐患和漏洞，帮助用户及时的弥补漏洞87、。3.2.8 Web防火墙3.2.8.1 安全需求进年来随着信息化的不断发展，互联网的应用已经普及，学校的好多应用系统提供对外的WEB服务，方便了用户的使用，但是，有好多不法分子利用WEB服务的漏洞进行攻击和破坏，窃取和篡改数据，造成了很大的经济损失和很坏的社会影响；网页被篡改的原因主要是操作系统复杂性、应用系统漏洞，管理员无法有效实现密码管理，漏洞补丁定期更新，控制钓鱼、木马、间谍软件等；传统安全设备（防火墙、IDS、IPS）由于部署位置、规则设定（必须允许重要协议不受限制地访问Web应用），一旦攻击代码嵌入到Web 通信中，将无法起到保护作用；IDS/IPS作为防火墙的有利补充，加强了网络88、的防御能力，这些设备对应用协议的理解和作用存在局限性，会出现虚假报告，系统效率无法保证；内部或外部非授权人员对页面和内容进行篡改和信息窃取的可能性很大。3.2.8.2 解决方案本方案将Web应用防火墙部署在出口防火墙后面，与防火墙协同构建总体防御体系，采用双机热备模式部署，硬件支持BYPASS转发功能，即使设备出现故障也不会造成网络中断，不影响业务运行，降低业务运行风险。部署示意图如下：通过部署Web应用防火墙将实现如下功能：u 高可用性支持：系统支持软件调试模式和硬件BYPASS转发。u HTTP 和 HTML 支持：系统支持常用的HTTP版本、支持常用的HTTP编码方式、支持常用的HTML89、解析、支持常用的文件传输方法、支持多种字符集编码。u 检查技术：系统支持数据还原、支持黑名单机制、支持白名单机制、支持规则库。u 保护技术：系统支持SQL注入攻击防护、支持跨站脚本攻击防护、支持恶意代码执行防护、支持网页挂马防护、支持网页防篡改、支持OS命令注入防护、支持站点漏洞扫描、支持其他Web应用威胁防护。u 日志：系统支持唯一的事务ID、提供访问日志、提供事件日志和通知、提供完整的事务日志、支持日志访问和导出、支持日志留存、日志滚存。u 报告：系统提供报表功能、提供报表导出功能，并支持常用的报表格式 。u 管理：系统支持策略管理、支持DDoS特征自学习机制、支持配置管理、支持用户验证和90、角色管理、支持信任主机、支持攻击特征库升级和安装、支持远程管理、支持常用的管理方式、支持独立管理接口、支持口令认证。3.2.8.3 建设效果 通过部署Web应用防火墙可以为XXX大学提供安全的Web业务环境，保障Web应用系统的稳定运行； Web应用防火墙对于因Web代码编写不严谨而造成的漏洞，具有先天的免疫作用；避免某些系统开发中存在的安全问题；Web应用防火墙与网络防火墙共同构成全面的安全防御屏障，有效保护外部及内部非法用户的恶意攻击。3.2.9 安全管理平台设计根据等级保护技术要求，应实现网络的应急处理和可信网络设备连接，方案引入信息安全管理系统来很好地解决这些问题。将门户网站网络的安全91、管理和监控纳入信息安全管理平台建设中。l 部署位置：安全管理服务器区域l 实现功能：1、 拓扑管理策略：提供强大的物理拓扑结构发现、物理拓扑管理与分区域分层次展示功能，让管理员正真看清楚“黑匣子”（网络）内部的结构。2、 防止网络设备的非法接入：网关系统对网络设备的资产进行全面的管理，如果发现有非法的网络设备接入后，系统将自动收集到网络设备的相关信息，并通知系统管理员采取必要的措施，限制非法网络设备的使用。3、 配置管理策略：通过网管系统可定期备份关键网络设备的配置信息，展示网络设备面板图。4、 资产管理策略：网管系统可统计网络中的所有IT资源，包括：子网、IP、MAC、端口、链路、Vlan、92、资产变更等，管理员对自己的家底真正做到心里有数。5、 故障管理策略：网管系统可监测网络故障，实现告警相关性分析，快速故障定位。当有异常情况或征兆时能够及时给管理员提示，管理员可以根据故障严重程度合理安排运维计划，从而实现对网络的有效应急处理。6、 流量管理策略：网管系统可对整网的流量进行分析，让管理员了解每一条链路的流量大小，网络内部流量压力分布一幕了然。发现网络性能瓶颈，优化网络结构，提升网络性能。7、 性能管理策略：网管系统通过各种监测手段收集网络内各种资源的运行状态，分析其性能指标，告诉管理员目前那些资源性能压力过大，那些空闲。管理员根据这些性能信息合理的优化网络或规划网络扩容。l 实现93、效果满足等级保护安全运维管理的基本要求。3.2.10 安全实施过程管理天融信在系统定级、规划设计、实施过程中，协助用户对工程的质量、进度、文档和变更等方面的工作进行监督控制和科学管理，具体活动内容包括： 质量管理：质量管理首先要控制系统XXX的质量，保证系统XXX始终处于等级保护制度所要求的框架内进行。同时，还要保证用于创建系统的过程的质量。在系统XXX的过程中，要建立一个不断测试和改进质量的过程。在整个系统的生命周期中，通过测量、分析和修正活动，保证所完成目标和过程的质量。 风险管理：为了识别、评估和减低风险，以保证系统工程活动和全部技术工作项目都成功实施。在整个系统XXX过程中，风险管理要94、贯穿始终。 变更管理：在系统XXX的过程中，由于各种条件的变化，会导致变更的出现，变更发生在工程的范围、进度、质量、费用、人力资源、沟通、合同等多方面。每一次的变更处理，必须遵循同样的程序，即相同的文字报告、相同的管理办法、相同的监控过程。必须确定每一次变更对系统成本、进度、风险和技术要求的影响。一旦批准变更，必须设定一个程序来执行变更。 进度管理：系统XXX的实施必须要有一组明确的可交付成果，同时也要求有结束的日期。因此在XXX系统的过程中，必须制订项目进度计划，绘制网络图，将系统分解为不同的子任务，并进行时间控制确保项目的如期完成。 文档管理：文档是记录项目整个过程的书面资料，在系统XXX95、的过程中，针对每个环节都有大量的文档输出，文档管理涉及系统XXX的各个环节，主要包括：系统定级、规划设计、方案设计、安全实施、系统验收、人员培训等方面。3.2.11 服务交付物XXX大学等级保护设计方案XXX大学等级保护实施方案3.3 安全管理方案详细设计天融信安全顾问根据XXX现有的组织机构框架，借鉴已有的信息安全管理制度，并依据其他类似大型项目的丰富经验，采用先进成熟的理念，帮助明确信息安全工作在整个信息化工作中的地位、目标、原则以及策略，并协助XXX梳理安全组织架构和安全职责、完善安全策略，真正形成一套切实可行，具有指导意义且符合实际需求的信息安全管理体系，包括安全策略、安全标准规范、安96、全管理制度和日常管理操作规程等。3.3.1.1 建立安全管理制度及策略体系的目的帮助XXX对信息安全管理制度体系进行重新规划，重点是确定信息安全工作要求和指标的总体方针，完善信息安全管理规章制度、办法和操作流程，制定安全操作的技术标准和规范等，加强安全管理制度的执行力度，约束和指导信息系统各层管理和使用人员的操作行为，以确保整个网络系统的安全管理处于较高的水平。3.3.1.2 设计原则1）参考国家等级保护要求。2）安全策略重点保护物理和环境安全、信息资产分类管理、变更管理、业务连续管理、安全事故管理、审查评估。3）没有绝对的安全。信息安全工作应该以风险管理为基础，在安全、效率和成本之间均衡考虑97、。4）应参照业界的做法，充分考虑到行业标准以及国内的管理和法制环境来XXX。5）对保密信息的访问应遵循工作相关性原则、最小授权原则和审批、受控原则。3.3.1.3 安全方针信息安全方针应由XXX信息安全主管领导组织制定、下达和指导执行。根据设计原则和业务系统的特征制定总体安全方针：1、保障业务系统安全，就是业务系统不受不受黑客、非授权人员等攻击、渗透和篡改，保证可靠、及时的发布XXX为公众和其他国家机关提供的服务。确保业务系统在IT中实现的过程中的安全保障，涉及到业务系统业务管理安全、业务操作完整性、业务数据安全性等等。2、保障系统安全，也就是保障整个IT系统的安全性。3、满足法律法规要求。398、.3.1.4 信息安全策略框架3.3.1.5 总体策略在总体安全方针的指导下，制订四个层面的总体安全策略：第一、业务安全策略。建立和制定科学、合理的内部控制机制和业务流程。XXX业务管理制度参照了行业标准和国家法律法规，明确了XXX相关业务的管理控制要求。业务安全总体策略就是在此基础之上制定更加科学合理的内部控制机制。在明确内部控制要求和建立内部控制机制后，需要制定业务的流程，保障业务的顺利进行，这需要涉及到业务管理安全、业务事务完整性等方面。该部分由各业务部门加以落实。第二、应用系统安全策略。保证内部控制制度、流程的实现；保证业务信息和数据整个生命周期的安全。首先是通过应用系统的实现将制定的99、内部控制制度进行落实，将业务流程加以实现，同时要保证该过程确实将这些要求落实。其次，保证实现后的业务系统能够对业务处理的信息和数据在整个生命周期中的保密性、完整性、抗抵赖性。保障XXX重要信息的真实性和完整性。该部分由各业务部门和信息化部门共同加以落实。第三、基础设施安全策略。保证数据库、操作系统、业务中间件、网络等支撑业务应用的IT基础设施安全。业务和应用系统不是孤立存在的，是在IT环境中运行的，所以IT支撑环境的安全直接影响着整个业务的安全性。IT支撑环境安全策略就是保证数据库、操作系统、业务中间件、网络等支撑业务应用的IT基础设施安全。该部分由信息化部门加以落实。第四、运行维护安全策略。100、监控业务与系统的有效运行。前面三个方面只是强调了如何实现整个业务系统，如何保证业务系统的安全性，但是如何保证业务系统确实按照内控和既定业务流程在正常的运行，如何建立运行过程安全性的评价机制。这些需通过运行管理安全来实现。运行管理安全策略是：监控业务和系统的有效运行。该部分由信息化部门加以落实。3.3.1.6 服务交付物安全管理咨询，不仅限于如下安全管理制度：层次分类编制内容备注框架性安全管理制度安全体系安全管理体系框架XXX安全管理体系框架安全技术体系框架XXX安全技术体系框架安全策略信息安全策略XXX信息安全策略信息安全风险管理规范XXX信息安全风险管理信息安全检查规范XXX信息安全检查具体101、安全管理制度组织框架安全管理机构XXX信息安全管理机构岗位职责XXX信息安全岗岗位职责人员管理人员考核XXX信息安全岗岗位人员培训考核外部人员访问管理XXX第三方人员管理系统XXX管理系统定级制度XXX信息系统定级与等级保护管理安全方案设计XXX系统安全规划工作计划工程实施XXX安全项目和工程实施管理系统运维管理日常运维XXX信息系统日常运行维护管理环境管理XXX机房安全管理XXX办公环境信息安全管理资产管理XXX资产安全管理介质管理XXX介质管理设备管理XXX设备安全管理监控管理和安全管理中心XXX日志审计网络安全管理XXX网络安全管理系统安全管理XXX系统安全管理应用安全管理XXX应用安全102、管理恶意代码防范管理XXX恶意代码防范管理密码管理XXX密码使用管理变更管理XXX变更管理备份与恢复管理XXX备份和恢复管理安全事件处置XXX安全事件报告和处置管理应急预案管理XXX应急响应总体框架应急预案程序手册类系统安全操作系统安全操作规程操作系统安全操作数据库系统安全操作中间件系统安全操作网络安全操作网络设备安全操作网络设备安全操作网络安全设备安全操作网络安全设备安全操作记录表格类根据各个制度和程序手册的要求，形成的记录表格3.4 安全运维方案详细设计3.4.1 XXX大学门户网站安全监控3.4.1.1 天融信网站安全监控服务简介天融信安全监控服务，通过安全管理平台自动分析与人工分析相结103、合的方式，帮助客户从各类系统的海量日志信息中分析出可能发生的各类攻击行为及潜在的安全威胁，及时发现各类攻击事件，并及时发出预警，同时提供具体的解决方案建议，有效的弥补了当前安全设备相对孤立，缺乏信息之间关联分析的不足之处，提升客户信息系统的事件监控与预警能力，提高安全防护水平。天融信可以对用户网络中的安全设备、主机系统、应用系统等进行实时安全监控，帮助用户发现恶意扫描、SQL注入、暴力破解、DDoS攻击等攻击行为，并及时向用户预警，提供解决方案建议，协助用户对安全事件进行处理。实时监控的技术实现通过实时采集网络中的各种设备（如防火墙、IDS、防篡改设备、服务器、网络设备等）上的安全日志与事件，104、而后进行关联分析（包括场景匹配和关联计数）来发现入侵攻击行为。监控主要针对：1） 安全设备报出的安全事件类（连接、审计、认证、授权以及系统自身的告警）2） 网络和主机等设备的告警信息3） 数据库信息3.4.1.2 网站挂马监测服务u 服务内容网站被挂马不仅严重影响到了网站的公众信誉度，还可能对访问该网站的用户计算机造成很大的破坏。天融信挂马检测模块对XXX的网站使用基于高准确率静态匹配特征、云等多种检测手段，判别网站页面是否存在挂马，发现您的网站系统中被恶意植入的木马程序并及时向您进行预警。第一时间将威胁进行删除隔离，避免安全事件的进一步扩大所带来的严重后果。u 服务成果及时发现网站系统中被恶105、意植入的木马程序和恶意代码，定位挂马页面并第一时间进行预警，指导XXX删除木马程序和恶意代码。每月提供一份网页挂马监测分析报表，该报表将作为月度服务报告的一个章节提供。3.4.1.3 网站日志审计服务u 服务内容网站日志审计服务需通过在XXX服务器端部署通过安全管理平台，天融信安全专家对网站应用系统的访问日志进行监控，利用智能的安全规则匹配以及安全专家的分析，帮助XXX及时发现针对网站的恶意扫描、SQL注入攻击、XSS跨站攻击等可能给XXX网站系统造成影响的安全事件。u 服务成果每次发现网站安全事件并向XXX发布预警时，提供一份安全预警报告，对安全事件的详细信息及处理方法进行描述。每月提供一份106、网站安全事件分析报表，该报表将作为月度服务报告的一个章节。3.4.1.4 网站扫描服务u 服务内容天融信安全专家通过对XXX指定的网站系统、网络设备等进行安全扫描检查，帮助XXX发现网站存在的SQL注入漏洞、XSS跨站漏洞、CGI漏洞等高危安全漏洞及可能对XXX网站系统造成的影响，并提供安全扫描报告。常用扫描策略如下：n 代码安全如： SQL盲注、Cookie注入、源代码泄露、XSS、目录遍历等n 信息安全如：WEB应用程序错误、网站路径泄露、PHPINFO、弱口令、编辑器等n 配置安全如：敏感文件、敏感目录、目录浏览、应用后台弱口令、允许TRACE方法等n 服务器安全如：系统漏洞、服务端口、107、弱口令、应用服务漏洞等天融信网站扫描服务主要采用安全扫描工具扫描的方式实现。工具自动扫描具备以下特点： 基本上涵盖所有主机与应用系统的漏洞库； 稳定、高速的多线程IP段扫描方式； 高度准确性判断； 一切以保证目标系统的数据安全为前提； 对目标主机、应用系统正常工作的影响降至最小。u 服务成果通过对XXX的大学系统进行安全扫描，帮助XXX达到以下目的： 通过安全扫描确定XXX大学系统的安全状况。 通过安全扫描服务更加详细的了解XXX大学系统存在的安全漏洞、面临的威胁等。 通过安全扫描服务为XXX的安全改进工作提供必要的各类信息。每月进行一次全面的安全漏洞检测并提供一份安全漏洞扫描报表，该报表将作108、为月度服务报告的一个章节。每次发现安全漏洞后，提供漏洞修复方案建议，并可指导XXX对安全漏洞进行修复。3.4.2 应急响应服务3.4.2.1 服务内容应急响应服务是天融信为XXX提供的紧急事件的现场技术支持服务。当XXX的网站系统遇到突发的安全问题如：发生网络入侵事件、大规模病毒爆发、遭受拒绝服务攻击等，而限于XXX自身的技术人员、时间、精力等问题，无法及时对该事件及时地进行处理或解决时，天融信应急响应服务将现场帮助XXX以最快速度确定问题的根源，恢复务系统的连续性，阻止或最小化安全事件带来的负面影响。从而确保XXX网络的安全。应急响应服务的内容包括大规模病毒爆发的处理；入侵事件的分析、阻断、109、溯源；网络异常事件的分析与处理；拒绝服务攻击的防御等。3.4.2.2 服务方式在收到XXX的应急响应服务请求的告警信息后，天融信安全专家将在合同规定的时间内赶到XXX位于北京的机房现场，与现场人员对安全事件进行详细沟通，了解整个事态的发展情况。安全专家将从网络流量、事件现象、系统日志记录、桌面日志等中判断安全事件类型。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。安全专家将根据对事件的分析及原因的确定为XXX提供解决方案的建议。天融信为XXX提供的现场响应服务内容包括：l 抑制事态发展针对不同的安全事件，天融信的安全专家将为XXX提供相应的安全解决方案，抑制事态发展将事故的损害降低到最110、小化。通常的步骤包括系统和服务的隔离；系统或安全防御产品的配置修订等。l 排除系统故障根据安全事件类型的不同，提供恢复业务连续性、系统安全隐患的排查与消除等，彻底解决安全问题。l 恢复信息系统正常操作在根除问题后，如需要将帮助XXX进行系统级的恢复指导工作，指导XXX对其系统进行恢复、基础安全加固等，使网络系统能在尽可能短的时间内恢复正常的网络服务。l 事件的分析与建议报告安全问题的处理完成并不意味着其安全得到了保障，如果不进行相应的防御措施，相同的问题也可能再次发生，因此，天融信的安全专家在帮助XXX解决安全问题后，将针对该问题为XXX提供详细的安全事件分析报告，为XXX确定问题的原因、影响111、所存在的安全隐患以及防御同类问题的安全防护建议，帮助XXX做到安全隐患的消除。3.4.2.3 服务成果应急响应事件分析报告3.4.3 安全通告服务3.4.3.1 服务需求网络安全是一场永不停止的斗争，拥有丰富网络安全经验的天融信安全专家将时刻注意互联网上“黑客”攻击技术的发展和安全防范技术的最新演变，不断帮助XXX掌握最新的安全技术。安全信息发布服务的主要目的是提供XXX一个了解安全领域的最新发展，学习与安全相关技术知识的平台。3.4.3.2 服务内容XXX管理人员通过订阅安全信息邮件列表可以了解目前国际和国内安全领域的最新动态，最新的安全漏洞信息，以及如何确认系统是否存在该漏洞并加以解决。112、与通常的安全信息邮件列表相比有以下几个显著的特性：1) 特定性：这些漏洞信息是经过天融信安全专家筛选，并针对客户实际情况加以定制的，因此具有很强的针对性；2) 实用性：与安全漏洞相对应的漏洞验证方式和解决措施具有很强的可操作性，因为这些方式或措施都要求通过严格的测试验证，并确认是切实可行的；3) 可度量：针对不同的安全漏洞，根据其对安全的影响程度，会有不同警告级别，相应的漏洞验证和解决措施也会有根据其影响正常应用程度的不同级别。为了保护XXX的安全，对于我们自行发现的新的安全漏洞，我们将在发布给XXX后不少于一个月之后才对公众发布。3.4.3.3 服务过程通过邮件方式发送最新的安全通告。3.4113、.3.4 服务成果天融信每周安全通告3.4.4 网络及安全设备维护天融信将安排1名驻场工程师提供以下日常信息安全服务：天融信驻场工程师提供本次项目范围内的网络及安全设备进行维护，包括XXX大学运行所需的网络设备。 3.4.4.1 服务内容对项目范围内的网络及安全设备状态进行监控，及时了解网络的安全状况；及时报告故障设备，采取有效措施恢复故障；调整各类安全设备的部署，满足业务系统的安全需求；针对安全设备和安全软件及时时行升级维护，确保各类安全措施的有效性；及时发现、排除故障隐患，及时维护故障设备，确保全部在线的安全产品不间断的有效工作；做好关键安全设备的备品备件维护，确保整个网络安全；对安全设备114、定期整理和统计，做好资产管理。3.4.4.2 服务实现方式天融信驻场工程师对网络及安全设备等进行登记，建立资产管理机制，当有安全产品资产进行变更时，详细记录变更。当安全产品软件版本需要升级时，在升级维护前做好回退准备工作，防止由于产品升级造成系统故障。安全设备的备件也将纳入到资产管理中，并定期对备件进行检查，保证备件的可用性。天融信驻场工程师利用防火墙、入侵检测、漏洞扫描、防病毒、安全审计、堡垒主机等安全产品的后台管理系统，每日对安全产品的CPU、内存等设备运行主要参数进行查看，分析系统日志，对照设备基线操作手册及时发现有故障的设备。天融信驻场工程师一但发现有故障的设备，及时上报XXX相关负责115、部门，形成故障处理申请单。在获得XXX相关负责部门许可后，根据设备故障处理手册解决设备故障，并将整个过程详细记录在故障处理单，故障处理单存档形成每周/月/半年/全年故障处理报告。故障种类包括但不限于硬件故障、软件故障、网络连通故障等。根据XXX信息系统使用者的需求，天融信驻场工程师及时调整安全产品安全策略，保障XXX信息系统的运行高效、安全。3.4.4.3 服务交付物资产登记表资产管理维护表资产变更表资产安全策略表资产故障申请表资产故障处理表资产故障处理报告（每日、每月、每季度、半年、全年）3.4.5 系统安全维护天融信驻场工程师提供项目范围内的系统安全维护，包括系统服务器的操作系统以及安全设116、备维护服务等在线系统。天融信驻场工程师每日检查网络系统的安全状态，主动发现安全事件并加以分析解决，同时定期提交系统安全运行和运维报表、报告，系统安全分析评估报告。3.4.6 网络防护3.4.6.1 服务内容及时调整各个安全区域的安全策略，确保网络访问安全；及时调整安全设备的安全策略，确保安全策略的有效性；定期分析设备日志，编写安全分析报告。3.4.6.2 服务实现方式天融信驻场工程师根据网络安全现状，针对每个安全产品建立起安全策略表，并建立起安全策略变更机制。根据XXX信息系统使用者的需求，评估现有产品安全策略，生成安全策略变更计划，当安全策略变更计划通过XXX相关责任部门审批后，进行安全策略117、的调整，并更新维护安全策略表。每日对安全设备的日志进行分析，及时发现并上报安全事件和隐患，提交设备日志安全分析报告。3.4.6.3 服务交付物资产安全策略表设备日志安全分析报告3.4.7 系统加固3.4.7.1 服务内容不定期针对加固的系统进行漏洞扫描、攻击、渗透等方面的测试，确保核心设备、核心系统的加固有效性，并及时报告系统加固现状。在业务系统上线之前检查安全配置情况，并提供安全加固建议。3.4.7.2 服务实现方式安全加固是指针对XXX信息系统的服务器、安全设备的安全加固和安全配置优化，对网络设备的安全加固建议。通过定期的加固工作，将系统的安全状况提升到一个较高的水平。天融信驻场工程师在漏118、洞扫描、安全审计、渗透测试的报告结果基础上，对服务器、安全设备等方面存在的各类脆弱性问题进行提炼归纳，提出合理的切实可行的安全加固方案。安全加固方案在提交并经过XXX评审、许可后，进行安全加固实施，同时，必须指导、协助对各应用系统的操作系统、数据库系统、中间件和应用程序的安全配置、安全策略和安全机制进行XXX加固和完善，使应用系统符合安全防护要求，保证XXX信息系统的的安全可靠运行。安全加固的基本流程如下图所示：准备工作仔细分析评估结果，确认加固方案。准备加固工具 。操作时要边记录边操作，尽量防止可能出现的误操作。收集系统信息加固之前收集所有的系统信息和用户服务需求，收集所有应用和服务软件信息119、，做好加固前预备工作。做好备份工作系统加固之前，先对系统做完全备份。加固过程可能存在任何不可遇见的风险，当加固失败时，可以恢复到加固前状态。加固系统按照系统加固核对表，逐项按顺序执行操作。复查配置 对加固后的系统，全部复查一次所作加固内容，确保正确无误。应急恢复当出现不可预料的后果时，首先使用备份恢复系统提供服务，同时及时解决问题。为保证XXX信息系统的正常运行，加固过程中对信息系统造成的异常情况降到最低点，应对加固对象运行的操作系统和应用系统进行调研，制定合理的、复合系统特性的加固方案，并且加固方案应通过可行性论证并得到具体的验证，实施严格按照加固方案所确定内容和步骤进行，确保每一个操作步骤120、都对在线系统没有损害。另外为了防止在加固过程中出现异常情况，防止加固对系统造成损害，保证业务系统在诸如此类的灾难发生后能及时的恢复与运转，确XXX信息系统的的正常运行或异常情况的发生降到最低点，建议采用以下几点规避措施：模拟环境用户所提供的模拟环境，可以对加固方案进行验证，证明此次加固方案对客户在线业务系统是没有损害。模拟环境要求系统环境（操作系统、数据库系统）与在线系统完全一样，应用系统也同在线系统版本相同，数据可以是最近一次的全备份。系统备份l 全备份：用一盘磁带对整个系统进行完全备份，包括系统和数据。这种备份方式的好处就是很直观，容易被人理解。而且当发生数据丢失时，只要用一盘磁带（即灾难121、发生前的备份磁带），就可以恢复丢失的数据。不足之处：如果需要备份的数据量相当大，备份所需时间较长。l 增量备份：就是每次备份的数据只是相对于上一次备份后新增加的和修改过的数据。这种备份的优点很明显：没有重复的备份数据，即节省了磁带空间，又缩短了备份的时间。但它的缺点在于当发生灾难时，恢复数据比较麻烦。并且这种备份的可靠性也最差。l 差分备份：每次备份的数据是相对于上一次全备份之后增加的和修改过的数据。差分备份在避免了另外两种策略缺陷的同时，又具有了它们的所有优点。l 文件系统备份：对主机系统而言，要进行文件系统的备份。客户应根据具体需求对此次加固过程中可能所产生的不稳定情况制定良好的备份策略，122、从而确保业务系统的正常稳定运行。无论采用何种备份方式，系统备份的数据已进行了有效验证和妥善保管。冗余备份l 系统的所有模块均可以进行冗余分布式配置l 每个功能模块均可安装在单独的服务器上l 安装相同模块的服务器之间互为备份l 多个模块之间相互协作，发挥整体性能l 多模块分离保证了系统不会因为任一单一模块的问题而出现全局故障恢复恢复总是与一定类型的失效相对应的。在系统加固过程中如果出现被加固系统没有响应的情况，安全顾问立即停止加固工作，与XXX配合工作人员一起分析情况，在确定原因后，由XXX或系统提供商对系统进行正确恢复。按照以下的步骤进行恢复：l 记录系统故障现象和信息，以备分析。l 根据用户123、所采用的备份方式进行系统恢复，保证系统最短时间内恢复运行。l 恢复完毕后，建议用户进行重新备份并查找系统故障原因并记录。l 如果遇到无法解决问题，应由双方项目组工作人员共同协商解决。l 根据恢复类型和环境的不同，恢复所需的时间也各不相同。根据安全加固实施记录，编写最后的安全加固实施报告，对加固工作进行总结，对已加固的项目、加固效果、遗留问题进行汇总统计。3.4.7.3 服务交付物安全加固方案安全加固报告3.5 协助测评除了协助提供等保测评所需资料，天融信安全顾问还将配合测评机构的现场测评工作。天融信安全顾问将陪同XXX有关人员配合现场测评工作，协助回答测评人员问题，协助XXX完成大学系统通过国124、家等级保护的相应测评。3.5.1 准备资料在XXX向国家等保测评机构申请测评后，天融信咨询顾问将根据测评要求，协助补充和准备测评所需的文档资料，如机房安全管理制度及相关记录、安全职责书说明、安全漏洞检测和系统升级管理制度及相关记录、权限管理制度及相关记录、备份制度及相关记录、防病毒管理制度和记录、第三方人员管理制度、安全事件报告制度、应急管理制度和应用预案等，确保符合国家等级保护测评需要。3.5.2 现场协助天融信咨询顾问将陪同XXX有关人员配合现场测评工作，协助回答测评人员问题，协助XXX完成大学系统通过国家等级保护的相应测评。3.5.3 服务交付物XXX大学等级保护协助测评记录4 系统集成125、实施4.1 项目组织及人员安排项目领导小组 甲方领导 乙方领导 项目管理小组 乙方项目经理 甲方项目负责人 项目实施小组 项目支持小组 乙方实施人员 甲方管理员 乙方安全顾问 项目领导小组项目双方相关领导，就项目实施方向、变更事宜起决策作用。 项目管理小组项目双方项目经理，对项目具体实施的时间进度、成本控制及实施质量进行把握。 项目实施人员在项目中具体对服务对象系统进行操作，我公司会根据本项目具体情况，选择有相关技术特长的安全顾问对不同类型系统进行操作。 技术支持人员由于目前信息系统日趋复杂，我们在项目实施过程中，将同时有部分安全专家在后台对项目的实施进行技术支撑，保障项目执行的技术深度。 角126、色责任项目经理：为保障项目顺利实施，作为天融信接口人负责相关的协调工作，定期与XXX沟通，确定实施方案的执行情况及实施质量。安全顾问：负责项目实施文档、具体实施操作、操作记录整理，并整理相关项目报告。 分工界面XXX：提供项目实施必要的场地、在项目实施过程中配合天融信提供相关的网络接入，填写项目范围中所描述的有关内容。并对项目实施方案及项目报告进行确认。天融信：为XXX提供项目实施方案、与XXX讨论确认方案可行后，执行并做相关记录，整理项目报告并对XXX提出的相关问题进行解答。角色人员名单主要工作项目经理负责整个项目实施的协调及管理工作技术咨询顾问负责整个方案设计、集成实施技术咨询顾问负责集成127、实施技术咨询顾问负责技术类安全服务实施驻场工程师负责驻场服务的实施4.2 系统集成实施4.2.1 安全规划与实施阶段 服务实施阶段：等级保护方案设计 输入：系统差距分析报告、系统定级报告等 输出成果文档： l XXX大学等级保护实施方案l XXX大学等级保护实施报告4.2.1.1 阶段目标根据定级和差距分析评估的结果，进行总体分析，分析用户的安全需求，然后根据公安部的等级保护基本要求以及信息系统等级保护安全设计技术要求等标准，在满足用户在技术和管理层面的安全需求的前提下，进行安全规划和设计。根据XXX设计方案，进行技术（安全集成、安全加固）以及管理，从而满足等级保护要求。4.2.1.2 阶段任128、务天融信在系统规划和设计阶段，依据定级和等级差距分析评估的结果，进行总体分析，确认用户的安全需求，然后根据公安部的等级保护基本要求，满足用户在技术和管理层面的安全需求，具体过程包括：n 资产分析与赋值：简要分析用户的资产、资产价值、威胁、弱点和安全风险。n 安全需求分析：根据信息系统的安全保护等级，判断信息系统现有的安全保护水平与国家等级保护管理规范和技术标准之间的差距，提出信息系统的基本安全保护需求。n 总体安全设计：形成机构纲领性的安全策略文件，包括确定安全方针，制定安全策略，以便结合等级保护基本要求和安全保护特殊要求，构建机构信息系统的安全技术体系结构和安全管理体系结构。n 安全规划：形129、成可操作的安全规划项目，覆盖国家等级保护的基本要求，同时也要满足用户的实际需求。n 根据方案设计，编写集成计划，进行安全产品集成、业务应用系统开发及实施、管理制度编制，并编写系统集成报告。n 进行安全加固。对于三级及以上信息系统的方案设计，还需要XXX邀请专家进行设计方案的评审工作。主要工作如下：1) 提前沟通评审专家名单及联系方式，由XXX发出专家邀请函。2) 准备会议议程以及专家签到表。3) 准备方案评审的汇报PPT。4) 准备方案评审的专家评审意见模板。4.2.1.3 双方职责l 天融信职责 主导开展上述任务 协调与项目相关的资源与关系 负责编写交付品文档 安全规划的实施l XXX职责 130、配合天融信工作的开展 收集并提供所需的各种资料 联系专家，召开评审会议 协调相关人员 与天融信讨论方案意见4.2.1.4 主要工作成果XXX大学等级保护实施方案XXX大学等级保护实施报告4.2.2 协助测评阶段 服务实施阶段：协助测评阶段 输入：系统定级报告、管理制度清单、管理制度汇编、设计方案、项目验收报告等。 输出成果文档： 委托协助测评工作协议、工作确认单4.2.2.1 阶段目标除了协助提供等保测评所需资料，天融信咨询还将配合测评机构的现场测评工作。天融信咨询顾问将陪同XXX有关人员配合现场测评工作，协助回答测评人员问题，协助XXX完成主要信息系统通过国家等级保护的相应测评。4.2.2.131、2 阶段任务在XXX向国家等保测评机构申请测评后，天融信咨询顾问将根据测评要求，协助补充和准备测评所需的文档资料，如机房安全管理制度及相关记录、安全职责书说明、安全漏洞检测和系统升级管理制度及相关记录、权限管理制度及相关记录、备份制度及相关记录、防病毒管理制度和记录、第三方人员管理制度、安全事件报告制度、应急管理制度和应用预案等，确保符合国家等级保护测评需要。天融信咨询顾问将陪同XXX有关人员配合现场测评工作，协助回答测评人员问题，协助XXX完成主要信息系统通过国家等级保护的相应测评。4.2.2.3 双方职责l 天融信职责 主导开展上述任务 协调与项目相关的资源与关系 配合现场测评工作 负责编132、写交付品文档l XXX职责 协助开展上述任务 组织测评工作的展开 协调相关人员 与天融信讨论相关意见4.2.2.4 主要工作成果委托协助测评工作协议XXX大学等级保护协助测评记录4.2.3 项目验收 服务实施阶段： 项目验收阶段 输入：依据合同的交付结果、项目验收报告等 输出成果文档： 项目验收报告 4.2.3.1 阶段目标根据合同约定提交项目成果，并由XXX在项目验收报告上进行盖章。4.2.3.2 阶段任务整理汇总项目最终交付成果；准备项目总结汇报材料；向XXX管理层总结汇报项目得失与经验教训；完成项目验收工作；XXX在项目验收报告上盖章。4.2.3.3 双方职责l 天融信职责 主导开展上述133、任务 向XXX的项目团队和其他相关人员传授知识和技能 负责编写交付品文档l XXX职责 XXX负责人签收项目交付成果和交付清单 组织相关领导与安全专家，召开项目验收评审会 召开项目汇报会议 签署项目验收确认单4.2.3.4 主要工作成果 项目验收报告 项目汇报材料和汇报PPT4.2.4 工作成果文档序号阶段文档名称1.安全规划与集成实施 XXX大学等级保护实施方案 XXX大学等级保护实施报告2.协助测评 委托协助测评工作协议 XXX大学等级保护协助测评记录3.项目验收 项目验收报告 项目汇报材料和汇报PPT4.3 项目实施质量保证4.3.1 概述天融信非常重视质量保证工作，在天融信的各方面工作134、中，要坚决贯彻ISO-9000系列质量管理标准。在本项目的质量方针是“质量第一，用户至上，服务一流”。目前天融信已经根据SSE-CMM的要求建立起提供安全服务的质量保证体系，该体系不仅用于保证向XXX提供的安全服务的质量，同时还保证服务整个过程的质量，该体系同时还具备对质量的测量、分析和修正功能。4.3.2 项目执行人员的质量职责项目经理项目经理的质量责任主要是，贯彻公司质量方针、目标，执行质量体系文件的各项有关规定和要求，确保评估工作始终处于受控状态；积极运用优化技术和可靠性、可维护性、安全性等评估技术，确保评估满足质量要求。安全顾问安全顾问配合项目经理开展工作，其主要职责和权利是：制订本项135、任务的质量工作计划，并贯彻实施；负责对评估任务的全过程的质量活动进行监督检查，参与设计评审和其他重要的质量活动，其质量业务工作受公司质量部的指导监督。天融信安全服务质量保证体系严格贯彻以下过程。4.3.3 安全审计过程为确保我们提供服务的过程与预先定义的系统工程是一致的，所以我们建立了全程审计过程，记录服务过程与所定义过程的偏离以及偏离影响。在工程计划阶段，我们对所有项目内容的基本实施过程建立审计计划，跟据预定的计划进行过程审计，审计的主要内容包括项目实施过程中出现的异常过程及其造成的影响。审计过程由专人负责，该审计人员将参与服务全过程，并向质量经理报告工作，审计结果以文档和数据库的方式两种存136、档。4.3.4 内部反馈过程内部反馈过程是我们进行质量保障的重要制度保证，它强调质量保障的组织和制度能力，天融信成立了专门用于安全服务质量的质量保证部门，专职负责安全服务质量的持续提高，该部门独立于任何项目，但高度关注并参与到每个安全服务项目中，在项目经理和项目成员的配合下对服务质量和过程质量进行控制。质量管理部门负责收集来自内部员工的质量改进建议，并由专门的小组负责对建议进行评估，质量管理部门鼓励内部员工提出质量改进建议。在项目实施过程中，质量管理部门定期召集项目人员开会，讨论项目过程的质量问题，并征集质量改进建议。4.3.5 质量改进过程质量改进过程是为了不断改进质量而提出的可计划和可执行137、的特定行为，标明在工程过程中危及服务质量和过程质量的特定方面，并最小化冗余的系统。质量改进过程是有质量管理部门发起的，他们通过对项目过程的审计和评价结果，以及从内部反馈回来的质量建议进行综合，得出改进系统工程过程的建议，并制定相应的计划，最后发起质量改进过程，调动所有人员对质量进行改进。质量改进过程是周期性进行的，一般采取里程碑的方式，在若干个项目过程之后实施一次质量改进过程。4.3.6 改进需求检测最后，天融信通过维持持续的改进需求检测过程来保证质量的持续改进，天融信为改进需求建立了改进需求数据库，并建立了相应的应用系统，来保证对改进需求的版本控制，跟踪，这包括服务改进需求、过程改进需求、审138、计过程和故障报告。4.4 风险规避措施为保证XXX业务系统的正常运行，修复过程中对XXX业务系统造成的异常情况降到最低点，对修复对象运行的操作系统和应用系统进行调研，制定合理的、复合系统特性的修复方案，并且修复方案应通过可行性论证并得到具体的验证，实施严格按照修复方案所确定内容和步骤进行，确保每一个操作步骤都对客户在线系统没有损害。另外为了防止在修复过程中出现异常情况，防止修复对系统造成损害，保证业务系统在诸如此类的灾难发生后能及时的恢复与运转，确保客户业务系统的正常运行或异常情况的发生降到最低点，采用以下几点规避措施：4.4.1 模拟环境在实际检测实施前，如有条件可以由XXX所提供一个信息系139、统模拟环境，可以对修复方案进行验证，证明此次修复方案对XXX在线业务系统是没有损害。模拟环境要求系统环境（操作系统、数据库系统）与在线系统完全一样，应用系统也同在线系统版本相同，数据可以是最近一次的全备份。4.4.2 系统备份在实际检测实施前，应对信息系统数据和文件进行一次全面备份，以在出现风险时可以及时恢复全部数据。备份可以分以下几种模式：n 全备份：用一盘磁带对整个系统进行完全备份，包括系统和数据。这种备份方式的好处就是很直观，容易被人理解。而且当发生数据丢失时，只要用一盘磁带（即灾难发生前的备份磁带），就可以恢复丢失的数据。不足之处：如果需要备份的数据量相当大，备份所需时间较长。n 增量140、备份：就是每次备份的数据只是相对于上一次备份后新增加的和修改过的数据。这种备份的优点很明显：没有重复的备份数据，即节省了磁带空间，又缩短了备份的时间。但它的缺点在于当发生灾难时，恢复数据比较麻烦。并且这种备份的可靠性也最差。n 差分备份：每次备份的数据是相对于上一次全备份之后增加的和修改过的数据。差分备份在避免了另外两种策略缺陷的同时，又具有了它们的所有优点。n 文件系统备份：对主机系统而言，要进行文件系统的备份。客户应根据具体需求对此次修复过程中可能所产生的不稳定情况制定良好的备份策略，从而确保业务系统的正常稳定运行。无论采用何种备份方式，系统备份的数据已进行了有效验证和妥善保管。4.4.3141、 系统恢复恢复总是与一定类型的失效相对应的。在系统修复过程中如果出现被修复系统没有响应的情况，安全顾问立即停止修复工作，与客户配合工作人员一起分析情况，在确定原因后，由客户或客户系统提供商对系统进行正确恢复。按照以下的步骤进行恢复：n 记录系统故障现象和信息，以备分析。n 根据客户所采用的备份方式进行系统恢复，保证系统最短时间内恢复运行。n 恢复完毕后，配合客户进行重新备份并查找系统故障原因并记录。n 如果遇到无法解决问题，双方项目组工作人员共同协商解决。n 根据恢复类型和环境的不同，恢复所需的时间也各不相同。4.4.4 时间选择脆弱性检测过程中一般不会对系统资源造成影响，但应避免业务高峰期、142、客户使用系统和维护系统期间进行，同时应注意客户方各配合人员的作息时间合理调配检测时间，尽量在工作时间进行检测。4.4.5 过程监控整个检测过程应在客户方陪同下进行，由客户方进行过程监控，严禁在客户方不在场的情况下进行检测，以防止由于不熟悉情况、选错检测对象等情况造成的意外事件。4.5 项目验收4.5.1 验收标准天融信承诺会按照公司的质量监控和保证措施，由质量控制专员以及行业专家、项目组成员等保证项目交付品的最终质量。1) 完成XXX大学系统方案设计并通过等级保护建设方案评审会的评审；2) 完成XXX大学的系统集成建设并投入正常使用；4.5.2 验收流程最终交付成果满足本合同所规定的要求，由X143、XX组织验收专家组验收。交付品的签收和验收是对天融信提交的交付品及项目质量进行鉴定和确认的过程。交付品交付与验收需要履行一定的程序，即包括签收、意见反馈和验收三个阶段。n 签收签收是对天融信提交交付品行为的确认，交付品的签收不等于最终验收，当天融信向XXX提交工作成果时，应填写交付品提交确认书，并由天融信项目经理认可后向XXX提供。n 意见反馈当XXX对天融信提供的工作成果有异议时，填写交付品反馈意见书，并由XXX项目组负责人同意后向天融信提出。天融信公司收到后由项目经理在交付品反馈意见书上签收，意见反馈应在交付品签收后2个工作日内提出。n 验收当XXX履行内部验收程序，认为天融信提供的咨询成144、果可以通过验收后，填写交付品验收书，由XXX项目组负责人签字后，提交天融信公司，表示咨询成果已通过验收交付品签收后，如XXX未提出意见反馈，应在交付品签收后5个工作日内验收。5 技术支持、售后服务及培训方案天融信在完成合同所规定的服务后，将提供3年的免费技术支持服务。为保证项目的顺利实施，天融信将为本项目所提供的相关安全服务提供良好的售后服务，对本项目中涉及的技术支持及售后服务内容，天融信做出以下服务承诺：5.1 安全运维服务天融信需提供1年的驻场运维服务，包括但不限于以下方面。l 提供运维事件安全管理和监控服务；l 建立和健全等级保护要求中的安全管理制度；l 协助运行管理、安全状态监控、安全145、事件处置和应急处理工作。l 在驻场服务期内，协助XXX进行等级保护测评。l 天融信承诺在1年服务期内向XXX提供7*8小时的安全应急保障服务，如果出现严重安全问题要求紧急处理，天融信将指派技术过硬的技术专家并保证在收到客户通知后到达客户现场解决问题。5.2 技术支持与售后服务方案5.2.1 试运行期的技术支持与服务在产品试运行期间，天融信承诺免费的技术支持和服务，免费服务内容应包括但不限于下述内容：升级服务、调优、故障排除和故障排除所需的备件更换（含备件本身）等。试运行期间的免费服务由天融信提供。l 天融信承诺为用户提供免费的技术协助，技术支持的内容包括产品的安装部署上线、与其他系统的集成等。146、技术支持的方式应包括电话支持、电子邮件支持、文档提供、现场支持等多种以解决实际问题为目的的方式。l 试运行期间，天融信承诺提供7*8小时技术支持和服务，安排一名专业工程师现场常驻XXX的工作场所进行现场支持，如出现技术故障，工程师应在2个小时内使系统得以正常运行。如在8小时内（含节假日）未解决故障和问题，天融信应采取紧急预案，使系统得以正常运行。5.2.2 质量保证期内的技术支持与售后服务质量保证期从系统终验之日开始计算，保修时间为1年。我方为业主提供1年的免费质量保证期。质量保证期内所有因更换或修理货物或部件而导致货物停止运行的时间从其质保期内扣除。硬件设备维修服务：当出现需要更换安全防护产147、品硬件模块的技术故障时，用户通过传真正式通知我方故障原因，我方将准备备品备件，完成硬件设备的返修过程，并由我方工程师完成硬件模块的更换。所有的替代零配件是新的未使用和未经修复的，除非业主提出供书面许可，不使用其他（非新的）配件。我方技术支持中心提供7x24小时技术支持响应，对保修期内的用户提供全面的故障排除技术服务和故障排除全过程监控(由故障开始直至故障完全排除)。天融信在全国省会城市范围内具备开展项目实施、技术支持和现场技术支援的能力，提供724的电话支持服务、响应时间在半小时以内的现场服务，硬件故障修复时间应在4小时以内，并承诺确保紧急故障下立即提供现场恢复服务。n 在质量保障期内，在设备148、故障不影响用户正常业务的情况下，天融信承诺做到半小时内响应，1小时内派技术人员到达现场并解决问题；如设备故障影响用户业务的正常运行，天融信承诺做到10分钟内响应，30分钟内派技术人员到达现场并解决问题，包括备件及备机更换。n 在保修期内对用户提供全面的故障排除技术服务和故障排除全过程跟踪(由故障开始直至故障完全排除)。n 在接到用户的故障通知后，若天融信未能按时到达的，用户有权要求天融信给予赔偿。设备质保期内，硬件因质量问题而引起的故障，我公司免费予以更换配件，保证设备及时恢复正常。设备在用户使用的头三个月内，同一台机器出现第三次质量问题，卖方应免费整机更换。软件更新：软件更新包括新版本软件的149、安装或者软件版本的维护。同一版本（Version），不同系列（Release）之间提供免费升级。软件系统升级服务可由天融信公司技术服务中心承担。也可在天融信公司的指导下，由用户自行升级更新。对软件升级次频率，天融信将对本项目中购买的产品的软件系统提供不定期升级，但每年不少于4次。对于升级方式，用户可方便的从天融信公司网站上下载升级包进行升级。产品维修服务由天融信公司遍布全国的技术服务中心承担。定期巡检：天融信在质量保证期为用户提供定期巡检服务，频率为每季度一次。性能调优：天融信在质量保证期为用户提供性能调优服务，频率为每年提供两次。故障共享：天融信无偿提供用户所有货物在全世界范围内的实例分析和150、故障解决文档共享，并形成定期通报制度。5.2.3 质量保证期外的技术支持与售后服务质量保证期外的服务是指XXX与天融信商定的保修服务期外的服务年限。质量保证期外提供如下服务：1硬件更换服务当主机系统超出保修期后，一旦硬件系统出现故障，最终用户可通知天融信，经天融信工程师确认设备故障后，投标货物生产厂家保证以不高于本次合同的实际成交价进行故障设备的更新，免收人工服务费用。2巡检服务在保修期外，投天融信每年提供一次由资深工程师完成的免费的巡检服务，内容包括：系统运行环境检查；系统硬件运行情况检查；系统ERRORLOG分析；对磁带机、光驱和软驱作清洗；系统运行性能、状态检查和优化等。3如果最终用户需151、对设备进行升级或扩容，天融信应承诺订货时的价格至少不高于本次合同的价格或者不低于本次合同的折扣率。根据用户接受的服务项目进行相应收费。具体服务项目和收费细则如下：n 产品维修服务对于送修的超过保修范围内的产品，天融信技术服务中心提供有偿维修服务。具体按照产品成交价的10收取年费；或者按次根据具体故障情况确定维修费用，维修费用收取标准为：基本服务费1000元/台元器件费用单程运输费用。n 产品升级服务接口扩展为收费服务。费用标准根据具体的接口类型按天融信公司维修报价表收取。n 现场维护服务除首次安装服务（由用户确认服务全部完成）外，如出现如下情况，需要支付1000元台次（由用户确认服务全部完成为152、准）。l 因机房挪动，需要重新配置和调试设备l 网络结构或者安全策略发生变化，需要重新调试设备l 其他非设备自身原因导致需要现场调试服务l 除设备原因外的其他情况l 保修期外的产品天融信在全国省会城市范围内具备开展项目实施、技术支持和现场技术支援的能力，提供724的电话支持服务、响应时间在半小时以内的现场服务，硬件故障修复时间应在4小时以内，并承诺确保紧急故障下立即提供现场恢复服务。5.2.4 跟踪服务对项目中以及今后发现的问题，天融信将通过电话、邮件及现场服务等方式提供持续的跟踪服务。5.2.5 工程师资质保障天融信承诺为本项目配备的全部人员均满足安全评估、安全应急保障及安全管理值守服务的相153、关人员要求。天融信承诺：项目经理具有8年以上安全服务经验，有多个以上类似安全服务的项目管理经验，具有CISP安全资质；现场驻场人员具有2年以上安全服务经验水平。5.3 培训方案培训与知识的传递是项目成功的关键因素，天融信向XXX的领导、部门主管、技术人员等培训对象，提供信息安全基础培训和专业技能培训。5.3.1 培训方法在培训方法上，我们将根据不同用户、不同要求，有针对性的设计培训方式，从而满足不同用户不同层次的培训需求。结合本项目的实施特点，对用户我公司设计了如下的培训方式：n 现场实施培训：是在项目实施阶段时，项目实施现场进行的培训，针对技术岗位人员，内容实用且针对性强，主要侧重具体实施步154、骤和方法。n 集中课堂培训：根据项目进度和项目需要开设培训课程，采取集中课堂授课的形式提供培训。n 讲座研讨：组织讨论会或讲座，由项目组资深顾问通过讨论会等互动方式，与XXX信息部门管理层交流信息安全有关方面的内容。5.3.2 培训内容课程名称课程内容培训对象等级保护实施培训介绍等级保护实施方法、具体实现手段XXX信息安全技术人员信息安全风险评估方法培训介绍风险评估方法，及对相关风险评估流程最佳实践的认识XXX信息安全技术人员信息安全意识培训介绍XXX总体安全方针和信息安全体系框架内容XXX信息部门管理层和全体员工安全技术培训黑客攻击技术；Windows系统安全配置及实验；Unix系统安全配置155、及实验；密码学与PKI体系及实验；安全检测审计技术及实验XXX安全技术人员和技术主管安全管理培训信息安全动态与形势；信息安全管理体系应急响应和灾难备份恢复计划；信息安全管理实例XXX安全技术主管和技术骨干5.3.3 服务交付物培训计划培训材料、培训手册培训记录单培训反馈表5.3.4 长期培训计划在本项目服务期限内，我们将根据XXX的需求，制定长期的安全培训计划。培训内容至少包括以下几个方面：专业技术培训培训对象技术骨干，要求有一定协议和网络基础的技术人员，接触过一些安全产品。培训目的 使学员能够系统地掌握安全的整体架构； 全方面掌握各种安全技术原理； 掌握防火墙、入侵检测技术、防病毒、漏洞扫描156、技术在自身系统中的应用价值； 掌握操作系统加固方法并能应用到实践中。培训内容课程名称具体内容安全体系框架 安全定义 安全面临的威胁 安全内涵 网络安全防御体系 网络安全动态模型 网络安全管理漏洞扫描和黑客攻周技术 基本概念 脆弱性分析 扫描技术与原理 扫描器的实现原理 黑客攻击的流程 黑客攻击的主要手段防病毒技术 计算机病毒概述 计算机病毒原理与机制 防病毒技术 网络防病毒系统 垃圾邮件病毒的防治 后门蠕虫结合的病毒防治防火墙技术 防火墙、双宿主机、屏蔽子网等相关概念 包过滤防火墙原理 代理防火墙原理 屏蔽子网防火墙 基于状态检测的防火墙 防火墙类型及市场产品 如何选择防火墙Windows安全157、配置 Windows系统安全综述 注册表与系统安全 Windows 用户安全性 NTFS 文件系统安全性 IIS的安全配置 IPSec安全配置 Windows 系统已知的漏洞及修补 如何评估Windows的安全性UNIX系统安全配置 UNIX系统安全综述 UNIX系统不安全的原因 UNIX文件系统和设备的安全 UNIX系统用户安全性 UNIX域名服务的安全性 WWW服务器和FTP服务器的安全配置 提高UNIX系统安全的方法 UNIX系统的网络安全工具 已知的UNIX系统安全漏洞介绍 UNIX系统的安全审计与入侵检测 UNIX系统的安全恢复措施教学方式讲解加演示，并组织学员动手实践，积极讨论。信158、息安全意识培训培训对象信息安全相关普通员工培训目的 了解信息安全的重要性； 了解日常工作中如何去做信息安全工作培训内容课程名称具体内容信息安全意识培训 信息安全基本知识，包括：黑客常用攻击手段、基本系统安全配置、日志 在Windows系统下如何查杀病毒 如何判断系统出现安全问题 一些常用安全工具的使用教学方式先授课，授课课程中学员参与讨论。信息安全管理体系培训培训对象信息安全管理部门领导培训目的 了解信息安全的有关法律法规； 了解国内外相关行业的安全管理体制的XXX； 明确自身的安全管理体系工作；培训内容课程名称具体内容网络安全法律法规 国外立法概况 我国立法概况 我国信息系统安全法的具体制度 中华XXX共和国计算机信息系统安全保护条例 中国计算机信息网络政策法规 27号文信息安全管理体系的XXX 信息安全管理体系方法 安全发展新动向 国内外同行业安全体系的XXX 自身安全体系的XXX思路 安全管理制度如应急响应制度等安全相关标准 ISO 27001、ISO13335、CC等 相关行业标准 标准在自身系统中的借鉴和应用 自身系统标准的制定教学方式先授课，授课课程中学员参与讨论，多举国内外的相关案例，然后一起进行研讨安全工作的XXX方针和思路及具体内容。