XX大学智慧校园信息安全改造建设方案v20.docx
《XX大学智慧校园信息安全改造建设方案v20.docx》由会员分享,可在线阅读,更多相关《XX大学智慧校园信息安全改造建设方案v20.docx(27页珍藏版)》请在冰豆网上搜索。
XX大学智慧校园信息安全改造建设方案v20
XX大学校园网信息安全改造建设方案
目录
第一章:
项目概述
1.1学院信息化现状
近年来,随着我国社会经济的不断发展,国家对教育事业的支持和投入不断增加,我国的高等教育从深度和广度上都有了显著的发展和提高。
信息化、网络与计算机技术的不断发展也为教育事业提供了强有力的支持手段,为教育模式的创新、先进教育理念的实现提供了可靠的实现方法。
2012年3月,教育部出台了《教育信息化十年发展规划(2011-2020年)》,明确提出“到2020年,全面完成《教育规划纲要》所提出的教育信息化目标任务,形成与国家教育现代化发展目标相适应的教育信息化体系,基本建成人人可享有优质教育资源的信息化学习环境,基本形成学习型社会的信息化支撑服务体系,基本实现所有地区和各级各类学校宽带网络的全面覆盖,教育管理信息化水平显著提高,信息技术与教育融合发展的水平显著升。
教育信息化整体上接近国际先进水平,对教育改革和发展的支撑与引领作用充分显现。
”
教育部出台的《高等学校“十二五”科学和技术发展规划》中也明确提出要“加快重大科研平台建设与资源共享”,“加强教育信息化对学校科研、人才培养、社会服务和文化传承的支撑”。
学校信息化主要以数字化校园建设为主,主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等;大学数字化校园建设通常先提出总体解决方案,确定数字化校园的体系结构,制定数字化校园的信息标准,以及各系统之间的接口标准,然后分阶段实施。
✓校园信息管理系统建设
建设一整套校园信息管理系统,为实现“网上办公、网上管理、网上教学、网上服务”提供全面的系统支持。
✓数据中心建设
建设一个为全校服务的数据中心,保证数据实时更新和高度一致。
✓建立统一信息门户
建立一个信息的集成平台,将分散、异构的应用和信息资源进行聚合,通过统一的访问入口,实现结构化数据资源、非结构化文档和互联网资源、各种应用系统跨数据库、跨系统平台的无缝接入和集成。
✓校园一卡通建设
校园一卡通建设,必须满足数字化校园的整体规划设计,一卡通的设计要架构在校园网上,不仅具备消费功能,而且还要具备身份识别和校务管理功能。
正确处理好一卡通与其他已有的信息系统(如图书管理系统、人事、财务、教务等管理系统)的对接和系统数据共享问题是“数据集中”和“应用集成”的重要关键。
✓网络安全体系建设
建立全校的网络安全体系,保证校园网络的安全,保证关键数据、关键应用的安全以及关键业务部门的安全,实现校园网络及其应用系统的安全高效运行。
建设数字图书馆、校园无线网、构建远程教育平台、教育资源建设等也是数字化校园建设的重要内容。
1.2学院安全现状分析
xx大学位于南部、京九线上享有“南国宋城、客家摇篮、红色故都、生态家园、稀土王国、世界钨都、脐橙之乡”等美誉,是一所校园环境优美、文化底蕴深厚、学科门类较全、办学特色鲜明、综合实力较强、发展前景良好的省属本科师范院校。
在办校建校的过程中,xx大学积极响应国家和教育部的相关指示和方针,对信息化建设给予了极大的人力、物理和财力的投入。
目前达到了关键业务系统的信息化应用、全校园互联网覆盖,各校区之间的骨干网络互联。
1.3学院安全威胁分析
1.3.1学院门户网站
学校网站的安全威胁,包括学校门户网站、学校招生网站、二级各院系等网站,由于高考、招生、学生就业等敏感时期,聚集了大量的学生及家长访问流量,也引起黑客的关注,学校网站面临的主要安全威胁有:
✓网页被挂马、被篡改
黑客通过SQL注入、跨站脚本等攻击方式,可以轻松的拿到学校网站的管理权限,进而篡改网页代码;部分攻击者将学校网站替换成黄色网站,影响极其恶劣。
✓黑客侵入校园内网的跳板
入侵者成功获取WEB服务器的控制权限后,可以该服务器为跳板,对内网进行探测扫描,发起攻击,对内网核心数据造成影响。
1.3.2校园网业务信息系统
随着校园网信息化的逐步深入,业务系统众多,“一卡通”、教学信息管理系统、电子图书馆、教育资源库等信息化业务系统均普遍的被各大学校采用,而这些系统由于管理及防护不到位,目前面临着较严重的安全威胁:
✓业务系统缺乏必要的入侵防护手段
学校网络规模扩张迅速,网络带宽及处理能力都有很大的提升,但是管理和维护人员方面的投入明显不足,无暇顾及、也没有条件管理和维护数万台计算机的安全。
一旦学生进行黑客攻击,无法阻断攻击并发现攻击源,边界缺乏必要的隔离和审计措施,出现问题不方便定位,追查取证。
✓系统漏洞缺乏必要的控制措施
校园网数据中心内的系统应用众多、服务器众多,管理及维护方式也不尽相同,无法做到所有的系统实施统一的漏洞管理政策,缺乏自动化的高效检查工具和控制手段。
✓业务系统权限控制不合理,有安全隐患
由于学校内应用众多,开发模式多样,因此难免会造成权限设计时考虑不周,造成权限漏洞,或给攻击者以机会;学生在内网中即可访问各种业务资源,缺乏必要的控制措施;校园“一卡通”系统数据有可能被篡改,账号及资金缺乏安全保障;由于重要数据库的访问缺乏审计手段,一旦出现数据篡改现象,无法定位问题。
第二章:
项目建设方案
引入知名且具有权威性的第三方安全服务机构为xx大学信息中心提供专业的、先进和完善的整体安全服务体系,并协助xx大学信息中心建立相应的信息安全管理办法,加强内部培训及管理,建立完善的信息安全管理系统,加强身份认证、门户网站和数据中心的安全体系建设,提高xx大学信息中心整体的信息安全意识。
建议人事、教务、OA、校园网等信息系统按照信息系统等级保护II级标准的要求进行安全规划整改,以达到教育部的安全要求。
建议财务、一卡通信息系统按照信息系统等级保护III级标准的要求进行安全规划整改,以达到教育部的安全要求。
技术方面的网络安全、主机安全、网站安全、数据库安全主要通过安全产品的部署来解决。
管理方面安全主要通过安全服务来解决。
2.1信息安全体系的标准要求
2.1.1信息安全体系设计方法论
◆安全是相对的,不安全是绝对的。
◆安全是根据需求规划出来的,不是出了问题做应急处理出来的。
◆安全管理比安全技术更重要。
2.1.3信息安全体系架构
信息安全体系三层架构模型如下图:
信息安全系统是整体的、动态的。
信息安全系统符合MPDRR模型(M-management,P-protect,D-detection,R1-responce,R2-recovery),因此,要真正实现一个系统的安全,就需要建立一个从保护、检测、响应到恢复的一套全方位的安全保障体系:
我们提供的信息安全方案正是基于MPDRR模型构建的,符合信息安全系统整体性和动态性的特点。
它集防火墙、入侵检测、安全扫描、安全审计等防御于一体,将多种信息安全技术和优秀信息安全产品在技术上有机集成,实现安全产品之间的互通与联动,是一个统一的、可扩展的安全体系平台。
2.1.3信息安全等级保护整改指南
《信息安全等级保护安全建设整改工作指南》对等保整改的思路如下图:
参考以上模型,针对等级保护的技术要求和管理要求,进行相应的安全技术体系和安全管理体系的建立,从而使信息系统达到等级保护要求。
2.2信息安全技术体系
信息安全技术体系设计主要是针对网络安全、主机安全、网站安全、数据库安全的安全风险分析结果,提出对应的解决方案,通过部署相应的安全产品及策略来降低或规避信息系统各个层面的安全风险。
2.2.1信息安全区域划分
✓校园网
按着重要程度和业务处理的不同,分为核心区、互联网接入区、应用服务器区、DMZ区、校园网接入区、校园网安全管理区,针对不同区域进行不同的安全策略和部署。
✓数据中心网
分为数据存储区、应用中心区、安全管理区、门户网站区,针对不同区域进行不同的安全策略和部署。
2.2.2信息安全产品的部署情况说明
◆安全产品部署的必要性
在病毒和黑客日益增多的信息社会,信息系统的安全问题非常严峻,xx大学信息中心数据非常重要,所建设的应用系统、网站及数据资源,一旦被黑客攻击,将会带来严重的后果及负面影响,必须加强信息系统的安全建设。
1、业务系统中数据库、服务器区是整个业务系统的核心,访问控制措施不足,内部资源可能会被非授权人员访问,保密性、完整性及可用性得不到保证。
数据的重要性是信息系统价值的核心,目前在数据安全方面没有相应的审计手段,无法监控对数据的操作,发现问题后也无法查找原因。
有必要部署相应的安全产品。
2、门户网站系统中数据库、服务器区目前没有有效的对其进行保护的安全设备,需对内外部的网络攻击进行识别、监视、阻断。
有必要部署相应的安全产品。
3、为了解信息系统内的服务器和网络通讯设备的系统漏洞和安装设置漏洞,了解漏洞的分布状况和危险等级,为调整本身的安全策略提供原始数据和资料,需配置一套安全漏洞扫描系统定期对系统设备进行漏洞扫描。
4、WEB网站因需要被公众访问而暴露于外部网络,容易成为黑客的攻击目标,有必要在WEB服务器部署相应的安全产品。
5、xx大学信息中心没有专业的信息安全技术队伍,需要选择专业的网络安全公司提供信息安全服务,保障网络的整体安全。
在保障网络的整体安全的同时,也提高了xx大学信息中心系统运维人员的整体安全意识,为今后的网络安全维护工作打下坚实基础。
◆安全产品的部署详细说明
根据上节中所述的存在的主要安全问题,产生了很多安全需求。
这些问题一部分可以通过安全产品来解决,安全管理上需要通过安全服务来解决。
产品的数量和部署充分考虑经济性、合理性,我们在设计的时候充分考虑到了以下因素:
1、由于业务系统重要性均为II级系统,部分设备(防火墙)考虑共用。
2、校园网部分的安全防护,部分设备考虑利旧。
根据xx大学信息中心网络的分析,结合教育部网络建设的相关安全要求,考虑到xx大学信息中心信息安全未来几年内的安全需求,在现有网络的基础上进行合理的规划,部署若干安全产品,构建一个强大的网络安全“全网防御”体系,有效保证xx大学信息中心整体的信息安全性。
2.2.3安全建设与整改依据
按照信息系统等级保护标准的要求,我们方案的设计依据如下:
序号
产品
依据标准
解决问题
1
防火墙
二级等保要求:
网络安全\访问控制
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级;
1.对网络边界进行访问控制限制
2.安全域的划分
2
入侵防御
二级等保要求:
网络安全\入侵防范
应在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
二级等保要求:
主机安全\入侵防范
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
提供对攻击行为报警和阻断。
3
抗拒绝服务攻击DDOS系统
二级等保要求:
网络安全\入侵防范
应在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
提高网络边界抗拒绝服务攻击能力。
4
上网行为审计/监测
二级等保要求:
网络安全\安全审计
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b)审计记录应包括:
事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
二级等保要求:
应用安全\安全审计
a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
对互联网加强网页过滤、行为监控、流量管理、防止内网泄密、防范法规风险、加强互联网访问行为记录、上网安全管理等。
5
Web应用防护系统/网页防篡改系统
二级等保要求:
网络安全\入侵防范
应在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
对DMZ区和门户网站系统进行重点WEB防护,防攻击、防篡改、防注入等。
6
安全运维管理系统(对网络设备、服务器、业务系统管理和实时监测报警,日志关联性分析)
三级等保要求:
主机安全\资源控制
C)应对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况;
f)应能够对系统服务水平降低到预先规定的最小值进行检测和报警;
三级等保要求:
网络安全\结构安全
D)应绘制与当前运行情况相符的网络拓扑结构图;
等保要求:
网络安全\安全审计
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
c)应能够根据记录数据进行分析,并生成审计报表;
三级等保要求:
主机安全\安全审计
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
对网络设备、服务器、业务系统进行集中运维管理和实时监测报警,日志关联性分析
7
堡垒主机(身份认证和管理员审计系统,对网络中的设备进行身份验证管理)
二级等保要求:
网络安全\网络设备防护\
a)应对登录网络设备的用户进行身份鉴别;
e)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
f)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
二级等保要求:
主机安全\身份鉴别\
a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
对服务器、网络设备进行集中运维管理登陆,进行严格授权,并进行视频审计。
8
数据库及业务系统审计(业务人员访问系统的行为进行解析、分析、记录、取证)
二级等保要求:
主机安全\安全审计
a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
d)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
二级等保要求:
应用安全\安全审计
a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;
b)应保证无法删除、修改或覆盖审计记录;
c)审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。
对网络中二级系统业务加强访问审计和数据库审计。
9
漏洞扫描
二级等保要求:
系统运维管理\网络安全管理\
d)应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
二级等保要求:
系统运维管理\系统安全管理\
b)应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补;
加强对网络系统的扫描,发现问题及时进行加固。
2.2.4产品部署方案
数据中心区:
◆通过部署2台高性能防火墙进行4个安全域的划分;(选配)
◆在安全管理区部署身份认证系统,建立统一的身份认证平台。
实现对各信息系统的一次性认证多系统操作,大大增加用户和系统的安全性和简便性。
系统建设统一的用户数据库,对用户权限和访问模式等实现集中式的管理,简化系统管理流程,提升用户工作效率;
◆在安全管理区部署数据库及业务审计系统,对数据库进行时实的监控,增强数据的保密性、完整性以及可用性;
◆在安全管理区部署一套门户网站WEB防火墙,采用WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等),为WEB应用提供保护;
◆在安全管理区部署两台IPS系统,以全面深入的协议分析技术为基础,结合协议异常检测、协议异常检测、状态检测、关联分析形成的检测引擎,实时拦截数据流量中各种类型的恶意攻击流量,把攻击防御在单位网络之外,保护单位的信息资产;
◆在安全管理区部署1套网页防篡改系统,分别安装在网站服务器上,进行页面内容的保护,防止非授权人员随意篡改内容,增强网站的安全性;
◆在安全管理区部署1套帐号集中管理与审计系统(堡垒机),集中统一的安全管理技术和平台,使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全策略的实施。
校园网安全管理区:
◆在互联网出口位置部署两台高性能防火墙,提供对网络的访问控制,同时通过DMZ区的设置,保护校方对外提供服务器的安全;(选配)
◆在校园网安全管理区部署流量控制和计费系统来提供对于校内用户访问外网的流量控制和计费统计的需求;
◆在校园网安全管理区部署安全漏洞扫描系统,对内部信息处理设施安全漏洞及其脆弱性的评估,可以使用户了解信息系统内的服务器和网络通讯设备的系统漏洞和安装设置漏洞,了解漏洞的分布状况和危险等级,并针对每一个漏洞提出一个可行的安全解决方案或补救措施,完整地为网络系统提供安全评估,为调整本身的安全策略提供原始数据和资料。
◆在校园网安全管理区部署一台信息安全审计系统,检测用户的非法操作,杜绝内部人员滥用互联网资源的违规行为;
◆在校园网安全管理区部署一套SOC平台,实现了安全设备进行集中管理、安全策略统一配置、安全事件集中管理、安全风险评估等功能,使网络信息安全可控与结果可视化;
◆在互联网出口和核心交换机之间部署一套DDOS防御网关,用于拦截各种DDoS攻击及变种DDoS的攻击;
◆在校园网安全管理区部署一台IDS系统,方便对网络情况进行记录、取证工作,对网络上的可疑行为做出策略反应,及时切断入侵源,记录攻击行为、及时报警并通过各种途径通知网络管理员,最大幅度地保障内部系统安全;
◆在DMZ区部署一套WEB防火墙,采用WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等),为WEB应用提供保护。
2.3信息安全管理体系
信息安全管理体系设计主要是针对安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理的安全风险分析结果,提出对应的解决方案,通过相应的机构、制度的设置及安全服务的采购来降低或规避信息系统各个层面的安全风险。
2.3.1安全管理体系建设目标
结合《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评准则》以及《信息系统安全等级保护基本要求》等文件精神,为xx大学信息中心建立完善的安全管理策略,主要针对人员管理,机房管理,终端机管理,文档管理设备和运行等安全管理机制进行稽核和诊断修订。
2.3.2安全管理体系建设内容
为xx大学信息中心进行信息安全决策和管理提供依据。
管理制度是否健全是做好网络安全的有力保障,包括机房管理制度、文档设备管理制度、管理人员培训制度、系统使用管理制度等。
对信息系统的各项管理制度进行细致的评估,并对各项评估的结果进行详细地分析,找出原因。
说明存在哪些漏洞,比如信息系统刚刚建立,各项管理规章制度均没有健全,为今后的管理留下了隐患。
经过安全管理评估服务后,我们根据xx大学信息中心网络的实际业务情况,与客户协商讨论,建立完善的安全管理策略,主要针对人员管理,机房管理,终端机管理,文档管理设备和运行等安全管理机制进行稽核和诊断修订。
✓安全管理制度
安全管理制度建设主要有以下几个方面:
聘请专业的咨询公司,制定安全管理制度和配套的发布、评审和修订机制;
1、人员管理
包括配套的培训和考核机制。
需要建立内部人员管理制度和外部人员管理制度,包括:
内部工作人员管理
正式编制人员,聘用人员等人员的录用、岗位职责、保密协议签证、教育培训、保密监管、奖惩和离岗离职的管理。
外部相关人员管理
内部工作人员之后的其他人员以及设备的维修服务人员等外来人员的保密要求知会、安全控制区域隔离、携带物品限制和旁站陪同控制。
2、物理环境与设施管理
建立物理环境与设备管理制度,包括:
周边环境:
包括周边监制、周界安防和出入控制。
涉密场所:
包括要害部门部位管理、无线产品使用、多媒体产品使用和安全巡防巡查、窃密检查。
保障设施:
包括定期检测检修和线路线缆保护。
3、设备与介质管理
建立设备与介质管理制度,包括:
设备与介质的采购与选型:
安全采购管理、产品选型管理、检测证书查验和货物交付验收。
设备与介质的操作与使用:
安全操作使用、外出携带管理、设备外联控制、介质使用管理、安全准入许可。
设备与介质的保存与保管:
清查登记核对、重要设备办公室和明确责任主体。
设备与介质的维修与报废:
申报审批、数据保护和登记备案。
4、信息保密管理
建立信息保密管理制度,包括:
信息分类与控制:
密级分类确定、密级信息问题统计、密级标识添加和知悉范围确定。
用户管理与授权:
用户清单管理、用户标识符管理和权限列表审查。
信息系统安全互联控制。
✓安全管理机构
安全管理机构建设主要有以下几个方面:
设定安全管理员一职,并明确岗位的职责与任务,落实安全管理责任制。
✓人员安全管理
人员安全管理建设主要有以下几个方面:
聘请专业咨询公司,制定安全培训管理方案,制度化、常态化进行安全培训。
进一步规范人员录用、人员离岗、人员考核、外部人员访问的管理制度。
对xx大学信息中心工作人员进行安全意识培训,加强人员安全意识、避免安全管理漏洞。
✓系统建设管理
系统建设管理主要有以下几个方面:
制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法,并按照管理制度落实各项管理措施。
✓系统运维管理
系统运维管理主要有以下几个方面:
聘请专业安全维护公司,对系统的环境和资产安全、设备和介质安全、网络安全、系统安全、备份与恢复等进行管理和定期维护。
第三章:
项目产品清单与概算
序号
设备名称
性能参数
数量
单价
小计
一、数据中心
1
防火墙
建议利旧
0
0
0
2
IPS入侵防御系统
机架式硬件专业IPS入侵防御设备;
部署方式:
支持旁路监听、透明接入、NAT、混合模式;
硬件支持HA高可靠性,双机热备;
支持多网段、跨网段的多路混合部署检测防御;
1*10/100/1000M管理口,7检测口(4光口3电口);最大可选择24个检测口。
并发连接数目>=3,800,000;
每秒新建连接数目>=30,000;
网络处理能力>=5.4Gbps;
1台
3
WEB防火墙(WAF)
HTTP吞吐量>=1000Mbps
最大HTTP并发数10万
HTTP事物速率15000/秒
4*10/100/1000M电口/光口
透明部署(基于透明网桥),需即插即用,无需做任何配置即可防护。
支持旁路部署。
策略路由(支持流量牵引)
高性能攻击特征检测引擎
1台
4
网页防篡改
可选
0
0
0
5
帐号集中管理与审计系统(堡垒机)
支持双机热备;
支持集群;
支持磁盘阵列;
支持冗余网卡,允许将两张网卡绑定在一起使用,两张网卡同时使用一个IP,当一张网卡有问题的时候另一张可以继续使用;
支持并发用户数不少于1000个;
≥4个10/100/1000MRJ-45接口;
审计日志存储空间≥500G;
到目标设备的连接时间不大于2秒;
MTBF不少于6万小时
1台