【正文】 對賬號名進(jìn)行修改，杜絕使用administration等默認(rèn)用戶名。對重要服務(wù)器部署服務(wù)器加固系統(tǒng)，采取安全加固措施，并設(shè)置敏感標(biāo)記g)應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作；基本符合要求滿足通過安全設(shè)備按需求設(shè)置嚴(yán)格的訪問控制策略3安全審計（G3）本項要求包括：a)審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；不符合要求未部署數(shù)據(jù)庫審計系統(tǒng)和堡壘機，無法對服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進(jìn)行審計。部署日志審計系統(tǒng)/數(shù)據(jù)庫審計系統(tǒng)e)應(yīng)保護(hù)審計進(jìn)程，避免受到未預(yù)期的中斷；不符合要求未部署日志審計系統(tǒng)/數(shù)據(jù)庫審計系統(tǒng)部署日志審計系統(tǒng)/數(shù)據(jù)庫審計系統(tǒng)f)應(yīng)保護(hù)審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等?；痉弦笤诮K端Windows操作系統(tǒng)啟用“關(guān)機前清除虛擬內(nèi)存頁面”功能項。符合要求通過補丁服務(wù)器保持系統(tǒng)補丁及時得到更新。7資源控制（A3）本項要求包括：a)應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；基本符合要求通過防火墻對終端接入進(jìn)行管理；采用防火墻訪問控制策略及主機加固軟件對終端登接入進(jìn)行限制。 應(yīng)用安全現(xiàn)狀與差距分析xxxx大學(xué)應(yīng)用系統(tǒng)主要是教務(wù)系統(tǒng)、一卡通、財務(wù)系統(tǒng)等，具體應(yīng)用沒有問題，但沒有相應(yīng)的安全審計系統(tǒng)，所以無法對系統(tǒng)中安全事件進(jìn)行審計。采用堡壘機和雙因素設(shè)備。對每個系統(tǒng)管理員根據(jù)其所承擔(dān)的任務(wù)，設(shè)置其工作權(quán)限，網(wǎng)絡(luò)、系統(tǒng)和安全管理員應(yīng)分別設(shè)置，不能由一個人同時兼任。b)應(yīng)保證無法單獨中斷審計進(jìn)程，無法刪除、修改或覆蓋審計記錄；不符合要求通過堡壘機/日志審計對安全事件進(jìn)行記錄審計。4剩余信息保護(hù)（S3）本項要求包括：a)應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；符合要求滿足。符合要求滿足6通信保密性（S3）本項要求包括：a)在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗證；符合要求在應(yīng)用軟件編程中，對通信的保密性提出要求。符合要求應(yīng)用軟件中有此項功能8軟件容錯（A3）本項要求包括：a)應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求；符合要求應(yīng)用軟件有此項功能。b)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制；符合要求提供系統(tǒng)的實際要求，設(shè)定最大并發(fā)會話連接數(shù)。符合要求在系統(tǒng)中應(yīng)可根據(jù)用戶的權(quán)限設(shè)定服務(wù)等級及優(yōu)先級，并保證優(yōu)先級用戶首先使用系統(tǒng)資源的權(quán)力。符合要求滿足3備份和恢復(fù)（A3）本項要求包括：a)應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介質(zhì)場外存放；基本符合要求有本地備份b)應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批 量傳送至備用場地；不符合要求對重要信息系統(tǒng)的數(shù)據(jù)，應(yīng)提供異地數(shù)據(jù)備份的 功能，定時批量或增量備份，數(shù)據(jù)異地備份至少 每月一次。詳見下表；圖表 7 安全管理現(xiàn)狀差距分析表類別管理內(nèi)容制度包括的主要內(nèi)容現(xiàn)狀分析備注物理資產(chǎn)安全管理對信息系統(tǒng)相關(guān)的資產(chǎn)清單、分類與標(biāo)識、使用、轉(zhuǎn)移、廢棄等做出規(guī)定。設(shè)備安全管理對設(shè)備的放置、使用、維護(hù)、維修、報廢等做出規(guī)定。網(wǎng)絡(luò)網(wǎng)絡(luò)安全管理對網(wǎng)絡(luò)及安全設(shè)備的操作、配置、日志記錄和監(jiān)控等做出規(guī)定。應(yīng)用數(shù)據(jù)安全管理對信息系統(tǒng)數(shù)據(jù)保存、備份、使用等做出規(guī)定。便攜計算機管理對便攜計算機的使用、密碼保護(hù)、入網(wǎng)、文件存儲、維修等做出規(guī)定。建設(shè)項目安全審核對信息化項目安全需求、安全保障方案及保護(hù)等級等做出規(guī)定。管理機構(gòu)和人員管理對設(shè)立安全管理機構(gòu)、機構(gòu)職能、人員職責(zé)及管理，如重要崗位保密責(zé)任、人員離崗離職等方面做出規(guī)定。用戶管理對普通業(yè)務(wù)用戶、重要業(yè)務(wù)用戶、特權(quán)用戶（網(wǎng)絡(luò)、系統(tǒng)、安全管理員）的審批、權(quán)限、安全要求等做出規(guī)定。應(yīng)急管理對應(yīng)急計劃、處理、實施、演練等做出規(guī)定。網(wǎng)絡(luò)安全檢查對網(wǎng)絡(luò)安全檢查流程、工作內(nèi)容等做出規(guī)定。提升工作效率。主要表現(xiàn)在缺乏整體安全策略、沒有統(tǒng)一規(guī)范的安全體系建設(shè)標(biāo)準(zhǔn)，安全職責(zé)劃分不明確，各業(yè)務(wù)系統(tǒng)的安全防護(hù)程度不一、人員沒有形成統(tǒng)一的安全意識、缺乏統(tǒng)一的安全操作流程和指導(dǎo)手冊；2安全制度安全組織擁有安全管理員崗位，但安全崗位職能沒有很好得到執(zhí)行，沒有對整個業(yè)務(wù)體系安全進(jìn)行統(tǒng)一規(guī)劃和管理。2堵漏缺少安全檢查和評估機制，不能及時發(fā)現(xiàn)系統(tǒng)漏洞、后門、暗鏈、弱口令等安全威脅。安全技術(shù)體系設(shè)計思路為：結(jié)合xxxx大學(xué)網(wǎng)絡(luò)現(xiàn)狀、自身需求，以安全產(chǎn)品的部署、網(wǎng)絡(luò)調(diào)整、等保建設(shè)為重點。 一個出發(fā)點將網(wǎng)絡(luò)安全做到“規(guī)范、可視、可管、可控、可感知”規(guī)范：符合國家法律法規(guī)對學(xué)校信息安全體系的要求；可視：系統(tǒng)運行狀態(tài)直觀的在一個平臺上呈現(xiàn)；可管：網(wǎng)絡(luò)接入管理、上網(wǎng)行為管理、人員安全管理、IT資產(chǎn)管理；可控：將風(fēng)險控制在能接受的范圍內(nèi)、發(fā)生安全事件時能迅速控制事態(tài)的發(fā)展；可感知：實時感知學(xué)校的安全態(tài)勢，安全差距能得到及時處理，安全態(tài)勢數(shù)據(jù)可為學(xué)校安全建設(shè)/管理提供數(shù)據(jù)支撐； 兩大標(biāo)準(zhǔn)l 等級保護(hù)：《信息系統(tǒng)安全等級保護(hù)基本要求》是我國對非涉密信息系統(tǒng)實行保護(hù)的基本要求，其涵蓋十個層面：1）物理安全、2）網(wǎng)絡(luò)安全、3）主機安全、4）應(yīng)用安全、5）數(shù)據(jù)安全、6）安全管理制度、7）安全管理機構(gòu)、8）人員安全管理、9）系統(tǒng)建設(shè)管理、10）系統(tǒng)運維管理。通過確定信息安全管理提醒范圍、制定信息安全方針、明確管理職責(zé)，以風(fēng)險評估為基礎(chǔ)，選擇控制目標(biāo)與控制方式等活動建立信息安全管理體系。（本次不涉及）通過一體化的安全組網(wǎng)，使網(wǎng)絡(luò)設(shè)備和安全設(shè)備有機融合，這樣部署的好處有以下幾個方面：1）多業(yè)務(wù)一體化部署，簡化網(wǎng)絡(luò)結(jié)構(gòu)2）更高的業(yè)務(wù)性能，安全處理無瓶頸3）更高可靠性，降低單點故障4）安全防護(hù)區(qū)域更大，安全防護(hù)更高效5）安全部署更加靈活，安全引流更便捷6）簡化網(wǎng)絡(luò)管理，提高網(wǎng)絡(luò)系統(tǒng)的易用性和易管理性7）虛擬化部署，安全資源池化8）豐富的業(yè)務(wù)擴展和靈活的性能擴容能力，充分保護(hù)用戶投資l 管服融合將學(xué)校的安全管理與專業(yè)安全機構(gòu)的安全服務(wù)相融合，能有效補充學(xué)校的安全短板，解決學(xué)校因為缺少安全運維人員、安全運維經(jīng)驗不足、安全管理機制不完善等帶來的安全問題。需要“人+技術(shù)體系”的結(jié)合才能對抗外界真實攻擊。其包含一系列安全管理體系文檔（安全策略、人員安全、物理安全、資產(chǎn)分類與控制、訪問控制等），以及信息安全管理的過程（計劃實施監(jiān)控改進(jìn)）l 信息安全技術(shù)體系信息安全技術(shù)體系，從五個層面：物理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面、終端層面對整個安全技術(shù)體系進(jìn)行設(shè)計。 信息安全建設(shè)規(guī)劃拓?fù)鋱D圖表 11 信息安全建設(shè)和規(guī)劃總體示意圖xxxx大學(xué)信息安全建設(shè)規(guī)劃產(chǎn)品清單一覽表序號軟/硬件產(chǎn)品名稱數(shù)量單位備注1堡壘機1臺一期2數(shù)據(jù)庫審計1臺3日志審計1臺4WEB資產(chǎn)安全治理平臺1臺5主機安全加固軟件主機數(shù)待定套6容災(zāi)備份一體機1臺7準(zhǔn)入控制系統(tǒng)終端數(shù)待定套8IT綜合運維管理系統(tǒng)1套二期9RFID機房資產(chǎn)管理系統(tǒng)1套10云WAF1套11ZDNS2臺三期12統(tǒng)一安全管理中心（soc+態(tài)勢感知）1臺13數(shù)據(jù)容災(zāi)備份一體機（異地）1臺四期14APT高級威脅分析平臺1套15GRC網(wǎng)絡(luò)安全管理平臺/安全值1套五期圖表 12 信息安全建設(shè)和規(guī)劃一期示意圖圖表 13 信息安全建設(shè)和規(guī)劃二期示意圖圖表 14 信息安全建設(shè)和規(guī)劃三期示意圖圖表 15 信息安全建設(shè)和規(guī)劃四期示意圖圖表 16 信息安全建設(shè)和規(guī)劃五期示意圖第 4 章 方案建設(shè) 建設(shè)原則統(tǒng)一原則：安全建設(shè)應(yīng)該統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)但具體的建設(shè)內(nèi)容需要分期分步實施；適用性原則：按照經(jīng)濟(jì)實用、成熟先進(jìn)、持續(xù)穩(wěn)定的要求，確定方案中安全體系的規(guī)模和軟硬件檔次；節(jié)約性原則：整體方案的設(shè)計應(yīng)該盡可能充分利用現(xiàn)有安全產(chǎn)品和系統(tǒng)資源，以免資源的浪費和重復(fù)投資；可擴展性原則：方案設(shè)計要立足于現(xiàn)有的安全需求，但同時為將來業(yè)務(wù)發(fā)展留有余地和可擴展接口； 技術(shù)安全體系建設(shè) 安全區(qū)域邊界設(shè)計（一）、區(qū)域邊界防護(hù)：對Internet提供服務(wù)的服務(wù)器應(yīng)當(dāng)單獨部署于DMZ安全域中。這些安全產(chǎn)品均具有審計功能，能夠?qū)^(qū)域邊界的訪問行為進(jìn)行審計記錄。 安全計算環(huán)境設(shè)計(一) 強制訪問控制在門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)服務(wù)器部署服務(wù)器操作系統(tǒng)安全加固系統(tǒng)，實現(xiàn)對服務(wù)器資源的訪問行為的嚴(yán)格控制，包括對于用戶訪問行為的控制和進(jìn)程訪問權(quán)限的控制，保護(hù)系統(tǒng)平臺和業(yè)務(wù)數(shù)據(jù)的完整性；通過安全產(chǎn)品實現(xiàn)對服務(wù)器特定資源的強制訪問控制。(四) 剩余信息保護(hù)服務(wù)器操作系統(tǒng)安全加固系統(tǒng) 對用戶使用的客體資源實施針對性保護(hù)， 在這些客體資源重新分配前，對其原使用者的信息進(jìn)行清除，以確保信息不被泄露，實現(xiàn)剩余信息的安全保護(hù)。(八) 數(shù)據(jù)安全及備份恢復(fù)部署數(shù)據(jù)備份系統(tǒng) 對重要服務(wù)器的數(shù)據(jù)進(jìn)行備份， 評估相關(guān)業(yè)務(wù)數(shù)據(jù)的重要性程度，設(shè)計相適應(yīng)的數(shù)據(jù)備份機制和策略。(四) 通信網(wǎng)絡(luò)可信接入保護(hù)通過網(wǎng)絡(luò)接入控制系統(tǒng)，能夠?qū)尤朐O(shè)備的身份進(jìn)行鑒別，并且根據(jù)接入設(shè)備的權(quán)限控制其所能訪問的資源。1) 將現(xiàn)有安全產(chǎn)品的管理中心或維護(hù)中心集中部署；2) 設(shè)置安全管理中心，由安全管理中心統(tǒng)一對計算環(huán)境安全支撐平臺實施安全管理，實現(xiàn)包括主客體標(biāo)記、 用戶授權(quán)、 策略維護(hù)和更新在內(nèi)的安全管理職能；3) 設(shè)置系統(tǒng)管理中心，聯(lián)合統(tǒng)一身份認(rèn)證系統(tǒng)對整個系統(tǒng)的證書和密鑰實施統(tǒng)一管理， 對用戶身份和軟硬件資源配置實施統(tǒng)一控制和管理； 由各安全產(chǎn)品管理中心或維護(hù)中心共同構(gòu)成系統(tǒng)管理中心， 實現(xiàn)對所有安全產(chǎn)品的統(tǒng)一配置和管理；4) 部署審計管理平臺，接收各個區(qū)域的審計日志，為審計信息的存儲、分析和處理提供平臺， 作為管理員實施事件追蹤、 責(zé)任認(rèn)定以及實施應(yīng)急響應(yīng)的依據(jù)。6）部署云WAF，通過云端防護(hù)體系，解析HTTP請求進(jìn)行規(guī)則檢測，做不同的防御動作，并將防御過程記錄下來。同時結(jié)合大數(shù)據(jù)分析技術(shù)和數(shù)據(jù)可視化技術(shù)，從不同維度展現(xiàn)局內(nèi)整體安全態(tài)勢。由于門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)為在用系統(tǒng)，因此在二次開發(fā)、 部署、測試等過程中一定要盡量避免對系統(tǒng)的正常使用造成影響。目前數(shù)據(jù)中心前已布置有邊界安全設(shè)備及WEB應(yīng)用防火墻，對服務(wù)器核心業(yè)務(wù)提供了安全保護(hù)。 業(yè)務(wù)系統(tǒng)應(yīng)用安全教務(wù)系統(tǒng)、校務(wù)系統(tǒng)、OA系統(tǒng)、招生、就業(yè)、信息智能管理等信息傳輸安全的應(yīng)用需求方面不斷發(fā)展，整個社會的信息化程度不斷提高。 應(yīng)用安全建設(shè) 應(yīng)用安全設(shè)計應(yīng)用安全是指門戶網(wǎng)站和其它業(yè)務(wù)系統(tǒng)自身應(yīng)具備的安全功能。7）通過統(tǒng)一安全管理中心、APT高級威脅分析平臺的部署，對網(wǎng)絡(luò)流量實時采集和監(jiān)控，采取主動的安全分析和實時態(tài)勢感知，利用動態(tài)行為檢測引擎和靜態(tài)特征檢測引擎相結(jié)的方式實現(xiàn)對未知威脅的安全防護(hù)、預(yù)警。詳細(xì)說明如下：：由運營商和教育網(wǎng)出口組成，提供 Internet互聯(lián)網(wǎng)和教育網(wǎng)訪問服務(wù)；：部署了網(wǎng)絡(luò)的核心交換設(shè)備， 用于數(shù)據(jù)的高速轉(zhuǎn)發(fā)；：本安全區(qū)主要用于部署各類信息安全產(chǎn)品及相關(guān)服務(wù)器；：業(yè)務(wù)、辦公、學(xué)生終端的接入?yún)^(qū)域，連接方式有無線和有線兩種方式；：本安全區(qū)主要用于部署各類學(xué)校相關(guān)的業(yè)務(wù)服務(wù)器；6. DMZ區(qū)：用于部署對外提供服務(wù)的業(yè)務(wù)應(yīng)用服務(wù)器， 部署有服務(wù)器操作系統(tǒng)安全加固系統(tǒng)； 新增安全措施1）在安全管理區(qū)部署安全審計系統(tǒng)（堡壘機、數(shù)據(jù)庫審計、日志審計），實現(xiàn)對全網(wǎng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的登錄、操作進(jìn)行安全審計；對全網(wǎng)的日志審計；對全網(wǎng)的數(shù)據(jù)庫審計。集中部署各種安全產(chǎn)品或安全措施的管理或維護(hù)中心， 實現(xiàn)對信息安全的統(tǒng)一安全管理。(二) 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)SSL VPN 能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾蕴峁┍Ｗo(hù)，確保數(shù)據(jù)的完整性不被破壞。(六) 惡意代碼防范服務(wù)器使用殺毒軟件或其他惡意代碼防護(hù)軟件，具有主動防護(hù)惡意代碼機制，及時發(fā)現(xiàn)病毒和木馬潛入或運行在操作系統(tǒng)，通過在服務(wù)器和終端上部署防病毒軟件，實現(xiàn)對惡意代碼的防范。服務(wù)器安全保護(hù)系統(tǒng)的訪問控制機制保證用戶重要數(shù)據(jù)不會被非法訪問和篡改。（四）、區(qū)域邊界完整性保護(hù)通過部署主機監(jiān)控與準(zhǔn)入控制系統(tǒng)，可以實現(xiàn)終端非法外聯(lián)行為的發(fā)現(xiàn)與管控，可以實現(xiàn)對非合規(guī)內(nèi)聯(lián)行為的發(fā)現(xiàn)和阻斷。（二）、區(qū)域邊界包過濾防火墻、入侵防護(hù)系統(tǒng)、上網(wǎng)行為管理等安全產(chǎn)品，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，確定訪問行為是否合法，決定是否允許該數(shù)據(jù)包或該訪問進(jìn)出該區(qū)域邊界。l 信息安全運行體系隨著信息系統(tǒng)建設(shè)的不斷完善，信息安全運行體系對保障系統(tǒng)的安全和正常運行越來越重要。內(nèi)容包含信息安全關(guān)鍵決策、信息安全治理結(jié)構(gòu)、信息安全治理運作機制、信息安全組織模型、信息安全組織建設(shè)的關(guān)鍵因素、信息安全組織規(guī)劃。l 人技融合學(xué)校的信息系統(tǒng)面對外界種類繁多的攻擊方式：病毒攻擊、信息攔截、拒絕服務(wù)攻擊、APT攻擊等，據(jù)《2016中國高級持續(xù)性差距(APT)研究報告》分析，高校已經(jīng)成為國內(nèi)遭受APT攻擊最嚴(yán)重的行業(yè)。ISO27000的特點在于它基于風(fēng)險評估選擇控制方法，可由組織自行決定風(fēng)險可接受程度，能夠有效的降低系統(tǒng)遭受損害對學(xué)校內(nèi)部產(chǎn)生的影響。等級保護(hù)的核心是“明確重點”、“突出重點”、“保護(hù)重點”，著重于控制信息系統(tǒng)