【正文】 主機安全加固主要對用戶單位所有主機系統(tǒng)（含虛擬機）進行安全加固，內(nèi)容如下:n 檢查主機系統(tǒng)的補丁管理；n 賬號及口令策略；n 網(wǎng)絡與服務n 文件系統(tǒng)；n 日志審核；n 防火墻策略；n 系統(tǒng)鉤子；n 木馬、后門及rookit；n 安全性增強；網(wǎng)絡安全加固主要對用戶單位所涉及的網(wǎng)絡設備進行安全加固，內(nèi)容如下: n 網(wǎng)絡設備的補丁管理及版本；n 賬號及口令策略；n 訪問控制；n 網(wǎng)絡與服務；n 日志審核信息安全設備加固安全設備是否配置最優(yōu)，實現(xiàn)其最優(yōu)功能和性能，保證網(wǎng)絡系統(tǒng)的正常運行、是否存在漏洞或后門、自身的保護機制是否實現(xiàn)、檢查安全設備的補丁管理、賬號及口令策略、訪問控制、網(wǎng)絡與服務、日志審核，主要內(nèi)容如下：n 關閉不必要系統(tǒng)服務n 開啟系統(tǒng)各項審計功能n 配置賬號、組策略n 配置注冊表相應的安全項n 配置文件系統(tǒng)的權限n 評估新補丁對操作系統(tǒng)及應用系統(tǒng)的影響，在不影響系統(tǒng)正常使用的情況下，升級系統(tǒng)補丁n 升級防病毒軟件的版本數(shù)據(jù)庫系統(tǒng)安全加固數(shù)據(jù)庫系統(tǒng)主要從系統(tǒng)版本、用戶賬號、口令管理、傳輸情況、文件系統(tǒng)、日志審核等方面進行安全加固，主要內(nèi)容如下：n 數(shù)據(jù)庫組件安裝優(yōu)化n 適度應用數(shù)據(jù)庫補丁程序n 數(shù)據(jù)庫服務運行權限改善n 清理數(shù)據(jù)庫默認配置無用賬號n 改善程序包權限設置n 改善登錄認證方式設置n 改善傳輸加密協(xié)議配置n 設置客戶端連接IP限制策略n 禁用Extproc功能n 清理不必要的存儲過程n 增強數(shù)據(jù)庫日志審計功能. 安全管理制度編寫為用戶單位完成編寫信息安全管理制度，并保障該制度適合客戶方的需求，以及便于落地。具體依據(jù)標準《基本要求》中安全管理機構，同時可以參照《信息系統(tǒng)安全管理要求》等。具體依據(jù)標準《基本要求》中系統(tǒng)運維管理和《信息系統(tǒng)災難恢復規(guī)范》。具體依據(jù)標準《基本要求》中系統(tǒng)運維管理，同時可以參照《信息系統(tǒng)等級保護安全設計技術要求》和《信息系統(tǒng)安全管理要求》等。資產(chǎn)包括介質(zhì)、設備、設施、數(shù)據(jù)、軟件、文檔等，資產(chǎn)管理不等同于設備物資管理，而是從安全和信息系統(tǒng)角度對資產(chǎn)進行管理，將資產(chǎn)作為信息系統(tǒng)的組成部分，按其在信息系統(tǒng)中的作用進行管理。一般單位都有統(tǒng)一的人事管理部門負責人員管理，這里的人員安全管理主要指對關鍵崗位人員進行的以安全為核心的管理，例如對關鍵崗位的人員采取在錄用或上崗前進行全面、嚴格的安全審查和技能考核，與關鍵崗位人員簽署保密協(xié)議，對離崗人員撤銷系統(tǒng)帳戶和相關權限等措施。n 安全策略中將規(guī)定其自身的時效性，當信息系統(tǒng)運行環(huán)境發(fā)生重大變化時，我方將協(xié)助用戶方及時對總體安全策略進行必要的調(diào)整，并將調(diào)整后的策略提交用戶方信息安全決策機構批準。6. 詳細方案設計管理部分安全管理體系的作用是通過建立健全組織機構、規(guī)章制度，以及通過人員安全管理、安全教育與培訓和各項管理制度的有效執(zhí)行，來落實人員職責，確定行為規(guī)范，保證技術措施真正發(fā)揮效用，與技術體系共同保障安全策略的有效貫徹和落實。由于設備和服務器眾多，系統(tǒng)管理員壓力太大等因素，越權訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生，這嚴重影響信息系統(tǒng)的運行效能，另外黑客的惡意訪問也有可能獲取系統(tǒng)權限，闖入部門內(nèi)部網(wǎng)絡，造成不可估量的損失。因此，建議在二期部署一套日志審計系統(tǒng)對全網(wǎng)行為進行監(jiān)控、日志進行記錄。. 入侵防范技術根據(jù)等級保護基本要求，二級業(yè)務系統(tǒng)應該在互聯(lián)網(wǎng)出口處實現(xiàn)入侵防范功能，因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用入侵防御模塊非常有必要。n 安全通信網(wǎng)絡目前，在通信網(wǎng)絡安全方面，采用密碼等核心技術實現(xiàn)的各類VPN都可以很有效的解決這類問題，達到在滿足等級保護相關要求的同時，可靈活提高通信網(wǎng)絡安全性的效果。n 安全計算環(huán)境參照基于可信計算和主動防御的等級保護模型，安全計算環(huán)境可劃分成節(jié)點和典型應用兩個子系統(tǒng)。. 總體安全體系設計本項目提出的等級保護體系模型，必須依照國家等級保護的相關要求，利用密碼、代碼驗證、可信接入控制等核心技術，在“一個中心三重防御”的框架下實現(xiàn)對信息系統(tǒng)的全面防護。數(shù)據(jù)庫審計：該信息系統(tǒng)缺少針對數(shù)據(jù)的審計設備，不能很好的滿足主機安全審計的要求，需要部署專業(yè)的數(shù)據(jù)庫審計設備。n 服務細致化原則：在項目咨詢、建設過程中深信服將充分結合自身的專業(yè)技術經(jīng)驗與行業(yè)經(jīng)驗相結合，結合用戶方的實際信息系統(tǒng)量身定做才可以保障其信息系統(tǒng)安全穩(wěn)定的運行。應急預案是安全等級保護的重要組成部分，按可能出現(xiàn)問題的不同情形制定相應的應急措施，在系統(tǒng)出現(xiàn)故障和意外且無法短時間恢復的情況下能確保生產(chǎn)活動持續(xù)進行。本項目建設將完成以下目標：以學校信息系統(tǒng)現(xiàn)有基礎設施，建設并完成滿足等級保護二級系統(tǒng)基本要求的信息系統(tǒng)，確保學校的整體信息化建設符合相關要求。建立安全管理組織機構。安全培訓：為學校信息化技術人員提供信息安全相關專業(yè)技術知識培訓。2. 系統(tǒng)現(xiàn)狀分析. 系統(tǒng)定級情況說明學校綜合考慮了學校信息系統(tǒng)、學校信息系統(tǒng)的業(yè)務信息和系統(tǒng)服務類型，以及其受到破壞時可能受到侵害的客體以及受侵害的程度，經(jīng)學校省公安廳的批準，已將學校系統(tǒng)等級定為等級保護第二級（S2A2G2），整體網(wǎng)絡信息化平臺按照二級進行建設。運維堡壘機：該該信息系統(tǒng)無法實現(xiàn)管理員對網(wǎng)絡設備和服務器進行管理時的雙因素認證，需要部署堡壘機來實現(xiàn)。整個體系模型如下圖所示：n 安全管理中心安全管理中心是整個等級保護體系中對信息系統(tǒng)進行集中安全管理的平臺，是信息系統(tǒng)做到可測、可控、可管理的必要手段和措施。在解決方案中，這兩個子系統(tǒng)都將通過終端安全保護體系的建立來實現(xiàn)。. 總體網(wǎng)絡架構設計學校網(wǎng)絡架構整體設計如下：. 安全域劃分說明安全域的劃分是網(wǎng)絡防護的基礎，事實上每一個安全邊界所包含的區(qū)域都形成了一個安全域。二級業(yè)務系統(tǒng)應該在互聯(lián)網(wǎng)出口處部署網(wǎng)絡層防病毒設備，并保證與主機層防病毒實現(xiàn)病毒庫的異構。部署設計：日志審計系統(tǒng)旁路部署在核心交換上，實現(xiàn)全網(wǎng)的網(wǎng)絡行為的統(tǒng)一審計，收集網(wǎng)絡設備、安全設備、主機系統(tǒng)等設備的運行狀況、網(wǎng)絡流量、用戶行為等日志信息，并對收集到的日志信息進行分類和關聯(lián)分析，并可根據(jù)審計人員的操作要求生成統(tǒng)計報表，方便查詢和生成報告，為網(wǎng)絡事件追溯提供證據(jù)。如何提高系統(tǒng)運維管理水平，跟蹤服務器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計依據(jù)，降低運維成本，滿足相關標準要求，越來越成為信息系統(tǒng)關心的問題，因此建議在學校二期安全建設有必要部署一套運維堡壘主機來實現(xiàn)賬戶的安全維護。信息安全管理體系主要包括組織機構、規(guī)章制度、人員安全、安全教育和培訓等四個方面內(nèi)容。. 信息安全管理制度根據(jù)安全管理制度的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定。只有注重對安全管理人員的培養(yǎng)，提高其安全防范意識，才能做到安全有效的防范，因此需要對各類人員進行安全意識教育、崗位技能培