【文章內(nèi)容簡介】 ....................................................................................825 技術(shù)支持、售后服務及培訓方案 .............................................................................................................83 安全運維服務 ..........................................................................................................................................83IV / 94 技術(shù)支持與售后服務方案 ......................................................................................................................83 試運行期的技術(shù)支持與服務 .............................................................................................................83 質(zhì)量保證期內(nèi)的技術(shù)支持與售后服務 ..............................................................................................84 質(zhì)量保證期外的技術(shù)支持與售后服務 ..............................................................................................85 跟蹤服務 .............................................................................................................................................86 工程師資質(zhì)保障 .................................................................................................................................87 培訓方案 ..................................................................................................................................................87 培訓方法 .............................................................................................................................................87 培訓內(nèi)容 .............................................................................................................................................87 服務交付物 .........................................................................................................................................88 長期培訓計劃 .....................................................................................................................................881 / 941 項目概述 項目建設(shè)背景 隨著我國學校信息化建設(shè)的逐步深入，學校教務工作對信息系統(tǒng)依賴的程度越來越高；教育信息化建設(shè)中大量的信息資源，成為學校成熟的業(yè)務展示和應用平臺，在未來的教育信息化規(guī)劃中占有非常重要的地位。從安全性上分析，高校業(yè)務應用和網(wǎng)絡(luò)系統(tǒng)日益復雜，外部攻擊、內(nèi)部資源濫用、木馬和病毒等不安全因素越來越顯著，信息化安全是業(yè)務應用發(fā)展需要關(guān)注的核心和重點。為貫徹落實國家信息安全等級保護制度，規(guī)范和指導全國教育信息安全等級保護工作，國家教委教辦廳函[2022]80 文件發(fā)出“關(guān)于開展信息系統(tǒng)安全等級保護工作的通知” ；教育部教育管理信息中心發(fā)布《教育信息系統(tǒng)安全等級保護工作方案》 （征求意見稿） ；教育部辦公廳《印發(fā)關(guān)于開展教育系統(tǒng)信息安全等級保護工作專項檢查的通知》 （教辦廳函〔2022〕80 號） 。 項目建設(shè)目標本次項目建設(shè)目標：為貫徹落實國家、教育部信息安全工作部署，完善 XXX 大學信息系統(tǒng)安全技術(shù)防護措施、安全管理制度和安全運維體系，全面建設(shè)完整的信息安全防護體系，順利通過信息系統(tǒng)等級測評，為 XXX 大學信息化的健康快速發(fā)展保駕護航。 項目建設(shè)內(nèi)容天融信依據(jù)國家信息安全等級保護技術(shù)和管理要求，開展信息安全等級保護建設(shè)工作，工作的主要內(nèi)容包括：（1）方案設(shè)計；（2 ）系統(tǒng)集成；（ 3）維護服務。 項目建設(shè)范圍本方案的設(shè)計范圍覆蓋 XXX 大學信息系統(tǒng)。2 / 94 項目建設(shè)依據(jù)為保證整個項目的實施質(zhì)量和圓滿完成本次項目的項目目標，在整個等級保護整改建設(shè)項目的設(shè)計規(guī)劃中將遵循以下標準：? 《計算機信息系統(tǒng)安全保護等級劃分準則》（GB178591999）（基礎(chǔ)標準） ? 《信息系統(tǒng)安全等級保護基本要求》（GB/T 222392022）（基線標準） ? 《信息系統(tǒng)安全保護等級定級指南》（GB/T 222402022）（輔助標準）? 《信息系統(tǒng)安全等級保護實施指南》 （輔助標準）? 《信息系統(tǒng)安全等級保護測評準則》 （輔助標準）? 《電子政務信息系統(tǒng)安全等級保護實施指南（試行）》 ? 《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》（GB/T202712022）? 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T202702022）? 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T202722022）? 《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T202732022） ? 《信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T671） ? 《信息系統(tǒng)安全安全管理要求》（GB/T20269） ? 《信息系統(tǒng)安全工程管理要求》（GB/T20282）? 《信息安全技術(shù) 服務器技術(shù)要求》（GB/T21082）? ISO/IEC TR 13335? ISO 17799:2022? ISO 27001:2022? NIST SP800 系列? ISO 20220? CobiT2 信息系統(tǒng)現(xiàn)狀與安全需求 信息化建設(shè)現(xiàn)狀綜述1. 隨著 XXX 大學信息化建設(shè)的推進，信息化建設(shè)初具規(guī)模，服務器等主機設(shè)備基本3 / 94到位，大型網(wǎng)絡(luò)設(shè)備、高端路由設(shè)備、多種網(wǎng)絡(luò)和系統(tǒng)管理軟件、專業(yè)數(shù)據(jù)備份軟件及網(wǎng)絡(luò)數(shù)據(jù)安全設(shè)備和軟件等大都配備完成，運行保障的基礎(chǔ)技術(shù)手段基本具備； 2. XXX 大學網(wǎng)絡(luò)信息中心技術(shù)力量雄厚，在網(wǎng)絡(luò)工程、數(shù)據(jù)庫建設(shè)、系統(tǒng)設(shè)計、軟件開發(fā)、信息安全等多項領(lǐng)域具有較強的實力和豐富的經(jīng)驗。承擔信息中心的網(wǎng)絡(luò)系統(tǒng)管理和應用支持的專業(yè)技術(shù)人員達 20 余人； 3. XXX 大學隨著信息系統(tǒng)的逐步建設(shè)，分別針對重要應用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護手段，保障了核心業(yè)務系統(tǒng)在一般情況下的正常運行，具備了基本的安全防護能力； 4. XXX 大學的日常運行管理比較規(guī)范，按照信息基礎(chǔ)設(shè)施運行操作流程和管理對象的不同，確定了網(wǎng)絡(luò)系統(tǒng)運行保障管理的角色和崗位，初步建立了問題處理的應急響應機制。 技術(shù)體系結(jié)構(gòu)現(xiàn)狀XXX 大學信息系統(tǒng)主要包括六大業(yè)務應用系統(tǒng)，網(wǎng)絡(luò)、認證計費、校園卡、數(shù)字 XX、網(wǎng)站、郵件系統(tǒng)。網(wǎng)絡(luò)是 XXX 大學各大業(yè)務平臺的基礎(chǔ)核心，是整個校園網(wǎng)的基礎(chǔ)，網(wǎng)絡(luò)上承載著多種校園業(yè)務應用，包括認證計費、數(shù)字 XX、網(wǎng)站、郵件等多種業(yè)務應用系統(tǒng)，這些業(yè)務應用系統(tǒng)都運行在 XXX 大學的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上。XXX 大學認證計費系統(tǒng)是針對學生上互聯(lián)網(wǎng)的一種接入認證計費的管理方式，XXX 大學對學生上網(wǎng)是按流量進行統(tǒng)計收費的。認證計費系統(tǒng)共 4 臺服務器，兩臺認證服務器、一臺自服服務器，一臺流量統(tǒng)計服務器。學生機上網(wǎng)通過 協(xié)議進行接入認證，上網(wǎng)流量通過互聯(lián)網(wǎng)出口交換機的端口鏡象功能將上網(wǎng)數(shù)據(jù)發(fā)送到流量統(tǒng)計服務器，學生通過自服務服務器可以查看個人上網(wǎng)流量的使用情況。計費采用流量計費方式，但每月流量與實際費用不成比例。校園卡屬 XXX 大學專網(wǎng)，主要實現(xiàn)學生校園卡消費管理。校園卡與 XXX 大學網(wǎng)絡(luò)有三個物理接口（包括數(shù)字 XX、認證計費、東區(qū)食堂）。專網(wǎng)，與中國銀行通過 DDN 方式互4 / 94聯(lián)，沒有部署防火墻，數(shù)據(jù)傳輸使用加密機進行加密，終端取用 IP/MAC 綁定的安全機制，網(wǎng)管采用昆特網(wǎng)管系統(tǒng)對交換機、服務器、終端進行監(jiān)控管理。數(shù)字 XX 是 XXX 大學最重要的業(yè)務應用系統(tǒng)，系統(tǒng)中存儲著重要的教務工作數(shù)據(jù)、學生考試信息、財務數(shù)據(jù)等重要數(shù)據(jù)信息。數(shù)字 XX 有 2 個應用服務器，2 個認證服務器，1個 BI 服務器，遠程通過 VPN、橋服務器管理，有 IP 訪問控制機制，服務器是 SUN 的主機，安裝 Solaris 10 系統(tǒng)，2 臺 Oralcle 數(shù)據(jù)庫服務器，2 臺 Weblogic 應用服務器，1 臺對外提供服務的 Apache 服務器，應用系統(tǒng)采取數(shù)據(jù)庫，應用，服務的三層安全架構(gòu)模式部署，服務器沒有做安全加固，存在 Web 應用攻擊威脅，測試服務器密碼被篡改過。XXX 大學網(wǎng)站系統(tǒng)為 XXX 大學校園的互聯(lián)網(wǎng)窗口，起到學校對外介紹宣傳的功能。目前，XXX 大學網(wǎng)站系統(tǒng)共有 6 臺服務器，服務器區(qū)域部署了 IDS 設(shè)備實時檢測網(wǎng)站的安全動態(tài)，系統(tǒng)配置了主機防火墻，一周進行一次本機數(shù)據(jù)備份，目前密碼強度基本符合安全要求，有安全應急預案，但不完善，沒有進行過操作演練。XXX 大學郵件系統(tǒng)主要為 XXX 大學教師與學生提供郵件收發(fā)服務，目前郵件系統(tǒng)用戶20220 多，郵件系統(tǒng)前端部署了 IPS 進行安全防護，并通過梭子魚垃圾郵件網(wǎng)關(guān)對垃圾郵件進行過濾，郵件數(shù)據(jù)最終存儲到 H3C 的 IP SAN 中，郵件服務器目前單機運行，沒有做雙機熱備，郵件系統(tǒng)受到垃圾郵件，病毒郵件的威脅，WEB 郵件服務發(fā)生過服務中斷，系統(tǒng)系統(tǒng)存在過郵件退信攻擊與郵件丟失問題，可能由于郵件系統(tǒng)自身脆弱性造成。 物理環(huán)境? 機房：位于該樓三層，機房總面積約 151m2，機房管理沒有采取記錄進出人員時間、數(shù)量和原因等情況，配電間沒鋪設(shè)防靜電地板，接入電源為 380V/50HZ/200A，無雙電互投，在線 UPS 40KVA 輸出 1 組，冷備 UPS 40KVA 輸出 2 組，4 個 APC 電池柜，每組 32 塊電池。機房鋪設(shè)防靜電地板，擁有 2 組 HIROSS 專用空調(diào)保證機房恒溫、恒濕，空調(diào)無漏水監(jiān)控報警，機房內(nèi)配置防漏電保護、視頻監(jiān)控、煙感和利達海鑫柜式滅火、防靜電導流排等必須的防護措施。機架線序混亂，沒有規(guī)范應急燈和溫感監(jiān)控。機房物理環(huán)境三層機房物理和環(huán)境安全5 / 94三層機房物理和環(huán)境安全地理位置 XXX 大學三層。電源 電壓 380V/50HZ/200A，無雙電互投，總接入電量為 2x70 平方中央空調(diào) HIROSS 空調(diào) 2 組，沒有空調(diào)漏水監(jiān)控報警。外設(shè)空調(diào)UPSUPS 在線 40KVA 輸出 1 組，冷備 10KVA 輸出 2 組，APC 電池柜2 組，每組 32*12V*100Ah 電池。地板 600*600 靜電地板，防靜電導流排。防電涌 有防漏電保護，無防浪涌。機房溫濕度 空調(diào)顯示溫度：1 組：℃,2 組：℃。氣噴 于電源接入?yún)^(qū)、設(shè)備區(qū)應急燈 無規(guī)范應急燈煙感 煙感：XXX 大學自己做一套，消防給做了一套。溫感 沒有部署溫感監(jiān)控。視頻監(jiān)控 有 3 個，分別部署在設(shè)備區(qū)和電源接入?yún)^(qū)。機架 線序混亂、設(shè)備沒有規(guī)范的標簽。滅火器二套利達海鑫柜式七氟丙烷氣體滅火裝置(G150/25)，有效噴射面積不明。機房面積 配電間 7*7=49m2， 機房 17*6=102 m2，物理環(huán)境 儲藏間易燃易爆物品隨意堆放，物品雜亂。? 機房：位于該樓地下一層，機房總面積約 m2，機房管理沒有采取記錄進出人員時間、數(shù)量和原因等情況，配電間沒鋪設(shè)防靜電地板，接入電源 380V， 雙路市電供電保障，在線 UPS 120KVA 輸出 2 組、帶載 26~27KVA, 4 組電池組，每組 32 塊電池。機房鋪設(shè)防靜電地板，3 組 650A HIROSS 專用空調(diào)保證機房恒溫、恒濕，空調(diào)無漏水監(jiān)控報警。機房內(nèi)配置防漏電保護、15 個氣體噴淋口、煙感、視頻監(jiān)控、紅外線報警器、二氧化碳滅火裝置、防靜電導流排等必須的防護措施