【文章內(nèi)容簡介】 ....................................................................................825 技術(shù)支持、售后服務(wù)及培訓(xùn)方案 .............................................................................................................83 安全運(yùn)維服務(wù) ..........................................................................................................................................83IV / 94 技術(shù)支持與售后服務(wù)方案 ......................................................................................................................83 試運(yùn)行期的技術(shù)支持與服務(wù) .............................................................................................................83 質(zhì)量保證期內(nèi)的技術(shù)支持與售后服務(wù) ..............................................................................................84 質(zhì)量保證期外的技術(shù)支持與售后服務(wù) ..............................................................................................85 跟蹤服務(wù) .............................................................................................................................................86 工程師資質(zhì)保障 .................................................................................................................................87 培訓(xùn)方案 ..................................................................................................................................................87 培訓(xùn)方法 .............................................................................................................................................87 培訓(xùn)內(nèi)容 .............................................................................................................................................87 服務(wù)交付物 .........................................................................................................................................88 長期培訓(xùn)計(jì)劃 .....................................................................................................................................881 / 941 項(xiàng)目概述 項(xiàng)目建設(shè)背景 隨著我國學(xué)校信息化建設(shè)的逐步深入，學(xué)校教務(wù)工作對信息系統(tǒng)依賴的程度越來越高；教育信息化建設(shè)中大量的信息資源，成為學(xué)校成熟的業(yè)務(wù)展示和應(yīng)用平臺，在未來的教育信息化規(guī)劃中占有非常重要的地位。從安全性上分析，高校業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，外部攻擊、內(nèi)部資源濫用、木馬和病毒等不安全因素越來越顯著，信息化安全是業(yè)務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點(diǎn)。為貫徹落實(shí)國家信息安全等級保護(hù)制度，規(guī)范和指導(dǎo)全國教育信息安全等級保護(hù)工作，國家教委教辦廳函[2022]80 文件發(fā)出“關(guān)于開展信息系統(tǒng)安全等級保護(hù)工作的通知” ；教育部教育管理信息中心發(fā)布《教育信息系統(tǒng)安全等級保護(hù)工作方案》 （征求意見稿） ；教育部辦公廳《印發(fā)關(guān)于開展教育系統(tǒng)信息安全等級保護(hù)工作專項(xiàng)檢查的通知》 （教辦廳函〔2022〕80 號） 。 項(xiàng)目建設(shè)目標(biāo)本次項(xiàng)目建設(shè)目標(biāo)：為貫徹落實(shí)國家、教育部信息安全工作部署，完善 XXX 大學(xué)信息系統(tǒng)安全技術(shù)防護(hù)措施、安全管理制度和安全運(yùn)維體系，全面建設(shè)完整的信息安全防護(hù)體系，順利通過信息系統(tǒng)等級測評，為 XXX 大學(xué)信息化的健康快速發(fā)展保駕護(hù)航。 項(xiàng)目建設(shè)內(nèi)容天融信依據(jù)國家信息安全等級保護(hù)技術(shù)和管理要求，開展信息安全等級保護(hù)建設(shè)工作，工作的主要內(nèi)容包括：（1）方案設(shè)計(jì)；（2 ）系統(tǒng)集成；（ 3）維護(hù)服務(wù)。 項(xiàng)目建設(shè)范圍本方案的設(shè)計(jì)范圍覆蓋 XXX 大學(xué)信息系統(tǒng)。2 / 94 項(xiàng)目建設(shè)依據(jù)為保證整個(gè)項(xiàng)目的實(shí)施質(zhì)量和圓滿完成本次項(xiàng)目的項(xiàng)目目標(biāo)，在整個(gè)等級保護(hù)整改建設(shè)項(xiàng)目的設(shè)計(jì)規(guī)劃中將遵循以下標(biāo)準(zhǔn)：? 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB178591999）（基礎(chǔ)標(biāo)準(zhǔn)） ? 《信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T 222392022）（基線標(biāo)準(zhǔn)） ? 《信息系統(tǒng)安全保護(hù)等級定級指南》（GB/T 222402022）（輔助標(biāo)準(zhǔn)）? 《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》 （輔助標(biāo)準(zhǔn)）? 《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》 （輔助標(biāo)準(zhǔn)）? 《電子政務(wù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南（試行）》 ? 《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》（GB/T202712022）? 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T202702022）? 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T202722022）? 《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T202732022） ? 《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級技術(shù)要求》（GA/T671） ? 《信息系統(tǒng)安全安全管理要求》（GB/T20269） ? 《信息系統(tǒng)安全工程管理要求》（GB/T20282）? 《信息安全技術(shù) 服務(wù)器技術(shù)要求》（GB/T21082）? ISO/IEC TR 13335? ISO 17799:2022? ISO 27001:2022? NIST SP800 系列? ISO 20220? CobiT2 信息系統(tǒng)現(xiàn)狀與安全需求 信息化建設(shè)現(xiàn)狀綜述1. 隨著 XXX 大學(xué)信息化建設(shè)的推進(jìn)，信息化建設(shè)初具規(guī)模，服務(wù)器等主機(jī)設(shè)備基本3 / 94到位，大型網(wǎng)絡(luò)設(shè)備、高端路由設(shè)備、多種網(wǎng)絡(luò)和系統(tǒng)管理軟件、專業(yè)數(shù)據(jù)備份軟件及網(wǎng)絡(luò)數(shù)據(jù)安全設(shè)備和軟件等大都配備完成，運(yùn)行保障的基礎(chǔ)技術(shù)手段基本具備； 2. XXX 大學(xué)網(wǎng)絡(luò)信息中心技術(shù)力量雄厚，在網(wǎng)絡(luò)工程、數(shù)據(jù)庫建設(shè)、系統(tǒng)設(shè)計(jì)、軟件開發(fā)、信息安全等多項(xiàng)領(lǐng)域具有較強(qiáng)的實(shí)力和豐富的經(jīng)驗(yàn)。承擔(dān)信息中心的網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用支持的專業(yè)技術(shù)人員達(dá) 20 余人； 3. XXX 大學(xué)隨著信息系統(tǒng)的逐步建設(shè)，分別針對重要應(yīng)用系統(tǒng)采用了防火墻、IPS/IDS、防病毒等常規(guī)安全防護(hù)手段，保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運(yùn)行，具備了基本的安全防護(hù)能力； 4. XXX 大學(xué)的日常運(yùn)行管理比較規(guī)范，按照信息基礎(chǔ)設(shè)施運(yùn)行操作流程和管理對象的不同，確定了網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障管理的角色和崗位，初步建立了問題處理的應(yīng)急響應(yīng)機(jī)制。 技術(shù)體系結(jié)構(gòu)現(xiàn)狀XXX 大學(xué)信息系統(tǒng)主要包括六大業(yè)務(wù)應(yīng)用系統(tǒng)，網(wǎng)絡(luò)、認(rèn)證計(jì)費(fèi)、校園卡、數(shù)字 XX、網(wǎng)站、郵件系統(tǒng)。網(wǎng)絡(luò)是 XXX 大學(xué)各大業(yè)務(wù)平臺的基礎(chǔ)核心，是整個(gè)校園網(wǎng)的基礎(chǔ)，網(wǎng)絡(luò)上承載著多種校園業(yè)務(wù)應(yīng)用，包括認(rèn)證計(jì)費(fèi)、數(shù)字 XX、網(wǎng)站、郵件等多種業(yè)務(wù)應(yīng)用系統(tǒng)，這些業(yè)務(wù)應(yīng)用系統(tǒng)都運(yùn)行在 XXX 大學(xué)的基礎(chǔ)網(wǎng)絡(luò)環(huán)境上。XXX 大學(xué)認(rèn)證計(jì)費(fèi)系統(tǒng)是針對學(xué)生上互聯(lián)網(wǎng)的一種接入認(rèn)證計(jì)費(fèi)的管理方式，XXX 大學(xué)對學(xué)生上網(wǎng)是按流量進(jìn)行統(tǒng)計(jì)收費(fèi)的。認(rèn)證計(jì)費(fèi)系統(tǒng)共 4 臺服務(wù)器，兩臺認(rèn)證服務(wù)器、一臺自服服務(wù)器，一臺流量統(tǒng)計(jì)服務(wù)器。學(xué)生機(jī)上網(wǎng)通過 協(xié)議進(jìn)行接入認(rèn)證，上網(wǎng)流量通過互聯(lián)網(wǎng)出口交換機(jī)的端口鏡象功能將上網(wǎng)數(shù)據(jù)發(fā)送到流量統(tǒng)計(jì)服務(wù)器，學(xué)生通過自服務(wù)服務(wù)器可以查看個(gè)人上網(wǎng)流量的使用情況。計(jì)費(fèi)采用流量計(jì)費(fèi)方式，但每月流量與實(shí)際費(fèi)用不成比例。校園卡屬 XXX 大學(xué)專網(wǎng)，主要實(shí)現(xiàn)學(xué)生校園卡消費(fèi)管理。校園卡與 XXX 大學(xué)網(wǎng)絡(luò)有三個(gè)物理接口（包括數(shù)字 XX、認(rèn)證計(jì)費(fèi)、東區(qū)食堂）。專網(wǎng)，與中國銀行通過 DDN 方式互4 / 94聯(lián)，沒有部署防火墻，數(shù)據(jù)傳輸使用加密機(jī)進(jìn)行加密，終端取用 IP/MAC 綁定的安全機(jī)制，網(wǎng)管采用昆特網(wǎng)管系統(tǒng)對交換機(jī)、服務(wù)器、終端進(jìn)行監(jiān)控管理。數(shù)字 XX 是 XXX 大學(xué)最重要的業(yè)務(wù)應(yīng)用系統(tǒng)，系統(tǒng)中存儲著重要的教務(wù)工作數(shù)據(jù)、學(xué)生考試信息、財(cái)務(wù)數(shù)據(jù)等重要數(shù)據(jù)信息。數(shù)字 XX 有 2 個(gè)應(yīng)用服務(wù)器，2 個(gè)認(rèn)證服務(wù)器，1個(gè) BI 服務(wù)器，遠(yuǎn)程通過 VPN、橋服務(wù)器管理，有 IP 訪問控制機(jī)制，服務(wù)器是 SUN 的主機(jī)，安裝 Solaris 10 系統(tǒng)，2 臺 Oralcle 數(shù)據(jù)庫服務(wù)器，2 臺 Weblogic 應(yīng)用服務(wù)器，1 臺對外提供服務(wù)的 Apache 服務(wù)器，應(yīng)用系統(tǒng)采取數(shù)據(jù)庫，應(yīng)用，服務(wù)的三層安全架構(gòu)模式部署，服務(wù)器沒有做安全加固，存在 Web 應(yīng)用攻擊威脅，測試服務(wù)器密碼被篡改過。XXX 大學(xué)網(wǎng)站系統(tǒng)為 XXX 大學(xué)校園的互聯(lián)網(wǎng)窗口，起到學(xué)校對外介紹宣傳的功能。目前，XXX 大學(xué)網(wǎng)站系統(tǒng)共有 6 臺服務(wù)器，服務(wù)器區(qū)域部署了 IDS 設(shè)備實(shí)時(shí)檢測網(wǎng)站的安全動態(tài)，系統(tǒng)配置了主機(jī)防火墻，一周進(jìn)行一次本機(jī)數(shù)據(jù)備份，目前密碼強(qiáng)度基本符合安全要求，有安全應(yīng)急預(yù)案，但不完善，沒有進(jìn)行過操作演練。XXX 大學(xué)郵件系統(tǒng)主要為 XXX 大學(xué)教師與學(xué)生提供郵件收發(fā)服務(wù)，目前郵件系統(tǒng)用戶20220 多，郵件系統(tǒng)前端部署了 IPS 進(jìn)行安全防護(hù)，并通過梭子魚垃圾郵件網(wǎng)關(guān)對垃圾郵件進(jìn)行過濾，郵件數(shù)據(jù)最終存儲到 H3C 的 IP SAN 中，郵件服務(wù)器目前單機(jī)運(yùn)行，沒有做雙機(jī)熱備，郵件系統(tǒng)受到垃圾郵件，病毒郵件的威脅，WEB 郵件服務(wù)發(fā)生過服務(wù)中斷，系統(tǒng)系統(tǒng)存在過郵件退信攻擊與郵件丟失問題，可能由于郵件系統(tǒng)自身脆弱性造成。 物理環(huán)境? 機(jī)房：位于該樓三層，機(jī)房總面積約 151m2，機(jī)房管理沒有采取記錄進(jìn)出人員時(shí)間、數(shù)量和原因等情況，配電間沒鋪設(shè)防靜電地板，接入電源為 380V/50HZ/200A，無雙電互投，在線 UPS 40KVA 輸出 1 組，冷備 UPS 40KVA 輸出 2 組，4 個(gè) APC 電池柜，每組 32 塊電池。機(jī)房鋪設(shè)防靜電地板，擁有 2 組 HIROSS 專用空調(diào)保證機(jī)房恒溫、恒濕，空調(diào)無漏水監(jiān)控報(bào)警，機(jī)房內(nèi)配置防漏電保護(hù)、視頻監(jiān)控、煙感和利達(dá)海鑫柜式滅火、防靜電導(dǎo)流排等必須的防護(hù)措施。機(jī)架線序混亂，沒有規(guī)范應(yīng)急燈和溫感監(jiān)控。機(jī)房物理環(huán)境三層機(jī)房物理和環(huán)境安全5 / 94三層機(jī)房物理和環(huán)境安全地理位置 XXX 大學(xué)三層。電源 電壓 380V/50HZ/200A，無雙電互投，總接入電量為 2x70 平方中央空調(diào) HIROSS 空調(diào) 2 組，沒有空調(diào)漏水監(jiān)控報(bào)警。外設(shè)空調(diào)UPSUPS 在線 40KVA 輸出 1 組，冷備 10KVA 輸出 2 組，APC 電池柜2 組，每組 32*12V*100Ah 電池。地板 600*600 靜電地板，防靜電導(dǎo)流排。防電涌 有防漏電保護(hù)，無防浪涌。機(jī)房溫濕度 空調(diào)顯示溫度：1 組：℃,2 組：℃。氣噴 于電源接入?yún)^(qū)、設(shè)備區(qū)應(yīng)急燈 無規(guī)范應(yīng)急燈煙感 煙感：XXX 大學(xué)自己做一套，消防給做了一套。溫感 沒有部署溫感監(jiān)控。視頻監(jiān)控 有 3 個(gè)，分別部署在設(shè)備區(qū)和電源接入?yún)^(qū)。機(jī)架 線序混亂、設(shè)備沒有規(guī)范的標(biāo)簽。滅火器二套利達(dá)海鑫柜式七氟丙烷氣體滅火裝置(G150/25)，有效噴射面積不明。機(jī)房面積 配電間 7*7=49m2， 機(jī)房 17*6=102 m2，物理環(huán)境 儲藏間易燃易爆物品隨意堆放，物品雜亂。? 機(jī)房：位于該樓地下一層，機(jī)房總面積約 m2，機(jī)房管理沒有采取記錄進(jìn)出人員時(shí)間、數(shù)量和原因等情況，配電間沒鋪設(shè)防靜電地板，接入電源 380V， 雙路市電供電保障，在線 UPS 120KVA 輸出 2 組、帶載 26~27KVA, 4 組電池組，每組 32 塊電池。機(jī)房鋪設(shè)防靜電地板，3 組 650A HIROSS 專用空調(diào)保證機(jī)房恒溫、恒濕，空調(diào)無漏水監(jiān)控報(bào)警。機(jī)房內(nèi)配置防漏電保護(hù)、15 個(gè)氣體噴淋口、煙感、視頻監(jiān)控、紅外線報(bào)警器、二氧化碳滅火裝置、防靜電導(dǎo)流排等必須的防護(hù)措施