【正文】 PT)研究報告》分析，高校已經(jīng)成為國內(nèi)遭受APT攻擊最嚴重的行業(yè)。并且網(wǎng)絡(luò)安全作為一個“動態(tài)安全”，每天都有安全漏洞發(fā)布，單純的依靠安全設(shè)備防護我們的系統(tǒng)，已經(jīng)無法奏效。需要“人+技術(shù)體系”的結(jié)合才能對抗外界真實攻擊。 四個體系l 信息安全組織體系建立信息安全組織體系，是為了明確各部門及個人在保障信息安全工作中擔(dān)任的角色以及相應(yīng)的責(zé)任。內(nèi)容包含信息安全關(guān)鍵決策、信息安全治理結(jié)構(gòu)、信息安全治理運作機制、信息安全組織模型、信息安全組織建設(shè)的關(guān)鍵因素、信息安全組織規(guī)劃。l 信息安全管理體系信息安全管理體系是組織機構(gòu)單位按照相關(guān)標準的要求，制定信息安全管理方針和策略，進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執(zhí)行的工作體系。其包含一系列安全管理體系文檔（安全策略、人員安全、物理安全、資產(chǎn)分類與控制、訪問控制等），以及信息安全管理的過程（計劃實施監(jiān)控改進）l 信息安全技術(shù)體系信息安全技術(shù)體系，從五個層面：物理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面、終端層面對整個安全技術(shù)體系進行設(shè)計。在每個層面依照信息安全建設(shè)的五個核心要素進行設(shè)計：“進不來”（身份認證），防止非法用戶接入網(wǎng)絡(luò)；“拿不走”（訪問控制），用戶訪問授權(quán)，防止非授權(quán)用戶獲取關(guān)鍵信息；“看不懂”（內(nèi)容安全），數(shù)據(jù)加密傳輸，防止信息被非法劫持，導(dǎo)致數(shù)據(jù)泄露；“跑不了”（審計監(jiān)控），無論是授權(quán)的使用還是非授權(quán)的使用，事后都應(yīng)該是有據(jù)可查的；“可恢復(fù)”（容災(zāi)備份），系統(tǒng)遭受破壞時，我們能及時啟用備份系統(tǒng)/數(shù)據(jù)，控制影響和損失。l 信息安全運行體系隨著信息系統(tǒng)建設(shè)的不斷完善，信息安全運行體系對保障系統(tǒng)的安全和正常運行越來越重要。安全運行體系的內(nèi)容包括建立資產(chǎn)風(fēng)險風(fēng)險管理制度、日常安全運維管理制度、安全監(jiān)控與應(yīng)急響應(yīng)機制、安全檢查與審核制度。 信息安全建設(shè)規(guī)劃拓撲圖圖表 11 信息安全建設(shè)和規(guī)劃總體示意圖xxxx大學(xué)信息安全建設(shè)規(guī)劃產(chǎn)品清單一覽表序號軟/硬件產(chǎn)品名稱數(shù)量單位備注1堡壘機1臺一期2數(shù)據(jù)庫審計1臺3日志審計1臺4WEB資產(chǎn)安全治理平臺1臺5主機安全加固軟件主機數(shù)待定套6容災(zāi)備份一體機1臺7準入控制系統(tǒng)終端數(shù)待定套8IT綜合運維管理系統(tǒng)1套二期9RFID機房資產(chǎn)管理系統(tǒng)1套10云WAF1套11ZDNS2臺三期12統(tǒng)一安全管理中心（soc+態(tài)勢感知）1臺13數(shù)據(jù)容災(zāi)備份一體機（異地）1臺四期14APT高級威脅分析平臺1套15GRC網(wǎng)絡(luò)安全管理平臺/安全值1套五期圖表 12 信息安全建設(shè)和規(guī)劃一期示意圖圖表 13 信息安全建設(shè)和規(guī)劃二期示意圖圖表 14 信息安全建設(shè)和規(guī)劃三期示意圖圖表 15 信息安全建設(shè)和規(guī)劃四期示意圖圖表 16 信息安全建設(shè)和規(guī)劃五期示意圖第 4 章 方案建設(shè) 建設(shè)原則統(tǒng)一原則：安全建設(shè)應(yīng)該統(tǒng)一規(guī)劃、統(tǒng)一標準但具體的建設(shè)內(nèi)容需要分期分步實施；適用性原則：按照經(jīng)濟實用、成熟先進、持續(xù)穩(wěn)定的要求，確定方案中安全體系的規(guī)模和軟硬件檔次；節(jié)約性原則：整體方案的設(shè)計應(yīng)該盡可能充分利用現(xiàn)有安全產(chǎn)品和系統(tǒng)資源，以免資源的浪費和重復(fù)投資；可擴展性原則：方案設(shè)計要立足于現(xiàn)有的安全需求，但同時為將來業(yè)務(wù)發(fā)展留有余地和可擴展接口； 技術(shù)安全體系建設(shè) 安全區(qū)域邊界設(shè)計（一）、區(qū)域邊界防護：對Internet提供服務(wù)的服務(wù)器應(yīng)當(dāng)單獨部署于DMZ安全域中。防火墻在安全區(qū)域邊界實施相應(yīng)的訪問控制策略， 對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制，阻止非授權(quán)訪問；入侵防護系統(tǒng)、入侵檢測系統(tǒng)可以對網(wǎng)絡(luò)入侵行為進行監(jiān)測、報警和阻斷，對非法網(wǎng)絡(luò)訪問和入侵行為進行處置；在DMZ區(qū)服務(wù)器前部署的WAB應(yīng)用防火墻從應(yīng)用協(xié)議、用戶權(quán)限控制和異常行為阻斷等方面對網(wǎng)絡(luò)訪問行為進行控制，保證服務(wù)器的訪問安全，有效防范以服務(wù)器為目標的攻擊行為。（二）、區(qū)域邊界包過濾防火墻、入侵防護系統(tǒng)、上網(wǎng)行為管理等安全產(chǎn)品，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，確定訪問行為是否合法，決定是否允許該數(shù)據(jù)包或該訪問進出該區(qū)域邊界。（三）、區(qū)域邊界安全審計防火墻、入侵防護系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、網(wǎng)絡(luò)接入控制系統(tǒng)等安全產(chǎn)品，均屬于網(wǎng)絡(luò)邊界產(chǎn)品，對出入網(wǎng)絡(luò)的訪問行為進行管理和控制。這些安全產(chǎn)品均具有審計功能，能夠?qū)^(qū)域邊界的訪問行為進行審計記錄。審計記錄包括安全事件的主體、客體、時間、類型和結(jié)果等內(nèi)容。（四）、區(qū)域邊界完整性保護通過部署主機監(jiān)控與準入控制系統(tǒng)，可以實現(xiàn)終端非法外聯(lián)行為的發(fā)現(xiàn)與管控，可以實現(xiàn)對非合規(guī)內(nèi)聯(lián)行為的發(fā)現(xiàn)和阻斷。 網(wǎng)絡(luò)接入控制系統(tǒng)對內(nèi)聯(lián)行為的合規(guī)性和合法性進行判斷， 然后根據(jù)安全策略， 采用報警、引導(dǎo)至安全修復(fù)區(qū)、阻斷等幾種方式進行處置。 安全計算環(huán)境設(shè)計(一) 強制訪問控制在門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)服務(wù)器部署服務(wù)器操作系統(tǒng)安全加固系統(tǒng)，實現(xiàn)對服務(wù)器資源的訪問行為的嚴格控制，包括對于用戶訪問行為的控制和進程訪問權(quán)限的控制，保護系統(tǒng)平臺和業(yè)務(wù)數(shù)據(jù)的完整性；通過安全產(chǎn)品實現(xiàn)對服務(wù)器特定資源的強制訪問控制。 (二) 用戶數(shù)據(jù)完整性保護以密碼技術(shù)和機制為基礎(chǔ)，服務(wù)器操作系統(tǒng)安全加固系統(tǒng)的完整性校驗機制和防篡改機制保護服務(wù)器重要資源不會被非法修改，且在其受到破壞時能對重要數(shù)據(jù)進行恢復(fù)。服務(wù)器安全保護系統(tǒng)的訪問控制機制保證用戶重要數(shù)據(jù)不會被非法訪問和篡改。(三) 應(yīng)用數(shù)據(jù)機密性保護服務(wù)器安全加固系統(tǒng)的訪控機制以及透明加解密機制將對服務(wù)器存儲的敏感數(shù)據(jù)機密性實施有效保護，訪問控制機制能夠防止非授權(quán)用戶讀取敏感信息，透明加解密機制對硬盤存儲的敏感數(shù)據(jù)實施加密存儲保護，即使非法人員竊取硬盤設(shè)備，在沒有用戶合法密鑰的前提下也無法解密敏感信息。(四) 剩余信息保護服務(wù)器操作系統(tǒng)安全加固系統(tǒng) 對用戶使用的客體資源實施針對性保護， 在這些客體資源重新分配前，對其原使用者的信息進行清除，以確保信息不被泄露，實現(xiàn)剩余信息的安全保護。(五) 程序可執(zhí)行保護服務(wù)器操作系統(tǒng)安全加固系統(tǒng)可構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈， 其中采用可信計算等技術(shù)，實現(xiàn)系統(tǒng)運行過程中可執(zhí)行程序的完整性檢驗， 阻止非授權(quán)程序的啟動和執(zhí)行，同時防范重要執(zhí)行程序被篡改，對病毒、木馬、蠕蟲等惡意代碼具備自免疫能力。(六) 惡意代碼防范服務(wù)器使用殺毒軟件或其他惡意代碼防護軟件，具有主動防護惡意代碼機制，及時發(fā)現(xiàn)病毒和木馬潛入或運行在操作系統(tǒng)，通過在服務(wù)器和終端上部署防病毒軟件，實現(xiàn)對惡意代碼的防范。（需保持惡意代碼庫的及時更新）(七) 資源控制按照“最小化原則”對門戶網(wǎng)站和業(yè)務(wù)服務(wù)器的操作系統(tǒng)進行梳理， 刪除或屏蔽不必要給功能、組件、權(quán)限。(八) 數(shù)據(jù)安全及備份恢復(fù)部署數(shù)據(jù)備份系統(tǒng) 對重要服務(wù)器的數(shù)據(jù)進行備份， 評估相關(guān)業(yè)務(wù)數(shù)據(jù)的重要性程度，設(shè)計相適應(yīng)的數(shù)據(jù)備份機制和策略。 安全通信網(wǎng)絡(luò)設(shè)計(一) 通信網(wǎng)絡(luò)安全審計通過 SSL VPN實現(xiàn)遠程安全接入和訪問， SSL VPN 本身具有安全審計功能，能夠?qū)尤朐L問行為進行審計記錄， 包括訪問行為發(fā)生的時間、 是否成功、主體、客體、源地址、目標地址、類型等信息。(二) 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護SSL VPN 能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾蕴峁┍Ｗo，確保數(shù)據(jù)的完整性不被破壞。(三) 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護SSL VPN 能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋Ｃ苄蕴峁┍Ｗo，確保數(shù)據(jù)的完整性不被破壞。(四) 通信網(wǎng)絡(luò)可信接入保護通過網(wǎng)絡(luò)接入控制系統(tǒng)，能夠?qū)尤朐O(shè)備的身份進行鑒別，并且根據(jù)接入設(shè)備的權(quán)限控制其所能訪問的資源。 安全管理中心設(shè)計在進行安全系統(tǒng)設(shè)計時， 應(yīng)當(dāng)首先設(shè)計安全管理中心， 從安全管理的高度為后續(xù)的安全設(shè)計打下基礎(chǔ)。集中部署各種安全產(chǎn)品或安全措施的管理或維護中心， 實現(xiàn)對信息安全的統(tǒng)一安全管理。應(yīng)該從系統(tǒng)管理、安全管理、審計管理、事件管理、風(fēng)險管理、安全工作管理等方面進行統(tǒng)一考慮，特別要實現(xiàn)集中身份管理、集中認證授權(quán)、 集中操作審計。1) 將現(xiàn)有安全產(chǎn)品的管理中心或維護中心集中部署；2) 設(shè)置安全管理中心，由安全管理中心統(tǒng)一對計算環(huán)境安全支撐平臺實施安全管理，實現(xiàn)包括主客體標記、 用戶授權(quán)、 策略維護和更新在內(nèi)的安全管理職能；3) 設(shè)置系統(tǒng)管理中心，聯(lián)合統(tǒng)一身份認證系統(tǒng)對整個系統(tǒng)的證書和密鑰實施統(tǒng)一管理， 對用戶身份和軟硬件資源配置實施統(tǒng)一控制和管理； 由各安全產(chǎn)品管理中心或維護中心共同構(gòu)成系統(tǒng)管理中心， 實現(xiàn)對所有安全產(chǎn)品的統(tǒng)一配置和管理；4) 部署審計管理平臺，接收各個區(qū)域的審計日志，為審計信息的存儲、分析和處理提供平臺， 作為管理員實施事件追蹤、 責(zé)任認定以及實施應(yīng)急響應(yīng)的依據(jù)。 安全區(qū)域劃分根據(jù)業(yè)務(wù)功能以及安全需求的不同，將xxxx大學(xué)信息網(wǎng)絡(luò)規(guī)劃為互聯(lián)網(wǎng)接入?yún)^(qū)域、內(nèi)網(wǎng)核心交換區(qū)、內(nèi)網(wǎng)安全管理區(qū)（審計核查區(qū)域）、內(nèi)網(wǎng)接入?yún)^(qū) 和內(nèi)網(wǎng)服務(wù)器區(qū)、DMZ區(qū)共 6個安全域。詳細說明如下：：由運營商和教育網(wǎng)出口組成，提供 Internet互聯(lián)網(wǎng)和教育網(wǎng)訪問服務(wù)；：部署了網(wǎng)絡(luò)的核心交換設(shè)備， 用于數(shù)據(jù)的高速轉(zhuǎn)發(fā)；：本安全區(qū)主要用于部署各類信息安全產(chǎn)品及相關(guān)服務(wù)器；：業(yè)務(wù)、辦公、學(xué)生終端的接入?yún)^(qū)域，連接方式有無線和有線兩種方式；：本安全區(qū)主要用于部署各類學(xué)校相關(guān)的業(yè)務(wù)服務(wù)器；6. DMZ區(qū)：用于部署對外提供服務(wù)的業(yè)務(wù)應(yīng)用服務(wù)器， 部署有服務(wù)器操作系統(tǒng)安全加固系統(tǒng)； 新增安全措施1）在安全管理區(qū)部署安全審計系統(tǒng)（堡壘機、數(shù)據(jù)庫審計、日志審計），實現(xiàn)對全網(wǎng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的登錄、操作進行安全審計；對全網(wǎng)的日志審計；對全網(wǎng)的數(shù)據(jù)庫審計。2）在門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)相關(guān)的服務(wù)器 （Windows操作系統(tǒng)和 Linux 操作系統(tǒng)）上安裝部署服務(wù)器操作系統(tǒng)安全加固軟件 ，提高服務(wù)器操作系統(tǒng)登錄的身份鑒別強度，實現(xiàn)雙因子身份認證； 對服務(wù)器操作系統(tǒng)自身的安全性進行加固，對服務(wù)器操作系統(tǒng)的關(guān)鍵配置、程序的完整性和可用性提供安全保護，對服務(wù)器性能資源進行監(jiān)測和管理；對服務(wù)器操作系統(tǒng)進行監(jiān)控與審計；3）部署數(shù)據(jù)備份系統(tǒng)， 部署數(shù)據(jù)備份系統(tǒng)對門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)的數(shù)據(jù)進行實時或半實時備份；根據(jù)業(yè)務(wù)數(shù)據(jù)的重要程度、綜合考慮投入成本等因素，設(shè)計相適應(yīng)的數(shù)據(jù)備份系統(tǒng)和數(shù)據(jù)備份策略，本次后期規(guī)劃進行異地備份體系建設(shè)，同時需要考慮備份周期、拷貝留存份數(shù)、備份策略（全量或增量）等安全因素；4）通過部署ZDNS、IT綜合運維管理系統(tǒng)及RFID機房資產(chǎn)管理系統(tǒng)對學(xué)校整體IP地址、網(wǎng)絡(luò)核心服務(wù)、網(wǎng)絡(luò)設(shè)備、硬件資產(chǎn)、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)應(yīng)用、主機等進行全生命周期管理，以達到智慧運維的目的5）部署WEB資產(chǎn)安全管理平臺，通過資產(chǎn)發(fā)現(xiàn)、漏洞掃描、旁路阻斷等技術(shù)以及完善的網(wǎng)站及業(yè)務(wù)系統(tǒng)備案制度，形成網(wǎng)站及業(yè)務(wù)系統(tǒng)的全生命周期管理。6）部署云WAF，通過云端防護體系，解析HTTP請求進行規(guī)則檢測，做不同的防御動作，并將防御過程記錄下來。將過濾后的安全流量放行，實現(xiàn)對服務(wù)器的安全防護。7）通過統(tǒng)一安全管理中心、APT高級威脅分析平臺的部署，對網(wǎng)絡(luò)流量實時采集和監(jiān)控，采取主動的安全分析和實時態(tài)勢感知，利用動態(tài)行為檢測引擎和靜態(tài)特征檢測引擎相結(jié)的方式實現(xiàn)對未知威脅的安全防護、預(yù)警。及APT攻擊分防御。同時結(jié)合大數(shù)據(jù)分析技術(shù)和數(shù)據(jù)可視化技術(shù)，從不同維度展現(xiàn)局內(nèi)整體安全態(tài)勢。 優(yōu)化安全措施1） 按照三權(quán)分立原則設(shè)置系統(tǒng)管理員角色， 并根據(jù)管理員角色賦予相應(yīng)的功能權(quán)限；盡量避免存在超級用戶；2） 規(guī)范管理維護賬戶，對于重要網(wǎng)絡(luò)設(shè)備，一定要做到每人一賬號，每個系統(tǒng)管理員都必須使用自己的賬號維護管理設(shè)備，落實責(zé)任到每個人；為每個服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫管理員分配不同的賬戶，每個管理員使用自己的賬戶登錄系統(tǒng)； 更改門戶網(wǎng)站和郵件系統(tǒng)服務(wù)器操作系統(tǒng)默認管理員賬戶或采用自定義管理員賬戶，避免使用系統(tǒng)默認賬戶；服務(wù)器管理員賬戶口令應(yīng)進行規(guī)范化管理，形成專門的口令管理規(guī)章制度；口令管理制度中應(yīng)對口令的復(fù)雜度和更換周期進行規(guī)定，復(fù)雜度通常應(yīng)不弱于：至少 8 位，應(yīng)包括大小寫字母、數(shù)字、特殊字符組合等；3） 對于重要網(wǎng)絡(luò)設(shè)備，一定要通過限定登錄地址、通過堡壘機等方式，提高登錄身份鑒別強度；制定網(wǎng)絡(luò)設(shè)備運維管理規(guī)范，將重要網(wǎng)絡(luò)設(shè)備的登錄限制規(guī)范化、文檔化；4） 完善數(shù)據(jù)備份恢復(fù)方案， 在內(nèi)部進行培訓(xùn)和演練， 投入相應(yīng)人力、 物力資源，確保數(shù)據(jù)備份恢復(fù)方案有效、可行、可操作；5）對門戶網(wǎng)站、業(yè)務(wù)系統(tǒng)慢原因進行徹底分析，通過優(yōu)化程序、擴容資源、增加、增加冷熱軟硬件備份設(shè)備、通過負載均衡等措施，提供門戶網(wǎng)站的穩(wěn)定性、可用性和性能。 應(yīng)用安全建設(shè) 應(yīng)用安全設(shè)計應(yīng)用安全是指門戶網(wǎng)站和其它業(yè)務(wù)系統(tǒng)自身應(yīng)具備的安全功能。 等級保護“基本要求”第三級要求業(yè)務(wù)系統(tǒng)自身具備“身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、軟件容錯和資源控制”等安全功能。由于門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)為在用系統(tǒng)，因此在二次開發(fā)、 部署、測試等過程中一定要盡量避免對系統(tǒng)的正常使用造成影響。如果受客觀原因限制，即使通過二次開發(fā)，門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)也無法達到具備完全合標安全功能的水平， 應(yīng)充分評估殘余的安全風(fēng)險， 并通過其他安全措施嘗試解決和避免，直至達到風(fēng)險可接受水平方可。 業(yè)務(wù)系統(tǒng)應(yīng)用安全教務(wù)系統(tǒng)、校務(wù)系統(tǒng)、OA系統(tǒng)、招生、就業(yè)、信息智能管理等信息傳輸安全的應(yīng)用需求方面不斷發(fā)展，整個社會的信息化程度不斷提高。因此信息安全訪問、信息處理及信息安全傳輸在整個信息化進程中變得至關(guān)重要。目前數(shù)據(jù)中心前已布置有邊界安全設(shè)備及WEB應(yīng)用防火墻，對服務(wù)器核心業(yè)務(wù)提供了安全保護。 安全管理體系建設(shè) 安全管理機構(gòu)概述安全管理機構(gòu)的規(guī)劃，將從xxxx大學(xué)的實際情況出發(fā)，以安全組織架構(gòu)設(shè)計為基礎(chǔ)，定義