【正文】 PT)研究報(bào)告》分析，高校已經(jīng)成為國(guó)內(nèi)遭受APT攻擊最嚴(yán)重的行業(yè)。并且網(wǎng)絡(luò)安全作為一個(gè)“動(dòng)態(tài)安全”，每天都有安全漏洞發(fā)布，單純的依靠安全設(shè)備防護(hù)我們的系統(tǒng)，已經(jīng)無(wú)法奏效。需要“人+技術(shù)體系”的結(jié)合才能對(duì)抗外界真實(shí)攻擊。 四個(gè)體系l 信息安全組織體系建立信息安全組織體系，是為了明確各部門及個(gè)人在保障信息安全工作中擔(dān)任的角色以及相應(yīng)的責(zé)任。內(nèi)容包含信息安全關(guān)鍵決策、信息安全治理結(jié)構(gòu)、信息安全治理運(yùn)作機(jī)制、信息安全組織模型、信息安全組織建設(shè)的關(guān)鍵因素、信息安全組織規(guī)劃。l 信息安全管理體系信息安全管理體系是組織機(jī)構(gòu)單位按照相關(guān)標(biāo)準(zhǔn)的要求，制定信息安全管理方針和策略，進(jìn)行信息安全管理計(jì)劃、實(shí)施、評(píng)審檢查、改進(jìn)的信息安全管理執(zhí)行的工作體系。其包含一系列安全管理體系文檔（安全策略、人員安全、物理安全、資產(chǎn)分類與控制、訪問(wèn)控制等），以及信息安全管理的過(guò)程（計(jì)劃實(shí)施監(jiān)控改進(jìn)）l 信息安全技術(shù)體系信息安全技術(shù)體系，從五個(gè)層面：物理層面、網(wǎng)絡(luò)層面、系統(tǒng)層面、應(yīng)用層面、終端層面對(duì)整個(gè)安全技術(shù)體系進(jìn)行設(shè)計(jì)。在每個(gè)層面依照信息安全建設(shè)的五個(gè)核心要素進(jìn)行設(shè)計(jì)：“進(jìn)不來(lái)”（身份認(rèn)證），防止非法用戶接入網(wǎng)絡(luò)；“拿不走”（訪問(wèn)控制），用戶訪問(wèn)授權(quán)，防止非授權(quán)用戶獲取關(guān)鍵信息；“看不懂”（內(nèi)容安全），數(shù)據(jù)加密傳輸，防止信息被非法劫持，導(dǎo)致數(shù)據(jù)泄露；“跑不了”（審計(jì)監(jiān)控），無(wú)論是授權(quán)的使用還是非授權(quán)的使用，事后都應(yīng)該是有據(jù)可查的；“可恢復(fù)”（容災(zāi)備份），系統(tǒng)遭受破壞時(shí)，我們能及時(shí)啟用備份系統(tǒng)/數(shù)據(jù)，控制影響和損失。l 信息安全運(yùn)行體系隨著信息系統(tǒng)建設(shè)的不斷完善，信息安全運(yùn)行體系對(duì)保障系統(tǒng)的安全和正常運(yùn)行越來(lái)越重要。安全運(yùn)行體系的內(nèi)容包括建立資產(chǎn)風(fēng)險(xiǎn)風(fēng)險(xiǎn)管理制度、日常安全運(yùn)維管理制度、安全監(jiān)控與應(yīng)急響應(yīng)機(jī)制、安全檢查與審核制度。 信息安全建設(shè)規(guī)劃拓?fù)鋱D圖表 11 信息安全建設(shè)和規(guī)劃總體示意圖xxxx大學(xué)信息安全建設(shè)規(guī)劃產(chǎn)品清單一覽表序號(hào)軟/硬件產(chǎn)品名稱數(shù)量單位備注1堡壘機(jī)1臺(tái)一期2數(shù)據(jù)庫(kù)審計(jì)1臺(tái)3日志審計(jì)1臺(tái)4WEB資產(chǎn)安全治理平臺(tái)1臺(tái)5主機(jī)安全加固軟件主機(jī)數(shù)待定套6容災(zāi)備份一體機(jī)1臺(tái)7準(zhǔn)入控制系統(tǒng)終端數(shù)待定套8IT綜合運(yùn)維管理系統(tǒng)1套二期9RFID機(jī)房資產(chǎn)管理系統(tǒng)1套10云WAF1套11ZDNS2臺(tái)三期12統(tǒng)一安全管理中心（soc+態(tài)勢(shì)感知）1臺(tái)13數(shù)據(jù)容災(zāi)備份一體機(jī)（異地）1臺(tái)四期14APT高級(jí)威脅分析平臺(tái)1套15GRC網(wǎng)絡(luò)安全管理平臺(tái)/安全值1套五期圖表 12 信息安全建設(shè)和規(guī)劃一期示意圖圖表 13 信息安全建設(shè)和規(guī)劃二期示意圖圖表 14 信息安全建設(shè)和規(guī)劃三期示意圖圖表 15 信息安全建設(shè)和規(guī)劃四期示意圖圖表 16 信息安全建設(shè)和規(guī)劃五期示意圖第 4 章 方案建設(shè) 建設(shè)原則統(tǒng)一原則：安全建設(shè)應(yīng)該統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)但具體的建設(shè)內(nèi)容需要分期分步實(shí)施；適用性原則：按照經(jīng)濟(jì)實(shí)用、成熟先進(jìn)、持續(xù)穩(wěn)定的要求，確定方案中安全體系的規(guī)模和軟硬件檔次；節(jié)約性原則：整體方案的設(shè)計(jì)應(yīng)該盡可能充分利用現(xiàn)有安全產(chǎn)品和系統(tǒng)資源，以免資源的浪費(fèi)和重復(fù)投資；可擴(kuò)展性原則：方案設(shè)計(jì)要立足于現(xiàn)有的安全需求，但同時(shí)為將來(lái)業(yè)務(wù)發(fā)展留有余地和可擴(kuò)展接口； 技術(shù)安全體系建設(shè) 安全區(qū)域邊界設(shè)計(jì)（一）、區(qū)域邊界防護(hù)：對(duì)Internet提供服務(wù)的服務(wù)器應(yīng)當(dāng)單獨(dú)部署于DMZ安全域中。防火墻在安全區(qū)域邊界實(shí)施相應(yīng)的訪問(wèn)控制策略， 對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán)訪問(wèn)；入侵防護(hù)系統(tǒng)、入侵檢測(cè)系統(tǒng)可以對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行監(jiān)測(cè)、報(bào)警和阻斷，對(duì)非法網(wǎng)絡(luò)訪問(wèn)和入侵行為進(jìn)行處置；在DMZ區(qū)服務(wù)器前部署的WAB應(yīng)用防火墻從應(yīng)用協(xié)議、用戶權(quán)限控制和異常行為阻斷等方面對(duì)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行控制，保證服務(wù)器的訪問(wèn)安全，有效防范以服務(wù)器為目標(biāo)的攻擊行為。（二）、區(qū)域邊界包過(guò)濾防火墻、入侵防護(hù)系統(tǒng)、上網(wǎng)行為管理等安全產(chǎn)品，通過(guò)檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等，確定訪問(wèn)行為是否合法，決定是否允許該數(shù)據(jù)包或該訪問(wèn)進(jìn)出該區(qū)域邊界。（三）、區(qū)域邊界安全審計(jì)防火墻、入侵防護(hù)系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、網(wǎng)絡(luò)接入控制系統(tǒng)等安全產(chǎn)品，均屬于網(wǎng)絡(luò)邊界產(chǎn)品，對(duì)出入網(wǎng)絡(luò)的訪問(wèn)行為進(jìn)行管理和控制。這些安全產(chǎn)品均具有審計(jì)功能，能夠?qū)^(qū)域邊界的訪問(wèn)行為進(jìn)行審計(jì)記錄。審計(jì)記錄包括安全事件的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。（四）、區(qū)域邊界完整性保護(hù)通過(guò)部署主機(jī)監(jiān)控與準(zhǔn)入控制系統(tǒng)，可以實(shí)現(xiàn)終端非法外聯(lián)行為的發(fā)現(xiàn)與管控，可以實(shí)現(xiàn)對(duì)非合規(guī)內(nèi)聯(lián)行為的發(fā)現(xiàn)和阻斷。 網(wǎng)絡(luò)接入控制系統(tǒng)對(duì)內(nèi)聯(lián)行為的合規(guī)性和合法性進(jìn)行判斷， 然后根據(jù)安全策略， 采用報(bào)警、引導(dǎo)至安全修復(fù)區(qū)、阻斷等幾種方式進(jìn)行處置。 安全計(jì)算環(huán)境設(shè)計(jì)(一) 強(qiáng)制訪問(wèn)控制在門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)服務(wù)器部署服務(wù)器操作系統(tǒng)安全加固系統(tǒng)，實(shí)現(xiàn)對(duì)服務(wù)器資源的訪問(wèn)行為的嚴(yán)格控制，包括對(duì)于用戶訪問(wèn)行為的控制和進(jìn)程訪問(wèn)權(quán)限的控制，保護(hù)系統(tǒng)平臺(tái)和業(yè)務(wù)數(shù)據(jù)的完整性；通過(guò)安全產(chǎn)品實(shí)現(xiàn)對(duì)服務(wù)器特定資源的強(qiáng)制訪問(wèn)控制。 (二) 用戶數(shù)據(jù)完整性保護(hù)以密碼技術(shù)和機(jī)制為基礎(chǔ)，服務(wù)器操作系統(tǒng)安全加固系統(tǒng)的完整性校驗(yàn)機(jī)制和防篡改機(jī)制保護(hù)服務(wù)器重要資源不會(huì)被非法修改，且在其受到破壞時(shí)能對(duì)重要數(shù)據(jù)進(jìn)行恢復(fù)。服務(wù)器安全保護(hù)系統(tǒng)的訪問(wèn)控制機(jī)制保證用戶重要數(shù)據(jù)不會(huì)被非法訪問(wèn)和篡改。(三) 應(yīng)用數(shù)據(jù)機(jī)密性保護(hù)服務(wù)器安全加固系統(tǒng)的訪控機(jī)制以及透明加解密機(jī)制將對(duì)服務(wù)器存儲(chǔ)的敏感數(shù)據(jù)機(jī)密性實(shí)施有效保護(hù)，訪問(wèn)控制機(jī)制能夠防止非授權(quán)用戶讀取敏感信息，透明加解密機(jī)制對(duì)硬盤存儲(chǔ)的敏感數(shù)據(jù)實(shí)施加密存儲(chǔ)保護(hù)，即使非法人員竊取硬盤設(shè)備，在沒(méi)有用戶合法密鑰的前提下也無(wú)法解密敏感信息。(四) 剩余信息保護(hù)服務(wù)器操作系統(tǒng)安全加固系統(tǒng) 對(duì)用戶使用的客體資源實(shí)施針對(duì)性保護(hù)， 在這些客體資源重新分配前，對(duì)其原使用者的信息進(jìn)行清除，以確保信息不被泄露，實(shí)現(xiàn)剩余信息的安全保護(hù)。(五) 程序可執(zhí)行保護(hù)服務(wù)器操作系統(tǒng)安全加固系統(tǒng)可構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈， 其中采用可信計(jì)算等技術(shù)，實(shí)現(xiàn)系統(tǒng)運(yùn)行過(guò)程中可執(zhí)行程序的完整性檢驗(yàn)， 阻止非授權(quán)程序的啟動(dòng)和執(zhí)行，同時(shí)防范重要執(zhí)行程序被篡改，對(duì)病毒、木馬、蠕蟲(chóng)等惡意代碼具備自免疫能力。(六) 惡意代碼防范服務(wù)器使用殺毒軟件或其他惡意代碼防護(hù)軟件，具有主動(dòng)防護(hù)惡意代碼機(jī)制，及時(shí)發(fā)現(xiàn)病毒和木馬潛入或運(yùn)行在操作系統(tǒng)，通過(guò)在服務(wù)器和終端上部署防病毒軟件，實(shí)現(xiàn)對(duì)惡意代碼的防范。（需保持惡意代碼庫(kù)的及時(shí)更新）(七) 資源控制按照“最小化原則”對(duì)門戶網(wǎng)站和業(yè)務(wù)服務(wù)器的操作系統(tǒng)進(jìn)行梳理， 刪除或屏蔽不必要給功能、組件、權(quán)限。(八) 數(shù)據(jù)安全及備份恢復(fù)部署數(shù)據(jù)備份系統(tǒng) 對(duì)重要服務(wù)器的數(shù)據(jù)進(jìn)行備份， 評(píng)估相關(guān)業(yè)務(wù)數(shù)據(jù)的重要性程度，設(shè)計(jì)相適應(yīng)的數(shù)據(jù)備份機(jī)制和策略。 安全通信網(wǎng)絡(luò)設(shè)計(jì)(一) 通信網(wǎng)絡(luò)安全審計(jì)通過(guò) SSL VPN實(shí)現(xiàn)遠(yuǎn)程安全接入和訪問(wèn)， SSL VPN 本身具有安全審計(jì)功能，能夠?qū)尤朐L問(wèn)行為進(jìn)行審計(jì)記錄， 包括訪問(wèn)行為發(fā)生的時(shí)間、 是否成功、主體、客體、源地址、目標(biāo)地址、類型等信息。(二) 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護(hù)SSL VPN 能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾蕴峁┍Ｗo(hù)，確保數(shù)據(jù)的完整性不被破壞。(三) 通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)SSL VPN 能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋Ｃ苄蕴峁┍Ｗo(hù)，確保數(shù)據(jù)的完整性不被破壞。(四) 通信網(wǎng)絡(luò)可信接入保護(hù)通過(guò)網(wǎng)絡(luò)接入控制系統(tǒng)，能夠?qū)尤朐O(shè)備的身份進(jìn)行鑒別，并且根據(jù)接入設(shè)備的權(quán)限控制其所能訪問(wèn)的資源。 安全管理中心設(shè)計(jì)在進(jìn)行安全系統(tǒng)設(shè)計(jì)時(shí)， 應(yīng)當(dāng)首先設(shè)計(jì)安全管理中心， 從安全管理的高度為后續(xù)的安全設(shè)計(jì)打下基礎(chǔ)。集中部署各種安全產(chǎn)品或安全措施的管理或維護(hù)中心， 實(shí)現(xiàn)對(duì)信息安全的統(tǒng)一安全管理。應(yīng)該從系統(tǒng)管理、安全管理、審計(jì)管理、事件管理、風(fēng)險(xiǎn)管理、安全工作管理等方面進(jìn)行統(tǒng)一考慮，特別要實(shí)現(xiàn)集中身份管理、集中認(rèn)證授權(quán)、 集中操作審計(jì)。1) 將現(xiàn)有安全產(chǎn)品的管理中心或維護(hù)中心集中部署；2) 設(shè)置安全管理中心，由安全管理中心統(tǒng)一對(duì)計(jì)算環(huán)境安全支撐平臺(tái)實(shí)施安全管理，實(shí)現(xiàn)包括主客體標(biāo)記、 用戶授權(quán)、 策略維護(hù)和更新在內(nèi)的安全管理職能；3) 設(shè)置系統(tǒng)管理中心，聯(lián)合統(tǒng)一身份認(rèn)證系統(tǒng)對(duì)整個(gè)系統(tǒng)的證書(shū)和密鑰實(shí)施統(tǒng)一管理， 對(duì)用戶身份和軟硬件資源配置實(shí)施統(tǒng)一控制和管理； 由各安全產(chǎn)品管理中心或維護(hù)中心共同構(gòu)成系統(tǒng)管理中心， 實(shí)現(xiàn)對(duì)所有安全產(chǎn)品的統(tǒng)一配置和管理；4) 部署審計(jì)管理平臺(tái)，接收各個(gè)區(qū)域的審計(jì)日志，為審計(jì)信息的存儲(chǔ)、分析和處理提供平臺(tái)， 作為管理員實(shí)施事件追蹤、 責(zé)任認(rèn)定以及實(shí)施應(yīng)急響應(yīng)的依據(jù)。 安全區(qū)域劃分根據(jù)業(yè)務(wù)功能以及安全需求的不同，將xxxx大學(xué)信息網(wǎng)絡(luò)規(guī)劃為互聯(lián)網(wǎng)接入?yún)^(qū)域、內(nèi)網(wǎng)核心交換區(qū)、內(nèi)網(wǎng)安全管理區(qū)（審計(jì)核查區(qū)域）、內(nèi)網(wǎng)接入?yún)^(qū) 和內(nèi)網(wǎng)服務(wù)器區(qū)、DMZ區(qū)共 6個(gè)安全域。詳細(xì)說(shuō)明如下：：由運(yùn)營(yíng)商和教育網(wǎng)出口組成，提供 Internet互聯(lián)網(wǎng)和教育網(wǎng)訪問(wèn)服務(wù)；：部署了網(wǎng)絡(luò)的核心交換設(shè)備， 用于數(shù)據(jù)的高速轉(zhuǎn)發(fā)；：本安全區(qū)主要用于部署各類信息安全產(chǎn)品及相關(guān)服務(wù)器；：業(yè)務(wù)、辦公、學(xué)生終端的接入?yún)^(qū)域，連接方式有無(wú)線和有線兩種方式；：本安全區(qū)主要用于部署各類學(xué)校相關(guān)的業(yè)務(wù)服務(wù)器；6. DMZ區(qū)：用于部署對(duì)外提供服務(wù)的業(yè)務(wù)應(yīng)用服務(wù)器， 部署有服務(wù)器操作系統(tǒng)安全加固系統(tǒng)； 新增安全措施1）在安全管理區(qū)部署安全審計(jì)系統(tǒng)（堡壘機(jī)、數(shù)據(jù)庫(kù)審計(jì)、日志審計(jì)），實(shí)現(xiàn)對(duì)全網(wǎng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的登錄、操作進(jìn)行安全審計(jì)；對(duì)全網(wǎng)的日志審計(jì)；對(duì)全網(wǎng)的數(shù)據(jù)庫(kù)審計(jì)。2）在門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)相關(guān)的服務(wù)器 （Windows操作系統(tǒng)和 Linux 操作系統(tǒng)）上安裝部署服務(wù)器操作系統(tǒng)安全加固軟件 ，提高服務(wù)器操作系統(tǒng)登錄的身份鑒別強(qiáng)度，實(shí)現(xiàn)雙因子身份認(rèn)證； 對(duì)服務(wù)器操作系統(tǒng)自身的安全性進(jìn)行加固，對(duì)服務(wù)器操作系統(tǒng)的關(guān)鍵配置、程序的完整性和可用性提供安全保護(hù)，對(duì)服務(wù)器性能資源進(jìn)行監(jiān)測(cè)和管理；對(duì)服務(wù)器操作系統(tǒng)進(jìn)行監(jiān)控與審計(jì)；3）部署數(shù)據(jù)備份系統(tǒng)， 部署數(shù)據(jù)備份系統(tǒng)對(duì)門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)的數(shù)據(jù)進(jìn)行實(shí)時(shí)或半實(shí)時(shí)備份；根據(jù)業(yè)務(wù)數(shù)據(jù)的重要程度、綜合考慮投入成本等因素，設(shè)計(jì)相適應(yīng)的數(shù)據(jù)備份系統(tǒng)和數(shù)據(jù)備份策略，本次后期規(guī)劃進(jìn)行異地備份體系建設(shè)，同時(shí)需要考慮備份周期、拷貝留存份數(shù)、備份策略（全量或增量）等安全因素；4）通過(guò)部署ZDNS、IT綜合運(yùn)維管理系統(tǒng)及RFID機(jī)房資產(chǎn)管理系統(tǒng)對(duì)學(xué)校整體IP地址、網(wǎng)絡(luò)核心服務(wù)、網(wǎng)絡(luò)設(shè)備、硬件資產(chǎn)、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)應(yīng)用、主機(jī)等進(jìn)行全生命周期管理，以達(dá)到智慧運(yùn)維的目的5）部署WEB資產(chǎn)安全管理平臺(tái)，通過(guò)資產(chǎn)發(fā)現(xiàn)、漏洞掃描、旁路阻斷等技術(shù)以及完善的網(wǎng)站及業(yè)務(wù)系統(tǒng)備案制度，形成網(wǎng)站及業(yè)務(wù)系統(tǒng)的全生命周期管理。6）部署云WAF，通過(guò)云端防護(hù)體系，解析HTTP請(qǐng)求進(jìn)行規(guī)則檢測(cè)，做不同的防御動(dòng)作，并將防御過(guò)程記錄下來(lái)。將過(guò)濾后的安全流量放行，實(shí)現(xiàn)對(duì)服務(wù)器的安全防護(hù)。7）通過(guò)統(tǒng)一安全管理中心、APT高級(jí)威脅分析平臺(tái)的部署，對(duì)網(wǎng)絡(luò)流量實(shí)時(shí)采集和監(jiān)控，采取主動(dòng)的安全分析和實(shí)時(shí)態(tài)勢(shì)感知，利用動(dòng)態(tài)行為檢測(cè)引擎和靜態(tài)特征檢測(cè)引擎相結(jié)的方式實(shí)現(xiàn)對(duì)未知威脅的安全防護(hù)、預(yù)警。及APT攻擊分防御。同時(shí)結(jié)合大數(shù)據(jù)分析技術(shù)和數(shù)據(jù)可視化技術(shù)，從不同維度展現(xiàn)局內(nèi)整體安全態(tài)勢(shì)。 優(yōu)化安全措施1） 按照三權(quán)分立原則設(shè)置系統(tǒng)管理員角色， 并根據(jù)管理員角色賦予相應(yīng)的功能權(quán)限；盡量避免存在超級(jí)用戶；2） 規(guī)范管理維護(hù)賬戶，對(duì)于重要網(wǎng)絡(luò)設(shè)備，一定要做到每人一賬號(hào)，每個(gè)系統(tǒng)管理員都必須使用自己的賬號(hào)維護(hù)管理設(shè)備，落實(shí)責(zé)任到每個(gè)人；為每個(gè)服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)管理員分配不同的賬戶，每個(gè)管理員使用自己的賬戶登錄系統(tǒng)； 更改門戶網(wǎng)站和郵件系統(tǒng)服務(wù)器操作系統(tǒng)默認(rèn)管理員賬戶或采用自定義管理員賬戶，避免使用系統(tǒng)默認(rèn)賬戶；服務(wù)器管理員賬戶口令應(yīng)進(jìn)行規(guī)范化管理，形成專門的口令管理規(guī)章制度；口令管理制度中應(yīng)對(duì)口令的復(fù)雜度和更換周期進(jìn)行規(guī)定，復(fù)雜度通常應(yīng)不弱于：至少 8 位，應(yīng)包括大小寫(xiě)字母、數(shù)字、特殊字符組合等；3） 對(duì)于重要網(wǎng)絡(luò)設(shè)備，一定要通過(guò)限定登錄地址、通過(guò)堡壘機(jī)等方式，提高登錄身份鑒別強(qiáng)度；制定網(wǎng)絡(luò)設(shè)備運(yùn)維管理規(guī)范，將重要網(wǎng)絡(luò)設(shè)備的登錄限制規(guī)范化、文檔化；4） 完善數(shù)據(jù)備份恢復(fù)方案， 在內(nèi)部進(jìn)行培訓(xùn)和演練， 投入相應(yīng)人力、 物力資源，確保數(shù)據(jù)備份恢復(fù)方案有效、可行、可操作；5）對(duì)門戶網(wǎng)站、業(yè)務(wù)系統(tǒng)慢原因進(jìn)行徹底分析，通過(guò)優(yōu)化程序、擴(kuò)容資源、增加、增加冷熱軟硬件備份設(shè)備、通過(guò)負(fù)載均衡等措施，提供門戶網(wǎng)站的穩(wěn)定性、可用性和性能。 應(yīng)用安全建設(shè) 應(yīng)用安全設(shè)計(jì)應(yīng)用安全是指門戶網(wǎng)站和其它業(yè)務(wù)系統(tǒng)自身應(yīng)具備的安全功能。 等級(jí)保護(hù)“基本要求”第三級(jí)要求業(yè)務(wù)系統(tǒng)自身具備“身份鑒別、訪問(wèn)控制、安全審計(jì)、通信完整性、通信保密性、軟件容錯(cuò)和資源控制”等安全功能。由于門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)為在用系統(tǒng)，因此在二次開(kāi)發(fā)、 部署、測(cè)試等過(guò)程中一定要盡量避免對(duì)系統(tǒng)的正常使用造成影響。如果受客觀原因限制，即使通過(guò)二次開(kāi)發(fā)，門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)也無(wú)法達(dá)到具備完全合標(biāo)安全功能的水平， 應(yīng)充分評(píng)估殘余的安全風(fēng)險(xiǎn)， 并通過(guò)其他安全措施嘗試解決和避免，直至達(dá)到風(fēng)險(xiǎn)可接受水平方可。 業(yè)務(wù)系統(tǒng)應(yīng)用安全教務(wù)系統(tǒng)、校務(wù)系統(tǒng)、OA系統(tǒng)、招生、就業(yè)、信息智能管理等信息傳輸安全的應(yīng)用需求方面不斷發(fā)展，整個(gè)社會(huì)的信息化程度不斷提高。因此信息安全訪問(wèn)、信息處理及信息安全傳輸在整個(gè)信息化進(jìn)程中變得至關(guān)重要。目前數(shù)據(jù)中心前已布置有邊界安全設(shè)備及WEB應(yīng)用防火墻，對(duì)服務(wù)器核心業(yè)務(wù)提供了安全保護(hù)。 安全管理體系建設(shè) 安全管理機(jī)構(gòu)概述安全管理機(jī)構(gòu)的規(guī)劃，將從xxxx大學(xué)的實(shí)際情況出發(fā)，以安全組織架構(gòu)設(shè)計(jì)為基礎(chǔ)，定義