【正文】 ，為網(wǎng)絡(luò)事件追溯提供證據(jù)。根據(jù)公安部等級(jí)保護(hù)基本要求，所有信息系統(tǒng)都需要部署日志審計(jì)系統(tǒng)，并保存3個(gè)月的日志，學(xué)校擁有龐大的網(wǎng)絡(luò)海量的數(shù)據(jù)交換，目前還沒有部署日志審計(jì)系統(tǒng)。因此，建議在二期部署一套專業(yè)的鏈路負(fù)載均衡設(shè)備非常有必要。. 網(wǎng)頁(yè)防篡改技術(shù)學(xué)校網(wǎng)站承載了學(xué)校等重要職責(zé)，暴露在互聯(lián)網(wǎng)上，隨時(shí)會(huì)面臨網(wǎng)頁(yè)被篡改及黑客攻擊的危險(xiǎn)，因此，在互聯(lián)網(wǎng)出口的下一代防火墻上啟用網(wǎng)頁(yè)防篡改功能非常有必要。二級(jí)業(yè)務(wù)系統(tǒng)應(yīng)該在互聯(lián)網(wǎng)出口處部署網(wǎng)絡(luò)層防病毒設(shè)備，并保證與主機(jī)層防病毒實(shí)現(xiàn)病毒庫(kù)的異構(gòu)。因此，在互聯(lián)網(wǎng)出口域邊界部署下一代防火墻，在內(nèi)網(wǎng)服務(wù)器區(qū)域邊界部署WEB應(yīng)用防火墻。l 安全管理域，該區(qū)域說(shuō)明如下：主要承載網(wǎng)絡(luò)管理先關(guān)設(shè)備，比如網(wǎng)管系統(tǒng)，防病毒升級(jí)服務(wù)器等。在本項(xiàng)目中，將嚴(yán)格按照信息系統(tǒng)的重要性和網(wǎng)絡(luò)使用的邏輯特性劃分安全域，將劃分如下確定的安全域：l 互聯(lián)網(wǎng)出口域，該區(qū)域說(shuō)明如下：l 專網(wǎng)出口域，該區(qū)域說(shuō)明如下：主要承載互聯(lián)網(wǎng)出口，出口主干需要部署相應(yīng)的安全邊界產(chǎn)品。. 總體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)學(xué)校網(wǎng)絡(luò)架構(gòu)整體設(shè)計(jì)如下：. 安全域劃分說(shuō)明安全域的劃分是網(wǎng)絡(luò)防護(hù)的基礎(chǔ)，事實(shí)上每一個(gè)安全邊界所包含的區(qū)域都形成了一個(gè)安全域。此外，對(duì)于不同安全等級(jí)信息系統(tǒng)之間的互連邊界，可根據(jù)依照信息流向的高低，部署防火墻或安全隔離與信息交換系統(tǒng)，并配置相應(yīng)的安全策略以實(shí)現(xiàn)對(duì)信息流向的控制。該系統(tǒng)應(yīng)可以實(shí)現(xiàn)以下功能：信息層的自主和強(qiáng)制訪問(wèn)控制、防范SQL注入攻擊和跨站攻擊、抗DoS/DDoS攻擊端口掃描、數(shù)據(jù)包過(guò)濾、網(wǎng)絡(luò)地址換、安全審計(jì)等。因此，依照等級(jí)保護(hù)在身份鑒別，訪問(wèn)控制（包括強(qiáng)制訪問(wèn)控制）、網(wǎng)絡(luò)行為控制（包括上網(wǎng)控制、違規(guī)外聯(lián)的控制）、應(yīng)用安全、數(shù)據(jù)安全、安全審計(jì)等方面的技術(shù)要求，可充分結(jié)合可信計(jì)算技術(shù)和主動(dòng)防御技術(shù)的先進(jìn)性和安全性，提出一個(gè)基于可信計(jì)算和主動(dòng)防御的終端安全保護(hù)體系模型，以實(shí)現(xiàn)從應(yīng)用層、系統(tǒng)層、核心層三個(gè)方面對(duì)計(jì)算環(huán)境的全面防護(hù)。在解決方案中，這兩個(gè)子系統(tǒng)都將通過(guò)終端安全保護(hù)體系的建立來(lái)實(shí)現(xiàn)。此外，安全管理中心應(yīng)做到技術(shù)與管理并重，加強(qiáng)在安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面的管理力度，規(guī)范安全管理操作規(guī)程，建立完善的安全管理制度集。審計(jì)管理實(shí)現(xiàn)對(duì)系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理，包括根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行分類；提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制；對(duì)各類審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等；對(duì)審計(jì)記錄應(yīng)進(jìn)行分析，根據(jù)分析結(jié)果進(jìn)行處理?？刂坪凸芾?，并對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過(guò)特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)。整個(gè)體系模型如下圖所示：n 安全管理中心安全管理中心是整個(gè)等級(jí)保護(hù)體系中對(duì)信息系統(tǒng)進(jìn)行集中安全管理的平臺(tái)，是信息系統(tǒng)做到可測(cè)、可控、可管理的必要手段和措施。4. 總體方案設(shè)計(jì). 總體設(shè)計(jì)目標(biāo)學(xué)校的安全等級(jí)保護(hù)整改方案設(shè)計(jì)的總體目標(biāo)是依據(jù)國(guó)家等級(jí)保護(hù)的有關(guān)標(biāo)準(zhǔn)和規(guī)范，結(jié)合學(xué)校信息系統(tǒng)的現(xiàn)狀，對(duì)其進(jìn)行重新規(guī)劃和合規(guī)性整改，為其建立一個(gè)完整的安全保障體系，有效保障其系統(tǒng)業(yè)務(wù)的正常開展，保護(hù)敏感數(shù)據(jù)信息的安全，保證學(xué)校信息系統(tǒng)的安全防護(hù)能力達(dá)到《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中第二級(jí)的相關(guān)技術(shù)和管理要求。同時(shí)，該信息系統(tǒng)沒有實(shí)現(xiàn)對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余，建議部署雙鏈路確保設(shè)備冗余。. 應(yīng)用安全需求分析通信完整性和保密性：該信息系統(tǒng)無(wú)法實(shí)現(xiàn)對(duì)邊界的訪問(wèn)控制，需要部署SSL VPN等安全設(shè)備來(lái)實(shí)現(xiàn)。運(yùn)維堡壘機(jī)：該該信息系統(tǒng)無(wú)法實(shí)現(xiàn)管理員對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行管理時(shí)的雙因素認(rèn)證，需要部署堡壘機(jī)來(lái)實(shí)現(xiàn)。. 主機(jī)安全需求分析主機(jī)防病毒：該信息系統(tǒng)缺少主機(jī)防病毒的相關(guān)安全策略，需要配置網(wǎng)絡(luò)版主機(jī)防病毒系統(tǒng)，從而實(shí)現(xiàn)對(duì)全網(wǎng)主機(jī)的惡意代碼防范。防web攻擊和網(wǎng)頁(yè)防篡改：該信息系統(tǒng)無(wú)法實(shí)現(xiàn)對(duì)邊界的訪問(wèn)控制，需要部署下一代署防火墻等安全設(shè)備來(lái)實(shí)現(xiàn)。學(xué)校OA系統(tǒng)：目前學(xué)校舊OA系統(tǒng)準(zhǔn)備停用，并且已經(jīng)開發(fā)和準(zhǔn)備上線新的業(yè)務(wù)系統(tǒng)，新的業(yè)務(wù)系統(tǒng)目前準(zhǔn)備對(duì)公網(wǎng)直接公開訪問(wèn)，因此涉及到的能夠訪問(wèn)到業(yè)務(wù)系統(tǒng)的規(guī)模比較大，而且整個(gè)網(wǎng)絡(luò)相對(duì)會(huì)比較復(fù)雜、流量多變，所以系統(tǒng)任有較多不足，在本次建設(shè)過(guò)程中應(yīng)該加強(qiáng)安全建設(shè)，系統(tǒng)自身和運(yùn)行環(huán)境均存在一定的安全風(fēng)險(xiǎn)，在數(shù)據(jù)傳輸、安全加密、網(wǎng)絡(luò)監(jiān)控、防入侵等方面的必須要建立一套更有效更完善的安全保護(hù)體系和措施。2. 系統(tǒng)現(xiàn)狀分析. 系統(tǒng)定級(jí)情況說(shuō)明學(xué)校綜合考慮了學(xué)校信息系統(tǒng)、學(xué)校信息系統(tǒng)的業(yè)務(wù)信息和系統(tǒng)服務(wù)類型，以及其受到破壞時(shí)可能受到侵害的客體以及受侵害的程度，經(jīng)學(xué)校省公安廳的批準(zhǔn)，已將學(xué)校系統(tǒng)等級(jí)定為等級(jí)保護(hù)第二級(jí)（S2A2G2），整體網(wǎng)絡(luò)信息化平臺(tái)按照二級(jí)進(jìn)行建設(shè)。n 分步驟原則：根據(jù)用戶方要求，對(duì)用戶方安全保障體系進(jìn)行分期、分步驟的有序部署。n 體系化原則：在體系設(shè)計(jì)、建設(shè)中，深信服充分考慮到各個(gè)層面的安全風(fēng)險(xiǎn)，構(gòu)建完整的立體安全防護(hù)體系。本項(xiàng)目建設(shè)參考依據(jù)：指導(dǎo)思想中辦[2003]27號(hào)文件（關(guān)于轉(zhuǎn)發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》的通知）公通字[2004]66號(hào)文件（關(guān)于印發(fā)《信息安全等級(jí)保護(hù)工作的實(shí)施意見》的通知）公通字[2007]43號(hào)文件（關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法》的通知）公信安[2009]1429《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》全國(guó)人大《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》國(guó)發(fā)[2012]23號(hào)《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》國(guó)發(fā)[2013]7號(hào)《國(guó)務(wù)院關(guān)于推進(jìn)物聯(lián)網(wǎng)有序健康發(fā)展的指導(dǎo)意見》公信安[2014]2182號(hào)《關(guān)于加強(qiáng)國(guó)家級(jí)重要信息系統(tǒng)安全保障工作有關(guān)事項(xiàng)的通知》（ 公信安[2014]2182號(hào)） 等級(jí)保護(hù)GB 178591999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T250582010 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南系統(tǒng)定級(jí)GB/T 222402008 信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南技術(shù)方面GB/T250662010 信息安全產(chǎn)品類別與代碼GB/T179001999 網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求GB/T200102005 包過(guò)濾防火墻評(píng)估準(zhǔn)則GB/T202812006 防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T180182007 路由器安全技術(shù)要求GB/T200082005 路由器安全評(píng)估準(zhǔn)則GB/T202722006 操作系統(tǒng)安全技術(shù)要求GB/T202732006 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求GB/T200092005 數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估準(zhǔn)則GB/T202752006 入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T202772006 網(wǎng)絡(luò)和終端設(shè)備隔離部件測(cè)試評(píng)價(jià)方法GB/T202792006 網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求GB/T202