【正文】 。內(nèi)部網(wǎng)絡(luò)為星形架構(gòu)，接入各個教學(xué)樓與院系，內(nèi)部網(wǎng)絡(luò)主要按照樓層劃分了VLAN，同時網(wǎng)絡(luò)上承載了 XXX 大學(xué)的眾多業(yè)務(wù)應(yīng)用系統(tǒng)，主要包括認(rèn)證計費、數(shù)字 XX、網(wǎng)站、郵件等多種業(yè)務(wù)應(yīng)用。本次信息安全風(fēng)險評估對象為其中 6 個最為重要的業(yè)務(wù)應(yīng)用系統(tǒng)：網(wǎng)絡(luò)、認(rèn)證計費、校園卡、數(shù)字 XX、網(wǎng)站、郵件系統(tǒng)。 應(yīng)用層結(jié)構(gòu)本次評估范圍涉及六個應(yīng)用系統(tǒng)，分別為網(wǎng)絡(luò)、認(rèn)證計費、校園卡、數(shù)字 XX、網(wǎng)站、郵件系統(tǒng)。 XXX 大學(xué)網(wǎng)絡(luò)用戶龐大，學(xué)生用戶 20220 多，整個網(wǎng)絡(luò)按照教學(xué)樓樓層劃分了VLAN，XXX 大學(xué)對學(xué)生上互聯(lián)網(wǎng)的行為實施了 認(rèn)證計費，計費方式按照學(xué)生上互聯(lián)網(wǎng)的網(wǎng)絡(luò)流量進行統(tǒng)計計費，通過流量計費的方式有效的降低了 XXX 大學(xué)學(xué)生對互聯(lián)網(wǎng)帶寬的長期站用。 網(wǎng)絡(luò)層結(jié)構(gòu)XXX 大學(xué)網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，網(wǎng)絡(luò)設(shè)備較多，互聯(lián)網(wǎng)出口有三條鏈路，一條 1000M 帶寬接入中國教育網(wǎng)，一條 100M 帶寬接入網(wǎng)通，一條 1000M 帶寬接入中國教育網(wǎng) IPv6 網(wǎng)絡(luò)，校園網(wǎng)出口核心設(shè)備由 Cisco 6500 系列高端設(shè)備組成，并形成冗余架構(gòu)，保障了互聯(lián)網(wǎng)接入的可用性。認(rèn)證計費系統(tǒng)包括 4 臺服務(wù)器，部署的 OS 為 Windows server 2022,認(rèn)證計費系統(tǒng)主要針對學(xué)生接入互聯(lián)網(wǎng)進行認(rèn)證與計費管理。郵件系統(tǒng)目前有兩萬多用戶，郵件用戶包括 XXX 大學(xué)學(xué)生與教職員7 / 94工。 網(wǎng)站系統(tǒng)共有 6 臺 Web 服務(wù)器，部署的 OS 有 Advance AS EL 、Windows 202Red hat ,起到校園對社會公眾的文化宣傳與介紹功能。 主機層結(jié)構(gòu)本次評估范圍內(nèi)的六個業(yè)務(wù)應(yīng)用系統(tǒng)涉及 41 臺服務(wù)器。滅火器 二氧化碳滅火器，有效噴射面積不明。溫感 沒有溫感監(jiān)控視頻監(jiān)控 有 4 個部署在設(shè)備區(qū)。應(yīng)急燈 非規(guī)范應(yīng)急燈。機房溫濕度 空調(diào)顯示溫度：1 組：22℃，2 組：℃，3 組：℃。地板 600*600 靜電地板，有防靜電導(dǎo)流排。外設(shè)空調(diào)UPSUPS 在線 120KVA 輸出 2 組，UPS 帶載 26~27KVA ，APC 電池柜4 組，每組 32*12V*100Ah 電池。電源 電壓 380V，雙市電接入，總接入電量為 2x95 平方。機架線序混亂，沒有規(guī)范應(yīng)急燈和溫感監(jiān)控。機房鋪設(shè)防靜電地板，3 組 650A HIROSS 專用空調(diào)保證機房恒溫、恒濕，空調(diào)無漏水監(jiān)控報警。機房面積 配電間 7*7=49m2， 機房 17*6=102 m2，物理環(huán)境 儲藏間易燃易爆物品隨意堆放，物品雜亂。機架 線序混亂、設(shè)備沒有規(guī)范的標(biāo)簽。溫感 沒有部署溫感監(jiān)控。機房溫濕度 空調(diào)顯示溫度：1 組：℃,2 組：℃。地板 600*600 靜電地板，防靜電導(dǎo)流排。電源 電壓 380V/50HZ/200A，無雙電互投，總接入電量為 2x70 平方中央空調(diào) HIROSS 空調(diào) 2 組，沒有空調(diào)漏水監(jiān)控報警。機架線序混亂，沒有規(guī)范應(yīng)急燈和溫感監(jiān)控。 物理環(huán)境? 機房：位于該樓三層，機房總面積約 151m2，機房管理沒有采取記錄進出人員時間、數(shù)量和原因等情況，配電間沒鋪設(shè)防靜電地板，接入電源為 380V/50HZ/200A，無雙電互投，在線 UPS 40KVA 輸出 1 組，冷備 UPS 40KVA 輸出 2 組，4 個 APC 電池柜，每組 32 塊電池。目前，XXX 大學(xué)網(wǎng)站系統(tǒng)共有 6 臺服務(wù)器，服務(wù)器區(qū)域部署了 IDS 設(shè)備實時檢測網(wǎng)站的安全動態(tài)，系統(tǒng)配置了主機防火墻，一周進行一次本機數(shù)據(jù)備份，目前密碼強度基本符合安全要求，有安全應(yīng)急預(yù)案，但不完善，沒有進行過操作演練。數(shù)字 XX 有 2 個應(yīng)用服務(wù)器，2 個認(rèn)證服務(wù)器，1個 BI 服務(wù)器，遠程通過 VPN、橋服務(wù)器管理，有 IP 訪問控制機制，服務(wù)器是 SUN 的主機，安裝 Solaris 10 系統(tǒng)，2 臺 Oralcle 數(shù)據(jù)庫服務(wù)器，2 臺 Weblogic 應(yīng)用服務(wù)器，1 臺對外提供服務(wù)的 Apache 服務(wù)器，應(yīng)用系統(tǒng)采取數(shù)據(jù)庫，應(yīng)用，服務(wù)的三層安全架構(gòu)模式部署，服務(wù)器沒有做安全加固，存在 Web 應(yīng)用攻擊威脅，測試服務(wù)器密碼被篡改過。專網(wǎng)，與中國銀行通過 DDN 方式互4 / 94聯(lián)，沒有部署防火墻，數(shù)據(jù)傳輸使用加密機進行加密，終端取用 IP/MAC 綁定的安全機制，網(wǎng)管采用昆特網(wǎng)管系統(tǒng)對交換機、服務(wù)器、終端進行監(jiān)控管理。校園卡屬 XXX 大學(xué)專網(wǎng)，主要實現(xiàn)學(xué)生校園卡消費管理。學(xué)生機上網(wǎng)通過 協(xié)議進行接入認(rèn)證，上網(wǎng)流量通過互聯(lián)網(wǎng)出口交換機的端口鏡象功能將上網(wǎng)數(shù)據(jù)發(fā)送到流量統(tǒng)計服務(wù)器，學(xué)生通過自服務(wù)服務(wù)器可以查看個人上網(wǎng)流量的使用情況。XXX 大學(xué)認(rèn)證計費系統(tǒng)是針對學(xué)生上互聯(lián)網(wǎng)的一種接入認(rèn)證計費的管理方式，XXX 大學(xué)對學(xué)生上網(wǎng)是按流量進行統(tǒng)計收費的。 技術(shù)體系結(jié)構(gòu)現(xiàn)狀XXX 大學(xué)信息系統(tǒng)主要包括六大業(yè)務(wù)應(yīng)用系統(tǒng)，網(wǎng)絡(luò)、認(rèn)證計費、校園卡、數(shù)字 XX、網(wǎng)站、郵件系統(tǒng)。2 / 94 項目建設(shè)依據(jù)為保證整個項目的實施質(zhì)量和圓滿完成本次項目的項目目標(biāo)，在整個等級保護整改建設(shè)項目的設(shè)計規(guī)劃中將遵循以下標(biāo)準(zhǔn)：? 《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》（GB178591999）（基礎(chǔ)標(biāo)準(zhǔn)） ? 《信息系統(tǒng)安全等級保護基本要求》（GB/T 222392022）（基線標(biāo)準(zhǔn)） ? 《信息系統(tǒng)安全保護等級定級指南》（GB/T 222402022）（輔助標(biāo)準(zhǔn)）? 《信息系統(tǒng)安全等級保護實施指南》 （輔助標(biāo)準(zhǔn)）? 《信息系統(tǒng)安全等級保護測評準(zhǔn)則》 （輔助標(biāo)準(zhǔn)）? 《電子政務(wù)信息系統(tǒng)安全等級保護實施指南（試行）》 ? 《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》（GB/T202712022）? 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T202702022）? 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T202722022）? 《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T202732022） ? 《信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T671） ? 《信息系統(tǒng)安全安全管理要求》（GB/T20269） ? 《信息系統(tǒng)安全工程管理要求》（GB/T20282）? 《信息安全技術(shù) 服務(wù)器技術(shù)要求》（GB/T21082）? ISO/IEC TR 13335? ISO 17799:2022? ISO 27001:2022? NIST SP800 系列? ISO 20220? CobiT2 信息系統(tǒng)現(xiàn)狀與安全需求 信息化建設(shè)現(xiàn)狀綜述1. 隨著 XXX 大學(xué)信息化建設(shè)的推進，信息化建設(shè)初具規(guī)模，服務(wù)器等主機設(shè)備基本3 / 94到位，大型網(wǎng)絡(luò)設(shè)備、高端路由設(shè)備、多種網(wǎng)絡(luò)和系統(tǒng)管理軟件、專業(yè)數(shù)據(jù)備份軟件及網(wǎng)絡(luò)數(shù)據(jù)安全設(shè)備和軟件等大都配備完成，運行保障的基礎(chǔ)技術(shù)手段基本具備； 2. XXX 大學(xué)網(wǎng)絡(luò)信息中心技術(shù)力量雄厚，在網(wǎng)絡(luò)工程、數(shù)據(jù)庫建設(shè)、系統(tǒng)設(shè)計、軟件開發(fā)、信息安全等多項領(lǐng)域具有較強的實力和豐富的經(jīng)驗。 項目建設(shè)內(nèi)容天融信依據(jù)國家信息安全等級保護技術(shù)和管理要求，開展信息安全等級保護建設(shè)工作，工作的主要內(nèi)容包括：（1）方案設(shè)計；（2 ）系統(tǒng)集成；（ 3）維護服務(wù)。為貫徹落實國家信息安全等級保護制度，規(guī)范和指導(dǎo)全國教育信息安全等級保護工作，國家教委教辦廳函[2022]80 文件發(fā)出“關(guān)于開展信息系統(tǒng)安全等級保護工作的通知” ；教育部教育管理信息中心發(fā)布《教育信息系統(tǒng)安全等級保護工作方案》 （征求意見稿） ；教育部辦公廳《印發(fā)關(guān)于開展教育系統(tǒng)信息安全等級保護工作專項檢查的通知》 （教辦廳函〔2022〕80 號） 。XXX大學(xué)等級保護項目技術(shù)方案2022 年 4 月I / 94目 錄1 項目概述 .....................................................................................................................................................1 項目建設(shè)背景 ............................................................................................................................................1 項目建設(shè)目標(biāo) ............................................................................................................................................1 項目建設(shè)內(nèi)容 ............................................................................................................................................1 項目建設(shè)范圍 ............................................................................................................................................1 項目建設(shè)依據(jù) ............................................................................................................................................22 信息系統(tǒng)現(xiàn)狀與安全需求 ..........................................................................................................................3 信息化建設(shè)現(xiàn)狀綜述 ................................................................................................................................3 技術(shù)體系結(jié)構(gòu)現(xiàn)狀 ....................................................................................................................................3 物理環(huán)境 ...............................................................................................................................................4 主機層結(jié)構(gòu) ...........................................................................................................................................6 網(wǎng)絡(luò)層結(jié)構(gòu) ...........................................................................................................................................7 應(yīng)用層結(jié)構(gòu) ...........................................................................................................................................8 管理體系結(jié)構(gòu)現(xiàn)狀 ..................................................................................................................................13 安全管理機構(gòu) .....................................................................................................................................13 安全管理制度 .....................................................................................................................................13 人員安全管理 .....................................................................................................................................18 系統(tǒng)運維管理 ................................................