【正文】 風(fēng)險與態(tài)勢的度量與評估安全運維流程標(biāo)準(zhǔn)化、例行化和常態(tài)化，基于大數(shù)據(jù)技術(shù)、機(jī)器學(xué)習(xí)和模式識別并兼顧安全信息統(tǒng)一管理的功能（SOC和SIEM等）最終實現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運營和未知威脅態(tài)勢感知； DNS\DHCP\IPAM三者有序集成，提高效率，增強(qiáng)一致性，避免人工錯誤；同時網(wǎng)絡(luò)核心服務(wù)自動運維系統(tǒng)自帶安全屬性，能解決流量聚集、流量調(diào)度、業(yè)務(wù)負(fù)載、業(yè)務(wù)健康檢查等功能。2019年開始建設(shè)周期為3 個月三期安全統(tǒng)一管理、安全/威脅可視化、網(wǎng)絡(luò)核心服務(wù)自動化運維建立全面的風(fēng)險管理體系并對未知威脅態(tài)勢感知。：作業(yè)自動調(diào)度、控制處理；運維管理工單流程化；網(wǎng)絡(luò)拓?fù)?、設(shè)備、流量、服務(wù)器、應(yīng)用實時監(jiān)控；資產(chǎn)生命周期管理、深度日志分析等。2018年開始，建設(shè)周期為3 個月二期智能運維體系建設(shè)（IT運維與機(jī)房運維）實現(xiàn)網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)、應(yīng)用、服務(wù)智慧運維、智能管理。包括定級備案測評、整改、重要主機(jī)安全加固防護(hù)、安全管理體系等。 建設(shè)內(nèi)容建設(shè)范圍包括xxxx大學(xué)骨干網(wǎng)絡(luò)、基礎(chǔ)設(shè)施和信息系統(tǒng)等。通過規(guī)劃建設(shè)安全實訓(xùn)人才培養(yǎng)平臺，通過平臺模擬攻防實訓(xùn)，能讓我校技術(shù)管理老師和學(xué)員掌握安全防御技術(shù)，輔助我校網(wǎng)絡(luò)安全人才培養(yǎng)工作。l 建設(shè)能夠監(jiān)控學(xué)校IT資產(chǎn)、管理學(xué)校IT資產(chǎn)、保護(hù)學(xué)校IT資產(chǎn)的安全運維管理體系。最終使xxxx大學(xué)具有完善的信息安全組織體系、信息安全管理體系、信息安全運行體系、信息安全技術(shù)體系；具體有以下幾點：l 落實《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動方案》，對學(xué)?，F(xiàn)有信息系統(tǒng)做到“治亂”、“堵漏”、“補(bǔ)短”、“規(guī)范”。根據(jù)學(xué)校實際情況、發(fā)展趨勢、行業(yè)背景，對學(xué)校制定信息安全建設(shè)規(guī)劃，規(guī)劃期限為5年。每一項工作任務(wù)對應(yīng)不同的工作重點，總共10項具體如下：1. 統(tǒng)一標(biāo)識2. 信息發(fā)布管理3. 網(wǎng)站域名清理4. 安全監(jiān)測預(yù)警5. 檢測風(fēng)險6. 網(wǎng)絡(luò)安全等保7. 測評和整改8. 數(shù)據(jù)安全9. 關(guān)鍵信息基礎(chǔ)設(shè)施10. 應(yīng)急響應(yīng) 行業(yè)要求2016年11月教育部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，國家層面對教育行業(yè)信息化安全的重視程度日益增加。實施范圍是各級教育行政部門及其直屬單位高等學(xué)校。 政策要求教育部正在實施的《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動方案》；目標(biāo)是提升安全水平，增強(qiáng)防護(hù)能力，有效防范風(fēng)險，保障運行和數(shù)據(jù)安全。安全檢測評估：第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。應(yīng)急演練：第三十四條第四項規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練。容災(zāi)備份：第三十四條第三項規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施單位對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份。沒有網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的，沒有及時處置高危漏洞、網(wǎng)絡(luò)攻擊的。漏洞處置：第二十五條規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險。采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。采取防計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施。各網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照要求，開展網(wǎng)絡(luò)安全等級保護(hù)的定級備案、等級測評、安全建設(shè)、安全檢查等工作。 法律要求在今年頒發(fā)的《中華人民共和國網(wǎng)絡(luò)安全法》中明確規(guī)定了法律層面的網(wǎng)絡(luò)安全。2017年3月，教育部辦公廳印發(fā)《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動方案》的通知。2015年7月，教育部辦公廳印發(fā)關(guān)于全面推進(jìn)教育行業(yè)信息安全等級保護(hù)工作的通知。2014年9月，四川省公安廳、四川省教育廳關(guān)于進(jìn)一步加強(qiáng)學(xué)校網(wǎng)絡(luò)和信息安全保護(hù)工作的通知。從安全性上分析，高校業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，外部攻擊、內(nèi)部資源濫用、木馬和病毒等不安全因素越來越顯著，信息化安全是業(yè)務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點。任何個人、機(jī)構(gòu)未經(jīng)雙方書面授權(quán)許可，不得以任何方式復(fù)制或引用本文件的任何片斷。xxxx大學(xué)信息安全建設(shè)設(shè)計方案xxxx大學(xué)信息安全建設(shè)設(shè)計方案xxxx股份有限公司2018年6月■版本變更記錄時間版本說明修改人2017530文檔修改201866文檔修改■文檔說明本文檔作為xxxx大學(xué)信息安全設(shè)計方案的輸出文檔；本文件的讀者范圍為我公司參與項目建設(shè)的人員以及xxxx大學(xué)信息安全建設(shè)的相關(guān)人員。■版權(quán)聲明本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬我公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。目錄第 1 章 方案概述 7 建設(shè)背景 7 法律要求 8 政策要求 10 行業(yè)要求 10 建設(shè)目標(biāo)及內(nèi)容 11 建設(shè)目標(biāo) 11 建設(shè)內(nèi)容 12第 2 章 現(xiàn)狀、挑戰(zhàn)、風(fēng)險 1 現(xiàn)狀概述 1 信息系統(tǒng)現(xiàn)狀 1 高校網(wǎng)絡(luò)安全現(xiàn)狀 2 未來的挑戰(zhàn) 5 “互聯(lián)網(wǎng)+教育” 5 “人工智能+教育” 5 大數(shù)據(jù)平臺 5 現(xiàn)狀、差距、風(fēng)險分析 6 現(xiàn)狀與差距分析 6 差距與風(fēng)險分析 29第 3 章 方案設(shè)計 32 設(shè)計思路 32 一個出發(fā)點 32 兩大標(biāo)準(zhǔn) 33 三種融合 33 四個體系 35 信息安全建設(shè)規(guī)劃拓?fù)鋱D 36第 4 章 方案建設(shè) 43 建設(shè)原則 43 技術(shù)安全體系建設(shè) 43 安全區(qū)域邊界設(shè)計 43 安全計算環(huán)境設(shè)計 44 安全通信網(wǎng)絡(luò)設(shè)計 46 安全管理中心設(shè)計 46 安全區(qū)域劃分 47 新增安全措施 48 優(yōu)化安全措施 49 應(yīng)用安全建設(shè) 50 應(yīng)用安全設(shè)計 50 業(yè)務(wù)系統(tǒng)應(yīng)用安全 50 安全管理體系建設(shè) 50 安全管理機(jī)構(gòu)概述 50 安全管理制度規(guī)劃 61 安全管理制度梳理服務(wù) 62 應(yīng)急預(yù)案體系建設(shè) 66 編制目的 66 編制依據(jù) 67 適用范圍 67 工作原則 67 組織與體系 67 預(yù)防預(yù)警 68 應(yīng)急響應(yīng) 69 后期處置 70 保障措施 71 監(jiān)督管理 72第 5 章 方案價值 74第 6 章 類似成功案例 75第 7 章 安全產(chǎn)品/服務(wù)部署說明 76 網(wǎng)絡(luò)整改及安全產(chǎn)品部署 76 校園網(wǎng)整改及安全域劃分 76 服務(wù)器、終端及應(yīng)用系統(tǒng)安全加固 76 安全服務(wù) 77 安全意識教育 78 網(wǎng)絡(luò)安全服務(wù)列表 88 網(wǎng)絡(luò)安全服務(wù)簡介 89 一期安全產(chǎn)品/安全服務(wù) 97 堡壘主機(jī)系統(tǒng) 97 日志審計系統(tǒng) 99 數(shù)據(jù)庫審計系統(tǒng) 102 主機(jī)安全加固軟件 104 準(zhǔn)入控制系統(tǒng) 107 WEB資產(chǎn)安全治理平臺 111 二期安全產(chǎn)品/安全服務(wù) 119 云WAF 119 IT綜合運維管理系統(tǒng) 121 RFID機(jī)房資產(chǎn)管理系統(tǒng) 127 三期安全產(chǎn)品/安全服務(wù) 129 ZDNS部署 129 安全運維管理平臺（soc+態(tài)勢感知） 133 四期安全產(chǎn)品/安全服務(wù) 136 APT高級威脅分析平臺 136 數(shù)據(jù)容災(zāi)備份系統(tǒng) 138 五期安全產(chǎn)品/安全服務(wù) 139 GRC網(wǎng)絡(luò)安全管理管理平臺 139 安全值 146第 8 章 方案預(yù)算 149附件—信息系統(tǒng)建議定級 151圖表目錄圖表 1 學(xué)校IT資產(chǎn)表 2圖表 2 物理安全現(xiàn)狀差距表 6圖表 3 網(wǎng)絡(luò)安全現(xiàn)狀差距分析表 10圖表 4 主機(jī)安全現(xiàn)狀差距分析表 15圖表 5 應(yīng)用安全現(xiàn)狀差距分析表 20圖表 6 數(shù)據(jù)安全現(xiàn)狀差距分析表 24圖表 7 安全管理現(xiàn)狀差距分析表 26圖表 8 安全技術(shù)差距與風(fēng)險分析 29圖表 9 管理體系差距與風(fēng)險 30圖表 10 網(wǎng)絡(luò)安全綜合治理行動差距與風(fēng)險分析表 30圖表 11 信息安全建設(shè)和規(guī)劃總體示意圖 36圖表 12 信息安全建設(shè)和規(guī)劃一期示意圖 38圖表 13 信息安全建設(shè)和規(guī)劃二期示意圖 39圖表 14 信息安全建設(shè)和規(guī)劃三期示意圖 40圖表 15 信息安全建設(shè)和規(guī)劃四期示意圖 41圖表 16 信息安全建設(shè)和規(guī)劃五期示意圖 42圖表 17 xxxx大學(xué)信息安全組織架構(gòu)示意圖 56圖表 18 xxxx大學(xué)安全管理制度規(guī)劃示意圖 62圖表 19 方案價值表 74圖表 20 成功案列表 75圖表 21 安全服務(wù)列表 78圖表 22 方案預(yù)算表 138第 1 章 方案概述 建設(shè)背景隨著我國學(xué)校信息化建設(shè)的逐步深入，學(xué)校教務(wù)工作、招生工作、學(xué)籍管理工作、科研管理工作、學(xué)生校內(nèi)的學(xué)習(xí)和生活等對信息系統(tǒng)依賴的程度越來越高；教育信息化建設(shè)中大量的信息資源，成為學(xué)校成熟的業(yè)務(wù)展示和應(yīng)用平臺，在未來的教育信息化規(guī)劃中占有非常重要的地位。為貫徹落實國家信息安全等級保護(hù)制度和《網(wǎng)絡(luò)安全法》，規(guī)范和指導(dǎo)全國教育信息化建設(shè)工作，國家發(fā)布了一系列關(guān)于教育行業(yè)信息化工作的通知，并且隨著我國網(wǎng)絡(luò)安全法的正式實行，保障信息系統(tǒng)安全已經(jīng)成為學(xué)校應(yīng)承擔(dān)的法律義務(wù)。2014年10月，教育部辦公廳印發(fā)《教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南（試行）》的通知。2017年2月，教育部辦公廳印發(fā)《2017年教育信息化工作要點》的通知。2017年6月，《中華人民共和國網(wǎng)絡(luò)安全法》正式實行。具體如下：“沒有網(wǎng)絡(luò)安全，就沒有國家安全”，《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護(hù)制度”。除此之外，《網(wǎng)絡(luò)安全法》中還從網(wǎng)絡(luò)運行安全、關(guān)鍵信息基礎(chǔ)設(shè)施運行安全、網(wǎng)絡(luò)信息安全等對以下方面做了詳細(xì)規(guī)定：網(wǎng)絡(luò)日志留存：第二十一條還規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護(hù)責(zé)任。采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，留存不少于六個月的相關(guān)網(wǎng)絡(luò)日志。未履行上述網(wǎng)絡(luò)安全保護(hù)義務(wù)的，會被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報告。在發(fā)生網(wǎng)絡(luò)安全事件時處置不恰當(dāng)?shù)?，會被依照此條款責(zé)令整改，拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。沒有對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份的會被依照此條款責(zé)令改正。沒有網(wǎng)絡(luò)安全事件預(yù)案的，或者沒有定期演練的，會被依照此條進(jìn)行責(zé)令改正。每年沒有進(jìn)行安全檢測評估的單位要被責(zé)令改正。原則是：問題導(dǎo)向、突出重點、完善機(jī)制，狠抓落實?！斗桨浮分饕兴拇箜椫饕蝿?wù)，“治亂”、“堵漏”、“補(bǔ)短”、“規(guī)范”。教育部對教育行業(yè)網(wǎng)絡(luò)信息安全的工作要求如下：提高思想認(rèn)識，加強(qiáng)組織領(lǐng)導(dǎo)l 認(rèn)真學(xué)習(xí)貫徹《中華人民共和國網(wǎng)絡(luò)安全法》l 將工作納入重要議事日程予以部署l 明確主管領(lǐng)導(dǎo)、牽頭部門和責(zé)任人l 提供必要的工作保障加強(qiáng)協(xié)調(diào)配合，形成工作合力l 與網(wǎng)絡(luò)安全智能部門溝通配合l 探索與專業(yè)機(jī)構(gòu)、企業(yè)建立合作機(jī)制加強(qiáng)監(jiān)督檢查，完善通報機(jī)制l 教育信息化月報通報進(jìn)展情況l 納入校園及周邊治安綜合治理工作考核評價l 納入學(xué)校安全生產(chǎn)大檢查、開學(xué)檢查等開展宣傳教育、提升安全意識l 面向網(wǎng)絡(luò)安全管理人員和技術(shù)人員開展專題培訓(xùn)l 利用新生入學(xué)教育、網(wǎng)絡(luò)安全宣傳周等契機(jī)l 提高師生網(wǎng)絡(luò)安全意識和素養(yǎng) 建設(shè)目標(biāo)及內(nèi)容 建設(shè)目標(biāo)本次項目建設(shè)目標(biāo)：貫徹國家、教育部信息安全工作部署，落實《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動方案》，讓xxxx大學(xué)校園一期建設(shè)后的相關(guān)信息系統(tǒng)達(dá)到《信息系統(tǒng)安全等級保護(hù)基本要求》第三級的要求，并完成等保備案。全面建設(shè)完整的信息安全防護(hù)體系，前瞻性的建設(shè)學(xué)校信息化技術(shù)支撐體系。l 建設(shè)符合國家等級保護(hù)制度要求、符合ISO27000信息安全管理認(rèn)證體系要求和滿足《網(wǎng)絡(luò)安全法》對學(xué)校信息系統(tǒng)要求的高校網(wǎng)絡(luò)安全防護(hù)體系。l “網(wǎng)絡(luò)空間的競爭，歸根到底是人才的競爭”，網(wǎng)絡(luò)安全也是如此，誰擁有網(wǎng)絡(luò)安全人才，誰就能掌握網(wǎng)絡(luò)安全的主動權(quán)。l 建設(shè)學(xué)校大數(shù)據(jù)平臺和異地數(shù)據(jù)災(zāi)備系統(tǒng)。建設(shè)任務(wù)表如下：時期安全建設(shè)重點達(dá)到效果時間一期滿足法律、政策、行業(yè)對本單位的要求完善邊界防御、終端安全防護(hù)、數(shù)據(jù)安全、安全隱患梳理整治、WEB資產(chǎn)治理、安全審計體系建立等。（網(wǎng)絡(luò)安全法）、合規(guī)（等級保護(hù)）；“治亂”“堵漏”“補(bǔ)短”“規(guī)范”提升整體安全防護(hù)能力；，杜絕安全短板，提升整體網(wǎng)絡(luò)的安全防護(hù)能力；、運維設(shè)備，規(guī)范運維流程操作、提升對整體網(wǎng)絡(luò)的管控程度及事后追責(zé)、溯源能力。實現(xiàn)對機(jī)房硬件資產(chǎn)3D可視化、全生命周期管理。：資產(chǎn)精確定位，一鍵查找；空間規(guī)劃，科學(xué)布局；實時跟蹤及自動預(yù)警；機(jī)柜微環(huán)境監(jiān)控展現(xiàn)；機(jī)房3D可視化交互，讓管理更加直觀、生動。網(wǎng)絡(luò)核心服務(wù)自動化運維和優(yōu)化。2020年開始建設(shè)周期為3 個月四期異地容災(zāi)體系與APT攻擊防御構(gòu)建完善的災(zāi)備體系與APT攻擊防護(hù)體系。，能應(yīng)對主流的APT攻擊。，實現(xiàn)對下屬分支信息安全管理工作的部署、監(jiān)督、檢查和指導(dǎo)，通過對過程數(shù)據(jù)及工作流程的匯總可以落實職責(zé)，完善策略和方針以達(dá)到IT治理的目標(biāo)。但是安全技術(shù)體系并不完善：主機(jī)和網(wǎng)絡(luò)層面還欠缺安全審計、非法內(nèi)/外聯(lián)檢查系統(tǒng)；數(shù)據(jù)庫缺少審計與防護(hù)措施。 學(xué)校IT資產(chǎn)統(tǒng)計注：*代表本次調(diào)研未確定因素。匯聚交換機(jī)**接入交換機(jī)**無線AP**2安全設(shè)備(軟件/硬件)網(wǎng)絡(luò)防火墻已有殺毒軟件已有（服務(wù)器與重要終端）入侵防御系統(tǒng)/防病毒已有WEB應(yīng)用防火墻已有上網(wǎng)行為管理已有漏掃系統(tǒng)無反垃圾郵件網(wǎng)關(guān)無信息終端**5重要