XX网络安全等级保护2.0建设方案
等级保护2.0云计算解决方案 网络安全等级保护云计算解决方案
利用轻量级客户端,实现虚拟机的入侵防御和基线 核查等。
等级保护2.0云计算解决方案
建设主动防护能力,持续安全监控预警
及时获取热点事件、漏洞、
运营 服务
恶意IP/域名。
热点事件 预警
攻击威胁源 封禁
攻击事件发 现与排查
安全事件 应急响应
自定义安全服务包,按需 选择,快速实现防护。
自助使用,自动交付,掌 握业务系统安全状态。
高可用设计,保障安全防 护连续性。
委办局1
虚拟机
虚拟机
委办局2
虚拟机
虚拟机
委办局3
虚拟机
虚拟机
防火墙 WAF
IPS
防火墙 网络审计 WAF
防火墙 DDoS防护 WAF
服务 平台
计算
存储
网络
防火墙 入侵防御 入侵检测 Web应用防护 安全审计 防病毒 EDR
SaaS PaaS IaaS
云服务客户
应用平台 软件平台 虚拟化计算资源 资源抽象控制
硬件 设施
范围和控制
等级保护2.0云计算解决方案
IaaS PaaS SaaS
新增安全要求,建立主动防护体系
实现对网络攻击特 别是新型网络攻击
行为的分析
被动安全防护
1
2
缺少监测预警
落实网络安全态感 知监测预警措施
集中安全管理
安全即服务
软件定义安全
硬件安全设备
统一管控
虚拟化
服务化
物理服务器
等级保护2.0云计算解决方案
做好区域隔离,实现东西向防护
某委办局
子网1
子网2
网络安全等级防护2.0建设方案
定期评估与调整
定期对安全运维管理体系进 行评估和调整,确保其适应 业务发展和安全需求的变化 。
05
技术保障措施部署
硬件设备选型原则和配置要求说明
选型原则
选择高性能、高可靠性、高扩展性的硬件设备,确保设备能够满足网络 安全等级保护的要求。
配置要求
设备配置需满足系统性能、安全、可扩展性等多方面的要求,包括但不 限于CPU、内存、硬盘、网络接口等。
软件产品选型依据及性能评估报告
选型依据
根据业务需求、系统架构、安全需求等多方 面因素,选择适合的软件产品。
性能评估报告
对选定的软件产品进行性能评估,包括处理 速度、稳定性、兼容性、安全性等方面的测 试,确保产品能够满足实际应用需求。
云计算服务提供商选择策略论述
服务商资质
选择具备相应资质和经验的云计算服务提供商,确保其能够提供安全、可靠的 云计算服务。
审计工具
选择合适的安全审计工具,如日志分析工具、漏洞扫描工 具等,提高审计效率和质量。
04
安全运维管理体系构建
日常安全管理流程梳理和规范化建设
安全管理流程梳理
对现有的安全管理流程进行全面梳 理,包括安全策略、标准、流程等
方面。
规范化建设
制定统一的安全管理规范,包括安 全配置、安全审计、风险评估等。
第三方服务商监管措施落实情况
01 服务商资质审查
对第三方服务商的资质进行审查,确保其具备提 供安全服务的能力。
02 服务协议签订
与第三方服务商签订服务协议,明确安全责任和 服务要求。
03 服务监督与评估
定期对第三方服务商的服务进行监督与评估,确 保其服务质量。
网络安全培训计划和实施效果评估
网络安全等级保护(等保2
网络安全等级保护(等保2.0)3级建设内容设计方案物理环境安全设计旨在保护计算机网络通信的电磁兼容工作环境,防止非法用户进入计算机控制室并防止偷窃和破坏活动发生。
在物理位置选择上,应选择具有防震、防风、防雨等能力的建筑内场地,避免设在建筑物的顶层或地下室以确保机房的防水防潮效果。
在UPS电池放置时,应考虑楼板的承重能力。
对机房划分区域进行管理,并在重要区域前设置交付或安装等过渡区域。
进入机房的人员必须经过申请和审批流程,并受到限制和监控。
机房的各出入口应配置电子门禁系统和视频监控系统来控制、鉴别和记录进入机房的人员相关信息。
设备或主要部件应固定,并设置不易除去的标记以防盗窃和破坏。
为了防止非法用户和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性,必须采用有效的区域监控、防盗报警系统,阻止非法用户的各种临近攻击。
必须制定严格的出入管理制度和环境监控制度,以保障区域监控系统和环境监控系统的有效运行。
在地板方面,应安装防静电地板并采用必要的接地防静电措施,在上架、调试触摸设备时应佩戴防静电手环等措施消除静电避免静电引起设备故障和事故。
合理规划设备安装位置,应预留足够的空间作安装、维护及操作之用。
房间装修必需使用阻燃材料,耐火等级符合国家相关标准规定,同时设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。
在机房建设阶段,对机房窗户、屋顶和墙壁进行处理,防止液体渗透。
按照新风系统防止机房内水蒸气结露。
在机房内部按照水浸传感器,实时对机房进行防水检测和报警。
严格按照国家的相关标准将各类机柜、设施和设备等通过接地系统安全接地。
在配电方面设置相应的防雷保安器或过压保护装置等。
网络安全设计为保障通信传输网络的安全性,需要采用多种措施。
首先,对网络传输设备进行加密和认证,确保数据传输的安全性。
其次,采用虚拟专用网络(VPN)技术,对外部网络进行隔离,防止未经授权的访问。
云平台网络安全等级保护2.0三级建设方案
进行系统服务的调研和评估,根据评估结果 制定安全防护方案,并进行方案的实施。
实施步骤与详细方案
01
第三阶段
进行应用服务的调研和评估,根据评估结果制定安全防护 方案,并进行方案的实施。
02
详细方案
每个阶段都需要制定详细的实施方案,包括具体的操作步 骤、实施时间和责任人等。
03
第一阶段
对网络设备进行安全配置,包括禁止不必要的端口和服务 、限制访问IP等;对服务器进行安全配置,包括安装补丁 、关闭不必要的服务等;对数据库进行漏洞扫描和安全配 置,包括设置强密码、限制访问权限等。
网络隔离与访问控制
通过VLAN、VPN等技术实现网络隔离,确保数据只 能被授权用户访问。
数据安全
数据加密
采用数据加密技术,确保数据在存储和传输过 程中被窃取后仍无法被非法获取。
数据备份与恢复
制定完善的数据备份与恢复策略,防止数据丢 失给业务带来严重影响。
数据访问控制
对数据进行分类,设置不同的访问权限,确保敏感数据只能被授权用户访问。
安全制度培训与宣传
定期组织员工进行安全制度培训,提高员工的安全意识,确保员工了解并遵守相关安全制度。
安全运维管理
安全漏洞发现与修复
01
建立安全漏洞发现与报告机制,及时发现并修复安全漏洞,防
止漏洞被利用。
安全审计与监控
02
建立安全审计与监控机制,对系统、网络、数据等资源进行实
时监控和审计,及时发现并处理异常行为。
实施风险与应对措施
实施风险
在实施过程中,可能会遇到以下风险和挑战
人员技能不足
需要具备专业的网络安全知识和技能,如果人员技能不足,可能 会影响实施效果。
XXX信息系统网络安全等级保护建设方案(二级)
XXX信息系统网络安全等级保护建设方案2020年7月1、技术方案1.1建设背景面对我国信息安全的严峻形势,自2006年以来,以公安部、工信部、国家保密局等单位牵头,在全国范围内陆续发布了等级保护、分级保护等信息安全政策和执行标准。
2014年2月27日,中央网络安全与信息化领导小组成立,该领导小组着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强安全保障能力。
2017年《中华人民共和国网络安全法》颁布实施,该法案明确规定国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;对网络运营者不履行规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
2019年5月13日,公安部正式发布了网络安全等级保护制度2.0标准,并于2019年12月1日开始按照2.0标准实施,该标准是在网络安全领域又一规范性条例,在操作性、指导性和强制性力度更强。
XXXX目前的主要业务系统是XX系统、XX系统等系统,系统涉及到参保结算人员的各方面信息,按照《网络安全法》和等保2.0标准对被定义成国家关键信息基础设施的网络、业务系统需要按照等级保护标准建设,XXXX需要结合实际情况,对照国家及相关监管单位要求,理清安全现状,并对现有的信息系统按照等保2.0标准二级安全要求建设。
1.2建设依据本次方案设计严格按照国家有关网络安全等级保护、信息安全保密方面的各项标准、规范、指南和管理部分要求,紧紧围绕国家信息安全发展战略进行规划设计。
国家相关文件及法律政策:《网络安全等级保护条例》《中华人民共和国网络安全法》《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)《国务院关于印发“十三五”国家信息化规划的通知》(国发[2016]73号)《“健康中国2030”规划纲要》《“十三五”深化医药卫生体制改革规划》《“十三五”全国人口健康信息化发展规划》《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国务院办公厅关于促进”互联网+医疗健康“发展的意见》《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号)卫生部《基于健康档案与区域卫生信息平台的妇幼保健信息系统技术解决方案(征求意见稿)》;《卫生部办公厅关于印发2010年基于电子健康档案、电子病历、门诊统筹管理的基层医疗卫生信息系统试点项目管理方案的通知》;《2010年基于电子健康档案、电子病历、门诊统筹管理的基层医疗卫生信息系统试点项目技术方案》等。
网络安全(等保2.0建设)方案
网络安全(等保2.0建设)2019年12月1日,《信息安全技术网络安全等级保护基本要求》正式实施,标志着网络安全等保建设进入2.0时代,对网络安全建设提出了更高的要求;《河南省高校信息化发展水平评估指标体系》明确对信息化和网络安全建设提出了具体的指标和要求;教育厅、公安厅(局)等主管单位,经常进行信息化评估、安全扫描、通报处理等工作,需要高度重视。
教办科技〔2022〕58号河南省教育厅办公室关于在全省教育系统开展虚拟货币“挖矿”专项整治攻坚行动的通知。
背景长期以来,学校的建设与发展得到了国家的高度重视,随着我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用。
加强对信息系统安全保护工作的监督管理,打击各类计算机违法犯罪活动,是我国信息化顺利发展的重要保障。
因此某工程职业学院应依据国家等级保护相关政策和标准开展信息安全建设,从而保障信息系统正常稳定。
建设目标此次主要依据《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)(以下简称《基本要求》)和《信息安全技术网络安全等级保护安全设计技术要求》(GB/T25070-2019)、《教育行业信息系统安全等级保护定级工作指南(试行)》等相关政策标准,针对郑某工程职业学院信息系统的安全等级保护提出设计方案。
设计方案从信息安全等级保护技术体系、安全等级保护管理体系两个方面提出安全建设的整体框架,建立“一个基础”(安全物理环境)、“一个中心”(安全管理中心)保障下的“三重防护体系”(安全通信网络、安全区域边界、安全计算环境)的架构,使得郑某工程职业学院信息系统具备满足需求的安全防护能力。
设计原则在建设过程中,要遵循统一规划、统一标准、统一管理、适度保护、强化管理、注重技术的原则。
需求导向:方案设计应充分考虑到郑某工程职业学院信息系统的业务需求、管理需求、技术需求,以需求导向为原则,对方案进行设计,确保方案符合实际需求。
网络安全等级保护设计方案(三级)-运营体系设计
网络安全等级保护设计方案(三级)-运营体系设计XXX科技有限公司20XX年XX月XX日目录一运营体系概述 (3)二漏洞管理服务 (4)三安全评估服务 (5)四渗透测试服务 (6)五应急响应服务 (8)六应急演练服务 (9)七威胁监测与主动响应服务 (10)八网络安全培训服务 (11)九系统设计亮点 (11)9.1 价值主张 (11)9.2 安全可视能力 (11)9.3 持续检测能力 (13)一运营体系概述等级保护2.0标准所规定的技术要求并不只是通过产品来落地的;等保的管理要求也不只是体现在文档上。
要保证持续的践行等级保护的各项要求,还需要对安全产品和安全管理制度持续运营。
通过运营将等保2.0中的技术要求和管理要求有效落地。
安全运营工作即可以用户自己做,也可以由厂商提供安全服务,来帮助用户实现持续的安全运营。
安全运营体系保障等保2.0技术和管理落地系统自身的漏洞、来自内外部的威胁,是管理的基本要素。
以漏洞和威胁为基础,把技术和管理体系融合,帮助用户建立安全运营体系。
安全运营体系二漏洞管理服务漏洞管理服务有现场服务、云端服务两种不同的服务方式,满足不用用户场景下的需求。
漏洞管理服务服务内容:三安全评估服务根据用户网络安全实际需求,为用户提供资产梳理、漏洞扫描、基线核查、安全加固建议等一体化的安全评估服务。
资产梳理:安全访谈和调研,梳理信息资产和业务环境状况,针对重要业务系统制定评估详细方案。
脆弱性评估:通过web扫描,漏洞扫描、基线检查、漏洞验证等手段,识别业务系统安全脆弱性风险。
防御能力评估:通过模拟黑客进行信息收集、应用及系统入侵,验证防御体系的安全防御能力。
失陷检查:通过人工或工具产品检测主机系统上的恶意文件和网络行为,判断主机失陷状态。
安全整改建议:基于安全评估结果分析系统安全风险和威胁,给出针对性的风险处理方案。
四渗透测试服务目前绝大部分的安全产品只能利用已知的安全漏洞对系统进行程序化的漏洞分析,缺少灵活性,而渗透测试却能够在可控的前提下进行最贴近于真实情况的漏洞发掘,弥补了仅仅使用安全产品对系统分析的不足,通过渗透测试可以以攻击者的角度发现一些隐性存在的安全漏洞和风险点,有助于后续的网络安全建设。
网络安全等保二级解决方案
等保测评涉及检查范围 建设或整改环节主要依据《信 息系统安全等级保护基本要求》 进行,《基本要求》中将等保分 为两个方向,每个方向又分为5 个维度。
© Copyright Sendi Corporation 2020
5
技术要求 物网 主应数 理络 机用据 安安 安安安 全全 全全全
网络安全等级保护二级等保解决方案
catalogue
目
01 等保2.0介绍和要求
录
02 项目建设目标
03 成功案例
信息系统等级分类:
3
一级信息系统:公民个人的单机系统,小型集体、民营企业 所属的信息 系统,中、小学校的信息系统,乡镇级党政机关、事业单位的信息系统, 其他小型组织的信息系统。
二级信息系统:县级、地市级信息系统,中型集体、民营企业、小型国有 企业所属的信息系统,普通高等院校和科研机构的信息系统,其他中型组 织的信息系统。
建设目标
10
➢ 通过等保测评验收
开展国家信息系统定级备案和等级测评和安全整改,并获取公安机关颁发由公安部统一监制的《信息系统安全等级保护备案 二级证明》,测评结果达到良
➢ 安全技术支撑体系建设
根据等保技术要求及业务实际安全情况,合理规划安全区域,并配套完善一系列安全设备,从而建设起单位安全技术支撑体 系
三级信息系统:省级和副省级独立的重要信息系统,大型集体、民营企业、 大中型国有企业所属的重要信息系统,地市级党政机关、事业单位的重要 信息系统,重点高等院校和科研机构的重要信息系统,其他大中型组织的 信息系统。
四级信息系统:国家级所属全程全网的特大型信息系统,特大型国有企业 所属全程全网的特大型信息系统,省级党政机关、事业单位所属的重要信 息系统,重点科研机构的重要信息系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX网络安全等级保护2.0建设方案1网络安全1.1总体要求建设安全可靠的网络与信息化设施、确保本校所发布的信息合法合规,是《网络安全法》对所有提供信息服务的单位提出的统一要求。
基于《GB/T22239-2019 信息安全技术网络安全等级保护基本要求》、《GB/T28448-2019 信息安全技术网络安全等级保护测评要求》、《GB/T25070-2019 信息安全技术网络安全等级保护设计要求》等标准规范,网络与信息安全是指通过梳理摸清信息资产,进行安全风险分析,明确安全目标,制定安全策略,基于网络安全政策,通过采取必要的技术和管理措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定、可靠运行的状态,保障网络数据的完整性、保密性、可用性的能力。
a)梳理摸清学校信息资产,建立信息资产库,进行安全风险分析评估;b)明确安全目标和安全策略,确定网络安全保护等级,进行网络安全体系设计,制定较为完善的安全管理体系,有效防范有关对网络的攻击、侵入、干扰、破坏、非法使用和意外事故发生;c)根据网络安全体系的设计选择适当的技术和产品,制定网络安全技术防护实施方案和运行管理方案,推进多层次纵深网络安全防护,使网络始终处于稳定、可靠运行的状态;d)对安全管理活动中的各种管理内容建立安全管理制度,对安全人员的日常安全管理操作制定操作规程,形成由安全策略、管理制度、操作规程、记录表单等构成的较为全面的安全管理体系,有效防范非法使用和意外事故发生;e)坚持问题导向、目标导向,推进网络安全技术防护系统和网络安全管理体系相融合,持续改进网络安全工作,不断提升保障网络数据完整性、保密性、可用性的能力;f)网络安全的防护对象主要涉及基础网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、网站、业务信息系统、个人计算机系统、个人移动终端、智能化系统以及采用移动互联技术的系统等等。
网络安全实质上已经发展为网络空间安全,不仅仅包括内容安全、也包括技术安全等。
网络安全具有放大、外溢、交织、叠加等特点,已经与政治安全、意识形态安全、公共安全、学生安全、实验室安全、生产安全等校园安全工作相互交织、相互叠加、跨界扩散等,需要协同应对。
1.2网络安全网络安全包括信息化软硬件设施的物理环境安全、网络与通信安全、网站与信息系统安全、智能化系统安全、物联网系统安全、各类计算机及移动终端安全、摄像头及显示系统安全、移动互联网应用安全、云计算与云服务安全、新媒体应用安全、数据安全及个人隐私信息安全等。
1.2.1计算机系统安全管理a)计算机操作系统及系统软件应正版化,应及时打补丁,进行安全配置、加固和优化,增加系统操作审计等安全机制;b)数据库及中间件系统应加强版本管理,对系统版本及时更新,进行安全加固和优化,对数据库进行加密,应部署数据库审计系统对数据有关操作进行实施监控和审计;c)系统应消除弱密码。
多人使用的系统应实现弱密码禁止注册或登录,提供安全密码设置的技术导引;d)系统应及时进行漏洞检查与修复,部署实时监测和清除各类病毒以及黑客程序、支持各类客户端防杀病毒的计算机防病毒系统,病毒扫描引擎和病毒代码库能够及时进行更新。
1.2.2网络安全防护要求1.2.2.1物理环境安全防护a)机房场地应选择在具有防震、防风和防雨等能力的建筑物内,并避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施;b)机房应设置响应的安防设施,出入口应配置电子门禁系统,控制、鉴别和记录进出人员,机房内应设置相应防盗报警系统或设置专人值守的视频监控系统;c)机房应设置防静电、防雷击、防火、防水、防潮等相关措施,应考虑冗余电源、不间断电源、电磁防护以及温湿度控制等增强物理环境安全的措施。
1.2.2.2网络安全防护a)校园网边界应进行网络安全防护,根据访问控制策略设置访问控制规则,检测、防止或限制来自校内、外的网络攻击行为。
可以根据需要设置网络安全防火区,用于对外提供信息服务;b)校园网核心或骨干设备应在保证业务处理能力满足业务高峰需要的情况下,支持网络安全策略实施,对不同网络区域之间根据访问控制策略设置访问控制规则,实现网络安全风险隔离,检测、防止或限制来自校内外的网络攻击行为;c)应对数据中心或服务器系统等应用进行边界防护,对进出网络的数据流基于应用协议和应用内容进行访问控制,隔离,检测、防止或限制来自校内外的网络攻击行为;d)应部署网络安全设施,对非授权设备私自连到内部网络行为进行检查和限制,对内部用户非授权连到外部网络的行为进行检测和限制。
1.2.2.3云计算环境安全防护a)云计算基础设施部署在中国境内,提供开放接口和开放性安全服务,云服务客户具有根据自己的业务安全需求自主设置安全策略的能力;b)云计算环境具备横向访问控制以及风险隔离能力,检测到网络攻击行为、异常流量情况时能够实时告警;c)云计算环境应支持云服务商、云服务客户在远程管理时执行的特权命令,以及云服务商对云服务客户系统和数据操作可以被云服务客户有效审计;d)云计算环境能够提供云计算平台和管理终端的双向身份验证机制,允许云服务客户设置不同虚拟机之间的访问控制策略,并且控制策略可以随虚拟机迁移而迁移;e)云计算环境应对恶意代码感染及在虚拟机之间蔓延情况、虚拟机之间资源隔离失效情况以及虚拟机异常操作进行告警;f)云计算环境应有足够的技术和管理措施确保云服务客户业务数据的完整性、保密性和可用性;应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。
1.2.2.4信息系统安全防护a)信息系统安全首先要落实计算机系统安全管理;b)信息系统须具备对登录用户具备身份标识和鉴别功能,限制非法登录次数,有效解决远程登录安全性问题;c)信息系统实现系统账户的有效管理,不存在默认或失效账户,应支持多主体授权,支持用户级、进程级或数据库级或表级等多种粒度的访问控制策略配置,实现管理用户的权限分离,实现访问安全控制;d)应实现系统安全审计功能,覆盖所有用户。
对重要用户和重要安全事件进行审计,对审计进程和审计记录有保护措施,防止未经授权的中断及更改;e)遵循最小安装原则,仅安装需要的组建和应用程序。
关闭不需要的端口和服务。
对有关入侵或非法操作能够及时进行报警;f)采用密码技术或校验技术保证重要数据的完整性、数据保密性;g)采取较为完善的数据备份与恢复功能,有数据备份与恢复还原的具体方案,并定期进行演练。
1.2.2.5移动互联安全防护a)无线接入设备安装位置选址应避免电磁干扰,无线网络与有线网络边界之间的数据流和访问应通过无线接入网关设备,无线接入设备开启接入认证,并通过认证服务器进行认证;b)无线接入系统能够监测非授权无线接入设备和非授权移动终端的接入行为,并能够阻断非授权无线接入设备或非授权终端;c)无线接入系统具备安全管理和防范功能,能够检测对无线接入设备的网络扫描、密钥破解、中间人攻击、DDos攻击和欺骗攻击等;d)应对移动端和移动端应用软件的采购、开发、部署和使用等进行有效管理;e)应建立和加强移动端以及移动端应用软件的运行管理。
1.2.2.6网络安全管理中心应部署校园网络安全态势感知平台,建立网络安全管理中心,实现网络安全统一管理。
以此为基础,检查落实网络安全策略执行情况,检查落实网络、信息系统安全配置、授权、审计和安全控制情况,检查落实网络安全管理制度执行情况,检查落实网络安全操作规程执行情况,查找网络安全管理风险,持续改进网络安全工作。
a)根据学校网络安全实际情况,划分网络安全管理域,对不同管理域的网络安全设备、安全软件/系统或组件进行管控;b)组建虚拟专网,提供安全信息传输路径,实现对网络中的安全设备、安全软件/系统或组建进行管理;c)能够对网络设备、网络链路、网络安全设备和服务器等的运行情况进行集中检测;d)能够对分散在相关设备上的审计数据进行汇总和集中分析,并保证对审计数据管理的合规遵从性;e)能够对网络安全策略、恶意代码、软件版本管理及补丁升级等网络安全相关事项进行集中管理;f)能够对网络中发生的各类安全事件进行识别、报警和分析。
1.2.3网络安全管理网络安全管理包括网络安全管理制度、网络安全机构、网络安全管理人员、网络安全建设管理和网络安全运维管理等部分。
1.2.3.1网络安全管理制度网络安全管理制度包括网络安全策略、网络安全行动指南、网络安全管理制度、网络安全操作规程以及记录表单等构成的全面的网络安全制度体系。
a)制定网络安全工作的总方针和安全策略,明确网络安全工作的总目标、范围、原则和安全框架等;b)根据网络安全策略,制定网络安全工作行动指南,为网络安全管理提供清晰的策略方向,阐明网络安全建设和管理的重要原则以及网络安全建设和管理所需支撑保障;c)对网络安全管理活动中的有关内容建立相应的网络安全管理制度,如机房管理制度、网站建设管理办法等制度;d)对管理人员或操作人员执行的日常管理操作建立操作规程,如服务器操作系统安装与安全配置操作规程等;e)为了落实相关网络安全管理制度、操作规程,必须设计相应的记录表单,记录表单最好通过信息系统实现,便于管理和监督;f)管理制度的制定和发布应该符合相关管理规定,并建立相应的制定、评审、修订、发布的规范流程。
应成立主要负责人担任领导的指导和管理网络安全工作的委员会或领导小组,应明确承担网络安全管理工作的职能部门,明确负责人的网络安全职责。
设立相应的网络安全专职岗位,并明确岗位职责。
建立网络安全专题会议制度,定期研究网络安全问题,协调开展网络安全检查,就网络安全工作进行协调、沟通、评估、推进等。
1.2.3.3网络安全人员应设立安全主管、安全管理各个方面的负责人岗位,定义各负责人职责。
配备一定数量的网络管理员、系统管理员、安全审计管理员和安全管理员等。
配备专职安全管理员,不可兼任。
a)相关网络安全人员应具备相应岗位的安全管理或技术能力,并签署岗位责任协议;b)网络安全人员离岗,应及时终止相关权限或授权,进行工作交接,严格调离手续,签署承诺调离后的保密义务方可离开;c)针对岗位要求,制定网络安全人员的学习和教育培训计划,网络安全人员应参加或接受相关网络安全知识、技能培训;d)网络安全人员应定期学习网络安全管理制度以及操作规程,并接受考核;e)网络安全人员应落实外部人员访问管理有关规定和操作规程。
1.2.3.4网络安全建设管理a)根据网络安全策略和网络安全工作指南,结合网络安全现状,对网络安全进行整体规划和安全方案设计,建立相应的配套文件;b)组织相关部门和专家对网络安全整体规划、网络安全实施方案及配套文件进行合理性、可行性等进行咨询论证、审定,经批准后实施;c)网络安全产品采购和使用应符合国家有关规定和有关主管部门的要求,应根据方案事先对产品进行选型测试,确定产品的候选范围;d)建议引入第三方符合资质要求的网络安全工程监理,控制项目的实施过程,负责项目质量管理;e)应制定网络安全工程实施过程和交付前的测试方案,依据实施方案和测试方案进行工程管理和监理;f)制定交付清单,根据交付清单对设备、软件和文档等进行清点交接。