xxxxx高校信息安全建设规划方案

xxxx大学信息安全建设

设计方案

xxxx股份有限公司2018年6月

■版本变更记录

时间版本说明修改人2017-5-30 V1.1 文档修改

2018-6-6 V1.2 文档修改

■文档说明

本文档作为xxxx大学信息安全设计方案的输出文档；本文件的读者范围为我公司参与项目建设的人员以及xxxx大学信息安全建设的相关人员。

■版权声明

本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属我公司所有，受到有关产权及版权法保护。任何个人、机构未经双方书面授权许可，不得以任何方式复制或引用本文件的任何片断。

目录

第 1 章方案概述 (8)

1.1建设背景 (8)

1.1.1法律要求 (9)

1.1.2政策要求 (10)

1.1.3行业要求 (11)

1.2建设目标及内容 (12)

1.2.1建设目标 (12)

1.2.2建设内容 (13)

第 2 章现状、挑战、风险 (1)

2.1现状概述 (1)

2.1.1信息系统现状 (1)

2.1.2高校网络安全现状 (2)

2.2未来的挑战 (5)

2.2.1“互联网+教育” (5)

2.2.2“人工智能+教育” (5)

2.2.3大数据平台 (5)

2.3现状、差距、风险分析 (6)

2.3.1现状与差距分析 (6)

2.3.2差距与风险分析 (28)

第 3 章方案设计 (31)

3.1设计思路 (31)

3.2一个出发点 (31)

3.3两大标准 (32)

3.4三种融合 (32)

3.5四个体系 (34)

3.6信息安全建设规划拓扑图 (35)

第 4 章方案建设 (42)

4.1建设原则 (42)

4.2技术安全体系建设 (42)

4.2.1安全区域边界设计 (42)

4.2.2安全计算环境设计 (43)

4.2.3安全通信网络设计 (45)

4.2.4安全管理中心设计 (45)

4.2.5安全区域划分 (46)

4.2.6新增安全措施 (47)

4.2.7优化安全措施 (48)

4.3应用安全建设 (49)

4.3.1应用安全设计 (49)

4.3.2业务系统应用安全 (49)

4.4安全管理体系建设 (49)

4.4.1安全管理机构概述 (49)

4.4.2安全管理制度规划 (60)

4.4.3安全管理制度梳理服务 (61)

4.5应急预案体系建设 (65)

4.5.1编制目的 (65)

4.5.2编制依据 (65)

4.5.3适用范围 (65)

4.5.4工作原则 (66)

4.5.5组织与体系 (66)

4.5.6预防预警 (66)

4.5.7应急响应 (67)

4.5.8后期处置 (69)

4.5.9保障措施 (70)

4.5.10监督管理 (70)

第 5 章方案价值 (72)

第 6 章类似成功案例 (73)

第 7 章安全产品/服务部署说明 (74)

7.1网络整改及安全产品部署 (74)

7.1.1校园网整改及安全域划分 (74)

7.1.2服务器、终端及应用系统安全加固 (74)

7.2安全服务 (75)

7.2.1安全意识教育 (76)

7.2.2网络安全服务列表 (87)

7.2.3网络安全服务简介 (88)

7.3一期安全产品/安全服务 (96)

7.3.1堡垒主机系统 (96)

7.3.2日志审计系统 (98)

7.3.3数据库审计系统 (101)

7.3.4主机安全加固软件 (103)

7.3.5准入控制系统 (106)

7.3.6WEB资产安全治理平台 (110)

7.4二期安全产品/安全服务 (118)

7.4.1云WAF (118)

7.4.1IT综合运维管理系统 (120)

7.4.1RFID机房资产管理系统 (126)

7.5三期安全产品/安全服务 (128)

7.5.1ZDNS部署 (128)

7.5.2安全运维管理平台（soc+态势感知） (132)

7.6四期安全产品/安全服务 (135)

7.6.1APT高级威胁分析平台 (135)

7.6.1数据容灾备份系统 (137)

7.7五期安全产品/安全服务 (138)

7.7.1GRC网络安全管理管理平台 (138)

7.7.2安全值 (145)

第 8 章方案预算 (148)

附件—信息系统建议定级 (150)

图表目录

图表 1 学校IT资产表 (2)

图表 2 物理安全现状差距表 (6)

图表 3 网络安全现状差距分析表 (10)

图表 4 主机安全现状差距分析表 (15)

图表 5 应用安全现状差距分析表 (20)

图表 6 数据安全现状差距分析表 (24)

图表 7 安全管理现状差距分析表 (26)

图表 8 安全技术差距与风险分析 (28)

图表 9 管理体系差距与风险 (29)

图表 10 网络安全综合治理行动差距与风险分析表 (29)

图表 11 信息安全建设和规划总体示意图 (35)

图表 12 信息安全建设和规划-一期示意图 (37)

图表 13 信息安全建设和规划-二期示意图 (38)

图表 14 信息安全建设和规划-三期示意图 (39)

图表 15 信息安全建设和规划-四期示意图 (40)

图表 16 信息安全建设和规划-五期示意图 (41)

图表 17 xxxx大学信息安全组织架构示意图 (55)

图表 18 xxxx大学安全管理制度规划示意图 (61)

图表 19 方案价值表 (72)

图表 20 成功案列表 (73)

图表 21 安全服务列表 (88)

图表 22 方案预算表 (149)

第 1 章方案概述

1.1建设背景

随着我国学校信息化建设的逐步深入，学校教务工作、招生工作、学籍管理工作、科研管理工作、学生校内的学习和生活等对信息系统

依赖的程度越来越高；教育信息化建设中大量的信息资源，成为学校

成熟的业务展示和应用平台，在未来的教育信息化规划中占有非常重

要的地位。从安全性上分析，高校业务应用和网络系统日益复杂，外

部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著，信息

化安全是业务应用发展需要关注的核心和重点。为贯彻落实国家信息

安全等级保护制度和《网络安全法》，规范和指导全国教育信息化建

设工作，国家发布了一系列关于教育行业信息化工作的通知，并且随

着我国网络安全法的正式实行，保障信息系统安全已经成为学校应承

担的法律义务。

2014年9月，四川省公安厅、四川省教育厅关于进一步加强学校

网络和信息安全保护工作的通知。

2014年10月，教育部办公厅印发《教育行业信息系统安全等级保护定级工作指南（试行）》的通知。

2015年7月，教育部办公厅印发关于全面推进教育行业信息安全

等级保护工作的通知。

2017年2月，教育部办公厅印发《2017年教育信息化工作要点》

的通知。

2017年3月，教育部办公厅印发《教育行业网络安全综合治理行

动方案》的通知。

2017年6月，《中华人民共和国网络安全法》正式实行。

1.1.1法律要求

在今年颁发的《中华人民共和国网络安全法》中明确规定了法律

层面的网络安全。具体如下：

“没有网络安全，就没有国家安全”，《网络安全法》第二十一

条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当

按照要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外，《网络安全法》中还从网络运行安全、

关键信息基础设施运行安全、网络信息安全等对以下方面做了详细规定：

网络日志留存：第二十一条还规定，网络运营者应当制定内部安

全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技

术措施;采取监测、记录网络运行状态、网络安全事件的技术措施，留

存不少于六个月的相关网络日志;采取数据分类、重要数据备份和加密

等措施。未履行上述网络安全保护义务的，会被依照此条款责令整改，拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下

罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

漏洞处置：第二十五条规定，网络运营者应当制定网络安全事件

应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等

安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相

应的补救措施，并按照规定向有关主管部门报告。没有网络安全事件

应急预案的，没有及时处置高危漏洞、网络攻击的;在发生网络安全事

件时处置不恰当的，会被依照此条款责令整改，拒不改正或者导致危

害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的

主管人员处五千元以上五万元以下罚款。

容灾备份：第三十四条第三项规定，关键信息基础设施单位对重要系统和数据库进行容灾备份。没有对重要系统和数据库进行容灾备份的会被依照此条款责令改正。

应急演练：第三十四条第四项规定，关键信息基础设施单位应当制定网络安全事件应急预案，并定期进行演练。没有网络安全事件预案的，或者没有定期演练的，会被依照此条进行责令改正。

安全检测评估：第三十八条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检测评估的单位要被责令改正。

1.1.2政策要求

教育部正在实施的《教育行业网络安全综合治理行动方案》；目标是提升安全水平，增强防护能力，有效防范风险，保障运行和数据安全。原则是：问题导向、突出重点、完善机制，狠抓落实。实施范围是各级教育行政部门及其直属单位高等学校。《方案》主要有四大项主要任务，“治乱”、“堵漏”、“补短”、“规范”。每一项工作任务对应不同的工作重点，总共10项具体如下：

1.统一标识

2.信息发布管理

3.网站域名清理

4.安全监测预警

5.检测风险

6.网络安全等保

7.测评和整改

8.数据安全

9.关键信息基础设施

10.应急响应

1.1.3行业要求

2016年11月教育部网络安全和信息化领导小组的成立，国家层面对教育行业信息化安全的重视程度日益增加。教育部对教育行业网络信息安全的工作要求如下：

提高思想认识，加强组织领导

●认真学习贯彻《中华人民共和国网络安全法》

●将工作纳入重要议事日程予以部署

●明确主管领导、牵头部门和责任人

●提供必要的工作保障

加强协调配合，形成工作合力

●与网络安全智能部门沟通配合

●探索与专业机构、企业建立合作机制

加强监督检查，完善通报机制

●教育信息化月报通报进展情况

●纳入校园及周边治安综合治理工作考核评价

●纳入学校安全生产大检查、开学检查等

开展宣传教育、提升安全意识

●面向网络安全管理人员和技术人员开展专题培训

●利用新生入学教育、网络安全宣传周等契机

●提高师生网络安全意识和素养

1.2建设目标及内容

1.2.1建设目标

本次项目建设目标：贯彻国家、教育部信息安全工作部署，落实《教育行业网络安全综合治理行动方案》，让xxxx大学校园一期建设

后的相关信息系统达到《信息系统安全等级保护基本要求》第三级的

要求，并完成等保备案。

根据学校实际情况、发展趋势、行业背景，对学校制定信息安全

建设规划，规划期限为5年。全面建设完整的信息安全防护体系，前

瞻性的建设学校信息化技术支撑体系。最终使xxxx大学具有完善的信

息安全组织体系、信息安全管理体系、信息安全运行体系、信息安全

技术体系；具体有以下几点：

●落实《教育行业网络安全综合治理行动方案》，对学校现有信

息系统做到“治乱”、“堵漏”、“补短”、“规范”。

●建设符合国家等级保护制度要求、符合ISO27000信息安全管

理认证体系要求和满足《网络安全法》对学校信息系统要求的

高校网络安全防护体系。

●建设能够监控学校IT资产、管理学校IT资产、保护学校IT

资产的安全运维管理体系。

●“网络空间的竞争，归根到底是人才的竞争”，网络安全也是

如此，谁拥有网络安全人才，谁就能掌握网络安全的主动权。

通过规划建设安全实训人才培养平台，通过平台模拟攻防实训，

能让我校技术管理老师和学员掌握安全防御技术，辅助我校网

络安全人才培养工作。

●建设学校大数据平台和异地数据灾备系统。

1.2.2建设内容

建设范围包括xxxx大学骨干网络、基础设施和信息系统等。建设任务表如下：

第 2 章现状、挑战、风险2.1现状概述

2.1.1信息系统现状

国内外信息交流服务，已经成为全校师生必不可少的教学与科研的工具，实现了办公自动化，实现了高等教育信息化，成为广大师生获取信息和交流思想的重要渠道。高校校园网，不仅是高校教育信息化的重要基础设施，同时也是学校可持续发展的重要保证。

但在积极发展办公自动化，实现资源共享的同时，也出现了诸多

问题，其中最主要的是网络安全问题，病毒恶意软件，间谍软件，邮

件炸弹以及黑客攻击等各种安全威胁事件，成指数级增长，使人们更

加深刻的认识到了网络安全的重要。因此，校园网安全问题已经成为

当前校园网络建设中，不可忽视的首要问题。

高校校园网络存在的安全风险

（一）高校网络安全不被重视

目前高校网络信息化建设尤其是安全现状令人担忧。国家对教育

行业的网络安全资金非常有限，再到高校的投入，比例更是少的可怜，微量投入不足以支撑起如此庞大的需求和面临的安全态势，加之高校

自身对网络安全的重视程度不够：一方面，学校认为没有必要做更高

级别安全防护的必要性，认为没有什么可“偷”的；另一方面，从整

个网络安全行业来讲，做的更多是事后的“亡羊补牢”，就是修补漏洞，并不能够完全做到预防。

学校拥有了硬件设备和相关的网络防护工具之后，并没有将这些

设备的作用完全发挥出来，普遍缺乏成熟安全体系和相应专业人员，

因此导致教育行业安全观滞后于互联网行业发展。

（二）高校网站存在大量安全隐患由来已久：

一、高校网站建设和管理不统一，高校内部网站数量多，建设单

位杂，安全管理困难；

二、网站日常维护缺失，高校网站重建设、重功能，日常安全维

护较差，各类安全漏洞长期得不到修复；

三、对网站安全不重视，由于高校网站的公益性，被入侵和篡改

网页造成的损失不太明显，网站安全往往得不到重视，弱口令、信息

泄露随处可见；

四、服务器普遍存在漏洞，维护团队安全技术能力普遍不足，甚

至有的维护团队就是由学生担任，在提供学生学习平台的同时并不能

兼顾网络安全。

除此之外，高校的网络应用系统和管理系统，大多是由不同的服

务商独立建设，在网络安全保防方面都处于相对独立，服务商的水平

直接决定了网络全安的水平。

（三）学生网络安全知识匮乏

网络发展至今天上网就像看电视一样简单，用户群的能力和水平

良莠不齐，对安全观念技术一无所知的人，比比皆是。这种状况直接

构成高校网络安全的隐患，有些校园网络用户对防病毒不是很在意，

根本就没装防病毒软件，或者装后一年甚至几年后都没有再升级。往

往在机器中毒后才慌慌张张的找对策。现在很多学生都有这样的想法，只是浏览不下载病毒及黑客程序就无从下手了，IE浏览器尚存在安全

漏洞，可以让黑客们在其网页上撰写一些简单的java程序，只要上网

者点击该链接，就可能让黑客从你的硬盘中窃取重要的文档，因此就

算只是开启网页，都可能遭受黑客的入侵。不少校园网用户，对账户

或是邮件密码的设定不重视，总是使用自己的生日和常见的吉祥数字，或者就直接将密码和账号设定成同一个。黑客要入侵计算机，若是遇

到有密码保护的主机，通常通过软件用穷举法破解密码，若密码设置

过于简单，破译不费吹灰之力，设定密码就没有意义。

（四）学生抵御诱惑能力差

大学生正处于心理发育和思想成型阶段。抵御诱惑能力较差。随

着大脑的大量普及和计算机网络技术快速发展，广大学生遨游网络空间，寻求精神刺激、满足自己的好奇心和表现欲。不少学生对于如何

攻破防火墙、解开他人电脑密码、更改网站信息、最新的黑客工具和

技术等存在很大的兴趣。他们在进行这种危险的尝试时并没有意识到

这样是一种违规违法的行为，只是单纯的满足自己的某种欲望或心存

侥幸心理。这同样成为校园网重要的未知不安全因素。

2.2未来的挑战

2.2.1“互联网+教育”

随着国家教育改革的推进，“互联网+教育”逐步替代“传统教育”，教育方式由“一所学校、一位老师、一间教室”将会变成“一

张网、一个移动终端，几百万学生，学校任你挑、老师由你选”；

“微课堂”、“手机课堂”的学习方式占比将会更多。

教育与互联网的结合，方便了学生的学习，提高了教学质量。但

也带来了新的挑战，新模式下如何保护学生的个人信息，如何保障系

统的正常运行、如何保障“互联网+教育”的安全成为我们需要考虑的

问题。

2.2.2“人工智能+教育”

目前，人工智能技术在教育上的应用主要体现在图像识别和语音

识别两个方面。这两个技术虽然得到了应用，但尚处于初级阶段。不

过随着人工智能技术的发展，“人工智能”在高校的应用将会更多，

更成熟。未来“人工智能”将分担学校的部分工作，保障“人工智能”的安全成为我们需要考虑的问题。

2.2.3大数据平台

教育大数据已经上升到国家战略层面，引起社会各界的广泛关注

和高度重视。建设高校大数据平台将助推教育的全方位变革与创新发展。平台具有三大用途:1)培养大数据人才、2）深化高校管理促进高

校改革发展、3）提高高校科研水平和绩效平台。

2.3现状、差距、风险分析

2.3.1现状与差距分析

2.3.1.1物理安全现状与差距分析

xxxx大学机房以于前期按照相关标准建设完成，存在的安全隐患