學(xué)院等級保護(hù)整改建議書二級V

XX學(xué)院信息system

等級保護(hù)及安全整改建設(shè)方案

2015年10月

目錄

第一章相關(guān)項(xiàng)目概述9

1.1相關(guān)項(xiàng)目背景9

1.2相關(guān)項(xiàng)目目標(biāo)10

1.3相關(guān)項(xiàng)目范圍10

1.4相關(guān)項(xiàng)目相關(guān)內(nèi)容11

第二章需求分析12

2.1現(xiàn)狀分析12

2.1.1重要資產(chǎn)分析12

2.1.2脆弱性分析13

網(wǎng)絡(luò)設(shè)備自身存在的安全弱點(diǎn)13

2.1.2.2安全設(shè)備自身存在的安全弱點(diǎn)13

2.1.2.3主機(jī)system自身存在的安全弱點(diǎn)13

2.1.2.4應(yīng)用system自身存在的安全弱點(diǎn)13

2.1.2.5工作人員自身存在的安全弱點(diǎn)14

2.1.3安全威脅分析14

2.2國家信息安全等級保護(hù)合規(guī)性需求分析16

第三章整體設(shè)計(jì)19

3.1設(shè)計(jì)思路19

3.2設(shè)計(jì)原則20

3.3設(shè)計(jì)依據(jù)20

第四章等級保護(hù)定級22

4.1定級審核22

4.2定級資料完善23

4.2.1現(xiàn)場調(diào)研23

4.2.2定級對象的確定23

4.2.2.1信息system的劃分23

4.2.2.2信息system和業(yè)務(wù)子system24

第五章等級保護(hù)差距分析25

5.1確定差距分析評估指標(biāo)25

5.1.1形成評估指標(biāo)25

5.1.2制定差距分析評估方案25

5.2等級指標(biāo)對比評估26

5.2.1安全技術(shù)評估26

5.2.2安全管控評估27

第六章額外/特殊風(fēng)險(xiǎn)評估28

6.1資料收集28

6.1.1問卷調(diào)查29

6.1.2人員訪談29

6.1.3小組討論29

6.1.4文檔查看29

6.1.5現(xiàn)場勘查29

6.2資產(chǎn)識別與賦值30

6.2.1資產(chǎn)類別30

6.2.2資產(chǎn)價(jià)值31

6.3脆弱性分析31

6.3.1脆弱性來源32

6.3.2脆弱性分析手段32

6.3.3非技術(shù)脆弱性分析32

6.3.4技術(shù)脆弱性分析32

6.3.5網(wǎng)絡(luò)掃描33

6.3.5.1掃描實(shí)施方案33

6.3.6主機(jī)審計(jì)35

6.3.6.1Windows主機(jī)安全審計(jì)表35

6.3.6.2小型機(jī)安全審計(jì)表38

6.3.6.3Oracle數(shù)據(jù)庫安全審計(jì)表39

6.3.6.4防火墻審計(jì)表43

6.3.6.5交換機(jī)審計(jì)46

6.3.6.6路由器審計(jì)48

6.3.7滲透測試錯(cuò)誤!未定義書簽。

6.3.7.1滲透測試實(shí)施方案錯(cuò)誤!未定義書簽。

6.3.7.2滲透測試工具介紹錯(cuò)誤!未定義書簽。

6.3.8日志分析51

6.3.9system分析51

6.3.10威脅分析51

6.3.11已有控制措施分析53

6.4綜合評估分析53

6.4.1風(fēng)險(xiǎn)識別53

6.4.2控制建議54

6.5差距分析評估風(fēng)險(xiǎn)規(guī)避55

第七章等級保護(hù)規(guī)劃與整改方案設(shè)計(jì)57

7.1總體安全設(shè)計(jì)57

7.1.1總體安全策略設(shè)計(jì)58

7.1.2安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì)58

7.1.3整體安全管控體系結(jié)構(gòu)設(shè)計(jì)59

7.1.4設(shè)計(jì)結(jié)果文檔化60

7.2安全建設(shè)相關(guān)項(xiàng)目規(guī)劃61

7.2.1安全建設(shè)目標(biāo)確定61

7.2.2安全建設(shè)相關(guān)內(nèi)容規(guī)劃61

7.2.3形成安全建設(shè)相關(guān)項(xiàng)目計(jì)劃62

7.3安全方案詳盡設(shè)計(jì)62

7.3.1技術(shù)措施實(shí)現(xiàn)相關(guān)內(nèi)容設(shè)計(jì)62

7.3.2管控措施實(shí)現(xiàn)相關(guān)內(nèi)容設(shè)計(jì)63

7.3.3設(shè)計(jì)結(jié)果文檔化63

7.4管控措施實(shí)現(xiàn)64

7.4.1管控機(jī)構(gòu)和人員的設(shè)置64

7.4.2管控制度的建設(shè)和修訂64

7.4.3人員安全技能培訓(xùn)65

7.4.4安全實(shí)施過程管控65

7.5技術(shù)措施實(shí)現(xiàn)設(shè)計(jì)66

7.5.1安全域技術(shù)實(shí)施設(shè)計(jì)錯(cuò)誤!未定義書簽。

7.5.1.1等級保護(hù)基本要求66

7.5.1.2XX學(xué)院門戶網(wǎng)站system、教育system、財(cái)務(wù)system安全域劃分需求66

7.5.1.3解決方案67

7.5.1.4XX學(xué)院等級保護(hù)整改方案拓?fù)鋱D設(shè)計(jì)67

7.5.1.5XX學(xué)院辦公外網(wǎng)安全域劃分68

7.5.1.6建設(shè)效果錯(cuò)誤!未定義書簽。

7.5.2流量清洗與抗DDOS技術(shù)實(shí)施設(shè)計(jì)錯(cuò)誤!未定義書簽。

7.5.2.1等級保護(hù)基本要求錯(cuò)誤!未定義書簽。

7.5.2.2XX學(xué)院門戶網(wǎng)站system、教育system、財(cái)務(wù)system流量清洗與抗DDOSsystem需求

錯(cuò)誤!未定義書簽。

7.5.2.3產(chǎn)品規(guī)格設(shè)計(jì)錯(cuò)誤!未定義書簽。

7.5.2.4部署設(shè)計(jì)錯(cuò)誤!未定義書簽。

7.5.2.5實(shí)現(xiàn)功能錯(cuò)誤!未定義書簽。

7.5.2.6建設(shè)效果錯(cuò)誤!未定義書簽。

7.5.3入侵防御技術(shù)實(shí)施設(shè)計(jì)69

7.5.3.1等級保護(hù)基本要求69

7.5.3.2XX學(xué)院門戶網(wǎng)站system、教育system、財(cái)務(wù)system入侵防御system防御需求.69

7.5.3.3產(chǎn)品規(guī)格設(shè)計(jì)70

7.5.3.4部署設(shè)計(jì)70

7.5.3.5建設(shè)效果錯(cuò)誤!未定義書簽。

7.5.4防病毒技術(shù)實(shí)施設(shè)計(jì)70

7.5.4.1等級保護(hù)基本需求70

7.5.4.2XX學(xué)院防病毒需求71

7.5.4.3產(chǎn)品規(guī)格設(shè)計(jì)71

7.5.4.4部署設(shè)計(jì)71

7.5.4.5建設(shè)效果錯(cuò)誤!未定義書簽。

7.5.5上網(wǎng)行為管控技術(shù)實(shí)施設(shè)計(jì)72

7.5.5.1等級保護(hù)基本要求72

7.5.5.2XX學(xué)院門戶網(wǎng)站system、教育system、財(cái)務(wù)system上網(wǎng)行為管控需求72

7.5.5.3產(chǎn)品規(guī)格設(shè)計(jì)73

7.5.5.4部署設(shè)計(jì)73

7.5.5.5建設(shè)效果錯(cuò)誤!未定義書簽。

7.5.6Web防火墻技術(shù)實(shí)施設(shè)計(jì)74

7.5,6.1等級保護(hù)基本要求74

7.5.6.2XX學(xué)院門戶網(wǎng)站system、教育system、財(cái)務(wù)systemWeb防火墻需求74

7.5.6.3產(chǎn)品規(guī)格設(shè)計(jì)74

7.5.6.4部署設(shè)計(jì)74

7.5.6.5建設(shè)效果錯(cuò)誤!未定義書簽。

7.5.7網(wǎng)頁防篡改技術(shù)實(shí)施設(shè)計(jì)75

7.5.7.1等級保護(hù)基本要求75

7.5.7.2XX學(xué)院門戶網(wǎng)站system、教育system、財(cái)務(wù)system網(wǎng)頁防篡改需求75

7.5.7.3產(chǎn)品規(guī)格設(shè)計(jì)75

7.5.7.4部署設(shè)計(jì)75

7.5.7.5建設(shè)效果錯(cuò)誤!未定義書簽。

7.5.8日志審計(jì)技術(shù)實(shí)施設(shè)計(jì)76

7.5.8.1等級保護(hù)基本要求76

7.5.8.2XX學(xué)院門戶網(wǎng)站system、教育system、財(cái)務(wù)system日志審計(jì)system需求76

7.5.8.3產(chǎn)品規(guī)格設(shè)計(jì)77

7.5.8.4部署設(shè)計(jì)77

7.5.8.5建設(shè)效果錯(cuò)誤!未定義書簽。

7.5.9運(yùn)維審計(jì)技術(shù)實(shí)施設(shè)計(jì)77

7.5.9.1等級保護(hù)基本要求77

7.5.9.2XX學(xué)院運(yùn)維審計(jì)需求78

7.5.9.3產(chǎn)品規(guī)格設(shè)計(jì)81

7.5.9.4部署設(shè)計(jì)81

7.5.9.5建設(shè)效果錯(cuò)誤!未定義書簽。

7.5.10漏洞掃描技術(shù)實(shí)施設(shè)計(jì)錯(cuò)誤!未定義書簽。

7.5.10.1等級保護(hù)基本要求錯(cuò)誤!未定義書簽。

7.5.10.2XX學(xué)院門戶網(wǎng)站system、教育system、財(cái)務(wù)system漏洞掃描需求.錯(cuò)誤!未定義書

簽。

7.5.10.3產(chǎn)品規(guī)格設(shè)計(jì)錯(cuò)誤!未定義書簽。

7.5.10.4部署設(shè)計(jì)錯(cuò)誤!未定義書簽。

7.5.10.5建設(shè)效果錯(cuò)誤!未定義書簽。

7.5.11安全管控平臺技術(shù)實(shí)施設(shè)計(jì)錯(cuò)誤!未定義書簽。

7.5.11.1等級保護(hù)基本要求錯(cuò)誤!未定義書簽。

7.5.11.2XX學(xué)院門戶網(wǎng)站system、教育system、財(cái)務(wù)system安全管控平臺需求錯(cuò)誤!未定義

書簽。

7.5.11.3產(chǎn)品規(guī)格設(shè)計(jì)錯(cuò)誤!未定義書簽。

7.5.11.4建設(shè)效果錯(cuò)誤!未定義書簽。

7.5.12信息安全產(chǎn)品采購81

7.5.13安全控制開發(fā)82

7.5.14安全控制集成83

7.5.15system驗(yàn)收84

7.6方案評審錯(cuò)誤!未定義書簽。

第八章整改的落實(shí)85

8.1工作目標(biāo)85

8.2工作相關(guān)內(nèi)容85

8.2.1安全管控建設(shè)整改87

8.2.1.1安全管控機(jī)構(gòu)87

8.2.1.2安全管控制度87

8.2.1.3人員安全管控87

8.2.1.4system運(yùn)維管控87

8.2.1.5system建設(shè)管控89

8.2.2安全技術(shù)建設(shè)整改89

8.2.2.1物理安全91

8.2.2.2通信網(wǎng)絡(luò)安全91

8.2.2.3區(qū)域邊界安全91

8.2.2.4主機(jī)system安全92

8.2.2.5應(yīng)用system安全92

8.2.2.6備份和恢復(fù)92

第九章等保合規(guī)審計(jì)93

9.1現(xiàn)場檢查測試前的準(zhǔn)備93

9.2現(xiàn)場檢查測試95

9.3綜合測評分析96

第十章等級測評98

10.1等級測評機(jī)構(gòu)聘請98

10.2等級測評機(jī)構(gòu)簡介98

10.3協(xié)助測評98

10.3.1準(zhǔn)備資料98

10.3.2現(xiàn)場協(xié)助99

10.4測評指標(biāo)99

10.5測評方式方法和工具100

10.5.1測評方式方法100

10.5.2測評工具100

10.5.3測評工具接入點(diǎn)說明100

10.6單元測評實(shí)施101

10.6.1物理安全101

10.6.2網(wǎng)絡(luò)安全102

10.6.3主機(jī)安全103

10.6.4應(yīng)用及數(shù)據(jù)安全104

10.6.5安全管控機(jī)構(gòu)105

10.6.6安全管控制度106

10.6.7人員安全管控107

10.6.8system建設(shè)管控107

10.6.9system運(yùn)維管控108

10.7SYSTEM測評實(shí)施110

10.7.1安全控制間安全測評110

10.7.2層面間安全測評111

10.7.3區(qū)域間安全測評112

10.7.4system結(jié)構(gòu)安全測評113

第十一章相關(guān)項(xiàng)目驗(yàn)收錯(cuò)誤!未定義書簽。

11.1驗(yàn)收標(biāo)準(zhǔn)錯(cuò)誤!未定義書簽。

11.2驗(yàn)收流程錯(cuò)誤!未定義書簽。

第十二章相關(guān)項(xiàng)目培訓(xùn)與知識轉(zhuǎn)移114

12.1概述114

12.2培訓(xùn)目標(biāo)方向114

12.3培訓(xùn)流程115

12.4培訓(xùn)對象115

12.5培訓(xùn)相關(guān)內(nèi)容115

12.6文檔管控117

12.7培訓(xùn)講師117

12.8培訓(xùn)計(jì)劃表118

第十三章組織架構(gòu)119

13.1組織架構(gòu)圖119

13.2角色與責(zé)任119

13.2.1相關(guān)項(xiàng)目領(lǐng)導(dǎo)小組119

13.2.2相關(guān)項(xiàng)目管控小組119

13.2.3客戶經(jīng)理120

13.2.4XX學(xué)院相關(guān)項(xiàng)目協(xié)調(diào)組120

13.2.5相關(guān)質(zhì)量審計(jì)QA120

13.3相關(guān)項(xiàng)目實(shí)施組121

13.3.1安全咨詢組121

13.3.2網(wǎng)絡(luò)技術(shù)組121

13.3.3主機(jī)及應(yīng)用安全組121

13.3.4文檔相關(guān)工程師122

13.4人員名單122

第十四章相關(guān)項(xiàng)目實(shí)施123

14.1相關(guān)項(xiàng)目實(shí)施原則123

14.2相關(guān)項(xiàng)目實(shí)施計(jì)劃時(shí)間表124

第十五章相關(guān)項(xiàng)目管控錯(cuò)誤!未定義書簽。

15.1相關(guān)項(xiàng)目管控方法綜述錯(cuò)誤!未定義書簽。

15.2相關(guān)項(xiàng)目管控方法詳述錯(cuò)誤!未定義書簽。

15.2.1相關(guān)項(xiàng)目范圍管控錯(cuò)誤!未定義書簽。

15.2.1.1范圍定義錯(cuò)誤!未定義書簽。

15.2.1.2范圍變更控制錯(cuò)誤!未定義書簽。

15.2.2相關(guān)項(xiàng)目溝通管控錯(cuò)誤!未定義書簽。

15.2.2.1溝通協(xié)調(diào)與反饋機(jī)制的基本準(zhǔn)則錯(cuò)誤!未定義書簽。

15.2.2.2溝通計(jì)劃錯(cuò)誤!未定義書簽。

15.2.3相關(guān)項(xiàng)目進(jìn)度管控錯(cuò)誤!未定義書簽。

15.2.3.1計(jì)劃制定與細(xì)化錯(cuò)誤!未定義書簽。

15.2.3.2進(jìn)度跟蹤與匯報(bào)錯(cuò)誤!未定義書簽。

15.2.3.3計(jì)劃變更錯(cuò)誤!未定義書簽。

15.2.4相關(guān)項(xiàng)目風(fēng)險(xiǎn)管控錯(cuò)誤!未定義書簽。

15.2.4.1風(fēng)險(xiǎn)評估錯(cuò)誤!未定義書簽。

15.2.4.2風(fēng)險(xiǎn)管控錯(cuò)誤!未定義書簽。

15.2.5相關(guān)項(xiàng)目相關(guān)質(zhì)量管控錯(cuò)誤!未定義書簽。

15.2.5.1相關(guān)質(zhì)量管控原則錯(cuò)誤!未定義書簽。

15.2.5.2相關(guān)質(zhì)量管控的角色與職責(zé)錯(cuò)誤!未定義書簽。

15.2.5.3相關(guān)質(zhì)量管控過程錯(cuò)誤!未定義書簽。

15.2.6相關(guān)項(xiàng)目變更管控錯(cuò)誤!未定義書簽。

15.2.7相關(guān)項(xiàng)目會議管控錯(cuò)誤!未定義書簽。

15.2.7.1相關(guān)項(xiàng)目管控定期會議錯(cuò)誤!未定義書簽。

15.2.7.2相關(guān)項(xiàng)目管控非定期會議錯(cuò)誤!未定義書簽。

15.2.8相關(guān)項(xiàng)目文檔管控錯(cuò)誤!未定義書簽。

15.2.8.1文檔分類與規(guī)范錯(cuò)誤!未定義書簽。

文檔登記與日常管控錯(cuò)誤!未定義書簽。

第十六章售后服務(wù)錯(cuò)誤!未定義書簽。

16.1售后服務(wù)目標(biāo)錯(cuò)誤!未定義書簽。

16.2售后服務(wù)期限錯(cuò)誤!未定義書簽。

16.3售后服務(wù)保障錯(cuò)誤!未定義書簽。

16.3.1專業(yè)的售后服務(wù)團(tuán)隊(duì)錯(cuò)誤!未定義書簽。

16.3.2規(guī)范的服務(wù)體系錯(cuò)誤!未定義書簽。

16.3.3服務(wù)相關(guān)質(zhì)量監(jiān)督錯(cuò)誤!未定義書簽。

16.4安全監(jiān)控服務(wù)錯(cuò)誤!未定義書簽。

16.4.1可用性監(jiān)控錯(cuò)誤!未定義書簽。

16.4.2掛馬檢測錯(cuò)誤!未定義書簽。

16.4.3網(wǎng)頁篡改監(jiān)測錯(cuò)誤!未定義書簽。

16.5安全巡檢服務(wù)錯(cuò)誤!未定義書簽。

16.5.1概要錯(cuò)誤!未定義書簽。

16.5.1.1巡檢目標(biāo)錯(cuò)誤!未定義書簽。

16.5.1.2巡檢范圍錯(cuò)誤!未定義書簽。

巡檢相關(guān)內(nèi)容錯(cuò)誤!未定義書簽。

16.5.1.4巡檢過程錯(cuò)誤!未定義書簽。

16.5.1.5巡檢總結(jié)錯(cuò)誤!未定義書簽。

16.5.2漏洞檢測錯(cuò)誤!未定義書簽。

16.5.2.1掃描實(shí)施方案錯(cuò)誤!未定義書簽。

16.6應(yīng)急響應(yīng)服務(wù)錯(cuò)誤!未定義書簽。

16.6.1應(yīng)急目標(biāo)錯(cuò)誤!未定義書簽。

16.6.2應(yīng)急過程錯(cuò)誤!未定義書簽。

16.6.3應(yīng)急范圍錯(cuò)誤!未定義書簽。

16.6.3.1安全事件的響應(yīng)錯(cuò)誤!未定義書簽。

16.6.3.2安全事件分類錯(cuò)誤!未定義書簽。

16.6.3.3安全事件處理時(shí)限錯(cuò)誤!未定義書簽。

16.6.4服務(wù)承諾錯(cuò)誤!未定義書簽。

16.6.5交付物錯(cuò)誤!未定義書簽。

16.7安全培訓(xùn)服務(wù)錯(cuò)誤!未定義書簽。

16.7.1培訓(xùn)概述錯(cuò)誤!未定義書簽。

16.7.2培訓(xùn)目標(biāo)方向錯(cuò)誤!未定義書簽。

16.7.3培訓(xùn)流程錯(cuò)誤!未定義書簽。

16.8安全通告服務(wù)錯(cuò)誤!未定義書簽。

16.8.1通告目標(biāo)錯(cuò)誤!未定義書簽。

16.8.2通告流程錯(cuò)誤!未定義書簽。

16.8.3通告相關(guān)內(nèi)容錯(cuò)誤!未定義書簽。

16.8.4交付物錯(cuò)誤!未定義書簽。

第十七章相關(guān)項(xiàng)目交付成果錯(cuò)誤!未定義書簽。

第十八章相關(guān)項(xiàng)目預(yù)算表126

18.1等級保護(hù)建設(shè)服務(wù)費(fèi)錯(cuò)誤!未定義書簽。

18.2安全產(chǎn)品預(yù)算130

18.3安全運(yùn)維費(fèi)錯(cuò)誤!未定義書簽。

第一章相關(guān)項(xiàng)目概述

1.1相關(guān)項(xiàng)目背景

XX學(xué)院是一所富有“三外兩高”特色的財(cái)經(jīng)高校，即培養(yǎng)具有外語、外經(jīng)、

外貿(mào)專門知識的高素質(zhì)、高技能人才。學(xué)校設(shè)外語學(xué)院、會計(jì)學(xué)院、外貿(mào)學(xué)院、

管控學(xué)院、國際旅游學(xué)院、信息學(xué)院、社科學(xué)院、汽電學(xué)院、藝術(shù)學(xué)院、音樂舞

蹈學(xué)院等10個(gè)二級學(xué)院和2個(gè)中心、1個(gè)創(chuàng)業(yè)園。開設(shè)商務(wù)英語、會計(jì)、國際

經(jīng)濟(jì)與貿(mào)易、物流管控、電子商務(wù)、汽車檢測與維修、藝術(shù)設(shè)計(jì)等24個(gè)專業(yè)。

學(xué)校設(shè)有?。ú浚┦屑靶袠I(yè)職業(yè)技能培訓(xùn)考試點(diǎn)（站）10個(gè)，并與國內(nèi)知名大

學(xué)和國外知名院校聯(lián)合舉辦十多個(gè)專業(yè)的專升本學(xué)歷教育。學(xué)校立足廣東，面向

全國13個(gè)省市招生。折合在校生7900人。有著眾多的業(yè)務(wù)system和學(xué)生的教

學(xué)信息。

為促進(jìn)教育行業(yè)信息化建設(shè)、應(yīng)用、管控和服務(wù)水平的持續(xù)提升，保障各學(xué)

校和教育機(jī)構(gòu)的網(wǎng)絡(luò)、信息system的安全、穩(wěn)定運(yùn)行，同時(shí)為了落實(shí)公安部、

國家保密局、國家密碼管控局、國務(wù)院信息化工作辦公室共同印發(fā)〈信息安全等

級保護(hù)管控辦法〉的通知（公通字（2007）43號）和《關(guān)于開展全國重要信息system

安全等級保護(hù)定級工作的通知》（公信安（2007）861號）的要求，近年以來，

教育部多次就信息安全以及等級保護(hù)工作下發(fā)文件要求，包括《教育部辦公廳關(guān)

于開展信息system安全等級保護(hù)工作的通知（教辦廳函[2009]80號）》、《教育

部辦公廳關(guān)于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息system安全保障工作的通知（教辦廳函

（2011）83號）》、《教育部辦公廳關(guān)于印發(fā)《教育行業(yè)信息system安全等級保

護(hù)定級工作指南（試行）》的通知（教技廳函[2014]74號）》。2014年8月，教育

部向全行業(yè)下發(fā)了《教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見

（教技20144號）》，文件要求加快建立健全教育行業(yè)網(wǎng)絡(luò)與信息安全保障體系，

提升防護(hù)能力和水平，保障教育事業(yè)健康有序發(fā)展，切實(shí)落實(shí)《國務(wù)院關(guān)于大力

推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》與信息安全等級保護(hù)制度的要

求。

2014年11月，教育信息安全等級保護(hù)測評中心廣東測評部在廣東省教育廳

教育技術(shù)中心掛牌成立，體現(xiàn)教育部及廣東公安網(wǎng)安總隊(duì)對本省教育行業(yè)網(wǎng)絡(luò)與

信息安全的重視。

2015年7月，廣東省公安廳聯(lián)合廣東省教育廳共同下發(fā)文件《關(guān)于印發(fā)全

省高校網(wǎng)絡(luò)安全保護(hù)工作電視電話會議工作任務(wù)書的通知》（粵公通字[2015]

123號），通知確定了從7月開始到2016年6月，各項(xiàng)安全工作的開展計(jì)劃和要

求，全面推進(jìn)等級保護(hù)工作在廣東省高校的開展。

因此，涉外經(jīng)濟(jì)學(xué)院開展信息system等級保護(hù)建設(shè)工作是非常重要的任務(wù)。

同時(shí)，新近頒布的“十二五”規(guī)劃綱要中確定指出要“健全網(wǎng)絡(luò)與信息安全法

律法規(guī)，完善信息安全標(biāo)準(zhǔn)體系和認(rèn)證認(rèn)可體系，實(shí)施信息安全等級保護(hù)、風(fēng)險(xiǎn)

評估等制度

1.2相關(guān)項(xiàng)目目標(biāo)

本相關(guān)項(xiàng)目標(biāo)方向建設(shè)目標(biāo)是在國家信息system安全等級保護(hù)相關(guān)政策和

標(biāo)準(zhǔn)的指導(dǎo)下，結(jié)合XX學(xué)院門戶網(wǎng)站system、教育system、財(cái)務(wù)system的安

全需求分析，確定涉外門戶網(wǎng)站system、教育system、財(cái)務(wù)system安全等級保

護(hù)的級別，對信息system進(jìn)行差距分析并提出整改建議，對XX學(xué)院門戶網(wǎng)站

system^教育system、財(cái)務(wù)system進(jìn)行安全整改，達(dá)到國家信息安全等級保護(hù)

相關(guān)標(biāo)準(zhǔn)的要求，并通過信息system等級測評，更好地保障XX學(xué)院各業(yè)務(wù)system

的正常運(yùn)行，全面提升XX學(xué)院門戶網(wǎng)站system、教育system、財(cái)務(wù)system的

安全保護(hù)水平。

培養(yǎng)內(nèi)部技術(shù)和管控人員，帶動安全隊(duì)伍建設(shè)，促使更多的員工掌握信息

system安全相關(guān)的標(biāo)準(zhǔn)和知識、具備相關(guān)的管控和維護(hù)能力，從而落實(shí)到日常

工作中。

1.3相關(guān)項(xiàng)目范圍

本相關(guān)項(xiàng)目涉及的范圍為XX學(xué)院的門戶網(wǎng)站system,教育system、財(cái)務(wù)

system<>

1.4相關(guān)項(xiàng)目相關(guān)內(nèi)容

依據(jù)國家信息安全等級保護(hù)技術(shù)和管控要求，開展信息system安全等級保

護(hù)建設(shè)工作，工作的主要相關(guān)內(nèi)容包括：（1）方案設(shè)計(jì)；（2）system集成；（3）

安全運(yùn)維；（4）差距測評和測評驗(yàn)收。

第二章需求分析

2.1現(xiàn)狀分析

涉外經(jīng)濟(jì)學(xué)院經(jīng)過多年的信息化建設(shè)，己基本搭建起覆蓋全校區(qū)的IP網(wǎng)絡(luò)

以及滿足日常教學(xué)教務(wù)需求的信息system。同時(shí)，為保障網(wǎng)絡(luò)及信息化system

的正常運(yùn)作，在關(guān)鍵位置上購置部署了安全防護(hù)設(shè)備。但是隨著業(yè)務(wù)的不斷擴(kuò)大

以及國家信息安全日趨重視，對網(wǎng)絡(luò)安全提出了更高的要求?，F(xiàn)階段的網(wǎng)絡(luò)安全

建設(shè)已經(jīng)不滿足國家等級保護(hù)的建設(shè)要求。

隈例六美網(wǎng)線

爹檢免訴

單根光軒25.24號樓學(xué)生均含35.378樓學(xué)生宿臺

SMC6726AL2SMC6I2KAL2

27號慢學(xué)生而金

SMC6726AI.2

史訊FS32OO交換

應(yīng)用防

3*號樓學(xué)生布含

31.33號樓學(xué)生宿舍

SMC6128AI.2

28、29、30號樓學(xué)生希

SMC6I2MA1.2

心電0做康教育人才J培養(yǎng)平臺0WEB正方正方0DHCP都MC6726AL2

清華同方GIW聯(lián)1BT12BellDQellT6I0I。BM3690UP工作站

fewSMC612MAI.2

jSVCK74HI318合區(qū)之聚

任天HI3OT0審計(jì)系統(tǒng)\U\

17、18號樓學(xué)生宿舍

SMC6726AL2

21.2。號樓學(xué)《南合

SMC47IQ中心交換機(jī)SMC6726/UJ

SMC874813學(xué)生宿舍區(qū)匯蹙樓學(xué)生宿舍

、IC97(M匯度4,U

SMC612XAI.2

47號曲學(xué)生后舍

SMC6128AL2

4?、49、50號樓學(xué)生宿合

SMC6I28AL2

SYCX74MJ我加由舍區(qū)匯聚

吞楂較加宿舍

12、13號樓教行宿舍

NMC6726AI.2SMC6726A1.2

7.9號樓核行宿舍

39、42號4教”宿舍

b、1C6726AL2

北區(qū)指今網(wǎng)北區(qū)辦公網(wǎng)SMC612RAI.2

10、11號樓敦仃宿含

48號樓教的宿舍

SMC6726AL2

SMC6726AI2

廣州涉，卜魚濟(jì)職業(yè)技*考比檢?兩名外#為圖

圖1XX學(xué)院現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D

2.1.1重要資產(chǎn)分析

XX學(xué)院門戶網(wǎng)站system、教育system、財(cái)務(wù)system中的重要資產(chǎn)包括邊

界路由器、核心交換機(jī)、匯聚交換機(jī)等網(wǎng)絡(luò)設(shè)備；防火墻等安全設(shè)備；Web服務(wù)

器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、業(yè)務(wù)及管控用戶終端等主機(jī)設(shè)備及其上運(yùn)行的

操作system,通用應(yīng)用軟件及為特定業(yè)務(wù)專門開發(fā)的應(yīng)用system等。除此之外，

作為信息system的管控者和維護(hù)者，IT管控人員也是信息system的重要資產(chǎn)

之一。

2.1.2脆弱性分析

2.1.2.1網(wǎng)絡(luò)設(shè)備自身存在的安全弱點(diǎn)

XX學(xué)院網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)設(shè)備，如路由器、交換機(jī)等，存在固有的或配置、

使用上的安全弱點(diǎn)，一旦被暴露，可能導(dǎo)致網(wǎng)絡(luò)設(shè)備自身的不安全。例如對網(wǎng)絡(luò)

設(shè)備登錄用戶的身份鑒別機(jī)制過于簡單，對用戶的登錄和訪問行為缺少控制和審

計(jì)，對特權(quán)用戶沒有進(jìn)行權(quán)限分離等。

2.1.2.2安全設(shè)備自身存在的安全弱點(diǎn)

XX學(xué)院網(wǎng)絡(luò)中部署的安全設(shè)備，如防火墻等，存在固有的或配置、使用上的

安全弱點(diǎn)，一旦被暴露，可能導(dǎo)致安全設(shè)備自身及整個(gè)網(wǎng)絡(luò)system的不安全。例

如對安全設(shè)備登錄用戶的身份鑒別機(jī)制過于簡單，對用戶的登錄和訪問行為缺少

控制和審計(jì)，對特權(quán)用戶沒有進(jìn)行權(quán)限分離等。

2.1.2.3主機(jī)system自身存在的安全弱點(diǎn)

目前的操作system或應(yīng)用平臺system無論是Windows>UNIX、類UNIX操

作system以，都不可能是百分之百的無缺陷和無漏洞的。一旦system中存在的

漏洞和缺陷被暴露，就給入侵者進(jìn)行非法操作提供了便利。另外，從實(shí)際應(yīng)用上,

system的安全程度跟對其進(jìn)行安全配置及system的應(yīng)用方式方法也有很大關(guān)

系，system如果沒有采用相應(yīng)的訪問控制和授權(quán)機(jī)制，那么掌握一般攻擊技術(shù)

的人都可能入侵得手。

2.1.2.4應(yīng)用system自身存在的安全弱點(diǎn)

各種通用的應(yīng)用平臺程序，如數(shù)據(jù)庫管控system、WebServer程序，F(xiàn)TP

服務(wù)程序，E-mail服務(wù)程序，瀏覽器，MSOffice辦公軟件等，以及為業(yè)務(wù)system

專門開發(fā)的應(yīng)用程序，