學校網(wǎng)絡安全建設

12建設背景標準及規(guī)范3建設思路目錄4安全部署Part1建設背景伴隨計算機網(wǎng)絡技術和管理信息化的發(fā)展，我國的普通教育逐步進入新時代，數(shù)字化校園成為未來的發(fā)展方向，普通教育實習管理網(wǎng)絡化、教訓手段現(xiàn)代化。伴隨高校網(wǎng)絡規(guī)模的擴大，穩(wěn)定的校園網(wǎng)絡和計算機系統(tǒng)成為重要的基礎設施，在日常的教學、科院、管理活動中擔任重要的角色。同時，關鍵技術的應用，計算機病毒、黑客、系統(tǒng)漏洞等網(wǎng)絡不安全因素對數(shù)字化校園建設存在嚴重威脅。在享受數(shù)字化校園為學校的管理代理的高效、規(guī)范的服務，如何應對網(wǎng)絡信息安全出在同等重要的位置。建設背景面臨的主要問題：來自校園網(wǎng)外部的惡意攻擊。來自校園網(wǎng)內(nèi)部用戶的行為產(chǎn)生威脅。教職工信息安全意識淡薄，缺少培訓。輕安全，輕管理。教育部于2015年1月發(fā)布的《職業(yè)院校數(shù)字校園建設規(guī)范》教育部2017-09-05《關于進一步推進職業(yè)教育信息化發(fā)展的指導意見》教職成〔2017〕4號教育部于2016年6月7日發(fā)布的《教育信息化“十三五”規(guī)劃》建設背景標準及規(guī)范Part2法律要求——《網(wǎng)絡安全法》第一章總則第二章網(wǎng)絡安全支持與促進第三章網(wǎng)絡運行安全第一節(jié)一般規(guī)定第二節(jié)關鍵信息基礎設施的運行安全第四章網(wǎng)絡信息安全第五章監(jiān)測預警與應急處置第六章法律責任第七章附則法律要求——《網(wǎng)絡安全法》

涉及主要章節(jié)及法條：第三章第二十一條國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行下列安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改：

（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡安全負責人，落實網(wǎng)絡安全保護責任；（二）采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施；

（三）采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月；（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施等。《網(wǎng)絡安全法》之網(wǎng)絡安全等級保護網(wǎng)絡運營者不履行規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的，處一萬元以上十萬元以下罰款;對直接負責的主管人員處五千元以上五萬元以下罰款。法律責任基本方法——信息系統(tǒng)等級保護010203信息安全是基本國策信息安全是基本制度基本方法是等級保護《網(wǎng)絡安全法》國家對公共通信和信息服務、能源、交通、水利、公共服務等重要行業(yè)實行重點保護物理與環(huán)境安全物理位置選擇物理訪問控制防盜竊和防破壞防雷/火/靜電防水和防潮溫濕度控制電力供應電磁防護網(wǎng)絡和通信安全網(wǎng)絡架構通信傳輸邊界防護訪問控制入侵防范惡意代碼防范安全審計集中管控設備和計算安全身份鑒別訪問控制安全審計入侵防范惡意代碼防范資源控制應用和數(shù)據(jù)安全身份鑒別訪問控制安全審計軟件容錯資源控制數(shù)據(jù)完整性數(shù)據(jù)保密性數(shù)據(jù)備份恢復剩余信息保護個人信息保護標準要求——等級保護建設技術要求行業(yè)要求——紅頭文件依據(jù)規(guī)范信息系統(tǒng)安全建設需要遵從哪些規(guī)范教育部《教育信息化“十三五”規(guī)劃》行業(yè)要求——紅頭文件說明：根據(jù)辦學規(guī)模和社會影響力，將高等學校分為三類：I類高校：重點關注類高等學校，如985高校和211高校等；II類高校：其他普通本科類院校；III類高校：高職、高專院校。

序號分類信息系統(tǒng)建議安全保護等級I類高校II類高校III類高校（01）校務管理類(01)辦公與事務處理第二級第二級第二級(02)公文與信息交換第二級第二級第二級(03)人事管理第二級第二級第二級(04)財務管理第二級第二級第二級(05)資產(chǎn)管理第二級第二級第二級(06)后勤管理第二級第二級第二級(07)學生教育工作管理第二級第二級第二級(08)學生體質(zhì)健康數(shù)據(jù)管理第二級第二級第二級(09)檔案管理第二級第二級第二級(10)黨務管理第二級第二級第二級（02）教學科研類(01)教學改革管理第二級第二級第二級(02)學科、專業(yè)管理第二級第二級第二級(03)教務教學管理第二級第二級第二級(04)教學資源管理第二級第二級第二級(05)教學質(zhì)量評估與保障第二級第二級第二級(06)科研管理第三級第二級第二級(07)科研情報第三級第二級第二級（03）招生就業(yè)類(01)國家統(tǒng)一招生管理第三級第二級第二級(02)普通高校招生網(wǎng)上錄取管理第三級第三級第三級(03)學校自主招生管理第三級第二級第二級(04)學生就業(yè)管理第二級第二級第二級（04）綜合服務類(01)門戶網(wǎng)站第三級第二級第二級(02)論壇、社區(qū)類網(wǎng)站第三級第二級第二級(03)數(shù)字圖書館第二級第二級第二級(04)電子郵件第二級第二級第二級(05)視頻服務第二級第二級第二級(06安防監(jiān)控第二級第二級第二級(07)校園一卡通第三級第二級第二級(08)內(nèi)網(wǎng)門戶與身份認證第二級第二級第二級(09)公共數(shù)據(jù)庫第二級第二級第二級(10)運維管理第二級第二級第二級建設思路Part3等級保護建設流程等級保護建設體系16等級保護評估安全設計階段

實施階段

安全運維階段信息系統(tǒng)定級等級保護差距分析網(wǎng)絡安全邊界安全終端安全服務端安全應用安全數(shù)據(jù)安全安全管理分析評估安全策略管理制度技術規(guī)范物理安全評估等級保護模型設計安全方案總體設計管理體系技術體系安全方案詳細設計訪問控制網(wǎng)絡安全數(shù)據(jù)加密防病毒/內(nèi)容安全安全管理中心安全管理制定制訂安全管理制度人員組織結構安全運行體系實踐安全方案論證安全產(chǎn)品測試安全產(chǎn)品實施訪問控制網(wǎng)絡安全數(shù)據(jù)加密防病毒/內(nèi)容安全安全管理中心備份/存儲/容災安全系統(tǒng)驗收等級保護測評等級保護測評系統(tǒng)批準運行等級保護備案系統(tǒng)定級、安全規(guī)劃信息安全詳細設計信息安全建設安全運行維護安全運維服務駐場服務安全掃描安全審計滲透測試安全加固應急響應安全咨詢安全培訓安全產(chǎn)品培訓安全技術培訓安全管理培訓安全認證培訓等級保護建設過程安全管理體系設計信息安全組織結構設計18從信息安全所需關鍵職能的角度考慮，完整的信息安全組織中一般包含以下幾個重要組成部分：信息安全決策、信息安全管理、信息安全執(zhí)行以及信息安全監(jiān)督。安全組織建設將在這一通用組織模型的基礎上，兼顧組織建設的關鍵考慮因素，將信息安全職能具體落實到組織體系中。設定戰(zhàn)略方向匯報信息安全相關資源調(diào)配跨部門溝通與協(xié)調(diào)聽取匯報決策執(zhí)行與匯報制定規(guī)章制度對信息安全工作的開展進行日常管理和監(jiān)督具體負責安全控制措施的落實與執(zhí)行監(jiān)督管理制度執(zhí)行情況檢查信息安全決策、管理和執(zhí)行的效果信息系統(tǒng)審計安全技術防護措施19安全運維模式設計20Level1信息安全管理【Audit/Measure】服務級別管理（SLM/OLM）安全策略制定/發(fā)布Level2信息安全運維【Operation】風險管理運維組織審計管理事件管理網(wǎng)絡安全運維終端安全運維Level3信息安全服務【Services】安全管理流程規(guī)劃/建設團隊信息安全運維管理支持團隊信息安全顧問支持團隊OperationTeamSecurityTeamITSMTeam流程、制度、規(guī)范導入與支持系統(tǒng)/網(wǎng)絡維護支持團隊備件維修支持團隊ProvisionTeam安全應急響應支持團隊技術、維護服務支持SupportTeam運維組織構成：安全監(jiān)控、事件定位基線建立、策略制定系統(tǒng)構建、安全服務三線二線一線審計/考核方案設計Part4等級保護方案設計方案：等級保護方案設計23安全組成設備介紹防火墻安全功能動態(tài)防護終端縱深防護安全可視化&流量可視化第三代多核并行化架構下一代安全控制SSL內(nèi)容解析下一代運維架構訪問控制：根據(jù)應用類型、用戶類別或用戶身份、IP地址、業(yè)務端口、接口/安全域、絕對時間/周期時間的訪問控制。實現(xiàn)最基礎的允許或拒絕動作。行為控制：根據(jù)應用類型、應用動作、應用內(nèi)容、用戶類別或用戶身份、IP地址、絕對時間/周期時間的行為控制。實現(xiàn)互聯(lián)網(wǎng)行為的可視可控可審計。會話控制：根據(jù)應用類型、用戶類別或用戶身份、IP地址、業(yè)務端口、接口/安全域、絕對時間/周期時間的會話控制，有效確?；A網(wǎng)絡設施的穩(wěn)定運行，快速降低DDoS攻擊帶來的業(yè)務威脅流量控制：根據(jù)應用類型、用戶類別或用戶身份、IP地址、業(yè)務端口、接口/安全域、絕對時間/周期時間的訪問控制。確保關鍵業(yè)務擁有最佳的訪問體驗。下一代安全控制T墻根據(jù)規(guī)則，將自身無法識別的可疑文件傳遞給旁路的APT檢測引擎，APT檢測引擎基于沙箱和四類檢測引擎可有效檢測出未知的攻擊或威脅文件。檢測結果通過CallBack接口發(fā)送給T墻并動態(tài)加載，實現(xiàn)最高效的未知威脅檢測內(nèi)網(wǎng)防火墻動態(tài)阻斷InternetAPT分析樣本提取特征動態(tài)防護：面向APT/0DAY攻擊可疑文件發(fā)送至APT檢測引擎CallBack動態(tài)規(guī)則庫實現(xiàn)即時防護InternetDSG客戶端客戶端客戶端DLP掃描組件存儲服務器策略網(wǎng)關管理服務器應用服務器終端縱深防御：聯(lián)動終端桌面管理終端防病毒數(shù)據(jù)防泄露終端準入控制下一代運維架構：可視化&易用性提供直觀、可深度鉆取、便于指導后續(xù)安全管理措施的安全可視化和流量可視化功能。在基礎的策略配置等方面強化易用性其他功能入侵防御IPS安全積累，目前具備4000+特征的入侵防御模塊，每周更新網(wǎng)關防病毒借助強有力的第三代多核并行化架構，T墻提供了高效的網(wǎng)關防病毒功能，病毒特征庫數(shù)量超過1000萬虛擬化基于硬件Hypervisor技術，實現(xiàn)資源完全隔離的防火墻虛擬化功能。每個虛擬防火墻均具有完整的安全特性，相互之間完全隔離，可運行不同的系統(tǒng)版本或特征庫版本。鏈路負載均衡提供專業(yè)的多鏈路負載均衡功能，可動態(tài)的在多條運營商ISP鏈路上調(diào)度流量，并確保網(wǎng)絡連接始終可靠DPDK驅(qū)動底層采用高性能的DPDK驅(qū)動，極大提升了系統(tǒng)處理報文的效率和可靠性。比原生Linux性能提升超過20倍CG-NAT提供運營商級地址轉(zhuǎn)換（CGNAT）功能。支持NAT端口復用、地址池健康探測、地址池哈希分布、NAT46/NAT64、高性能NAT日志等技術IDS的定位工作原理：部署于互聯(lián)網(wǎng)關口、威脅傳播關鍵路徑，用于分析威脅蔓延態(tài)勢，定位威脅，科學指導事件處理，衡量防御體系的效果；關鍵價值：產(chǎn)品需要嵌入入侵事件庫，對事件做深度檢測；一句話介紹IDS：是對黑客入侵行為深度檢測的安全產(chǎn)品Internet辦公網(wǎng)絡定位于關鍵威脅路徑入侵檢測分析威脅態(tài)勢，管理威脅用戶/黑客服務器區(qū)IDS功能定位

策略優(yōu)化與新增事件威脅可配置弱口令檢測虛擬化IDS技術入侵定位系統(tǒng)結論性的分析報表異常流量挖掘技術威脅智能分析組織化威脅管理威脅閉環(huán)管理九大亮點+技術+功能防攻擊SQL注入攻擊算法檢測XSS攻擊算法檢測網(wǎng)頁掛馬算法檢測HTTP協(xié)議合規(guī)及自學習CSRF攻擊及自學習防信息泄漏文件下載保護身份證、銀行卡、社?？ㄐ畔⑿孤┍Ｗo操作系統(tǒng)信息、服務器信息泄漏保護錯誤頁面信息保護防HTTPS攻擊防“心臟出血”漏洞HTTPS密文卸載HTTPS加解密攻擊流量檢測防通報Web惡意掃描防護算法檢測爬蟲防護CGI掃描防護漏洞掃描防護暴力掃描防護WAF設備核心技術WAF設備防篡改防止網(wǎng)站頁面被篡改支持windows、linux、unix系統(tǒng)WAF支持透明、代理、策略路由、單臂以及旁路監(jiān)聽的部署方式；透明部署不改變用戶原有的網(wǎng)絡結構，易于上線、安裝；代理及單臂的部署方式可隱藏服務器的真實IP信息，安裝時需調(diào)整Web服務器區(qū)的網(wǎng)絡結構；旁路部署方式可實時監(jiān)聽Web服務器的攻擊訪問行為、記錄并報警；WAF部署模式IDSWebServer2WebServer1DBDBFirewallByPassManagementcentreWAF透明部署SDN交換機V-IDSV-審計V-UTMV-WAF智慧流管理VLAN區(qū)別租戶流量配置對應虛機處理大流量多機負載均衡互聯(lián)網(wǎng)云平臺邊界路由交換內(nèi)部邊界路由交換內(nèi)部邊界路由交換分光分光鏡像租戶流量VLAN區(qū)分流量復制多產(chǎn)品同時檢測虛擬化WAF模型評估與發(fā)現(xiàn)數(shù)據(jù)庫弱點評估數(shù)據(jù)資產(chǎn)自動發(fā)現(xiàn)告警與防護非法用戶告警違規(guī)行為告警異常業(yè)務告警敏感內(nèi)容訪問告警違規(guī)行為控制攻擊防護分析與挖掘異常業(yè)務場景發(fā)現(xiàn)異常操作智能審計用戶行為軌跡分析審計與追溯操作日志查詢內(nèi)容檢索追溯會話審計回放各種合規(guī)報告數(shù)據(jù)庫審計設備功能架構特色功能數(shù)據(jù)庫審計設備異常業(yè)務發(fā)現(xiàn)用戶行為軌跡分析

云上審計全面數(shù)據(jù)庫類型數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)（審計協(xié)議業(yè)界最全）……RloginFTPSFTPtelnetNetbiosNFS互聯(lián)網(wǎng)協(xié)議其他協(xié)議RDP……SSHSMTPPOP3HTTP/HTTPS內(nèi)網(wǎng)協(xié)議IMAPIM軟件流媒體網(wǎng)絡游戲P2P軟件股票軟件webmail網(wǎng)盤惡意URL產(chǎn)品功能網(wǎng)絡審計設備……OSM帳號管理單點登錄訪問控制行為審計賬號管理實現(xiàn)對服務器、網(wǎng)絡設備、數(shù)據(jù)庫及其帳號的統(tǒng)一集中管理。單點登錄實現(xiàn)密碼代填和統(tǒng)一單點登錄。支持多種單點登錄方式，最大程度適應不同人員使用習慣。訪問控制基于最小權限原則，實現(xiàn)集中訪問控制和細粒度命令級控制。行為審計審計實名制，對用戶從登錄到退出的全程操作行為的監(jiān)控和事后審計。數(shù)據(jù)庫操作變量綁定審計數(shù)據(jù)庫變量解析，讓審計結果更好理解，審計更加精準；數(shù)據(jù)庫操作結果審計數(shù)據(jù)庫下行返回行數(shù)解析，在不記錄下行數(shù)據(jù)的情況下定位操作命令對數(shù)據(jù)庫的影響范圍應用發(fā)布訪問防跳轉(zhuǎn)有效杜絕通過發(fā)布服務器進行未授權跳轉(zhuǎn)操作，防止堡壘機變成跳板專用運維客戶端C/S運維客戶端：安全性、部署實施效率更高擺脫Active和JAVA控件依賴堡壘機分身虛化出多臺堡壘機，適用于分權分域的用戶管理場景分布式部署組件模塊化，支持大規(guī)模部署適用各種用戶場景，支持統(tǒng)一管理、分散維護功能優(yōu)勢政策法規(guī)要求國家法規(guī)：《網(wǎng)絡安全法》第四十二條指出：網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。公安部-《信息系統(tǒng)等級保護》《GB/T22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求》及《GBT25070—2010信息系統(tǒng)等級保護安全設計技術要求》美國上市公司須遵循的薩班斯法案（404條款）ISO-27001條款A10.10.1要求組織必須記錄用戶訪問、意外和信息安全事件的日志，并保留一定期限，以便為安全事件的調(diào)查和取證；條款A10.10.4要求組織必須記錄系統(tǒng)管理和維護人員的操作行為；

條款A15.1.3明確要求必須保護組織的運行記錄；條款A15.2.1要求信息系統(tǒng)經(jīng)理必須確保所有負責的安全過程都在正確執(zhí)行，符合安全策略和標準的要求。行業(yè)金融：銀監(jiān)會《商業(yè)銀行內(nèi)部控制指引》、《商業(yè)銀行操作風險管理指引》（該指引明確要求”商業(yè)銀行應按照指引要求，建立操作風險管理體系，有效地識別、評估、監(jiān)測和控制/緩釋操作風險”。)證券：上交所《上海證券交易所上市公司內(nèi)部控制指引》，深交所信息安全評估準則電信：中國電信《CTG-MBOSS安全規(guī)范》、中國移動集團內(nèi)控手冊、中國電信內(nèi)控手冊醫(yī)療：《醫(yī)療衛(wèi)生行業(yè)信息安全等級保護實施指南》遵守運維操作審計遠程登錄與Telnet審計文件傳輸（文件共享與FTP等）Telnet與FTP可審計到操作命令及回顯信息網(wǎng)頁瀏覽與提交、搜索引擎

電子郵件（含WebMail）

網(wǎng)絡即時通訊（IM）

音視頻及P2P下載在線游戲、股票證券等Internet上網(wǎng)行為與內(nèi)容審計數(shù)據(jù)庫審計支持Oracle與SQLServer數(shù)據(jù)庫過程級審計，可還原所有數(shù)據(jù)庫操作過程流量分析與統(tǒng)計報表

實時流量與歷史流量

應用協(xié)議流量分析流量排名

圖表方式的統(tǒng)計報表包含上網(wǎng)行為與內(nèi)容審計、數(shù)據(jù)庫審計、運維操作審計、流量分析與統(tǒng)計報表等網(wǎng)絡審計產(chǎn)品常見的四大類功能；全面支持當前各種類型的互聯(lián)網(wǎng)應用。網(wǎng)絡審計系統(tǒng)網(wǎng)絡審計系統(tǒng)功能定位-全面的行為與內(nèi)容審計可有效識別網(wǎng)頁論壇、網(wǎng)頁聊天、網(wǎng)頁登錄、Webmail等常見類型的HTTPPOST應用對不能識別為常見類型的新型HTTPPOST應用可全部自動歸類到其他POST應用采用先進的特征匹配技術，使對POST應用分析的廣度得到革命性提高，徹底避免了傳統(tǒng)逐個分析網(wǎng)站方法的弊端，使分析精度達到95%以上

在需要進行特征擴展時，無需再次開發(fā)，具備持續(xù)、快速高效的擴展能力能夠避免傳統(tǒng)逐個網(wǎng)站分析方法帶來的擴展效率低下問題全面識別未知應用特征匹配高效擴展網(wǎng)絡審計系統(tǒng)技術優(yōu)勢-先進的HTTP

POST識別技術審計系統(tǒng)一體化軟件平臺上網(wǎng)行為管理第三方對接靈活部署多方式管理網(wǎng)絡強兼容橋模式路由模式旁路模式混合模式靜態(tài)IP、DHCP、PPPoE靜態(tài)路由、動態(tài)路由、策略路由NAT、NAT44、VPN、聚合鏈路、DDNSIPv4/IPv6認證系統(tǒng)（Radius\LDAP\AD域等）短信平臺Portal平臺微信營銷平臺WEB管理SSH管理TELNET管理集中管理身份認證營銷推送集中管理數(shù)據(jù)分析業(yè)務服務器無線ACIBM數(shù)據(jù)中心網(wǎng)點網(wǎng)點無線AP無線AP無線APIBMIBMIBM網(wǎng)點VPN環(huán)境Internet網(wǎng)點上網(wǎng)無線管理業(yè)務流量（VPN）集中轉(zhuǎn)發(fā)組網(wǎng)模式審計系統(tǒng)一體化軟件平臺部署模型終端桌面管理終端防病毒數(shù)據(jù)防泄露單一客戶端桌面管理系統(tǒng)簡介一體化管理平臺終端安全管理-桌面合規(guī)管理020103050604桌面合規(guī)管理進程/軟件管理外設管理補丁管理