目錄

第一章相關本次項目概述8

1.1相關本次項目背景8

1.2相關本次項目目標9

1.3相關本次項目范圍9

1.4相關本次項目相關合適的內(nèi)容10

第二章項目需求分析11

2.1現(xiàn)狀分析11

2.1.1重要資產(chǎn)分析11

2.1.2脆弱性分析12

網(wǎng)絡設備自身存在的安全弱點12

2.1.2.2安全設備自身存在的安全弱點12

2.1.2.3主機system自身存在的安全弱點12

2.1.2.4應用system自身存在的安全弱點12

2.1.2.5工作人員自身存在的安全弱點13

2.1.3安全威脅分析13

2.2國家信息安全等級保護合規(guī)性項目需求分析15

第三章整體設計18

3.1設計思路18

3.2設計原則19

3.3設計依據(jù)19

第四章等級保護定級21

4.1定級審核21

4.2定級資料完善22

4.2.1現(xiàn)場調研22

4.2.2定級對象的確定22

4.2.2.1信息system的劃分22

4.2.2.2信息system和業(yè)務子system23

第五章等級保護差距分析24

5.1確定差距分析評估指標24

5.1.1形成評估指標24

5.1.2制定差距分析評估解決方案24

5.2等級指標對比評估25

5.2.1安全先進技術評估25

5.2.2安全管控評估26

第六章額外/特殊風險評估27

6.1資料收集27

6.1.1問卷調查28

6.1.2人員訪談28

6.1.3小組討論28

6.1.4文檔查看28

6.1.5現(xiàn)場勘查28

6.2資產(chǎn)識別與賦值29

6.2.1資產(chǎn)類別29

6.2.2資產(chǎn)價值30

6.3脆弱性分析30

6.3.1脆弱性來源31

6.3.2脆弱性分析手段31

6.3.3非先進技術脆弱性分析31

6.3.4先進技術脆弱性分析31

6.3.5網(wǎng)絡掃描32

6.3.5.1掃描實施解決方案32

6.3.6主機審計34

6.3.6.1Windows主機安全審計表34

6.3.6.2小型機安全審計表37

6.3.6.3Oracle數(shù)據(jù)庫安全審計表38

6.3.6.4防火墻審計表42

6.3.6.5交換機審計45

6.3.6.6路由器審計48

6.3.7滲透測試錯誤!未定義書簽。

6.3.7.1滲透測試實施解決方案錯誤!未定義書簽。

6.3.7.2滲透測試工具介紹錯誤!未定義書簽。

6.3.8日志分析50

6.3.9system分析50

6.3.10威脅分析51

6.3.11已有控制措施分析52

6.4綜合評估分析52

6.4.1風險識別52

6.4.2控制建議53

6.5差距分析評估風險規(guī)避54

第七章等級保護規(guī)劃與整改解決方案設計56

7.1總體安全設計56

7.1.1總體安全策略設計57

7.1.2安全先進技術體系結構設計57

7.1.3整體安全管控體系結構設計58

7.1.4設計結果文檔化59

7.2安全建設相關本次項目規(guī)劃60

7.2.1安全建設目標確定60

7.2.2安全建設相關合適的內(nèi)容規(guī)劃60

7.2.3形成安全建設相關本次項目計劃61

7.3安全解決方案詳盡設計61

7.3.1先進技術措施實現(xiàn)相關合適的內(nèi)容設計61

7.3.2管控措施實現(xiàn)相關合適的內(nèi)容設計62

7.3.3設計結果文檔化63

7.4管控措施實現(xiàn)63

7.4.1管控機構和人員的設置63

7.4.2管控制度的建設和修訂63

7.4.3人員安全技能培訓64

7.4.4安全實施過程管控64

7.5先進技術措施實現(xiàn)設計65

7.5.1安全域先進技術實施設計錯誤!未定義書簽。

7.5.1.1等級保護基本要求65

7.5.1.2XX學院門戶網(wǎng)站system、教育system、財務system安全域劃分項目需求66

7.5.1.3解決解決方案66

7.5.1.4XX學院等級保護整改解決方案拓撲圖設計67

7.5.1.5XX學院辦公外網(wǎng)安全域劃分68

7.5.1.6建設效果錯誤!未定義書簽。

7.5.2流量清洗與抗DDOS先進技術實施設計錯誤!未定義書簽。

7.5.2.1等級保護基本要求錯誤!未定義書簽。

7.5.2.2XX學院門戶網(wǎng)站system、教育system、財務system流量清洗與抗DDOSsystem項目

需求錯誤!未定義書簽。

7.5.2.3產(chǎn)品規(guī)格設計錯誤!未定義書簽。

7.5.2.4部署設計錯誤!未定義書簽。

7.5.2.5實現(xiàn)功能錯誤!未定義書簽。

7.5.2.6建設效果錯誤!未定義書簽。

7.5.3入侵防御先進技術實施設計69

7.5.3.1等級保護基本要求69

7.5.3.2XX學院門戶網(wǎng)站system、教育system、財務system入侵防御system防御項目需求

69

7.5.3.3產(chǎn)品規(guī)格設計70

7.5.3.4部署設計70

7.5.3.5建設效果錯誤!未定義書簽。

7.5.4防病毒先進技術實施設計70

7.5.4.1等級保護基本項目需求70

7.5.4.2XX學院防病毒項目需求71

7.5.4.3產(chǎn)品規(guī)格設計71

7.5.4.4部署設計71

7.5.4.5建設效果錯誤!未定義書簽。

7.5.5上網(wǎng)行為管控先進技術實施設計72

7.5.5.1等級保護基本要求72

7.5.5.2XX學院門戶網(wǎng)站system、教育system、財務system上網(wǎng)行為管控項目需求72

7.5.5.3產(chǎn)品規(guī)格設計73

7.5.5.4部署設計73

7.5.5.5建設效果錯誤!未定義書簽。

7.5.6Web防火墻先進技術實施設計74

7.5.6.1等級保護基本要求74

7.5.6.2XX學院門戶網(wǎng)站system、教育system、財務systemWeb防火墻項目需求74

7.5.6.3產(chǎn)品規(guī)格設計74

7.5.6.4部署設計74

7.5.6.5建設效果錯誤!未定義書簽。

7.5.7網(wǎng)頁防篡改先進技術實施設計75

7.5.7.1等級保護基本要求75

7.5.7.2XX學院門戶網(wǎng)站system、教育system、財務system網(wǎng)頁防篡改項目需求75

7.5.7.3產(chǎn)品規(guī)格設計75

7.5.7.4部署設計75

7.5.7.5建設效果錯誤!未定義書簽。

7.5.8日志審計先進技術實施設計76

7.5.8.1等級保護基本要求76

7.5.8.2XX學院門戶網(wǎng)站system、教育system、財務system日志審計system項目需求.76

7.5.8.3產(chǎn)品規(guī)格設計77

7.5.8.4部署設計77

7.5.8.5建設效果錯誤!未定義書簽。

7.5.9運維審計先進技術實施設計77

7.5.9.I等級保護基本要求77

7.5.9.2XX學院運維審計項目需求78

7.5.9.3產(chǎn)品規(guī)格設計81

7.5.9.4部署設計81

7.5.9.5建設效果錯誤!未定義書簽。

7.5.10漏洞掃描先進技術實施設計錯誤!未定義書簽。

7.5.10.1等級保護基本要求錯誤!未定義書簽。

7.5.10.2XX學院門戶網(wǎng)站system、教育system、財務system漏洞掃描項目需求錯誤!未定義

書簽。

7.5.10.3產(chǎn)品規(guī)格設計錯誤!未定義書簽。

7.5.10.4部署設計錯誤!未定義書簽。

7.5.10.5建設效果錯誤!未定義書簽。

7.5.11安全管控整體平臺先進技術實施設計錯誤!未定義書簽。

7.5.11.1等級保護基本要求錯誤!未定義書簽。

7.5.11.2XX學院門戶網(wǎng)站system、教育system、財務system安全管控整體平臺項目需求錯

誤!未定義書簽。

7.5.11.3產(chǎn)品規(guī)格設計錯誤!未定義書簽。

7.5.11.4建設效果錯誤!未定義書簽。

7.5.12信息安全產(chǎn)品采購81

7.5.13安全控制開發(fā)82

7.5.14安全控制集成83

7.5.15system驗收84

7.6解決方案評審錯誤!未定義書簽。

第八章整改的落實85

8.1工作目標85

8.2工作相關合適的內(nèi)容85

8.2.1安全管控建設整改87

8.2.1.1安全管控機構87

8.2.1.2安全管控制度87

8.2.1.3人員安全管控87

8.2.1.4system運維管控87

8.2.1.5system建設管控89

8.2.2安全先進技術建設整改89

8.2.2.1物理安全91

8.2.2.2通信網(wǎng)絡安全91

8.2.2.3區(qū)域邊界安全91

8.2.2.4主機system安全92

8.2.2.5應用system安全92

8.2.2.6備份和恢復92

第九章等保合規(guī)審計94

9.1現(xiàn)場檢查測試前的準備94

9.2現(xiàn)場檢查測試96

9.3綜合測評分析97

第十章等級測評99

10.1等級測評機構聘請99

10.2等級測評機構簡介99

10.3協(xié)助測評99

10.3.1準備資料99

10.3.2現(xiàn)場協(xié)助100

10.4測評指標100

10.5測評方式方式方法和工具101

10.5.1測評方式方式方法101

10.5.2測評工具101

10.5.3測評工具接入點說明101

10.6單元測評實施102

10.6.1物理安全102

10.6.2網(wǎng)絡安全103

10.6.3主機安全104

10.6.4應用及數(shù)據(jù)安全105

10.6.5安全管控機構107

10.6.6安全管控制度107

10.6.7人員安全管控108

10.6.8system建設管控108

10.6.9system運維管控109

10.7SYSTEM測評實施111

10.7.1安全控制間安全測評111

10.7.2層面間安全測評112

10.7.3區(qū)域間安全測評113

10.7.4system結構安全測評114

第十一章相關本次項目驗收錯誤!未定義書簽。

11.1驗收標準錯誤!未定義書簽。

11.2驗收流程錯誤!未定義書簽。

第十二章相關本次項目培訓與知識轉移115

12.1概述115

12.2培訓目標方向115

12.3培訓流程116

12.4培訓對象116

12.5培訓相關合適的內(nèi)容116

12.6文檔管控118

12.7培訓講師118

12.8培訓計劃表119

第十三章組織架構120

13.1組織架構圖120

13.2角色與責任120

13.2.1相關本次項目領導小組120

13.2.2相關本次項目管控小組120

13.2.3客戶經(jīng)理121

13.2.4XX學院相關本次項目協(xié)調組121

13.2.5相關質量審計QA122

13.3相關本次項目實施組122

13.3.1安全咨詢組122

13.3.2網(wǎng)絡先進技術組122

13.3.3主機及應用安全組123

13.3.4文檔相關工程師123

13.4人員名單123

第十四章相關本次項目實施124

14.1相關本次項目實施原則124

14.2相關本次項目實施計劃時間表125

第十五章相關本次項目管控錯誤!未定義書簽。

15.1相關本次項目管控方式方法綜述錯誤!未定義書簽。

15.2相關本次項目管控方式方法詳述錯誤!未定義書簽。

15.2.1相關本次項目范圍管控錯誤!未定義書簽。

15.2.1.1范圍定義錯誤!未定義書簽。

15.2.1.2范圍變更控制錯誤!未定義書簽。

15.2.2相關本次項目溝通管控錯誤!未定義書簽。

15.2.2.1溝通協(xié)調與反饋機制的基本準則錯誤!未定義書簽。

15.2.2.2溝通計劃錯誤!未定義書簽。

15.2.3相關本次項目進度管控錯誤!未定義書簽。

15.2.3.1計劃制定與細化錯誤!未定義書簽。

15.2.3.2進度跟蹤與匯報錯誤!未定義書簽。

15.2.3.3計劃變更錯誤!未定義書簽。

15.2.4相關本次項目風險管控錯誤!未定義書簽。

15.2.4.1風險評估錯誤!未定義書簽。

15.2.4.2風險管控錯誤!未定義書簽。

15.2.5相關本次項目相關質量管控錯誤!未定義書簽。

15.2.5.1相關質量管控原則錯誤!未定義書簽。

15.2.5.2相關質量管控的角色與職責錯誤!未定義書簽。

相關質量管控過程錯誤!未定義書簽。

15.2.6相關本次項目變更管控錯誤!未定義書簽。

15.2.7相關本次項目會議管控錯誤!未定義書簽。

15.2.7.1相關本次項目管控定期會議錯誤!未定義書簽。

15.2.7.2相關本次項目管控非定期會議錯誤!未定義書簽.

15.2.8相關本次項目文檔管控錯誤!未定義書簽。

15.2.8.1文檔分類與規(guī)范錯誤!未定義書簽。

15.2.8.2文檔登記與日常管控錯誤!未定義書簽。

第十六章售后服務錯誤!未定義書簽。

16.1售后服務目標錯誤!未定義書簽。

16.2售后服務期限錯誤!未定義書簽。

16.3售后服務保障錯誤!未定義書簽。

16.3.1專業(yè)的售后服務團隊錯誤!未定義書簽。

16.3.2規(guī)范的服務體系錯誤!未定義書簽。

16.3.3服務相關質量監(jiān)督錯誤!未定義書簽。

16.4安全監(jiān)控服務錯誤!未定義書簽。

16.4.1可用性監(jiān)控錯誤!未定義書簽。

16.4.2掛馬檢測錯誤!未定義書簽。

16.4.3網(wǎng)頁篡改監(jiān)測錯誤!未定義書簽。

16.5安全巡檢服務錯誤!未定義書簽。

16.5.1概要錯誤!未定義書簽。

16.5.1.1巡檢目標錯誤!未定義書簽。

16.5.1.2巡檢范圍錯誤!未定義書簽。

16.5.1.3巡檢相關合適的內(nèi)容錯誤!未定義書簽。

16.5.1.4巡檢過程錯誤!未定義書簽。

16.5.1.5巡檢總結錯誤!未定義書簽。

16.5.2漏洞檢測錯誤!未定義書簽。

16.5.2.1掃描實施解決方案錯誤!未定義書簽。

16.6應急響應服務錯誤!未定義書簽。

16.6.1應急目標錯誤!未定義書簽。

16.6.2應急過程錯誤!未定義書簽。

16.6.3應急范圍錯誤!未定義書簽。

16.6.3.1安全事件的響應錯誤!未定義書簽。

16.6.3.2安全事件分類錯誤!未定義書簽。

16.6.3.3安全事件處理時限錯誤!未定義書簽。

16.6.4服務承諾錯誤!未定義書簽。

16.6.5交付物錯誤!未定義書簽。

16.7安全培訓服務錯誤!未定義書簽。

16.7.1培訓概述錯誤!未定義書簽。

16.7.2培訓目標方向錯誤!未定義書簽。

16.7.3培訓流程錯誤!未定義書簽。

16.8安全通告服務錯誤!未定義書簽。

16.8.1通告目標錯誤!未定義書簽。

16.8.2通告流程錯誤!未定義書簽。

16.8.3通告相關合適的內(nèi)容錯誤!未定義書簽。

16.8.4交付物錯誤!未定義書簽。

第十七章相關本次項目交付成果錯誤!未定義書簽。

第十八章相關本次項目預算表127

18.1等級保護建設服務費錯誤!未定義書簽。

18.2安全產(chǎn)品預算131

18.3安全運維費錯誤!未定義書簽。

第一章相關本次項目概述

1.1相關本次項目背景

XX學院是一所富有“三外兩高”特色的財經(jīng)高校，即培養(yǎng)具有外語、外經(jīng)、

外貿(mào)專門知識的高素質、高技能人才。學校設外語學院、會計學院、外貿(mào)學院、

管控學院、國際旅游學院、信息學院、社科學院、汽電學院、藝術學院、音樂舞

蹈學院等10個二級學院和2個中心、1個創(chuàng)業(yè)園。開設商務英語、會計、國際

經(jīng)濟與貿(mào)易、物流管控、電子商務、汽車檢測與維修、藝術設計等24個專業(yè)。

學校設有?。ú浚┦屑靶袠I(yè)職業(yè)技能培訓考試點（站）10個，并與國內(nèi)知名大

學和國外知名院校聯(lián)合舉辦十多個專業(yè)的專升本學歷教育。學校立足廣東，面向

全國13個省市招生。折合在校生7900人。有著眾多的業(yè)務system和學生的教

學信息。

為促進教育行業(yè)信息化建設、應用、管控和服務水平的持續(xù)提高，保障各學

校和教育機構的網(wǎng)絡、信息system的安全、穩(wěn)定運行，同時為了落實公安部、

國家保密局、國家密碼管控局、國務院信息化工作辦公室共同印發(fā)〈信息安全等

級保護管控辦法〉的通知（公通字（2007）43號）和《關于開展全國重要信息system

安全等級保護定級工作的通知》（公信安（2007）861號）的要求，近年以來，

教育部多次就信息安全以及等級保護工作下發(fā)文件要求，包括《教育部辦公廳關

于開展信息system安全等級保護工作的通知（教辦廳函[2009]80號）》、《教育

部辦公廳關于進一步加強網(wǎng)絡信息system安全保障工作的通知（教辦廳函

（2011）83號）》、《教育部辦公廳關于印發(fā)《教育行業(yè)信息system安全等級保

護定級工作指南（試行）》的通知（教技廳函[2014]74號）》。2014年8月，教育

部向全行業(yè)下發(fā)了《教育部關于加強教育行業(yè)網(wǎng)絡與信息安全工作的指導意見

（教技20144號）》，文件要求加快建立健全教育行業(yè)網(wǎng)絡與信息安全保障體系，

提高防護能力體系和水平，保障教育事業(yè)健康有序發(fā)展，切實落實《國務院關于

大力推進信息化發(fā)展和切實保障信息安全的若干意見》與信息安全等級保護制度

的要求。

2014年11月，教育信息安全等級保護測評中心廣東測評部在廣東省教育廳

教育先進技術中心掛牌成立，體現(xiàn)教育部及廣東公安網(wǎng)安總隊對本省教育行業(yè)網(wǎng)

絡與信息安全的重視。

2015年7月，廣東省公安廳聯(lián)合廣東省教育廳共同下發(fā)文件《關于印發(fā)全

省高校網(wǎng)絡安全保護工作電視電話會議工作任務書的通知》（粵公通字[2015]

123號），通知確定了從7月開始到2016年6月，各項安全工作的開展計劃和要

求，全面推進等級保護工作在廣東省高校的開展。

因此，涉外經(jīng)濟學院開展信息system等級保護建設工作是非常重要的任務。

同時，新近頒布的“十二五”規(guī)劃綱要中確定指出要“健全網(wǎng)絡與信息安全法

律法規(guī)，完善信息安全標準體系和認證認可體系，實施信息安全等級保護、風險

評估等制度

1.2相關本次項目目標

本相關本次項目標方向建設目標是在國家信息system安全等級保護相關政

策和標準的指導下，結合XX學院門戶網(wǎng)站system、教育system、財務system

的安全項目需求分析，確定涉外門戶網(wǎng)站system、教育system、財務system安

全等級保護的級別，對信息system進行差距分析并提出整改建議，對XX學院門

戶網(wǎng)站system、教育system、財務system進行安全整改，達到國家信息安全等

級保護相關標準的要求，并通過信息system等級測評，更好地保障XX學院各業(yè)

務system的正常運行，全面提高XX學院門戶網(wǎng)站system、教育system、財務

system的安全保護水平。

培養(yǎng)內(nèi)部先進技術和管控人員，帶動安全隊伍建設，促使更多的員工掌握信

息system安全相關的標準和知識、具備相關的管控和維護能力體系，從而落實

到日常工作中。

1.3相關本次項目范圍

本相關本次項目涉及的范圍為XX學院的門戶網(wǎng)站system、教育system、財

務system0

1.4相關本次項目相關合適的內(nèi)容

依據(jù)國家信息安全等級保護先進技術和管控要求，開展信息system安全等

級保護建設工作，工作的主要相關合適的內(nèi)容包括：（1）解決方案設計；（2）system

集成；（3）安全運維；（4）差距測評和測評驗收。

第二章項目需求分析

2.1現(xiàn)狀分析

涉外經(jīng)濟學院經(jīng)過多年的信息化建設，己基本搭建起覆蓋全校區(qū)的IP網(wǎng)絡

以及滿足日常教學教務項目需求的信息system。同時，為保障網(wǎng)絡及信息化

system的正常運作，在關鍵位置上購置部署了安全防護設備。但是隨著業(yè)務的

不斷擴大以及國家信息安全日趨重視，對網(wǎng)絡安全提出了更高的要求。現(xiàn)階段的

網(wǎng)絡安全建設已經(jīng)不滿足國家等級保護的建設要求。

隈例六美網(wǎng)線

爹檢免訴

單根光軒25.24號樓學生均含35.378樓學生宿臺

SMC6726AL2SMC6I2KAL2

27號慢學生而金

SMC6726AI.2

史訊FS32OO交換

應用防

3*號樓學生布含

31.33號樓學生宿舍

SMC6128AI.2

28、29、30號樓學生希

SMC6I2MA1.2

心電0做康教育人才J培養(yǎng)平臺0WEB正方正方0DHCP都MC6726AL2

清華同方GIW聯(lián)1BT12BellDQellT6I0I。BM3690UP工作站

fewSMC612MAI.2

jSVCK74HI318合區(qū)之聚

任天HI3OT0審計系統(tǒng)\U\

17、18號樓學生宿舍

SMC6726AL2

21.2。號樓學《南合

SMC47IQ中心交換機SMC6726/UJ

SMC874813學生宿舍區(qū)匯蹙樓學生宿舍

、IC97(M匯度4,U

SMC612XAI.2

47號曲學生后舍

SMC6128AL2

4?、49、50號樓學生宿合

SMC6I28AL2

SYCX74MJ我加由舍區(qū)匯聚

吞楂較加宿舍

12、13號樓教行宿舍

NMC6726AI.2SMC6726A1.2

7.9號樓核行宿舍

39、42號4教”宿舍

b、1C6726AL2

北區(qū)指今網(wǎng)北區(qū)辦公網(wǎng)SMC612RAI.2

10、11號樓敦仃宿含

48號樓教的宿舍

SMC6726AL2

SMC6726AI2

廣州涉，卜魚濟職業(yè)技*考比檢?兩名外#為圖

圖1XX學院現(xiàn)有網(wǎng)絡拓撲圖

2.1.1重要資產(chǎn)分析

XX學院門戶網(wǎng)站system、教育system、財務system中的重要資產(chǎn)包括邊

界路由器、核心交換機、匯聚交換機等網(wǎng)絡設備；防火墻等安全設備；Web服務

器、應用服務器、數(shù)據(jù)庫服務器、業(yè)務及管控用戶終端等主機設備及其上運行的

操作system,通用應用軟件及為特定業(yè)務專門開發(fā)的應用system等。除此之外，

作為信息system的管控者和維護