XX學(xué)院信息system

等級(jí)保護(hù)及安全整改建設(shè)方案

2015年10月

目錄

第一章相關(guān)項(xiàng)目概述9

1.1相關(guān)項(xiàng)目背景9

1.2相關(guān)項(xiàng)目目標(biāo)10

1.3相關(guān)項(xiàng)目范圍10

1.4相關(guān)項(xiàng)目相關(guān)內(nèi)容11

第二章需求分析12

2.1現(xiàn)狀分析12

2.1.1重要資產(chǎn)分析12

2.1.2脆弱性分析13

網(wǎng)絡(luò)設(shè)備自身存在的安全弱點(diǎn)13

2.1.2.2安全設(shè)備自身存在的安全弱點(diǎn)13

2.1.2.3主機(jī)system自身存在的安全弱點(diǎn)13

2.1.2.4應(yīng)用system自身存在的安全弱點(diǎn)13

2.1.2.5工作人員自身存在的安全弱點(diǎn)14

2.1.3安全威脅分析14

2.2國(guó)家信息安全等級(jí)保護(hù)合規(guī)性需求分析16

第三章整體設(shè)計(jì)19

3.1設(shè)計(jì)思路19

3.2設(shè)計(jì)原則20

3.3設(shè)計(jì)依據(jù)20

第四章等級(jí)保護(hù)定級(jí)22

4.1定級(jí)審核22

4.2定級(jí)資料完善23

4.2.1現(xiàn)場(chǎng)調(diào)研23

4.2.2定級(jí)對(duì)象的確定23

4.2.2.1信息system的劃分23

4.2.2.2信息system和業(yè)務(wù)子system24

第五章等級(jí)保護(hù)差距分析25

5.1確定差距分析評(píng)估指標(biāo)25

5.1.1形成評(píng)估指標(biāo)25

5.1.2制定差距分析評(píng)估方案25

5.2等級(jí)指標(biāo)對(duì)比評(píng)估26

5.2.1安全技術(shù)評(píng)估26

5.2.2安全管控評(píng)估27

第六章額外/特殊風(fēng)險(xiǎn)評(píng)估28

6.1資料收集28

6.1.1問(wèn)卷調(diào)查29

6.1.2人員訪談29

6.1.3小組討論29

6.1.4文檔查看29

6.1.5現(xiàn)場(chǎng)勘查29

6.2資產(chǎn)識(shí)別與賦值30

6.2.1資產(chǎn)類(lèi)別30

6.2.2資產(chǎn)價(jià)值31

6.3脆弱性分析31

6.3.1脆弱性來(lái)源32

6.3.2脆弱性分析手段32

6.3.3非技術(shù)脆弱性分析32

6.3.4技術(shù)脆弱性分析32

6.3.5網(wǎng)絡(luò)掃描33

6.3.5.1掃描實(shí)施方案33

6.3.6主機(jī)審計(jì)35

6.3.6.1Windows主機(jī)安全審計(jì)表35

6.3.6.2小型機(jī)安全審計(jì)表38

6.3.6.3Oracle數(shù)據(jù)庫(kù)安全審計(jì)表39

6.3.6.4防火墻審計(jì)表43

6.3.6.5交換機(jī)審計(jì)46

6.3.6.6路由器審計(jì)48

6.3.7滲透測(cè)試錯(cuò)誤!未定義書(shū)簽。

6.3.7.1滲透測(cè)試實(shí)施方案錯(cuò)誤!未定義書(shū)簽。

6.3.7.2滲透測(cè)試工具介紹錯(cuò)誤!未定義書(shū)簽。

6.3.8日志分析51

6.3.9system分析51

6.3.10威脅分析51

6.3.11已有控制措施分析53

6.4綜合評(píng)估分析53

6.4.1風(fēng)險(xiǎn)識(shí)別53

6.4.2控制建議54

6.5差距分析評(píng)估風(fēng)險(xiǎn)規(guī)避55

第七章等級(jí)保護(hù)規(guī)劃與整改方案設(shè)計(jì)57

7.1總體安全設(shè)計(jì)57

7.1.1總體安全策略設(shè)計(jì)58

7.1.2安全技術(shù)體系結(jié)構(gòu)設(shè)計(jì)58

7.1.3整體安全管控體系結(jié)構(gòu)設(shè)計(jì)59

7.1.4設(shè)計(jì)結(jié)果文檔化60

7.2安全建設(shè)相關(guān)項(xiàng)目規(guī)劃61

7.2.1安全建設(shè)目標(biāo)確定61

7.2.2安全建設(shè)相關(guān)內(nèi)容規(guī)劃61

7.2.3形成安全建設(shè)相關(guān)項(xiàng)目計(jì)劃62

7.3安全方案詳盡設(shè)計(jì)62

7.3.1技術(shù)措施實(shí)現(xiàn)相關(guān)內(nèi)容設(shè)計(jì)62

7.3.2管控措施實(shí)現(xiàn)相關(guān)內(nèi)容設(shè)計(jì)63

7.3.3設(shè)計(jì)結(jié)果文檔化63

7.4管控措施實(shí)現(xiàn)64

7.4.1管控機(jī)構(gòu)和人員的設(shè)置64

7.4.2管控制度的建設(shè)和修訂64

7.4.3人員安全技能培訓(xùn)65

7.4.4安全實(shí)施過(guò)程管控65

7.5技術(shù)措施實(shí)現(xiàn)設(shè)計(jì)66

7.5.1安全域技術(shù)實(shí)施設(shè)計(jì)錯(cuò)誤!未定義書(shū)簽。

7.5.1.1等級(jí)保護(hù)基本要求66

7.5.1.2XX學(xué)院門(mén)戶網(wǎng)站system、教育system、財(cái)務(wù)system安全域劃分需求66

7.5.1.3解決方案67

7.5.1.4XX學(xué)院等級(jí)保護(hù)整改方案拓?fù)鋱D設(shè)計(jì)67

7.5.1.5XX學(xué)院辦公外網(wǎng)安全域劃分68

7.5.1.6建設(shè)效果錯(cuò)誤!未定義書(shū)簽。

7.5.2流量清洗與抗DDOS技術(shù)實(shí)施設(shè)計(jì)錯(cuò)誤!未定義書(shū)簽。

7.5.2.1等級(jí)保護(hù)基本要求錯(cuò)誤!未定義書(shū)簽。

7.5.2.2XX學(xué)院門(mén)戶網(wǎng)站system、教育system、財(cái)務(wù)system流量清洗與抗DDOSsystem需求

錯(cuò)誤!未定義書(shū)簽。

7.5.2.3產(chǎn)品規(guī)格設(shè)計(jì)錯(cuò)誤!未定義書(shū)簽。

7.5.2.4部署設(shè)計(jì)錯(cuò)誤!未定義書(shū)簽。

7.5.2.5實(shí)現(xiàn)功能錯(cuò)誤!未定義書(shū)簽。

7.5.2.6建設(shè)效果錯(cuò)誤!未定義書(shū)簽。

7.5.3入侵防御技術(shù)實(shí)施設(shè)計(jì)69

7.5.3.1等級(jí)保護(hù)基本要求69

7.5.3.2XX學(xué)院門(mén)戶網(wǎng)站system、教育system、財(cái)務(wù)system入侵防御system防御需求.69

7.5.3.3產(chǎn)品規(guī)格設(shè)計(jì)70

7.5.3.4部署設(shè)計(jì)70

7.5.3.5建設(shè)效果錯(cuò)誤!未定義書(shū)簽。

7.5.4防病毒技術(shù)實(shí)施設(shè)計(jì)70

7.5.4.1等級(jí)保護(hù)基本需求70

7.5.4.2XX學(xué)院防病毒需求71

7.5.4.3產(chǎn)品規(guī)格設(shè)計(jì)71

7.5.4.4部署設(shè)計(jì)71

7.5.4.5建設(shè)效果錯(cuò)誤!未定義書(shū)簽。

7.5.5上網(wǎng)行為管控技術(shù)實(shí)施設(shè)計(jì)72

7.5.5.1等級(jí)保護(hù)基本要求72

7.5.5.2XX學(xué)院門(mén)戶網(wǎng)站system、教育system、財(cái)務(wù)system上網(wǎng)行為管控需求72

7.5.5.3產(chǎn)品規(guī)格設(shè)計(jì)73

7.5.5.4部署設(shè)計(jì)73

7.5.5.5建設(shè)效果錯(cuò)誤!未定義書(shū)簽。

7.5.6Web防火墻技術(shù)實(shí)施設(shè)計(jì)74

7.5,6.1等級(jí)保護(hù)基本要求74

7.5.6.2XX學(xué)院門(mén)戶網(wǎng)站system、教育system、財(cái)務(wù)systemWeb防火墻需求74

7.5.6.3產(chǎn)品規(guī)格設(shè)計(jì)74

7.5.6.4部署設(shè)計(jì)74

7.5.6.5建設(shè)效果錯(cuò)誤!未定義書(shū)簽。

7.5.7網(wǎng)頁(yè)防篡改技術(shù)實(shí)施設(shè)計(jì)75

7.5.7.1等級(jí)保護(hù)基本要求75

7.5.7.2XX學(xué)院門(mén)戶網(wǎng)站system、教育system、財(cái)務(wù)system網(wǎng)頁(yè)防篡改需求75

7.5.7.3產(chǎn)品規(guī)格設(shè)計(jì)75

7.5.7.4部署設(shè)計(jì)75

7.5.7.5建設(shè)效果錯(cuò)誤!未定義書(shū)簽。

7.5.8日志審計(jì)技術(shù)實(shí)施設(shè)計(jì)76

7.5.8.1等級(jí)保護(hù)基本要求76

7.5.8.2XX學(xué)院門(mén)戶網(wǎng)站system、教育system、財(cái)務(wù)system日志審計(jì)system需求76

7.5.8.3產(chǎn)品規(guī)格設(shè)計(jì)77

7.5.8.4部署設(shè)計(jì)77

7.5.8.5建設(shè)效果錯(cuò)誤!未定義書(shū)簽。

7.5.9運(yùn)維審計(jì)技術(shù)實(shí)施設(shè)計(jì)77

7.5.9.1等級(jí)保護(hù)基本要求77

7.5.9.2XX學(xué)院運(yùn)維審計(jì)需求78

7.5.9.3產(chǎn)品規(guī)格設(shè)計(jì)81

7.5.9.4部署設(shè)計(jì)81

7.5.9.5建設(shè)效果錯(cuò)誤!未定義書(shū)簽。

7.5.10漏洞掃描技術(shù)實(shí)施設(shè)計(jì)錯(cuò)誤!未定義書(shū)簽。

7.5.10.1等級(jí)保護(hù)基本要求錯(cuò)誤!未定義書(shū)簽。

7.5.10.2XX學(xué)院門(mén)戶網(wǎng)站system、教育system、財(cái)務(wù)system漏洞掃描需求.錯(cuò)誤!未定義書(shū)

簽。

7.5.10.3產(chǎn)品規(guī)格設(shè)計(jì)錯(cuò)誤!未定義書(shū)簽。

7.5.10.4部署設(shè)計(jì)錯(cuò)誤!未定義書(shū)簽。

7.5.10.5建設(shè)效果錯(cuò)誤!未定義書(shū)簽。

7.5.11安全管控平臺(tái)技術(shù)實(shí)施設(shè)計(jì)錯(cuò)誤!未定義書(shū)簽。

7.5.11.1等級(jí)保護(hù)基本要求錯(cuò)誤!未定義書(shū)簽。

7.5.11.2XX學(xué)院門(mén)戶網(wǎng)站system、教育system、財(cái)務(wù)system安全管控平臺(tái)需求錯(cuò)誤!未定義

書(shū)簽。

7.5.11.3產(chǎn)品規(guī)格設(shè)計(jì)錯(cuò)誤!未定義書(shū)簽。

7.5.11.4建設(shè)效果錯(cuò)誤!未定義書(shū)簽。

7.5.12信息安全產(chǎn)品采購(gòu)81

7.5.13安全控制開(kāi)發(fā)82

7.5.14安全控制集成83

7.5.15system驗(yàn)收84

7.6方案評(píng)審錯(cuò)誤!未定義書(shū)簽。

第八章整改的落實(shí)85

8.1工作目標(biāo)85

8.2工作相關(guān)內(nèi)容85

8.2.1安全管控建設(shè)整改87

8.2.1.1安全管控機(jī)構(gòu)87

8.2.1.2安全管控制度87

8.2.1.3人員安全管控87

8.2.1.4system運(yùn)維管控87

8.2.1.5system建設(shè)管控89

8.2.2安全技術(shù)建設(shè)整改89

8.2.2.1物理安全91

8.2.2.2通信網(wǎng)絡(luò)安全91

8.2.2.3區(qū)域邊界安全91

8.2.2.4主機(jī)system安全92

8.2.2.5應(yīng)用system安全92

8.2.2.6備份和恢復(fù)92

第九章等保合規(guī)審計(jì)93

9.1現(xiàn)場(chǎng)檢查測(cè)試前的準(zhǔn)備93

9.2現(xiàn)場(chǎng)檢查測(cè)試95

9.3綜合測(cè)評(píng)分析96

第十章等級(jí)測(cè)評(píng)98

10.1等級(jí)測(cè)評(píng)機(jī)構(gòu)聘請(qǐng)98

10.2等級(jí)測(cè)評(píng)機(jī)構(gòu)簡(jiǎn)介98

10.3協(xié)助測(cè)評(píng)98

10.3.1準(zhǔn)備資料98

10.3.2現(xiàn)場(chǎng)協(xié)助99

10.4測(cè)評(píng)指標(biāo)99

10.5測(cè)評(píng)方式方法和工具100

10.5.1測(cè)評(píng)方式方法100

10.5.2測(cè)評(píng)工具100

10.5.3測(cè)評(píng)工具接入點(diǎn)說(shuō)明100

10.6單元測(cè)評(píng)實(shí)施101

10.6.1物理安全101

10.6.2網(wǎng)絡(luò)安全102

10.6.3主機(jī)安全103

10.6.4應(yīng)用及數(shù)據(jù)安全104

10.6.5安全管控機(jī)構(gòu)105

10.6.6安全管控制度106

10.6.7人員安全管控107

10.6.8system建設(shè)管控107

10.6.9system運(yùn)維管控108

10.7SYSTEM測(cè)評(píng)實(shí)施110

10.7.1安全控制間安全測(cè)評(píng)110

10.7.2層面間安全測(cè)評(píng)111

10.7.3區(qū)域間安全測(cè)評(píng)112

10.7.4system結(jié)構(gòu)安全測(cè)評(píng)113

第十一章相關(guān)項(xiàng)目驗(yàn)收錯(cuò)誤!未定義書(shū)簽。

11.1驗(yàn)收標(biāo)準(zhǔn)錯(cuò)誤!未定義書(shū)簽。

11.2驗(yàn)收流程錯(cuò)誤!未定義書(shū)簽。

第十二章相關(guān)項(xiàng)目培訓(xùn)與知識(shí)轉(zhuǎn)移114

12.1概述114

12.2培訓(xùn)目標(biāo)方向114

12.3培訓(xùn)流程115

12.4培訓(xùn)對(duì)象115

12.5培訓(xùn)相關(guān)內(nèi)容115

12.6文檔管控117

12.7培訓(xùn)講師117

12.8培訓(xùn)計(jì)劃表118

第十三章組織架構(gòu)119

13.1組織架構(gòu)圖119

13.2角色與責(zé)任119

13.2.1相關(guān)項(xiàng)目領(lǐng)導(dǎo)小組119

13.2.2相關(guān)項(xiàng)目管控小組119

13.2.3客戶經(jīng)理120

13.2.4XX學(xué)院相關(guān)項(xiàng)目協(xié)調(diào)組120

13.2.5相關(guān)質(zhì)量審計(jì)QA120

13.3相關(guān)項(xiàng)目實(shí)施組121

13.3.1安全咨詢組121

13.3.2網(wǎng)絡(luò)技術(shù)組121

13.3.3主機(jī)及應(yīng)用安全組121

13.3.4文檔相關(guān)工程師122

13.4人員名單122

第十四章相關(guān)項(xiàng)目實(shí)施123

14.1相關(guān)項(xiàng)目實(shí)施原則123

14.2相關(guān)項(xiàng)目實(shí)施計(jì)劃時(shí)間表124

第十五章相關(guān)項(xiàng)目管控錯(cuò)誤!未定義書(shū)簽。

15.1相關(guān)項(xiàng)目管控方法綜述錯(cuò)誤!未定義書(shū)簽。

15.2相關(guān)項(xiàng)目管控方法詳述錯(cuò)誤!未定義書(shū)簽。

15.2.1相關(guān)項(xiàng)目范圍管控錯(cuò)誤!未定義書(shū)簽。

15.2.1.1范圍定義錯(cuò)誤!未定義書(shū)簽。

15.2.1.2范圍變更控制錯(cuò)誤!未定義書(shū)簽。

15.2.2相關(guān)項(xiàng)目溝通管控錯(cuò)誤!未定義書(shū)簽。

15.2.2.1溝通協(xié)調(diào)與反饋機(jī)制的基本準(zhǔn)則錯(cuò)誤!未定義書(shū)簽。

15.2.2.2溝通計(jì)劃錯(cuò)誤!未定義書(shū)簽。

15.2.3相關(guān)項(xiàng)目進(jìn)度管控錯(cuò)誤!未定義書(shū)簽。

15.2.3.1計(jì)劃制定與細(xì)化錯(cuò)誤!未定義書(shū)簽。

15.2.3.2進(jìn)度跟蹤與匯報(bào)錯(cuò)誤!未定義書(shū)簽。

15.2.3.3計(jì)劃變更錯(cuò)誤!未定義書(shū)簽。

15.2.4相關(guān)項(xiàng)目風(fēng)險(xiǎn)管控錯(cuò)誤!未定義書(shū)簽。

15.2.4.1風(fēng)險(xiǎn)評(píng)估錯(cuò)誤!未定義書(shū)簽。

15.2.4.2風(fēng)險(xiǎn)管控錯(cuò)誤!未定義書(shū)簽。

15.2.5相關(guān)項(xiàng)目相關(guān)質(zhì)量管控錯(cuò)誤!未定義書(shū)簽。

15.2.5.1相關(guān)質(zhì)量管控原則錯(cuò)誤!未定義書(shū)簽。

15.2.5.2相關(guān)質(zhì)量管控的角色與職責(zé)錯(cuò)誤!未定義書(shū)簽。

15.2.5.3相關(guān)質(zhì)量管控過(guò)程錯(cuò)誤!未定義書(shū)簽。

15.2.6相關(guān)項(xiàng)目變更管控錯(cuò)誤!未定義書(shū)簽。

15.2.7相關(guān)項(xiàng)目會(huì)議管控錯(cuò)誤!未定義書(shū)簽。

15.2.7.1相關(guān)項(xiàng)目管控定期會(huì)議錯(cuò)誤!未定義書(shū)簽。

15.2.7.2相關(guān)項(xiàng)目管控非定期會(huì)議錯(cuò)誤!未定義書(shū)簽。

15.2.8相關(guān)項(xiàng)目文檔管控錯(cuò)誤!未定義書(shū)簽。

15.2.8.1文檔分類(lèi)與規(guī)范錯(cuò)誤!未定義書(shū)簽。

文檔登記與日常管控錯(cuò)誤!未定義書(shū)簽。

第十六章售后服務(wù)錯(cuò)誤!未定義書(shū)簽。

16.1售后服務(wù)目標(biāo)錯(cuò)誤!未定義書(shū)簽。

16.2售后服務(wù)期限錯(cuò)誤!未定義書(shū)簽。

16.3售后服務(wù)保障錯(cuò)誤!未定義書(shū)簽。

16.3.1專(zhuān)業(yè)的售后服務(wù)團(tuán)隊(duì)錯(cuò)誤!未定義書(shū)簽。

16.3.2規(guī)范的服務(wù)體系錯(cuò)誤!未定義書(shū)簽。

16.3.3服務(wù)相關(guān)質(zhì)量監(jiān)督錯(cuò)誤!未定義書(shū)簽。

16.4安全監(jiān)控服務(wù)錯(cuò)誤!未定義書(shū)簽。

16.4.1可用性監(jiān)控錯(cuò)誤!未定義書(shū)簽。

16.4.2掛馬檢測(cè)錯(cuò)誤!未定義書(shū)簽。

16.4.3網(wǎng)頁(yè)篡改監(jiān)測(cè)錯(cuò)誤!未定義書(shū)簽。

16.5安全巡檢服務(wù)錯(cuò)誤!未定義書(shū)簽。

16.5.1概要錯(cuò)誤!未定義書(shū)簽。

16.5.1.1巡檢目標(biāo)錯(cuò)誤!未定義書(shū)簽。

16.5.1.2巡檢范圍錯(cuò)誤!未定義書(shū)簽。

巡檢相關(guān)內(nèi)容錯(cuò)誤!未定義書(shū)簽。

16.5.1.4巡檢過(guò)程錯(cuò)誤!未定義書(shū)簽。

16.5.1.5巡檢總結(jié)錯(cuò)誤!未定義書(shū)簽。

16.5.2漏洞檢測(cè)錯(cuò)誤!未定義書(shū)簽。

16.5.2.1掃描實(shí)施方案錯(cuò)誤!未定義書(shū)簽。

16.6應(yīng)急響應(yīng)服務(wù)錯(cuò)誤!未定義書(shū)簽。

16.6.1應(yīng)急目標(biāo)錯(cuò)誤!未定義書(shū)簽。

16.6.2應(yīng)急過(guò)程錯(cuò)誤!未定義書(shū)簽。

16.6.3應(yīng)急范圍錯(cuò)誤!未定義書(shū)簽。

16.6.3.1安全事件的響應(yīng)錯(cuò)誤!未定義書(shū)簽。

16.6.3.2安全事件分類(lèi)錯(cuò)誤!未定義書(shū)簽。

16.6.3.3安全事件處理時(shí)限錯(cuò)誤!未定義書(shū)簽。

16.6.4服務(wù)承諾錯(cuò)誤!未定義書(shū)簽。

16.6.5交付物錯(cuò)誤!未定義書(shū)簽。

16.7安全培訓(xùn)服務(wù)錯(cuò)誤!未定義書(shū)簽。

16.7.1培訓(xùn)概述錯(cuò)誤!未定義書(shū)簽。

16.7.2培訓(xùn)目標(biāo)方向錯(cuò)誤!未定義書(shū)簽。

16.7.3培訓(xùn)流程錯(cuò)誤!未定義書(shū)簽。

16.8安全通告服務(wù)錯(cuò)誤!未定義書(shū)簽。

16.8.1通告目標(biāo)錯(cuò)誤!未定義書(shū)簽。

16.8.2通告流程錯(cuò)誤!未定義書(shū)簽。

16.8.3通告相關(guān)內(nèi)容錯(cuò)誤!未定義書(shū)簽。

16.8.4交付物錯(cuò)誤!未定義書(shū)簽。

第十七章相關(guān)項(xiàng)目交付成果錯(cuò)誤!未定義書(shū)簽。

第十八章相關(guān)項(xiàng)目預(yù)算表126

18.1等級(jí)保護(hù)建設(shè)服務(wù)費(fèi)錯(cuò)誤!未定義書(shū)簽。

18.2安全產(chǎn)品預(yù)算130

18.3安全運(yùn)維費(fèi)錯(cuò)誤!未定義書(shū)簽。

第一章相關(guān)項(xiàng)目概述

1.1相關(guān)項(xiàng)目背景

XX學(xué)院是一所富有“三外兩高”特色的財(cái)經(jīng)高校，即培養(yǎng)具有外語(yǔ)、外經(jīng)、

外貿(mào)專(zhuān)門(mén)知識(shí)的高素質(zhì)、高技能人才。學(xué)校設(shè)外語(yǔ)學(xué)院、會(huì)計(jì)學(xué)院、外貿(mào)學(xué)院、

管控學(xué)院、國(guó)際旅游學(xué)院、信息學(xué)院、社科學(xué)院、汽電學(xué)院、藝術(shù)學(xué)院、音樂(lè)舞

蹈學(xué)院等10個(gè)二級(jí)學(xué)院和2個(gè)中心、1個(gè)創(chuàng)業(yè)園。開(kāi)設(shè)商務(wù)英語(yǔ)、會(huì)計(jì)、國(guó)際

經(jīng)濟(jì)與貿(mào)易、物流管控、電子商務(wù)、汽車(chē)檢測(cè)與維修、藝術(shù)設(shè)計(jì)等24個(gè)專(zhuān)業(yè)。

學(xué)校設(shè)有?。ú浚┦屑靶袠I(yè)職業(yè)技能培訓(xùn)考試點(diǎn)（站）10個(gè)，并與國(guó)內(nèi)知名大

學(xué)和國(guó)外知名院校聯(lián)合舉辦十多個(gè)專(zhuān)業(yè)的專(zhuān)升本學(xué)歷教育。學(xué)校立足廣東，面向

全國(guó)13個(gè)省市招生。折合在校生7900人。有著眾多的業(yè)務(wù)system和學(xué)生的教

學(xué)信息。

為促進(jìn)教育行業(yè)信息化建設(shè)、應(yīng)用、管控和服務(wù)水平的持續(xù)提升，保障各學(xué)

校和教育機(jī)構(gòu)的網(wǎng)絡(luò)、信息system的安全、穩(wěn)定運(yùn)行，同時(shí)為了落實(shí)公安部、

國(guó)家保密局、國(guó)家密碼管控局、國(guó)務(wù)院信息化工作辦公室共同印發(fā)〈信息安全等

級(jí)保護(hù)管控辦法〉的通知（公通字（2007）43號(hào)）和《關(guān)于開(kāi)展全國(guó)重要信息system

安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安（2007）861號(hào)）的要求，近年以來(lái)，

教育部多次就信息安全以及等級(jí)保護(hù)工作下發(fā)文件要求，包括《教育部辦公廳關(guān)

于開(kāi)展信息system安全等級(jí)保護(hù)工作的通知（教辦廳函[2009]80號(hào)）》、《教育

部辦公廳關(guān)于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息system安全保障工作的通知（教辦廳函

（2011）83號(hào)）》、《教育部辦公廳關(guān)于印發(fā)《教育行業(yè)信息system安全等級(jí)保

護(hù)定級(jí)工作指南（試行）》的通知（教技廳函[2014]74號(hào)）》。2014年8月，教育

部向全行業(yè)下發(fā)了《教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見(jiàn)

（教技20144號(hào)）》，文件要求加快建立健全教育行業(yè)網(wǎng)絡(luò)與信息安全保障體系，

提升防護(hù)能力和水平，保障教育事業(yè)健康有序發(fā)展，切實(shí)落實(shí)《國(guó)務(wù)院關(guān)于大力

推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》與信息安全等級(jí)保護(hù)制度的要

求。

2014年11月，教育信息安全等級(jí)保護(hù)測(cè)評(píng)中心廣東測(cè)評(píng)部在廣東省教育廳

教育技術(shù)中心掛牌成立，體現(xiàn)教育部及廣東公安網(wǎng)安總隊(duì)對(duì)本省教育行業(yè)網(wǎng)絡(luò)與

信息安全的重視。

2015年7月，廣東省公安廳聯(lián)合廣東省教育廳共同下發(fā)文件《關(guān)于印發(fā)全

省高校網(wǎng)絡(luò)安全保護(hù)工作電視電話會(huì)議工作任務(wù)書(shū)的通知》（粵公通字[2015]

123號(hào)），通知確定了從7月開(kāi)始到2016年6月，各項(xiàng)安全工作的開(kāi)展計(jì)劃和要

求，全面推進(jìn)等級(jí)保護(hù)工作在廣東省高校的開(kāi)展。

因此，涉外經(jīng)濟(jì)學(xué)院開(kāi)展信息system等級(jí)保護(hù)建設(shè)工作是非常重要的任務(wù)。

同時(shí)，新近頒布的“十二五”規(guī)劃綱要中確定指出要“健全網(wǎng)絡(luò)與信息安全法

律法規(guī)，完善信息安全標(biāo)準(zhǔn)體系和認(rèn)證認(rèn)可體系，實(shí)施信息安全等級(jí)保護(hù)、風(fēng)險(xiǎn)

評(píng)估等制度

1.2相關(guān)項(xiàng)目目標(biāo)

本相關(guān)項(xiàng)目標(biāo)方向建設(shè)目標(biāo)是在國(guó)家信息system安全等級(jí)保護(hù)相關(guān)政策和

標(biāo)準(zhǔn)的指導(dǎo)下，結(jié)合XX學(xué)院門(mén)戶網(wǎng)站system、教育system、財(cái)務(wù)system的安

全需求分析，確定涉外門(mén)戶網(wǎng)站system、教育system、財(cái)務(wù)system安全等級(jí)保

護(hù)的級(jí)別，對(duì)信息system進(jìn)行差距分析并提出整改建議，對(duì)XX學(xué)院門(mén)戶網(wǎng)站

system^教育system、財(cái)務(wù)system進(jìn)行安全整改，達(dá)到國(guó)家信息安全等級(jí)保護(hù)

相關(guān)標(biāo)準(zhǔn)的要求，并通過(guò)信息system等級(jí)測(cè)評(píng)，更好地保障XX學(xué)院各業(yè)務(wù)system

的正常運(yùn)行，全面提升XX學(xué)院門(mén)戶網(wǎng)站system、教育system、財(cái)務(wù)system的

安全保護(hù)水平。

培養(yǎng)內(nèi)部技術(shù)和管控人員，帶動(dòng)安全隊(duì)伍建設(shè)，促使更多的員工掌握信息

system安全相關(guān)的標(biāo)準(zhǔn)和知識(shí)、具備相關(guān)的管控和維護(hù)能力，從而落實(shí)到日常

工作中。

1.3相關(guān)項(xiàng)目范圍

本相關(guān)項(xiàng)目涉及的范圍為XX學(xué)院的門(mén)戶網(wǎng)站system,教育system、財(cái)務(wù)

system<>

1.4相關(guān)項(xiàng)目相關(guān)內(nèi)容

依據(jù)國(guó)家信息安全等級(jí)保護(hù)技術(shù)和管控要求，開(kāi)展信息system安全等級(jí)保

護(hù)建設(shè)工作，工作的主要相關(guān)內(nèi)容包括：（1）方案設(shè)計(jì)；（2）system集成；（3）

安全運(yùn)維；（4）差距測(cè)評(píng)和測(cè)評(píng)驗(yàn)收。

第二章需求分析

2.1現(xiàn)狀分析

涉外經(jīng)濟(jì)學(xué)院經(jīng)過(guò)多年的信息化建設(shè)，己基本搭建起覆蓋全校區(qū)的IP網(wǎng)絡(luò)

以及滿足日常教學(xué)教務(wù)需求的信息system。同時(shí)，為保障網(wǎng)絡(luò)及信息化system

的正常運(yùn)作，在關(guān)鍵位置上購(gòu)置部署了安全防護(hù)設(shè)備。但是隨著業(yè)務(wù)的不斷擴(kuò)大

以及國(guó)家信息安全日趨重視，對(duì)網(wǎng)絡(luò)安全提出了更高的要求。現(xiàn)階段的網(wǎng)絡(luò)安全

建設(shè)已經(jīng)不滿足國(guó)家等級(jí)保護(hù)的建設(shè)要求。

隈例六美網(wǎng)線

爹檢免訴

單根光軒25.24號(hào)樓學(xué)生均含35.378樓學(xué)生宿臺(tái)

SMC6726AL2SMC6I2KAL2

27號(hào)慢學(xué)生而金

SMC6726AI.2

史訊FS32OO交換

應(yīng)用防

3*號(hào)樓學(xué)生布含

31.33號(hào)樓學(xué)生宿舍

SMC6128AI.2

28、29、30號(hào)樓學(xué)生希

SMC6I2MA1.2

心電0做康教育人才J培養(yǎng)平臺(tái)0WEB正方正方0DHCP都MC6726AL2

清華同方GIW聯(lián)1BT12BellDQellT6I0I。BM3690UP工作站

fewSMC612MAI.2

jSVCK74HI318合區(qū)之聚

任天HI3OT0審計(jì)系統(tǒng)\U\

17、18號(hào)樓學(xué)生宿舍

SMC6726AL2

21.2。號(hào)樓學(xué)《南合

SMC47IQ中心交換機(jī)SMC6726/UJ

SMC874813學(xué)生宿舍區(qū)匯蹙樓學(xué)生宿舍

、IC97(M匯度4,U

SMC612XAI.2

47號(hào)曲學(xué)生后舍

SMC6128AL2

4?、49、50號(hào)樓學(xué)生宿合

SMC6I28AL2

SYCX74MJ我加由舍區(qū)匯聚

吞楂較加宿舍

12、13號(hào)樓教行宿舍

NMC6726AI.2SMC6726A1.2

7.9號(hào)樓核行宿舍

39、42號(hào)4教”宿舍

b、1C6726AL2

北區(qū)指今網(wǎng)北區(qū)辦公網(wǎng)SMC612RAI.2

10、11號(hào)樓敦仃宿含

48號(hào)樓教的宿舍

SMC6726AL2

SMC6726AI2

廣州涉，卜魚(yú)濟(jì)職業(yè)技*考比檢?兩名外#為圖

圖1XX學(xué)院現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D

2.1.1重要資產(chǎn)分析

XX學(xué)院門(mén)戶網(wǎng)站system、教育system、財(cái)務(wù)system中的重要資產(chǎn)包括邊

界路由器、核心交換機(jī)、匯聚交換機(jī)等網(wǎng)絡(luò)設(shè)備；防火墻等安全設(shè)備；Web服務(wù)

器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、業(yè)務(wù)及管控用戶終端等主機(jī)設(shè)備及其上運(yùn)行的

操作system,通用應(yīng)用軟件及為特定業(yè)務(wù)專(zhuān)門(mén)開(kāi)發(fā)的應(yīng)用system等。除此之外，

作為信息system的管控者和維護(hù)者，IT管控人員也是信息system的重要資產(chǎn)

之一。

2.1.2脆弱性分析

2.1.2.1網(wǎng)絡(luò)設(shè)備自身存在的安全弱點(diǎn)

XX學(xué)院網(wǎng)絡(luò)中部署的網(wǎng)絡(luò)設(shè)備，如路由器、交換機(jī)等，存在固有的或配置、

使用上的安全弱點(diǎn)，一旦被暴露，可能導(dǎo)致網(wǎng)絡(luò)設(shè)備自身的不安全。例如對(duì)網(wǎng)絡(luò)

設(shè)備登錄用戶的身份鑒別機(jī)制過(guò)于簡(jiǎn)單，對(duì)用戶的登錄和訪問(wèn)行為缺少控制和審

計(jì)，對(duì)特權(quán)用戶沒(méi)有進(jìn)行權(quán)限分離等。

2.1.2.2安全設(shè)備自身存在的安全弱點(diǎn)

XX學(xué)院網(wǎng)絡(luò)中部署的安全設(shè)備，如防火墻等，存在固有的或配置、使用上的

安全弱點(diǎn)，一旦被暴露，可能導(dǎo)致安全設(shè)備自身及整個(gè)網(wǎng)絡(luò)system的不安全。例

如對(duì)安全設(shè)備登錄用戶的身份鑒別機(jī)制過(guò)于簡(jiǎn)單，對(duì)用戶的登錄和訪問(wèn)行為缺少

控制和審計(jì)，對(duì)特權(quán)用戶沒(méi)有進(jìn)行權(quán)限分離等。

2.1.2.3主機(jī)system自身存在的安全弱點(diǎn)

目前的操作system或應(yīng)用平臺(tái)system無(wú)論是Windows>UNIX、類(lèi)UNIX操

作system以，都不可能是百分之百的無(wú)缺陷和無(wú)漏洞的。一旦system中存在的

漏洞和缺陷被暴露，就給入侵者進(jìn)行非法操作提供了便利。另外，從實(shí)際應(yīng)用上,

system的安全程度跟對(duì)其進(jìn)行安全配置及system的應(yīng)用方式方法也有很大關(guān)

系，system如果沒(méi)有采用相應(yīng)的訪問(wèn)控制和授權(quán)機(jī)制，那么掌握一般攻擊技術(shù)

的人都可能入侵得手。

2.1.2.4應(yīng)用system自身存在的安全弱點(diǎn)

各種通用的應(yīng)用平臺(tái)程序，如數(shù)據(jù)庫(kù)管控system、WebServer程序，F(xiàn)TP

服務(wù)程序，E-mail服務(wù)程序，瀏覽器，MSOffice辦公軟件等，以及為業(yè)務(wù)system

專(zhuān)門(mén)開(kāi)發(fā)的應(yīng)用程序，