还剩47页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
高校信息化安全防护解决方案•安全平台提供对基础安全防护组件的注册、调度和安全策略管理可以设立一个综合的安全管理平台,或者分立的安全管理平台,如安全评估平台、异常流量检测平台等;•安全服务提供给云平台租户使用的各种安全服务,提供安全策略配置、状态监测、统计分析和报表等功能,是租户管理其安全服务的门户通过此技术实现架构,可以实现安全服务/能力的按需分配和弹性调度当然,在进行安全防护措施具体部署时,仍可以采用传统的安全域划分方法,明确安全措施的部署位置、安全策略和要求,做到有效的安全管控对于安全域的划分方法详见第五章对于具体的安全控制措施来讲,通常具有硬件盒子和虚拟化软件两种形式,可以根据云平台的实际情况进行部署方案选择云平台的安全防护措施可以与云平台体系架构有机的集成在一起,对云平台及云租户提供按需的安全能力运维管云管理客户程序软件安全运安全理平台基基平台营平台评估于于SaaS表现形态展示平台访问应通基界面框架控制用用于故障软件—流量支平基安全服云服务管理即服务服务和数据财务1应rwi1应1邮件I清洗撑台础务管理目录管用1用I1应用I组组设理性能件件施的的的管理云服务应应应安全平应用支应用授权数据1交1请求111用用用台管理开通容量撑组件换1服务1服务1系管理统PaaS用户管安全评恶意代平台数据库中间件1目录日志1估码安全资理配置平台分析通用平平台平台11服务服务1源管理管理即服务台组件安全态势异常流量监监测平台资源管操作系统测和清洗事件理管理安全事务管理接口基础•••指挥国入侵监测/防护施即设•••虚拟化和平台调度务服I••综合物理云内服务云间1亶Web应用防安全策•存储监控资源网络器网络1火墙略管理•••9aa运营生态体系一信息的高可用性
2.3通过对高校信息化建设现状与问题的分析与总结,未来高校信息化建设的核心是以面向角色的服务为导向建立整体数字化校园开放性生态体系以先进的技术构架为依托,创造一个高开放度的信息化环境,更好的应对学校内部业务变化和外部信息技术发展趋势带来的冲击构建这样的一种生态体系,学校需要从技术架构、建设思路、建设模式等多个方面进行转变要做到能够同时满足技术发展的需要、学校业务的需求、供应商参与的诉求,充分利用学校在信息化方面的人力与物力投入,构建良性的、可持续发展的校园信息化生态围绕行政部门建设信息化的思路和模式基于开放的信息化环境,将校内信息化建设成果和校外互联网应用都以服务的形态进行重新梳理、重新组合,并通过有效的管理机制在校内的统一应用平台上进行注册、发布,为校内师生提供综合性的服务获取通道和高体验度的应用服务,大大增加用户黏性与依赖度基于高使用率的综合服务,校内师生不但可以在综信息合中心服务平台上使用服务,还可以对校内服务进行评价和反馈,综合服务平台同时记录下各类用户的操作轨迹、用户行为,辅以传统的管理业务数据,为各级管理者提供全面、有效的数据分析服务,帮助各级管理者决策分析,优化业务模式各类需要优化的应用,需要有效的运营机制保障,在校内建立长效化、持续化的运营机制,保证校内应用和服务的升级与迭代在运营机制的保障下,借助快速建模工具和快速开发平台,让信息中心、建设方和服务提供商都可以基于完善的运营机制参与其中,共同提升校内信息化水平构建一套高可用性、安全性的信息化系统体系
2.4建设一套上网行为管理系统,有效防止互联网有害信息在高校的散布与传播,加强对危害国家安全、影响社会稳定、淫秽色情等有害信息的预防、监控和管理力度,防范各种破环活动,配合公安部门及时发现和打击各种网上违法犯罪行为通过对网络进行有效的控制和监管,规范用户正确的上网行为,努力创建和谐校园确保web应用安全的最大化,防止网页内容被篡改,防止网站数据库内容泄露,防止口令被突破,防止系统管理员权限被窃取,防止网站被挂马和植入病毒、恶意代码、间谍软件等,防止用户输入信息的泄露,防止账号失窃,防SQL注入,防XSS攻击等由于信息化系统的脆弱性、技术的复杂性、操作的人为因素,在设计以预防、减少或消除潜在风险为目标的安全架构时,引入运维管理与操作监控机制以预防、发现错误或违规事件,对IT风险进行事前防范、事中控制、事后监督和纠正的组合管理是十分必要的及时的进行信息化系统的安全评估及安全扫描,从而发现的各种系统漏洞,并且依据既定的相关策略,采取措施予以弥补,消除已暴露的问题和可能的隐患,加固主机系统、网络设备和架构、WEB应用程序安全漏洞,提高信息系统的健壮性,抵御外部的各种安全风险以及恶意攻击,实现信息系统长期安全、稳定运行的最终目标高校信息化需要建设内容3信息化系统建设内容
3.1基础支撑平台
3.
1.1新的建设模式需要新的技术体系支持,改良校内现有IT架构是本次项目规划与建设中非常重要的环节基础架构的合理性和先进性以及开放性决定了我校未来信息化建设成败通过建立新的基础支撑平台,实现对校内各类应用、服务的有序接入和管理,综合数据层面、开发层面、应用层面和运维层面,建立统一的基础支撑架构,保证信息化建设的基础坚实主数据平台建设
3.LL1高校经过多年的信息化建设,已经形成了一套校内的信息标准,并且学校现在已经建立了公共数据平台,用于处理各业务系统的共享数据交换和集成,同时积累大量的业务数据但随着信息技术的发展和校内业务的调整,原有信息标准已经不能满足未来的信息化发展需要,现有的公共数据平台也无法支撑后期开放架构下的数据共享与管理,校内数据质量也存在一定问题因此,为了达成上文信息化生态的整体建设目标,建议对现有的公共数据平台进行升级改造,从以下几个层面提升数据平台的能力
1、信息标准的执行能力;升级现有信息标准管理系统,一方面可以全面升级学校原有信息标准的内容,另一方面可以加强信息标准的实际使用和执行情况的管理手段,学校内部的主数据库和业务数据库一旦有和信息标准不同步或不一致的情况,系统将及时检查并将差异情况提报给数据平台管理人员,帮助其了解和及时纠正信息标准执行的差异,确保信息标准的可执行性
2、共享数据的开放能力;现有公共数据平台的数据集成和共享完全基于ETL的方式进行,ETL作为业内通用和常用的成熟技术,在数据交换和共享过程中的稳定性和高适用性具有很好的优势但随着信息架构的发展,传统的ETL方式缺少数据共享的及时性和灵活性,无法将一些需要快速反馈的数据进行有效同步,直接通过数据库进行数据交换的途径也缺少多元的数据共享通道和手段,在后期的信息化建设过程中,需要提供及时有效、灵活可配的数据共享方式,便于后期碎片化服务的封装和建设
3、数据质量的治理能力;数据作为信息化建设的核心内容,其质量好坏在高校内一直是一个无法量化的黑盒,但数据质量的好坏直接影响到学校后期数据分析和数据利用的有效性,因此需要一套先进的管理工具,对学校的数据质量进行全面的监控,帮助数据平台管理人员了解校内数据质量,便于其有效推进和提升校内整体数据质量
4、历史数据的积累能力;现有公共数据平台的主要作用是保证校内共享数据的交换,因此其主要是对现有业务数据的同步更新与共享发布,并没有对抽取上来的共享业务数据的历史数据进行保存,一旦学校的业务系统不具备对历史业务数据的存档功能,学校大量的历史数据便会随着新业务数据的更新而丢失,很大程度上后期学校进行数据分析和数据统计的使用因此本次的主数据平台升级建设同样需要对历史业务数据进行详尽保存,以天为单位进行历史数据切片保存,作为学校数据资产的积累基于上述四个层面,高校在后期需要通过建立一个符合教育行业特性的高校数主据管理平台覆盖高校数据层面全生命周期的管理从信息标准、代码标准,到数据共享、交换,直至最终的数据质量保证等将高质量的主数据以服务的方式提供给校园服务总线,便于上层应用的抽取和使用同时需要提升信息标准执行能力,采用自动化工具对校内信息标准和代码标准进行监控和管理,让标准真正成为标准、提升数据质量管理能力,保证数据价值的最大化、提升数据共享集成能力,做到数据实时共享
3.
1.
1.
1.1主数据平台建设内容信息标准建设在进行后期信息化建设之前,需要对校内的信息标准和数据质量进行重新的梳理和规划,以服务化和开放性的视角重新定义校内信息标准,使之具有可扩展性和可持续性对学校现有信息标准和数据质量进行全面梳理和优化,使之能够提供符合教育行业标准的参考代码标准模式及数据共享和交换需求的主数据模式信息标准主要建设内容如下:
1.数据清洗与1数.4事据版质*的量h提Jt升作机共事对校内现有业务数据进行全盘分析和检查,找出数据质量隐患和存在问题,对质量不高的数据和无效数据进行清洗和优化,保证现有业务数据的高质量,为后期进行信息化改造奠定基础
2.信息标准升级基于最新的国标、部标、行标,结合现有校标和校内实际业务情况,充分考虑后期信息化改造需要,将校内信息标准进行重新梳理和升级,使之符合最新的技术规范和业务需求
3.数据流向规划对校内各业务部门和行政单位的数据流向进行重新规划,消除原先数据责任单位不明确的现象,并确定校内数据出处的权威性避免出现数据二异性信息标准管理工具提供数据标准管理、代码标准管理、数据流向管理、代码检测管理工具帮助学校有效提升数据质量,强化数据管理能力元数据管理工具对主数据和代码标准模型进行维护,提供语义支持,实现对底层模型的集中维护和管理,提供对数据分类的管理主数据和业务系统代码表之间映射关系的管理,检测元数据和系统数据库之间表、字段以及字段属性的不一致情况,根据元数据检测情况创建数据库实体对象数据集成平台提供集成接口支持、数据集成KM库、拓扑管理工具、集成设计工具、集成调度工具等实现数据流向集成数据共享接口发布工具通过可自定义的数据发布接口,实现统一的数据实时、按需的共享需求提供数据共享服务接口的新增、删除、修改、授权、接口启停以及运行管理数据备份管理工具实现构建主数据仓库来保留了代码标准、主数据的历史数据,能重现每天的数据情况,方便日后的时间维度上的数据分析工作运行监控工具为信息中心运行监控人员提供系统的动态,异常情况,数据情况等以图形化的方式,较通俗易懂的表现形式来展现系统的各种运行和异常情况,并且按照事件的重要程度,将最重要的信息展现在最醒目的位置目前包含系统首页、数据集成监控、数据库监控等身份认证管理平台
3.LL2为了保证校内外应用的高效接入和顺畅的用户体验,需要建立校级的身份认证管理平台,统一管理校内外各类应用及系统的登录、访问和互相之间的认证充分保证外部应用访问时数据权限和访问权限细颗粒度的控制同时对校内所有账号进行基于工具化的有效监控和管理,保证校内账号和密码的安全
3.
1.
1.
2.1身份认证管理平台建设内容身份管理为数字校园提供集成用户身份认证和SSO单点登录服务,并为校园系统提供认证和SSO接口服务,同时包含身份自助服务、账号管理、应用认证管理等认证服务反向代理认证服务的反向代理服务器,简化第三方接入的接入工作集群部署包括两台认证服务器、两台LDAP的部署审计管理为管理员提供及时发现问题之用,可审计出异常的帐号、不合理的认证行为和授权行为,用于发现系统可能存在的安全问题和隐患监控管理为管理员提供了掌握系统各项服务运行状态的功能,可帮助管理员尽早发现系统运行问题身份认证身份认证功能是身份认证管理平台的核心基础服务,随着信息化建设的不断深入,当前所采用的身份认证的方式也逐渐增多,平台需要支持多终端认证、第三方帐号绑定、动态登录、扫描登录、免登录、二次登录等多种登录方式OAuth开放服务主要包括OAuth接入应用管理,开放接口管理,开放接口,代理权限插件,用于把学校的认证能力开放出去,方便师生访问第三方应用应用管理平台
3.LL3师生综合服务是校园生态体系建立的关键环节,将分散在各个系统中面向教师、学生的服务内容进行重新梳理和归类,通过服务重新定义、封装的方式在应用服务管理平台上进行综合呈现,面向教师、学生提供覆盖全生命周期、可以不断完善、师生真正关心、有实用价值、便捷的信息服务;高校现有的信息门户只完成了对校内各类资讯和个人信息的数据层面整合,实现了简单的信息集成,由于技术架构的局限性,无法按照学生和教师的视角抽取、封装和展现碎片化的服务因此在本次建设规划中,建议按照最新的服务体系生态重新构建面向师生综合服务的门户系统,同时,提供完整的服务前台交互与后台管理功能,支撑服务管理效率和管理水平的提升,监控和优化服务质量更好的满足学校业务需要和师生服务需要应用管理平台建设内容如下应用门户提供一站式办事大厅服务门户,基础组件包含热门排行、最新推荐,即将开放应用、应用收藏等,支持针对应用服务中心进行多维度查询搜索服务应用管理中心:作为校内服务应用的唯一载体,负责为校内应用提供统一的集成、发布、注册、授权和使用平台,对于校内应用提供接入信息维护、下架申请、审核等管理功能应用授权管理面向应用的接入提供用户组管理、应用权限管理基础应用通知公告、调查问卷、新闻订阅、在线咨询、个人数据
3.LL4校服务总线对现有管理系统解构、重组和碎片化会产生后台服务的大量调用和集成,除了数据层面的数据共享之外,还需要解决校内信息化建设中存在的紧耦合、异构性等各类问题,充分利用现有建设成果构建全新的高校信息化生态,建立基于高校行业特征的校园服务总线实现从简单的〃数据集成,门户集成〃向〃服务集成〃模式的转变提供接口标准管理、服务治理、服务交换等全方面的底层服务管理平台,为其他基础平台和公共应用组件、上层服务提供总体服务调度和管理保证校内信息体系的可管理性实现服务管理从离散到集中,具备更可控的系统架构,增加信息化资源的可管理性、实现技术架构从差异化到标准化,更统一的集成方式,降低改造成本、实现建设过程从繁乱到有序,带来更简化的建设方式,降低运维难度、实现整体体系从封闭到开放,形成更良性的运营环境,增加信息化生态的可持续性服务调用构建应用校园服务总线第第接口自动解析三三方调用方式上传方应应用服务接口监控用应用管理平台(新门户)业务应用组件公共应用组件EMAP(主数据、UCP)服务授权管理校园服务总线建设内容如下:服务集成工具:采用高性能、高可用性的商业中间件,解决异构系统集成服务注册管理时相互调用的协议、服务注册格式不同的转换问题,解决大并发情况下服务负载、服务缓存的问题,并实现服务流程的可视化编排,保服务调用服务接注册状态查看证服务调用、服务交互时的稳定性和安全性服务注册工具校园服务总线需要提供接口供开发人员注册服务,仅需提供服务的相关元信息及WSDL文件,即可实现注册步骤而WSDL文件格式的基本验证部分需要自动完成,后期将要求服务提供者附加范例代码其中的从属系统标签则用于服务分组对于restful形式的服务,需要提供详细的参数信息或提供对于restful服务的输入和输出实例实现注册服务查看与接入标准搜索:对于服务的操作及其参数信息,校园服务总线提供页面展示服务详细信息对于服务的搜索,平台会提供服务分类的基础模板,系统管理员可以对其进行扩展,第三方可根据服务分类进行搜索数据交互数据交互接口调用动化发布注册状态查看校园服务总线具有一定的开放性,但并不代表所有的服务都可注册上来,所以注册服务的服务治理服务注册审核监控报警机制设置服务申请授权服务启停esb集群监控esb服务监控过程需要人工审核的步骤而开发人员则可在注册状态查看功能模块查看到已注册服务的当前状态(审核通过、未审核、审核中)申请服务授权校园服务总线提供接口供开发人员为所开发应用申请服务的授权,申请以应用为单位在该页面,开发人员可看到所有服务的列表,仅需简单勾选,即可实现申请步骤API服务监控校园服务总线提供对平台及服务所运行服务器的监控功能考虑到平台本身的运行状态对其上运行的服务及应用有着极重要的影响,对其的监控必不可少,但对高校硬件的监控本就存在一套体系,所以校园服务总线仅提供平台硬件的关键性能监控,即对校园服务总线运行起关键性影响的指标(如CPU占用和内存使用情况)服务注册审核系统管理员根据服务注册信息来确定是否审核通过该服务的注册,比如考虑该服务的功能是否合理,后期还将考虑该服务是否应该注册在该系统下提供给系统管理员的信息具体包括服务名称、服务所属应用/模块、接口人等当前审核状态则包括审核中和未审核信息化数据中心安全建设内容
3.2云计算系统具有传统IT系统的一些特点,从上面的安全域划分结果可以看到,其在外部接口层、核心交换层的安全域划分是基本相同的,针对这些传统的安全区域仍旧可以采用传统的安全措施和方法进行安全防护如下图所示Ml当然,从上面的安全域划分结果可以看到,相对于传统的网络与信息系统来讲,云平台由于采用了虚拟化技术,在计算服务层、资源层的安全域划分与传统IT系统有所不同,这主要体现在虚拟化部分,即生产区、非生产区、管理区、支撑服务区、堡垒区、DMZ区等这里主要论述和说明生产区的安全建设非生产区和管理区、DMZ区类似,不在累赘说明数据中心业务生产区安全
3.
41.
51.
51.
61.
61.
61.
123.
183.
193.
223.
223.
2.0的技术趋势下,75%以上的攻击都瞄准了网站(Web)这些攻击可能导致云计算服务提供商遭受声誉和经济损失,可能造成恶劣的社会影响Web应用防护技术通过深入分析和解析HTTP的有效性、提供安全模型只允许已知流量通过、应用层规则、基于会话的保护,可检测应用程序异常情况和敏感数据(如信用卡、网银帐号等)是否正在被窃取,并阻断攻击或隐蔽敏感数据,保护云计算平台的Web服务器,确保云计算平台Web应用和服务免受侵害数据安全对于数据安全,需要涉及数据的产生、传输、存储、使用、迁移、销毁以及备份和恢复的全生命周期,并在数据的不同生周期阶段采用数据分类分级、标识、加密、审计、擦除等手段另外,在采用了这些基础防护技术措施之外,还应考虑数据库审计、数据防泄露以及数据库防火墙的手段,最大限度地保证云平台中的数据安全数据中心运维管理区
3.
2.2云平台的管理运维人员、第三方运维人员以及租户需要多云计算平台的主机、应用及网络设备进行管理、维护操作为了发现和防止不当操作、越权操作的发生,需要对此类用户进行认证、授权、访问控制和审计堡垒机就是完成上述功能的关键设备,典型应用场景如下图所示网络设备和服务器区UNIX/LINUX ServerWindows网络设备安全设备DB4server/,返回瑞果I场访问操作SSH/TELNERQP//VNC/FTP/SFTP....»维护人员云平台管理/运维人员第三方代维人员云平台租户功能堡垒机可以提供一套先进的运维安全管控与审计解决方案,目标是帮助云计算中心运维人员转变传统IT安全运维被动响应的模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,满足合规要求,保障企业效益,主要实现功能如下•集中账号管理建立基于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备等无缝连接;•集中访问控制通过集中访问控制和细粒度的命令级授权策略,基于最小权限原则,实现集中有序的运维操作管理,让正确的人做正确的事;•集中安全审计基于唯一身份标识,通过对用户从登录到退出的全程操作行为进行审计,监控用户对目标设备的所有敏感操作,聚焦关键事件,实现对安全事件地及时发现预警,及准确可查信息化系统管端安全建设内容
3.3安全设计331根据多年的教育行业信息系统安全实践经验,在深入理解国家法律法规和行业标准要求的基础下,结合对客户业务应用及安全技术的研究,为学校总结出“网关控制+内部安全管理”的合规信息系统管端管理安全方法论,来指导高校信息系统安全体系的建设在此次方案中我们为用户提供网络安全管理系统、下一代防火墙、web防火墙、网络安全管理系统我们推荐的安全产品有以下特点安全产品产品概述对高校上网网络流量提供三步循环的解决方案一一可视、可控、可追溯-“可视”指深层分析网络中运行的各种应用协议、网络行为,从而完整的了解网络带宽的使用状况网络安全管理系统-“可控”指根据对网络情况的了解,结合用户的实际需求,提供最有效的控制策略,让网络资源得到最合理的利用-“可追溯”指对全网的使用情况进行了详细的记录,并提供内容检索、模糊查询、自动报表等功能,方便管理者跟踪、追溯网络的使用情况,帮助管理者定位网络问题-下一代防火墙不但可以提供基础网络安全功能,如状态检测、VPN、抗DDoS、NAT等;还实现了统一的应用安全防护,可以针对一个入侵行为中的各种技术手段进行统一的检测和防护,如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、下一代防火墙恶意代码等-边界防火墙可以为不同规模的行业用户的数据中心、广域网边界、互联网边界等场景提供更加精细、更加全面、更高性能的应用内容防护方案web防火墙为网关设备,防护对象为Web、Webmail服务器,可针对安全事件发生时序进行安全建模,分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断,提供综合Web应用安全解决方案安全部署332在网络出口处部署网络安全管理系统,对学校内师生的无线和有线上网行为进行管理在核心交换机与内网用户之间部署防火墙,为高校办公用户及服务器提供安全服务高校网络安全部署图部署web应用防火墙,对高校数据中心的内的web服务器、邮件服务器提供安全防护下一代防火墙高校信息化系统安全服务需求4风险评估机制
4.12016年度信息安全风险评估将参照《XX市信息安全风险评估实施指南》和《GB/T20984-2007信息安全技术信息安全风险评估规范》,通过深入了解高校信息系统情况,分析信息系统可能面临的威胁,存在的弱点,以及弱点被袭击或带来破坏的可能性及影响,对当前信息系统的安全风险进行分析和定义,采用专业漏洞检测工具和工作模版,从风险管理角度,运用科学的方法和手段,根据联合检查要求,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据评估对象高校所有信息系统资产、内网及外网服务器、网络设备、安全设备评估依据1)XX市关于开展信息安全风险评估工作的实施意见(深科信
386.
386.
396.
406.
406.
406.
416.
416.
426.
436.
436.
446.
456.
456.
456.
4.2实行等级保护有利于客户完善信息安全管理体系,提高信息安全和信息系统安全建设的整体水平;达到对信息和信息系统重点保护和有效保护的目的,增强安全保护的整体性、针对性和时效性,使信息安全和信息系统安全建设更加突出重点、统一规范、科学合理服务依据《信息安全技术信息系统安全保护等级定级指南》(GB/T22240-2008)《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)《信息安全技术信息系统安全等级保护测评要求》《信息安全技术信息系统安全等级保护测评过程指南》《信息系统等级保护安全设计技术要求》服务内容对于高校在规划、设计阶段的信息系统及承担行政审批功能的信息系统全部完成等级保护定级备案工作依据国家《信息安全等级保护管理办法》和《信息系统安全保护等级定级指南》的相关要求,协助客户相关负责人员开展定级备案工作,包括定级信息系统的数量、业务类型、应用或服务范围、系统结构等基本情况的选择,确定定级对象,对定级对象受侵害的客体及对客体的侵害程度的确定,按照定级要求与信息系统等级的关系初步确定信息系统安全保护等级,并按《信息系统安全等级保护定级报告》模板出具相关定级对象的信息系统安全等级保护定级报告依照《信息安全等级保护管理办法》对定级二级以上的信息系统,协助客户向地方网监进行信息系统安全等级保护的备案工作服务输出1)《信息系统安全等级保护备案表》(以下简称《备案表》),纸质材料,一式两份包括《单位基本情况》(表一)、《信息系统情况》(表二)、《信息系统定级情况》(表三)和《第三级以上信息系统提交材料情况》(表四)第二级以上信息系统备案时需提交《备案表》中的表
一、
二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》表四及其有关材.料2)《备案表》需通过“等级保护备案端软件”填写信息,并导出word文档生成另,在填写表三“09系统定级报告”时,需把《信息系统安全等级保护定级报告》上传到“附件”再导出word文档3)《信息系统安全等级保护定级报告》(以下简称《定级报告》),纸质材料,一式两份每个备案的信息系统均需提供对应的《定级报告》,《定级报告》参照模版格式填写4)备案电子数据,刻录光盘每个备案的信息系统,均需通过“等级保护备案端软件”填写信息,并保存为一个压缩文件(压缩文件需包含sysdata.xml orgdata.xml及《定级报告》3个文件)另,第三级以上系统备案电子数据还应包括《备案表》表四所列的各项内容5)《信息安全等级保护工作小组名单表》,刻录光盘信息系统加固修复
4.3结合客户上年度联合检查中发现的问题进行加固修复,包含但不限于联合检查整改、风评评估结论的整改,落实完成管理加固、服务器加固、网络加固、应用系统加固、数据库系统加固、安全策略加固、安全设备加固等服务内容1)上年度信息安全联合检查整改;2)上年度信息安全风险评估不可接受风险整改;3)信息安全管理体系问题优化和完善;4)网络及系统安全加固;针对安全评估及安全扫描过程中发现的各种系统漏洞,并且依据既定的相关策略,采取措施予以弥补,消除已暴露的问题和可能的隐患,加固主机系统、网络设备和架构、WEB应用程序安全漏洞,提高客户信息系统的健壮性,抵御外部的各种安全风险以及恶意攻击,实现客户信息系统长期安全、稳定运行的最终目标■实施步骤如下1)分析安全评估及安全扫描结果,并进一步确定系统加固的需求(主要考虑承载于系统之上的应用的特殊需求);2)为系统安全加固做好准备(环境、工具、资料、人员等);3)进行系统加固测试;4)实施正式的系统安全加固,加固内容包括(不限于)安装最新补丁;禁止不必要的应用和服务;禁止不必要的账号;去除后门;内核参数及配置调整;系统最小化处理;加强口令管理;启动日志审计功能;利用定制脚本进行加固验证加固结果的有效性;编写并提交系统加固报告某些安全漏洞的修复可能并不困难(所以有经验的用户完全可以自己实施安全修复),但经验不够丰富的用户很难全面解决系统的安全问题,因为一个系统的危险性在于系统中最薄弱的地方,有可能用户采取了不少安全措施,却仍然不全面、不彻底因此,全面实施安全加固,真正彻底解决系统安全漏洞是完善整个安全体系的重要步骤服务输出《上年度信息安全联合检查整改》《上年度信息安全风险评估不可接受风险整改》《主机安全加固报告》《数据库安全加固报告》《网络设备安全加固报告》《应用程序解决方案》《网络安全架构解决方案》信息安全制度自查与优化.4结合高校信息安全管理现状,查找现有信息安全管理制度与联合检查要求之间的差距,配合建立与完善信息安全制度,落实信息安全制度执行记录,保证信息安全管理体系运行的有效性服务内容调研分析客户信息安全管理现状,参考行业客户信息安全管理经验查找现有信息安全管理制度与联合检查要求之间的差距,建立和完善2015年度联合检查工作所要求的信息安全管理体系,协助落实执行记录服务输出信息安全管理制度及执行记录包括(但不仅限于此)1)信息安全管理机构成立情况;2)信息安全管理职能部门设置;3)信息安全管理人员配备;4)信息系统的规划、建设、运维、废弃等环节的信息安全制度;5)信息安全制度执行情况记录;6)信息发布审批制度及相关记录;安全防护措施自查与优化.5依据《评分标准》配合客户开展安全防护措施合规检查,检查现信息系统中安全防范措施的落实情况,对不符合检查要求的现状和措施进行优化和整改,查漏补缺使得安全防护措施有效落实服务内容按照《2016年xx市党政机关信息安全联合检查工作方案》和《2016年XX市党政机关信息安全联合检查现场抽查表及评分标准》配合客户(包括下属单位)开展自查工作,真实详尽了解在“防病毒系统建设”、“补丁管理体系建设”、“安全审计”、“安全产品国产化”、“网页防篡改”、“门户网站防护”、“信息发布审批”、“防泄密”、“防恶意信息”、“内网终端违规外联”、“移动存储介质的保密存储”、“电子政务外网接入”、“信息系统安全防护”、“外包软件安全检测”、“安全域划分与建设防护”、“保密检查”、“计算机资产统计”、“网站备案”、“安全防范技术措施有效性核查”等方面的安全防护措施落实情况,对工作存在的不足之处协助整改,使得安全防护措施落到实处具体工作内容如下1)检查确保内网电脑安装了防病毒系统,病毒代码及时更新;2)检查确保已记录网络访问日志,访问日志可追溯到检查日期前60天,且访问日志没有一天以上的中断(系统正常维护停机或故障停机除外);3)检查确保所有向互联网发布的应用系统已受网页防篡改工具保护,且具备网站自动恢复功能;4)对互联网发布的网站进行安全测评,出具《网站安全测评报告》;5)协助对2016年网站应用层扫描发现的中高风险全部完成整改;6)编制整理信息发布审批制度及相关记录;7)确保非涉密计算机及外网计算机无存储、处理、传输涉密信息的痕迹;8)编制单位在使用的计算机资产的统计信息表,包含a)计算机主机名;b)计算机IP地址;c)计算机MAC地址;d)计算机使用人或责任人;e)计算机所属部门;f)计算机的物理位置;g)服务器的内外网IP对应9)确保单位开办交互式栏目的信息系统具备关键字过滤措施及有害信息的处理措施;10)确保内网终端无违规连接互联网行为;11)对用户使用的外包开发软件进行安全检测;12)对用户网络信息系统进行科学、合理的安全域设计和划分;13)对用户网络各安全域进行科学、合理的定性定级,编制各安全域的安全防护设计方案,并协助采购方实施;14)协助用户保密部门,对涉密计算机和涉密存储介质进行检查,检查内容包括非法外联、物理隔离、移动存储介质的混用、密件处理、监控软件状态等;15)协助完成用户所有网站在公安网监部门和运营商的备案,并取得国际联网备案登记证书和备案编号等证明文件;16)检查用户单位信息系统现有安全防范技术措施的有效性,提供优化建议门户网站安全测评及安全整改
4.6参照《信息系统安全等级保护基本要求》对客户门户网站进行安全测评,有效发现门户网站系统中存在的技术与管理上的脆弱点,从而针对性实施安全整改服务内容随着Web应用的日益广泛及其中蕴藏价值的不断提升,引发了黑客的攻击热潮,如网站内容被篡改、页面被植入木马、网站机密信息被窃取等安全事件的反复发生,给政府形象、信息网络甚至核心业务造成严重的破坏网站安全测评利用自动化测试工具和人工检测的方法对网站系统的应用系统、主机系统、网络系统、安全管理等方面进行全面的安全检测,帮助用户了解网站系统存在的安全隐患,为改善并提高网站的安全性提供保障1)网络层安全信息系统网络架构设计是否安全合理;网络访问控制是否严格有效;网络安全审计是否有效;网络入侵防范措施是否有效;恶意代码防范措施是否有效;网络设备、安全设备配置是否安全、有效;2)主机系统层安全(针对操作系统、数据库)是否能对主机系统用户设置恰当的身份鉴别手段;后台维护人员的权限是否是最小授权;后台维护人员的逻辑访问路径是否可信;安全审计记录是否完整;入侵防范措施、恶意代码防范是否充分有效;主机系统资源使用是否可控3)应用层安全(针对网站系统)是否能对应用软件用户设置恰当的身份鉴别手段;用户访问权限是否是最小授权;安全审计记录是否完整;是否能保证通信过程中的完整性、保密性;是否能保证软件容错;应用系统资源使用是否可控;是否存在代码安全缺陷4)数据安全数据是否备份并进行恢复测试安全扫描服务遵循“发现一扫描一定性一修复一审核”弱点全面评估法则,借助“榕基网络隐患扫描系统”快速发现网络资产,准确识别资产属性、全面扫描安全漏洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在弱点全面评估的基础上实现安全自主掌控WEB漏洞扫描主要功能1)深度扫描以web漏洞风险为导向,通过对web应用(包括WEB
2.
0、JAVAScript、FLASH等)进行深度遍历,以安全风险管理为基础,支持各类web应用程序的扫描2)WEB漏洞检测提供有丰富的策略包,针对各种WEB应用系统以及各种典型的应用漏洞进行检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等)3)网页木马检测对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位4)配置审计:通过当前弱点获取数据库的相关敏感信息,对后台数据库进行配置审计,如弱口令、弱配置等5)渗透测试通过当前弱点,模拟黑客使用的漏洞发现技术和攻击手段,对目标WEB应用的安全性做出深入分析,并实施无害攻击,取得系统安全威胁的直接证据建议增加的安全设备/服务5设备名称设备型号功能描述SURF-NGSA(特实现数据中心、校园网网络边界的逻辑隔离、访问控制和下一代防火墙定型号)VPN接入;SURF-NDP(特对网络中传输的数据包进行检测,发现恶意代码;入侵检测与防御系统定型号)SURF-RAG(特实现网络流量控制、用户控制和P2P应用控制等;上网行为管理系统定型号)SURF-SA(特定保证校园上网行为满足公安82号令的要求;上网行为审计系统型号)SURF-HAC(特发现和防止不当操作、越权操作;运维安全审计系统定型号)SURF-AD(特定提高数据中心业务系统的可靠性;应用交付系统型号)SURF-WAF(特保证校园网站、0A、招生考试等系统的安全;WEB应用防火墙定型号)对DNSFLOOD、HTTP FLOOD等应用层拒绝服务攻击SURF-DA(特定进行精细化的防护,不对正常的用户访问产生影响异常流量清洗系统型号)SURF-Service(特为高校提供的人工的渗透测试、风险评估和安全加固服务安全服务定型号)等相关产品介绍6下一代防火墙
6.1下一代防火墙配置背景
6.
1.1报告的攻击来自应用层■详细的饼状图分布■Gartner75%网络环境趋于复杂,致使需要寻找新的安全解决方案来满足除了抵挡外部攻击以外的安全需求以往,网络攻击手段基本停留在第三层的网络层,而随着Web
2.0时代的到来,大量的应用程序都建立在了HTTP和HTTPS等协议之上,传统的防火墙对应用层望尘莫及基于网络层的操作就意味着传统防火墙只能根据与数据包源地址和目标地址有关的信息来检测流量,但是对于上述的HTTP和HTTPS流量却是无能为力虽然现在有针对应用层的IPS设备,但是IPS却无法识别具体的应用,达不到目前用户所需的精细力度的应用层控制,因而也无法对特定应用进行防护,需要配置兼容传统防火墙和抵御新网络环境下威胁的下一代防火墙下一代防火墙实现功能
6.
1.2标准从安全功能、安全保证、环境适应性和性能四个方面,对第二代防火墙提出了新的要求,应用层控制、Web攻击防护、信息泄漏防护、恶意代码防护和入侵防御是此次定义的第二代防火墙的几大功能下一代防火墙效果
6.
1.3支持深度应用识别技术,可根据协议特征、行为特征及关联分析等,准确识别数千种网络应用,可支持SSL加密流量的应用识别提供了基于深度应用识别、协议检测和攻击原理分析的入侵防御技术,可有效过滤病毒高校信息化现状1目前,高校经过这几年加大对信息化的建设,已经实现全校网络覆盖,安全防护能力业已达到“二级”合格标准管理信息系统如门户网站、0A系统、招生系统、教务系统、财务系统、金龙卡、教学资源系统、教学质量监控系统、图书管理系统以及各部门自主购买的一系列应用系统等等,可以说这些应用系统基本上覆盖了大部分校园信息化所具备的管理系统学校中心机房有在用服务器,存储设备数套,分属各处室、分院及图书馆,各自运行、存储独立的管理系统及数字资源信息化建设已经基本覆盖校内的大部分管理信息化领域,数字校园建设初具规模当前已建的这些应用系统,基本能够解决高校在行政办公管理、教务管理、学工管理以及科研管理等范畴内结果性数据维护的需求在方便了各业务部门进行业务处理的同时,也积累了不同业务、不同阶段的各类数据而这些数据的沉淀,作为我校在〃十二五〃期间,信息化建设的重要成果,为下一阶段的数据决策和分析提供有效的依据和支撑事实证明,高校通过在〃十二五〃期间的信息化建设,在完成各类结果数据沉淀的同时,为各级各类型业务部门利用信息技术和手段开展业务办理,提供了有效的应用环境在业务办理过程中,因为有了基于独立面向单体业务开发的各类业务应用系统,办理效率在大幅提升,为高校整体运营层面大大降低了因为人工方式带来的运营成本面向学生,也能够利用信息化的手段为他们提供基于某个业务场景的业务服务不可否认的是,高校通过〃十二五〃期间展开的信息化建设,在保证原有业务开展质量的同时,较大幅度的提高了业务管理水平和效率尽管如此,在信息化建设的道路上仍然有很多的空间需要提升随着信息化建设的推进,云计算的技术的不断成熟以及在高校领域的不断渗入云计算通过将数据统一存储在云计算服务器中,加强对核心数据的集中管控,比传统分布在大量终端上的数据行为更安全由于数据的集中,使得安全审计、安全评估、安全运维等行为更加简单易行,同时更容易实现系统容错、高可用性和冗余及灾备恢复但云计算在带来方便快捷的同时也带来新的挑战信息化存在问题与分析
1.1我们不得不进一步发现,从高校整体信息化建设的过程、应用的过程以及后期维护的过程中,仍然存在问题有些问题直接影响了高校后续信息化建设的节奏与效果这些问题主要木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,为内网提供L2-L7层网络安全防护支持多链路条件下的智能链路负载均衡功能,实现防火墙全功能虚拟化,满足多样化的网络环境上网行为管理
6.2上网行为管理配置背景621根据国家互联网应急中心(CNCERT)发布的《2015年我国互联网网络安全态势报告》数据显示,截至2015年12月底,中国网站总量规模为
364.7万个,网民规模大
6.49亿,手机网民规模
5.57亿,互联网普及率达到49%但是人们在享受互联网带来的巨大便利的同时,由其带来的负面影响和安全威胁也日趋严重企业需要对办公网络实现上网行为的管控,同时国家监管单位的安全监管要求,如公安部82号、信息安全等级保护,需要健全自身信息安全保障体系上网行为管理功能622具备五大核心功能用户多样化认证、网络访问控制、应用控制、网络流量管理及日志审计上网行为管理实现效果
6231、本地认证、微信、短信、第三方外部服务器的身份认证,实现差异化管理,有效管控无线,有线网络接入控制
2、可做出口安全网关,具备NAT地址转换、VPN、PPPoE DNS、DHCP等功能,节约建设成x本
3、对数据包的深度检测功能,对网络流量能准确的按协议、应用识别,精准控制用户行为,规范用户的上网行为
4、基于单个服务、服务组、多服务、应用的任意组合等进行带宽控制和流量阻断,实现带宽的有效使用
5、完善的日志审计与报表功能,实时统计出当前网络中的各种报文流量,进行综合流量分析,对符合行为策略的事件实时告警并记录,满足管理和国家监管要求网络安全审计系统
6.3网络安全审计系统配置背景
6.
3.1法律法规工业和信息化部文件中华人民共和国公安部政策法规关:印发《公安机关信息安全等级保护检查工作规范》的通知公信安[2008J736号
1、根据国家相关法律的规定,在外部网络上发布淫秽信息与及迷信、反动、分裂等言论均为违法行为,如有滥用单位网络进行了上述行为,将把单位拖进复杂的、难以脱身的法律纠纷甚至更高级别的安全风险当中为此,公安部与2005年12月1日正式颁布并于2006年3月1日开始实施的《互联网安全保护技术措施规定》,即公安部第82号令中明确要求所有互联网单位均要安装网络安全审计系统
2、信息安全等级保护是我国信息安全保障的基本制度、基本策略、基本方法开展信息安全等级保护工作,目的是要解决我国信息安全面临的威胁和存在的主要问题,而等级保护包含5个方面的建设,物理安全、网络安全、主机安全、应用安全、数据安全而其中的网络安全与主机安全,就可以通过建设网络安全审计系统来实现
3、加强上网机构内外部网络信息控制监管的同时,为避免相关信息外泄及事后的追溯取证需提供了有效的技术支撑,能够详实记录网络内的各种网络活动网络安全审计系统实现功能
6.
3.2记录行为信息根据第略设定进行报警或阻断实时发现用户网珞行为全程监控行为发现日志查询回溯安全事件,找到当事人报表生成S生成网络使用报表,二动发送缁关人员
1、能够全面详实地记录网络内流经监听出口的各种网络行为
2、针对互联网上流行的可还原协议,任天行系统能够在记录网络内流经监听出口的各种网络行为产生的具体内容
3、提供自定义危险行为和内容报警行为
4、根据历史上网日志数据统计产生丰富详细的报表
5、采用通过RAID5实现数据保护,快速日志查询网络安全审计系统实现效果
6.
3.
31、支持审计藏、维、日、韩、泰等特殊语种;满足国家监管部门和信息安全等级保护建设需求,政治合规性
2、内网无线、有线网络环境下的行为审计,网络审计根据国家有关法规规定保存至少60天,以便进行事后的审计和分析
3、记录网页浏览、文件外发、远程登录、即时通讯、加密即时聊天、网页外发数据、数据库访问等内容记录和敏感信息外发报警
4、按年度、月度或者指定时间范围生成周期性报表,便于管理人员对整个公司网络运行精准的了解云运维审计系统堡垒机
6.4云运维审计系统配置背景641云堡垒机系统针对云平台、服务器、虚拟机提供安全访问控制,对用户操作权限进行细粒度划分云堡垒机系统中预设服务器管理员、云管理员、项目管理员、用户四种角色,为云平台、服务器提供比传统堡垒机更全云面计的安算全、访大问数控据制和虚拟化技术的涌现和普及,让运维管理变得日益复杂员分谈毗95%的安全问题都移动互联带来设备越来越多样化,移动是由人引起的,新技计算节点、存储设备终端运维和BYOD混合云的出现使得和网络设备随数据术下对人的运维工Bring YourOwn对云平台安全管控规模呈线性熠长,运作规范化要求更高Devices是大势所趋更有挑战性维变得日益复杂核心功能敏感指令复核云运维审计系统功能
6.
4.2>4A分级分权:4A分级系统管理员、口令管理员、服务器(运维)管理员、审计管理员各级角色独立相互制约,符合4A认证管理系统要求动态角色分配可扩展云平台管理员、项目管理员、体验管理员等>集中管控人员集中管理所有运维人员帐号、口令、运维操作都需要通过堡垒机集中管理资源集中管理服务器、虚拟机、网络设备等各种资源帐号、口令、登陆入口集中管控>运维管理权限管理为每个网管人员授权指定的网络设备,避免交叉运维、口令交叉授权带来IT管理的无序、混乱统一集中管控运维记录串计>敏感指令复核普通网管人员进行敏感操作(修改密码、删除文件)时需要进行上级动态授权(同意操作、告警并审计、拒绝等)后才可以进行下一步操作>大数据分析国内首家采用ElasticSearch大数据分析技术作为日志分析的产品,支持正则表达式、开发语言检索技术,支持对录屏文件内容检索定点播放技术云运维审计系统实现效果643能够使用虚拟机镜像作为产品进行分发,方便可靠;对各类云平台进行细粒度权限管控,支持云平台中虚拟机生命周期管理;以第三方方式对各种云平台进行管控、审计,提供更加精准、可靠的权限管控与审计;在不改变原有云平台客户端管理方式的基础上,灵活适配各种云平台;与上层应用无缝对接,如对云平台上运行的ERP系统进行细粒度的权限管控;通过集中统一的访问控制与细粒度的命令级授权策略,使用户在正常管理云平台与服务器的基础上,不会拥有超出其职责的操作权限,当用户进行越权操作时,实时进行告警、阻断,确保每次操作在可控范围内;提供访问日志审计分析与历史访问回放,使得日志审计更直观、方便;提供敏感指令、敏感操作权限复核,通过设置敏感、高危操作管控,使得用户权限更加明确,使得对云平台、服务器的管理更加安全可控应用防火墙和网站监控平台
6.5Web应用防火墙与网站监控平台配置背景
6.
5.1Web当WEB应用越来越为丰富的同时,WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标SQL注入、网页篡改、网页挂马等安全事件,频繁发生2015年,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)监测到中国大陆被篡改网站总数累积达61228个,比2016年增加了
1.5倍其中,中国大陆政府网站被篡改各月累计达4234个研究WEB安全漏洞,找到防范对策,有针对性的检测防护是提高WEB应用系统防护能力的技术路线,也是网页防篡改、防入侵的根本之道应用防火墙和网站监控平台实现功能
6.
5.2Web」应用防火墙功能652Web♦Web安全防护SURF-WAF应用防火墙提供了全面的Web安全防护功能,可防护攻击类型包括♦SQL注入、跨站攻击、Cookie注入、恶意代码、缓冲区溢出等Web机器变种攻击♦防信息泄露♦网站挂马防护及其检测♦协议完整性检测♦CSRF防盗链♦HTTP RFC协议完整性检查♦关键字过滤♦HTTP协议合规性检查目前的应用防火墙产品主要以特征库比对的方式实现攻击清洗,WAF具有预置和自定义两种特征库,并支持灵活的配置方式,以满足复杂应用的防护要求另外,拥有专业漏洞挖掘团队,定期在线更新特征库,以应对新型的攻击方式♦Web安全扫描应用防火墙从网站安全的根源考虑,集成了WAF自主研发的Web漏洞扫描系统可帮助用户周期性检测应用服务安全性,并提供详尽的报表,使得用户在漏洞或安全隐患被利用前就及时发现并采取相应的补救措施,防患于未然以下为扫描结果截图扫粮任务详细信息-dfdf20140828183528□e刷款£自动刷期□严重级别类型URL细节□中级不正确或丢失字符集高风险http://
192.
168.
5.140/bookna.▲中皴不正确或舌失字符靠1寓风险)http://
192.
168.
5.140/process...□中级不正确或芸失字符隼高风险http://
192.
168.5140/searchb...E中援文档正文存在XSS http://
192.
168.5140/bookna.injectedtagseeninHTML3□中级文档正文存在XSS http://
192.
168.
5.140/process...injected-tagseeninHTML□中级文档正文存在XSS http://
192.
1685.140/searchb...injectedtagseeninHTML低级JSON响应没有XSSH呆护http://
192.
168.
5.140/sample/...口低级HTML表单XSRF没有保护http://
192.
168.5140/searchb..□低级HTML表单XSRF没有保护http://
192.
1685.140/sample/...低级在页面上嵌入外部内容(风险较..http://
192.
168.
5.140/http://shopxp.site/admin/save...0普通数值名-考虑枚举http://
192.
168.5140/ssreader...三□普通不正确或丢失字符集(低风险http://
192.
168.
5.140/gb2312□普通不正确或至失字符集(低风险http://
192.
168.
5.140/sfi9876GB2312□普通不正确或丢失字符集i低风险http://
192.
168.
5.140/.htacces...皆由不正确或三失字符集(低风险;http://
192.
168.5140/sample/....□普通不正确或芸失字符集(低风险http://
192.
168.
5.140/sample/...GB2312冷而不正确或三失字符集(低风险http://
192.
168.5140/sample/..□普通不正确或亲失字符集(低风险http://
192.
168.
5.140/sample/...GB2312□替甬不正确或丢失字符隼(低风险;http://
192168.5140/sample/..0普通不正确或芸失字符集(低风险http://
192.
168.
5.140/sample/...0普通不正确或三失字符集(低风险;http://
192.
168.5140/sample/..GB2312□普通不正确或芸失字符集(低风险http://
192.
168.
5.140/sample/...n H缶-r:rzN水工片士七住/壮Dig,▼收页1页共3页►11显示本地日志1•25总共67网页防篡改SURF-WAF应用防火墙集成了网页防篡改功能,可集中管理控制各个网页防篡改端点,并提供监控、同步、发布功能该网页防篡改具有以下特点♦基于文件夹驱动级保护技术,事件触发机制,只占用极少的系统资源♦与WAF联动网页防篡改(端点技术)与WAF联动,阻断Web威胁♦采用文件级驱动保护技术,用户每次访问每个受保护网页时,Web服务器在发送之前都进行完整性检查,保证网页的真实性,可以彻底杜绝篡改后的网页被访问的可能性♦支持Windows2000/xp/2003/2008/2012(32和64位),Linux/BSD系统的网页防篡改♦发布服务器功能,提供网页防篡改的发布模式,能和主流的CMS系统集成进行内容发布网站监控平台系统功能指筠分析
6.
5.
2.2-5匚后I信息L,应布区城信层I文金态势-予页测转区区i或网络废辰去势-又寸所属网立占用4古-指导区城安金防护网立占目膏■所有者自查和•所有者白我整改网交篡改Web应用曲每攵屋字4金测拄实现7*24小时对网站的漏洞扫描、木马检测、web应用监控、敏感字检测、DNS检测、网页篡改检测等安全检测服务,能够实时提供安全分析报表和安全分析预警应用防火墙与网站监控平台实现效果
6.
5.3Web通过对WEB安全现状分析,结合多年在应用安全攻防基础理论和安全漏洞研究实践经验,我们认为WEB应用防火墙和网站监控平台主要能够解决客户以下几个痛点防御来自网络外部的DDoS攻击,保障WEB网站的可用性;满足合规性要求,地方公安网监和行业主管部门定期对网站进行检查和扫描,部署web防火墙可以屏蔽扫描,修补漏洞,而网站监控平台可实现即时发现问题和预警;提供的WEB网站防护能力,防止网站被挂马,被恶意篡改;Web应用防火墙能够抵御危险的能力主要是以特征库的数字签名比对,而同时部署网站监控平台在满足实时监测的情况下,将未知威胁的特征即时发送到web应用防火墙>网页敏感信息监测服务,远程实时监测目标站点页面状况,发现页面出现敏感关键词,第一时间通知用户用户提供的安全建议及时删除敏感内容,避免事件影响扩散,给自身带来声誉和法律风险用户也可以自定义所关心的敏感关键词>定期提供面向Web的安全漏洞、安全咨询以及Web攻击趋势分析报告,便于掌握并且规避相关安全问题主要提供1)针对安全漏洞的分析和修复方案;2)重大事件之前的安全预防以及相关通告;3)定期关于网站威胁的分析报告,同时及推送国内的重大安全事件集中在以下几个方面:
1.
1.1缺乏统一的开放支撑平台,多厂商共建造成过程风险高校在〃十二五〃期间建设的信息化系统众多其间涉及门户网站、0A系统、招生系统、教务系统、财务系统、金龙卡、教学资源系统、教学质量监控系统、图书管理系统以及各部门自主购买的一系列应用系统等等信息化建设过程中,多个厂商参与共建,而建设的内容都是以业务部门需求为核心的单体业务系统,现在是普遍高校信息化建设的现状学校的信息化建设在设计初期,都在强调顶层规划应该讲,这样一张蓝图是指导学校后续的信息化逐步推进的原则但在实际过程中,由于不同厂商参与建设的学校信息化,就会出现实际建设路径与最初设计蓝图不一致的情况归结原因主要有以下两点其一,不同厂商采用不同的技术架构开发设计,过程相对封闭而学校信息化一旦需要从单体系统向一体化转型时,就会带来因为封闭技术架构带来的冲突,使整合难度加大,对学校而言建设安全风险增加其二,建设边界相对模糊,带来学校从单体系统一体化转型过程中,权责难以明确的问题厂商之间互相推诿,撇清责任这对学校信息化安全建设过程无疑风险巨大其三,缺乏统一的安全的身份认证手段,各厂商承建的系统对权限的管控手段水平不一,在安全性和用户直接使用感受上都存在问题,师生在使用各信息系统时往往会面对各种账号,在用户体验上大打折扣
1.
1.2校级流程管控缺失,各处室割离建设造成流程杂乱当前大部分高校在信息化建设过程中,各个部门和二级学院的规划和建设,都是各自为政,建设自己的管理信息系统或应用软件,这些软件系统来源于不同部门的采购,软件产品分属于不同的生产商这种状况表现在应用过程中功能重叠、数据格式多样性和系统之间无关联性所谓的“信息孤岛”就由此产生,信息孤岛的产生使信息资源的利用率大打折扣,各系统难于共享信息由不同的软件供应商提供建设的各个业务系统的建设覆盖面较窄,且中间涉及到与该业务部门相关的大量业务流程这些业务流程长短不一,其应用场景也相对固定校级的业务流程现在在国内的大部分高校信息化建设过程中都相对缺失带来这个问题的主要原因是由于单体业务系统的人为割裂建设有关业务部门是这些业务系统建设的需求提出单位,他们所关注的仅仅是这个业务部门在某个业务场景中的流程需要他们并不会过多的关注校级层面的流程与自己部门业务流程的关联到底有哪些同时,就是针对自己部门内部的业务流程,每流程节点的执行人、执行时间、执行耗时、执行效果、执行评价等这些信息也是一无所知,这也就带来了当前大部分高校在进行信息化建设过程中校级流程的缺失
1.
1.3流程杂乱及数据质量监控缺失造成数据质量低下高校目前构建的这些业务应用系统,从单体的系统使用情况看,仍然存在〃建的多,用的少〃的情况对业务系统而言,在应用环节的缺失,直接影响对应业务数据的沉淀,更不用提到所谓数据质量的问题这是影响数据质量不高的原因之一另外,学校对于数据质量的监控,包括数据交换过程的监控、代码标准的监控缺失,也导致数据质量的低下,实为原因之二
1.
1.4高校普遍网站安全防护力度不够安全漏洞未及时更新随着教育行业信息化的快速发展和网络信息技术的普及应用,网络安全面临的威胁越来越严峻很多高校的网站或信息系统存在跨站脚本、SQL注入和后台管理弱口令等高危漏洞,部分网站已经被植入木马部分虽然配置了安全防护设备,但疏于管理,实效性较差,安全防护效果不明显总体来看,教育行业的网络与信息安全形势严峻,及时查补信息安全漏洞,积极采取应对措施
1.
1.5高校数据中心安全危机和运维管控难度加大随着教育信息化建设的逐步深入,教务工作对信息系统依赖的程度越来越高,数据服务器成为了高校重要组成内容,积聚越来越多的信息资源近几年网上黑客攻击,修改考试成绩,骗取认证证书等事件屡有发生,教育系统已经逐渐成为黑客关注的重点目标,高校数据中心的安全保障工作已经迫在眉睫教育系统信息泄露安全风险分析
1、来自互联网风险教育行业网站系统中括学校院系门户、教学管理系统、网上课程、数字图书馆、网上办公等,为高校师生们提供各式各样的网络服务并且都与上级教育部门进行多项联系,教育系统网络如果与Internet公网直接或间接互联,那么由于互联网自身的广泛性、自由性等特点,像高校这样的教育行业单位自然会被恶意的入侵者列入其攻击目标的前列需要对数据库的安全进行权限控制和加密措施
2、来自运维管理的安全风险随着信息教育行业信息化建设进程,由于设备和服务器众多,特别是建设有数据中心,云平台和虚拟机众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响教务工作运行效能,并对学校声誉造成重大影响另外黑客的恶意访问也有可能获取系统权限,闯入部门内部网络,造成不可估量的损失如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为高校关心的问题
1.
1.6私有云的建设,带来便利的同时面临着新的挑战高校现在的的数据量和应用规模越来越大,大部分的高校建设或者考虑建设自己的私有云以满足未来越来越大的数据规模从风险管理的角度讲,云的风险来源于管理资产、威胁、脆弱性和防护措施及其相关关系,保障云计算平台的持续安全,以及其所支撑的业务的安全云计算平台是在传统IT技术的基础上,增加了一个虚拟化层,并且具有了资源池化、按需分配,弹性调配,高可靠等特点因此,传统的安全威胁种类依然存在,传统的安全防护方案依然可以发挥一定的作用综合考虑云计算所带来的变化、风险,从保障系统整体安全出发,其面临的主要挑战和需求如下法律和合规动态、虚拟化网络边界安全虚拟化安全流量可视化数据保密和防泄露安全运维和管理针对云计算所面临的安全威胁及来自各方面的安全需求,需要对科学设计云计算平台的安全防护架构,选择安全措施,并进行持续管理,满足云计算平台的全生命周期的安全信息化问题解决思路信息化问题解决思路2信息化云■管■端整体布局
2.1开放的数字化校园技术与应用体系»校外服务应用池应用啮生态0Al学工|人事|台!刖|殴|资产|朝II后初蹈||上网月瞄|飒胳运营监控体系业务统管控应用运营数据应用管理应用门户运营监控平台开发平台开健康度|趋势分析用户互动社区发异粉析行为数据跟踪支持理IM超引擎校园服务总线哙治理工具畸侬TB畸标准管理工具运行服务湖注册|监控|启停接口定义|版本告理|服务分组资月的路由|格式转换|协议转换逅t侬平台源项目规范昔理行业组件库库复版本管理控制公共应用组件用主数据■|统一通信|身份认证|移动支岸|支付平台|GIS平台公开发生态公运营生态图
2.1;整体技术架构如上图所述,高校需要建设一个完整的开放式的私有云IT生态体系,实际上是包括了从开发生态、运行生态、应用服务生态到运营生态的全生命周期的建设过程,并最终以服务的方式向最终用户进行业务展现每个阶段的建设思路和模式都对整体信息化建设起着至关重要的影响开发生态通过组件化开发平台,形成应用和组件,应用和组件挂载到校园服务总线,可为校内应用服务池和业务应用管理服务平台调用并将其通过资源库的方式积累为行业资源库,为日后资源复用提供储备同时开发平台能够对外部的第三方应用进行服务化的封装,同样形成新的应用或组件,挂载到校园服务总线基于组件化开发平台的可视化开发过程,校内的广大师生和社会人士也可以通过该工具完成简单的应用服务开发,并通过发布工具发布到校内,增强信息化建设整体参与面的广度和深度运行生态以校园服务总线、应用管理服务平台以及包括主数据管理、身份认证管理、统一通讯、移动支撑平台等在内的公共应用组件,为学校提供统一的、高交互性、高开放性的服务应用运行环境其提供的服务都是通过校园服务总线进行统一发布的服务,通过业务应用管理服务平台将其编排成符合学校需要的业务逻辑,提供给用户使用校园服务总线负责整个学校信息化建设各个平台间服务交互和信息传递,通过服务治理工具管理服务运行,通过基于校园服务总线的服务集成工具完成服务的集成和交互,通过服务标准管理工具保障各服务间调用的规范性被服务调度总线封装的,除了组件化开发平台提供的应用和组件外,还包括校内很多的基础应用组件,如主数据管理、统一身份认证、统一支付等,都以服务的方式在服务调度平台上进行挂载,并借由服务调度平台完成同其它平台的集成应用服务生态改变原有的行政化、管理化信息系统使用模式,以类互联网的模式,形成校内的应用超市,包括校内师生综合服务平台和校外的服务应用池,有效接入,实现应用服务的动态分配和按需使用并对服务使用进行全面监控和管理,对业务过程和服务质量做到有效评估信息化云数据中心安全防护
2.2云计算平台的安全保障技术体系不同于传统系统,它也必须实现和提供资源弹性、按需分配、全程自动化的能力,不仅仅为云平台提供安全服务,还必须为租户提供安全服务,因此需要在传统的安全技术架构基础上,实现安全资源的抽象化、池化,提供弹性、按需和自动化部署能力充分考虑云计算的特点和优势,以及最新的安全防护技术发展情况,为了达成提供资源弹性、按需分配的安全能力,云平台的安全技术实现架构设计如下说明平台安全资源池可以由传统的物理安全防护组件、虚拟化安全防护组件组成,提供基础的安全防护能力;。
个人认证
优秀文档
获得点赞 0
