XX高校信息安全建设规划方案【优秀范文】

下面是小编为大家整理的XX高校信息安全建设规划方案【优秀范文】,供大家参考。

X XX 高校信息安全建设规划方案信息安全建设设计方案 xxxx 股份有限公司 2018 年 6 月 ■版本变更记录时间版本说明修改人 2017-5-30 V1.1 文档修改 2018-6-6 V1.2 文档修改 ■文档说明本文档作为 xxxx 大学信息安全设计方案的输出文档；本文件的读者范围为我公司参与项目建设的人员与 xxxx 大学信息安全建设的有关人员。

　　目录第 1 章方案概述 ..................................... 8 1.1 建设背景 ..................................... 8 1.1.1 法律要求 .................................. 9 1.1.2 政策要求 ................................. 10 1.1.3 行业要求 ................................. 11 1.2 建设目标及内容 .............................. 12 1.2.1 建设目标 ................................. 12 1.2.2 建设内容 ................................. 13 第 2 章现状、挑战、风险 ............................. 1 2.1 现状概述 ..................................... 1 2.1.1 信息系统现状 .............................. 1 2.1.2 高校网络安全现状 .......................... 2 2.2 未来的挑战 ................................... 5 2.2.1 “互联网+教育” ........................... 5 2.2.2 “人工智能+教育” ......................... 5 2.2.3 大数据平台 ................................ 5 2.3 现状、差距、风险分析 ......................... 6 2.3.1 现状与差距分析 ............................ 6 2.3.2 差距与风险分析 ........................... 28 第 3 章方案设计 .................................... 31 3.1 设计思路 ................................... 31 3.2 一个出发点 ................................. 31 3.3 两大标准 ................................... 32 3.4 三种融合 ................................... 32 3.5 四个体系 ................................... 34 3.6 信息安全建设规划拓扑图 ..................... 35 第 4 章方案建设 ................................... 42 4.1 建设原则 ................................... 42 4.2 技术安全体系建设 ........................... 42 4.2.1 安全区域边界设计 ........................ 42 4.2.2 安全计算环境设计 ........................ 43 4.2.3 安全通信网络设计 ........................ 45 4.2.4 安全管理中心设计 ........................ 45 4.2.5 安全区域划分 ............................ 46 4.2.6 新增安全措施 ............................ 47 4.2.7 优化安全措施 ............................ 48 4.3 应用安全建设 ............................... 48 4.3.1 应用安全设计 ............................ 48 4.3.2 业务系统应用安全 ........................ 49 4.4 安全管理体系建设 ........................... 49 4.4.1 安全管理机构概述 ........................ 49 4.4.2 安全管理制度规划 ........................ 60 4.4.3 安全管理制度梳理服务 .................... 61 4.5 应急预案体系建设 ............................ 65 4.5.1 编制目的 ................................. 65 4.5.2 编制根据 ................................. 65 4.5.3 适用范围 ................................. 65 4.5.4 工作原则 ................................. 66 4.5.5 组织与体系 ............................... 66 4.5.6 预防预警 ................................. 66 4.5.7 应急响应 ................................. 67 4.5.8 后期处置 ................................. 69 4.5.9 保障措施 ................................. 70 4.5.10 监督管理 .............................. 70 第 5 章方案价值 .................................... 72 第 6 章类似成功案例 ................................ 73 第 7 章安全产品/服务部署说明 ....................... 74 7.1 网络整改及安全产品部署 ...................... 74 7.1.1 校园网整改及安全域划分 ................... 74 7.1.2 服务器、终端及应用系统安全加固 ........... 74 7.2 安全服务 .................................... 75 7.2.1 安全意识教育 ............................. 76 7.2.2 网络安全服务列表 ......................... 87 7.2.3 网络安全服务简介 ......................... 88 7.3 一期安全产品/安全服务 ....................... 96 7.3.1 堡垒主机系统 ............................. 96 7.3.2 日志审计系统 ............................ 98 7.3.3 数据库审计系统 ......................... 101 7.3.4 主机安全加固软件 ....................... 103 7.3.5 准入操纵系统 ........................... 105 7.3.6 WEB 资产安全治理平台 .................... 109 7.4 二期安全产品/安全服务 ..................... 116 7.4.1 云 WAF ................................. 116 7.4.1 IT 综合运维管理系统 ..................... 118 7.4.1 RFID 机房资产管理系统 ................... 124 7.5 三期安全产品/安全服务 ..................... 126 7.5.1 ZDNS 部署 .............................. 126 7.5.2 安全运维管理平台（soc+态势感知） ....... 130 7.6 四期安全产品/安全服务 ..................... 133 7.6.1 APT 高级威胁分析平台 .................... 133 7.6.1 数据容灾备份系统 ....................... 135 7.7 五期安全产品/安全服务 ..................... 136 7.7.1 GRC 网络安全管理管理平台 ................ 136 7.7.2 安全值 ................................. 143 第 8 章方案预算 .................................. 146 附件—信息系统建议定级 ............................... 148 图表目录图表 1 学校 IT 资产表 .................................... 2 图表 2 物理安全现状差距表 ............................... 6 图表 3 网络安全现状差距分析表 .......................... 10 图表 4 主机安全现状差距分析表 .......................... 15 图表 5 应用安全现状差距分析表 .......................... 20 图表 6 数据安全现状差距分析表 .......................... 24 图表 7 安全管理现状差距分析表 .......................... 26 图表 8 安全技术差距与风险分析 .......................... 28 图表 9 管理体系差距与风险 .............................. 29 图表 10 网络安全综合治理行动差距与风险分析表 ........... 29 图表 11 信息安全建设与规划总体示意图 ................... 35 图表 12 信息安全建设与规划-一期示意图 .................. 37 图表 13 信息安全建设与规划-二期示意图 .................. 38 图表 14 信息安全建设与规划-三期示意图 .................. 39 图表 15 信息安全建设与规划-四期示意图 .................. 40 图表 16 信息安全建设与规划-五期示意图 .................. 41 图表 17 xxxx 大学信息安全组织架构示意图 ................ 55 图表 18 xxxx 大学安全管理制度规划示意图 ................ 61 图表 19 方案价值表 ..................................... 72 图表 20 成功案列表 ..................................... 73 图表 21 安全服务列表 .................................. 88 图表 22 方案预算表 ................................... 147 第 1 章方案概述 1.1 建设背景随着我国学校信息化建设的逐步深入，学校教务工作、招生工作、学籍管理工作、科研管理工作、学生校内的学习与生活等对信息系统依靠的程度越来越高；教育信息化建设中大量的信息资源，成为学校成熟的业务展示与应用平台，在未来的教育信息化规划中占有非常重要的地位。从安全性上分析，高校业务应用与网络系统日益复杂，外部攻击、内部资源滥用、木马与病毒等不安全因素越来越显著，信息化安全是业务应用进展需要关注的核心与重点。为贯彻落实国家信息安全等级保护制度与《网络安全法》，规范与指导全国教育信息化建设工作，国家公布了一系列关于教育行业信息化工作的通知，同时随着我国网络安全法的正式实行，保障信息系统安全已经成为学校应承担的法律义务。

　　2014 年 9 月，四川省公安厅、四川省教育厅关于进一步加强学校网络与信息安全保护工作的通知。

　　2014 年 10 月，教育部办公厅印发《教育行业信息系统安全等级保护定级工作指南（试行）》的通知。

　　2015 年 7 月，教育部办公厅印发关于全面推进教育行业信息安全等级保护工作的通知。

　　2017 年 2 月，教育部办公厅印发《2017 年教育信息化工作要点》的通知。

　　2017 年 3 月，教育部办公厅印发《教育行业网络安全综合治理行动方案》的通知。

　　 2017 年 6 月，《中华人民共与国网络安全法》正式实行。

　　1.1.1 法律要求在今年颁发的《中华人民共与国网络安全法》中明确规定了法律层面的网络安全。具体如下：

　　“没有网络安全，就没有国家安全”，《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”。各网络运营者应当按照要求，开展网络安全等级保护的定级备案、等级测评、安全建设、安全检查等工作。除此之外，《网络安全法》中还从网络运行安全、关键信息基础设施运行安全、网络信息安全等对下列方面做了全面规定：

　　网络日志留存：第二十一条还规定，网络运营者应当制定内部安全管理制度与操作规程，确定网络安全负责人，落实网络安全保护责任;采取防计算机病毒、网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施，留存很多于六个月的有关网络日志;采取数据分类、重要数据备份与加密等措施。未履行上述网络安全保护义务的，会被依照此条款责令整改，拒不改正或者者导致危害网络安全等后果的，处一万元以上十万元下列罚款，对直接负责的主管人员处五千元以上五万元下列罚款。

　　漏洞处置：第二十五条规定，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。没有网络安全事件应急预案的，没有及时处置高危漏洞、网络攻击的;在发生网络安全事件时处置不恰当的，会被依照此条款责令整改，拒不改正或者者导致危害网络安全等后果的，处一万元以上十万元下列罚款，对直接负责的主管人员处五千元以上五万元下列罚款。

　　容灾备份：第三十四条第三项规定，关键信息基础设施单位对重要系统与数据库进行容灾备份。没有对重要系统与数据库进行容灾备份的会被依照此条款责令改正。

　　应急演练：第三十四条第四项规定，关键信息基础设施单位应当制定网络安全事件应急预案，并定期进行演练。没有网络安全事件预案的，或者者没有定期演练的，会被依照此条进行责令改正。

　　安全检测评估：第三十八条规定，关键信息基础设施的运营者应当自行或者者委托网络安全服务机构对其网络的安全性与可能存在的风险每年至少进行一次检测评估，并将检测评估情况与改进措施报送有关负责关键信息基础设施安全保护工作的部门。每年没有进行安全检测评估的单位要被责令改正。

　　1.1.2 政策要求教育部正在实施的《教育行业网络安全综合治理行动方案》；目标是提升安全水平，增强防护能力，有效防范风险，保障运行与数据安全。原则是：问题导向、突出重点、完善机制，狠抓落实。实施范围是各级教育行政部门及其直属单位高等学校。《方案》要紧有四大项要紧任务，“治乱”、“堵漏”、“补短”、“规范”。每一项工作任务对应不一致的工作重点，总共 10 项具体如下：

　　1. 统一标识 2. 信息公布管理 3. 网站域名清理 4. 安全监测预警 5. 检测风险 6. 网络安全等保 7. 测评与整改 8. 数据安全 9. 关键信息基础设施 10. 应急响应 1.1.3 行业要求 2016 年 11 月教育部网络安全与信息化领导小组的成立，国家层面对教育行业信息化安全的重视程度日益增加。教育部对教育行业网络信息安全的工作要求如下：

　　提高思想认识，加强组织领导  认真学习贯彻《中华人民共与国网络安全法》  将工作纳入...