XX大学网络安全等级保护解决方案

1、精选优质文档-倾情为你奉上精选优质文档-倾情为你奉上专心-专注-专业专心-专注-专业精选优质文档-倾情为你奉上专心-专注-专业XX大学网络安全等级保护解决方案XXXX安全技术有限公司2018年7月项目背景随着网络技术的高速发展，校园网络建设也一直走在网络发展的前端。而随着网络技术的发展，网络的安全问题日益突出。近几年来，黑客攻击、网络病毒等等已经屡见不鲜，而且一次比一次破坏力大，对网络安全造成的威胁也越来越大，一旦网络存在安全隐患，遭受重大损失在所难免。在高校校园网中，网络管理者对于网络安全普遍缺乏重视，但是随着网络环境的恶化，以及一次次付出惨重代价的教训，高校校园网的管理者已经将安全因素看作

2、网络建设、改造的关键环节。国内高校校园网的安全问题有其历史原因：在旧网络时期，一方面因为意识与资金方面的原因，以及对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，高校网络建设者在安全方面往往没有太多的关注，常常只是在内部网与互联网之间放一个防火墙就万事大吉，有些学校甚至什么也不放，直接面对互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患发生任何一次对整个网络都将是致命性的。随着网络规模的急剧膨胀，网络用户的快速增长，一方面校园网已从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网

3、络，校园网在学校的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题；另一方面，高校是思想政治和意识形态的重要阵地，确保学生的身心健康，使他们具备一个积极向上的意识形态，必须使学生尽可能少地接触网络上的不良信息。因此，解决网络安全问题刻不容缓。需求分析信息系统等级保护定级需求根据教育信息系统安全等级保护定级指南、教育行政部门及高等院校信息系统安全等级保护定级指南相关指导说明，教育系统的等级保护定级原则，是根据省级教育行政部门及高等院校特点，分析相关信息系统与国家安全、社会秩序、公共利益以

4、及公民、法人和其他组织的合法权益的关系，从而确定信息系统受到破坏时所侵害的客体。其中针对高等学校说明如下：高等学校的信息系统中，部分校务管理类、教学科研类信息系统业务信息安全或系统服务安全受到破坏，可能严重影响学校正常 秩序，影响高等学校正常行使工作职能，侵害学校、教师、学生合法权益，引起法律纠纷。 部分招生就业类、综合服务类信息系统的业务信息安全或系统服务安全受到破坏，可能使高等学校工作秩序和工作职能受到严重影响，对社会将产生一定范围的不良影响，对社会秩序和公共利益造成严重损害，对学生及部分社会公众造成严重损害。参考等级保护关于定级要素与信息系统安全保护等级的关系表，建议XX大学校园网整体等

5、级为三级。信息系统安全风险需求XX大学校园网现有信息系统包括校务管理类系统、教学科研类系统、招生就业类系统、综合服务类系统，信息系统在运行和管理过程中存在的安全风险，包括技术风险和管理风险两大部分，技术风险包括物理安全风险、网络安全风险、主机安全风险、应用安全风险、数据安全风险；管理风险包括组织机构、人员安全、管理制度、系统建设、运行维护等。技术风险物理安全风险根据数据中心机房的总体要求、国家电子信息系统机房设计规范（GB 50174-2008）等相关标准进行安全建设，采取门禁、消防报警、环境动力设施监控管理、视频监控、防雷击和防静电等措施，做好符合要求的电力供应，关键基础设施、设备和磁介质应

6、通过部署防电磁屏蔽机柜等措施建立电磁防护机制。网络安全风险根据XX大学现有网络建设状况和业务系统特点，经过前期的调研结果可以从以下方面对网络进行整体安全分析：网络结构、访问控制、安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。网络结构安全：目前XX大学互联网接入分别是联通、移动、教育网，三网汇聚到两台RG RSR7708路由设备，没有通过负载均衡对多链路进行优化；互联网出口防火墙没有采用冗余设计，存在单点故障风险。访问控制：在校园网服务器前端没有部署防火墙等访问控制设备进行安全防护。安全审计：网络中只有第三方网络监控软件，但不能网络中的各硬件设备、中间件、应用等的日志信息

7、进行及时的审计，不能对用户上网进行日志审计，不能针对网络运维行为进行日志审计，不能针对数据库访问行为进行日志审计。边界完整性检查：内部网络没有相关的策略或设备，对服务器等重要资产未通过准许私自联到外部网络的行为进行检查。网络入侵防范及恶意代码检测：基础网络应具备对网络入侵防范及恶意代码的检测，目前XX大学的网络中没有在网络边界，使得端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等不安全因素随时入侵到内部网络。主机安全风险主机安全风险是指主机系统面临的安全的安全风险，包括网络设备、服务器系统、数据库系统，数据中心服务器主机应建立备份冗余机制，保障系统的

8、持续稳定运行，针对核心重要信息系统应采用主机安全加固系统，建立“三权分立”的访问控制机制，确保系统最小化的访问控制配置实现。核心服务器应确保采用两种以上的身份鉴别机制，与PKI/CA系统进行结合，运行维护管理可配合堡垒主机，确保实现细粒度的访问控制、敏感信息加密以及日志审计功能。各类服务器应采用系统补丁管理和防病毒系统提高系统的防护能力，并通过系统配置优化减少自身的安全隐患。对于操作和使用服务器的业务终端应进行统一的管理，确保业务终端的专业程度，加强终端的自身安全性，包括系统配置优化、防病毒、补丁管理等。应用安全风险应用安全风险是指应用系统所面临的安全风险，XX大学现有应用系统包括网站、邮件、

9、一卡通、图书管理等，这些应用系统普遍由第三方软件厂商开发，开发的标准与规范都不相同，且全部采用B/S架构开发，均存在一定的安全风险，这些安全风险包括：身份认证：按照等级保护要求，应提供两种或两种以上身份认证方式，目前所有系统只有口令认证方式，获取用户名口令即可获得相应的访问权限，存在一定的安全风险；访问控制：所有应用系统都采用B/S架构，目前基于B/S架构的WEB应用程序普遍存在较高的安全风险，且教育管理系统面向互联网提供应用，被入侵攻击的可能性很高，仅通过防火墙无法保证应用系统的安全，需要提供针对WEB应用的安全的安全防护。安全加密：目前所有应用系统为WEB应用模式，采用HTTP协议登录访问

10、，HTTP为非加密协议，无法确保通信的安全，存在一定的安全风险。安全审计：应用系统自身的审计功能较弱，不能完全符合等级保护的要求，尤其对于管理人员的运维操作缺少完全的审计行为记录和报表功能。数据安全风险数据是校园网信息系统的核心资产，需要确保数据的保密、完整、可靠。已部署应用系统已采用双机模式，可以基本实现数据库的可靠运行，但仍然存在以下安全风险：数据的传输加密：目前应用系统数据、管理数据等没有完成实现数据的传输加密，无法确保数据的保密性；数据的完整性：对于应用系统数据、管理数据没有安全审计措施，数据在传输过程中可能造成破坏；数据备份与恢复：按照等级保护要求，信息系统数据应具备本地备份和恢复功

11、能、异地备份功能，本地备份要求第天一次完全备份，关键数据要实现异地备份，目前尚未实现以上备份要求。管理风险安全管理机构XX大学网络安全组织应遵循层次化设计原则，分别为网络安全决策层、网络安全管理层和网络安全执行层。设立管理机构，接受网络安全工作职能部门领导，配备必要的管理和技术人员；负责信息系统安全的集中控制管理，行使防范与保护、监控与检查、响应与处置职能，统一管理信息系统的安全，统一进行信息系统安全机制的配置与管理；适时汇集各种安全机制所获取的与系统安全运行有关的信息；根据应急处置预案作出快速处理；应对安全事件和处理结果进行管理；建立安全管理控制平台，完善管理信息系统安全运行的技术手段；负责

12、接受和配合政府有关部门的网络安全监管工作。人员安全管理对于XX大学人员安全管理，应结合校方实际情况，按照等级保护相关要求进行人员安全管理。重点考虑以下两个方面：内部人员安全管理。内部人员管理从人员录用、人员管理、人员考核、保密协议、培训、离岗离职等多个方面都要制定相应的管理制度和规定。建立安全教育和培训制度，定期进行技能考核。外部人员安全管理。对于外来人员管理，应包括软件开发商、 产品供应商、系统集成商、设备维护商和服务提供商等外来人员，以及临时因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的“第三方”人员。而非临时“第三方”人员指因从事合作开发、参与项目工程、提供技术支持或顾

13、问服务，必须在本单位临时工作的“第三方”人员，应制定相应包含访问、安全要求等管理制度。安全管理制度结合各类安全管理要求和信息系统面临的实际安全风险，应制定必要的网络安全总体方针、策略、安全管理制度和技术规范，内容覆盖安全管理机构、安全管理制度、人员安全管理、系统建设安全管理和系统运行维护安全管理等相关内容。信息系统建设安全管理信息系统建设安全管理应当与整体的工程管理相结合，落实“同步规划、同步建设、同步运营”的原则，制定信息系统规划、立项、需求分析、设计、建设、测试、集成等方面的安全管理规定。同时要结合信息系统的开发和部署制定相配套的信息系统安全开发和部署的规范，确保信息系统和数据中心建设过程

14、中的安全。信息系统建设过程中必须要加强网络安全等级保护工作，通过对信息系统进行定级、备案、等级测评和监督检查等工作落实具体的网络安全等级保护内容。信息系统正式启动和运行前，必须经过专项安全评估并得到专家或程序的认可，才能正式投入使用。现有信息系统或子系统、信息系统设备需要终止运行的，应采取必要的安全措施，进行数据和软件备份，对终止运行的设备进行不可恢复的数据清除，如果存储设备损坏则必须采取销毁措施，并得到相应领导和技术负责人认可才能正式终止运行。运行维护安全管理信息系统的运行维护安全管理要实现运行维护管理体系化，对环境、资产、介质、设备进行综合监控管理，对支撑重要信息系统的资源进行监控保护。对

15、于信息系统安全运行维护所需要的密码保护、病毒扫描、变更等事件，必须按照定义好的安全管理策略措施，建立一套运行维护管理制度，并通过培训等方式全面落实。还应通过建立统一的安全预警与监管中心，实现省本级计算环境、设备、资源、应用系统和网络安全工作的统一管理、 监控与预警，能够与教育部安全预警与监管平台对接，实现联动，及时上报网络安全漏洞和事件发生和处理情况。建设目标与设计原则建设目标和原则根据国家和教育部关于网络安全等级保护的政策规范和技术标准，统一规划建设XX大学校园网安全保障体系。该体系覆盖技术体系（物理网络、主机、应用、数据和管理等多层次的整体网络网络安全。遵循以下原则：整体性：从数据中心的整

16、体出发、全面考虑各个方面的安全问题，综合运用技术手段和管理手段进行安全防护；合规性：符合国家教育部网络安全保障体系的总体要求，符合国家网络安全等级保护相关制度、标准的要求；针对性：根据教育数据中心的组织结构特点、网络特点和业务特点，有针对性地提供安全防护措施，对信息系统进行有效、适度的防护；可持续性：满足信息系统全生命周期管理的安全保障要求；可实施性：符合教育数据中心业务特性和安全现状，提供可行的实施方案与规划；先进性：安全体系的设计要具有一定的前瞻性，要考虑安全态势以及安全技术的发展趋势，满足业务未来发展的需求。参考标准本方案遵循或参考如下国家政策、国家标准及国际标准：国家政策相关文件中华人

17、民共和国计算机信息系统安全保护条例（国务院147号令）国家信息化领导小组关于加强网络安全保障工作的意见（中办发200327号）关于网络安全等级保护工作的实施意见（公通字200466号）网络安全等级保护管理办法（公通字200743号）网络安全等级保护备案实施细则（公信安20071360号）关于开展网络安全等级保护安全建设整改工作的指导意见（公信安20091429号）国家标准GB/T20269-2006网络安全技术 信息系统安全等级保护管理要求GB/T20271-2006网络安全技术 信息系统通用安全技术要求GB/T20270-2006网络安全技术 网络基础安全技术要求GB/T20272-2006

18、网络安全技术 操作系统安全技术要求GB/T20273-2006网络安全技术 数据库管理系统安全技术要求GB/T20282-2006网络安全技术 信息系统安全工程管理要求GB/T21082-2007网络安全技术 服务器安全技术要求安全总体策略应根据等级保护的要求，通过网络安全技术和网络安全管理两个纬度的体系建设来做为总体安全策略，使XX大学校园网达到等级保护三级安全要求。网络安全管理体系总体策略建立网络安全领导小组和网络安全工作组，形成符合等级保护三级基本要求的网络安全组织体系职责；建立网络安全管理制度和策略体系，形成符合等级保护三级基本要求的安全管理制度要求。网络安全技术体系总体策略以XX大学

19、校园网整体为保障对象，以基本要求中等级保护三级要求为控制要求建设安全技术体系框架；安全技术体系建设覆盖物理、网络、主机、应用、数据等各层面；通过业界成熟可靠的安全技术及安全产品，结合专业技术人员的安全技术经验和能力，系统化的搭建安全技术体系，确保技术体系的安全性与可用性的有机结合，达到适用性要求。技术体系设计说明安全技术体系主要以等级保护技术要求三级为目标，结合XX大学校园网实际业务需求进行相应设计规划。物理安全物层安全主要涉及的范畴包括环境安全（防火、防水、防雷击等）、设备和介质的防盗窃防破坏等方面。具体包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温

20、湿度控制、电力供应和电磁防护要求。对应措施如下：物理位置选择【等保要求】机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内；机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。【技术措施】所在机房位置具有防震、防风和防雨等能力；所在机房非建筑物高层或地下室，非用水设备的下层或隔壁。物理访问控制【等保要求】机房出入口应安排专人值守，控制、鉴别和记录进入的人员；需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。【

21、技术措施】机房安排机房管理员专人值守，控制、鉴别和记录进入的人员；进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围；机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置过渡区域；机房整体配置电子门禁系统，控制、鉴别和记录进入的人员。防盗窃和防破坏【等保要求】应将主要设备放置在机房内；应将设备或主要部件进行固定，并设置明显的不易除去的标记；应将通信线缆铺设在隐蔽处，可铺设在地下或管道中；应对介质分类标识，存储在介质库或档案室中；应利用光、电等技术设置机房防盗报警系统；应对机房设置监控报警系统。【技术措施】所有设备放置在机房内；设备全部通过放置机柜并进行固定，每台设

22、备有标签进行标识；所有通信线缆铺设在地下或管道中；对介质分类标识，存储在档案室中；机房设置防盗报警系统；机房设置监控报警系统。防雷击【等保要求】机房建筑应设置避雷装置；应设置防雷保安器，防止感应雷；机房应设置交流电源地线。【技术措施】机房配置避雷装置；机房配置防雷保安器，防止感应雷；机房配置交流电源地线。防火【等保要求】机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。【技术措施】机房配置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房和工作房间采用

23、具有耐火等级的建筑材料；机房配置区域隔离防火措施，将重要设备与其他设备隔离开。防水和防潮【等保要求】水管安装，不得穿过机房屋顶和活动地板下；应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。【技术措施】机房屋顶和活动地板下禁止水管安装；机房物理位置和装修保证不存在雨水渗透的情况；机房物理位置和装修保证不存在内水蒸气结露和地下积水的转移与渗透；机房使用可调节湿度的空调，空调依据机房面积和设备数量安装，保证设备工作在湿度4560之间。安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。

24、防静电【等保要求】主要设备应采用必要的接地防静电措施；机房应采用防静电地板。【技术措施】主机设备采用接地防静电措施；机房采用防静电地板。温湿度控制【等保要求】机房应设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。【技术措施】机房使用可调节湿度的空调，空调依据机房面积和设备数量安装，保证设备工作在湿度4560之间、温度20-25度之间。电力供应【等保要求】应在机房供电线路上配置稳压器和过电压防护设备；应提供短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；应设置冗余或并行的电力电缆线路为计算机系统供电；应建立备用供电系统。【技术措施】机房供电线路上配置稳压

25、器和过电压防护设备；机房配置UPS电源供电措施，满足主要设备在断电情况下的正常运行要求；设置并行的电力电缆线路为计算机系统供电；建立备用供电系统。电磁防护【等保要求】应采用接地方式防止外界电磁干扰和设备寄生耦合干扰；电源线和通信线缆应隔离铺设，避免互相干扰；应对关键设备和磁介质实施电磁屏蔽。【技术措施】采用接地方式防止外界电磁干扰和设备寄生耦合干扰；电源线和通信线缆应隔离铺设，避免互相干扰；对关键设备如CA认证系统采用屏蔽机柜实施电磁屏蔽。网络安全网络层安全主要设计的方面包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护几大类安全控制。对应到XX大学实际环境

26、，网络层安全技术体系设计如下：安全域划分为了实现信息系统的等级化划分与保护，需要依据等级保护的相关原则规划与区分不同安全保障对象，并根据保障对象设定不同业务功能及安全级别的安全区域，以根据各区域的重要性进行分级的安全管理。将XX大学校园网划分以下安全域：外网接入区、核心交换区，数据中心区，校区终端接入区、安全管理区。结构安全【等保要求】应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 应保证网络各个部分的带宽满足业务高峰期需要；应在业务终端与业务服务器之间进行路由控制建立安全的访问路径；应绘制与当前运行情况相符的网络拓扑结构图；应根据各部门的工作职能、重要性和所涉及信息的重要

27、程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。【技术措施】网络核心区域以及关键设备全部为冗余结构，核心区域设计为万兆性能，互联网出口设计为千兆性能根据“安全域划分”原则，合理规划安全域VLAN和IP段，包括：外网接入区、核心交换区，数据中心区，校区终端接入区、安全管理区等； 每个安全域相互访问必须通过防火墙；通过核心交换机、防火墙、负载均衡等设备的QoS功能，根据

28、业务合理设置带宽优先级。相关安全产品360下一代智慧防火墙访问控制【等保要求】应在网络边界部署访问控制设备，启用访问控制功能；应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；应在会话处于非活跃一定时间或会话结束后终止网络连接；应限制网络最大流量数及网络连接数；重要网段应采取技术手段防止地址欺骗；应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；应限制具有拨号访问权限的用户数量。【技术措施】通过防火墙的安全策

29、略，控制各网络边界的双向访问流量，明确允许/禁止动作，实现端口级访问控制；通过防火墙的访问控制功能，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制和入侵防御；通过防火墙的连接数控制和带宽控制功能，限制访问应用的最大连接数和最大宽带；通过防火墙的超时机制在会话处于非活跃一定时间或会话结束后终止网络连接；在核心交换机上针对关键服务器、网络设备、管理主机进行IP-MAC绑定，防止ARP欺骗；通过防火墙的访问控制功能，按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；通过防火墙的访问控制功能，限制所有拨号访问功能。【相关安全

30、产品】360下一代智慧防火墙安全审计【等保要求】应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应能够根据记录数据进行分析，并生成审计报表；应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。【技术措施】通过态势感知系统/安全管理平台的日志审计、运维监控、性能采集、安全事件监控、关联分析、报表分析等功能，对网络系统中多种网络设备日志进行采集记录，记录完整的审计信息，通过独立的数据库存储，根据需要可查询生成审计报表。态势感知系统/安全管理中心日志功能可完整记录事件的日期和时间、用户、事

31、件类型、事件是否成功及其他与审计相关的信息；态势感知系统/安全管理中心具备报表功能，应能够根据记录数据进行分析，并生成审计报表；态势感知系统/安全管理中心具备独立的日志存储功能及访问权限，可以对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。【相关安全产品】360态势感知系统、360上网行为管理系统、360用户行为分析系统、360数据库审计系统、360运维安全管理与审计系统边界完整性检查【等保要求】应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。【技术措施】通过具备流

32、分析功能的设备，监控网络关键节点业务流量，检查发现非法内联行为等非授权访问，通过防火墙策略、交换机IP/MAC绑定等方式进行阻断；通过具备流分析功能的设备，监控网络关键节点业务流量，检查发现非法外联行为等非授权访问，通过防火墙策略、交换机IP/MAC绑定等方式进行阻断；入侵防范【等保要求】应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。【技术措施】在外网接入边界部署入侵防御系统，或采集集成入侵防御功能的下一代 监控进出外

33、网边界的访问流量并发现攻击行为，提供报警并记录攻击日志；在核心交换机旁路部署入侵检测系统、高级威胁检测系统，监控数据中心内部各区域之间访问流量并发现攻击行为，提供报警并记录攻击日志；【产品解决方案】360下一代智慧防火墙、威胁流量采集引擎（360态势感知系统）恶意代码防范【等保要求】应在网络边界处对恶意代码进行检测和清除；应维护恶意代码库的升级和检测系统的更新。【技术措施】在互联网边界部署防病毒网关系统，或采用集成防病毒功能的下一代防火墙产品，对进出互联网访问流量进行病毒等恶意代码检测，发现恶意代码并清除；通过防病毒网关的升级功能，对恶意代码库进行定期的升级维护。【产品解决方案】360下一代智

34、慧防火墙网络设备防护【等保要求】应对登录网络设备的用户进行身份鉴别；应对网络设备的管理员登录地址进行限制；网络设备用户的标识应唯一；主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；应实现设备特权用户的权限分离。【技术措施】对网络设备的登录地址进行限制；清理使用默认口令和弱口令的系统，新设置的口令应有复杂度要求并定期更换；关闭设备的HTTP

35、、TELNET管理功能，启用SSH、HTTPS等加密协议进行管理；在网络设备配置权限分离，至少包括系统管理员、操作员和审计员，对于少量不支持权限分离技术的网络设备将通过对管理行为全程审计进行弥补；使用堡垒机系统实现双因素认证，通过堡垒机的身份认证、访问控制、行为审计对网络设备进行安全管控；通过堡垒机的密码管理机制，设定口令复杂度并定期更换；通过堡垒机的登录失败和超时处理功能，可实现超时结束会话、限制非法登录次数和当网络登录连接超时自动退出；通过堡垒机的加密管理机制，当对网络设备进行远程管理时，可防止鉴别信息在网络传输过程中被窃听。【产品解决方案】360运维安全管理与审计系统主机安全身份鉴别【等

36、保要求】应对登录操作系统和数据库系统的用户进行身份标识和鉴别；操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。【技术措施】对操作系统、数据库启用身份认证；在操作系统、数据库启用密码复杂度策略、更换周期等；在操作系统、数据库启用登录失败处理功能，限制非法登录次数和账户锁定阀值

37、等措施；通过堡垒机的加密机制对服务器远程管理，防止鉴别信息在网络传输过程中被窃听；为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。通过堡垒机系统实现对操作系统、数据库管理用户的双因素认证，实现两种以上的身份鉴别。【产品解决方案】360运维安全管理与审计系统访问控制【等保要求】应启用访问控制功能，依据安全策略控制用户对资源的访问；应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；应实现操作系统和数据库系统特权用户的权限分离；应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；应及时删除多余的、过期的帐户，避免共享帐户

38、的存在。应对重要信息资源设置敏感标记；应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；【技术措施】所有操作系统通过堡垒机实现管控；通过堡垒机的访问控制功能，为不同用户分配操作系统最小访问权限；通过设置操作系统和数据库系统不同用户权限，确保特权用户的权限分离；修改操作系统自身默认账户名以及默认口令；删除多余的来宾账户、共享账户；在操作系统上对重要信息资源设置敏感标记；在操作系统上依据安全策略严格控制用户对有敏感标记重要信息资源的操作；【产品解决方案】360运维安全管理与审计系统安全审计【等保要求】审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；审计内容应包括重要用户

39、行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； 应能够根据记录数据进行分析，并生成审计报表；应保护审计进程，避免受到未预期的中断；应保护审计记录，避免受到未预期的删除、修改或覆盖等。【技术措施】所有操作系统、数据库接入堡垒机进行管控，通过堡垒机的审计功能对所有访问操作系统、数据库的用户行为进行完整记录；通过堡垒机审计功能，实现覆盖重要用户行为、系统资源的异常使用和重要系统命令的安全审计；通过堡垒机审计功能，记录包括事件的日期、时间、类型、主体标识、客体标识和结果等； 通过堡垒机审计报表功能，根据记录数据

40、进行分析，并生成审计报表；通过堡垒机自身安全机制，保护审计进程，避免受到未预期的中断；堡垒机采用独立的数据库，支持查询和报表功能。【产品解决方案】360运维安全管理与审计系统剩余信息保护【等保要求】确保操作系统用户的鉴别信息存储空间，再释放或再分配给其他用户前是否得到完全清除。建立存储介质管理制度和流程，确保存储介质内的文件、目录和数据库记录等资源，在被释放或重新分配给其他用户前得到完全清除，包括文件粉碎、磁盘复写等技术措施。其他还包括清除虚拟内存页面。【技术措施】通过配置操作系统的安全策略，确保操作系统用户的鉴别信息存储空间，再释放或再分配给其他用户前是否得到完全清除。通过安全管理相关存储介

41、质管理制度和流程，确保存储介质内的文件、目录和数据库记录等资源，在被释放或重新分配给其他用户前得到完全清除，包括文件粉碎、磁盘复写等技术措施。其他还包括清除虚拟内存页面。入侵防范【等保要求】应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。【技术措施】通过入侵防御系统、Web防火墙在服务器边界抵御入侵攻击行为，并对攻击事件和细节进行

42、记录和告警；建立重要文件完整性定期监测和备份机制，对操作系统中关键的执行程序、配置文件进行HASH计算和备份，一旦出现HASH结果与原始记录不匹配的情况则进行文件恢复；停用服务器操作系统中不必要的服务，卸载不必要的应用程序，定期对操作系统更新关键安全补丁；【产品解决方案】360WEB应用防火墙、360天擎终端管理系统恶意代码防范【等保要求】应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；应支持防恶意代码的统一管理。【技术措施】为所有操作系统统一安装网络版防病毒软件，通过网络防病毒控制端配置对防护、杀毒、升级等策略的统

43、一管理；为网络防病毒与互联网防病毒网关配置不同的病毒库；通过网络版防病毒的统一管理功能，实现恶意代码的统一管理。【产品解决方案】360天擎终端管理系统资源控制【等保要求】应通过设定终端接入方式、网络地址范围等条件限制终端登录；应根据安全策略设置登录终端的操作超时锁定；应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；应限制单个用户对系统资源的最大或最小使用限度；应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。【技术措施】通过堡垒机对所有对登录操作系统终端进行管控，限制终端只能通过堡垒机登录；通过堡垒机设定终端登录操作系统的超时时间；通过安全管理平台的

44、性能监控功能，实现对服务器CPU、硬盘、内存、网络等资源等使用情况的监控，并设定当低于设定监控阀值进行报警；通过堡垒机的访问控制功能，限制单个用户对系统资源的最大或最小使用限度；通过安全管理平台的应用监控功能，能够对系统的服务水平降低到预先规定的最小值进行检测和报警。【产品解决方案】360运维安全管理与审计系统应用安全身份鉴别【等保要求】应提供专用的登录控制模块对登录用户进行身份标识和鉴别； 应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；应提供登录失败处理功能，可采取结

45、束会话、限制非法登录次数和自动退出等措施；应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。【技术措施】通过应用软件自身登录认证模块实现对用户的登录控制、身份鉴别，通过软件自身设置密码复杂度、用户唯一性、登录次数与失败处理机制等相关参数实现身份鉴别要求；通过CA认证相关技术，实现两种以上身份鉴别；通过堡垒机身份鉴别机制，提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；通过堡垒机身份鉴别登录处理机制，提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；

46、通过堡垒机身份鉴别机制，实现身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能。【产品解决方案】360运维安全管理与审计系统访问控制【等保要求】应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问；访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限；应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。应具有对重要信息资源设置敏感标记的功能；应依据安全策略严格控制用户对有敏感标记重要信息资源的操作；【技术措施】通过安全域前端部署防火墙、WEB防火墙

47、、堡垒机等系统对用户进行控制；通过堡垒机对每个系统管理员根据其所承担的任务，设置最小访问权限；可对重要服务器采取安全加固措施，并对重要信息资源设置敏感标记；通过堡垒机的访问控制功能，为不同帐户设置为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。通过操作系统自身安全机制，对重要信息资源设置敏感标记的功能；通过堡垒机访问控制策略，严格控制用户对有敏感标记重要信息资源的操作。【产品解决方案】360 WEB应用防火墙、360运维安全管理与审计系统安全审计【等保要求】应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；应保证无法单独中断审计进程，无法删除、修改或覆盖审计

48、记录；审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。【技术措施】通过软件自身日志功能，实现应用系统的安全审计；由应用软件提供syslog接口，通过安全管理平台对安全事件统一存储、统一管理，由安全管理平台/态势感知系统提供统计、查询、分析、报表功能；通过安全管理中心/态势感知系统的自身安全机制，保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；安全管理中心/态势感知系统的审计记录的内容包括事件的日期、时间、发起者信息、类型、描述和结果等；安全管理中心/态势感知系统可提供对审计记录数据进行统计、查询、分

49、析及生成审计报表的功能。【产品解决方案】360 态势感知系统剩余信息保护【等保要求】应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。【技术措施】通过应用系统自身安全机制，保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中；通过应用系统自身安全机制，保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。通信完整性【等保要求】应采用密码技术

50、保证通信过程中数据的完整性。【技术措施】在网站后台管理信道中采用密码技术保证通信过程中数据的完整性，能够检测到数据遭到篡改和破坏。【产品解决方案】360 SSL VPN安全接入网关通信保密性【等保要求】在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；应对通信过程中的整个报文或会话过程进行加密。【技术措施】应在网站后台管理信道中采用密码技术保证通信过程中数据的机密性，能够防止数据遭到窃听；远程客户端采用SSL VPN加密方式访问，再通过HTTPS方式访问应用系统，保密会话过程的加密；【产品解决方案】360 SSL VPN安全接入网关抗抵赖【等保要求】应具有在请求的情况下为数据原

51、发者或接收者提供数据原发证据的功能；应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。【技术措施】通过应用软件自身安全机制，具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能，即能够确定数据的发送者和接收者身份。通过应用软件自身安全机制，具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能，即能够确定数据的发送者和接收者身份。软件容错【等保要求】应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。【技术措施】通过Web防火墙提供数据有效性检验

52、功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求，防止SQL注入、存储型跨站、上传漏洞等；由应用软件自身提供断点保护和恢复功能。【产品解决方案】360 WEB应用防火墙、360运维安全管理与审计系统资源控制【等保要求】当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话；应能够对系统的最大并发会话连接数进行限制；应能够对单个帐户的多重并发会话进行限制；应能够对一个时间段内可能的并发会话连接数进行限制；应能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；应能够对系统服务水平降低到预先规定的最小值进行检测和报警；应提供服务优先级

53、设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。【技术措施】通过应用系统自身机制，实现会话超时自动结束会话、账户或请求进程占用限额、服务优先级等功能；通过web防火墙访问控制功能，对系统的最大并发会话连接数进行限制；通过web防火墙访问控制功能，对单个帐户的多重并发会话进行限制；通过web防火墙访问控制功能，对一个时间段内可能的并发会话连接数进行限制；通过web防火墙访问控制功能，对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；通过安全管理平台应用监控功能，对应用系统的资源状态进行监控、当操作阀值时进行告警，对应用系统的可用性状态和响应进行

54、监控并告警，对关键网络系统进行可用性状态监控；由应用系统提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。【产品解决方案】360 WEB应用防火墙数据安全数据完整性【等保要求】应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。【技术措施】通过应用软件自身安全编程机制，保证数据在存储和传输时的完整性检测，提高业务数据遭到篡改和破坏检测能力。应能够检测到系统管理数

55、据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。数据保密性【等保要求】应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。【技术措施】通过SSL VPN网关、堡垒机、web防火墙https代理、应用系统自身https协议等功能实现数据传输的保密性；通过应用系统自身安全加密机制，实现对关键数据存储的保密性。【产品解决方案】360 SSL VPN安全接入网关、360 WEB应用防火墙、360运维安全管理与审计系统数据备份和恢复【等保要求】应提供本地数据

56、备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放；应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地；应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障；应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。【技术措施】对网络管理和安全管理系统等重要信息系统提供本地的数据备份和恢复功能，并按要求备份；对重要信息系统的数据，应提供异地数据备份的功能，定时批量或增量备份，数据异地备份至少每月一次；在校园网的网络拓扑结构中，所有串行设备采用冗余设计，与主备链路一起，构成主备互用，避免关键节点的单点故障，提高可靠性；在校园网的所有串行设备均采用双电

57、源、双引擎，通信线路应采用双链路等手段，保证网络的高可用性。安全系统详细部署解决方案总体部署方案示意安全域说明根据XX大学校园网中各类业务的业务功能，需要将校园网络划分为多个网络区域，安全区域的具体划分如下：外网接入区外网接入区提供外部网络的接入边界，包括互联网和教育网的接入，其中互联网提供学生和办公上网、移动办公接入，教育网提供对外网站、邮件等发布应用，以及教育网资源的访问。校区接入区提供校园网各校区的接入汇聚，提供有线、无线终端接入环境，目前由三个校区组成：北校区、南校区、新平旺校区。核心交换区核心区有两台RJ-N18080核心交换机组成，核心区的主要功能能实现整个校园网的互联互通。数据中

58、心区数据中心区用于部署XX大学所有业务系统相关的服务器、存储资源，承载XX大学各项对内和对外业务系统，例如：图书管理系统、校园一卡通系统、学生就业信息系统、综合教务系统等业务系统，根据系统资源类型可分为三个子域：应用服务器域、数据库域、存储备份域。安全管理区安全管理区部署安全管理相关的设备和系统。外网接入区负载均衡系统为满足校园网高速上网需求，XX大学采用了多出口上网方案，具备联通、移动、教育网三条接入链路，可实现多条链路备份和带宽叠加效果。在此环境下，负载均衡是针对多出口性能优化最佳解决方案，通过部署负载均衡作为互联网接入设备，对多条链路的状态监控和流量分担，有效提升多链路接入的效率和整体性

59、能。负载均衡系统部署在网络接入边界，针对接入的多条链路进行负载均衡。本方案在外网接入区网络接入边界部署两台负载均衡设备，每台设备同时接入联通、移动、教育网三条链路，配置为路由+NAT工作模式，两台设备组成双机热备部署，确保业务可靠性。部署示意如下：在本项目中可采用以下配置方案满足链路使用要求：Outbound出站方向访问内网用户向外发起连接请求时，链路负载均衡提供多种静态和动态链路分担算法，选择当前最合适的链路分配流量。静态算法包括：轮询，比率，加权等。动态算法包括：最小连接，最小流量，最小延迟等等。链路负载均衡提供运营商路由选择，根据请求地址所出运营商来选择和其匹配的运营商链路出口，这样就避

60、免了跨运营商访问的效率低下问题。Inbound入站方向访问数据中心对外的服务的业务类型主要为WEB应用，通过在负载均衡设备上配置智能DNS解析，把负载均衡作为授权域名发布服务器，把多个运营商链路接入IP地址绑定到同一个域名A记录上。这样，结合运营商IP位置信息库和静态配置策略，能够智能的处理外部用户DNS请求，返回最佳的链路接入地址。下一代防火墙下一代防火墙在优先保证性能的前提下，实现多种安全防护能力，除了基础防火墙功能外，提供入侵防御、防病毒、应用内容识别。本次方案建议采用360下一代智慧防火墙系统，在外网接入区边界部署两台高性能万兆防火墙设备，采用双机热备部署模式，配置防火墙、入侵防御、防