教育行业等级保护解决方案

教育行业等级保护解决方案

目录教育行业等级保护要求等保整改咨询服务方案等保安全加固解决方案

深信服在信息安全理解和认识等级保护制度什么是信息安全等级保护国家信息安全保障的基本制度、基本策略、基本方法；对信息系统分等级进行安全保护和监管；对信息安全产品的使用实行分等级管理；信息安全事件实行分等级响应、处置的制度等级保护的地位和作用根据国家相关法律法规，公安部门是落实等级保护制度的主导单位；是开展信息安全工作的基本方法；是促进信息化、维护国家信息安全的根本保障等级保护能解决什么问题将有限的财力、物力、人力投入到重要信息系统安全保护中。有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全，维护国家信息安全国家等级保护制度的政策与标准2003年9月中办国办颁发《关于加强信息安全保障工作的意见》中办发[2003]27号2005年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》国信办[2004]25号2007年，公安部、保密局、密码管理局、国信办联合制定了《信息安全等级保护管理办法》，标志着我国等级保护制度的初步形成2005年公安部标准《基本要求》《定级指南》《实施指南》《测评准则》2004年11月四部委会签《关于信息安全等级保护工作的实施意见》公通字[2004]66号云南云南省人民政府第130号令浙江浙江省人民政府令北京北京政府第9号令国家级政策文件国家级技术标准国家级政策文件地方政策文件等级保护的五个监管等级对象等级合法权益社会秩序和

公共利益国家安全损害严重损害损害严重损害特别严

重损害损害严重损害特别严重损害一般

系统一级√二级√√重要

系统三级√√四级√√极端重

要系统五级√等保采用分系统定级的方法，当拥有多个信息系统时，需要分别进行定级，并分别进行保护在五个监管等级中，三级与四级系统为监管的重点，也是建设的重点教育部相关工作要求文号发文单位名称教技[2014]4号教育部教育部关于加强教育行业网络与信息安全工作的指导意见教技厅函[2014]74号教育部办公厅教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知教技厅函[2014]75号教育部办公厅教育部办公厅关于印发《信息技术安全事件报告与处置流程(试行)》的通知教技厅函[2015]3号教育部办公厅教育部办公厅关于落实直属机关信息技术安全责任的通知教技厅函[2015]17号教育部办公厅教育部办公厅关于开展部直属机关信息系统确认工作的通知教技厅函[2015]45号教育部办公厅教育部办公厅关于开展国家级重要信息系统和重点网站安全检查工作的通知教育部相关工作要求教育信息系统安全保护等级信息系统部级省级地市(01)政务管理类普通高校招生网上录取管理第三级第三级第三级教育考试考务管理与服务、公文与信息交换第三级第三级第二级教育统计管理、应急指挥、舆情监测与管理、高等教育招生计划管理第三级第二级第二级办公与事务处理、人事管理、财务管理、资产管理、信访管理、档案管理、党务管理、科研管理、决策支持、评审表彰管理第二级第二级第二级(02)学校管理类学校管理、学科专业管理、教学改革管理、教学质量评估、校园安全与稳定管理、教育经费监管第三级第二级第二级(03)学生管理类招生录取管理第三级第三级第三级教育信息系统安全保护等级信息系统部级省级地市(03)学生管理类招生录取管理第三级第三级第三级学生学籍管理、学位授予管理第三级第二级第二级学生资助管理第三级第二级第二级(04)教师管理类教师基本信息管理、教师资格认定管理、教师培训管理、教师教育管理、教师职称管理第三级第二级第二级(05)综合服务类门户网站第三级第二级第二级教育教学资源、毕业就业信息管理、视频服务、内网门户与身份认证、公共数据库、运维管理第三级第二级第二级论坛社区类网站、电子邮件、安防监控第二级第二级第二级等级保护建设整改项目流程在等级保护建设整改过程中，涉及到五个不同的角色，分别是：建设单位、公安机关、等级保护建设整改服务商、测评机构、安全产品供货商。系统定级编写定级报告、填写定级备案表，完成在公安机关的定级备案。差距评估采用技术手段和管理手段发现系统安全现状与国家要求之间的差距。方案设计依照国家相关标准，完成等级保护建设整改方案设计。建设整改完成设备采购、策略配置、安全加固、管理制度整理等。系统测评请测评中心完成系统测评，获得测评报告。用户单位公安机关建设服务商用户单位建设服务商用户单位建设服务商用户单位建设服务商用户单位公安机关测评机构建设服务商目录教育行业等级保护要求等保整改咨询服务方案等保安全加固解决方案

深信服在信息安全等级保护建设整改项目流程在等级保护建设整改过程中，可以划分为以下五个阶段。每个阶段都有相关工作任务系统定级编写定级报告、填写定级备案表，完成在公安机关的定级备案。差距评估采用技术手段和管理手段发现系统安全现状与国家要求之间的差距。方案设计依照国家相关标准，完成等级保护建设整改方案设计。建设整改完成设备采购、策略配置、安全加固、管理制度整理等。系统测评请测评中心完成系统测评，获得测评报告。系统定级备案阶段成果：定级报告、定级备案表、定级备案证明差距评估的方法人工检查策略配置核查；版本补丁检查；安全基线检查；木马检查；漏洞扫描主机漏洞扫描；应用漏洞扫描；源代码扫描；云平台扫描；渗透测试黑白结合安全漏洞专家定制工具多网络架构分析网络专家支持丰富经验支持安全访谈精心设计的问卷访谈内容覆盖面宽丰富的经验支持管理制度评估管理制度专家参与管理标准制度流程模板差距评估的记录阶段成果：差距评估记录表、差距评估报告建设整改方案设计：一个中心三重防护安全通信网络设计通信完整性和保密性流量管理控制边界隔离边界访问控制边界入侵防范边界恶意代码过滤边界完整性保护边界安全审计主机安全加固身份鉴别数据库审计权限管理主机防病毒应用系统安全主机安全审计资源控制剩余信息保护数据备份与恢复抗抵赖技术安全计算环境设计安全区域边界设计安全管理中心设计统一监控统一审计统一管理阶段成果：等级保护整改设计方案等级保护建设整改安全服务安全策略配置20%35%30%15%针对用户单位实际情况和等级保护要求，制定相关设备的安全策略要求，并合理配置。安全加固针对差距评估中自身安全策略配置不当和版本补丁问题进行处理，包括调整自身安全策略、升级版本和打补丁。安全管理制度整理根据差距评估的结果，针对用户单位目前缺少的安全管理制度进行补充，并编写过程模板。安全设备采购部署根据设计方案内容，协助用户单位完成安全设备的采购和部署。阶段成果：安全管理制度汇编、安全加固报告建设整改方案设计：一个中心三重防护系统测评自查整改后，提交测评机构测评，根据最新测评要求，测评报告可通过分数显示每年的变化。自查整改执行差距评估的工作，并根据差距评估进行整改方案编写，依照整改方案进行整改。测评自查整改根据《信息安全等级保护管理办法（公通字[2007]43号)》要求，三级信息系统应每年进行一次自查，并根据自查问题进行整改，并且三级系统应每年进行一次测评。阶段成果：测评报告深信服等保建设整改项目的测评通过率100%目录教育行业等级保护要求等保整改咨询服务方案等保安全加固解决方案

深信服在信息安全教育行业安全风险分析在深信服安全评估服务发现的客户安全风险中，应用、主机、数据已成为教育客户主要的风险来源应用安全：网站群WEB页面存在跨站脚本漏洞、SQL注入、上传漏洞；Apache服务、Weblogic中间件等漏洞；文件传输控制；无页面防篡改；页面无HTTPS加密；用户账号密码明文传输；应用接入缺乏接入控制和审计；数据安全：存放敏感信息未加密；对数据操作缺少权限控制和审计；重要系统如学籍、招考系统的信息查询无权限设置传统安全建设思路的挑战安全设备≠系统安全DDOSIPSWAFIDS防火墙安全建设不是安全设备的简单叠加，而要评估终端、网络、主机、应用、数据完整过程的风险，构建端到端的系统安全传统安全建设思路的挑战网络安全≠应用安全专线应用C第三方人员系统管理人员Internet营业厅应用B应用A合法用户访问大量查询用户信息合法用户访问批量下载用户账号合法用户访问下载内部机密文档网络安全不能保障应用数据的安全，建立基于用户的身份认证、应用授权、访问审计体系，对应用系统进行安全加固成为关键深信服端到端的安全加固解决方案业务安全安全、高效、永续的数据中心/云网络安全

安全可靠快速的城域网出口安全、可视、易管理的教育城域网终端安全统一移动业务安全接入平台

安全可靠快速的校园网出口数字校园安全加固解决方案NGAFACADCERNETInternet宿舍楼教学楼互联网出口办公楼教务系统一卡通系统图书馆WEB服务器NGAFSSLVPNAD其他系统分校区WOCWOCNGAF数据中心分校区数字校园安全加固内容场景产品名称部署位置产品作用满足政策要求互联网出口NGAF互联网出口隔离互联网和校园网络防范网络入侵攻击网络层恶意代码过滤网络安全-访问控制网络安全-入侵防范网络安全-恶意代码过滤AC网页访问审计应用软件审计全面的邮件审计与过滤策略网络行为日志外发文件告警细致灵活的审计方式流量管理与控制内部非法无线热点发现网络安全-结构安全网络安全-安全审计网络安全-边界完整性AD链路负载均衡网络安全-结构安全数字校园安全加固内容场景产品名称部署位置产品作用满足政策要求数据中心NGAF数据中心的外联口隔离业务服务器区和其他区域增强业务系统的抗web攻击能力网络防病毒网关漏洞扫描网络安全-访问控制网络安全-入侵防范主机安全-恶意代码过滤主机安全-入侵防范AD应用负载均衡数据备份与恢复-避免单点故障SSLVPN通信过程加密；用户身份认证；用户权限控制；用户登录行为审计；应用安全-身份鉴别应用安全-访问控制应用安全-安全审计应用安全-通信保密性应用安全-通信完整性数字校园安全加固内容场景产品名称部署位置产品作用满足政策要求校区互联NGAF学校互联专网隔离主校区和分校区网络网络安全-访问控制WOC具有链路VPN加密功能；应用流量可视化，更好的保障带宽的可用性：

数据优化，实现流量30-80%的削减，更好的实现网络设备处理能力的冗余，保障带宽满足业务高峰期的处理能力；应用优化和链路优化，提升用户访问速度；网络安全-结构安全网络安全-通信完整性网络安全-通信保密性数据安全-数据传输保密性“三通两平台”安全加固解决方案NGAFACADCERNETInternet城域网出口城域网学校学校SC教育资源平台教育管理平台Internet主数据中心学校ADNGAFSSLVPNWOC教育资源平台教育管理平台灾备数据中心WOC“三通两平台”安全加固内容场景产品名称部署位置产品作用满足政策要求城域网出口NGAF互联网出口隔离互联网和城域网网络防范网络入侵攻击网络层恶意代码过滤网络安全-访问控制网络安全-入侵防范网络安全-恶意代码过滤AC网页访问审计应用软件审计全面的邮件审计与过滤策略网络行为日志外发文件告警细致灵活的审计方式流量管理与控制内部非法无线热点发现网络安全-结构安全网络安全-安全审计网络安全-边界完整性AD链路负载均衡网络安全-结构安全“三通两平台”安全加固内容场景产品名称部署位置产品作用满足政策要求数据中心/教育云平台NGAF数据中心的外联口隔离业务服务器区和其他区域增强业务系统的抗web攻击能力网络防病毒网关漏洞扫描网络安全-访问控制网络安全-入侵防范主机安全-恶意代码过滤主机安全-入侵防范AD应用负载均衡数据备份与恢复-避免单点故障SSLVPN通信过程加密；用户身份认证；用户权限控制；用户登录行为审计；应用安全-身份鉴别应用安全-访问控制应用安全-安全审计应用安全-通信保密性应用安全-通信完整性“三通两平台”安全加固内容场景产品名称部署位置产品作用满足政策要求城域网NGAF学校出口隔离校园网和城域网网络防范网络入侵攻击网络层恶意代码过滤网络安全-访问控制网络安全-入侵防范网络安全-恶意代码过滤AC网页访问审计应用软件审计全面的邮件审计与过滤策略网络行为日志外发文件告警细致灵活的审计方式流量管理与控制内部非法无线热点发现网络安全-结构安全网络安全-安全审计网络安全-边界完整性SC城域网管理区AC和AF的集中管理与控制应用安全-资源控制主机安全-资源控制监控管理和安全管理中心网络安全管理“三通两平台”安全加固内容场景产品名称部署位置产品作用满足政策要求数据灾备WOC灾备专网具有链路VPN加密功能；应用流量可视化，更好的保障带宽的可用性：

数据优化，实现流量30-80%的削减，更好的实现网络设备处理能力的冗余，保障带宽满足业务高峰期的处理能力；应用优化和链路优化，提升用户访问速度；网络安全-结构安全网络安全-通信完整性网络安全-通信保密性数据安全-数据传输保密性目录教育行业等级保护要求等保整改咨询服务方案等保安全加固解决方案

深信服在信息安全关于深信服专注于网络安全&优化、无线与虚拟化领域

提供创新的IT基础设施虚拟化与云建设解决方案年营收近13亿员工人数2000+人全球分支机构55个，其中含7个海外分支机构

网络安全1、SSL

VPN2、下一代防火墙3、上网行为管理

虚拟化1、应用虚拟化2、桌面虚拟化3、服务器虚拟化网络优化1、应用交付2、企业级无线3、广域网优化标准的参与单位

SSLVPN技术国家标准IPSecVPN技术国家标准《第二代防火墙》公共安全

行业标准《网络通信审计产品》公共

安全行业标准广泛的安全合作公安部一所信息安全等级保护安全建设服务机构互联网应急中心网络安全应急服务支撑单位(省级)国家信息安全漏洞共享平台CNVD成员单位中国国家信息安全漏洞库CNNVD技术支撑单位国家保密测评中心涉密信息系统认证公共漏洞和暴露组织CVE认证合作单位中国反网络病毒联盟ANVA成员单位微软MAPP计划合作单位权威的国际认可NGAF获OWASP评测综合四星美国联邦贸易委员会（FTC）强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则。NGAF获得了25项中19项的“五星”满分评分五款产品入围Gartner魔力象限下一代防火墙NGAF、上网行为管理AC、SSLVPN、应用交付AD、广域网优化WOC相继入围NGAF国内唯一获NSSLabs最高评级全球最知名的独立安全研究和评测机构，总部在美国，通过模拟用户真实应用场景及严格的产品评测过程、公正无私的数据分析树立了安全产品认证的权威性专业的攻防团队北京攻防团队[60人］通用漏洞挖掘Web安全研究前瞻性技术研究僵尸特征研究云安全平台服务深圳攻防团队［140人］开源系统漏洞挖掘安全技术支持安全实现框架代码安全研究自身安全性渗透快速的响应能力国X集团网站被植入木马1、通过客户现场分析，发现网站被注入webshell

2、通过日志分析，攻击者通过IIS6.0文件