《高校数据中心信息化优化建设方案》

XXX学院

校

园

信

息

化

优

化

方

案

2020年1月5日

目录

前言............................................................6

一、数据中心优化...............................................7

1.1现状分析...............................................7

1.2方案设计...............................................7

1.3方案详述...............................................8

13.1数通设备更新优化..................................8

13.2数据存储设备的更新优化-超融合....................10

13.2.1方案设计...................................11

13.2.2整体架构设计...............................12

13.2.3数据中心资源池设计.........................13

13.2.4数据中心资源管理平台.......................15

13.2.5方案收益...................................17

13.3网络以及数据安全保障的等级保护...................17

13.3.1整体安全部署...............................18

13.3.2边界访问控制...............................20

1.3.3.3恶意代码防范..............................21

13.3.4漏洞扫描...................................24

1.3.3.5WEB防护..................................26

13.3.6综合安全网关...............................31

13.3.7存储备份...................................32

13.4安全管理体系设计.................................33

13.4.1安全策略开发...............................34

1.3.4.2安全制度管理...............................36

1.3.4.3安全组织管理...............................41

1.3.4.4软件开发安全...............................42

13.4.5系统建设安全管理..........................43

1.3.4.6安全教育与培训.............................45

1.3.4.7风险评估...................................46

1.3.4.8安全运维管理...............................47

1.3.4.9安全应急处理...............................48

1.3.4.10安全加固服务..............................49

二、中心机房建设..............................................50

1.1机房环境建设..........................................50

1.1.1地面工程.........................................50

1.1.2吊顶工程.........................................51

1.1.3墙面工程.........................................52

1.1.4机房防火门.......................................53

1.1.5装修效果图.......................................53

2.2配电工程..............................................55

2.2.1用电需求预测.....................................55

2.2.2交流供电系统及设备设置...........................55

2.2.3机房内用电插座...................................55

2.2.4灯光照明系统.....................................55

2.3防雷接地工程..........................................56

2.3.1防雷系统.........................................56

2.3.2接地系统.........................................57

2.4模块化机房设计........................................61

2.4.1系统架构.........................................62

2.4.2系统承载单元.....................................63

2.4.3系统供电单元.....................................64

2.4.4系统配电单元.....................................65

2.4.5消防单元.........................................67

2.4.6系统动环单元.....................................68

2.4.7系统制冷单元.....................................70

2.5机房综合布线系统.......................................1

三、传输网络改造建设...........................................1

3.1总体改造思路...........................................1

3.1.1模块化设计........................................1

3.1.2层次化设计........................................2

3.2网络系统设计...........................................3

3.3施工工艺...............................................5

3.3.1美观性............................................5

3.3.2可扩展性..........................................5

3.3.3规范性............................................6

3.4主要传输介质介绍.......................................7

3.5改造楼宇清单...........................................8

四、产品清单报价9

前有

在《国家中长期教育改革和发展规划纲要》中指出，要加快教育信息化进程,

充分认识“信息技术对教育发展具有革命性影响”，要高度重视“加强网络教学

资源体系建设”、不断“强化信息技术应用”，提高学生运用信息技术分析解决

问题的能力。

一、数据中心优化

随着信息化技术的飞速发展，大学信息系统运行环境建设也进入了高可用运

行环境建设阶段。

在此阶段，信息系统运行环境进一步完善，将实现无单点故障的可靠性目标

（即运行环境中的单个网络、服务器或者存储设备的故障均不会影响应用系统的

正常运行），信息系统将整体实现7x24的不间断运行；运行环境各个层次（包

括数据库）均可实现负载均衡，实现运行环境的高效利用；数据安全方面实现异

地备份，消除本地环境灾难事故可能导致的数据安全隐患；信息系统安全方面，

将全面建立数据中心安全体系、校园网络环境体系、部门应用环境安全体系，实

现两端一线的完整安全保障。

1.1现状分析

目前我校数据中心主要存在以下几个问题：

1、没有集中的存储设备，单机故障的危险很高

2、现有网络设施无法支撑学校当前的业务需求

3、没有基于时间点的快照备份和恢复

4、信息化基础设施架构技术落后，设备资源不能有效利用。

5、网络监控和管理一的缺乏监控和管理手段缺乏，网络安全存在隐患

1.2方案设计

本方案以高可用、易扩展为导向，充分结合学校现状主要从以下几点对数据

中心进行优化:

1、数据中心数通设备的更新优化

2、数据存储设备的更新优化

3、数据中心的网络以及数据安全保障的等级保护

1.3方案详述

13.1数通设备更新优化

随着学校信息化发展及业务量的增加，数据中心数据吞吐量也在逐渐增

加，现有的数通设备大多数已是老旧设备，无法满足各业务系统数据交换的基本

需求，经与校方沟通以及现场调研得知，要满足学校信息化发展以及后续的信息

化建设，学校需要一个高性能的计算网络、存储网络、互联网络。

本方案结合我校现状将设计以下两种网络架构：

1.传统三层网络架构

核心层：核心层是网络的高速交换主干，对整个网络的连通起到至关重要的

作用。核心层应该具有如下几个特性：可靠性、高效性、冗余性、容错性、可管

理性、适应性、低延时性等。在核心层中，应该采用高带宽的千兆以上交换机。

因为核心层是网络的枢纽中心，重要性突出。核心层设备采用双机冗余热备份是

非常必要的，也可以使用负载均衡功能，来改善网络性能。

汇聚层：汇聚层是网络接入层和核心层的"中介"，就是在工作站接入核心层

前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接

入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。在

汇聚层中，应该选用支持三层交换技术和VLAN的交换机，以达到网络隔离和分

段的目的。

接入层：接入层向本地网段提供工作站接入。在接入层中，减少同一网段的

工作站数量，能够向工作组提供高速带宽。接入层可以选择不支持VLAN和三层

交换技术的普通交换机。

优势：1、扩展性强。

2、可以很容易的用新的实现来替换原有层次的实现；

3、可以降低层与层之间的依赖；

4、有利于标准化；

5、项目结构更清楚，分工更明确，有利于后期的维护和升级；

2.大二层网络架构

随着服务器虚拟化技术的发展，从根本上改变了数据中心网络架构需

求，即虚拟化引入动态迁移技术，从而要求网络需要支持大范围的二层域。

优势：在保证虚拟机上服务正常运行的同时，将一个虚拟机系统从一个物理

服务器移动到另一个物理服务器的过程。该过程对于最终用户来说是无感知

的，从而使得管理员能够在不影响用户正常使用的情况下，灵活调配服务器

资源，或者对物理服务器进行维修和升级。

无论采用上述哪种网络架构都需要两台高性能核心交换机，以及结合学

校现有设备利旧后，新增其他数通设备。

13.2数据存储设备的更新优化-超融合

学校现有数据中心采用传统物理硬件设备堆砌的架构，业务数据分立，易形

成信息孤岛，且计算、存储、网络资源利用率不高。而智慧校园是基于云计算、

大数据、物联网等新一代信息技术支撑的信息化教学方式，依托智慧校园基础环

境，学校可以探索学校教学、科研、人事、后勤、安全等方面的创新管理模式，

构建内外融合的一体化智慧校园业务平台和面向全校师生的综合性、一站式的服

务模式，实现智能化的管理和服务。简单的服务器虚拟化无法满足智慧应用部署、

大数据分析等先进应用技术对硬件平台的需求。

因此，基于学校目前信息化建设现状、不足，与智慧校园云数据中心建设要

求的差距，本次项目规划在现有的数据中心基础上需要信息化建设进一步升级，

完成智慧校园云数据中心的建设。

方案设计

为了实现智慧校园服务平台提供云计算服务需求，通过云计算架构的优势,

将业务系统效率发挥至极致。智慧校园云数据中心基础架构实现了资源、业务、

数据的集中承载和统一调度，整体解决方案系统逻辑架构图如下：

智慧校园云数据中心逻辑架构

智教校园云数据中心基础架构利用通用的硬件基础架构，搭建好整个云数据

中心的基础架构，在通用的X86平台之上，利用软件定义的思路，将计算、网络、

安全和存储进行全面的融合，构建出池化的超融合基础架构。在此基础之上，利

用云管理平台，能够实现硬件资源生命周期管理、运维管理系统、资源及业务的

编排等一些列符合私有云需求的功能特性。通过各类接口像PaaS和SaaS包括大

数据进行对接，从而为上层的类各类智慧校园应用和提供统一的底层支撑。最后

通过自动化的运维和安全及服务实现端到端的业务交付。

整体架构设计

智慧校园云数据中心基础架构需要满足不同规模用户的使用场景，云数据中

心资源池根据业务规模可以实现横向弹性扩展、资源自助服务。基于智慧校园应

用服务对象、业务特点，云数据中心基础架构采用超融合架构，实现计算、网络、

存储资源的池化，结合云管理平台实现资源自助分配、业务自动化编排等平台资

源管理服务。

云

数

据

中

心

■n9KIS

核心管理区

智慧校园云数据中心基础架构

1、云计算数据中心通过超融合基础架构平台，构建出计算、网络、安全及

存储的统一资源池;

,计算虚拟化将计算资源由物理形态转变为逻辑形态，更加可靠和

灵活;

/网络虚拟化能够在拓扑上展现出业务逻辑，使得流量模型更加清

晰；

/存储虚拟化能够充分利用服务器的硬盘资源构建出分布式存储

体系架构，根据业务需求横向扩容；

2、云计算数据中心通过云管理平台实现集中的业务调度。

1.3.2.3数据中心资源池设计

＞计算资源池

服务器虚拟化是实现计算资源池化的基础，虚拟化平台作为介于硬件和操作

系统之间的软件层，采用裸金属架构的X86虚拟化技术，实现对服务器物理资源

的抽象，将CPU、内存、I/O等服务器物理资源转化为一组可统一管理、调度和

分配的逻辑资源，并基于这些逻辑资源在单个物理服务器上构建多个同时运行、

相互隔离的虚拟机执行环境，实现更高的资源利用率，同时满足应用更加灵活的

资源动态分配需求，譬如提供热迁移、HA等高可用特性，实现更低的运营成本、

更高的灵活性和更快速的业务响应速度。

05

SANGFORaSV

＞网络资源池

网络资源池化机制，通过网络虚拟化技术提供全新的网络运营方式，解决了

传统硬件网络的众多管理和运维难题，并且帮助数据中心操作员将敏捷性和经济

性提高若干数量级。

网络虚拟化方案通过和服务器虚拟化相结合，在虚拟机和物理网络之间，提

供了一整套完整的逻辑网络设备、连接和服务，包括分布式虚拟交换机aSwitch、

虚拟路由器aRouter、虚拟下一代防火墙vNGAF、虚拟应用交付vAD、虚拟vSSL

VPN、虚拟广域网优化vWOC等虚拟网络、安全设备；然后，还可以支持VXLAN

等增强网络协议，实现和物理网络的无缝对接，简化网络的配置管理；此外，还

可以通过虚拟化管理平台，实现网络拓扑部署、网络故障探测等网络管理功能。

从而，虚拟网络可以快速完成不同应用系统的网络部署，网络配置的自动化

调整，网络故障排查等工作，提升网络的管理运维效率，提升网络就绪、扩展速

度，降低数据中心物理网络的建设成本。

＞存储资源池

存储虚拟化aSAN,基于集群设计，将服务器上的硬盘存储空间组织起来形

成一个统一的虚拟共享存储资源池，即ServerSAN分布式存储系统，进行数据的

高可靠、高性能存储。分布式存储系统在功能上与独立共享存储完全一致；一份

数据会同时存储在多个不同的物理服务器硬盘上，提升数据可靠性；此外，再通

过SSD缓存，可以大幅提升服务器硬盘的10性能，实现高性能存储。同时，由

于存储与计算完全融合在一个硬件平台上，用户无需像以往那样购买连接计算服

务器和存储设备的SAN网络设备（FCSAN或者iSCSISAN）。

aSAN存储虚拟化

数据中心资源管理平台

云管理平台将云数据中心资源池通过流程化、自动化的方式，实现资源即服

务的交付方式，交付给最终的业务部门或者业务使用者，并实现平台自动化的运

维。

管理平台采用分布式架构设计，即企业级云架构集群中，每个节点都可提供

相应的管理服务，任何单一节点故障都不会引起整个平台的管理中断。并且

平台可提供分级分权的管理，针对不同的平台用户，可以各自使用和管理平

台管理分配给的对应资源，并且针对每种资源对象，可以部署更加精细化的

权限管理和控制，极大了满足了企业级云平台，构建云化IT架构中，多租

户使用IT资源的灵活性。

根据高校的业务特征，监控中心可为高校以下几个场景提供监控能力。

场景一：主动探测业务可用性:

对网站、邮箱、BS/CS等核心业务进行主动探测，当业务访问慢或者不可用

时通过邮件、短信等方式告警。

场景二：深入分析应用性能:

对Oracle、SQLServer、Weblogic应用进行可用性、响应时间告警，并提供

内部数据可视化及代码级别深入分析，快速定位应用性能瓶颈。

场景三、全方位监控虚拟机

监控虚拟机CPU、内存、磁盘、网络流量、进程状态等指标，指标数据最长

保留一年，可以进行TOPN性能分析与趋势分析。

监控中心的具体监控项目如下表所示:

类型监控项

虚拟机监控内容内存利用率、CPU利用率、CPU执行队列长度、

磁盘10、磁盘总利用率、磁盘分区利用率、网口收发

速率、进程资源使用率

监控协议TCP、HTTP、FTP、POP3、SMTP

Oracle监控数据库时延、I/O、数据库存储、数据库内存、事

件等待、锁、SQL解析、Server、Session^SQLCPU消

耗

SQLServer监控数据库时延、I/O、数据库存储、数据库内存、数

据库等待、锁、SQL解析、Session.SQL语句性能分

析、错误日志统计、集群状态

方案收益

＞自动化运维

＞资源计量

＞IT自助服务和流程

＞分级分权管理

13.3网络以及数据安全保障的等级保护

为了贯彻国家对电子政务信息系统安全保障工作的要求以及等级化保护“坚

持积极防御、综合防范”的方针，全面提高信息安全防护能力，并适应自身业务

发展对安全保障的的需要，山大商务学院需要进行整体安全防护设计，全面提高

信息安全防护能力，并支撑山大商务学院管委会信息化以及未来业务的发展。

按照《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)标

准第二级的安全保护能力，结合系统的业务安全需求特点，使某信息系统不仅达

到信息系统安全等级保护“第二级基本要求”和“第二级安全保护能力”，而且

符合其自身业务特点。

整体安全部署

整体网络拓扑部署如下图所示:

部署说明:

•互联网出口部署说明:

部署防火墙设备，防护来自互联网的威胁。

部署AV防病毒网关，对进出互联网链路的数据进行病毒过滤，阻止各类病

毒入侵。

部署上网行为管理（利旧），提供内网终端互联网网络安全审计以及流量控

制

•安全管控平台部署说明：

在核心交换机上分别旁路部署日志审计，进行行为审计，对数据进行监控审

计。

部署入侵检测，进行对互联网出口所有入站和出站的流量的检测，及时给客

户报警，让客户对网络有很直观的掌控。

部署漏洞扫描，进行对所有网络可达设备的扫描，搜集设备补丁的统计情况,

对运维人员的效率有所提高。

部署安全审计，对计算机网络环境下的有关活动或行为进行系统的、独立的

检查验证。

部署安全管理平台，提供全网网络设备、安全设备、数据库及系统的运行状

态运维以及安全事件采集、分析。

•数据中心平台部署说明：

部署Web应用防火墙，过滤来自外部的应用层的安全攻击行为。

部署网页防篡改系统，防止门户网站被低权限用户篡改网页。

•终端用户区域部署说明：

部署终端安全管理系统，应对特种木马、高级间谍软件、后门等攻击威胁而

开发的新一代EDR产品。产品采用驱动级终端深度监测和取证技术，结合云端

（公有云或私有云）大数据分析、机器学习、行为关联分析及全球威胁情报IOC

等分析技术，对恶意软件的各个环节进行全面分析，深度挖掘终端设备中存在的

已知和未知木马、间谍软件、蠕虫、后门等恶意软件，及时监测企业及数据中心、

云计算、移动接入等终端环境中的未知威胁，帮助安全人员对其驻留、控制、传

播、渗透等行为进行响应和全面处置，切断APT攻击的链条，避免其后续的恶意

行为造成的恶意影响。

边界访问控制

本方案根据不同的区域边界防护需求，采用不同系列及不同性能的防火墙，

部署于各安全域之间。实现边界安全访问控制。

防火墙部署于两个相邻的安全域之间，实现边界安全访问控制。在主系统中,

安全域内存在实时应用的边界，部署高性能的防火墙，保证数据传输速率。边界

防火墙均采用双机热备方式部署，避免单点故障。

防火墙部署如下表所示：

主系统边界描述

信息流向实时性防火墙类型

内部域外部域

互联网边界区域Internet双向实时高性能防火墙

业务服务器区域终端接入域双向实时高性能防火墙

安全管理域终端接入域双向实时高性能防火墙

防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降

低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得

更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,

这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可

以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中

的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

防火墙建议策略配置：

1.集中放置面向应用服务的主机，在一个集中、受控的环境下监控网络流

量。

2.关闭不必要的服务

3.严格限制进、出网络的ICMP流量和UDP流量

4.允许网络管理流量进局域网系统

5.严格制定防火墙策略，限制所有无关访问

恶意代码防范

针对病毒的风险，我们建议从源头入手，在各应用服务器、数据库服务器、

席位终端安装防病毒软件，有效查杀病毒、恶意脚本、木马、蠕虫等恶意代码。

对工作席位域和向公众信息发布子域等网络边界处部署防病毒网关系统对恶意

代码进行检测和清除。加强终端主机与服务器系统、网络出入口的病毒防护能力

并及时升级恶意代码软件版本以及恶意代码库。使山大商务学院管委会系统免受

病毒、特洛伊木马和其它恶意程序的侵袭，不让其有机会透过文件及数据的分享

进而散布到整个网络环境，提供完整的病毒扫描防护功能。

本方案中在山大商务学院管委会安全管理域部署网络版防病毒服务器，在所

有服务器及工作终端上部署防病毒客户端软件。

在安全网络域的两台外网核心交换机与互联网出口之间的链路上分别部署

一台高性能防病毒网关设备。

方案效果：

通过对山大商务学院管委会网络建立统一的整体网络病毒防范体系，在山大

商务学院管委会网络内部建立统一的病毒防范策略，从而达到对山大商务学院管

委会整个网络达到以下病毒防范效果：

令建立防病毒中央控管系统

可以通过病毒监控管理中心（安全管理域防病毒服务器）对网络内的服务器、

客户机进行远程策略设置、病毒查杀、远程安装等各种管理操作；实现跨地区、

跨平台的网络防毒系统实施统一管理和监控。

通过安全管理中心统一配置防病毒网关安全防护策略，统一防范各区域之间

病毒泛滥。防病毒网关对夹杂在网络交换数据中的各类网络病毒进行过滤，可以

对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种

广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散，将经网络传播的病毒

阻挡在外，可以有效防止病毒从其他区域传播到内部其他安全域中。通过部署

AV网关，裁断了病毒通过网络传播的途径，净化了网络流量。

令集中的病毒报警和报告

在管理服务器上能够方便地查看全部范围（或组范围）的病毒报警和报告，

包括感染节点的主机名、IP地址、病毒名称、清除情况、被感染文件的路径等。

令快速响应

建立及时、快速的病毒响应、处理机制，能够迅速抑制病毒在网络中的传播。

从发现病毒及病毒行为到上报控制台报警信息更迅速，能够快速的定位病毒来

源，病毒名称，以便网络管理员能够迅速觉察并进行处理。

令统一的自动升级

面对当前病毒的种类层出不穷，病毒危害日益严重的形势。能够快速及时准

确的查杀新型病毒极其变种，才是抑制病毒肆意妄为的有效手段。这就需要防病

毒软件的病毒库能够及时的升级。

山大商务学院管委会网络中的系统中心具有智能升级功能，在允许连接外网

的情况下能够快速的从外网的升级服务器来获得每天不少于三次的病毒库升级,

并可以根据策略分组、分时段进行升级。系统的统一自动升级不仅针对病毒库，

对系统的控制台和所有客户端同样能够进行升级，甚至是跨版本的升级，从而极

大的省去了重新安装新版本客户端及服务器的烦恼。

＜主动防御更可靠

当前病毒发展的趋势是病毒日益更新、变种层出不穷。通过传统的单纯依靠

病毒分析、特征码查杀这种带有滞后性的手段明显不能有效的保障山大商务学院

管委会的网络及终端日常应用的安全，所以主动防御的功能可谓是千呼万唤始出

来。主动防御模块采用三层防御的体系，加入了文件访问控制、进程启用控制、

注册表访问控制等功能，配合传统监控层及行为分析判定规则，使对未知病毒的

查杀成为可能。

令客户端防病毒策略强制保护

可以给网络内所有的服务器、客户机设置密码保护，防止内部用户修改防毒

策略或删除杀毒客户端程序。

。多层次的整体病毒防范

通过部署防病毒网关及网络版防病毒软件对山大商务学院管委会IDC网络

系统内的安全区域及各种不同操作系统的服务器、邮件/群件系统，服务器机群、

客户机进行多层次、全方位的病毒监控防范，监视所有病毒可能的来源途径。如:

Internet、网络驱动器、网络共享、移动存储设备、光盘、软盘和email等，彻底

的斩断病毒在服务器、客户机内的寄生及网络内部的传播。

漏洞扫描

在山大商务学院管委会网络部署漏洞扫描产品。漏洞扫描系统在网络中并不

是一个实时启动的系统，只需要定期挂接到网络中，对当前网段上的重点服务器

以及主要的桌面机和网络设备进行一次扫描，即可得到当前系统中存在的各种安

全漏洞，针对性地对系统采取补救措施，即可在相当一段时间内保证系统的安全,

部署在安全管理区域。

可达到效果：

高扫描速度

产品采用先进的调度算法和执行引擎，在保证正确率的前提下大幅提高了检

测的效率，扫描的速度大大高于其它同类型扫描产品。

高准确率

网络隐患扫描系统由专业漏洞小组人员确保脚本编写的规范准确，另外我们

也采用各项技术使检测的结果更加准确：

智能端口识别：能对开放端口运行的服务进行智能服务识别,而不是固定地

依据默认值去判断，即使WEB服务运行在67端口也能被正确地检测出来。

多重服务检测：如果系统有两个ftp服务一个在21端口，一个在28端口，

那么我们就会对这两个端口分别进行ftp漏洞检测。也就是说同一个脚本会对这

两个端口都检测一遍。

脚本依赖：扫描模块会自动根据其逻辑依赖关系执行而不是无目的盲目执

行，从而提高了扫描准确性。

信息抛出：支持保存扫描脚本中动态抛出的信息，从而获得更多、更准确的

信息。扫描一台主机（开放135、139、445、1025端口，允许空连接，guest空

口令的情况），能够获取主机的netbios名、主机名、工作组/域名、MAC地址、

SID名、用户名列表、弱密码、密码不过期、密码未改变、共享列表、系统服务

列表、注册表完全访问等信息。

拒绝服务脚本顺序扫描：提高准确性、减少误报。

断点恢复：在扫描程序运行到一半的时候如果系统意外掉电等，可以通过查

看扫描状态进行重新扫描或者继续扫描，如果选择继续扫描的话，前面扫描到的

结果会保留下来和后面的结果一起合并生成结果文件。

强大的漏洞库

全面的漏洞库与即时的更新能力。漏洞库按服务分为22大类别，按风险分为

紧急、高、中、低、信息五个级别，基于国际CVE标准建立，漏洞数量超过2000

条。每条漏洞都包含详细漏洞描述和可操作性强的解决方案。可通过互联网进行

在线升级或通过本地数据包进行本地升级，每周至少升级漏洞库一次，每月数量

大于20条。

分布式扫描

随着网络规模的逐步庞大、逐步复杂，核心级网络、部门级网络、终端/个

人用户级网络的建设，各个网络之间存在着防火墙、交换机等过滤机制，隐患扫

描发送的数据包大部分将被这些设备过滤，降低了扫描的时效性和准确性。

针对这种分布式的复杂网络，不能依旧采用传统的软件安装方式产品，网络

隐患扫描系统手持端产品能够充分发挥自身可移动的优势,能够很好的适应分布

式网络扫描。网络隐患扫描系统机架式产品运用B/S架构实现的分布式漏洞扫描

与安全评估，它通过分布在网络的多个扫描器（各节点），并在中央扫描器进行

集中管理的方式，实现了对大规模网络的实时及定时漏洞扫描和风险评估。

完善的检测报表

网络隐患扫描系统采用报表和图形的形式对扫描结果进行分析，可以方便直

观地对用户进行安全性能评估和检查。现拥有强大的结果文件分析能力，可以预

定义、自定义和多角度多层次的分析结果文件，提供html、word、pdf、txt等多

种格式，并提供行政主管、技术人员、安全专家等预定义报表格式及自定义报表

样式。

详细的漏洞描述与解决方案

网络隐患扫描系统提供全中文界面，提供完善的漏洞风险级别、漏洞类别、

漏洞描述、漏洞类型、漏洞解决办法及扫描返回信息，并提供有关问题的国际权

威机构记录（包括CVE编号支持），以及与厂商补丁相关的链接。

WEB防护

基于上述风险，我们在山西大学商务学院网络内的对业务服务器域WEB服

务器前端部署WEB应用防火墙。

部署WAF系统，即WEB应用防护系统服务器，该服务器能沟通过后台备份、

实时扫描等技术，实现对WEB文件内容的实时监控，发现问题时能实时恢复，

有效地保证了WEB文件的安全性和真实性，为网站提供实时自动的安全监护。

安装网页防篡改系统，通过实时监控、实时报警和自动恢复等功能为用户

Web站点提供实时安全保护，并通过日志实现对网站文件更新过程的全程监控,

防止黑客、恐怖分子及网络病毒等对网站的网页、电子文档、图片等所有类型的

文件进行任何形式的破坏或非法修改，从而为网站提供可靠的安全保障。

WAF系统采用透明部署部署在山西大学商务学院网络内的对外服务区域前,

采用双机热备工作模式，对访问WEB服务器的数据进行安全检查，一旦发现攻

击行为立刻中断连接保护WEB服务器的安全。

网页防篡改系统属于软件形态产品，在对外提供服务的WEB服务器上部署

网页防篡改系统。

可达到效果：

通过部署WAF系统可以实现以下效果：

•Web应用防护

对Web业务的保护，不仅需要能够阻断攻击，又要不影响正常业务的访问,

因此，Web业务的防护首先需要能够精确识别常见的Web攻击，然后予以阻断。

WAF能够精确识别并防护常见的Web攻击：

基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、

网络钓鱼等基本攻击；

CGI扫描、漏洞扫描等扫描攻击；

SQL注入攻击、XSS攻击等Web攻击。

SQL注入攻击利用Web应用程序不对输入数据进行检查过滤的缺陷，将恶

意的SQL命令注入到后台数据库引擎执行，达到偷取数据甚至控制数据库服务器

目的。XSS攻击，指恶意攻击者往Web页面里插入恶意HTML代码，当受害者浏

览该Web页面时，嵌入其中的HTML代码会被受害者Web客户端执行，达到恶

意目的。

OWASP最新的«OWASPTop10ApplicationSecurityRisks»报告称，当前Web

应用面临的最大威胁仍旧是SQL注入和XSS攻击。这两种攻击都是利用了Web

页面的脚本编写不完善，导致攻击者可以提交精心构造的URL、FORM表单或

POST信息，绕过数据库的权限认证（SQL注入攻击），或者是提交发布一些含

有恶意脚本的内容，当潜在受害者访问了这些内容后，将会泄露自己的私密信息

（XSS攻击）。正是由于这类攻击所利用的并不是通用漏洞，而是每个页面自己

的缺陷，所以变种和变形攻击数量非常多，如果还是以常用方法进行检测，漏报

和误报率将会极高。WAF采用VXID专利技术，采用攻击手法分析而非攻击代码

特征分析的方法，可以准确而全面的检测和防御此类Web攻击行为。

•应用层DOS防护

WAF可防护带宽及资源耗尽型拒绝服务攻击，如对SYNFlood等常见攻击行

为进行有效识别，可以使服务器在受到Flood攻击时仍然可以响应正常请求，确

保Web业务的可用性及连续性。

XMLDoS攻击防护是对HTTP请求中的XML数据流进行合规检查，防止非法

用户通过构造异常的XML文档对Web服务器进行DoS攻击。

•Web请求信息限制

针对HTTP请求,WAF能够针对请求信息中的请求头长度、Cookie个数、HTTP

协议参数个数、协议参数值长度、协议参数名长度等进行限制。对于检测出的不

合规请求，允许进行丢弃或返回错误页面处理，并记录相应日志。WAF支持请

求信息自学习功能，可以在学习时间内，自动统计请求头信息的一系列数据，给

用户进行参数设置提供参考。能够主动防御各种黑客攻击，避免黑客攻击或者杜

绝恶意损害服务器计算资源。

针对指定URL,WAF能够定义HTTP页面允许的方法（如POST、OPTION.

TRACE、DELETE等）、URL长度以及查询字符串长度，检查各种应用的参数的合

理取值，对于检测出的不合规请求，允许进行丢弃或返回错误页面处理，并记录

相应日志。能够防止针对Web服务器的非法探测或溢出攻击，最大程度避免黑

客攻击或者杜绝恶意损害服务器计算资源。

•Web敏感信息防护

WAF内置敏感信息泄露防护策略，可以灵活定义HTTP错误时返回的默认页

面，避免因为Web服务异常，而导致的敏感信息（如：Web服务器操作系统类

型、Web服务器类型、Web错误页面信息、银行卡卡号等）的泄露：

Web服务器操作系统类型：支持隐藏或修改能够导致透露Web服务器操作

系统指纹的数据，防止访问者得到Web服务器操作系统的类型信息。

Web服务器类型：支持隐藏或修改能够导致透露Web服务器类型的数据，

防止访问者得到Web服务器的类型信息。

Web错误页面信息：支持将Web服务器的错误页面提示信息，替换为标准、

通用的错误提示信息，防止Web服务器系统核心问题泄露。使得针对来不及修

复的Web服务器漏洞，避免利用相关工具进行漏洞探测、使得服务器返回漏洞

信息。

银行卡卡号：能够修改Web返回页面中的银行卡卡号，将数字替换为其它

字符，防止在页面中显示并传递用户的银行账户信息。如果是广告、公益页面的

银行卡卡号，可以通过配置白名单，不予修改。

•Cookie防篡改

WAF能够针对Cookie进行签名保护，避免Cookie在明文传输过程中被篡改。

用户可指定需要重点保护的Cookie,对于检测出的不符合签名的请求，允许进行

丢弃或删除Cookie处理，同时记录相应日志。可为Cookie强制添加httponly属

性，保护Cookie不被JavaScript访问;可为Cookie强制添加Secure属性，告知

浏览器在在HTTPS时返回Cookie,在HTTP时不返回Cookie。

通过部署网页防篡改系统可以实现以下效果：

•监控与恢复

针对网站文件安全的保障机制，实时监控网站文件的变更，有效降低篡改发

生的概率，并且一旦发生篡改，可以自动实时地进行文件恢复。此外，对所有互

联网访问进行内容过滤，以确保发布内容的正确性、权威性。

•同步与备份

与各类网站发布方式（如ftp、CMS等）无缝集成，确保网站内容正常更新维

护的自动化、实时性。同时，提供网站备份的能力，以便保障系统实施过程中的

初始化可以在不借助第三方软件的情况下顺利进行。

•告警与审计

实时的报警能力，针对网站进行的各类篡改企图或篡改操作，系统提供实时

地报警处理，将相关详细信息以告警的方式提交给网站管理人员。详细的日志信

息不仅可以用于篡改责任的追究和落实，同时也为管理人员全面了解网站安全和

系统运行状况提供了必须的资料。

•防SQL注入

防止黑客通过注入SQL语句的方式从网站关联的数据库中获取、修改数据信

息或攻击数据库。采用正则表达式描述规则，提高规则的可扩展性和可维护性。

•用户管理

为提高网站管理的安全性，系统提供多级用户管理机制，不同用户的权限（资

源配属）可根据实际需求进行控制。

综合安全网关

本方案根据不同的区域防护需求，采用不同系列及不同性能的综合安全网

关，部署于用户接入域、安全管理域、服务器域，实现各区域的安全防护。

综合安全网关部署效果如下所示：

整合所带来的成本降低

将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥

作用，相比于单个功能的累加功效更强，颇有一加一大于二的意味。现在很多组

织特别是中小企业用户受到成本限制而无法获得令人满意的安全解决方案，综合

安全网关产品有望解决这一困境。包含多个功能的综合安全网关安全设备价格较

之单独购买这些功能为低，这使得用户可以用较低的成本获得相比以往更加全面

的安全防御设施。

降低信息安全工作强度

由于综合安全网关安全产品可以一次性的获得以往多种产品的功能，并且只

要插接在网络上就可以完成基本的安全防御功能，所以无论在部署过程中可以大

大降低强度。另外，综合安全网关安全产品的各个功能模块遵循同样的管理接口，

并具有内建的联动能力，所以在使用上也远较传统的安全产品简单。同等安全需

求条件下，综合安全网关安全设备的数量要低于传统安全设备，无论是厂商还是

网络管理员都可以减少服务和维护工作量。

降低技术复杂度

由于综合安全网关安全设备中装入了很多的功能模块，所以为提高易用性进

行了很多考虑。另外，这些功能的协同运作无形中降低了掌握和管理各种安全功

能的难度以及用户误操作的可能。对于没有专业信息安全人员及技术力量相对薄

弱的组织来说，使用综合安全网关产品可以提高这些组织应用信息安全设施的质

量。

全方位防护，性能优越

安全网关产品具备状态检测防火墙、VPN、防病毒、入侵防护等安全功能。

除此以外，还全面支持策略管理、IM/P2P管理、服务质量(QoS)、负载均衡、

高可用性(HA)和带宽管理等功能，可以阻挡未授权的访问、网络入侵、病毒、

蠕虫、木马、间谍软件、钓鱼诈骗、垃圾邮件，以及其他类型的安全威胁。

精确高效的入侵防护技术

安全网关产品使用基于非缓存的流过滤智能检测技术，实现面向不同对象、

不同策略的入侵防护，内置的深度协议分析技术可解析近100对象、不同策略的

入侵防护，内置的深度协议分析技术可解析近100种应用层协议，极大地提高检

测和防御的完整性。

存储备份

在业务服务器区域部署存储备份一体机，提供数据安全备份和应急恢复，满

足等级保护要求。

可达到效果：

■实现本地应急备份接管，提供生产可持续性及安全；

■实现异地业务接管，解决异地存储容灾数据回复时间长等缺点；

■实现异地容灾硬件投资大，业务接管复杂问题；

■实现本地应用业务硬件故障，可以从异地迁移恢复至异机;

13.4安全管理体系设计

安全策略是一个单位对信息安全目标和工作原则的规定,其表现形式是一系

列安全策略体系文件。安全策略是信息安全保障体系的核心，是信息安全管理工

作、技术工作和运维工作的目标和依据。

安全策略是依据国家、行业政策，法规，标准（比如国内的信息安全等级保

护制度、计算机信息系统安全保密防护要求及检测评估方法、风险评估准则等），

结合单位的安全实际需求，制定出符合单位特征的安全策略。本项目主要依据信

息系统等级保护第二级要求进行安全策略建设。

安全策略可以划分为安全技术策略和安全管理策略，安全技术策略需要集合

相应的安全技术或安全设备，演变为安全技术规则，配发到相应的系统或安全设

备上。安全管理策略需要根据单位中不同部门的具体情况，演变为一种具体的安

全管理制度，落实到相应的部门和人员。

信息系统安全策略体系主要包括：安全管理制度、安全管理机构策略、人员

安全管理策略、安全建设策略、安全运维策略、物理安全策略、网络安全策略、

主机安全策略、应用安全策略、数据安全与备份恢复策略等。

安全策略体系文档架构示意如下图所示:

安线暗体弱踝

名美工作很告

安全策略开发

安全策略是一个单位对信息安全目标和工作原则的规定,其表现形式是一系

列安全策略体系文件。安全策略是信息安全保障体系的核心，是信息安全管理工

作、技术工作和运维工作的目标和依据。

安全策略是依据国家、行业政策，法规，标准（比如国内的信息安全等级保

护制度、计算机信息系统安全保密防护要求及检测评估方法、风险评估准则等），

结合单位的安全实际需求，制定出符合单位特征的安全策略。本项目主要依据信

息系统等级保护第二级要求进行安全策略建设。

安全策略可以划分为安全技术策略和安全管理策略，安全技术策略需要集合

相应的安全技术或安全设备，演变为安全技术规则，配发到相应的系统或安全设

备上。安全管理策略需要根据单位中不同部门的具体情况，演变为一种具体的安

全管理制度，落实到相应的部门和人员。

信息系统安全策略体系主要包括：安全管理制度、安全管理机构策略、人员

安全管理策略、安全建设策略、安全运维策略、物理安全策略、网络安全策略、

主机安全策略、应用安全策略、数据安全与备份恢复策略等。

安全策略体系文档架构示意如下图所示：

暗体翦睬

I4策*-II下捌］

名美工伟告

策略系列文档结构图:

安全制度的首要问题是需要对安全制度的制定,对于在安全制度的制定的过

程中，考虑如下内容：

1.界定安全策略制度的制定权限

信息安全领导小组和管理小组负责制定公司层的安全策略，各部门信息安

全组织遵照公司下发的安全策略，结合本部门系统实际情况，制定和细化成适用

于本部门的具体管理办法、实施细则和操作规程等。

2.安全策略的制定要求

对安全策略进行汇编时，须保留各安全策略的版本控制信息和密级标识。

1.3.4.2安全制度管理

安全制度制定后，对安全制度的管理工作十分重要，在对安全制度管理过程

中，需要注意如下内容：

＞安全制度发布

安全策略须以正式文件的形式发布施行。

层安全策略由信息安全管理组制订，信息安全领导小组审批、发布。

部门层安全策略由各生产中心安全管理组织制订，信息安全管理组审批、发

布，同时要留存信息安全管理部门备案。

系统层安全策略由各系统管理员制订、本中心安全管理员协助，本部门安全

管理组织审批、发布，同时要留存信息安全管理部门备案。

安全策略发布后，如有必要，安全策略制定部门应召集相关人员学习安全策

略，详细讲解规章制度的内容并解答疑问。

安全策略修订后需要以正式文件的形式重新发布施行，修订后的策略也需相

应层次的管理部门审批。

签署发布的规章制度必须标明该规章制度的施行日期。

＞安全制度修改与废止

须定期对安全策略进行评审，对其中不适用的或欠缺的条款，及时进行修改

和补充。对已不适用的信息安全制度或规定应及时废止。

当现行安全策略有下列情形之一时，须及时修改：

•当发生重大安全事件，暴露出安全策略存在漏洞和缺陷时；

•组织机构或生产系统进行重大调整和变更后；

•同一个事项在两个规章制度中规定不一致；

•与上级部门的安全策略相抵触；

•其它需要修改安全策略的情形。

当现行安全策略有下列情形之一时，必须及时予以废止：

•因有关信息安全制度或规定废止，使该信息安全制度或规定失去依据，

或与现行上层策略相抵触；

•因已规定的事项已经执行完毕，没有存在必要；

•已被新的规章制度所替代。

公司层安全策略的修改与废止须经信息安全领导组织审批确认，信息安全管

理部门备案。

部门层安全策略的修改与废止须经各部门信息安全维护组织及信息安全管

理部门审批确认。同时信息安全管理部门备案。

＞安全制度监督与检查

安全策略发布实施后，各部门应就安全策略制度或规定的贯彻执行，执行中

存在的问题以及对规章制度修改或废止的意见建议等情况进行检查、监督，并将

意见和建议及时反馈给制度的制定部门。

为保障各项信息安全管理制度的贯彻落实，信息安全管理部门必须定期检查

安全策略的落实情况，信息安全管理制度的落实情况检查是信息安全检查工作的

重要内容。

信息安全检查工作结束后，在起草检查报告时，必须通报安全策略的落实情

况，对执行不力的行为必须提出整改意见，限期纠改，并继续追踪其落实情况。

安全策略的贯彻落实情况，必须作为重要的考核项目，纳入部门的综合考评

体系。

为安全策略落实做出显著成绩的部门或个人，应给予表彰和奖励；对违反规

章制度造成严重后果的部门或个人，应追究当事人、相关单位及主管领导的责任。

具体参照考核制度办理。

＞安全制度管理流程

1.制度管理流程信息表

下表给出了制度管理流程表，供本次项目参考:

流程名称策略管理流流程编码0PT-6流程负责人山大商务学院管

程委会信息安全办

公室

流程起点：流程目的：规范山大商务学流程终点：审议安全策略执行

制定安全策院管委会以及各部门信息安

略全策略的制定、发布、修改、

废止、检查和监督落实，建

立科学、严谨的信息安全策

略管理体系。

步操作操作描述操作岗位

骤步骤

编

号

1策略1、山大商务学院管委会公部门信息安全组织/山大商务学院管委会信息

司级信息安全策略由山

制定大商务学院管委会信息安全办公室

安全办公室负责制定

2、部门级信息安全策略由

部门信息安全组织负责

制定

2审核1、山大商务学院管委会级部门信息安全组织/山大商务学院管委会信息

策略

4发■山大商务学院管委会信安全办公室/山大商务学院管委会信息安全工

布息安全工作组审核作组/工作信息安全领导小组

■山大商务学院管委会信

息安全领导小组审批

■山大商务学院管委会信

息安全办公室发布

2、部门级策略

■山大商务学院管委会信

息安全办公室审核

■山大商务学院管委会信

息安全工作组审批

■部门信息安全组织发布

3修改■制定部门负责修改和废部门信息安全组织/山大商务学院管委会信息

止

与废■山大商务学院管委会信安全办公室/山大商务学院管委会信息安全工

止息安全办公室审核、备案作组/工作信息安全领导小组

■山大商务学院管委会信

息安全工作组、领导小组审

批

4监督■山大商务学院管委会信山大商务学院管委会信息安全办公室

息安全办公室监督、检查

和检

查

步骤编输入部门输入内容