还剩11页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
等保
2.0下,高校如何设计网络安全方案?自数字校园”的建设目标提出以来,全国各高校的信息化水平便以极大步调高速发展在这样的发展形势下,各类网络信息系统如雨后春笋一般在高校出现和发展每一项工作,甚至每个项目,均能衍生出多个信息系统时至今日,数字校园已升格为“智慧校园,而高校教学的教学、科研、管理等均高度依赖于信息化手段的支撑各类网络信息系统的出现最初是为了解决高校的管理问题,而这些系统的盲目建设又引发了新一轮的管理问题国家政策法规对于我们解决这些问题提供了依据和指导意见早在2008年,我国公安部即颁布《信息安全技术信息系统安全等级保护基本要求GB/T22239-2008》以下简称等保
1.0根据标准,高校作为信息系统的建设者和运营者,应对其进行定级并实施分级保护2019年12月1日,《信息安全技术网络安全等级保护基本要求GB/T22239-2019》以下简称等保
2.0的正式实施标志着我国的信息安全等级保护工作已从
1.0时代跨入
2.0时代⑴等保
2.0在等保
1.0的基础上进行了优化和调整,扩大了等级保护对象的范围,变被动防御为主动防御,明确了一个中心,三重防护的防护体系⑵等保
2.0明确指出,网络运营者应根据保护对象的安全保护等级及其他级别保护对象的关系进行安全整体规划和安全方案设计⑶因此高校亟需对学校整体网络安全进行规划,形成安全方案安全设备作用范围校园网出口防火墙校园网数据中心出口防火墙数据中心机房入侵检测设备数据中心机房WEB应用防火墙数据中心机房内服务器远程安全评估系统校园网内服务器数据库审计设备全部业务系统上网行为审计设备校园网安全态势感知平台校园网堡垒机全部服务器、网络设备、安全设备主机及软件安全防护业务系统服务器除按照要求集中部署在数据中心机房外,还应满足以下安全要求
1.身份鉴别与访问控制各设备均应按照实际应用需要采取最小化原则分配账户和权限,采用高强度口令和密码技术组合的形式实现用户身份鉴别,鉴别信息在远程管理时应采取加密传输方式用户登录模块应对登录失败次数进行限制,并在连接超时后自动断开
2.安全审计安全审计功能应覆盖全部用户的全部行为,定期备份,并对审计进程进行保护审计记录发送至安全管理中心
3.恶意代码防护设备应安装防恶意代码软件
4.数据安全重要数据应加密存储、加密传输;除在本地保证实时备份和恢复外,还应实时备份到异地安全场所当存储空间移为他用时,应对其进行完全格式化涉及到采集个人信息的业务环节时,应当对用户进行声明,并在用户勾选同意后方可进入采集阶段,采集的个人信息严格按照声明进行使用安全管理中心安全管理中心是安全技术体系的一部分,由于其特殊的功能和地位,所以本文将安全管理中心作为一个独立的章节来阐述等保
2.0中要求网络运营者划分出独立的网络区域,建立安全传输信道,用于安全管理中心对网络设备、安全设备等进行集中管控安全管理中心并非单一的设备或独立的物理区域,而是一个进行安全管理的虚拟区域,通常为多个安全管理系统的合集安全管理中心的主要功能是实现系统管理、审计管理、安全管理和集中管控一般来讲,典型的高校安全管理中心包含堡垒机、网络安全大数据平台、恶意代码防护软件管理中心和操作系统补丁服务器堡垒机堡垒机一般部署在数据中心机房中,用于实现集中可控的系统管理、审计管理、安全管理功能校园网内安全设备、汇聚层以上的网络设备、业务系统服务器等均应全部通过堡垒机配置相应账号权限进行维护网络安全大数据平台网络安全大数据平台基于高校网络安全管理工作的实际需要进行设计,用于实现审计日志集中存储和管理、上网行为管理、网络流量监测、设备运行状态监控和安全策略集中管理等功能
1.审计日志存储与分析平台采集网络设备、安全设备和服务器软硬件运行的审计日志,集中存储,结合在校园网不同位置部署的流量探针所采集到的数据进行分析,对网络安全态势进行研判
2.设备运行状态监控在服务器中安装代理程序,监控设备运行状况并发送至平台运行数据超过阈值时,平台向管理员发送告警消息
3.安全策略收集与综合管理通过接口与防火墙、WAF等安全设备对接,集中管理各安全设备策略恶意代码防护管理系统企业版恶意代码防护软件一般都向管理员提供安全管理系统通过恶意代码防护管理系统,校级管理员可实时掌握恶意代码软件安装、更新和恶意代码查杀情况操作系统补丁服务器在校内部署Windows操作系统补丁服务器,面向校园网提供Windows更新服务,并集中管理升级情况随着教育信息化的发展和网络安全形势的日趋严峻,高校网络安全工作的地位被提升到了前所未有的高度本文立足于高校信息化建设的实际情况,根据等级保护
2.0的要求,设计了学校信息化管理层面的网络安全方案方案先是阐述了设计原则、整体框架和对等级保护对象的管理,然后详细规划了安全管理体系、安全技术体系和安全管理中心作为校园网络的管理者,制定全面合理的网络安全方案,可以规范全校网络信息系统的建设和运维工作,保障校园网络安全安全方案应该实现涵盖全校网络信息系统的目标,并综合考虑学校信息化和网络安全的现状和发展趋势,以便对学校网络安全工作起到规范和指导作用设计原则和总体安全架构设计原则高校网络安全方案设计应遵循如下原则
1.符合等保
2.0标准在进行高校网络安全方案设计时,应以等保
2.0标准为基本依据,方案内容与标准中的控制点应形成对应关系,确保安全方案实施后学校的网络安全工作切实符合等级保护相关要求
2.立足校级层面,力求通用性应以高校整体管理的角度把握网络安全方案的设计原则,避免将某个系统或某个部门作为设计的切入点
3.实现网络安全等级保护全生命周期管理,实现可持续发展每个网络信息系统作为一个单独的等级保护对象,有着建设、运维、优化、更新迭代和注销的生命周期方案的设计应覆盖保护对象的全部生命周期,充分考虑高校网络安全工作各个环节,并在当前工作现状的基础上,预留发展的空间安全框架设计高校网络安全方案总体框架如图1所示,分为相关依据、安全管理体系和安全技术体系三部分相关依据网络安全法^
2.0镐爵J器船喂皆鼠需图1高校网络安全方案整体框架
1.相关依据设计依据是高校网络安全方案的基础和出发点,包括网络安全相关法律法规、等保
2.0标准、监管部门要求、上级主管部门要求和学校党组(党委)网络安全工作责任制五个部分
2.安全管理体系安全管理体系是安全方案中的管理部分,也是安全方案具体实现的途径安全管理体系分为机构、人员和安全制度三部分机构对应等保
2.0中的安全管理机构,人员对应安全管理人员,安全制度对应安全管理制度和安全建设管理安全管理体系是安全方案中极为重要的一部分,将在本文接下来的章节展开阐述
3.安全技术体系安全技术体系包含机房设施、基础网络、边界设备、设备及软件、安全管理中心五部分这五部分分别对应等保
2.0中安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个章节,是安全方案的技术部分,具体细节将在本文最后两章节介绍等级保护对象的确定和管理如前文所述,高校网络信息系统有着数量庞大、管理层次复杂重叠的特点,不同系统安全防护水平差距较大有些系统建设时间晚,在系统设计和安全防护上投入了较大的人力物力,因此安全防护水平相对乐观而一些在数字校园初期建设的系统,为了实现某些管理目标而仓促建设,在安全防护上存在较多的短板而其中有些系统在完成阶段性工作后便无人管理,成为高校网络安全的重大隐患在确定等级保护对象之前,需全面考虑全校网络和信息系统的功能定位、相互联系,关闭非必要系统,整合业务内容相似的系统,编制系统台账再根据《信息安全技术网络安全等级保护定级指南》和教育部指导文件,确定安全保护等级,绘制包含全部系统在内的校级网络拓扑图在进行系统建设、改造工作时,需提前考虑系统的定级,并及时更新等级保护对象列表和网络拓扑图一般部属高校安全保护对象的最高等级为三级除部分有特殊部署场景的系统外,大部分信息系统均集中部署于数据中心机房内因此机房设施和学校整体网络架构设计均应按照三级系统的要求进行设计安全管理体系安全管理体系包含机构、人员、制度和三个部分机构网络安全机构是高校安全管理体系的实施主体,基本组成结构如图2所示图2高校网络安全机构网络安全和信息化领导小组是高校网络安全工作的最高决策机构,其最高领导由学校主管领导担任网络安全和信息化办公室是网络安全管理工作的职能部门,负责网络安全工作的规划和管理学校各学院、职能部门是学校网络安全工作的责任主体,应在安全支撑厂商和专家队伍的帮助下,完成一系列网络安全工作各机构均需制定明确的机构网络安全职责、岗位职责以及沟通合作基本方案人员高校网络安全人员管理分为内部人员管理和外部人员管理两方面,如图3所示人员录用安全教育培训人员离岗外部人员访问•书面申请•资格审杳•按照人员类别•终止访问权限•登记备案•技术考核•按照不同岗位•办理调离手续•全程践喻•岗位职责协议•定期考核•承诺保密义务•清除权限•保密怫议•保宙协议图3高校网络安全人员管理内部人员管理涵盖人员录用、安全意识教育培训、人员离岗三个环节人员录用一般由人事处和用人单位配合完成,人事处完成对入职人员相关资格的审查,用人单位对人员技能进行考核,并与录用人员签署岗位职责协议和保密协议网络安全和信息化办公室负责制定培训计划以及对员工进行定期的技能考核人员离岗时,用人单位应终止其全部访问权限并办理调离手续,手续中包含承诺保密义务的环节外部人员管理的主要内容是外部人员访问管理,包括访问受控区域或介入受控网络前需进行书面申请、全程陪同、登记备案、离场后清理权限以及保密协议的签署等安全制度高校网络安全管理的各个层面,上至机构的规划和人员的管理,下至各项工作的开展,均需由相应制度提供支撑同时制度也是使安全管理体系和安全技术体系相互配合的重要联系方式安全制度体系可划分为总体规划、机构人员、建设管理、运维管理和数据管理五个层面•总体规划包括年度网络安全工作要点和网络安全总体方案,作为指导全校网络安全工作的纲领性文件•在机构人员方面,制度体系包括网络安全和信息化领导小组成立文件、网络安全岗位职责、安全培训管理规定、办公环境安全管理规定、保密工作制度•建设管理层面包括仪器设备采购管理规定、招标采购管理规定、信息系统建设与管理规定和网站建设与管理规定•运维管理层面包括网络安全管理规定、网络应急预案、机房管理规定、设备操作管理规定、仪器设备报废管理办法、介质安全管理规定、设备配置安全基线规范、系统安全管理规定、系统变更管理规定、系统备份与恢复、恶意代码防范管理规定•数据管理应包括数据管理办法和个人信息保护管理办法安全技术体系安全技术体系分为机房安全、基础网络、安全防护设备、主机及软件安全防护、安全管理中心五个部分安全管理中心由于其组成和地位的特殊性独立作为一个章节来阐述,以下介绍其余四个部分机房安全除特殊应用场景要求外,高校内各信息系统均应集中部署于数据中心机房,实现物理环境标准的统一按照等保
2.0要求,机房应满足以下要求或具备以下设施
1.机房位置选择机房设置在抗震、防风、防雨、防雷击,且建筑材料耐火等级在B2级以上的建筑物一层
2.机房设施机房配备电子门禁、视频监控设备、防雷保安器、自动消防系统、新风换气、动力环境监测系统、专用空调、接地系统和UPS;机房放置防静电手环供运维人员使用;机房划分网络设备、安全设备、业务服务器等区域,并设置隔离防火措施
3.电力供应机房配置双路供电,实现电源冗余网络柘扑安全方案中应包括网络拓扑图,如图4所示图4网络拓扑示意拓扑图应符合学校网络实际部署情况,标明网络设备、安全设备、服务器等的具体位置由于学校的网络拓扑结构会经常调整,网络拓扑图应当至少每年更新一次安全防护设备方案中应明确列出校园网及数据中心机房内已部署的安全防护设备清单和其防护作用范围建有三级信息系统的高校至少需配备以下安全防护设备,参见表L表1安全防护设备参考。