高校信息化安全防護解決預案

88/88 高校信息化安全防護解決方案2016年11月1 高校信息化現(xiàn)狀 41.1 信息化存在問題與分析 41.1.1 缺乏統(tǒng)一的開放支撐平臺，多廠商共建筑成過程風險 51.1.2 校級流程管控缺失，各處室割離建設造成流程雜亂 51.1.3 流程雜亂及數(shù)據(jù)質量監(jiān)控缺失造成數(shù)據(jù)質量低下 61.1.4 高校普遍網(wǎng)站安全防護力度不夠安全漏洞未及時更新 61.1.5 高校數(shù)據(jù)中心安全危機和運維管控難度加大 61.1.6 私有云的建設，帶來便利的同時面臨著新的挑戰(zhàn) 72 信息化問題解決思路 82.1 信息化云-管-端整體布局 82.2 信息化云數(shù)據(jù)中心安全防護 92.3 運營生態(tài)體系—信息的高可用性 112.4 構建一套高可用性、安全性的信息化系統(tǒng)體系 123 高校信息化需要建設內容 123.1 信息化系統(tǒng)建設內容 123.1.1 基礎支撐平臺 123.2 信息化數(shù)據(jù)中心安全建設內容 183.2.1 數(shù)據(jù)中心業(yè)務生產區(qū)安全 193.2.2 數(shù)據(jù)中心運維治理區(qū) 213.3 信息化系統(tǒng)管端安全建設內容 223.3.1 安全設計 223.3.2 安全部署 234 高校信息化系統(tǒng)安全服務需求 244.1 風險評估機制 244.2 等級愛護定級備案協(xié)助 304.3 信息系統(tǒng)加固修復 314.4 信息安全制度自查與優(yōu)化 324.5 安全防護措施自查與優(yōu)化 334.6 門戶網(wǎng)站安全測評及安全整改 355 建議增加的安全設備/服務 376 相關產品介紹 386.1 下一代防火墻 386.1.1 下一代防火墻配置背景 386.1.2 下一代防火墻實現(xiàn)功能 396.1.3 下一代防火墻效果 396.2 上網(wǎng)行為治理 406.2.1 上網(wǎng)行為治理配置背景 406.2.2 上網(wǎng)行為治理功能 406.2.3 上網(wǎng)行為治理實現(xiàn)效果 416.3 網(wǎng)絡安全審計系統(tǒng) 416.3.1 網(wǎng)絡安全審計系統(tǒng)配置背景 416.3.2 網(wǎng)絡安全審計系統(tǒng)實現(xiàn)功能 426.3.3 網(wǎng)絡安全審計系統(tǒng)實現(xiàn)效果 436.4 云運維審計系統(tǒng)（堡壘機） 436.4.1 云運維審計系統(tǒng)配置背景 436.4.2 云運維審計系統(tǒng)功能 446.4.3 云運維審計系統(tǒng)實現(xiàn)效果 456.5 Web應用防火墻和網(wǎng)站監(jiān)控平臺 456.5.1 Web應用防火墻與網(wǎng)站監(jiān)控平臺配置背景 456.5.2 Web應用防火墻和網(wǎng)站監(jiān)控平臺實現(xiàn)功能 456.5.3 Web應用防火墻與網(wǎng)站監(jiān)控平臺實現(xiàn)效果 47高校信息化現(xiàn)狀目前，高校通過這幾年加大對信息化的建設，差不多實現(xiàn)全校網(wǎng)絡覆蓋，安全防護能力業(yè)已達到“二級”合格標準。治理信息系統(tǒng)如門戶網(wǎng)站、OA系統(tǒng)、招生系統(tǒng)、教務系統(tǒng)、財務系統(tǒng)、金龍卡、教學資源系統(tǒng)、教學質量監(jiān)控系統(tǒng)、圖書治理系統(tǒng)以及各部門自主購買的一系列應用系統(tǒng)等等，能夠講這些應用系統(tǒng)差不多上覆蓋了大部分校園信息化所具備的治理系統(tǒng)。學校中心機房有在用服務器，存儲設備數(shù)套，分屬各處室、分院及圖書館，各自運行、存儲獨立的治理系統(tǒng)及數(shù)字資源。信息化建設差不多差不多覆蓋校內的大部分治理信息化領域，數(shù)字校園建設初具規(guī)模。當前已建的這些應用系統(tǒng)，差不多能夠解決高校在行政辦公治理、教務治理、學工治理以及科研治理等范疇內結果性數(shù)據(jù)維護的需求。在方便了各業(yè)務部門進行業(yè)務處理的同時，也積存了不同業(yè)務、不同時期的各類數(shù)據(jù)。而這些數(shù)據(jù)的沉淀，作為我校在“十二五”期間，信息化建設的重要成果，為下一時期的數(shù)據(jù)決策和分析提供有效的依據(jù)和支撐。事實證明，高校通過在“十二五”期間的信息化建設，在完成各類結果數(shù)據(jù)沉淀的同時，為各級各類型業(yè)務部門利用信息技術和手段開展業(yè)務辦理，提供了有效的應用環(huán)境。在業(yè)務辦理過程中，因為有了基于獨立面向單體業(yè)務開發(fā)的各類業(yè)務應用系統(tǒng)，辦理效率在大幅提升，為高校整體運營層面大大降低了因為人工方式帶來的運營成本。面向學生，也能夠利用信息化的手段為他們提供基于某個業(yè)務場景的業(yè)務服務。不可否認的是，高校通過“十二五”期間展開的信息化建設，在保證原有業(yè)務開展質量的同時，較大幅度的提高了業(yè)務治理水平和效率。盡管如此，在信息化建設的道路上仍然有專門多的空間需要提升。隨著信息化建設的推進，云計算的技術的不斷成熟以及在高校領域的不斷滲入云計算通過將數(shù)據(jù)統(tǒng)一存儲在云計算服務器中，加強對核心數(shù)據(jù)的集中管控，比傳統(tǒng)分布在大量終端上的數(shù)據(jù)行為更安全。由于數(shù)據(jù)的集中，使得安全審計、安全評估、安全運維等行為更加簡單易行，同時更容易實現(xiàn)系統(tǒng)容錯、高可用性和冗余及災備恢復。但云計算在帶來方便快捷的同時也帶來新的挑戰(zhàn)信息化存在問題與分析我們不得不進一步發(fā)覺，從高校整體信息化建設的過程、應用的過程以及后期維護的過程中，仍然存在問題有些問題直接阻礙了高校后續(xù)信息化建設的節(jié)奏與效果。這些問題要緊集中在以下幾個方面：缺乏統(tǒng)一的開放支撐平臺，多廠商共建筑成過程風險高校在“十二五”期間建設的信息化系統(tǒng)眾多。其間涉及門戶網(wǎng)站、OA系統(tǒng)、招生系統(tǒng)、教務系統(tǒng)、財務系統(tǒng)、金龍卡、教學資源系統(tǒng)、教學質量監(jiān)控系統(tǒng)、圖書治理系統(tǒng)以及各部門自主購買的一系列應用系統(tǒng)等等。信息化建設過程中，多個廠商參與共建，而建設的內容差不多上以業(yè)務部門需求為核心的單體業(yè)務系統(tǒng)，現(xiàn)在是普遍高校信息化建設的現(xiàn)狀。學校的信息化建設在設計初期，都在強調頂層規(guī)劃。應該講，如此一張藍圖是指導學校后續(xù)的信息化逐步推進的原則。但在實際過程中，由于不同廠商參與建設的學校信息化，就會出現(xiàn)實際建設路徑與最初設計藍圖不一致的情況。歸結緣故要緊有以下兩點：其一，不同廠商采納不同的技術架構開發(fā)設計，過程相對封閉。而學校信息化一旦需要從單體系統(tǒng)向一體化轉型時，就會帶來因為封閉技術架構帶來的沖突，使整合難度加大，對學校而言建設安全風險增加。其二，建設邊界相對模糊，帶來學校從單體系統(tǒng)一體化轉型過程中，權責難以明確的問題。廠商之間互相推諉，撇清責任。這對學校信息化安全建設過程無疑風險巨大。其三，缺乏統(tǒng)一的安全的身份認證手段，各廠商承建的系統(tǒng)對權限的管控手段水平不一，在安全性和用戶直接使用感受上都存在問題，師生在使用各信息系統(tǒng)時往往會面對各種賬號，在用戶體驗上大打折扣。校級流程管控缺失，各處室割離建設造成流程雜亂當前大部分高校在信息化建設過程中，各個部門和二級學院的規(guī)劃和建設，差不多上各自為政，建設自己的治理信息系統(tǒng)或應用軟件，這些軟件系統(tǒng)來源于不同部門的采購，軟件產品分屬于不同的生產商。這種狀況表現(xiàn)在應用過程中功能重疊、數(shù)據(jù)格式多樣性和系統(tǒng)之間無關聯(lián)性。所謂的“信息孤島”就由此產生，信息孤島的產生使信息資源的利用率大打折扣，各系統(tǒng)難于共享信息。由不同的軟件供應商提供建設的各個業(yè)務系統(tǒng)的建設覆蓋面較窄，且中間涉及到與該業(yè)務部門相關的大量業(yè)務流程。這些業(yè)務流程長短不一，其應用場景也相對固定。校級的業(yè)務流程現(xiàn)在在國內的大部分高校信息化建設過程中都相對缺失。帶來那個問題的要緊緣故是由于單體業(yè)務系統(tǒng)的人為割裂建設有關。業(yè)務部門是這些業(yè)務系統(tǒng)建設的需求提出單位，他們所關注的僅僅是那個業(yè)務部門在某個業(yè)務場景中的流程需要。他們并可不能過多的關注校級層面的流程與自己部門業(yè)務流程的關聯(lián)到底有哪些。同時，確實是針對自己部門內部的業(yè)務流程，每流程節(jié)點的執(zhí)行人、執(zhí)行時刻、執(zhí)行耗時、執(zhí)行效果、執(zhí)行評價等這些信息也是一無所知，這也就帶來了當前大部分高校在進行信息化建設過程中校級流程的缺失。流程雜亂及數(shù)據(jù)質量監(jiān)控缺失造成數(shù)據(jù)質量低下高校目前構建的這些業(yè)務應用系統(tǒng)，從單體的系統(tǒng)使用情況看，仍然存在“建的多，用的少”的情況。對業(yè)務系統(tǒng)而言，在應用環(huán)節(jié)的缺失，直接阻礙對應業(yè)務數(shù)據(jù)的沉淀，更不用提到所謂數(shù)據(jù)質量的問題。這是阻礙數(shù)據(jù)質量不高的緣故之一。另外，學校關于數(shù)據(jù)質量的監(jiān)控，包括數(shù)據(jù)交換過程的監(jiān)控、代碼標準的監(jiān)控缺失，也導致數(shù)據(jù)質量的低下，實為緣故之二。高校普遍網(wǎng)站安全防護力度不夠安全漏洞未及時更新隨著教育行業(yè)信息化的快速進展和網(wǎng)絡信息技術的普及應用，網(wǎng)絡安全面臨的威脅越來越嚴峻。專門多高校的網(wǎng)站或信息系統(tǒng)存在跨站腳本、SQL注入和后臺治理弱口令等高危漏洞，部分網(wǎng)站差不多被植入木馬。部分盡管配置了安全防護設備，但疏于治理，實效性較差，安全防護效果不明顯?？傮w來看，教育行業(yè)的網(wǎng)絡與信息安全形勢嚴峻，及時查補信息安全漏洞，積極采取應對措施高校數(shù)據(jù)中心安全危機和運維管控難度加大隨著教育信息化建設的逐步深入，教務工作對信息系統(tǒng)依靠的程度越來越高，數(shù)據(jù)服務器成為了高校重要組成內容，積聚越來越多的信息資源。近幾年網(wǎng)上黑客攻擊，修改考試成績，騙取認證證書等事件屢有發(fā)生，教育系統(tǒng)差不多逐漸成為黑客關注的重點目標，高校數(shù)據(jù)中心的安全保障工作差不多迫在眉睫。

教育系統(tǒng)信息泄露安全風險分析

1、來自互聯(lián)網(wǎng)風險教育行業(yè)網(wǎng)站系統(tǒng)中括學校院系門戶、教學治理系統(tǒng)、網(wǎng)上課程、數(shù)字圖書館、網(wǎng)上辦公等，為高校師生們提供各式各樣的網(wǎng)絡服務。同時都與上級教育部門進行多項聯(lián)系，教育系統(tǒng)網(wǎng)絡假如與Internet公網(wǎng)直接或間接互聯(lián)，那么由于互聯(lián)網(wǎng)自身的廣泛性、自由性等特點，像高校如此的教育行業(yè)單位自然會被惡意的入侵者列入其攻擊目標的前列。需要對數(shù)據(jù)庫的安全進行權限操縱和加密措施2、來自運維治理的安全風險隨著信息教育行業(yè)信息化建設進程，由于設備和服務器眾多，特不是建設有數(shù)據(jù)中心，云平臺和虛擬機眾多，系統(tǒng)治理員壓力太大等因素，越權訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生，這嚴峻阻礙教務工作運行效能，并對學校聲譽造成重大阻礙。另外黑客的惡意訪問也有可能獵取系統(tǒng)權限，闖入部門內部網(wǎng)絡，造成不可估量的損失。如何提高系統(tǒng)運維治理水平，跟蹤服務器上用戶的操作行為，防止黑客的入侵和破壞，提供操縱和審計依據(jù)，降低運維成本，滿足相關標準要求，越來越成為高校關懷的問題。私有云的建設，帶來便利的同時面臨著新的挑戰(zhàn)高?，F(xiàn)在的的數(shù)據(jù)量和應用規(guī)模越來越大，大部分的高校建設或者考慮建設自己的私有云以滿足以后越來越大的數(shù)據(jù)規(guī)模。從風險治理的角度講，云的風險來源于治理資產、威脅、脆弱性和防護措施及其相關關系，保障云計算平臺的持續(xù)安全，以及其所支撐的業(yè)務的安全。云計算平臺是在傳統(tǒng)IT技術的基礎上，增加了一個虛擬化層，同時具有了資源池化、按需分配，彈性調配，高可靠等特點。因此，傳統(tǒng)的安全威脅種類依舊存在，傳統(tǒng)的安全防護方案依舊能夠發(fā)揮一定的作用。綜合考慮云計算所帶來的變化、風險，從保障系統(tǒng)整體安全動身，其面臨的要緊挑戰(zhàn)和需求如下：法律和合規(guī)動態(tài)、虛擬化網(wǎng)絡邊界安全虛擬化安全流量可視化數(shù)據(jù)保密和防泄露安全運維和治理針對云計算所面臨的安全威脅及來自各方面的安全需求，需要對科學設計云計算平臺的安全防護架構，選擇安全措施，并進行持續(xù)治理，滿足云計算平臺的全生命周期的安全。信息化問題解決思路信息化問題解決思路信息化云-管-端整體布局圖STYLEREF2\s4.1SEQ圖\*ARABIC\s21整體技術架構如上圖所述，高校需要建設一個完整的開放式的私有云IT生態(tài)體系，實際上是包括了從開發(fā)生態(tài)、運行生態(tài)、應用服務生態(tài)到運營生態(tài)的全生命周期的建設過程，并最終以服務的方式向最終用戶進行業(yè)務展現(xiàn)。每個時期的建設思路和模式都對整體信息化建設起著至關重要的阻礙。開發(fā)生態(tài)：通過組件化開發(fā)平臺，形成應用和組件，應用和組件掛載到校園服務總線，可為校內應用服務池和業(yè)務應用治理服務平臺調用。并將其通過資源庫的方式積存為行業(yè)資源庫，為日后資源復用提供儲備。同時開發(fā)平臺能夠對外部的第三方應用進行服務化的封裝，同樣形成新的應用或組件，掛載到校園服務總線?；诮M件化開發(fā)平臺的可視化開發(fā)過程，校內的寬敞師生和社會人士也能夠通過該工具完成簡單的應用服務開發(fā)，并通過公布工具公布到校內，增強信息化建設整體參與面的廣度和深度。運行生態(tài)：以校園服務總線、應用治理服務平臺以及包括主數(shù)據(jù)治理、身份認證治理、統(tǒng)一通訊、移動支撐平臺等在內的公共應用組件，為學校提供統(tǒng)一的、高交互性、高開放性的服務應用運行環(huán)境。其提供的服務差不多上通過校園服務總線進行統(tǒng)一公布的服務，通過業(yè)務應用治理服務平臺將其編排成符合學校需要的業(yè)務邏輯，提供給用戶使用。校園服務總線負責整個學校信息化建設各個平臺間服務交互和信息傳遞，通過服務治理工具治理服務運行，通過基于校園服務總線的服務集成工具完成服務的集成和交互，通過服務標準治理工具保障各服務間調用的規(guī)范性。被服務調度總線封裝的，除了組件化開發(fā)平臺提供的應用和組件外，還包括校內專門多的基礎應用組件，如主數(shù)據(jù)治理、統(tǒng)一身份認證、統(tǒng)一支付等，都以服務的方式在服務調度平臺上進行掛載，并借由服務調度平臺完成同其它平臺的集成。應用服務生態(tài)：改變原有的行政化、治理化信息系統(tǒng)使用模式，以類互聯(lián)網(wǎng)的模式，形成校內的應用超市，包括校內師生綜合服務平臺和校外的服務應用池，有效接入，實現(xiàn)應用服務的動態(tài)分配和按需使用。并對服務使用進行全面監(jiān)控和治理，對業(yè)務過程和服務質量做到有效評估。信息化云數(shù)據(jù)中心安全防護云計算平臺的安全保障技術體系不同于傳統(tǒng)系統(tǒng)，它也必須實現(xiàn)和提供資源彈性、按需分配、全程自動化的能力，不僅僅為云平臺提供安全服務，還必須為租戶提供安全服務，因此需要在傳統(tǒng)的安全技術架構基礎上，實現(xiàn)安全資源的抽象化、池化，提供彈性、按需和自動化部署能力。充分考慮云計算的特點和優(yōu)勢，以及最新的安全防護技術進展情況，為了達成提供資源彈性、按需分配的安全能力，云平臺的安全技術實現(xiàn)架構設計如下：講明：安全資源池：能夠由傳統(tǒng)的物理安全防護組件、虛擬化安全防護組件組成，提供基礎的安全防護能力；安全平臺：提供對基礎安全防護組件的注冊、調度和安全策略治理。能夠設立一個綜合的安全治理平臺，或者分立的安全治理平臺，如安全評估平臺、異常流量檢測平臺等；安全服務：提供給云平臺租戶使用的各種安全服務，提供安全策略配置、狀態(tài)監(jiān)測、統(tǒng)計分析和報表等功能，是租戶治理其安全服務的門戶通過此技術實現(xiàn)架構，能夠實現(xiàn)安全服務/能力的按需分配和彈性調度。因此，在進行安全防護措施具體部署時，仍能夠采納傳統(tǒng)的安全域劃分方法，明確安全措施的部署位置、安全策略和要求，做到有效的安全管控。關于安全域的劃分方法詳見第五章。關于具體的安全操縱措施來講，通常具有硬件盒子和虛擬化軟件兩種形式，能夠依照云平臺的實際情況進行部署方案選擇。云平臺的安全防護措施能夠與云平臺體系架構有機的集成在一起，對云平臺及云租戶提供按需的安全能力。運營生態(tài)體系—信息的高可用性通過對高校信息化建設現(xiàn)狀與問題的分析與總結，以后高校信息化建設的核心是以面向角色的服務為導向建立整體數(shù)字化校園開放性生態(tài)體系。以先進的技術構架為依托，制造一個高開放度的信息化環(huán)境，更好的應對學校內部業(yè)務變化和外部信息技術進展趨勢帶來的沖擊。構建如此的一種生態(tài)體系，學校需要從技術架構、建設思路、建設模式等多個方面進行轉變。要做到能夠同時滿足技術進展的需要、學校業(yè)務的需求、供應商參與的訴求，充分利用學校在信息化方面的人力與物力投入，構建良性的、可持續(xù)進展的校園信息化生態(tài)。圍繞行政部門建設信息化的思路和模式?；陂_放的信息化環(huán)境，將校內信息化建設成果和校外互聯(lián)網(wǎng)應用都以服務的形態(tài)進行重新梳理、重新組合，并通過有效的治理機制在校內的統(tǒng)一應用平臺上進行注冊、公布，為校內師生提供綜合性的服務獵取通道和高體驗度的應用服務，大大增加用戶黏性與依靠度?；诟呤褂寐实木C合服務，校內師生不但能夠在綜合服務平臺上使用服務，還能夠對校內服務進行評價和反饋，綜合服務平臺同時記錄下各類用戶的操作軌跡、用戶行為，輔以傳統(tǒng)的治理業(yè)務數(shù)據(jù)，為各級治理者提供全面、有效的數(shù)據(jù)分析服務，關心各級治理者決策分析，優(yōu)化業(yè)務模式。各類需要優(yōu)化的應用，需要有效的運營機制保障，在校內建立長效化、持續(xù)化的運營機制，保證校內應用和服務的升級與迭代。在運營機制的保障下，借助快速建模工具和快速開發(fā)平臺，讓信息中心、建設方和服務提供商都能夠基于完善的運營機制參與其中，共同提升校內信息化水平。構建一套高可用性、安全性的信息化系統(tǒng)體系建設一套上網(wǎng)行為治理系統(tǒng)，有效防止互聯(lián)網(wǎng)有害信息在高校的散布與傳播，加強對危害國家安全、阻礙社會穩(wěn)定、淫穢色情等有害信息的預防、監(jiān)控和治理力度，防范各種破環(huán)活動，配合公安部門及時發(fā)覺和打擊各種網(wǎng)上違法犯罪行為。通過對網(wǎng)絡進行有效的操縱和監(jiān)管，規(guī)范用戶正確的上網(wǎng)行為，努力創(chuàng)建和諧校園。確保web應用安全的最大化，防止網(wǎng)頁內容被篡改，防止網(wǎng)站數(shù)據(jù)庫內容泄露，防止口令被突破，防止系統(tǒng)治理員權限被竊取，防止網(wǎng)站被掛馬和植入病毒、惡意代碼、間諜軟件等，防止用戶輸入信息的泄露，防止賬號失竊，防SQL注入，防XSS攻擊等。由于信息化系統(tǒng)的脆弱性、技術的復雜性、操作的人為因素，在設計以預防、減少或消除潛在風險為目標的安全架構時，引入運維治理與操作監(jiān)控機制以預防、發(fā)覺錯誤或違規(guī)事件，對IT風險進行事前防范、事中操縱、事后監(jiān)督和糾正的組合治理是十分必要的及時的進行信息化系統(tǒng)的安全評估及安全掃描，從而發(fā)覺的各種系統(tǒng)漏洞，同時依據(jù)既定的相關策略，采取措施予以彌補，消除已暴露的問題和可能的隱患，加固主機系統(tǒng)、網(wǎng)絡設備和架構、WEB應用程序安全漏洞，提高信息系統(tǒng)的健壯性，抵御外部的各種安全風險以及惡意攻擊，實現(xiàn)信息系統(tǒng)長期安全、穩(wěn)定運行的最終目標。高校信息化需要建設內容信息化系統(tǒng)建設內容基礎支撐平臺新的建設模式需要新的技術體系支持，改良校內現(xiàn)有IT架構是本次項目規(guī)劃與建設中特不重要的環(huán)節(jié)?；A架構的合理性和先進性以及開放性決定了我校以后信息化建設成敗。通過建立新的基礎支撐平臺，實現(xiàn)對校內各類應用、服務的有序接入和治理，綜合數(shù)據(jù)層面、開發(fā)層面、應用層面和運維層面，建立統(tǒng)一的基礎支撐架構，保證信息化建設的基礎堅實。主數(shù)據(jù)平臺建設高校通過多年的信息化建設，差不多形成了一套校內的信息標準，同時學?，F(xiàn)在差不多建立了公共數(shù)據(jù)平臺，用于處理各業(yè)務系統(tǒng)的共享數(shù)據(jù)交換和集成，同時積存大量的業(yè)務數(shù)據(jù)。但隨著信息技術的進展和校內業(yè)務的調整，原有信息標準差不多不能滿足以后的信息化進展需要，現(xiàn)有的公共數(shù)據(jù)平臺也無法支撐后期開放架構下的數(shù)據(jù)共享與治理，校內數(shù)據(jù)質量也存在一定問題。因此，為了達成上文信息化生態(tài)的整體建設目標，建議對現(xiàn)有的公共數(shù)據(jù)平臺進行升級改造，從以下幾個層面提升數(shù)據(jù)平臺的能力：1、信息標準的執(zhí)行能力；升級現(xiàn)有信息標準治理系統(tǒng)，一方面能夠全面升級學校原有信息標準的內容，另一方面能夠加強信息標準的實際使用和執(zhí)行情況的治理手段，學校內部的主數(shù)據(jù)庫和業(yè)務數(shù)據(jù)庫一旦有和信息標準不同步或不一致的情況，系統(tǒng)將及時檢查并將差異情況提報給數(shù)據(jù)平臺治理人員，關心其了解和及時糾正信息標準執(zhí)行的差異，確保信息標準的可執(zhí)行性。2、共享數(shù)據(jù)的開放能力；現(xiàn)有公共數(shù)據(jù)平臺的數(shù)據(jù)集成和共享完全基于ETL的方式進行，ETL作為業(yè)內通用和常用的成熟技術，在數(shù)據(jù)交換和共享過程中的穩(wěn)定性和高適用性具有專門好的優(yōu)勢。但隨著信息架構的進展，傳統(tǒng)的ETL方式缺少數(shù)據(jù)共享的及時性和靈活性，無法將一些需要快速反饋的數(shù)據(jù)進行有效同步，直接通過數(shù)據(jù)庫進行數(shù)據(jù)交換的途徑也缺少多元的數(shù)據(jù)共享通道和手段，在后期的信息化建設過程中，需要提供及時有效、靈活可配的數(shù)據(jù)共享方式，便于后期碎片化服務的封裝和建設。3、數(shù)據(jù)質量的治理能力；數(shù)據(jù)作為信息化建設的核心內容，其質量好壞在高校內一直是一個無法量化的黑盒，但數(shù)據(jù)質量的好壞直接阻礙到學校后期數(shù)據(jù)分析和數(shù)據(jù)利用的有效性，因此需要一套先進的治理工具，對學校的數(shù)據(jù)質量進行全面的監(jiān)控，關心數(shù)據(jù)平臺治理人員了解校內數(shù)據(jù)質量，便于其有效推進和提升校內整體數(shù)據(jù)質量。4、歷史數(shù)據(jù)的積存能力；現(xiàn)有公共數(shù)據(jù)平臺的要緊作用是保證校內共享數(shù)據(jù)的交換，因此其要緊是對現(xiàn)有業(yè)務數(shù)據(jù)的同步更新與共享公布，并沒有對抽取上來的共享業(yè)務數(shù)據(jù)的歷史數(shù)據(jù)進行保存，一旦學校的業(yè)務系統(tǒng)不具備對歷史業(yè)務數(shù)據(jù)的存檔功能，學校大量的歷史數(shù)據(jù)便會隨著新業(yè)務數(shù)據(jù)的更新而丟失，專門大程度上后期學校進行數(shù)據(jù)分析和數(shù)據(jù)統(tǒng)計的使用。因此本次的主數(shù)據(jù)平臺升級建設同樣需要對歷史業(yè)務數(shù)據(jù)進行詳盡保存，以天為單位進行歷史數(shù)據(jù)切片保存，作為學校數(shù)據(jù)資產的積存。基于上述四個層面，高校在后期需要通過建立一個符合教育行業(yè)特性的高校數(shù)主據(jù)治理平臺。覆蓋高校數(shù)據(jù)層面全生命周期的治理。從信息標準、代碼標準，到數(shù)據(jù)共享、交換，直至最終的數(shù)據(jù)質量保證等。將高質量的主數(shù)據(jù)以服務的方式提供給校園服務總線，便于上層應用的抽取和使用。同時需要提升信息標準執(zhí)行能力，采納自動化工具對校內信息標準和代碼標準進行監(jiān)控和治理，讓標準真正成為標準、提升數(shù)據(jù)質量治理能力，保證數(shù)據(jù)價值的最大化、提升數(shù)據(jù)共享集成能力，做到數(shù)據(jù)實時共享。主數(shù)據(jù)平臺建設內容信息標準建設：在進行后期信息化建設之前，需要對校內的信息標準和數(shù)據(jù)質量進行重新的梳理和規(guī)劃，以服務化和開放性的視角重新定義校內信息標準，使之具有可擴展性和可持續(xù)性。對學?，F(xiàn)有信息標準和數(shù)據(jù)質量進行全面梳理和優(yōu)化，使之能夠提供符合教育行業(yè)標準的參考代碼標準模式及數(shù)據(jù)共享和交換需求的主數(shù)據(jù)模式。信息標準要緊建設內容如下：數(shù)據(jù)清洗與數(shù)據(jù)質量提升對校內現(xiàn)有業(yè)務數(shù)據(jù)進行全盤分析和檢查，找出數(shù)據(jù)質量隱患和存在問題，對質量不高的數(shù)據(jù)和無效數(shù)據(jù)進行清洗和優(yōu)化，保證現(xiàn)有業(yè)務數(shù)據(jù)的高質量，為后期進行信息化改造奠定基礎。信息標準升級基于最新的國標、部標、行標，結合現(xiàn)有校標和校內實際業(yè)務情況，充分考慮后期信息化改造需要，將校內信息標準進行重新梳理和升級，使之符合最新的技術規(guī)范和業(yè)務需求。數(shù)據(jù)流向規(guī)劃對校內各業(yè)務部門和行政單位的數(shù)據(jù)流向進行重新規(guī)劃，消除原先數(shù)據(jù)責任單位不明確的現(xiàn)象，并確定校內數(shù)據(jù)出處的權威性。幸免出現(xiàn)數(shù)據(jù)二異性。信息標準治理工具：提供數(shù)據(jù)標準治理、代碼標準治理、數(shù)據(jù)流向治理、代碼檢測治理工具。關心學校有效提升數(shù)據(jù)質量，強化數(shù)據(jù)治理能力。元數(shù)據(jù)治理工具：對主數(shù)據(jù)和代碼標準模型進行維護，提供語義支持，實現(xiàn)對底層模型的集中維護和治理，提供對數(shù)據(jù)分類的治理。主數(shù)據(jù)和業(yè)務系統(tǒng)代碼表之間映射關系的治理，檢測元數(shù)據(jù)和系統(tǒng)數(shù)據(jù)庫之間表、字段以及字段屬性的不一致情況，依照元數(shù)據(jù)檢測情況創(chuàng)建數(shù)據(jù)庫實體對象數(shù)據(jù)集成平臺：提供集成接口支持、數(shù)據(jù)集成KM庫、拓撲治理工具、集成設計工具、集成調度工具等實現(xiàn)數(shù)據(jù)流向集成。數(shù)據(jù)共享接口公布工具：通過可自定義的數(shù)據(jù)公布接口，實現(xiàn)統(tǒng)一的數(shù)據(jù)實時、按需的共享需求。提供數(shù)據(jù)共享服務接口的新增、刪除、修改、授權、接口啟停以及運行治理。數(shù)據(jù)備份治理工具：實現(xiàn)構建主數(shù)據(jù)倉庫來保留了代碼標準、主數(shù)據(jù)的歷史數(shù)據(jù)，能重現(xiàn)每天的數(shù)據(jù)情況，方便日后的時刻維度上的數(shù)據(jù)分析工作。運行監(jiān)控工具：為信息中心運行監(jiān)控人員提供系統(tǒng)的動態(tài)，異常情況，數(shù)據(jù)情況等。以圖形化的方式，較通俗易明白的表現(xiàn)形式來展現(xiàn)系統(tǒng)的各種運行和異常情況，同時按照事件的重要程度，將最重要的信息展現(xiàn)在最醒目的位置。目前包含系統(tǒng)首頁、數(shù)據(jù)集成監(jiān)控、數(shù)據(jù)庫監(jiān)控等。身份認證治理平臺為了保證校內外應用的高效接入和順暢的用戶體驗，需要建立校級的身份認證治理平臺，統(tǒng)一治理校內外各類應用及系統(tǒng)的登錄、訪問和互相之間的認證。充分保證外部應用訪問時數(shù)據(jù)權限和訪問權限細顆粒度的操縱。同時對校內所有賬號進行基于工具化的有效監(jiān)控和治理，保證校內賬號和密碼的安全。身份認證治理平臺建設內容身份治理：為數(shù)字校園提供集成用戶身份認證和SSO單點登錄服務，并為校園系統(tǒng)提供認證和SSO接口服務，同時包含身份自助服務、賬號治理、應用認證治理等。認證服務反向代理：認證服務的反向代理服務器，簡化第三方接入的接入工作。集群部署：包括兩臺認證服務器、兩臺LDAP的部署。審計治理：為治理員提供及時發(fā)覺問題之用，可審計出異常的帳號、不合理的認證行為和授權行為，用于發(fā)覺系統(tǒng)可能存在的安全問題和隱患。監(jiān)控治理：為治理員提供了掌握系統(tǒng)各項服務運行狀態(tài)的功能，可關心治理員盡早發(fā)覺系統(tǒng)運行問題。身份認證：身份認證功能是身份認證治理平臺的核心基礎服務，隨著信息化建設的不斷深入，當前所采納的身份認證的方式也逐漸增多，平臺需要支持多終端認證、第三方帳號綁定、動態(tài)登錄、掃描登錄、免登錄、二次登錄等多種登錄方式。OAuth開放服務：要緊包括OAuth接入應用治理，開放接口治理，開放接口，代理權限插件，用于把學校的認證能力開放出去，方便師生訪問第三方應用。應用治理平臺師生綜合服務是校園生態(tài)體系建立的關鍵環(huán)節(jié)，將分散在各個系統(tǒng)中面向教師、學生的服務內容進行重新梳理和歸類，通過服務重新定義、封裝的方式在應用服務治理平臺上進行綜合呈現(xiàn)，面向教師、學生提供覆蓋全生命周期、能夠不斷完善、師生真正關懷、有有用價值、便捷的信息服務；高?，F(xiàn)有的信息門戶只完成了對校內各類資訊和個人信息的數(shù)據(jù)層面整合，實現(xiàn)了簡單的信息集成，由于技術架構的局限性，無法按照學生和教師的視角抽取、封裝和展現(xiàn)碎片化的服務。因此在本次建設規(guī)劃中，建議按照最新的服務體系生態(tài)重新構建面向師生綜合服務的門戶系統(tǒng)，同時，提供完整的服務前臺交互與后臺治理功能，支撐服務治理效率和治理水平的提升，監(jiān)控和優(yōu)化服務質量。更好的滿足學校業(yè)務需要和師生服務需要。應用治理平臺建設內容如下：應用門戶：提供一站式辦事大廳服務門戶，基礎組件包含熱門排行、最新推舉，立即開放應用、應用收藏等，支持針對應用服務中心進行多維度查詢搜索服務。應用治理中心：作為校內服務應用的唯一載體，負責為校內應用提供統(tǒng)一的集成、公布、注冊、授權和使用平臺，關于校內應用提供接入信息維護、下架申請、審核等治理功能應用授權治理：面向應用的接入提供用戶組治理、應用權限治理?；A應用：通知公告、調查問卷、新聞訂閱、在線咨詢、個人數(shù)據(jù)校園服務總線對現(xiàn)有治理系統(tǒng)解構、重組和碎片化會產生后臺服務的大量調用和集成，除了數(shù)據(jù)層面的數(shù)據(jù)共享之外，還需要解決校內信息化建設中存在的緊耦合、異構性等各類問題，充分利用現(xiàn)有建設成果構建全新的高校信息化生態(tài)，建立基于高校行業(yè)特征的校園服務總線。實現(xiàn)從簡單的“數(shù)據(jù)集成，門戶集成”向“服務集成”模式的轉變。提供接口標準治理、服務治理、服務交換等全方面的底層服務治理平臺，為其他基礎平臺和公共應用組件、上層服務提供總體服務調度和治理。保證校內信息體系的可治理性。實現(xiàn)服務治理從離散到集中，具備更可控的系統(tǒng)架構，增加信息化資源的可治理性、實現(xiàn)技術架構從差異化到標準化，更統(tǒng)一的集成方式，降低改造成本、實現(xiàn)建設過程從繁亂到有序，帶來更簡化的建設方式，降低運維難度、實現(xiàn)整體體系從封閉到開放，形成更良性的運營環(huán)境，增加信息化生態(tài)的可持續(xù)性。校園服務總線建設內容如下：服務集成工具：采納高性能、高可用性的商業(yè)中間件，解決異構系統(tǒng)集成時相互調用的協(xié)議、格式不同的轉換問題，解決大并發(fā)情況下服務負載、服務緩存的問題，并實現(xiàn)服務流程的可視化編排，保證服務調用、服務交互時的穩(wěn)定性和安全性。服務注冊工具：校園服務總線需要提供接口供開發(fā)人員注冊服務，僅需提供服務的相關元信息及WSDL文件，即可實現(xiàn)注冊步驟。而WSDL文件格式的差不多驗證部分需要自動完成，后期將要求服務提供者附加范例代碼。其中的從屬系統(tǒng)標簽則用于服務分組。關于restful形式的服務，需要提供詳細的參數(shù)信息或提供關于restful服務的輸入和輸出實例實現(xiàn)注冊。服務查看與搜索：關于服務的操作及其參數(shù)信息，校園服務總線提供頁面展示服務詳細信息。關于服務的搜索，平臺會提供服務分類的基礎模板，系統(tǒng)治理員能夠對其進行擴展，第三方可依照服務分類進行搜索。注冊狀態(tài)查看：校園服務總線具有一定的開放性，但并不代表所有的服務都可注冊上來，因此注冊服務的過程需要人工審核的步驟。而開發(fā)人員則可在注冊狀態(tài)查看功能模塊查看到已注冊服務的當前狀態(tài)（審核通過、未審核、審核中）申請服務授權：校園服務總線提供接口供開發(fā)人員為所開發(fā)應用申請服務的授權，申請以應用為單位。在該頁面，開發(fā)人員可看到所有服務的列表，僅需簡單勾選，即可實現(xiàn)申請步驟。API服務監(jiān)控：校園服務總線提供對平臺及服務所運行服務器的監(jiān)控功能?？紤]到平臺本身的運行狀態(tài)對其上運行的服務及應用有著極重要的阻礙，對其的監(jiān)控必不可少，但對高校硬件的監(jiān)控本就存在一套體系，因此校園服務總線僅提供平臺硬件的關鍵性能監(jiān)控，即對校園服務總線運行起關鍵性阻礙的指標（如CPU占用和內存使用情況）服務注冊審核：系統(tǒng)治理員依照服務注冊信息來確定是否審核通過該服務的注冊，比如考慮該服務的功能是否合理，后期還將考慮該服務是否應該注冊在該系統(tǒng)下。提供給系統(tǒng)治理員的信息具體包括服務名稱、服務所屬應用/模塊、接口人等。當前審核狀態(tài)則包括審核中和未審核。信息化數(shù)據(jù)中心安全建設內容云計算系統(tǒng)具有傳統(tǒng)IT系統(tǒng)的一些特點，從上面的安全域劃分結果能夠看到，其在外部接口層、核心交換層的安全域劃分是差不多相同的，針對這些傳統(tǒng)的安全區(qū)域照舊能夠采納傳統(tǒng)的安全措施和方法進行安全防護。如下圖所示：因此，從上面的安全域劃分結果能夠看到，相關于傳統(tǒng)的網(wǎng)絡與信息系統(tǒng)來講，云平臺由于采納了虛擬化技術，在計算服務層、資源層的安全域劃分與傳統(tǒng)IT系統(tǒng)有所不同，這要緊體現(xiàn)在虛擬化部分，即生產區(qū)、非生產區(qū)、治理區(qū)、支撐服務區(qū)、堡壘區(qū)、DMZ區(qū)等。那個地點要緊論述和講明生產區(qū)的安全建設。非生產區(qū)和治理區(qū)、DMZ區(qū)類似，不在累贅講明：數(shù)據(jù)中心業(yè)務生產區(qū)安全生產區(qū)部署了虛擬化主機、軟件平臺、應用層，應基于虛擬化技術實現(xiàn)，因此其安全防護應考慮虛擬化安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全等內容。虛擬化安全虛擬化安全要緊涉及虛擬化組件及其治理的安全，包括了虛擬化操作系統(tǒng)、虛擬化交換機、虛擬主機、虛擬存儲及虛擬化安全治理系統(tǒng)的安全。網(wǎng)絡安全網(wǎng)絡安全要緊涉及防火墻、異常流量檢測和清洗、網(wǎng)絡入侵檢測、惡意代碼防護、VPN接入、安全審計等內容。防火墻及邊界防護安全域需要隔離，并需要采取訪問操縱措施對安全域內外的通信進行有效管控。通常可采納的措施有VLAN、網(wǎng)絡設備ACL、防火墻、IPS設備等，那個地點要緊對防火墻的功能、部署進行講明網(wǎng)絡異常流量監(jiān)測與分析云計算中心部署的應用和業(yè)務特不豐富，如基于流媒體的音視頻服務，VPN業(yè)務等等，必定會受到各種網(wǎng)絡攻擊，如DDOS，進而出現(xiàn)大量異常流量。在這種流量成分日益復雜，異常流量海量涌現(xiàn)的情況下，對網(wǎng)絡流量進行實時監(jiān)測和分析，從而全面了解流量的各種分布以及變化趨勢就顯得十分必要了。流量統(tǒng)計分析 流量統(tǒng)計分析的任務是實時監(jiān)控進出云計算中心流量的地域分布，應用組成分布、變化趨勢，并生成相應的統(tǒng)計報表。統(tǒng)計對象的粒度能夠為IP地址、IP地址段、用戶（用IP地址或地址段的組合來定義）。流量的地域分布顯示對某個主機（或地址段、用戶）的訪問流量來自哪些地域。流量統(tǒng)計結果對流量工程具有專門重要的參考價值。應用組成分布顯示云計算中心內部各種業(yè)務的開展情況，結合地域分布的信息，也能夠指導流量工程。流量的變化趨勢顯示流量隨時刻的變化規(guī)律以及峰值時段對帶寬的占用情況，這些數(shù)據(jù)有助于進行云計算中心容量規(guī)劃。雙向異常流量監(jiān)測 異常網(wǎng)絡流量分析系統(tǒng)應對網(wǎng)絡中的由內至外、由外至內的流量進行雙向監(jiān)測，即可監(jiān)測外發(fā)異常流量，也可監(jiān)測外來異常流量；異常流量定位 異常網(wǎng)絡流量分析系統(tǒng)應對網(wǎng)絡中的流量進行持續(xù)監(jiān)控和實時分析，并對異常流量進行及時的發(fā)覺、告警和定位，使網(wǎng)管人員能夠準確的發(fā)覺異常流量進入網(wǎng)絡的端口和攻擊目標；異常流量分析 關于云平臺，其數(shù)據(jù)流量較大，且內置的虛擬交換機能夠直接輸出Netflow數(shù)據(jù)流，因此建議在云計算中心采納基于流（FLOW）信息的流量分析產品。網(wǎng)絡入侵檢測云計算對外提供服務，完全面向互聯(lián)網(wǎng)，所面臨的威脅被無限放大，在云計算中心網(wǎng)絡出口采納入侵檢測機制，收集各種信息，由內置的專家系統(tǒng)進行分析，發(fā)覺其中潛在的攻擊行為。由網(wǎng)絡入侵檢測系統(tǒng)捕獲分析網(wǎng)絡中的所有報文，發(fā)覺其中的攻擊企圖，依照事先制定的策略通知治理員或自行采取愛護措施。應用安全Web應用防護云計算中心一般差不多上采納Web的方式來對外提供各類服務，特不是在Web2.0的技術趨勢下，75%以上的攻擊都瞄準了網(wǎng)站（Web）。這些攻擊可能導致云計算服務提供商遭受聲譽和經(jīng)濟損失，可能造成惡劣的社會阻礙。Web應用防護技術通過深入分析和解析HTTP的有效性、提供安全模型只同意已知流量通過、應用層規(guī)則、基于會話的愛護，可檢測應用程序異常情況和敏感數(shù)據(jù)（如信用卡、網(wǎng)銀帳號等）是否正在被竊取，并阻斷攻擊或隱蔽敏感數(shù)據(jù)，愛護云計算平臺的Web服務器，確保云計算平臺Web應用和服務免受侵害。數(shù)據(jù)安全關于數(shù)據(jù)安全，需要涉及數(shù)據(jù)的產生、傳輸、存儲、使用、遷移、銷毀以及備份和恢復的全生命周期，并在數(shù)據(jù)的不同生周期時期采納數(shù)據(jù)分類分級、標識、加密、審計、擦除等手段。另外，在采納了這些基礎防護技術措施之外，還應考慮數(shù)據(jù)庫審計、數(shù)據(jù)防泄露以及數(shù)據(jù)庫防火墻的手段，最大限度地保證云平臺中的數(shù)據(jù)安全。數(shù)據(jù)中心運維治理區(qū)云平臺的治理運維人員、第三方運維人員以及租戶需要多云計算平臺的主機、應用及網(wǎng)絡設備進行治理、維護操作。為了發(fā)覺和防止不當操作、越權操作的發(fā)生，需要對此類用戶進行認證、授權、訪問操縱和審計。堡壘機確實是完成上述功能的關鍵設備，典型應用場景如下圖所示：功能堡壘機能夠提供一套先進的運維安全管控與審計解決方案，目標是關心云計算中心運維人員轉變傳統(tǒng)IT安全運維被動響應的模式，建立面向用戶的集中、主動的運維安全管控模式，降低人為安全風險，滿足合規(guī)要求，保障企業(yè)效益，要緊實現(xiàn)功能如下：集中賬號治理 建立基于唯一身份標識的全局實名制治理，支持統(tǒng)一賬號治理策略，實現(xiàn)與各服務器、網(wǎng)絡設備等無縫連接；集中訪問操縱 通過集中訪問操縱和細粒度的命令級授權策略，基于最小權限原則，實現(xiàn)集中有序的運維操作治理，讓正確的人做正確的事；集中安全審計 基于唯一身份標識，通過對用戶從登錄到退出的全程操作行為進行審計，監(jiān)控用戶對目標設備的所有敏感操作，聚焦關鍵事件，實現(xiàn)對安全事件地及時發(fā)覺預警，及準確可查信息化系統(tǒng)管端安全建設內容安全設計依照多年的教育行業(yè)信息系統(tǒng)安全實踐經(jīng)驗，在深入理解國家法律法規(guī)和行業(yè)標準要求的基礎下，結合對客戶業(yè)務應用及安全技術的研究，為學校總結出“網(wǎng)關操縱+內部安全治理”的合規(guī)信息系統(tǒng)管端治理安全方法論，來指導高校信息系統(tǒng)安全體系的建設。在此次方案中我們?yōu)橛脩籼峁┚W(wǎng)絡安全治理系統(tǒng)、下一代防火墻、web防火墻、網(wǎng)絡安全治理系統(tǒng)。我們推舉的安全產品有以下特點：安全產品產品概述網(wǎng)絡安全治理系統(tǒng)對高校上網(wǎng)網(wǎng)絡流量提供三步循環(huán)的解決方案——可視、可控、可追溯?！翱梢暋敝干顚臃治鼍W(wǎng)絡中運行的各種應用協(xié)議、網(wǎng)絡行為，從而完整的了解網(wǎng)絡帶寬的使用狀況?！翱煽亍敝敢勒諏W(wǎng)絡情況的了解，結合用戶的實際需求，提供最有效的操縱策略，讓網(wǎng)絡資源得到最合理的利用?！翱勺匪荨敝笇θW(wǎng)的使用情況進行了詳細的記錄，并提供內容檢索、模糊查詢、自動報表等功能，方便治理者跟蹤、追溯網(wǎng)絡的使用情況，關心治理者定位網(wǎng)絡問題。下一代防火墻下一代防火墻不但能夠提供基礎網(wǎng)絡安全功能，如狀態(tài)檢測、VPN、抗DDoS、NAT等；還實現(xiàn)了統(tǒng)一的應用安全防護，能夠針對一個入侵行為中的各種技術手段進行統(tǒng)一的檢測和防護，如應用掃描、漏洞利用、Web入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等。邊界防火墻能夠為不同規(guī)模的行業(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場景提供更加精細、更加全面、更高性能的應用內容防護方案。web防火墻為網(wǎng)關設備，防護對象為Web、Webmail服務器，可針對安全事件發(fā)生時序進行安全建模，分不針對安全漏洞、攻擊手段及最終攻擊結果進行掃描、防護及診斷，提供綜合Web應用安全解決方案。安全部署在網(wǎng)絡出口處部署網(wǎng)絡安全治理系統(tǒng)，對學校內師生的無線和有線上網(wǎng)行為進行治理。在核心交換機與內網(wǎng)用戶之間部署防火墻，為高校辦公用戶及服務器提供安全服務。部署web應用防火墻，對高校數(shù)據(jù)中心的內的web服務器、郵件服務器提供安全防護。高校信息化系統(tǒng)安全服務需求風險評估機制2016年度信息安全風險評估將參照《XX市信息安全風險評估實施指南》和《GB/T20984-2007信息安全技術信息安全風險評估規(guī)范》，通過深入了解高校信息系統(tǒng)情況，分析信息系統(tǒng)可能面臨的威脅，存在的弱點，以及弱點被突擊或帶來破壞的可能性及阻礙，對當前信息系統(tǒng)的安全風險進行分析和定義，采納專業(yè)漏洞檢測工具和工作模版，從風險治理角度，運用科學的方法和手段，依照聯(lián)合檢查要求，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風險，將風險操縱在可同意的水平，從而最大限度地為保障信息安全提供科學依據(jù)。評估對象高校所有信息系統(tǒng)資產、內網(wǎng)及外網(wǎng)服務器、網(wǎng)絡設備、安全設備評估依據(jù)XX市關于開展信息安全風險評估工作的實施意見（深科信[2006]268號）《XX市信息安全風險評估實施指南》《信息安全技術信息安全風險評估規(guī)范》（GB/T20984-2007）《信息系統(tǒng)安全等級愛護差不多要求》（GB/T22239-2008）用戶自身業(yè)務安全需求評估流程評估內容評估信息系統(tǒng)存在的高中低風險的數(shù)量、可能性、阻礙。要緊從安全技術和安全治理兩個角度：安全技術物理安全信息系統(tǒng)機房在物理位置選擇、出入治理、動力環(huán)境等方面采取的措施是否有效。圖:物理環(huán)境脆弱性識不示意圖網(wǎng)絡層安全信息系統(tǒng)網(wǎng)絡架構設計是否安全合理；網(wǎng)絡訪問操縱是否嚴格有效；網(wǎng)絡安全審計是否有效；是否存在“非法外聯(lián)”行為；網(wǎng)絡入侵防范措施是否有效；惡意代碼防范措施是否有效。網(wǎng)絡設備、安全設備配置是否安全、有效；圖:網(wǎng)絡層脆弱性識不示意圖主機系統(tǒng)層安全（針對操作系統(tǒng)、數(shù)據(jù)庫、中間件）是否能對主機系統(tǒng)用戶設置恰當?shù)纳矸蓁b不手段；后臺維護人員的權限是否是最小授權；后臺維護人員的邏輯訪問路徑是否可信；安全審計記錄是否完整；入侵防范措施、惡意代碼防范是否充分有效；主機系統(tǒng)資源使用是否可控。應用層安全（針對應用軟件）是否能對應用軟件用戶設置恰當?shù)纳矸蓁b不手段；用戶訪問權限是否是最小授權；安全審計記錄是否完整；剩余信息是否能夠被釋放或重新分配；是否能保證通信過程中的完整性、保密性；是否能保證交易的抗抵賴性；是否能保證軟件容錯；應用系統(tǒng)資源使用是否可控；是否存在代碼安全缺陷。數(shù)據(jù)安全安全治理安全治理組織機構是否有恰當?shù)陌踩卫斫M織架構；與信息安全相關的授權審批、審核檢查流程是否存在并能夠有效組織實施。安全治理制度是否有恰當?shù)陌踩卫碇贫润w系；安全治理制度體系的制定、審批、維護流程是否存在并能夠有效組織實施。人員安全治理信息系統(tǒng)后臺維護技術人員在錄用、在職、離崗時是否采取了恰當?shù)陌踩卫矸绞剑皇欠駥氖滦畔踩珝徫坏娜藛T采取了信息安全考核；是否對第三方人員訪問內部系統(tǒng)采取了安全操縱措施；是否能夠采取各種措施提高技術人員的安全意識。系統(tǒng)建設治理是否對信息系統(tǒng)建設各個時期包括方案設計、產品采購、軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付等進行安全操縱。系統(tǒng)運維治理是否對信息系統(tǒng)運行過程中進行安全操縱，例如機房用介質、機房設備、審計和監(jiān)控、系統(tǒng)漏洞治理、邏輯訪問操縱、安全配置治理、變更治理等。評估方式配置核查由測評人員在客戶現(xiàn)場依照調查模版內容獵取并分析信息系統(tǒng)關鍵設備當時的安全配置參數(shù)。工具測試由資深測評人員采納專業(yè)漏洞檢測工具（“xx網(wǎng)絡隱患掃描系統(tǒng)”）對被評估系統(tǒng)進行漏洞檢測。專家訪談由資深測評人員同客戶信息安全主管、IT審計部門、開發(fā)部門及運維部門按調查模版要求進行面對面訪談。資料批閱查閱信息系統(tǒng)建設、運維過程中的過程文檔、記錄，采納分時段系統(tǒng)查閱和有針對性抽樣查閱的方法進行。專家評議組織行業(yè)專家運用恰當?shù)娘L險分析方法進行集體會診評議。評估輸出整個風險評估過程中產生的評估過程文檔和評估結果文檔，包括（但不僅限于此）：風險評可能劃：闡述風險評估的目標、范圍、團隊、評估方法、評估結果的形式和實施進度等；風險評估程序：明確評估的目的、職責、過程、相關的文件要求，同時預備實施評估需要的文檔；資產識不清單：依照組織在風險評估程序文件中所確定的資產分類方法進行資產識不，形成資產識不清單，清單中應明確各資產的責任人/部門；重要資產清單：依照資產識不和賦值的結果，形成重要資產列表，包括重要資產名稱、描述、類型、重要程度、責任人/部門等；威脅列表：依照威脅識不和賦值的結果，形成威脅列表，包括威脅名稱、種類、來源、動機及出現(xiàn)的頻率等；脆弱性列表：依照脆弱性識不和賦值的結果，形成脆弱性列表，包括脆弱性名稱、描述、類型及嚴峻程度等；已有安全措施確認表：依照已采取的安全措施確認的結果，形成已有安全措施確認表，包括已有安全措施名稱、類型、功能描述及實施效果等；風險評估報告：對整個風險評估過程和結果進行總結，詳細講明被評估對象，風險評估方法，資產、威脅、脆弱性的識不結果，風險分析、風險統(tǒng)計和結論等內容；風險處理打算：對評估結果中不可同意的風險制定風險處理打算，選擇適當?shù)牟倏v目標及安全措施，明確責任、進度、資源，并通過對殘余風險的評價確保所選擇安全措施的有效性；風險評估記錄：依照組織的風險評估程序文件，記錄對重要資產的風險評估過程。等級愛護定級備案協(xié)助實行等級愛護有利于客戶完善信息安全治理體系，提高信息安全和信息系統(tǒng)安全建設的整體水平；達到對信息和信息系統(tǒng)重點愛護和有效愛護的目的，增強安全愛護的整體性、針對性和時效性，使信息安全和信息系統(tǒng)安全建設更加突出重點、統(tǒng)一規(guī)范、科學合理。服務依據(jù)《信息安全技術信息系統(tǒng)安全愛護等級定級指南》（GB/T22240-2008）《信息安全技術信息系統(tǒng)安全等級愛護差不多要求》（GB/T22239-2008）《信息安全技術信息系統(tǒng)安全等級愛護測評要求》《信息安全技術信息系統(tǒng)安全等級愛護測評過程指南》《信息系統(tǒng)等級愛護安全設計技術要求》服務內容關于高校在規(guī)劃、設計時期的信息系統(tǒng)及承擔行政審批功能的信息系統(tǒng)全部完成等級愛護定級備案工作。依據(jù)國家《信息安全等級愛護治理方法》和《信息系統(tǒng)安全愛護等級定級指南》的相關要求，協(xié)助客戶相關負責人員開展定級備案工作，包括定級信息系統(tǒng)的數(shù)量、業(yè)務類型、應用或服務范圍、系統(tǒng)結構等差不多情況的選擇，確定定級對象，對定級對象受侵害的客體及對客體的侵害程度的確定，按照定級要求與信息系統(tǒng)等級的關系初步確定信息系統(tǒng)安全愛護等級，并按《信息系統(tǒng)安全等級愛護定級報告》模板出具相關定級對象的信息系統(tǒng)安全等級愛護定級報告。依照《信息安全等級愛護治理方法》對定級二級以上的信息系統(tǒng)，協(xié)助客戶向地點網(wǎng)監(jiān)進行信息系統(tǒng)安全等級愛護的備案工作。服務輸出《信息系統(tǒng)安全等級愛護備案表》（以下簡稱《備案表》），紙質材料，一式兩份。包括：《單位差不多情況》（表一）、《信息系統(tǒng)情況》（表二）、《信息系統(tǒng)定級情況》（表三）和《第三級以上信息系統(tǒng)提交材料情況》（表四）。第二級以上信息系統(tǒng)備案時需提交《備案表》中的表一、二、三；第三級以上信息系統(tǒng)還應當在系統(tǒng)整改、測評完成后30日內提交《備案表》表四及其有關材料?！秱浒副怼沸柰ㄟ^“等級愛護備案端軟件”填寫信息，并導出word文檔生成。另，在填寫表三“09系統(tǒng)定級報告”時，需把《信息系統(tǒng)安全等級愛護定級報告》上傳到“附件”再導出word文檔?！缎畔⑾到y(tǒng)安全等級愛護定級報告》（以下簡稱《定級報告》），紙質材料，一式兩份。每個備案的信息系統(tǒng)均需提供對應的《定級報告》，《定級報告》參照模版格式填寫。備案電子數(shù)據(jù)，刻錄光盤。每個備案的信息系統(tǒng)，均需通過“等級愛護備案端軟件”填寫信息，并保存為一個壓縮文件（壓縮文件需包含sysdata.xml、orgdata.xml及《定級報告》3個文件）。另，第三級以上系統(tǒng)備案電子數(shù)據(jù)還應包括《備案表》表四所列的各項內容?！缎畔踩燃墣圩o工作小組名單表》，刻錄光盤。信息系統(tǒng)加固修復結合客戶上年度聯(lián)合檢查中發(fā)覺的問題進行加固修復，包含但不限于聯(lián)合檢查整改、風評評估結論的整改，落實完成治理加固、服務器加固、網(wǎng)絡加固、應用系統(tǒng)加固、數(shù)據(jù)庫系統(tǒng)加固、安全策略加固、安全設備加固等。服務內容上年度信息安全聯(lián)合檢查整改；上年度信息安全風險評估不可同意風險整改；信息安全治理體系問題優(yōu)化和完善；網(wǎng)絡及系統(tǒng)安全加固；針對安全評估及安全掃描過程中發(fā)覺的各種系統(tǒng)漏洞，同時依據(jù)既定的相關策略，采取措施予以彌補，消除已暴露的問題和可能的隱患，加固主機系統(tǒng)、網(wǎng)絡設備和架構、WEB應用程序安全漏洞，提高客戶信息系統(tǒng)的健壯性，抵御外部的各種安全風險以及惡意攻擊，實現(xiàn)客戶信息系統(tǒng)長期安全、穩(wěn)定運行的最終目標。實施步驟如下：1）分析安全評估及安全掃描結果，并進一步確定系統(tǒng)加固的需求（要緊考慮承載于系統(tǒng)之上的應用的專門需求）；2）為系統(tǒng)安全加固做好預備（環(huán)境、工具、資料、人員等）；3）進行系統(tǒng)加固測試；4）實施正式的系統(tǒng)安全加固，加固內容包括（不限于）：安裝最新補?。唤共槐匾膽煤头?；禁止不必要的賬號；去除后門；內核參數(shù)及配置調整；系統(tǒng)最小化處理；加強口令治理；啟動日志審計功能；利用定制腳本進行加固。驗證加固結果的有效性；編寫并提交系統(tǒng)加固報告。某些安全漏洞的修復可能并不困難（因此有經(jīng)驗的用戶完全能夠自己實施安全修復），但經(jīng)驗不夠豐富的用戶專門難全面解決系統(tǒng)的安全問題，因為一個系統(tǒng)的危險性在于系統(tǒng)中最薄弱的地點，有可能用戶采取了許多安全措施，卻仍然不全面、不完全。因此，全面實施安全加固，真正完全解決系統(tǒng)安全漏洞是完善整個安全體系的重要步驟。服務輸出《上年度信息安全聯(lián)合檢查整改》《上年度信息安全風險評估不可同意風險整改》《主機安全加固報告》《數(shù)據(jù)庫安全加固報告》《網(wǎng)絡設備安全加固報告》《應用程序解決方案》《網(wǎng)絡安全架構解決方案》信息安全制度自查與優(yōu)化結合高校信息安全治理現(xiàn)狀，查找現(xiàn)有信息安全治理制度與聯(lián)合檢查要求之間的差距，配合建立與完善信息安全制度，落實信息安全制度執(zhí)行記錄，保證信息安全治理體系運行的有效性。服務內容調研分析客戶信息安全治理現(xiàn)狀，參考行業(yè)客戶信息安全治理經(jīng)驗查找現(xiàn)有信息安全治理制度與聯(lián)合檢查要求之間的差距，建立和完善2015年度聯(lián)合檢查工作所要求的信息安全治理體系，協(xié)助落實執(zhí)行記錄。服務輸出信息安全治理制度及執(zhí)行記錄包括（但不僅限于此）：信息安全治理機構成立情況；信息安全治理職能部門設置；信息安全治理人員配備；信息系統(tǒng)的規(guī)劃、建設、運維、廢棄等環(huán)節(jié)的信息安全制度；信息安全制度執(zhí)行情況記錄；信息公布審批制度及相關記錄；安全防護措施自查與優(yōu)化依據(jù)《評分標準》配合客戶開展安全防護措施合規(guī)檢查，檢查現(xiàn)信息系統(tǒng)中安全防范措施的落實情況，對不符合檢查要求的現(xiàn)狀和措施進行優(yōu)化和整改，查漏補缺使得安全防護措施有效落實。服務內容按照《2016年xx市黨政機關信息安全聯(lián)合檢查工作方案》和《2016年XX市黨政機關信息安全聯(lián)合檢查現(xiàn)場抽查表及評分標準》配合客戶（包括下屬單位）開展自查工作，真實詳盡了解在“防病毒系統(tǒng)建設”、“補丁治理體系建設”、“安全審計”、“安全產品國產化”、“網(wǎng)頁防篡改”、“門戶網(wǎng)站防護”、“信息公布審批”、“防泄密”、“防惡意信息”、“內網(wǎng)終端違規(guī)外聯(lián)”、“移動存儲介質的保密存儲”、“電子政務外網(wǎng)接入”、“信息系統(tǒng)安全防護”、“外包軟件安全檢測”、“安全域劃分與建設防護”、“保密檢查”、“計算機資產統(tǒng)計”、“網(wǎng)站備案”、“安全防范技術措施有效性核查”等方面的安全防護措施落實情況，對工作存在的不足之處協(xié)助整改，使得安全防護措施落到實處。具體工作內容如下：檢查確保內網(wǎng)電腦安裝了防病毒系統(tǒng)，病毒代碼及時更新；檢查確保已記錄網(wǎng)絡訪問日志，訪問日志可追溯到檢查日期前60天，且訪問日志沒有一天以上的中斷（系統(tǒng)正常維護停機或故障停機除外）；檢查確保所有向互聯(lián)網(wǎng)公布的應用系統(tǒng)已受網(wǎng)頁防篡改工具愛護，且具備網(wǎng)站自動恢復功能;對互聯(lián)網(wǎng)公布的網(wǎng)站進行安全測評，出具《網(wǎng)站安全測評報告》；協(xié)助對2016年網(wǎng)站應用層掃描發(fā)覺的中高風險全部完成整改；編制整理信息公布審批制度及相關記錄；確保非涉密計算機及外網(wǎng)計算機無存儲、處理、傳輸涉密信息的痕跡；編制單位在使用的計算機資產的統(tǒng)計信息表，包含：計算機主機名；計算機IP地址；計算機MAC地址；計算機使用人或責任人；計算機所屬部門；計算機的物理位置；服務器的內外網(wǎng)IP對應。確保單位開辦交互式欄目的信息系統(tǒng)具備關鍵字過濾措施及有害信息的處理措施；確保內網(wǎng)終端無違規(guī)連接互聯(lián)網(wǎng)行為；對用戶使用的外包開發(fā)軟件進行安全檢測；對用戶網(wǎng)絡信息系統(tǒng)進行科學、合理的安全域設計和劃分；對用戶網(wǎng)絡各安全域進行科學、合理的定性定級，編制各安全域的安全防護設計方案，并協(xié)助采購方實施；協(xié)助用戶保密部門，對涉密計算機和涉密存儲介質進行檢查，檢查內容包括：非法外聯(lián)、物理隔離、移動存儲介質的混用、密件處理、監(jiān)控軟件狀態(tài)等；協(xié)助完成用戶所有網(wǎng)站在公安網(wǎng)監(jiān)部門和運營商的備案，并取得國際聯(lián)網(wǎng)備案登記證書和備案編號等證明文件；檢查用戶單位信息系統(tǒng)現(xiàn)有安全防范技術措施的有效性，提供優(yōu)化建議。門戶網(wǎng)站安全測評及安全整改參照《信息系統(tǒng)安全等級愛護差不多要求》對客戶門戶網(wǎng)站進行安全測評，有效發(fā)覺門戶網(wǎng)站系統(tǒng)中存在的技術與治理上的脆弱點，從而針對性實施安全整改。服務內容隨著Web應用的日益廣泛及其中蘊藏價值的不斷提升，引發(fā)了黑客的攻擊熱潮，如網(wǎng)站內容被篡改、頁面被植入木馬、網(wǎng)站機密信息被竊取等安全事件的反復發(fā)生，給政府形象、信息網(wǎng)絡甚至核心業(yè)務造成嚴峻的破壞。網(wǎng)站安全測評利用自動化測試工具和人工檢測的方法對網(wǎng)站系統(tǒng)的應用系統(tǒng)、主機系統(tǒng)、網(wǎng)絡系統(tǒng)、安全治理等方面進行全面的安全檢測，關心用戶了解網(wǎng)站系統(tǒng)存在的安全隱患，為改善并提高網(wǎng)站的安全性提供保障。網(wǎng)絡層安全信息系統(tǒng)網(wǎng)絡架構設計是否安全合理；網(wǎng)絡訪問操縱是否嚴格有效；網(wǎng)絡安全審計是否有效；網(wǎng)絡入侵防范措施是否有效；惡意代碼防范措施是否有效；網(wǎng)絡設備、安全設備配置是否安全、有效；主機系統(tǒng)層安全（針對操作系統(tǒng)、數(shù)據(jù)庫）是否能對主機系統(tǒng)用戶設置恰當?shù)纳矸蓁b不手段；后臺維護人員的權限是否是最小授權；后臺維護人員的邏輯訪問路徑是否可信；安全審計記錄是否完整；入侵防范措施、惡意代碼防范是否充分有效；主機系統(tǒng)資源使用是否可控。應用層安全（針對網(wǎng)站系統(tǒng)）是否能對應用軟件用戶設置恰當?shù)纳矸蓁b不手段；用戶訪問權限是否是最小授權；安全審計記錄是否完整；是否能保證通信過程中的完整性、保密性；是否能保證軟件容錯；應用系統(tǒng)資源使用是否可控；是否存在代碼安全缺陷。數(shù)據(jù)安全數(shù)據(jù)是否備份并進行恢復測試安全掃描服務遵循“發(fā)覺－掃描－定性－修復－審核”弱點全面評估法則，借助“榕基網(wǎng)絡隱患掃描系統(tǒng)”快速發(fā)覺網(wǎng)絡資產，準確識不資產屬性、全面掃描安全漏洞，清晰定性安全風險，給出修復建議和預防措施，并對風險操縱策略進行有效審核，從而在弱點全面評估的基礎上實現(xiàn)安全自主掌控。WEB漏洞掃描要緊功能：深度掃描：以web漏洞風險為導向,通過對web應用（包括WEB2.0、JAVAScript、FLASH等）進行深度遍歷,以安全風險治理為基礎,支持各類web應用程序的掃描。WEB漏洞檢測：提供有豐富的策略包，針對各種WEB應用系統(tǒng)以及各種典型的應用漏洞進行檢測（如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站腳本、代碼注入、表單繞過、弱口令、敏感文件和目錄、治理后臺、敏感數(shù)據(jù)等）。網(wǎng)頁木馬檢測：對各種掛馬方式的網(wǎng)頁木馬進行全自動、高性能、智能化分析，并對網(wǎng)頁木馬傳播的病毒類型做出準確剖析和網(wǎng)頁木馬宿主做出精確定位。配置審計：通過當前弱點獵取數(shù)據(jù)庫的相關敏感信息，對后臺數(shù)據(jù)庫進行配置審計，如弱口令、弱配置等。滲透測試：通過當前弱點，模擬黑客使用的漏洞發(fā)覺技術和攻擊手段，對目標WEB應用的安全性做出深入分析，并實施無害攻擊，取得系統(tǒng)安全威脅的直接證據(jù)。

建議增加的安全設備/服務設備名稱設備型號功能描述下一代防火墻SURF-NGSA（特定型號）實現(xiàn)數(shù)據(jù)中心、校園網(wǎng)網(wǎng)絡邊界的邏輯隔離、訪問操縱和VPN接入；入侵檢測與防備系統(tǒng)SURF-NDP（特定型號）對網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包進行檢測，發(fā)覺惡意代碼；上網(wǎng)行為治理系統(tǒng)SURF-RAG（特定型號）實現(xiàn)網(wǎng)絡流量操縱、用戶操縱和P2P應用操縱等；上網(wǎng)行為審計系統(tǒng)SURF-SA（特定型號）保證校園上網(wǎng)行為滿足公安82號令的要求；運維安全審計系統(tǒng)SURF-HAC（特定型號）發(fā)覺和防止不當操作、越權操作；應用交付系統(tǒng)SURF-AD（特定型號）提高數(shù)據(jù)中心業(yè)務系統(tǒng)的可靠性；WEB應用防火墻SURF-WAF（特定型號）保證校園網(wǎng)站、OA、招生考試等系統(tǒng)的安全；異常流量清洗系統(tǒng)SURF-DA（特定型號）對DNSFLOOD、HTTPFLOOD等應用層拒絕服務攻擊進行精細化的防護，不對正常的用戶訪問產生阻礙。安全服務SURF-Service（特定型號）為高校提供的人工的滲透測試、風險評估和安全加固服務等

相關產品介紹下一代防火墻下一代防火墻配置背景網(wǎng)絡環(huán)境趨于復雜，致使需要查找新的安全解決方案來滿足除了抵擋外部攻擊以外的安全需求。以往，網(wǎng)絡攻擊手段差不多停留在第三層的網(wǎng)絡層，而隨著Web2.0時代的到來，大量的應用程序都建立在了HTTP和HTTPS等協(xié)議之上，傳統(tǒng)的防火墻對應用層望塵莫及。基于網(wǎng)絡層的操作就意味著傳統(tǒng)防火墻只能依照與數(shù)據(jù)包源地址和目標地址有關的信息來檢測流量，然而關于上述的HTTP和HTTPS流量卻是無能為力。盡管現(xiàn)在有針對應用層的IPS設備，然而IPS卻無法識不具體的應用，達不到目前用戶所需的精細力度的應用層操縱，因而也無法對特定應用進行防護，需要配置兼容傳統(tǒng)防火墻和抵御新網(wǎng)絡環(huán)境下威脅的下一代防火墻。下一代防火墻實現(xiàn)功能標準從安全功能、安全保證、環(huán)境適應性和性能四個方面，對第二代防火墻提出了新的要求，應用層操縱、Web攻擊防護、信息泄漏防護、惡意代碼防護和入侵防備是此次定義的第二代防火墻的幾大功能下一代防火墻效果支持深度應用識不技術，可依照協(xié)議特征、行為特征及關聯(lián)分析等，準確識不數(shù)千種網(wǎng)絡應用，可支持SSL加密流量的應用識不提供了基于深度應用識不、協(xié)議檢測和攻擊原理分析的入侵防備技術，可有效過濾病毒、木馬、蠕蟲、間諜軟件、漏洞攻擊、逃逸攻擊等安全威脅，為內網(wǎng)提供L2-L7層網(wǎng)絡安全防護支持多鏈路條件下的智能鏈路負載均衡功能，實現(xiàn)防火墻全功能虛擬化，滿足多樣化的網(wǎng)絡環(huán)境上網(wǎng)行為治理上網(wǎng)行為治理配置背景依照國家互聯(lián)網(wǎng)應急中心（CNCERT）公布的《2015年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢報告》數(shù)據(jù)顯示，截至2015年12月底，中國網(wǎng)站總量規(guī)模為364.7萬個，網(wǎng)民規(guī)模大6.49億，手機網(wǎng)民規(guī)模5.57億，互聯(lián)網(wǎng)普及率達到49%。然而人們在享受互聯(lián)網(wǎng)帶來的巨大便利的同時，由其帶來的負面阻礙和安全威脅也日趨嚴峻。企業(yè)需要對辦公網(wǎng)絡實現(xiàn)上網(wǎng)行為的管控，同時國家監(jiān)管單位的安全監(jiān)管要求，如公安部82號、信息安全等級愛護，需要健全自身信息安全保障體系上網(wǎng)行為治理功能具備五大核心功能：用戶多樣化認證、網(wǎng)絡訪問操縱、應用操縱、網(wǎng)絡流量治理及日志審計上網(wǎng)行為治理實現(xiàn)效果1、本地認證、微信、短信、第三方外部服務器的身份認證，實現(xiàn)差異化治理，有效管控無線，有線網(wǎng)絡接入操縱2、可做出口安全網(wǎng)關，具備NAT地址轉換、VPN、PPPoE、DNS、DHCP等功能，節(jié)約建設成本3、對數(shù)據(jù)包的深度檢測功能，對網(wǎng)絡流量能準確的按協(xié)議、應用識不，精準操縱用戶行為，規(guī)范用戶的上網(wǎng)行為4、基于單個服務、服務組、多服務、應用的任意組合等進行帶寬操縱和流量阻斷，實現(xiàn)帶寬的有效使用5、完善的日志審計與報表功能，實時統(tǒng)計出當前網(wǎng)絡中的各種報文流量，進行綜合流量分析，對符合行為策略的事件實時告警并記錄，滿足治理和國家監(jiān)管要求網(wǎng)絡安全審計系統(tǒng)網(wǎng)絡安全審計系統(tǒng)配置背景政策法規(guī)1、依照國家相關法律的規(guī)定，在外部網(wǎng)絡上公布淫穢信息與及迷信、反動、分裂等言論均為違法行為，如有濫用單位網(wǎng)絡進行了上述行為，將把單位拖進復雜的、難以脫身的法律糾紛甚至更高級不的安全風險當中。為此，公安部與2005年12月1日正式頒布并于2006年3月1日開始實施的《互聯(lián)網(wǎng)安全愛護技術措施規(guī)定》，即公安部第82號令中明確要求所有互聯(lián)網(wǎng)單位均要安裝網(wǎng)絡安全審計系統(tǒng)2、信息安全等級愛護是我國信息安全保障的差不多制度、差不多策略、差不多方法。開展信息安全等級愛護工作，目的是要解決我國信息安全面臨的威脅和存在的要緊問題，而等級愛護包含5個方面的建設，物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全。而其中的網(wǎng)絡安全與主機安全，就能