智慧校園安全防護(hù)解決方案

已達(dá)到“二級”合格標(biāo)準(zhǔn)。管理信息系統(tǒng)如門戶網(wǎng)站、系統(tǒng)、招生系統(tǒng)、教務(wù)系統(tǒng)、財務(wù)系統(tǒng)、金龍卡、教學(xué)資源系統(tǒng)、教學(xué)質(zhì)量監(jiān)控系統(tǒng)、圖書管理系統(tǒng)以及各部門自主購買的一系列應(yīng)用系統(tǒng)等等，可以說這些應(yīng)用系統(tǒng)基本上覆蓋了大部分校園信息化所具備的管理系統(tǒng)。學(xué)校中心機(jī)房有在用服務(wù)器，存儲設(shè)備數(shù)套，分屬各處室、分院及圖書館，各自運(yùn)行、存儲獨(dú)立的管理系統(tǒng)及數(shù)字資源。信息化建設(shè)已經(jīng)基本覆蓋校內(nèi)的大部分管理信息化領(lǐng)域，數(shù)字校園建設(shè)初具規(guī)模。當(dāng)前已建的這些應(yīng)用系統(tǒng)，基本能夠解決高校在行政辦公管理、教務(wù)管理、學(xué)工管理以積累了不同業(yè)務(wù)、不同階段的各類數(shù)據(jù)。而這些數(shù)據(jù)的沉淀，作為我校在“十二五”期間，信息化建設(shè)的重要成果，為下一階段的數(shù)據(jù)決策和分析提供有校通過在“十二五”期間的信息化建設(shè)，在完成各類結(jié)果數(shù)據(jù)沉淀的同時，為各級各類型業(yè)務(wù)部門利用信息技術(shù)和手段開展業(yè)務(wù)辦理，提供了有效的應(yīng)用環(huán)境。在業(yè)務(wù)辦理過程中，因為有了基于獨(dú)立面向單體業(yè)務(wù)開發(fā)的各類業(yè)務(wù)應(yīng)用系統(tǒng)，辦理效率在大幅提升，為高校整體運(yùn)營層面大大降低了因為人工方式帶來的運(yùn)營成本。面向?qū)W生，也能夠利用信息化的手段為他們提供基于某個業(yè)務(wù)場景的業(yè)務(wù)服務(wù)。不可否認(rèn)的是，高校通過“十二五”期間展開的信息化在信息化建設(shè)的道路上仍然有很多的空間需要提升。隨著信息化建設(shè)的推進(jìn)，云計算的技術(shù)的不斷成熟以及在高校領(lǐng)域的不斷滲入云計算通過將數(shù)據(jù)統(tǒng)一存儲在云計算服務(wù)器中，加強(qiáng)對核心數(shù)據(jù)的集中管控，比傳統(tǒng)分等行為更加簡單易行，同時更容易實(shí)現(xiàn)系統(tǒng)容錯、高可用性和冗余及災(zāi)備恢復(fù)。但云計算在帶來方便快捷的同時也帶來新的挑戰(zhàn)我們不得不進(jìn)一步發(fā)現(xiàn)，從高校整體信息化建設(shè)的過程、應(yīng)用的過程以及后期維護(hù)的過程中，仍然存在問題有些問題直接影響了高校后續(xù)信息化建設(shè)的節(jié)奏與效果。這些問題主要1.1.1缺乏統(tǒng)一的開放支撐平臺，多廠商共建造成過程風(fēng)險高校在“十二五”期間建設(shè)的信息化系統(tǒng)眾多。其間涉及門戶網(wǎng)站、系統(tǒng)、招生系統(tǒng)、教務(wù)系統(tǒng)、財務(wù)系統(tǒng)、金龍卡、教學(xué)資源系統(tǒng)、教學(xué)質(zhì)量監(jiān)控系統(tǒng)、圖書管理系統(tǒng)以及各部門自主購買的一系列應(yīng)用系統(tǒng)等等。信息化建設(shè)過程中，多個廠商參與共建，而建設(shè)的內(nèi)容都是以業(yè)務(wù)部門需求為核心的單體業(yè)務(wù)系統(tǒng)，現(xiàn)在是普遍高校信息化建設(shè)的現(xiàn)狀。學(xué)校的信息化建設(shè)在設(shè)計初期，都在強(qiáng)調(diào)頂層規(guī)劃。應(yīng)該講，這樣一張藍(lán)圖是指導(dǎo)學(xué)校后續(xù)的信息化逐步推進(jìn)的原則中，由于不同廠商參與建設(shè)的學(xué)校信息化，就會出現(xiàn)實(shí)際建設(shè)路徑與最初設(shè)計藍(lán)圖不一致的情況。歸結(jié)原因主要有以下兩點(diǎn)：其一，不同廠商采用不同的技術(shù)架構(gòu)開發(fā)設(shè)計，過程相對封閉。而學(xué)校信息化一旦需要從單體系統(tǒng)向一體化轉(zhuǎn)型時，就會帶來因為封閉技術(shù)架構(gòu)帶來的沖突，使整合難度加大，對學(xué)校而言建設(shè)安全風(fēng)險增加。其二，建設(shè)邊界相對模糊，帶來學(xué)校從單體系統(tǒng)一體化轉(zhuǎn)型過程中，權(quán)責(zé)難以明確的問題。廠商之間互相推諉，撇清責(zé)任。這對學(xué)校信息化安全建設(shè)過程無疑風(fēng)險巨大。在安全性和用戶直接使用感受上都存在問題，師生在使用各信息系統(tǒng)時往往會面對各種賬號，在用戶體驗上大打折扣。1.1.2校級流程管控缺失，各處室割離建設(shè)造成流程雜亂當(dāng)前大部分高校在信息化建設(shè)過程中，各個部門和二級學(xué)院的規(guī)劃和建設(shè)，都是各自為政，建設(shè)自己的管理信息系統(tǒng)或應(yīng)用軟件，這些軟件系統(tǒng)來源于不同部門的采購，軟件產(chǎn)品分屬于不同的生產(chǎn)商。這種狀況表現(xiàn)在應(yīng)用過程中功能重疊、數(shù)據(jù)格式多樣性和系統(tǒng)之間各系統(tǒng)難于共享信息。由不同的軟件供應(yīng)商提供建設(shè)的各個業(yè)務(wù)系統(tǒng)的建設(shè)覆蓋面較窄，且中間涉及到與該業(yè)務(wù)部門相關(guān)的大量業(yè)務(wù)流程。這些業(yè)務(wù)流程長短不一，其應(yīng)用場景也相對校級的業(yè)務(wù)流程現(xiàn)在在國內(nèi)的大部分高校信息化建設(shè)過程中都相對缺失。帶來這個問題的主要原因是由于單體業(yè)務(wù)系統(tǒng)的人為割裂建設(shè)有關(guān)。業(yè)務(wù)部門是這些業(yè)務(wù)系統(tǒng)建設(shè)的需求提出單位，他們所關(guān)注的僅僅是這個業(yè)務(wù)部門在某個業(yè)務(wù)場景中的流程需要。他們并不會過內(nèi)部的業(yè)務(wù)流程，每流程節(jié)點(diǎn)的執(zhí)行人、執(zhí)行時間、執(zhí)行耗時、執(zhí)行效果、執(zhí)行評價等這些信息也是一無所知，這也就帶來了當(dāng)前大部分高校在進(jìn)行信息化建設(shè)過程中校級流程的缺失。1.1.3流程雜亂及數(shù)據(jù)質(zhì)量監(jiān)控缺失造成數(shù)據(jù)質(zhì)量低下高校目前構(gòu)建的這些業(yè)務(wù)應(yīng)用系統(tǒng)，從單體的系統(tǒng)使用情況看，仍然存在“建的多，用對業(yè)務(wù)系統(tǒng)而言，在應(yīng)用環(huán)節(jié)的缺失，直接影響對應(yīng)業(yè)務(wù)數(shù)據(jù)的沉淀，更不用提到所謂數(shù)據(jù)質(zhì)量的問題。這是影響數(shù)據(jù)質(zhì)量不高的原因之一。另外，學(xué)校對于數(shù)據(jù)質(zhì)量的監(jiān)控，包括數(shù)據(jù)交換過程的監(jiān)控、代碼標(biāo)準(zhǔn)的監(jiān)控缺失，也導(dǎo)致數(shù)據(jù)質(zhì)量的低下，實(shí)為原因之二。1.1.4高校普遍網(wǎng)站安全防護(hù)力度不夠安全漏洞未及時更新隨著教育行業(yè)信息化的快速發(fā)展和網(wǎng)絡(luò)信息技術(shù)的普及應(yīng)用，網(wǎng)絡(luò)安全面臨的威脅越來越嚴(yán)峻。很多高校的網(wǎng)站或信息系統(tǒng)存在跨站腳本、注入和后臺管理弱口令等高危漏洞，部分網(wǎng)站已經(jīng)被植入木馬。部分雖然配置了安全防護(hù)設(shè)備，但疏于管理，實(shí)效性較差，安全防護(hù)效果不明顯?？傮w來看，教育行業(yè)的網(wǎng)絡(luò)與信息安全形勢嚴(yán)峻，及時查補(bǔ)信息安全漏洞，積極采取應(yīng)對措施1.1.5高校數(shù)據(jù)中心安全危機(jī)和運(yùn)維管控難度加大隨著教育信息化建設(shè)的逐步深入，教務(wù)工作對信息系統(tǒng)依賴的程度越來越高，數(shù)據(jù)服務(wù)器成為了高校重要組成內(nèi)容，積聚越來越多的信息資源。近幾年網(wǎng)上黑客攻擊，修改考試成績，騙取認(rèn)證證書等事件屢有發(fā)生，教育系統(tǒng)已經(jīng)逐漸成為黑客關(guān)注的重點(diǎn)目標(biāo)，高校數(shù)據(jù)中心的安全保障工作已經(jīng)迫在眉睫。教育系統(tǒng)信息泄露安全風(fēng)險分析1、來自互聯(lián)網(wǎng)風(fēng)險教育行業(yè)網(wǎng)站系統(tǒng)中括學(xué)校院系門戶、教學(xué)管理系統(tǒng)、網(wǎng)上課程、數(shù)字圖書館、網(wǎng)上辦公等，為高校師生們提供各式各樣的網(wǎng)絡(luò)服務(wù)。并且都與上級教育部門進(jìn)行多項聯(lián)系，教育系統(tǒng)網(wǎng)絡(luò)如果與公網(wǎng)直接或間接互聯(lián)，那么由于互聯(lián)網(wǎng)自身的廣泛性、自由性等特點(diǎn)，像高校這樣的教育行業(yè)單位自然會被惡意的入侵者列入其攻擊目標(biāo)的前列。需要對數(shù)據(jù)庫的安全進(jìn)行權(quán)限控制和加密措施2、來自運(yùn)維管理的安全風(fēng)險隨著信息教育行業(yè)信息化建設(shè)進(jìn)程，由于設(shè)備和服務(wù)器眾多，特別是建設(shè)有數(shù)據(jù)中心，云平臺和虛擬機(jī)眾多，系統(tǒng)管理員壓力太大等因素，越權(quán)訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生，這嚴(yán)重影響教務(wù)工作運(yùn)行效能，并對學(xué)校聲譽(yù)造成重大影響。另外黑客的惡意訪問也有可能獲取可估量的損失。如何提高系統(tǒng)運(yùn)維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計依據(jù)，降低運(yùn)維成本，滿足相關(guān)標(biāo)準(zhǔn)要求，越來越成為高校關(guān)心1.1.6私有云的建設(shè)，帶來便利的同時面臨著新的挑戰(zhàn)高?，F(xiàn)在的的數(shù)據(jù)量和應(yīng)用規(guī)模越來越大，大部分的高校建設(shè)或者考慮建設(shè)自己的私有云以滿足未來越來越大的數(shù)據(jù)規(guī)模。從風(fēng)險管理的角度講，云的風(fēng)險來源于管理資產(chǎn)、威脅、脆弱性和防護(hù)措施及其相關(guān)關(guān)系，保障云計算平臺的持續(xù)安全，以及其所支撐的業(yè)務(wù)的安全。云計算平臺是在傳統(tǒng)技術(shù)的基礎(chǔ)上，增加了一個虛擬化層，并且具有了資源池化、按需分配，彈性調(diào)配，高可靠等特點(diǎn)。因此，傳統(tǒng)的安全威脅種類依然存在，傳統(tǒng)的安全防護(hù)方案依然可以發(fā)揮一定的作用。綜合考慮云計算所帶來的變化、風(fēng)險，從保障系統(tǒng)整體安全出發(fā)，其面臨的主要挑戰(zhàn)和需求如下：法律和合規(guī)動態(tài)、虛擬化網(wǎng)絡(luò)邊界安全虛擬化安全流量可視化數(shù)據(jù)保密和防泄露安全運(yùn)維和管理針對云計算所面臨的安全威脅及來自各方面的安全需求，需要對科學(xué)設(shè)計云計算平臺的安全防護(hù)架構(gòu)，選擇安全措施，并進(jìn)行持續(xù)管理，滿足云計算平臺的全生命周期的安全。信息化問題解決思路2.1信息化云-管-端整體布局圖-1整體技術(shù)架構(gòu)如上圖所述，高校需要建設(shè)一個完整的開放式的私有云生態(tài)體系，實(shí)際上是包括了從開發(fā)生態(tài)、運(yùn)行生態(tài)、應(yīng)用服務(wù)生態(tài)到運(yùn)營生態(tài)的式向最終用戶進(jìn)行業(yè)務(wù)展現(xiàn)。每個階段的建設(shè)思路和模式都對整體信息化建設(shè)起著至關(guān)重要通過組件化開發(fā)平臺，形成應(yīng)用和組件，應(yīng)用和組件掛載到校園服務(wù)總線，可為校內(nèi)應(yīng)用服務(wù)池和業(yè)務(wù)應(yīng)用管理服務(wù)平臺調(diào)用。并將其通過資源庫的方式積累為行業(yè)資源庫，為日后資源復(fù)用提供儲備。同時開發(fā)平臺能夠?qū)ν獠康牡谌綉?yīng)用進(jìn)行服務(wù)化的封新的應(yīng)用或組件，掛載到校園服務(wù)總線?；诮M件化開發(fā)平臺的可視化開發(fā)過程，校內(nèi)的廣大師生和社會人士也可以通過該工具完成簡單的應(yīng)用服務(wù)開發(fā)，并通過發(fā)布工具發(fā)布到校內(nèi)，增強(qiáng)信息化建設(shè)整體參與面的廣度和深度。以校園服務(wù)總線、應(yīng)用管理服務(wù)平臺以及包括主數(shù)據(jù)管理、身份認(rèn)證管理、統(tǒng)一通訊、移動支撐平臺等在內(nèi)的公共應(yīng)用組件，為學(xué)校提供統(tǒng)一的、高交互性、高開放性的服務(wù)應(yīng)用運(yùn)行環(huán)境。其提供的服務(wù)都是通過校園服務(wù)總線進(jìn)行統(tǒng)一發(fā)布的服務(wù)，通過業(yè)務(wù)應(yīng)用管理服務(wù)平臺將其編排成符合學(xué)校需要的業(yè)務(wù)邏輯，提供給用戶使用。校園服務(wù)總線負(fù)責(zé)整個學(xué)校信息化建設(shè)各個平臺間服務(wù)交互和信息傳遞，通過服務(wù)治理工具管理服務(wù)運(yùn)行，通過基于校園服務(wù)總線務(wù)標(biāo)準(zhǔn)管理工具保障各服務(wù)間調(diào)用的規(guī)范性。被服務(wù)調(diào)度總線封裝的，除了組件化開發(fā)平臺提供的應(yīng)用和組件外，還包括校內(nèi)很多的基礎(chǔ)應(yīng)用組件，如主數(shù)據(jù)管理、統(tǒng)一身份認(rèn)證、統(tǒng)一支付等，都以服務(wù)的方式在服務(wù)調(diào)度平臺上進(jìn)行掛載，并借由服務(wù)調(diào)度平臺完成同其它平臺的集成。改變原有的行政化、管理化信息系統(tǒng)使用模式，以類互聯(lián)網(wǎng)的模式，形成校內(nèi)的應(yīng)用超市，包括校內(nèi)師生綜合服務(wù)平臺和校外的服務(wù)應(yīng)用池，有效接入，實(shí)現(xiàn)應(yīng)用服務(wù)的動態(tài)分配和按需使用。并對服務(wù)使用進(jìn)行全面監(jiān)控和管理，對業(yè)務(wù)過程和服務(wù)質(zhì)量做到有效評估。云計算平臺的安全保障技術(shù)體系不同于傳統(tǒng)系統(tǒng)，它也必須實(shí)現(xiàn)和提供資源彈性、按需分配、全程自動化的能力，不僅僅為云平臺提供安全服務(wù)，還必須為租戶提供安全服務(wù)，因此需要在傳統(tǒng)的安全技術(shù)架構(gòu)基礎(chǔ)上，實(shí)現(xiàn)安全充分考慮云計算的特點(diǎn)和優(yōu)勢，以及最新的安全防護(hù)技術(shù)發(fā)展情況，為了達(dá)成提供資源彈性、按需分配的安全能力，云平臺的安全技術(shù)實(shí)現(xiàn)架構(gòu)設(shè)計如下：?安全資源池：可以由傳統(tǒng)的物理安全防護(hù)組件、虛擬化安全防護(hù)組件組成，提供基?安全平臺：提供對基礎(chǔ)安全防護(hù)組件的注冊、調(diào)度和安全策略管理?？梢栽O(shè)立一個綜合的安全管理平臺，或者分立的安全管理平臺，如安全評估平臺、異常流量檢測統(tǒng)計分析和報表等功能，是租戶管理其安全服務(wù)的門戶通過此技術(shù)實(shí)現(xiàn)架構(gòu)，可以實(shí)現(xiàn)安全服務(wù)/能力的按需分配和彈性調(diào)度。當(dāng)然，在進(jìn)行安全防護(hù)措施具體部署時，仍可以采用傳統(tǒng)的安全域劃分方法，明確安全措施的部署位置、安全策略和要求，做到有效的安全管控。對于安全域的劃分方法詳見第五章。對于具體的安全控制措施來講，通常具有硬件盒子和虛擬化軟件兩種形式，可以根據(jù)云平臺的實(shí)際情況進(jìn)行部署方案選擇。云平臺的安全防護(hù)措施可以與云平臺體系架構(gòu)有機(jī)的集成在一起，對云平臺及云租戶提供按需的安全能力。基于通用平臺組件的應(yīng)用基于通用平臺組件的應(yīng)用理理理理安全服臺管理基于基礎(chǔ)設(shè)施的應(yīng)用系統(tǒng)軟件基于基礎(chǔ)設(shè)施的應(yīng)用系統(tǒng)軟件平臺平臺器器2.3運(yùn)營生態(tài)體系—信息的高可用性通過對高校信息化建設(shè)現(xiàn)狀與問題的分析與總結(jié)，未來高校信息化建設(shè)的核心是以面向個高開放度的信息化環(huán)境，更好的應(yīng)對學(xué)校內(nèi)部業(yè)務(wù)變化和外部信息技術(shù)發(fā)展趨勢帶來的沖擊。構(gòu)建這樣的一種生態(tài)體系，學(xué)校需要從技術(shù)架構(gòu)、建設(shè)思路、建設(shè)模式等多個方面進(jìn)行轉(zhuǎn)變。要做到能夠同時滿足技術(shù)發(fā)展的需要、學(xué)校業(yè)務(wù)的需求、供應(yīng)商參與的訴求，充分利用學(xué)校在信息化方面的人力與物力投入，構(gòu)建良性的、可持續(xù)發(fā)展的校園信息化生態(tài)。圍繞行政部門建設(shè)信息化的思路和模式。基于開放的信息化環(huán)境，將校內(nèi)信息化建設(shè)成果和校外互聯(lián)網(wǎng)應(yīng)用都以服務(wù)的形態(tài)進(jìn)行重新梳理、重新組合，并通過有效的管理機(jī)制在校內(nèi)的統(tǒng)一應(yīng)用平臺上進(jìn)行注冊、發(fā)布，為校內(nèi)師生提供綜合性的服務(wù)獲取通道和高體驗度的應(yīng)用服務(wù)，大大增加用戶黏性與依賴度?；诟呤褂寐实木C合服務(wù)，校內(nèi)師生不但可以在綜合服務(wù)平臺上使用服務(wù)，還可以對校內(nèi)服務(wù)進(jìn)行評價和反饋，綜合服務(wù)平臺同時記錄下各類用戶的操作軌跡、用戶行為，輔以傳統(tǒng)的管理業(yè)務(wù)數(shù)據(jù)，為各級管理者提供全面、有效的數(shù)據(jù)分析服務(wù)，幫助各級管理者決策分析，優(yōu)化業(yè)務(wù)模式。各類需要優(yōu)化的應(yīng)用，需要有效的運(yùn)營機(jī)制保障，在校內(nèi)建立長效化、持續(xù)化的運(yùn)營機(jī)制，保證校內(nèi)應(yīng)用和服務(wù)的升級與迭代。在運(yùn)營機(jī)制的保障下，借助快速建模工共同提升校內(nèi)信息化水平。建設(shè)一套上網(wǎng)行為管理系統(tǒng)，有效防止互聯(lián)網(wǎng)有害信息在高校的散布與傳播，加強(qiáng)對危害國家安全、影響社會穩(wěn)定、淫穢色情等有害信息的預(yù)防、監(jiān)控和管理力度，防范各種破環(huán)活動，配合公安部門及時發(fā)現(xiàn)和打擊各種網(wǎng)上違法犯罪行為。通過對網(wǎng)絡(luò)進(jìn)行有效的控制和監(jiān)管，規(guī)范用戶正確的上網(wǎng)行為，努力創(chuàng)建和諧校園。確保應(yīng)用安全的最大化，防止網(wǎng)頁內(nèi)容被篡改，防止網(wǎng)站數(shù)據(jù)庫內(nèi)容泄露，防止口令被突破，防止系統(tǒng)管理員權(quán)限被竊取，防止網(wǎng)站被掛馬和植入病毒、惡意代碼、間諜軟件等，防止用戶輸入信息的泄露，防止賬號失竊，防注入，防攻擊等。由于信息化系統(tǒng)的脆弱性、技術(shù)的復(fù)雜性、操作的人為因素，在設(shè)計以預(yù)防、減少或消除潛在風(fēng)險為目標(biāo)的安全架構(gòu)時，引入運(yùn)維管理與操作監(jiān)控機(jī)制以預(yù)防、發(fā)現(xiàn)錯誤或違規(guī)事件，對風(fēng)險進(jìn)行事前防范、事中控制、事后監(jiān)督和糾正的組合管理是十分必要的及時的進(jìn)行信息化系統(tǒng)的安全評估及安全掃描，從而發(fā)現(xiàn)的各種系統(tǒng)漏洞，并且依據(jù)既定的相關(guān)策略，采取措施予以彌補(bǔ)，消除已暴露的問題和可能的隱患，加固主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備和架構(gòu)、應(yīng)用程序安全漏洞，提高信息系統(tǒng)的健壯性，抵御外部的各種安全風(fēng)險以及惡意攻擊，實(shí)現(xiàn)信息系統(tǒng)長期安全、穩(wěn)定運(yùn)行的最終目標(biāo)。新的建設(shè)模式需要新的技術(shù)體系支持，改良校內(nèi)現(xiàn)有架構(gòu)是本次項目規(guī)劃與建設(shè)中非常重要的環(huán)節(jié)。基礎(chǔ)架構(gòu)的合理性和先進(jìn)性以及開放性決定了我校未來信息化建設(shè)成敗。通過建立新的基礎(chǔ)支撐平臺，實(shí)現(xiàn)對校內(nèi)各類應(yīng)用、服務(wù)的有序接入和管理，綜合數(shù)據(jù)層面、開發(fā)層面、應(yīng)用層面和運(yùn)維層面，建立統(tǒng)一的基礎(chǔ)支撐架構(gòu)，保證信息化建設(shè)的基礎(chǔ)堅實(shí)。高校經(jīng)過多年的信息化建設(shè)，已經(jīng)形成了一套校內(nèi)的信息標(biāo)準(zhǔn)，并且學(xué)校現(xiàn)在已經(jīng)建立了公共數(shù)據(jù)平臺，用于處理各業(yè)務(wù)系統(tǒng)的共享數(shù)據(jù)交換和集成，同時積累大量的業(yè)務(wù)數(shù)據(jù)。但隨著信息技術(shù)的發(fā)展和校內(nèi)業(yè)務(wù)的調(diào)整，原有信息標(biāo)準(zhǔn)已經(jīng)不能滿足未來的信息化發(fā)展需在一定問題。因此，為了達(dá)成上文信息化生態(tài)的整體建設(shè)目標(biāo)，建議對現(xiàn)有的公共數(shù)據(jù)平臺進(jìn)行升級改造，從以下幾個層面提升數(shù)據(jù)平臺的能力：升級現(xiàn)有信息標(biāo)準(zhǔn)管理系統(tǒng)，一方面可以全面升級學(xué)校原有信息標(biāo)準(zhǔn)的內(nèi)容，另一方面可以加強(qiáng)信息標(biāo)準(zhǔn)的實(shí)際使用和執(zhí)行情況的管理手段，學(xué)校內(nèi)部的主數(shù)據(jù)庫和業(yè)務(wù)數(shù)據(jù)庫一旦有和信息標(biāo)準(zhǔn)不同步或不一致的情況，系統(tǒng)將及時檢查并將差異情況提報給數(shù)據(jù)平臺管理人員，幫助其了解和及時糾正信息標(biāo)準(zhǔn)執(zhí)行的差異，確保信息標(biāo)準(zhǔn)的可執(zhí)行性?，F(xiàn)有公共數(shù)據(jù)平臺的數(shù)據(jù)集成和共享完全基于的方式進(jìn)行，作為業(yè)內(nèi)通用和常用的成熟技術(shù)，在數(shù)據(jù)交換和共享過程中的穩(wěn)定性和高適用性具有很好的優(yōu)勢。但隨著信息架構(gòu)的發(fā)展，傳統(tǒng)的方式缺少數(shù)據(jù)共享的及時性和靈活性，無法將一些需要快速反饋的數(shù)據(jù)進(jìn)行有效息化建設(shè)過程中，需要提供及時有效、靈活可配的數(shù)據(jù)共享方式，便于后期碎片化服務(wù)的封數(shù)據(jù)作為信息化建設(shè)的核心內(nèi)容，其質(zhì)量好壞在高校內(nèi)一直是一個無法量化的黑盒，但數(shù)據(jù)質(zhì)量的好壞直接影響到學(xué)校后期數(shù)據(jù)分析和數(shù)據(jù)利用的有效性，因此需要一套先進(jìn)的管理工具，對學(xué)校的數(shù)據(jù)質(zhì)量進(jìn)行全面的監(jiān)控，幫助數(shù)據(jù)平臺管理人員了解校內(nèi)數(shù)據(jù)質(zhì)量，便于其有效推進(jìn)和提升校內(nèi)整體數(shù)據(jù)質(zhì)量?，F(xiàn)有公共數(shù)據(jù)平臺的主要作用是保證校內(nèi)共享數(shù)據(jù)的交換，因此其主要是對現(xiàn)有業(yè)務(wù)數(shù)據(jù)的同步更新與共享發(fā)布，并沒有對抽取上來的共享業(yè)務(wù)數(shù)據(jù)的歷史數(shù)據(jù)進(jìn)行保存，一旦學(xué)校的業(yè)務(wù)系統(tǒng)不具備對歷史業(yè)務(wù)數(shù)據(jù)的存檔功能，學(xué)校大量的歷史數(shù)據(jù)便會隨著新業(yè)務(wù)數(shù)據(jù)的更新而丟失，很大程度上后期學(xué)校進(jìn)行數(shù)據(jù)分析和數(shù)據(jù)統(tǒng)計的使用。臺升級建設(shè)同樣需要對歷史業(yè)務(wù)數(shù)據(jù)進(jìn)行詳盡保存，以天為單位進(jìn)行歷史數(shù)據(jù)切片保存，作為學(xué)校數(shù)據(jù)資產(chǎn)的積累。基于上述四個層面，高校在后期需要通過建立一個符合教育行業(yè)特性的高校數(shù)主據(jù)管理平臺。覆蓋高校數(shù)據(jù)層面全生命周期的管理。從信息標(biāo)準(zhǔn)、代碼標(biāo)準(zhǔn)，到數(shù)據(jù)共享、交換，直至最終的數(shù)據(jù)質(zhì)量保證等。將高質(zhì)量的主數(shù)據(jù)以服務(wù)的方式提供給校園服務(wù)總線，便于上層應(yīng)用的抽取和使用。同時需要提升信息標(biāo)準(zhǔn)執(zhí)行能力，采用自動化工具對校內(nèi)信息標(biāo)準(zhǔn)和代碼標(biāo)提升數(shù)據(jù)共享集成能力，做到數(shù)據(jù)實(shí)時共享。信息標(biāo)準(zhǔn)建設(shè)：在進(jìn)行后期信息化建設(shè)之前，需要對校內(nèi)的信息標(biāo)準(zhǔn)和數(shù)據(jù)質(zhì)量進(jìn)行重新的梳理和規(guī)劃，以服務(wù)化和開放性的視角重新定義校內(nèi)信息標(biāo)準(zhǔn)，使之具有可擴(kuò)展性和可持續(xù)性。對學(xué)?，F(xiàn)有信息標(biāo)準(zhǔn)和數(shù)據(jù)質(zhì)量進(jìn)行全面梳理和優(yōu)化，使之能夠提供符合教育行業(yè)標(biāo)準(zhǔn)的參考代碼標(biāo)準(zhǔn)模式及數(shù)據(jù)共享和交換需求的主數(shù)據(jù)模式。信息標(biāo)準(zhǔn)主要建設(shè)內(nèi)容如下：1.數(shù)據(jù)清洗與數(shù)據(jù)質(zhì)量提升對校內(nèi)現(xiàn)有業(yè)務(wù)數(shù)據(jù)進(jìn)行全盤分析和檢查，找出數(shù)據(jù)質(zhì)量隱患和存在問題，對質(zhì)量不高的數(shù)據(jù)和無效數(shù)據(jù)進(jìn)行清洗和優(yōu)化，保證現(xiàn)有業(yè)務(wù)數(shù)據(jù)的高質(zhì)量，為后期進(jìn)行信息化改造奠2.信息標(biāo)準(zhǔn)升級基于最新的國標(biāo)、部標(biāo)、行標(biāo)，結(jié)合現(xiàn)有校標(biāo)和校內(nèi)實(shí)際業(yè)務(wù)情況，充分考慮后期信息化改造需要，將校內(nèi)信息標(biāo)準(zhǔn)進(jìn)行重新梳理和升級，使之符合最新的技術(shù)規(guī)范和業(yè)務(wù)需求。3.數(shù)據(jù)流向規(guī)劃對校內(nèi)各業(yè)務(wù)部門和行政單位的數(shù)據(jù)流向進(jìn)行重新規(guī)劃，消除原先數(shù)據(jù)責(zé)任單位不明確的現(xiàn)象，并確定校內(nèi)數(shù)據(jù)出處的權(quán)威性。避免出現(xiàn)數(shù)據(jù)二異性。信息標(biāo)準(zhǔn)管理工具：提供數(shù)據(jù)標(biāo)準(zhǔn)管理、代碼標(biāo)準(zhǔn)管理、數(shù)據(jù)流向管理、代碼檢測管理工具。幫助學(xué)校有效提升數(shù)據(jù)質(zhì)量，強(qiáng)化數(shù)據(jù)管理能力。元數(shù)據(jù)管理工具：對主數(shù)據(jù)和代碼標(biāo)準(zhǔn)模型進(jìn)行維護(hù)，提供語義支持，實(shí)現(xiàn)對底層模型的集中維護(hù)和管理，提供對數(shù)據(jù)分類的管理。主數(shù)據(jù)和業(yè)務(wù)系統(tǒng)代碼表之間映射關(guān)系的管理，檢測元數(shù)據(jù)和系統(tǒng)數(shù)據(jù)庫之間表、字段以及字段屬性的不一致情況，根據(jù)元數(shù)據(jù)檢測情況創(chuàng)建數(shù)據(jù)庫實(shí)體對象數(shù)據(jù)集成平臺：提供集成接口支持、數(shù)據(jù)集成庫、拓?fù)涔芾砉ぞ?、集成設(shè)計工具、集成調(diào)度工具等實(shí)現(xiàn)數(shù)據(jù)流向集成。數(shù)據(jù)共享接口發(fā)布工具：通過可自定義的數(shù)據(jù)發(fā)布接口，實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)實(shí)時、按需的共享需求。提供數(shù)據(jù)共享服務(wù)接口的新增、刪除、修改、授權(quán)、接口啟停以及運(yùn)行管理。數(shù)據(jù)備份管理工具：實(shí)現(xiàn)構(gòu)建主數(shù)據(jù)倉庫來保留了代碼標(biāo)準(zhǔn)、主數(shù)據(jù)的歷史數(shù)據(jù)，能重現(xiàn)每天的數(shù)據(jù)情況，方便日后的時間維度上的數(shù)據(jù)分析工作。運(yùn)行監(jiān)控工具：為信息中心運(yùn)行監(jiān)控人員提供系統(tǒng)的動態(tài)，異常情況，數(shù)據(jù)情況等。以圖形化的方式，較通俗易懂的表現(xiàn)形式來展現(xiàn)系統(tǒng)的各種運(yùn)行和異常情況，并且按照事為了保證校內(nèi)外應(yīng)用的高效接入和順暢的用戶體驗，需要建立校級的身份認(rèn)證管理統(tǒng)一管理校內(nèi)外各類應(yīng)用及系統(tǒng)的登錄、訪問和互相之間的認(rèn)證。充分保證外部應(yīng)用訪問時數(shù)據(jù)權(quán)限和訪問權(quán)限細(xì)顆粒度的控制。同時對校內(nèi)所有賬號進(jìn)行基于工具化的有效監(jiān)控和管理，保證校內(nèi)賬號和密碼的安全。身份管理：為數(shù)字校園提供集成用戶身份認(rèn)證和單點(diǎn)登錄服務(wù)，并為校園系統(tǒng)提供認(rèn)證和接口服務(wù)，同時包含身份自助服務(wù)、賬號管理、應(yīng)用認(rèn)證管理等。認(rèn)證服務(wù)反向代理：認(rèn)證服務(wù)的反向代理服務(wù)器，簡化第三方接入的接入工作。集群部署：包括兩臺認(rèn)證服務(wù)器、兩臺的部署。審計管理：為管理員提供及時發(fā)現(xiàn)問題之用，可審計出異常的帳號、不合理的認(rèn)證行為和授權(quán)行為，用于發(fā)現(xiàn)系統(tǒng)可能存在的安全問題和隱患。監(jiān)控管理：為管理員提供了掌握系統(tǒng)各項服務(wù)運(yùn)行狀態(tài)的功能，可幫助管理員盡早發(fā)現(xiàn)身份認(rèn)證：身份認(rèn)證功能是身份認(rèn)證管理平臺的核心基礎(chǔ)服務(wù)，隨著信息化建設(shè)的不斷深入，當(dāng)前所采用的身份認(rèn)證的方式也逐漸增多，平臺需要支持多終端認(rèn)證、第三方帳號綁定、動態(tài)登錄、掃描登錄、免登錄、二次登錄等多種登錄方式。開放服務(wù)：主要包括接入應(yīng)用管理，開放接口管理，開放接口，代理權(quán)限插件，用于把學(xué)校的認(rèn)證能力開放出去，方便師生訪問第三方應(yīng)用。師生綜合服務(wù)是校園生態(tài)體系建立的關(guān)鍵環(huán)節(jié)，將分散在各個系統(tǒng)中面向教師、學(xué)生的服務(wù)內(nèi)容進(jìn)行重新梳理和歸類，通過服務(wù)重新定義、封裝的方式在應(yīng)用服務(wù)管理平臺上進(jìn)行綜合呈現(xiàn)，面向教師、學(xué)生提供覆蓋全生命周期、可以不斷完善、師生真正關(guān)心、有實(shí)用價值、便捷的信息服務(wù)；高校現(xiàn)有的信息門戶只完成了對校內(nèi)各類資訊和個人信息的數(shù)據(jù)層面整合，實(shí)現(xiàn)了簡單的信息集成，由于技術(shù)架構(gòu)的局限性，無法按照學(xué)生和教師的視角抽取、封裝和展現(xiàn)碎片化的服務(wù)。因此在本次建設(shè)規(guī)劃中，建議按照最新的服務(wù)體系生態(tài)重新構(gòu)建面向師生綜合服務(wù)的門戶系統(tǒng)，同時，提供完整的服務(wù)前臺交互與后臺管理功能，支撐服務(wù)管理效率和管理水平的提升，監(jiān)控和優(yōu)化服務(wù)質(zhì)量。更好的滿足學(xué)校業(yè)務(wù)需要和師生服務(wù)需應(yīng)用門戶：提供一站式辦事大廳服務(wù)門戶，基礎(chǔ)組件包含熱門排行、最新推薦，即將開放應(yīng)用、應(yīng)用收藏等，支持針對應(yīng)用服務(wù)中心進(jìn)行多維度查詢搜索服務(wù)。注冊、授權(quán)和使用平臺，對于校內(nèi)應(yīng)用提供接入信息維護(hù)、下架申請、審核等管理功能應(yīng)用授權(quán)管理：面向應(yīng)用的接入提供用戶組管理、應(yīng)用權(quán)限管理?；A(chǔ)應(yīng)用：通知公告、調(diào)查問卷、新聞訂閱、在線咨詢、個人數(shù)據(jù)對現(xiàn)有管理系統(tǒng)解構(gòu)、重組和碎片化會產(chǎn)生后臺服務(wù)的大量調(diào)用和集成，除了數(shù)據(jù)層面的數(shù)據(jù)共享之外，還需要解決校內(nèi)信息化建設(shè)中存在的緊耦合、異構(gòu)性等各類問題，充分利用現(xiàn)有建設(shè)成果構(gòu)建全新的高校信息化生態(tài)，建立基于高校行業(yè)特征的校園服務(wù)總線。實(shí)現(xiàn)從簡單的“數(shù)據(jù)集成，門戶集成”向“服務(wù)集成”模式的轉(zhuǎn)變。提供接口標(biāo)準(zhǔn)管理、服務(wù)治理、服務(wù)交換等全方面的底層服務(wù)管理平臺，為其他基礎(chǔ)平臺和公共應(yīng)用組件、上層服務(wù)提供總體服務(wù)調(diào)度和管理。保證校內(nèi)信息體系的可管理性。實(shí)現(xiàn)服務(wù)管理從離散到集中，具備更可控的系統(tǒng)架構(gòu)，增加信息化資源的可管理性、實(shí)現(xiàn)技術(shù)架構(gòu)從差異化到標(biāo)準(zhǔn)化，更統(tǒng)一的集成方式，降低改造成本、實(shí)現(xiàn)建設(shè)過程從繁亂到有序，帶來更簡化的建設(shè)方式，降低運(yùn)維難度、實(shí)現(xiàn)整體體系從封閉到開放，形成更良性的運(yùn)營環(huán)境，增加信息化生態(tài)的可持續(xù)性。格式不同的轉(zhuǎn)換問題，解決大并發(fā)情況下服務(wù)負(fù)載、服務(wù)緩存的問題，并實(shí)現(xiàn)服務(wù)流程的可視化編排，保證服務(wù)調(diào)用、服務(wù)交互時的穩(wěn)定性和安全性。服務(wù)注冊工具：校園服務(wù)總線需要提供接口供開發(fā)人員注冊服務(wù)，僅需提供服務(wù)的相關(guān)元信息及文件，即可實(shí)現(xiàn)注冊步驟。而文件格式的基本驗證部分需要自動完成，后期將要求服務(wù)提供者附加范例代碼。其中的從屬系統(tǒng)標(biāo)簽則用于服務(wù)分組。對于形式的服務(wù)，需要提供詳細(xì)的參數(shù)信息或提供對于服務(wù)的輸入和輸出實(shí)例實(shí)現(xiàn)注冊。對于服務(wù)的搜索，平臺會提供服務(wù)分類的基礎(chǔ)模板，系統(tǒng)管理員可以對其進(jìn)行擴(kuò)展，第三方可根據(jù)服務(wù)分類進(jìn)行搜索。注冊狀態(tài)查看：校園服務(wù)總線具有一定的開放性，但并不代表所有的服務(wù)都可注冊上來，所以注冊服務(wù)的過程需要人工審核的步驟。而開發(fā)人員則可在注冊狀態(tài)查看功能模塊查看到已注冊服務(wù)的當(dāng)前狀態(tài)（審核通過、未審核、審核中）服務(wù)監(jiān)控：校園服務(wù)總線提供對平臺及服務(wù)所運(yùn)行服務(wù)器的監(jiān)控功能?？紤]到平臺本身的運(yùn)行狀態(tài)對其上運(yùn)行的服務(wù)及應(yīng)用有著極重要的影響，對其的監(jiān)控必不可少，但對高校硬件的監(jiān)控本就存在一套體系，所以校園服務(wù)總線僅提供平臺硬件的關(guān)鍵總線運(yùn)行起關(guān)鍵性影響的指標(biāo)（如占用和內(nèi)存使用情況）該服務(wù)的功能是否合理，后期還將考慮該服務(wù)是否應(yīng)該注冊在該系統(tǒng)下。提供給系統(tǒng)管理員的信息具體包括服務(wù)名稱、服務(wù)所屬應(yīng)用/模塊、接口人等。當(dāng)前審核狀態(tài)則包括審核中和云計算系統(tǒng)具有傳統(tǒng)系統(tǒng)的一些特點(diǎn)，從上面的安全域劃分結(jié)果可以看到，其在外部接口層、核心交換層的安全域劃分是基本相同的，針對這些傳統(tǒng)的安全區(qū)域仍舊可以采用傳統(tǒng)的安全措施和方法進(jìn)行安全防護(hù)。如下圖所示：當(dāng)然，從上面的安全域劃分結(jié)果可以看到，相對于傳統(tǒng)的網(wǎng)絡(luò)與信息系統(tǒng)來講，云平臺由于采用了虛擬化技術(shù)，在計算服務(wù)層、資源層的安全域劃分與傳統(tǒng)系統(tǒng)有所不同，這主要體現(xiàn)在虛擬化部分，即生產(chǎn)區(qū)、非生產(chǎn)區(qū)、管理區(qū)、支撐服務(wù)區(qū)、堡壘區(qū)、區(qū)等。這里主要論述和說明生產(chǎn)區(qū)的安全建設(shè)。非生產(chǎn)區(qū)和管理區(qū)、區(qū)類似，不在累贅說明：生產(chǎn)區(qū)部署了虛擬化主機(jī)、軟件平臺、應(yīng)用層，應(yīng)基于虛擬化技術(shù)實(shí)現(xiàn)，因此其安全防護(hù)應(yīng)考慮虛擬化安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。虛擬化安全虛擬化安全主要涉及虛擬化組件及其管理的安全，包括了虛擬化操作系統(tǒng)、虛擬化交換機(jī)、虛擬主機(jī)、虛擬存儲及虛擬化安全管理系統(tǒng)的安全。網(wǎng)絡(luò)安全主要涉及防火墻、異常流量檢測和清洗、網(wǎng)絡(luò)入侵檢測、惡意代碼防護(hù)、接入、安防火墻及邊界防護(hù)安全域需要隔離，并需要采取訪問控制措施對安全域內(nèi)外的通信進(jìn)行有效管控。通?？刹捎玫拇胧┯?、網(wǎng)絡(luò)設(shè)備、防火墻、設(shè)備等，這里主要對防火墻的功能、部署進(jìn)行說明網(wǎng)絡(luò)異常流量監(jiān)測與分析云計算中心部署的應(yīng)用和業(yè)務(wù)非常豐富，如基于流媒體的音視頻服務(wù)，業(yè)務(wù)等等，必然會受到各種網(wǎng)絡(luò)攻擊，如，進(jìn)而出現(xiàn)大量異常流量。在這種流量成分日益復(fù)雜，異常流量海量涌現(xiàn)的情況下，對網(wǎng)絡(luò)流量進(jìn)行實(shí)時監(jiān)測和分析，從而全面了解流量的各種分布以及變化趨流量統(tǒng)計分析并生成相應(yīng)的統(tǒng)計報表。統(tǒng)計對象的粒度可以為地址、地址段、用戶（用地址或地址段的組流量統(tǒng)計結(jié)果對流量工程具有很重要的參考價值。應(yīng)用組成分布顯示云計算中心內(nèi)部各種業(yè)務(wù)的開展情況，結(jié)合地域分布的信息，也可以指導(dǎo)流量工程。流量的變化趨勢顯示流量隨時間的變化規(guī)律以及峰值時段對帶寬的占用情況，這些數(shù)據(jù)有助于進(jìn)行云計算中心容量規(guī)劃。雙向異常流量監(jiān)測異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中的由內(nèi)至外、由外至發(fā)異常流量，也可監(jiān)測外來異常流量；異常流量定位異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中的流量進(jìn)行持續(xù)監(jiān)控和實(shí)時分析，并對異常流量進(jìn)行及時的發(fā)現(xiàn)、告警和定位，使網(wǎng)管人員能夠準(zhǔn)確的發(fā)現(xiàn)異常流量進(jìn)入網(wǎng)絡(luò)的端口和攻擊目標(biāo)；異常流量分析對于云平臺，其數(shù)據(jù)流量較大，且內(nèi)置的虛擬交換機(jī)可以直接輸出數(shù)據(jù)算中心采用基于流（）信息的流量分析產(chǎn)品。網(wǎng)絡(luò)入侵檢測云計算對外提供服務(wù)，完全面向互聯(lián)網(wǎng)，所面臨的威脅被無限放大，在云計算中心網(wǎng)絡(luò)出口采用入侵檢測機(jī)制，收集各種信息，由內(nèi)置的專家系統(tǒng)進(jìn)行分析，發(fā)現(xiàn)其中潛在的攻擊行為。由網(wǎng)絡(luò)入侵檢測系統(tǒng)捕獲分析網(wǎng)絡(luò)中的所有報文，發(fā)現(xiàn)其中的攻擊企圖，根據(jù)事先制定的策略通知管理員或自行采取保護(hù)措施。應(yīng)用安全應(yīng)用防護(hù)云計算中心一般都是采用的方式來對外提供各類服務(wù)，特別是在2.0的技術(shù)趨勢下，75%以上的攻擊都瞄準(zhǔn)了網(wǎng)站。這些攻擊可能導(dǎo)致云計算服務(wù)提供商遭受聲譽(yù)和經(jīng)濟(jì)損失，可能造成惡劣的社會影響。應(yīng)用防護(hù)技術(shù)通過深入分析和解析的有效性、提供安全模型只允許已知流量通過、應(yīng)用層規(guī)則、基于會話的保護(hù)，可檢測應(yīng)用程序異常情況和敏感數(shù)據(jù)（如信用卡、網(wǎng)銀帳號等）是否正在被竊取，并阻斷攻擊或隱蔽敏感數(shù)據(jù)，保護(hù)云計算平臺的服務(wù)器，確保云計算平臺應(yīng)用和服務(wù)免受侵害。數(shù)據(jù)安全對于數(shù)據(jù)安全，需要涉及數(shù)據(jù)的產(chǎn)生、傳輸、存儲、使用、遷移、銷毀以及備份和恢復(fù)的全生命周期，并在數(shù)據(jù)的不同生周期階段采用數(shù)據(jù)分類分級、標(biāo)識、加密、審計、擦除等手段。另外，在采用了這些基礎(chǔ)防護(hù)技術(shù)措施之外，還應(yīng)考慮數(shù)據(jù)庫審計、數(shù)據(jù)防泄露以及數(shù)據(jù)庫防火墻的手段，最大限度地保證云平臺中的數(shù)據(jù)安全。云平臺的管理運(yùn)維人員、第三方運(yùn)維人員以及租戶需要多云計算平臺的主機(jī)、應(yīng)用及網(wǎng)進(jìn)行認(rèn)證、授權(quán)、訪問控制和審計。堡壘機(jī)就是完成上述功能的關(guān)鍵設(shè)備，典型應(yīng)用場景如網(wǎng)絡(luò)設(shè)備和服務(wù)器區(qū)網(wǎng)絡(luò)設(shè)備和服務(wù)器區(qū)UNIX/LINUXServerWindows網(wǎng)絡(luò)設(shè)備安全設(shè)備DBserver返回結(jié)果執(zhí)行訪問操作：SSH/TELNET/RDP//VNC/FTP/SFTP…...堡壘機(jī)審計控制臺WEB登錄返回結(jié)果維護(hù)人員云平臺管理/運(yùn)維人員第三方代維人員云平臺租戶功能堡壘機(jī)可以提供一套先進(jìn)的運(yùn)維安全管控與審計解決方案，目標(biāo)是幫助云計算中心運(yùn)維人員轉(zhuǎn)變傳統(tǒng)安全運(yùn)維被動響應(yīng)的模式，建立面向用戶的集中、主動的運(yùn)維安全管控模式，降低人為安全風(fēng)險，滿足合規(guī)要求，保障企業(yè)效益，主要實(shí)現(xiàn)功能如下：?集中賬號管理建立基于唯一身份標(biāo)識的全局實(shí)名制管理，支持統(tǒng)一賬號管理策略，實(shí)現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無縫連接；?集中訪問控制通過集中訪問控制和細(xì)粒度的命令級授權(quán)策略，基于最小權(quán)限原則，實(shí)現(xiàn)集中有序的運(yùn)維操作管理，讓正確的人做正確的事；?集中安全審計基于唯一身份標(biāo)識，通過對用戶從登錄到退出的全程操作行為進(jìn)行審計，監(jiān)控用戶對目標(biāo)設(shè)備的所有敏感操作，聚焦關(guān)鍵事件，實(shí)現(xiàn)對安全事件地及時發(fā)現(xiàn)預(yù)警，及準(zhǔn)確可查根據(jù)多年的教育行業(yè)信息系統(tǒng)安全實(shí)踐經(jīng)驗，在深入理解國家法律法規(guī)和行業(yè)標(biāo)準(zhǔn)要求的基礎(chǔ)下，結(jié)合對客戶業(yè)務(wù)應(yīng)用及安全技術(shù)的研究，為學(xué)?？偨Y(jié)出“網(wǎng)關(guān)控制+內(nèi)部安全管理”的合規(guī)信息系統(tǒng)管端管理安全方法論，來指導(dǎo)高校信息系統(tǒng)安全體系的建設(shè)。在此次方案中我們?yōu)橛脩籼峁┚W(wǎng)絡(luò)安全管理系統(tǒng)、下一代防火墻、防火墻、網(wǎng)絡(luò)安全管理系統(tǒng)。我們推薦的安全產(chǎn)品有以下特點(diǎn)：對高校上網(wǎng)網(wǎng)絡(luò)流量提供三步循環(huán)的解決方案——可視、可行為，從而完整的了解網(wǎng)絡(luò)帶寬的使用狀況。網(wǎng)絡(luò)安全管理系統(tǒng)求，提供最有效的控制策略，讓網(wǎng)絡(luò)資源得到最合理的提供內(nèi)容檢索、模糊查詢、自動報表等功能，方便管理者跟蹤、追溯網(wǎng)絡(luò)的使用情況，幫助管理者定位網(wǎng)絡(luò)問針對一個入侵行為中的各種技術(shù)手段進(jìn)行統(tǒng)一的檢測和防護(hù)，如應(yīng)用掃描、漏洞利用、入侵、非法訪問、蠕下一代防火墻蟲病毒、帶寬濫用、惡意代碼等。更高性能的應(yīng)用內(nèi)容防護(hù)方案。防火墻為網(wǎng)關(guān)設(shè)備，防護(hù)對象為、服務(wù)器，可針對安全事件發(fā)生時序進(jìn)行安全建模，分別針對安全漏洞、攻擊手段及最終攻擊結(jié)果進(jìn)行掃描、防護(hù)及診斷，提供綜合應(yīng)用安全解決方案。匯聚交換機(jī)接入交換機(jī)匯聚交換機(jī)接入交換機(jī)下一代防火墻網(wǎng)絡(luò)安全管理系統(tǒng)區(qū)域匯聚交換機(jī)Web應(yīng)用防火墻無線接入數(shù)據(jù)中心辦公區(qū)域辦公區(qū)域在網(wǎng)絡(luò)出口處部署網(wǎng)絡(luò)安全管理系統(tǒng)，對學(xué)校內(nèi)師生的無線和有線上網(wǎng)行為進(jìn)行管理。在核心交換機(jī)與內(nèi)網(wǎng)用戶之間部署防火墻，為高校辦公用戶及服務(wù)器提供安全服務(wù)。部署應(yīng)用防火墻，對高校數(shù)據(jù)中心的內(nèi)的服務(wù)器、郵件服務(wù)器提供安全防護(hù)。息安全技術(shù)信息安全風(fēng)險評估規(guī)范》，通過深入了解高校信息系統(tǒng)情況，分析信息系統(tǒng)可能面臨的威脅，存在的弱點(diǎn)，以及弱點(diǎn)被襲擊或帶來破壞的可能性及影響，對當(dāng)前信息系統(tǒng)的安全風(fēng)險進(jìn)行分析和定義，采用專業(yè)漏洞檢測工具和工作模版，從風(fēng)險管理角度，運(yùn)用科學(xué)的方法和手段，根據(jù)聯(lián)合檢查要求，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和整改措施；為防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，從而最大限度地為保障信息安全提供科學(xué)依據(jù)。高校所有信息系統(tǒng)資產(chǎn)、內(nèi)網(wǎng)及外網(wǎng)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備1)市關(guān)于開展信息安全風(fēng)險評估工作的實(shí)施意見（深科信[2006]268號）5)用戶自身業(yè)務(wù)安全需求評估信息系統(tǒng)存在的高中低風(fēng)險的數(shù)量、可能性、影響。主要從安全技術(shù)和安全管理物理安全信息系統(tǒng)機(jī)房在物理位置選擇、出入管理、動力環(huán)境等方面采取的措施是否有效。信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計是否安全合理；惡意代碼防范措施是否有效。網(wǎng)絡(luò)設(shè)備、安全設(shè)備配置是否安全、有效；l主機(jī)系統(tǒng)層安全（針對操作系統(tǒng)、數(shù)據(jù)庫、中間件）是否能對主機(jī)系統(tǒng)用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段；后臺維護(hù)人員的權(quán)限是否是最小授權(quán)；后臺維護(hù)人員的邏輯訪問路徑是否可信；入侵防范措施、惡意代碼防范是否充分有效；主機(jī)系統(tǒng)資源使用是否可控。l應(yīng)用層安全（針對應(yīng)用軟件）是否能對應(yīng)用軟件用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段；用戶訪問權(quán)限是否是最小授權(quán)；剩余信息是否能夠被釋放或重新分配；是否能保證通信過程中的完整性、保密性；是否存在代碼安全缺陷。l安全管理組織機(jī)構(gòu)是否有恰當(dāng)?shù)陌踩芾斫M織架構(gòu)；與信息安全相關(guān)的授權(quán)審批、審核檢查流程是否存在并能夠有效組織實(shí)施。l安全管理制度是否有恰當(dāng)?shù)陌踩芾碇贫润w系；安全管理制度體系的制定、審批、維護(hù)流程是否存在并能夠有效組織實(shí)施。l人員安全管理信息系統(tǒng)后臺維護(hù)技術(shù)人員在錄用、在職、離崗時是否采取了恰當(dāng)?shù)陌踩芾矸绞?；是否對從事信息安全崗位的人員采取了信息安全考核；是否對第三方人員訪問內(nèi)部系統(tǒng)采取了安全控制措施；是否能夠采取各種措施提高技術(shù)人員的安全意識。l系統(tǒng)建設(shè)管理是否對信息系統(tǒng)建設(shè)各個階段包括方案設(shè)計、產(chǎn)品采購、軟件開發(fā)、工程實(shí)施、測試驗收、系統(tǒng)交付等進(jìn)行安全控制。l系統(tǒng)運(yùn)維管理是否對信息系統(tǒng)運(yùn)行過程中進(jìn)行安全控制，例如機(jī)房用介質(zhì)、機(jī)房設(shè)備、審計和監(jiān)控、系統(tǒng)漏洞管理、邏輯訪問控制、安全配置管理、變更管理等。評估方式配置核查由測評人員在客戶現(xiàn)場根據(jù)調(diào)查模版內(nèi)容獲取并分析信息系統(tǒng)關(guān)鍵設(shè)備當(dāng)時專家訪談由資深測評人員同客戶信息安全主管、審計部門、開發(fā)部門及運(yùn)維部門按調(diào)查模版要求進(jìn)行面對面訪談。資料審閱查閱信息系統(tǒng)建設(shè)、運(yùn)維過程中的過程文檔、記錄，采用分時段系統(tǒng)查閱和有針對性抽樣查閱的方法進(jìn)行。專家評議組織行業(yè)專家運(yùn)用恰當(dāng)?shù)娘L(fēng)險分析方法進(jìn)行集體會診評議。整個風(fēng)險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，包括（但不僅限于此）：1)風(fēng)險評估計劃：闡述風(fēng)險評估的目標(biāo)、范圍、團(tuán)隊、評估方法、評估結(jié)果的形式和2)風(fēng)險評估程序：明確評估的目的、職責(zé)、過程、相關(guān)的文件要求，并且準(zhǔn)備實(shí)施評3)資產(chǎn)識別清單：根據(jù)組織在風(fēng)險評估程序文件中所確定的資產(chǎn)分類方法進(jìn)行資產(chǎn)識別，形成資產(chǎn)識別清單，清單中應(yīng)明確各資產(chǎn)的責(zé)任人/部門；4)重要資產(chǎn)清單：根據(jù)資產(chǎn)識別和賦值的結(jié)果，形成重要資產(chǎn)列表，包括重要資產(chǎn)名稱、描述、類型、重要程度、責(zé)任人/部門等；5)威脅列表：根據(jù)威脅識別和賦值的結(jié)果，形成威脅列表，包括威脅名稱、種類、來6)脆弱性列表：根據(jù)脆弱性識別和賦值的結(jié)果，形成脆弱性列表，包括脆弱性名稱、7)已有安全措施確認(rèn)表：根據(jù)已采取的安全措施確認(rèn)的結(jié)果，形成表，包括已有安全措施名稱、類型、功能描述及實(shí)施效果等；8)風(fēng)險評估報告：對整個風(fēng)險評估過程和結(jié)果進(jìn)行總結(jié)，詳細(xì)說明被評估對象，風(fēng)險評估方法，資產(chǎn)、威脅、脆弱性的識別結(jié)果，風(fēng)險分析、風(fēng)險統(tǒng)計和結(jié)論等內(nèi)容；9)風(fēng)險處理計劃：對評估結(jié)果中不可接受的風(fēng)險制定風(fēng)險處理計劃，選擇適當(dāng)?shù)目刂颇繕?biāo)及安全措施，明確責(zé)任、進(jìn)度、資源，并通過10)風(fēng)險評估記錄：根據(jù)組織的風(fēng)險評估程序文件，記錄對重要資產(chǎn)的風(fēng)險評估過程。實(shí)行等級保護(hù)有利于客戶完善信息安全管理體系，提高信息安全和信息系統(tǒng)安全建設(shè)的整體水平；達(dá)到對信息和信息系統(tǒng)重點(diǎn)保護(hù)和有效對性和時效性，使信息安全和信息系統(tǒng)安全建設(shè)更加突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理。信息系統(tǒng)安全等級保護(hù)測評要求》信息系統(tǒng)安全等級保護(hù)測評過程指南》《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》對于高校在規(guī)劃、設(shè)計階段的信息系統(tǒng)及承擔(dān)行政審批功能的信息系統(tǒng)全部完成等級保依據(jù)國家《信息安全等級保護(hù)管理辦法》和《信息系統(tǒng)安全保護(hù)等級定級指南》的相關(guān)要求，協(xié)助客戶相關(guān)負(fù)責(zé)人員開展定級備案工作，包括定級信息系統(tǒng)的數(shù)量、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況的選擇，確定定級對象，對定級對象受侵害的客體及對客體的侵害程度的確定，按照定級要求與信息系統(tǒng)等級的關(guān)系初步確定信息系統(tǒng)安全保護(hù)等級，并按《信息系統(tǒng)安全等級保護(hù)定級報告》模板出具相關(guān)定級對象的信息系統(tǒng)安全等級保護(hù)定級報告。依照《信息安全等級保護(hù)管理辦法》對定級二級以上的信息系統(tǒng)，協(xié)助客戶向地方網(wǎng)監(jiān)進(jìn)行信息系統(tǒng)安全等級保護(hù)的備案工作。測評完成后30日內(nèi)提交《備案表》表四及其有關(guān)材料。2)《備案表》需通過“等級保護(hù)備案端軟件”填寫信息，并導(dǎo)出文檔生成。另，在填寫表三“09系統(tǒng)定級報告”時，需把《信息系統(tǒng)安全等級保護(hù)定級報告》上傳到“附件”再導(dǎo)出文檔。另，第三級以上系統(tǒng)備案電子數(shù)據(jù)還應(yīng)包括《備案表》表四所列的各項內(nèi)容。結(jié)合客戶上年度聯(lián)合檢查中發(fā)現(xiàn)的問題進(jìn)行加固修復(fù)，包含但不限于聯(lián)合檢查整改、風(fēng)評評估結(jié)論的整改，落實(shí)完成管理加固、服務(wù)器加固、網(wǎng)絡(luò)加固、應(yīng)用系統(tǒng)加固、數(shù)據(jù)庫系統(tǒng)加固、安全策略加固、安全設(shè)備加固等。1)上年度信息安全聯(lián)合檢查整改；2)上年度信息安全風(fēng)險評估不可接受風(fēng)險整改；3)信息安全管理體系問題優(yōu)化和完善；針對安全評估及安全掃描過程中發(fā)現(xiàn)的各種措施予以彌補(bǔ)，消除已暴露的問題和可能的隱患，加固主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備和架構(gòu)、應(yīng)用程序安全漏洞，提高客戶信息系統(tǒng)的健壯性，抵御外部的各種安全風(fēng)險以及惡意攻擊，實(shí)現(xiàn)客戶信息系統(tǒng)長期安全、穩(wěn)定運(yùn)行的最終目標(biāo)。1）分析安全評估及安全掃描結(jié)果，并進(jìn)一步確定系統(tǒng)加固的需求（主要考慮承載于系）；）：利用定制腳本進(jìn)行加固。編寫并提交系統(tǒng)加固報告。某些安全漏洞的修復(fù)可能并不困難（所以有經(jīng)驗的用戶完全可以自己實(shí)施安全修復(fù)），但經(jīng)驗不夠豐富的用戶很難全面解決系統(tǒng)的安全問題，因為一個系統(tǒng)的危險性在于系統(tǒng)中最薄弱的地方，有可能用戶采取了不少安全措施，卻仍然不全面、不徹底。因此，全面實(shí)施安全加固，真正徹底解決系統(tǒng)安全漏洞是完善整個安全體系的重要步驟。《上年度信息安全聯(lián)合檢查整改》《上年度信息安全風(fēng)險評估不可接受風(fēng)險整改》《主機(jī)安全加固報告》《數(shù)據(jù)庫安全加固報告》《網(wǎng)絡(luò)設(shè)備安全加固報告》《應(yīng)用程序解決方案》《網(wǎng)絡(luò)安全架構(gòu)解決方案》結(jié)合高校信息安全管理現(xiàn)狀，查找現(xiàn)有信息安全管理制度與聯(lián)合檢查要求之間的差距，配合建立與完善信息安全制度，落實(shí)信息安全制度執(zhí)行記錄，保證信息安全管理體系運(yùn)行的服務(wù)內(nèi)容調(diào)研分析客戶信息安全管理現(xiàn)狀，參考行業(yè)客戶信息安全管理經(jīng)驗查找現(xiàn)有信息安全管理制度與聯(lián)合檢查要求之間的差距，建立和完善2015年度聯(lián)合檢查工作所要求的信息安全管理體系，協(xié)助落實(shí)執(zhí)行記錄。）：4)信息系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)維、廢棄等環(huán)節(jié)的信息安全制度；依據(jù)《評分標(biāo)準(zhǔn)》配合客戶開展安全防護(hù)措施合規(guī)檢查，檢查現(xiàn)信息系統(tǒng)中安全防范措施的落實(shí)情況，對不符合檢查要求的現(xiàn)狀和措施進(jìn)行優(yōu)化和整改，查漏補(bǔ)缺使得安全防護(hù)措按照《2016年市黨政機(jī)關(guān)信息安全聯(lián)合檢查工作方案》和《2016年市黨政機(jī)關(guān)信息安全聯(lián)合檢查現(xiàn)場抽查表及評分標(biāo)準(zhǔn)》配合客戶（包括下屬單位）開展自查工作，真實(shí)詳盡了使得安全防護(hù)措施落到實(shí)處。1)檢查確保內(nèi)網(wǎng)電腦安裝了防病毒系統(tǒng)，病毒代碼及時更新；2)檢查確保已記錄網(wǎng)絡(luò)訪問日志，訪問日志可追溯到檢查日期前60天，且訪問日志）；3)檢查確保所有向互聯(lián)網(wǎng)發(fā)布的應(yīng)用系統(tǒng)已受網(wǎng)頁防篡改工具保護(hù)，且具備網(wǎng)站自動恢復(fù)功能;4)對互聯(lián)網(wǎng)發(fā)布的網(wǎng)站進(jìn)行安全測評，出具《網(wǎng)站安全5)協(xié)助對2016年網(wǎng)站應(yīng)用層掃描發(fā)現(xiàn)的中高風(fēng)險全部完成整改；6)編制整理信息發(fā)布審批制度及相關(guān)記錄；7)確保非涉密計算機(jī)及外網(wǎng)計算機(jī)無存儲、處理、傳輸涉密信息的痕跡；8)編制單位在使用的計算機(jī)資產(chǎn)的統(tǒng)計信息表，包含：d)計算機(jī)使用人或責(zé)任人；g)服務(wù)器的內(nèi)外網(wǎng)對應(yīng)。9)確保單位開辦交互式欄目的信息系統(tǒng)具備關(guān)鍵字過濾措施及有害信息的處理措施；11)對用戶使用的外包開發(fā)軟件進(jìn)行安全檢測；12)對用戶網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行科學(xué)、合理的安全域設(shè)計和劃分；13)對用戶網(wǎng)絡(luò)各安全域進(jìn)行科學(xué)、合理的定性定級，編制各安全域的安全防護(hù)設(shè)計方14)協(xié)助用戶保密部門，對涉密計算機(jī)和涉密存儲介質(zhì)進(jìn)行檢查，檢查內(nèi)容包外聯(lián)、物理隔離、移動存儲介質(zhì)的混用、密件處理、監(jiān)控軟件狀態(tài)等；15)協(xié)助完成用戶所有網(wǎng)站在公安網(wǎng)監(jiān)部門和運(yùn)營商的備案，并取得國際聯(lián)網(wǎng)備案登記16)檢查用戶單位信息系統(tǒng)現(xiàn)有安全防范技術(shù)措施的有效性，提供優(yōu)化建議。網(wǎng)站系統(tǒng)中存在的技術(shù)與管理上的脆弱點(diǎn)，從而針對性實(shí)施安全整改。隨著應(yīng)用的日益廣泛及其中蘊(yùn)藏價值的不斷提升，引發(fā)了黑客的攻擊熱潮，如網(wǎng)站內(nèi)容被篡改、頁面被植入木馬、網(wǎng)站機(jī)密信息被竊取等安全事件的反復(fù)發(fā)生，給政府形象、信息網(wǎng)絡(luò)甚至核心業(yè)務(wù)造成嚴(yán)重的破壞。絡(luò)系統(tǒng)、安全管理等方面進(jìn)行全面的安全檢測，幫助用戶了解網(wǎng)站系統(tǒng)存在的安全隱患，為改善并提高網(wǎng)站的安全性提供保障。信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計是否安全合理；網(wǎng)絡(luò)設(shè)備、安全設(shè)備配置是否安全、有效；2)主機(jī)系統(tǒng)層安全（針對操作系統(tǒng)、數(shù)據(jù)庫）是否能對主機(jī)系統(tǒng)用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段；后臺維護(hù)人員的權(quán)限是否是最小授權(quán)；后臺維護(hù)人員的邏輯訪問路徑是否可信；入侵防范措施、惡意代碼防范是否充分有效；主機(jī)系統(tǒng)資源使用是否可控。3)應(yīng)用層安全（針對網(wǎng)站系統(tǒng)）是否能對應(yīng)用軟件用戶設(shè)置恰當(dāng)?shù)纳矸蓁b別手段；用戶訪問權(quán)限是否是最小授權(quán)；是否能保證通信過程中的完整性、保密性；是否存在代碼安全缺陷。4)數(shù)據(jù)安全數(shù)據(jù)是否備份并進(jìn)行恢復(fù)測試安全掃描服務(wù)遵循“發(fā)現(xiàn)－掃描－定性－修復(fù)－審核”弱點(diǎn)全面評估法則，借助“榕基網(wǎng)絡(luò)隱患掃描系統(tǒng)”快速發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)，準(zhǔn)確識別資產(chǎn)屬性、全面掃描安全漏洞，清晰定性安全風(fēng)險，給出修復(fù)建議和預(yù)防措施，并對風(fēng)險控制策略進(jìn)行有效審核，從而在弱點(diǎn)全面評估的基礎(chǔ)上實(shí)現(xiàn)安全自主掌控。風(fēng)險管理為基礎(chǔ),支持各類應(yīng)用程序的掃描。2)漏洞檢測：提供有豐富的策略包，針對各種應(yīng)用系統(tǒng)以及各種典型的應(yīng)用漏洞進(jìn)行檢測（如注入、注入、注入、注入、跨站腳本、代碼注入、表單繞過、弱口令、敏對網(wǎng)頁木馬傳播的病毒類型做出準(zhǔn)確剖析和網(wǎng)頁木馬宿主做出精確定位。如弱口令、弱配置等。5)滲透測試：通過當(dāng)前弱點(diǎn)，模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對目標(biāo)應(yīng)用的安全性做出深入分析，并實(shí)施無害攻擊，取得系統(tǒng)安全威脅的直接證據(jù)。對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包進(jìn)行檢測，發(fā)現(xiàn)惡意代發(fā)現(xiàn)和防止不當(dāng)操作、越權(quán)操作；網(wǎng)絡(luò)環(huán)境趨于復(fù)雜，致使需要尋找新的安全解決方案來滿足除了抵擋外部攻擊以外的安全需求。以往，網(wǎng)絡(luò)攻擊手段基本停留在第三層的網(wǎng)絡(luò)層，而隨著2.0時代的到來，大量的應(yīng)用程序都建立在了和等協(xié)議之上，傳統(tǒng)的防火墻對應(yīng)用層望塵莫及。基于網(wǎng)絡(luò)層的操作就意味著傳統(tǒng)防火墻只能根據(jù)與數(shù)據(jù)包源地址和目標(biāo)地址有關(guān)的信息來檢測流量，但是對于上述的和流量卻是無能為力。雖然現(xiàn)在有針對應(yīng)用層的設(shè)備，但是卻無法識別具體的應(yīng)用，達(dá)不到目前用戶所需的精細(xì)力度的應(yīng)用層控制，因而也無法對特定應(yīng)用進(jìn)行防護(hù)，需要配置兼容傳統(tǒng)防火墻和抵御新網(wǎng)絡(luò)環(huán)境下威脅的下一代防火墻。標(biāo)準(zhǔn)從安全功能、安全保證、環(huán)境適應(yīng)性和性能四個方面，對第二代防火墻提出了新的要求，應(yīng)用層控制、攻擊防護(hù)、信息泄漏防護(hù)、惡意代碼防護(hù)和入侵防御是此次定義的第二代防火墻的幾大功能支持深度應(yīng)用識別技術(shù)，可根據(jù)協(xié)議特征、行為特征及關(guān)聯(lián)分析等，準(zhǔn)確識別數(shù)千種網(wǎng)絡(luò)應(yīng)用，可支持加密流量的應(yīng)用識別木馬、蠕蟲、間諜軟件、漏洞攻擊、逃逸攻擊等安全威脅，為內(nèi)網(wǎng)提供L27層網(wǎng)絡(luò)安全防護(hù)支持多鏈路條件下的智能鏈路負(fù)載均衡功能，實(shí)現(xiàn)防火墻全功能虛擬化，滿足多樣化的根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（）發(fā)布的《2015年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢報告》數(shù)據(jù)顯示，截至2015年12月底，中國網(wǎng)站總量規(guī)模為364.7萬個，網(wǎng)民規(guī)模大6.49億，手機(jī)網(wǎng)民規(guī)模5.57億，互聯(lián)網(wǎng)普及率達(dá)到49%。但是人們在享受互聯(lián)網(wǎng)帶來的巨大便利的同時，時國家監(jiān)管單位的安全監(jiān)管要求，如公安部82號、信息安全等級保護(hù)，需要健全自身信息安全保障體系具備五大核心功能：用戶多樣化認(rèn)證、網(wǎng)絡(luò)訪問控制、應(yīng)用控制、網(wǎng)絡(luò)流量管理及日志1、本地認(rèn)證、微信、短信、第三方外部服務(wù)器的身份認(rèn)證，實(shí)現(xiàn)差異化管理，有效管控?zé)o線，有線網(wǎng)絡(luò)接入控制3、對數(shù)據(jù)包的深度檢測功能，對網(wǎng)絡(luò)流量能準(zhǔn)確的按協(xié)議、應(yīng)用識別，精準(zhǔn)控制用戶行為，規(guī)范用戶的上網(wǎng)行為4、基于單個服務(wù)、服務(wù)組、多服務(wù)、應(yīng)用的任意組合等進(jìn)行帶寬控制和流量阻斷，實(shí)現(xiàn)帶寬的有效使用5、完善的日志審計與報表功能，實(shí)時統(tǒng)計出當(dāng)前網(wǎng)絡(luò)中的各種報文流量，進(jìn)行綜合流量分析，對符合行為策略的事件實(shí)時告警并記錄，滿足管理和國家監(jiān)管要求政策法規(guī)1、根據(jù)國家相關(guān)法律的規(guī)定，在外部網(wǎng)絡(luò)上發(fā)布淫穢信息與及迷信、反動、分裂等言論均為違法行為，如有濫用單位網(wǎng)絡(luò)進(jìn)行了上述行為，將把單位拖進(jìn)復(fù)雜的、難以脫身的法有互聯(lián)網(wǎng)單位均要安裝網(wǎng)絡(luò)安全審計系統(tǒng)2、信息安全等級保護(hù)是我國信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級保護(hù)工作，目的是要解決我國信息安全面臨的威脅和存在的主要問題，而等級保護(hù)包含5個方面的建設(shè)，物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全。而其中的網(wǎng)絡(luò)安全與主機(jī)安全，就可以通過建設(shè)網(wǎng)絡(luò)安全審計系統(tǒng)來實(shí)現(xiàn)3、加強(qiáng)上網(wǎng)機(jī)構(gòu)內(nèi)外部網(wǎng)絡(luò)信息控制監(jiān)管的同時，為避免相關(guān)信息外泄及事后的追溯取證需提供了有效的技術(shù)支撐，能夠詳實(shí)記錄網(wǎng)絡(luò)內(nèi)的各種網(wǎng)絡(luò)活動1、能夠全面詳實(shí)地記錄網(wǎng)絡(luò)內(nèi)流經(jīng)監(jiān)聽出口的各種網(wǎng)絡(luò)行為2、針對互聯(lián)網(wǎng)上流行的可還原協(xié)議，任天行系統(tǒng)能夠在記錄網(wǎng)絡(luò)內(nèi)流經(jīng)監(jiān)聽出口的各種網(wǎng)絡(luò)行為產(chǎn)生的具體內(nèi)容3、提供自定義危險行為和內(nèi)容報警行為4、根據(jù)歷史上網(wǎng)日志數(shù)據(jù)統(tǒng)計產(chǎn)生豐富詳細(xì)的報表5、采用通過5實(shí)現(xiàn)數(shù)據(jù)保護(hù)，快速日志查詢1、支持審計藏、維、日、韓、泰等特殊語種；滿足國家監(jiān)管部門和信息安全等級保護(hù)建設(shè)需求，政治合規(guī)性。2、內(nèi)網(wǎng)無線、有線網(wǎng)絡(luò)環(huán)境下的行為審計，網(wǎng)絡(luò)審計根據(jù)國家有關(guān)法規(guī)規(guī)定保存至少60天，以