方案背景
随着我国学校信息化建设的逐步深入,学校教务工作对信息系统依赖的程度越来越高;教育信息化建设中大量的信息资源,成为学校成熟的业务展示和应用平台,在未来的教育信息化规划中占有非常重要的地位。从安全性上分析,高校业务应用和网络系统日益复杂,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著,信息化安全是业务应用发展需要关注的核心和重点。

为贯彻落实国家信息安全等级保护制度,规范和指导全国教育信息安全等级保护工作,国家教委教办厅函[2009]80文件发出“关于开展信息系统安全等级保护工作的通知”;教育部教育管理信息中心发布《教育信息系统安全等级保护工作方案》(征求意见稿);教育部办公厅《印发关于开展教育系统信息安全等级保护工作专项检查的通知》(教办厅函〔2010〕80号)。

高校等级保护解决方案
根据高校自身系统的特点,结合等级保护相关技术要求和标准规范,提出以下解决方案:
 

本方案的安全措施框架是依据“积极防御、综合防范”的方针,以及“管理与技术并重”的原则,并结合等级保护基本要求进行设计。
1)技术体系:
·网络层面:关注安全域划分、访问控制、抗拒绝服务攻击,针对区域边界采取防火墙进行隔离,并在隔离后的各个安全区域边界执行严格的访问控制,防止非法访问;利用漏洞管理系统、网络安全审计等网络安全产品,为客户构建严密、专业的网络安全保障体系。
·应用层面:WEB应用防火墙能够对WEB应用漏洞进行预先扫描,同时具备对SQL注入、跨站脚本等通过应用层的入侵动作实时阻断,并结合网页防篡改子系统,真正达到双重层面的“网页防篡改”效果。
·数据层面,数据库将被隐藏在安全区域,同时通过天融信专业的安全加固服务对数据库进行安全评估和配置,对数据库的访问权限进行严格设定,最大限度保证数据库安全。同时,利用SAN、远程数据备份系统有效保护重要数据信息的健康度。

2)管理体系:
·在安全管理体系的设计中,我们借助丰富的安全咨询经验和对等级保护管理要求的清晰理解,为用户量身定做符合实际的、可操作的安全管理体系。

3)安全服务体系:
·风险评估服务:评估和分析在网络上存在的安全技术分析,分析业务运作和管理方面存在的安全缺陷,调查系统现有的安全控制措施,评价用户的业务安全风险承担能力;
·安全监控服务:通过资深的安全专家对各种安全事件的日志、记录实时监控与分析,发现各种潜在的危险,并提供及时的修补和防御措施建议;
·渗透测试服务:利用网络安全扫描器、专用安全测试工具和专业的安全工程师的人工经验对网络中的核心服务器及重要的网络设备进行非破坏性质的模拟黑客攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户;
·应急响应服务:针对信息系统危机状况的紧急响应、分析、解决问题的服务,当信息系统发生意外的突发安全事件时,可以提供紧急的救援措施。

方案收益
实施信息安全等级保护建设工作可以为高校信息化建设实现如下收益:
·有利于提高信息和信息系统安全建设的整体水平;
·有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设协调发展;
·有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;
·有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障重要信息系统的安全;
·有利于明确信息安全责任,加强信息安全管理;
·有利于推动信息安全的发展。