资源描述
高校网络与信息安全保障体系的思考,电子科技大学信息中心2015.11.26,提纲,政策解读等保定级备案安全检查我校的信息安全建设工作,政策解读,教育部文件,政策解读,定级依据定级思路定级工作流程,信息系统分类表,政策及要求,政策及要求,政策解读,所有高校信息系统都是二级以上I类院校的重点系统定为三级:科研管理、科研情报招生录取管理门户网站、论坛、社区类网站校园一卡通,根据定级工作指南:,政策解读,列表里的信息系统都要备案?二级域名的网站怎么算?二级系统一定要做测评?备案测评要多少钱?等保工作有没有时间节点要求?,几点疑问:,等保定级备案,步骤:定级备案整改测评监督检查定级方式:自主定级,自行聘请专家进行评审,主管部门审核批准定级依据:教育行业信息系统安全等级保护定级工作指南(试行)备案方式:二级以上系统到市级以上公安机关办理备案手续,三级以上信息系统同时报教育部备案,等保定级备案,备案提交材料:信息系统安全等级保护定级报告和信息系统安全等级保护备案表,下载链接:,等保定级备案,电子科技大学2015年6月25日完成3个二级系统的备案:电子科技大学中文门户网站电子科技大学本科招生网电子科技大学研究生招生网,等保定级备案,电子科技大学备案情况:3个二级系统:电子科技大学中文门户网站电子科技大学本科招生网电子科技大学研究生招生网,等保定级备案,1.时间节点的要求(教技厅函201568号):部属高校应于2016年6月30日前完成公安机关定级备案部属高校应于2016年12月31日前完成测评整改科技司将结合年度网络安全检查,对各部属单位信息系统安全等级保护工作情况进行现场抽查,等保定级备案,2.测评经费的需求二级系统每两年一次测评三级系统每年至少一次测评区域指导价(经济越发达地区,价格越贵)没有上级专项经费支持测评之后,还要花钱整改,安全检查,2015.5.27省公安厅网安总队到电子科技大学进行安全检查。检查内容依据川公发【2014】75号,针对四个方向:互联网站重要信息系统学校公共上网服务场所内部联网系统,安全检查,2014年9月22日川公发【2014】75号四川省公安教育联合发文“关于进一步加强学校网络和信息安全保护工作的通知”互联网站重要信息系统学校公共上网服务场所内部联网系统,(1)定级备案(2)安全审计日志(3)制度建设(4)安全防护措施建设,安全检查,互联网站一级网站(主页门户)双备案:工信部ICP备案和公安厅等保备案审计日志留存情况(访问日志)网站是否有交互式论坛、留言板等内容审查安全防护:网页防篡改系统iGuard,Web应用入侵审计系统iAudit,网站应用防火墙iWall,Fail2ban防火墙,(1)定级备案(2)安全审计日志(3)制度建设(4)安全防护措施建设,安全检查,互联网站二级网站:校内登记二级域名305个,其中有效域名约240个部门/院系/实验室等网站:向信息中心申请二级域名,部门/院系自行开发、管理、维护网站及服务器其中部分网站基于信息中心的虚拟主机平台或托管在信息中心机房;部分职能部门网站基于信息中心的网站群平台开发由信息中心提供技术支持和统一维护;,(1)定级备案(2)安全审计日志(3)制度建设(4)安全防护措施建设,安全检查,互联网站二级网站安全防护2013年Web应用防火墙(安恒明御WAF)上线,保障清水河校区托管服务机房的Web应用(30个网站)防病毒:主要采用第三方免费软件防入侵:无统一措施防攻击破坏:双机热备或数据备份等机制重灾区网站群?,(1)定级备案(2)安全审计日志(3)制度建设(4)安全防护措施建设,安全检查,2014年9月22日川公发【2014】75号四川省公安教育联合发文“关于进一步加强学校网络和信息安全保护工作的通知”互联网站重要信息系统学校公共上网服务场所内部联网系统,(1)定级备案(2)安全审计日志(3)制度建设(4)安全防护措施建设,安全检查,重要信息系统是否定级是否备案:公安厅等保备案审计日志留存情况(访问日志)系统用户是否实名制认证,(1)定级备案(2)安全审计日志(3)制度建设(4)安全防护措施建设,安全检查,重要信息系统校内重要信息系统由相关主管部门负责建设开发和运行维护,服务器放置于信息中心机房统一管理(财务系统除外)信息门户、一卡通、本科教务系统、学工系统、人事系统的数据库由信息中心统一管理,采用RAC双机集群、dataguard容灾部署,每周全量备份、每天增量备份到存储阵列和磁带库;,政策及要求,(1)实名认证(2)安全审计设备(3)日志记录,尤其是源端口号,安全检查,(1)定级备案(2)安全审计日志(3)制度建设(4)安全防护措施建设,安全检查,内部联网系统和重要信息系统的要求一致备案:公安厅等保备案审计日志留存情况(访问日志)系统用户是否实名制认证,(1)定级备案(2)安全审计日志(3)制度建设(4)安全防护措施建设,我校的信息安全建设工作,制度建设安全防护措施建设十三五规划,制度建设,1.网络安全组织管理主管领导校长/副校长管理机构网络信息安全领导小组信息中心网络安全员专职or兼职?,制度建设,2.规章制度管理网络信息服务管理办法所有网络信息服务必须进行审批和备案安全责任人为所在单位第一责任人违反规定后的处分,制度建设,安全目标责任书网络与信息安全保密协议安全联络员新建域名申请流程信息系统和网站上线流程,制度建设,2.规章制度管理应急流程与应急预案安全事件响应如何保证30分钟内断网?3秒断网?如何线索查证?,应急响应流程,制度建设,数据中心其他制度保障数据中心网络安全管理手册数据中心服务器安全管理手册数据中心日常检查制度机房设备管理维护制度数据中心应急预案数据中心值班制度数据中心机房出入管理制度托管服务器管理制度数据库存储备份管理制度小型机管理制度,安全防护措施建设,数据中心安全防护2010年防火墙(思科ASA5550)上线,透明旁路双机部署,保障核心应用服务安全;2010年VPN设备(思科ASA5520)上线,结合防火墙策略实现远程维护管理;2013年统一身份认证与各应用系统的安全登录SSL证书加密升级;2013年数据库审计设备(SecureGrid)和网站安全应用防火墙(安恒明御WAF)上线2014年万兆防火墙(JuniperSRX3600)上线,路由模式集群部署,保障所有数据中心网段安全;2014年安全应用防火墙(山石网科M7360)上线,串行部署,保障沙河校区数据中心服务器以及高性能计算机房安全;2014年网站安全监控平台(知道创宇WebSoc)上线,实现155个校内域名统一监控,“十三五”安全规划,谢谢大家,
展开阅读全文