智慧校园安全防护解决方案模板.docx

资源描述

高校信息化安全防护处理方案 11月 1 高校信息化现实状况 4 1.1 信息化存在问题和分析 4 1.1.1 缺乏统一开放支撑平台，多厂商共建造成过程风险 5 1.1.2 校级步骤管控缺失，各处室割离建设造成步骤杂乱 5 1.1.3 步骤杂乱及数据质量监控缺失造成数据质量低下 6 1.1.4 高校普遍网站安全防护力度不够安全漏洞未立即更新 6 1.1.5 高校数据中心安全危机和运维管控难度加大 6 1.1.6 私有云建设，带来便利同时面临着新挑战 7 2 信息化问题处理思绪 8 2.1 信息化云-管-端整体布局 8 2.2 信息化云数据中心安全防护 9 2.3 运行生态体系—信息高可用性 11 2.4 构建一套高可用性、安全性信息化系统体系 12 3 高校信息化需要建设内容 12 3.1 信息化系统建设内容 12 3.1.1 基础支撑平台 12 3.2 信息化数据中心安全建设内容 18 3.2.1 数据中心业务生产区安全 19 3.2.2 数据中心运维管理区 21 3.3 信息化系统管端安全建设内容 22 3.3.1 安全设计 22 3.3.2 安全布署 23 4 高校信息化系统安全服务需求 24 4.1 风险评定机制 24 4.2 等级保护定级立案帮助 30 4.3 信息系统加固修复 31 4.4 信息安全制度自查和优化 32 4.5 安全防护方法自查和优化 33 4.6 门户网站安全测评及安全整改 35 5 提议增加安全设备/服务 37 6 相关产品介绍 38 6.1 下一代防火墙 38 6.1.1 下一代防火墙配置背景 38 6.1.2 下一代防火墙实现功效 39 6.1.3 下一代防火墙效果 39 6.2 上网行为管理 40 6.2.1 上网行为管理配置背景 40 6.2.2 上网行为管理功效 40 6.2.3 上网行为管理实现效果 41 6.3 网络安全审计系统 41 6.3.1 网络安全审计系统配置背景 41 6.3.2 网络安全审计系统实现功效 42 6.3.3 网络安全审计系统实现效果 43 6.4 云运维审计系统（堡垒机） 43 6.4.1 云运维审计系统配置背景 43 6.4.2 云运维审计系统功效 44 6.4.3 云运维审计系统实现效果 45 6.5 Web应用防火墙和网站监控平台 45 6.5.1 Web应用防火墙和网站监控平台配置背景 45 6.5.2 Web应用防火墙和网站监控平台实现功效 45 6.5.3 Web应用防火墙和网站监控平台实现效果 47 1 高校信息化现实状况现在，高校经过这几年加大对信息化建设，已经实现全校网络覆盖，安全防护能力业已达成“二级”合格标准。管理信息系统如门户网站、OA系统、招生系统、教务系统、财务系统、金龙卡、教学资源系统、教学质量监控系统、图书管理系统和各部门自主购置一系列应用系统等等，能够说这些应用系统基础上覆盖了大部分校园信息化所含有管理系统。学校中心机房有在用服务器，存放设备数套，分属各处室、分院及图书馆，各自运行、存放独立管理系统及数字资源。信息化建设已经基础覆盖校内大部分管理信息化领域，数字校园建设初具规模。目前已建这些应用系统，基础能够处理高校在行政办公管理、教务管理、学工管理和科研管理等范围内结果性数据维护需求。在方便了各业务部门进行业务处理同时，也积累了不一样业务、不一样阶段各类数据。而这些数据沉淀，作为我校在“十二五”期间，信息化建设关键结果，为下一阶段数据决议和分析提供有效依据和支撑。事实证实，高校经过在“十二五”期间信息化建设，在完成各类结果数据沉淀同时，为各级各类型业务部门利用信息技术和手段开展业务办理，提供了有效应用环境。在业务办理过程中，因为有了基于独立面向单体业务开发各类业务应用系统，办理效率在大幅提升，为高校整体运行层面大大降低了因为人工方法带来运行成本。面向学生，也能够利用信息化手段为她们提供基于某个业务场景业务服务。不可否认是，高校经过“十二五”期间展开信息化建设，在确保原有业务开展质量同时，较大幅度提升了业务管理水平和效率。尽管如此，在信息化建设道路上仍然有很多空间需要提升。伴随信息化建设推进，云计算技术不停成熟和在高校领域不停渗透云计算经过将数据统一存放在云计算服务器中，加强对关键数据集中管控，比传统分布在大量终端上数据行为更安全。因为数据集中，使得安全审计、安全评定、安全运维等行为愈加简单易行，同时更轻易实现系统容错、高可用性和冗余及灾备恢复。但云计算在带来方便快捷同时也带来新挑战 1.1 信息化存在问题和分析我们不得不深入发觉，从高校整体信息化建设过程、应用过程和后期维护过程中，仍然存在问题有些问题直接影响了高校后续信息化建设节奏和效果。这些问题关键集中在以下多个方面： 1.1.1 缺乏统一开放支撑平台，多厂商共建造成过程风险高校在“十二五”期间建设信息化系统众多。其间包含门户网站、OA系统、招生系统、教务系统、财务系统、金龙卡、教学资源系统、教学质量监控系统、图书管理系统和各部门自主购置一系列应用系统等等。信息化建设过程中，多个厂商参与共建，而建设内容全部是以业务部门需求为关键单体业务系统，现在是普遍高校信息化建设现实状况。学校信息化建设在设计早期，全部在强调顶层计划。应该讲，这么一张蓝图是指导学校后续信息化逐步推进标准。但在实际过程中，因为不一样厂商参与建设学校信息化，就会出现实际建设路径和最初设计蓝图不一致情况。归结原因关键有以下两点：其一，不一样厂商采取不一样技术架构开发设计，过程相对封闭。而学校信息化一旦需要从单体系统向一体化转型时，就会带来因为封闭技术架构带来冲突，使整合难度加大，对学校而言建设安全风险增加。其二，建设边界相对模糊，带来学校从单体系统一体化转型过程中，权责难以明确问题。厂商之间相互推诿，撇清责任。这对学校信息化安全建设过程无疑风险巨大。其三，缺乏统一安全身份认证手段，各厂商承建系统对权限管控手段水平不一，在安全性和用户直接使用感受上全部存在问题，师生在使用各信息系统时往往见面对多种账号，在用户体验上大打折扣。 1.1.2 校级步骤管控缺失，各处室割离建设造成步骤杂乱目前大部分高校在信息化建设过程中，各个部门和二级学院计划和建设，全部是各自为政，建设自己管理信息系统或应用软件，这些软件系统起源于不一样部门采购，软件产品分属于不一样生产商。这种情况表现在应用过程中功效重合、数据格式多样性和系统之间无关联性。所谓“信息孤岛”就由此产生，信息孤岛产生使信息资源利用率大打折扣，各系统难于共享信息。由不一样软件供给商提供建设各个业务系统建设覆盖面较窄，且中间包含到和该业务部门相关大量业务步骤。这些业务步骤长短不一，其应用场景也相对固定。校级业务步骤现在在中国大部分高校信息化建设过程中全部相对缺失。带来这个问题关键原因是因为单体业务系统人为割裂建设相关。业务部门是这些业务系统建设需求提出单位，她们所关注仅仅是这个业务部门在某个业务场景中步骤需要。她们并不会过多关注校级层面步骤和自己部门业务步骤关联到底有哪些。同时，就是针对自己部门内部业务步骤，每步骤节点实施人、实施时间、实施耗时、实施效果、实施评价等这些信息也是一无所知，这也就带来了目前大部分高校在进行信息化建设过程中校级步骤缺失。 1.1.3 步骤杂乱及数据质量监控缺失造成数据质量低下高校现在构建这些业务应用系统，从单体系统使用情况看，仍然存在“建多，用少”情况。对业务系统而言，在应用步骤缺失，直接影响对应业务数据沉淀，更不用提到所谓数据质量问题。这是影响数据质量不高原因之一。另外，学校对于数据质量监控，包含数据交换过程监控、代码标准监控缺失，也造成数据质量低下，实为原因之二。 1.1.4 高校普遍网站安全防护力度不够安全漏洞未立即更新伴随教育行业信息化快速发展和网络信息技术普及应用，网络安全方面临威胁越来越严峻。很多高校网站或信息系统存在跨站脚本、SQL注入和后台管理弱口令等高危漏洞，部分网站已经被植入木马。部分即使配置了安全防护设备，但疏于管理，实效性较差，安全防护效果不显著。总体来看，教育行业网络和信息安全形势严峻，立即查补信息安全漏洞，主动采取应对方法 1.1.5 高校数据中心安全危机和运维管控难度加大伴随教育信息化建设逐步深入，教务工作对信息系统依靠程度越来越高，数据服务器成为了高校关键组成内容，积聚越来越多信息资源。近几年网上黑客攻击，修改考试成绩，骗取认证证书等事件屡有发生，教育系统已经逐步成为黑客关注关键目标，高校数据中心安全保障工作已经迫在眉睫。教育系统信息泄露安全风险分析 1、来自互联网风险教育行业网站系统中括学校院系门户、教学管理系统、网上课程、数字图书馆、网上办公等，为高校师生们提供各式各样网络服务。而且全部和上级教育部门进行多项联络，教育系统网络假如和Internet公网直接或间接互联，那么因为互联网本身广泛性、自由性等特点，像高校这么教育行业单位自然会被恶意入侵者列入其攻击目标前列。需要对数据库安全进行权限控制和加密方法 2、来自运维管理安全风险伴随信息教育行业信息化建设进程，因为设备和服务器众多，尤其是建设有数据中心，云平台和虚拟机众多，系统管理员压力太大等原因，越权访问、误操作、滥用、恶意破坏等情况时有发生，这严重影响教务工作运行效能，并对学校声誉造成重大影响。另外黑客恶意访问也有可能获取系统权限，闯进部门内部网络，造成不可估量损失。怎样提升系统运维管理水平，跟踪服务器上用户操作行为，预防黑客入侵和破坏，提供控制和审计依据，降低运维成本，满足相关标准要求，越来越成为高校关心问题。 1.1.6 私有云建设，带来便利同时面临着新挑战高校现在数据量和应用规模越来越大，大部分高校建设或考虑建设自己私有云以满足未来越来越大数据规模。从风险管理角度讲，云风险起源于管理资产、威胁、脆弱性和防护方法及其相关关系，保障云计算平台连续安全，和其所支撑业务安全。云计算平台是在传统IT技术基础上，增加了一个虚拟化层，而且含有了资源池化、按需分配，弹性调配，高可靠等特点。所以，传统安全威胁种类仍然存在，传统安全防护方案仍然能够发挥一定作用。综合考虑云计算所带来改变、风险，从保障系统整体安全出发，其面临关键挑战和需求以下： Ø 法律和合规 Ø 动态、虚拟化网络边界安全 Ø 虚拟化安全 Ø 流量可视化 Ø 数据保密和防泄露 Ø 安全运维和管理针对云计算所面临安全威胁及来自各方面安全需求，需要对科学设计云计算平台安全防护架构，选择安全方法，并进行连续管理，满足云计算平台全生命周期安全。信息化问题处理思绪 2 信息化问题处理思绪 2.1 信息化云-管-端整体布局图 2.11整体技术架构如上图所述，高校需要建设一个完整开放式私有云IT生态体系，实际上是包含了从开发生态、运行生态、应用服务生态到运行生态全生命周期建设过程，并最终以服务方法向最终用户进行业务展现。每个阶段建设思绪和模式全部对整体信息化建设起着至关关键影响。开发生态：经过组件化开发平台，形成应用和组件，应用和组件挂载到校园服务总线，可为校内应用服务池和业务应用管理服务平台调用。并将其经过资源库方法积累为行业资源库，为以后资源复用提供贮备。同时开发平台能够对外部第三方应用进行服务化封装，一样形成新应用或组件，挂载到校园服务总线。基于组件化开发平台可视化开发过程，校内广大师生和社会人士也能够经过该工具完成简单应用服务开发，并经过公布工具公布到校内，增强信息化建设整体参与面广度和深度。运行生态：以校园服务总线、应用管理服务平台和包含主数据管理、身份认证管理、统一通讯、移动支撑平台等在内公共应用组件，为学校提供统一、高交互性、高开放性服务应用运行环境。其提供服务全部是经过校园服务总线进行统一公布服务，经过业务应用管理服务平台将其编排成符合学校需要业务逻辑，提供给用户使用。校园服务总线负责整个学校信息化建设各个平台间服务交互和信息传输，经过服务治理工具管理服务运行，经过基于校园服务总线服务集成工具完成服务集成和交互，经过服务标准管理工具保障各服务间调用规范性。被服务调度总线封装，除了组件化开发平台提供给用和组件外，还包含校内很多基础应用组件，如主数据管理、统一身份认证、统一支付等，全部以服务方法在服务调度平台上进行挂载，并借由服务调度平台完成同其它平台集成。应用服务生态：改变原有行政化、管理化信息系统使用模式，以类互联网模式，形成校内应用超市，包含校内师生综合服务平台和校外服务应用池，有效接入，实现应用服务动态分配和按需使用。并对服务使用进行全方面监控和管理，对业务过程和服务质量做到有效评定。 2.2 信息化云数据中心安全防护云计算平台安全保障技术体系不一样于传统系统，它也必需实现和提供资源弹性、按需分配、全程自动化能力，不仅仅为云平台提供安全服务，还必需为租户提供安全服务，所以需要在传统安全技术架构基础上，实现安全资源抽象化、池化，提供弹性、按需和自动化布署能力。充足考虑云计算特点和优势，和最新安全防护技术发展情况，为了达成提供资源弹性、按需分配安全能力，云平台安全技术实现架构设计以下：说明： • 安全资源池：能够由传统物理安全防护组件、虚拟化安全防护组件组成，提供基础安全防护能力； • 安全平台：提供对基础安全防护组件注册、调度和安全策略管理。能够设置一个综合安全管理平台，或分立安全管理平台，如安全评定平台、异常流量检测平台等； • 安全服务：提供给云平台租户使用多种安全服务，提供安全策略配置、状态监测、统计分析和报表等功效，是租户管理其安全服务门户经过此技术实现架构，能够实现安全服务/能力按需分配和弹性调度。当然，在进行安全防护方法具体布署时，仍能够采取传统安全域划分方法，明确安全方法布署位置、安全策略和要求，做到有效安全管控。对于安全域划分方法详见第五章。对于具体安全控制方法来讲，通常含有硬件盒子和虚拟化软件两种形式，能够依据云平台实际情况进行布署方案选择。云平台安全防护方法能够和云平台体系架构有机集成在一起，对云平台及云租户提供按需安全能力。 2.3 运行生态体系—信息高可用性经过对高校信息化建设现实状况和问题分析和总结，未来高校信息化建设关键是以面向角色服务为导向建立整体数字化校园开放性生态体系。以优异技术构架为依靠，发明一个高开放度信息化环境，愈加好应对学校内部业务改变和外部信息技术发展趋势带来冲击。构建这么一个生态体系，学校需要从技术架构、建设思绪、建设模式等多个方面进行转变。要做到能够同时满足技术发展需要、学校业务需求、供给商参与诉求，充足利用学校在信息化方面人力和物力投入，构建良性、可连续发展校园信息化生态。围绕行政部门建设信息化思绪和模式。基于开放信息化环境，将校内信息化建设结果和校外互联网应用全部以服务形态进行重新梳理、重新组合，并经过有效管理机制在校内统一应用平台上进行注册、公布，为校内师生提供综合性服务获取通道和高体验度应用服务，大大增加用户黏性和依靠度。基于高使用率综合服务，校内师生不仅能够在综合服务平台上使用服务，还能够对校内服务进行评价和反馈，综合服务平台同时统计下各类用户操作轨迹、用户行为，辅以传统管理业务数据，为各级管理者提供全方面、有效数据分析服务，帮助各级管理者决议分析，优化业务模式。各类需要优化应用，需要有效运行机制保障，在校内建立长久有效化、连续化运行机制，确保校内应用和服务升级和迭代。在运行机制保障下，借助快速建模工具和快速开发平台，让信息中心、建设方和服务提供商全部能够基于完善运行机制参与其中，共同提升校内信息化水平。 2.4 构建一套高可用性、安全性信息化系统体系 Ø 建设一套上网行为管理系统，有效预防互联网有害信息在高校散布和传输，加强对危害国家安全、影响社会稳定、淫秽色情等有害信息预防、监控和管理力度，防范多种破环活动，配合公安部门立即发觉和打击多种网上违法犯罪行为。经过对网络进行有效控制和监管，规范用户正确上网行为，努力创建友好校园。 Ø 确保web应用安全最大化，预防网页内容被篡改，预防网站数据库内容泄露，预防口令被突破，预防系统管理员权限被窃取，预防网站被挂马和植入病毒、恶意代码、间谍软件等，预防用户输入信息泄露，预防账号失窃，防SQL注入，防XSS攻击等。 Ø 因为信息化系统脆弱性、技术复杂性、操作人为原因，在设计以预防、降低或消除潜在风险为目标安全架构时，引入运维管理和操作监控机制以预防、发觉错误或违规事件，对IT风险进行事前防范、事中控制、事后监督和纠正组合管理是十分必需 Ø 立即进行信息化系统安全评定及安全扫描，从而发觉多种系统漏洞，而且依据既定相关策略，采取方法给予填补，消除已暴露问题和可能隐患，加固主机系统、网络设备和架构、WEB应用程序安全漏洞，提升信息系统健壮性，抵御外部多种安全风险和恶意攻击，实现信息系统长久安全、稳定运行最终目标。 3 高校信息化需要建设内容 3.1 信息化系统建设内容 3.1.1 基础支撑平台新建设模式需要新技术体系支持，改良校内现有IT架构是此次项目计划和建设中很关键步骤。基础架构合理性和优异性和开放性决定了我校未来信息化建设成败。经过建立新基础支撑平台，实现对校内各类应用、服务有序接入和管理，综合数据层面、开发层面、应用层面和运维层面，建立统一基础支撑架构，确保信息化建设基础坚实。 3.1.1.1 主数据平台建设高校经过多年信息化建设，已经形成了一套校内信息标准，而且学校现在已经建立了公共数据平台，用于处理各业务系统共享数据交换和集成，同时积累大量业务数据。但伴随信息技术发展和校内业务调整，原有信息标准已经不能满足未来信息化发展需要，现有公共数据平台也无法支撑后期开放架构下数据共享和管理，校内数据质量也存在一定问题。所以，为了达成上文信息化生态整体建设目标，提议对现有公共数据平台进行升级改造，从以下多个层面提升数据平台能力： 1、信息标准实施能力；升级现有信息标准管理系统，首先能够全方面升级学校原有信息标准内容，其次能够加强信息标准实际使用和实施情况管理手段，学校内部主数据库和业务数据库一旦有和信息标准不一样时或不一致情况，系统将立即检验并将差异情况提报给数据平台管理人员，帮助其了解和立即纠正信息标准实施差异，确保信息标准可实施性。 2、共享数据开放能力；现有公共数据平台数据集成和共享完全基于ETL方法进行，ETL作为业内通用和常见成熟技术，在数据交换和共享过程中稳定性和高适用性含有很好优势。但伴随信息架构发展，传统ETL方法缺乏数据共享立即性和灵活性，无法将部分需要快速反馈数据进行有效同时，直接经过数据库进行数据交换路径也缺乏多元数据共享通道和手段，在后期信息化建设过程中，需要提供立即有效、灵活可配数据共享方法，便于后期碎片化服务封装和建设。 3、数据质量治理能力；数据作为信息化建设关键内容，其质量好坏在高校内一直是一个无法量化黑盒，但数据质量好坏直接影响到学校后期数据分析和数据利用有效性，所以需要一套优异管理工具，对学校数据质量进行全方面监控，帮助数据平台管理人员了解校内数据质量，便于其有效推进和提升校内整体数据质量。 4、历史数据积累能力；现有公共数据平台关键作用是确保校内共享数据交换，所以其关键是对现有业务数据同时更新和共享公布，并没有对抽取上来共享业务数据历史数据进行保留，一旦学校业务系统不含有对历史业务数据存档功效，学校大量历史数据便会伴随新业务数据更新而丢失，很大程度上后期学校进行数据分析和数据统计使用。所以此次主数据平台升级建设一样需要对历史业务数据进行详尽保留，以天为单位进行历史数据切片保留，作为学校数据资产积累。基于上述四个层面，高校在后期需要经过建立一个符合教育行业特征高校数主据管理平台。覆盖高校数据层面全生命周期管理。从信息标准、代码标准，到数据共享、交换，直至最终数据质量确保等。将高质量主数据以服务方法提供给校园服务总线，便于上层应用抽取和使用。同时需要提升信息标准实施能力，采取自动化工具对校内信息标准和代码标准进行监控和管理，让标准真正成为标准、提升数据质量管理能力，确保数据价值最大化、提升数据共享集成能力，做到数据实时共享。 3.1.1.1.1 主数据平台建设内容信息标准建设：在进行后期信息化建设之前，需要对校内信息标准和数据质量进行重新梳理和计划，以服务化和开放性视角重新定义校内信息标准，使之含有可扩展性和可连续性。对学校现有信息标准和数据质量进行全方面梳理和优化，使之能够提供符合教育行业标准参考代码标准模式及数据共享和交换需求主数据模式。信息标准关键建设内容以下： 1. 数据清洗和数据质量提升对校内现有业务数据进行全盘分析和检验，找出数据质量隐患和存在问题，对质量不高数据和无效数据进行清洗和优化，确保现有业务数据高质量，为后期进行信息化改造奠定基础。 2. 信息标准升级基于最新国家标准、部标、行标，结合现有校标和校内实际业务情况，充足考虑后期信息化改造需要，将校内信息标准进行重新梳理和升级，使之符合最新技术规范和业务需求。 3. 数据流向计划对校内各业务部门和行政单位数据流向进行重新计划，消除原先数据责任单位不明确现象，并确定校内数据出处权威性。避免出现数据二异性。信息标准管理工具：提供数据标准管理、代码标准管理、数据流向管理、代码检测管理工具。帮助学校有效提升数据质量，强化数据管理能力。元数据管理工具：对主数据和代码标准模型进行维护，提供语义支持，实现对底层模型集中维护和管理，提供对数据分类管理。主数据和业务系统代码表之间映射关系管理，检测元数据和系统数据库之间表、字段和字段属性不一致情况，依据元数据检测情况创建数据库实体对象数据集成平台：提供集成接口支持、数据集成KM库、拓扑管理工具、集成设计工具、集成调度工具等实现数据流向集成。数据共享接口公布工具：经过可自定义数据公布接口，实现统一数据实时、按需共享需求。提供数据共享服务接口新增、删除、修改、授权、接口启停和运行管理。数据备份管理工具：实现构建主数据仓库来保留了代码标准、主数据历史数据，能重现天天数据情况，方便以后时间维度上数据分析工作。运行监控工具：为信息中心运行监控人员提供系统动态，异常情况，数据情况等。以图形化方法，较通俗易懂表现形式来展现系统多种运行和异常情况，而且根据事件关键程度，将最关键信息展现在最醒目标位置。现在包含系统首页、数据集成监控、数据库监控等。 3.1.1.2 身份认证管理平台为了确保校内外应用高效接入和顺畅用户体验，需要建立校级身份认证管理平台，统一管理校内外各类应用及系统登录、访问和相互之间认证。充足确保外部应用访问时数据权限和访问权限细颗粒度控制。同时对校内全部账号进行基于工具化有效监控和管理，确保校内账号和密码安全。 3.1.1.2.1 身份认证管理平台建设内容身份管理：为数字校园提供集成用户身份认证和SSO单点登录服务，并为校园系统提供认证和SSO接口服务，同时包含身份自助服务、账号管理、应用认证管理等。认证服务反向代理：认证服务反向代理服务器，简化第三方接入接入工作。集群布署：包含两台认证服务器、两台LDAP布署。审计管理：为管理员提供立即发觉问题之用，可审计出异常帐号、不合理认证行为和授权行为，用于发觉系统可能存在安全问题和隐患。监控管理：为管理员提供了掌握系统各项服务运行状态功效，可帮助管理员尽早发觉系统运行问题。身份认证：身份认证功效是身份认证管理平台关键基础服务，伴随信息化建设不停深入，目前所采取身份认证方法也逐步增多，平台需要支持多终端认证、第三方帐号绑定、动态登录、扫描登录、免登录、二次登录等多个登录方法。 OAuth开放服务：关键包含OAuth接入应用管理，开放接口管理，开放接口，代理权限插件，用于把学校认证能力开放出去，方便师生访问第三方应用。 3.1.1.3 应用管理平台师生综合服务是校园生态体系建立关键步骤，将分散在各个系统中面向老师、学生服务内容进行重新梳理和归类，经过服务重新定义、封装方法在应用服务管理平台上进行综合展现，面向老师、学生提供覆盖全生命周期、能够不停完善、师生真正关心、有实用价值、便捷信息服务；高校现有信息门户只完成了对校内各类资讯和个人信息数据层面整合，实现了简单信息集成，因为技术架构不足，无法根据学生和老师视角抽取、封装和展现碎片化服务。所以在此次建设计划中，提议根据最新服务体系生态重新构建面向师生综合服务门户系统，同时，提供完整服务前台交互和后台管理功效，支撑服务管理效率和管理水平提升，监控和优化服务质量。愈加好满足学校业务需要和师生服务需要。应用管理平台建设内容以下：应用门户：提供一站式办事大厅服务门户，基础组件包含热门排行、最新推荐，立即开放应用、应用收藏等，支持针对应用服务中心进行多维度查询搜索服务。应用管理中心：作为校内服务应用唯一载体，负责为校内应用提供统一集成、公布、注册、授权和使用平台，对于校内应用提供接入信息维护、下架申请、审核等管理功效应用授权管理：面向应用接入提供用户组管理、应用权限管理。基础应用：通知公告、调查问卷、新闻订阅、在线咨询、个人数据 3.1.1.4 校园服务总线对现有管理系统解构、重组和碎片化会产生后台服务大量调用和集成，除了数据层面数据共享之外，还需要处理校内信息化建设中存在紧耦合、异构性等各类问题，充足利用现有建设结果构建全新高校信息化生态，建立基于高校行业特征校园服务总线。实现从简单“数据集成，门户集成”向“服务集成”模式转变。提供接口标准管理、服务治理、服务交换等全方面底层服务管理平台，为其它基础平台和公共应用组件、上层服务提供总体服务调度和管理。确保校内信息体系可管理性。实现服务管理从离散到集中，含有更可控系统架构，增加信息化资源可管理性、实现技术架构从差异化到标准化，更统一集成方法，降低改造成本、实现建设过程从繁乱到有序，带来更简化建设方法，降低运维难度、实现整体体系从封闭到开放，形成更良性运行环境，增加信息化生态可连续性。校园服务总线建设内容以下：服务集成工具：采取高性能、高可用性商业中间件，处理异构系统集成时相互调用协议、格式不一样转换问题，处理大并发情况下服务负载、服务缓存问题，并实现服务步骤可视化编排，确保服务调用、服务交互时稳定性和安全性。服务注册工具：校园服务总线需要提供接口供开发人员注册服务，仅需提供服务相关元信息及WSDL文件，即可实现注册步骤。而WSDL文件格式基础验证部分需要自动完成，后期将要求服务提供者附加范例代码。其中隶属系统标签则用于服务分组。对于restful形式服务，需要提供具体参数信息或提供对于restful服务输入和输出实例实现注册。服务查看和搜索：对于服务操作及其参数信息，校园服务总线提供页面展示服务具体信息。对于服务搜索，平台会提供服务分类基础模板，系统管理员能够对其进行扩展，第三方可依据服务分类进行搜索。注册状态查看：校园服务总线含有一定开放性，但并不代表全部服务全部可注册上来，所以注册服务过程需要人工审核步骤。而开发人员则可在注册状态查看功效模块查看到已注册服务目前状态（审核经过、未审核、审核中）申请服务授权：校园服务总线提供接口供开发人员为所开发应用申请服务授权，申请以应用为单位。在该页面，开发人员可看到全部服务列表，仅需简单勾选，即可实现申请步骤。 API服务监控：校园服务总线提供对平台及服务所运行服务器监控功效。考虑到平台本身运行状态对其上运行服务及应用有着极关键影响，对其监控必不可少，但对高校硬件监控本就存在一套体系，所以校园服务总线仅提供平台硬件关键性能监控，即对校园服务总线运行起关键性影响指标（如CPU占用和内存使用情况）服务注册审核：系统管理员依据服务注册信息来确定是否审核经过该服务注册，比如考虑该服务功效是否合理，后期还将考虑该服务是否应该注册在该系统下。提供给系统管理员信息具体包含服务名称、服务所属应用/模块、接口人等。目前审核状态则包含审核中和未审核。 3.2 信息化数据中心安全建设内容云计算系统含有传统IT系统部分特点，从上面安全域划分结果能够看到，其在外部接口层、关键交换层安全域划分是基础相同，针对这些传统安全区域依旧能够采取传统安全方法和方法进行安全防护。以下图所表示：当然，从上面安全域划分结果能够看到，相对于传统网络和信息系统来讲，云平台因为采取了虚拟化技术，在计算服务层、资源层安全域划分和传统IT系统有所不一样，这关键表现在虚拟化部分，即生产区、非生产区、管理区、支撑服务区、堡垒区、DMZ区等。这里关键叙述和说明生产区安全建设。非生产区和管理区、DMZ区类似，不在累赘说明： 3.2.1 数据中心业务生产区安全生产区布署了虚拟化主机、软件平台、应用层，应基于虚拟化技术实现，所以其安全防护应考虑虚拟化安全、网络安全、主机安全、应用安全、数据安全等内容。虚拟化安全虚拟化安全关键包含虚拟化组件及其管理安全，包含了虚拟化操作系统、虚拟化交换机、虚拟主机、虚拟存放及虚拟化安全管理系统安全。网络安全网络安全关键包含防火墙、异常流量检测和清洗、网络入侵检测、恶意代码防护、VPN接入、安全审计等内容。防火墙及边界防护安全域需要隔离，并需要采取访问控制方法对安全域内外通信进行有效管控。通常可采取方法有VLAN、网络设备ACL、防火墙、IPS设备等，这里关键对防火墙功效、布署进行说明网络异常流量监测和分析云计算中心布署应用和业务很丰富，如基于流媒体音视频服务， VPN业务等等，肯定会受到多种网络攻击，如DDOS，进而出现大量异常流量。在这种流量成份日益复杂，异常流量海量涌现情况下，对网络流量进行实时监测和分析，从而全方面了解流量多种分布和改变趋势就显得十分必需了。流量统计分析流量统计分析任务是实时监控进出云计算中心流量地域分布，应用组成份布、改变趋势，并生成对应统计报表。统计对象粒度能够为IP地址、IP地址段、用户（用IP地址或地址段组合来定义）。流量地域分布显示对某个主机（或地址段、用户）访问流量来自哪些地域。流量统计结果对流量工程含有很关键参考价值。应用组成份布显示云计算中心内部多种业务开展情况，结合地域分布信息，也能够指导流量工程。流量改变趋势显示流量随时间改变规律和峰值时段对带宽占用情况，这些数据有利于进行云计算中心容量计划。双向异常流量监测异常网络流量分析系统应对网络中由内至外、由外至内流量进行双向监测，即可监测外发异常流量，也可监测外来异常流量；异常流量定位异常网络流量分析系统应对网络中流量进行连续监控和实时分析，并对异常流量进行立即发觉、告警和定位，使网管人员能够正确发觉异常流量进入网络端口和攻击目标；异常流量分析对于云平台，其数据流量较大，且内置虚拟交换机能够直接输出Netflow数据流，所以提议在云计算中心采取基于流（FLOW）信息流量分析产品。网络入侵检测云计算对外提供服务，完全方面向互联网，所面临威胁被无限放大，在云计算中心网络出口采取入侵检测机制，搜集多种信息，由内置教授系统进行分析，发觉其中潜在攻击行为。由网络入侵检测系统捕捉分析网络中全部报文，发觉其中攻击企图，依据事先制订策略通知管理员或自行采取保护方法。应用安全 Web应用防护云计算中心通常全部是采取Web方法来对外提供各类服务，尤其是在Web 2.0技术趋势下，75%以上攻击全部瞄准了网站（Web）。这些攻击可能造成云计算服务提供商遭受声誉和经济损失，可能造成恶劣社会影响。Web应用防护技术经过深入分析和解析HTTP有效性、提供安全模型只许可已知流量经过、应用层规则、基于会话保护，可检测应用程序异常情况和敏感数据（如信用卡、网银帐号等）是否正在被窃取，并阻断攻击或隐蔽敏感数据，保护云计算平台Web服务器，确保云计算平台Web应用和服务免受侵害。数据安全对于数据安全，需要包含数据产生、传输、存放、使用、迁移、销毁和备份和恢复全生命周期，并在数据不一样生周期阶段采取数据分类分级、标识、加密、审计、擦除等手段。另外，在采取了这些基础防护技术方法之外，还应考虑数据库审计、数据防泄露和数据库防火墙手段，最大程度地确保云平台中数据安全。 3.2.2 数据中心运维管理区云平台管理运维人员、第三方运维人员和租户需要多云计算平台主机、应用及网络设备进行管理、维护操作。为了发觉和预防不妥操作、越权操作发生，需要对这类用户进行认证、授权、访问控制和审计。堡垒机就是完成上述功效关键设备，经典应用场景以下图所表示：功效堡垒机能够提供一套优异运维安全管控和审计处理方案，目标是帮助云计算中心运维人员转变传统IT 安全运维被动响应模式，建立面向用户集中、主动运维安全管控模式，降低人为安全风险，满足合规要求，保障企业效益，关键实现功效以下： • 集中账号管理建立基于唯一身份标识全局实名制管理，支持统一账号管理策略，实现和各服务器、网络设备等无缝连接； • 集中访问控制经过集中访问控制和细粒度命令级授权策略，基于最小权限标准，实现集中有序运维操作管理，让正确人做正确事； • 集中安全审计基于唯一身份标识，经过对用户从登录到退出全程操作行为进行审计，监控用户对目标设备全部敏感操作，聚焦关键事件，实现对安全事件地立即发觉预警，及正确可查 3.3 信息化系统管端安全建设内容 3.3.1 安全设计依据多年教育行业信息系统安全实践经验，在深入了解国家法律法规和行业标准要求基础下，结合对用户业务应用及安全技术研究，为学校总结出“网关控制+内部安全管理”合规信息系统管端管理安全方法论，来指导高校信息系统安全体系建设。在此次方案中我们为用户提供网络安全管理系统、下一代防火墙、web防火墙、网络安全管理系统。我们推荐安全产品有以下特点：安全产品产品概述网络安全管理系统对高校上网网络流量提供三步循环处理方案——可视、可控、可追溯。 – “可视”指深层分析网络中运行多种应用协议、网络行为，从而完整了解网络带宽使用情况。 – “可控”指依据对网络情况了解，结适用户实际需求，提供最有效控制策略，让网络资源得到最合理利用。 – “可追溯”指对全网使用情况进行了具体统计，并提供内容检索、模糊查询、自动报表等功效，方便管理者跟踪、追溯网络使用情况，帮助管理者定位网络问题。下一代防火墙 – 下一代防火墙不仅能够提供基础网络安全功效，如状态检测、VPN、抗DDoS、NAT等；还实现了统一应用安全防护，能够针对一个入侵行为中多种技术手段进行统一检测和防护，如应用扫描、漏洞利用、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码等。 – 边界防火墙能够为不一样规模行业用户数据中心、广域网边界、互联网边界等场景提供愈加精细、愈加全方面、更高性能应用内容防护方案。 web防火墙为网关设备，防护对象为Web、Webmail服务器，可针对安全事件发生时序进行安全建模，分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊疗，提供综合Web应用安全处理方案。 3.3.2 安全布署 Ø 在网络出口处布署网络安全管理系统，对学校内师生无线和有线上网行为进行管理。 Ø 在关键交换机和内网用户之间布署防火墙，为高校办公用户及服务器提供安全服务。 Ø 布署web应用防火墙，对高校数据中心内web服务器、邮件服务器提供安全防护。 4 高校信息化系统安全服务需求 4.1 风险评定

展开阅读全文