xx大学信息安全方案.docxVIP

目录1.项目背景12.现状及存在问题23.需求分析43.1.网络安全风险及安全需求43.2.数据风险及安全需求64.总体解决方案64.1.网络安全64.2.数据安全75.详细设计方案75.1.网络安全详细设计75.1.1.物理层安全85.1.2.网络层安全85.1.3.系统层安全105.1.4.应用层安全105.1.5.管理层安全115.1.6.网络安全部署示意图125.2.数据安全详细设计135.2.1.数据安全部署示意图135.2.2.本地备份.备份系统组成.基于磁盘的数据保护设计.Oracle数据库的备份方式145.2.3.容灾规划.容灾技术路线.容灾所需配置196.建设清单20项目背景21世纪是知识经济的时代，以知识和信息的产生、传播及应用为基础的知识经济将占世界经济发展的主导地位。信息技术的飞速发展，为知识经济的发展奠定了坚实的技术基础。国家的综合国力和国际竞争力越来越取决于教育发展、科技进步和知识创新，教育在经济和社会发展过程中将呈现出越来越突出的作用。然而21世纪教育面临一系列的挑战，这些挑战主要来自于科学技术的迅猛发展、因人口增长而引起的教育要求、国际竞争和各种社会问题等方面。传统的教育越来越不适应社会的发展，教育的根本出路就在改革，而教育改革的重要途径之一是教育信息化。自2000年以来，我过的教育信息化经过多年的发展，我国现在教育信息化的基础设施建设已经初具规模。XXX大学早期已完成校园网工程的建设，建立起了校园骨干网网络，校园中心机房及多套业务应用系统即网络层的建设与业务层的部分建设，信息化建设的基础设施已经基本完备。XXX大学的信息化建设已经逐步从“重建设”向“重应用”转化。这些信息化的建设内容取得了许多很好的实际应用效果，为数字化校园的建设和持续发展打下了基础。但是在教学及管理的信息化背后，网络的安全以及数据的安全的问题也慢慢凸显。在校园信息化的进一步深入后，校园的的日常运作更依赖于校园的信息化系统。一旦校园的网络出现问题，或者数据丢失，很可能造成校园业务的瘫痪，损失无法估量。现状及存在问题XXX大学校园网由中国教育与科研计算机网（Cernet，100Mbps带宽，简称教科网），中国电信（Chinanet，200Mbps第二出口和6Gbps带宽线路各两条）共同组成，为全校师生提供国内、国际访问服务。学校3校区以光纤千兆互连，以无线网作为补充覆盖校园的主要部分，利用VPN设备完成所有校区外教职员工的校园网络接入。其中，绝大部分校内服务器及信息资源均部署在教科网，中国电信（chinanet）只提供个人、办公互联接入。网络拓扑图如下：目前存在的问题如下：1.网络安全问题：（1）校园网通过CERNET与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。（2）随着XXX大学数字化校园的建设，校园的web社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的数字化校园应用越来越广泛，校园信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是Web安全威胁的凸显，来自校内外的黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。而现在，黑客攻击工具在网上十分常见，一般人员并不需要很复杂的知识就能用。这也使得越来越多的用户关注应用层的安全问题，对Web应用安全的关注度也逐渐升温。（3）随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，而这些节点大部分都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。目前XXX大学在CERNET及INTERNET的出口处各部署了一台防火墙。防火墙可以有效地隔离内部网与外部网，保护校园内部网络免遭来自外网的侵入。但对于来自内网的安全威胁，并没有任何的防护措施。2.数据安全问题：XXX大学目前多个部门有多个应用系统。由于这些应用系统多建于不同时间段，由于当时的技术所限以及行政管理的原因，各个部门的各个系统处于“信息孤岛”的状态。各部门的各系统的数据分别存放在各服务器本地硬盘上。整体规划数字化校园后，将学校现有的各个应用系统通过中间件统一整合到一个平台上，数据也将统一存储，各应用服务器仅提供应用服务，而不提供具体的数据服务。目前XXX大学仅有一套富士通的光纤存储阵列，但由于信息孤岛的状态，该存储阵列仅作为各服务器数据的备份设备使用，采用人工备份的方式，效率低下，维护工作量大，出错率大。如数字化校园系统上线后，该存储阵列作为数据库的主要存储设备，所有数据均存放在该存储设备上，一旦该存储设备出现问题，所有应用系统都将