XXX大学安全方案.docxVIP

方案设计参考等级保护，设计方案如下：出口链路防护出口为联通、移动、教育和电信（暂时未启用）四条链路，为了保障业务的连续性和可用性，主干链路出口设计为双冗余组网。出口双机热备部署两台综合安全网关，对数据流量做访问控制，严格控制内部以及来自外部的IP层数据访问；做为出口，做NAT地址转换；同时综合网关具有入侵防御和流量控制的功能，开启IPS和流控功能，防范来自外部的攻击事件，并且对数据流量进行控制。入侵防御IPS内置大量入侵特征库事件，可以检测出来自互联网的入侵行为，第一时间将安全威胁阻隔在企业网络外部。在安全防护功能上弥补了防火墙产品的不足，提供动态的、深度的、主动的安全防御。从智能识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检测和防护，为网络管理员提供了看得见、检得出、防得住的入侵防护。核心交换机旁路部署IDS入侵检测系统，防范0Day漏洞攻击。在检测到入侵行为之后，及时告警，并且能够与防火墙或者IPS进行联动，实时阻断外部威胁事件。整个出口链路综合网关、IPS与核心交换机之间口字型互联，实现双机热备功能。双冗余链路互相备份，达到故障出现时自动切换，从而提高业务的连续性。应用安全防护核心交换机旁路冗余部署两台WEB应用防火墙，采用代理模式对校网站以及各院系网站针对5层以上的应用层进行防护。针对SQL注入、XSS跨站等针对http/https应用系统的攻击代码进行检测并阻断，实时监控后台门户服务器的健康状态，形成详细的报表。同时为了应对网页篡改攻击，部署一套网页防篡改系统，保护网站被恶意篡改之后及时恢复正常业务。部署VPN设备，通过VPN加密隧道，对移动终端以及校外的应用系统访问进行安全防护。运维安全在校信息系统中，具备大量的计算设备、存储设备、网络设备，虚拟机、物理机，还有不同层级的管理人员，以及不同业务和项目需求，资源、人员等需要管理的对象非常多，如何保证可管理性和简易型，尤其是如何能够进行统一的管理。部署安管平台日志审计系统，收集应用系统、中间件、服务器、网络设备等的运行状态和运行日志，通过大数据分析，掌控整个网络的健康状况，了解系统实时运行情况。通过实时的运行情况，分析得出威胁情报，实时进行安全预警，在威胁发生之前就做出及时的安全防护和加固，保护信息系统的安全稳定运行。部署运维安全网关堡垒机，对内部运维人员的操作进行审计，监控外部第三方工程技术人员的操作行为。同时，运维堡垒机可以有效控制高权限账户滥用的风险，解决系统共享账号的安全隐患，降低违规行为无法控制的风险。面对日益增多的信息安全风险，信息系统越来越多的漏洞暴露出来，导致内网安全面临外部的攻击。部署漏洞扫描系统，对内网服务器、应用系统以及网络设备进行安全漏洞扫描，及时发现漏洞，并且进行统一的安全修复，确保内网的安全。为满足公安部82号令的要求，旁路部署行为管理设备，对上网行为进行审计，做为事后溯源的依据。院系安全在各院系出口透明部署防火墙，该防火墙交由院系自行维护使用，对院系至校信息中心之间进行安全访问控制，校信息中心对院系不过多干预，部署防火墙做访问控制，有利于防护校院之间的信息安全。同时预防因为院系自身的安全漏洞问题导致影响全校业务系统。应用系统安全防护校一卡通和财务系统，独立于校园网之外，但是与校园网有数据通信，根据三级等保要求，对于不同安全级别安全域之间的通信，需要部署物理隔离设备，对数据进行物理摆渡传输。应用系统部署有前置机，通过前置机与校园网互联。在前置机与应用系统之间部署安全隔离网闸，保障安全域之间不直接相连，只允许控制信令双向传输，码流数据单向传输，防护安全域之间的数据访问；透明部署防火墙在校园网与前置机之间，对互通数据进行访问控制，防止未经允许的数据流进入校园网。数据库系统，是信息系统的核心部分，存放着大量的核心数据。黑客攻击入侵网络之后，利用跳板入侵数据存储系统，利用拖库的方式，将会导致最大的威胁事件：数据泄露。一卡通和财务系统中部署业务网审计，对业务用户访问的流量进行审计，可以准确的记录业务用户对数据库的查询和修改语句，并且记录查询结果。对于发生的安全事件进行认定和溯源，提供有效的证据和事后审计查证。同时对信息内容的审计，可以防止内部机密或敏感信息的非法泄漏。业务网审计是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一，按照公安部82号令的规定，对所有网络行为进行存档，保证行为数据保存期限不少于90天。产品功能说明综合安全网关综合安全网关是集防火墙、VPN、上网行为管理AC、内容过滤、防病毒、入侵防护等多种安全技术于一身，高性能、绿色低碳，同时全面支持各种路由协议、QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。XX综合网关采用了一体化的设计方案，在一个