北京金钻芯科技某大学安全服务解决方案.docVIP

某大学安全服务解决方案 项目背景 随着近年來信息技术的高速发展，信息安全风险也曰益加大，某某大学作 为代表性教育机构，而对严峻的信息安全形势，对如何有效的防范网络安全风 险高度重视，多年中联合专业的安全服务厂商提供的安全服务來保证系统的稳 定运行，构建了一个基本的边界安全防护体系；由于网络安全受关注程度较高, 加强推进某某大学的安全基础建设和安全管理工作不仅能够解决许多信息安全 问题，同时也能成功的规避一定的安全风险。从口前某某大学信息化的整体发 展和信息安全的整体态势角度观察，某某大学信息系统仍然存在一些问题和安 全隐患有待解决。 从相关要求和某某大学口身业务的需求出发，迫切要将目前的信息安全保 障水平进一步提高，需要进一步进行安全组织、安全制度、安全管理和技术方 面的安全建设工作，增强系统的可靠性，根据信息安全的动态性特点更深层次 引入专业安全服务，结合深度防御体系充分保障某某大学整个系统的安全、正 常运行。 为切实有效的提高某某大学信息小心各系统的稳定运行，持续不断的发现 系统安全风险并及时进行纠止。保证甲方网络资源不会被一些别有用心的组织 和个人利用或破坏，提升应急保障能力，提升某某大学信息小心相关人员信息 安全技术水平以及应急响应速度，特提出《某某大学应用系统安全建设方案》。 项目分析 紧随相关部门卜?发的“关于深入开展教育行业网络与信息化系统安全检杳 工作的通知”的要求，某某大学将全而对学校信息化建设的网络架构、服务器 系统、存储系统、业务信息化管理系统、数据库系统以及公共服务系统等进行 科学的检查、漏洞分析，并进行风险评估和处置，使信息系统风险程度处于可 控可接受Z内。 根据现有30多个业务系统信息化的安全程度和系统服务等级的不同，制定 并落实符合《信息安全技术信息系统安全管理要求》(GB/T20269-2006)、 《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006) ＞《信息系 统安全等级保护基木要求》等管理规范的安全管理制度。设计符合学校信息化 建设的信息安全保障体系，选择适合的信息安全技术措施和管理措施，以指导 信息安全等级保护建设，完成某某大学安全保障系统的整体规划、实施方案、 经费预算和预期的目标。 建立一个信息安全的保障机制和运行机制，提供基木的扫描、检测、审计 和系统加固的系统平台。主要内容包括漏洞和威胁扫描、分析、日志审计和系 统安全加固工具、日志审计与WEB相关防火墙等产品，最终给相关人员进行产 品培训。 某某大学在2009年已经完成对20多个信息系统的定级工作，并在市公安 部门备案，但是口前信息安全基础建设述比较薄弱，与当前严峻的信息安全形 势相比还有较大的茅距。目前我校已经成功备案的信息系统有环境与能源工程 学院网站、某某大学制冷与低温工程系、环境与能源工程学院化学化工系网页、 教育部传热强化与过程节能重点实验室，传热与能源利用重点实验室、某某大 学室内环境检测屮心信息系统、北工大化学实验教学小心实验室信息管理系统、 校办主页、财务信息系统等30多个信息系统。 项冃范围 对现有某某大学内重要业务系统及网络进行规范化的资产与威胁识别、风 险分析等工作。 部署相应的基木的扫描、检测、审计和系统加固的软件或系统平台 编写某某大学安全保障系统的整体规划、实施方案、经费预算和预期的口 标。 协助完善制定学校的信息安全规章制度、规范等建议书 对某某大学综合信息支撑平台（包括统一身份认证、统一门户平台和公共 数据库平台）、校主页、网站群平台、一卡通等主要校级应用系统进行等级保 护服务。 主要工作内容 通过风险评估、安全保障体系的设计以及等级保护安全保障体系设计，达 到下述客户需求： 风险 评估 差距 分析 技术分析 根据国家信息安全等级保护相应级别的技术要求，通 过访谈、调研问卷、技术测试、查阅资料等多种手 段，逐项分析信息系统安全防护水平与等级保护相应  级别技术要求的差距。 管理分析 根据国家信息安全等级保护相应级别的管理要求，通 过访谈、调研问卷、查阅资料、要求客户举证等多种 手段，逐项分析信息系统安全防护水平与等级保护相 应级别技术要求的差距。 资产 识别 资产识别 对信息系统业务及其关键资产进行识别，并合理分 类；在资产识别过程屮，需要详细识别核心资产的安 全属性，重点视别出资产在遭受泄密、屮断、损害等 破坏时所遭受的影响。 威胁 识别 威胁识别 通过威胁调查、取样等手段识别被评估信息系统的关 键资产（主机、服务器、网络、应用系统等）所面临 的威胁源，及其威胁所常采用的威胁方法，对资产所 产生的影响。 脆 弱 性 识 别 基础环境脆 弱性识别 对信息系统所处的物理环境即机房、线路、客户端的 支撑设施等进行脆弱性识别。 安全管理脆 弱性识别 从以下几方而分析信息系统：策略、