高校安全服务方案.pdf

高 校 信 息 系 统 安全服务方案 V1.0 （初稿） 精品文档 1 概述 1.1 需求分析 随着高校网络安全事件的不断增加，安全意识的不断提高，如何有效地选择 安全措施， 如何使安全产品发挥应有的作用， 如何快速经济地提升系统的安全状 况成为客户关心的问题。 大家已不再满足于单纯地购买安全产品， 开始寻找全面 的、系统的解决方法。在这种环镜下，安全服务逐渐被大家接受，成为贯穿安全 工作各个阶段、渗透各个方面的重要措施。 IT 安全服务是信息系统安全体系中不可或缺的一部分，是整个 IT 环境成熟 度的一个衡量指标，当整个产业的 IT 基础设施建设到一定程度后，在规避安全 风险，控制安全成本及商业持续性保降需求的压力之下， 就需要开始考虑如何制 定符合自身的安全策略并使之与业务结合， 这就是安全服务产生的基础。 完整的 安全服务不仅能帮助客户解决现有的安全问题， 还能够帮助他们预计未来的趋势， 规划安全的长期发展。 为响应国家信息安全等级保护的要求和高校自身对信息安全的重视， 全面的 了解自身信息安全隐患，从物理、网络、系统、应用及管理儿个层面分析可能存 在的风险，判断高校自身所面临的网络安全态势， 以态势规划系统的下一步建设， 特进行此次安全服务项目。 1.2 项目建设目标 通过本服务了解高校自身信息系统从物理层到应用层所存在的安全漏洞、风 险隐患。通过对信息系统的安全分析，掌握当前系统的安全态势。 建立起一套实 时有效的信息安全服务体系， 能根据安全要求的不断发展， 升级和完善相关安全 防护功能。 。 2欢迎下载 精品文档 具体来讲，本项安全服务能帮客户解决以下几个方面问题： 完善安全管理制度 建立信息安全管理框架 了解自身信息安全状况 指导未来的信息安全建设和投入 加固信息系统 任务安保期间信息系统安全保障 。 3欢迎下载 精品文档 2 安全服务相关标准 2.1 相关标准与规范 在整个服务过程中，我们将参照最新和最权威的信息安全标准，作为安全服 务的基本原则。这些安全标准包括： GB 17859-1999 《计算机信息系统安全保护等级划分准则》 GB/T 22239-2008 《信息系统安全等级保护基本要求》 GB/T 28448-2012 《信息系统安全等级保护测评要求》 GB/T18336 《信息技术- 安全技术 - 信息技术安全性评估准则》 CVE:通用脆弱性标准。 CVE是个行业标准，为每个漏洞和弱点确定了惟一 的名称和标准化的描述， 可以成为评价相应入侵检测和漏洞扫描等工具产 品和数据库的基准。 IS027001:Code of practice for inf