学校网络安全服务方案（纯方案17页）.docx

《学校网络安全服务方案（纯方案17页）.docx》由会员分享，可在线阅读，更多相关《学校网络安全服务方案（纯方案17页）.docx（16页珍藏版）》请在第一文库网上搜索。

1、第一阶段响应文件目录1. 服务方案21.1. 项目方案21.1.1. 项目背景21.1.2. 项目需求21.1.3. 需求分析21.1.4. 方案建设原则41.1.5. 详细设计41.2. 实施方案111.2.1. 概述111.2.2. 项目实施进度安排111.2.3. 项目人员安排121.2.4. 项目组织结构121.2.5. 现场调研131.2.6. 设备采购、安装131.2.7. 产品安装与现场培训131.2.8. 项目验收132. 售后服务承诺及内容142.1. 售后服务方案142.2. 培训方案161服务方案1.1. 项目方案111项目背景甲方为了更好的贯彻和落实国家和行业信息安全等

2、级保护、网络安全法等相关政策文件要求，满足信息系统的等级保护制度要求，构建整体、严密、有效的信息安全防护体系，现开展网络安全工作。采购所需安全设备及安装，包括Waf模块板卡升级、NIPS、防毒墙、上网行为审计系统、堡垒机等。112项目需求在网络安全越来越受到广泛关注，尤其自2016年习近平总书记“4.19”讲话以及今年6月1日中华人民共和国网络安全法实施后，信息化的网络安全保隙建设成为新形势下的信息化建设的重要工作。需要对甲方信息系统安全技术防护措施、安全管理制度和安全运维体系，从网络边界访问控制、行为管理、入侵防御等方面初步构成网络与信息安全保隙体系。有效做到事前防御、事中监控和事后审计，建

3、立安全管理平台，统一管理各类网络安全产品。通过运维安全设计设备，保除网络和数据不受来自外部和内部用户的入侵和破坏。建立一个以IT资产为基础，以信息系统为核心，以统一管理为指引，从监控、审计一、风险和运维四个维度建立起来一套可度量的统一安全运维管理平台，使其能够对信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化，最终实现网络与信息系统的持续安全运营。1.1.3. 需求分析安全运维需求随着信息化建设的持续推进，信息系统中的设备越来越多，日常运维处理过程中IT系统的口令管理工作量越来越大，复杂度也越来越高。由于部分系统经常需要被第

4、三方运维，口令容易泄漏。同时运维过程中可以通过多种人口对IT系统进行维护，导致无法统一管理、设置统一安全策略引起安全隐患。另外IT运维过程中，存在多种管理角色，如设备管理员、系统管理员、安全管理员和应用系统管理员等，同时对于同一个角色也同样存在多个管理员，包括来自本公司、开发人员、厂商技术人员等多种技术人员。对于这些管理员进行维护时，可能是使用IT系统的同一个帐号，这样一旦出现问题很难定位具体某个人的操作。缺乏有效的审计监管手段，导致内部越权和违规操作时有发生，但是事件追查时又缺少详细的事件审计记录。同时等级保护制度对IT操作风险以及企业内控等都有明确的要求。上网行为管理需求上网的负面影响：（

5、1）降低员工工作效率，增加企业运营成本根据中国社会科学院社会发展研究中心对中国5城市互联网使用状况及影响调查报告的结果显示，被访网民使用最多的网络资源是网络新闻（65.9%）,而真正用于学习和工作的比例还不到40%o（2）网络资源的不合理占用，影响正常业务。当前的互联网存在种类众多的应用，基于前面的分析我们会发现，组织成员在使用互联网时更多的是进行娱乐活动，如网络电视、P2P下载等；诸如此类的使用会严重消耗组织的网络带宽，正常业务通讯得不到保障，只能通过增加办公成本来增加带宽，但是网速和带宽没有得到根本的改善。（3）内部资料泄密重要资料和秘密资料通过网络的Web、EmaihQQ和MSN等途径向

6、外散发，或被别有用心的人截获而加以利用，加大了企业信息的曝光率，给企业信息安全带来隐患。（4）病毒、木马、流氓软件带来的网络安全问题高风险网站导致病毒、木马、流氓软件在内网散播，造成无法正常的使用网络。网络入侵防护需求网络结构是否合理直接影响着是否能够有效的承载业务需要，因此网络结构需要具备一定的冗余性，对网络区域进行合理划分。访问控制：对于各类边界最基本的安全需求就是访问控制，对进出安全区域边界的数据信息进行控制，阻止非授权及越权访问。采取基于白名单的细粒度访问策略，按照安全策略规定的白名单格式授权，其余应明确禁止。入侵防范：通过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、

7、间谍软件、可疑代码、端口扫描、DoS/DDoS等，能防范对应用服务区WEB服务的脚本攻击、SQ1注入攻击、网站挂马等，实现对核心信息资产的防护。1.1.4. 方案建设原则符合政策的原则产品设计要遵循国家的相关安全政策，参照国家标准、国际标准、行业标准及相关安全指南，重点关注金融行业的安全若干规定，避免安全政策风险和运行风险。整体均衡原则要对数据库进行全面均衡、全过程中的隐患梳理、安全加固，要提高整个信息系统的安全最低点的安全性能，保证各个层面防护的均衡。安全目标与效率、投入之间的平衡原则要综合考虑安全目标与效率、投入之间的均衡关系，确定合适的平衡点，不能为了追求安全而牺牲效率，或投入过大。动态

8、发展原则安全防范体系的建设不是一个一劳永逸的工作，而是一个长期不断完善的过程，所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而具有可扩展性原则。1.1.5. 详细设计1.1.5.1.Web网站安全防护系统Web网站安全防护系统（以下简称WebGuard）是我司精心研发专门针对网站篡改攻击的一款防护产品，WebGuard的主要功能是通过微软文件底层驱动技术对Web站点目录提供全方位的保护以及通过UR1攻击过滤进行动态防护，防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏。WebGuard保护网站安全运行，维护政府和企业形象，保障互联网

9、业务的正常运营，彻底解决了网站的非法修改的问题，是高效、安全、易用的新一代的网页防篡改系统。主要技术功能：1 .第三代内核驱动防篡改技术 基于内核驱动级文件保护技术，支持各类网页格式，包含各类动态页面脚本； 内核级事件触发技术，大大减少系统额外开支； 完全防护技术，支持大规模连续篡改攻击防护； 系统后台自动运行，支持断线状态下阻止篡改； 内核出站校验技术完全杜绝被篡改内容被外界浏览； 支持单独文件、文件夹及多级文件夹目录内容篡改保护；2 .Web站点安全运行保除 保护Web服务器的相关重要配置文件不被篡改； 服务器性能监控阀值报警，预知攻击发生； 服务器系统服务运行状态监控，可提供服务异常响应

10、，终止、重启等联动操作； 服务器进程黑白名单许可控制，防止挂马攻击或后门程序运行； 支持服务器多种远程管理功能，紧急情况下便于管理，如远程接管、远程唤醒、远程关机、远程用户注销等； 支持监测服务器当前系统防火墙，防病毒的使用情况和版本，提高监测服务器的综合防护能力；3 .部署结构灵活 支持多站点、跨平台分布式部署，统一集中管理功能； 支持大规模虚拟机、双机热备网站系统部署架构； 支持服务器冗余及负载均衡分布部署，支持web服务端、发布端一对多，多对多等各类灵活网站架构；4 .安全可靠增量发布 支持网页文件自动上传功能和增量发布，无需人工干涉； 支持异地文件快速同步功能和断点续传功能，极大的增加

11、网站可维护性; 支持网页自动同步新增、修改、删除、下载等功能；5 .日志事件报警 自动检测文件攻击记录，并实时记入日志，支持导出exce1报表； 支持服务运行状态记录，并实时记入日志，支持导出exce1报表； 支持多种告警方式，日志告警、邮件告警或定制其他告警方式； 自身操作审计日志记录，详细记录操作管理员的操作管理行为；6 .操作管理安全、方便 支持多用户分权管理功能，方便操作； 系统C/S结构，确保高可靠性； 支持多个策略管理，策略设置支持即时生效，无需重启； 数据传输采用加密传输，安全可靠； 支持网页格式类型分类，便于分类管理； 系统全中文界面，操作、配置方便，网络管理人员仅需十分钟即可

12、熟练完成系统初始配置，大大提高工作效率；入侵防御系统入侵防御系统(IntrusionPreventionSystem,以下简称NGIPS)是网络型入侵防御产品，围绕深层防御、精确阻断的核心理念，通过对网络流量的深层次分析，可及时准确发现各类入侵攻击行为，并执行实时精确阻断，主动而高效的保护用户网络安全。入侵防御系统融合了在攻防技术领域的先进技术及研究成果，使其在精确阻断方面达到国际领先水平，可以对漏洞攻击、蠕虫病毒、间谍软件、木马后门、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行防御，有效弥补网络层防护产品深层防御效果的不足。技术优势：方便的集中管理功能多设备统一管理、升

13、级、监控并生成报表，省时省力保障业务的高可靠性软硬件BYPASS、HA优先保隙业务畅通完善的应用控制能力支持上千种应用识别能力，防止网络资源滥用全面的内容过滤功能实时监控敏感信息通过邮件、Web外发双引擎高效病毒防护内置知名第三方防病毒引擎，高效查杀领先的威胁防御能力AD1ab和VenusEye两大团队保障，及时应对最新攻击和高级威胁下一代防火墙防火墙采用领先的VSOS操作系统,通过多核并行化处理、特征库树形存储、流扫描处理、零拷贝、分布式T比特硬件平台等技术手段，实现了整个处理过程一次拆包，确保防火墙开启多重防护功能后依然能够保证高速度、低时延的安全防护。功能特点： 七元组访问控制：以源地址

14、、目的地址、源端口（源安全域）、目的端口（目的安全域）、服务类型、APP类型及用户为参数的访问许可控制； 七元组会话控制：以源地址、目的地址、源端口（源安全域）、服务类型、APP类型及用户为参数的会话许可控制：总新建连接速率/总连接数、每源IP新建连接速率/每源IP总连接数、每目的IP新建连接速率/每目的IP总连接数； 应用行为控制：深入APP或各类网络协议的细节参数，实现精细的网络行为管理和日志记录; 流量控制：以源地址、目的地址、服务类型、APP类型及用户为参数的多层管道嵌套式流量及QOS控制。上网行为管控网络安全审计系统-互联网行为管控（InternetBehaviorManager,简

15、称IBM）,具备一体化网络接入、管控、优化、审计、运营等功能,是新一代高性能上网行为管理产品。面向政府、金融、教育、企业等多行业不同客户网络业务场景，简化管理，节约客户成本，提供业务效率和价值。功能特点： 集成路由、交换、多链路负载均衡、VPN等功能，适应多种网络接入需求 智能流控、实名认证、防非法外连、基于行为动作的精细化管控，让网络有序可控 对网页、聊天工具、邮件、论坛、微博、搜索引擎、文件传输等行为多维关联轨迹分析和可视化呈现，保障内部网络安全合规 通过缓存加速优化文件，减小网络出口带宽压力；内置网络服务监控，助力网络质量提升 灵活快捷的POrta1、微信、短信等认证及营销，提升业务运营效果，辅助业务增值运维安全审计系统运维安全审计系统（以下简称“SAS”）是新一代运维审计系统，它采用软硬件一体化设计，通过B/S方式（https）进行管理，其主要功能为：能够将网络中设备和数据库等实施统一认证；具有与身份认证系统无缝结合的接口；实现对操作网络中设备和数据库等过程的全程监控与审计，支持账户开通申请与审批的流程管理，以及对违规操作