高校网络与信息安全保障体系的思考.

高校网络与信息安全保障体系的思考电子科技大学信息中心2015.11.26提纲1.政策解读2.等保定级备案3.安全检查4.我校的信息安全建设工作政策解读序号文号发文单位名称1教技[2014]4号教育部关于加强教育行业网络安全工作的指导意见2教技厅函[2014]74号教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南（试行）》的通知3教技厅函[2014]75号教育部办公厅关于印发《信息技术安全事件报告与处置流程（试行）》的通知4教技[2015]2号教育部、公安部关于全面推进教育行业网络安全等级保护工作的通知5教技厅函[2015]64号教育部办公厅关于印发《信息系统安全等级保护定级审核工作流程（试行）》的通知6教技厅函[2015]68号教育部办公厅关于组织开展部属单位信息安全等级保护工作的通知教育部文件政策解读•定级依据•定级思路•定级工作流程信息系统分类表政策及要求政策及要求政策解读•所有高校信息系统都是二级以上•I类院校的重点系统定为三级：–科研管理、科研情报–招生录取管理–门户网站、论坛、社区类网站–校园一卡通根据定级工作指南：政策解读•列表里的信息系统都要备案？•二级域名的网站怎么算？•二级系统一定要做测评？•备案测评要多少钱？•等保工作有没有时间节点要求？几点疑问：等保定级备案1.步骤：定级备案整改测评监督检查2.定级方式：自主定级，自行聘请专家进行评审，主管部门审核批准3.定级依据：《教育行业信息系统安全等级保护定级工作指南（试行）》4.备案方式：二级以上系统到市级以上公安机关办理备案手续，三级以上信息系统同时报教育部备案等保定级备案1.备案提交材料：《信息系统安全等级保护定级报告》和《信息系统安全等级保护备案表》，下载链接：据了解，目前其他高校备案情况：–清华大学4个二级系统；–北京交通大学2个三级系统，12个二级系统；–北京师范大学1个三级系统，12个二级系统等保定级备案电子科技大学2015年6月25日完成3个二级系统的备案：–电子科技大学中文门户网站–电子科技大学本科招生网–电子科技大学研究生招生网等保定级备案电子科技大学备案情况：3个二级系统：•电子科技大学中文门户网站•电子科技大学本科招生网•电子科技大学研究生招生网等保定级备案1.时间节点的要求（教技厅函[2015]68号）：–部属高校应于2016年6月30日前完成公安机关定级备案–部属高校应于2016年12月31日前完成测评整改–科技司将结合年度网络安全检查,对各部属单位信息系统安全等级保护工作情况进行现场抽查等保定级备案2.测评经费的需求–二级系统每两年一次测评–三级系统每年至少一次测评–区域指导价（经济越发达地区，价格越贵）–没有上级专项经费支持–测评之后，还要花钱整改安全检查2015.5.27省公安厅网安总队到电子科技大学进行安全检查。检查内容依据川公发【2014】75号，针对四个方向：①互联网站②重要信息系统③学校公共上网服务场所④内部联网系统安全检查1.2014年9月22日川公发【2014】75号四川省公安教育联合发文“关于进一步加强学校网络和信息安全保护工作的通知”–互联网站–重要信息系统–学校公共上网服务场所–内部联网系统（1）定级备案（2）安全审计日志（3）制度建设（4）安全防护措施建设安全检查①互联网站–一级网站（主页门户）•双备案：工信部ICP备案和公安厅等保备案•审计日志留存情况（访问日志）•网站是否有交互式论坛、留言板等内容审查•安全防护：网页防篡改系统iGuard，Web应用入侵审计系统iAudit，网站应用防火墙iWall，Fail2ban防火墙（1）定级备案（2）安全审计日志（3）制度建设（4）安全防护措施建设安全检查①互联网站–二级网站：校内登记二级域名305个，其中有效域名约240个•部门/院系/实验室等网站：向信息中心申请二级域名，部门/院系自行开发、管理、维护网站及服务器其中部分网站基于信息中心的虚拟主机平台或托管在信息中心机房；•部分职能部门网站基于信息中心的网站群平台开发由信息中心提供技术支持和统一维护；（1）定级备案（2）安全审计日志（3）制度建设（4）安全防护措施建设安全检查①互联网站–二级网站安全防护•2013年Web应用防火墙（安恒明御WAF）上线，保障清水河校区托管服务机房的Web应用（30个网站）•防病毒：主要采用第三方免费软件•防入侵：无统一措施•防攻击破坏：双机热备或数据备份等机制–重灾区–网站群？（1）定级备案（2）安全审计日志（3）制度建设（4）安全防护措施建设安全检查1.2014年9月22日川公发【2014】75号四川省公安教育联合发文“关于进一步加强学校网络和信息安全保护工作的通知”–互联网站–重要信息系统–学校公共上网服务场所–内部联网系统（1）定级备案（2）安全审计日志（3）制度建设（4）安全防护措施建设安全检查②重要信息系统–是否定级–是否备案：公安厅等保备案–审计日志留存情况（访问日志）–系统用户是否实名制认证（1）定级备案（2）安全审计日志（3）制度建设（4）安全防护措施建设安全检查②重要信息系统–校内重要信息系统由相关主管部门负责建设开发和运行维护，服务器放置于信息中心机房统一管理（财务系统除外）–信息门户、一卡通、本科教务系统、学工系统、人事系统的数据库由信息中心统一管理，采用RAC双机集群、dataguard容灾部署，每周全量备份、每天增量备份到存储阵列和磁带库；政策及要求（1）实名认证（2）安全审计设备（3）日志记录，尤其是源端口号安全检查（1）定级备案（2）安全审计日志（3）制度建设（4）安全防护措施建设安全检查④内部联网系统–和②重要信息系统的要求一致–备案：公安厅等保备案–审计日志留存情况（访问日志）–系统用户是否实名制认证（1）定级备案（2）安全审计日志（3）制度建设（4）安全防护措施建设我校的信息安全建设工作1.制度建设2.安全防护措施建设3.十三五规划制度建设1.网络安全组织管理–主管领导•校长/副校长–管理机构•网络信息安全领导小组•信息中心–网络安全员•专职or兼职？制度建设2.规章制度管理–网络信息服务管理办法•所有网络信息服务必须进行审批和备案•安全责任人为所在单位第一责任人•违反规定后的处分制度建设•安全目标责任书•网络与信息安全保密协议•安全联络员•新建域名申请流程•信息系统和网站上线流程制度建设2.规章制度管理–应急流程与应急预案•安全事件响应•如何保证30分钟内断网？•3秒断网？•如何线索查证？判断事件等级安全联络员或上级领导收到安全通报电话通知网络出口管理人员在校园网络出口限制指定IP邮件告知网络出口管理工作人员及上级领导事件详情通知事件责任部门要求立即整改，并提交情况报告重大及较大安全事件一般安全事件邮件通知网络出口管理工作人员或防火墙管理人员恢复校外访问特别重大安全事件通知事件责任部门整改否是否经过防火墙是邮件/电话通知防火墙管理人员在防火墙限制指定IP邮件/电话通知网络出口管理工作人员在校园网络出口限制指定IP整改完成通知事件责任部门断网并要求立即整改如果安全事件等级升级，按照特别重大或重大流程进行断网处理应急响应流程制度建设•数据中心其他制度保障–《数据中心网络安全管理手册》–《数据中心服务器安全管理手册》–《数据中心日常检查制度》–《机房设备管理维护制度》–《数据中心应急预案》–《数据中心值班制度》–《数据中心机房出入管理制度》–《托管服务器管理制度》–《数据库存储备份管理制度》–《小型机管理制度》安全防护措施建设•数据中心安全防护–2010年防火墙（思科ASA5550）上线，透明旁路双机部署，保障核心应用服务安全；–2010年VPN设备（思科ASA5520）上线，结合防火墙策略实现远程维护管理；–2013年统一身份认证与各应用系统的安全登录SSL证书加密升级；–2013年数据库审计设备（SecureGrid）和网站安全应用防火墙（安恒明御WAF）上线–2014年万兆防火墙（JuniperSRX3600）上线，路由模式集群部署，保障所有数据中心网段安全；–2014年安全应用防火墙（山石网科M7360）上线，串行部署，保障沙河校区数据中心服务器以及高性能计算机房安全；–2014年网站安全监控平台（知道创宇WebSoc）上线，实现155个校内域名统一监控“十三五”安全规划一体化安全体系加强信息化安全制度建设系统等级保护测评安全责任人制度系统安全加固统一安全审计平台日志审计流量分析基于虚拟化的云安全平台防病毒入侵防御NGFW