XX网络安全等级保护2.0建设方案

XX网络安全等级保护2.0建设方案1网络安全1.1总体要求建设安全可靠的网络与信息化设施、确保本校所发布的信息合法合规，是《网络安全法》对所有提供信息服务的单位提出的统一要求。基于《GB/T22239-2019信息安全技术网络安全等级保护基本要求》、《GB/T28448-2019信息安全技术网络安全等级保护测评要求》、《GB/T25070-2019信息安全技术网络安全等级保护设计要求》等标准规范，网络与信息安全是指通过梳理摸清信息资产，进行安全风险分析，明确安全目标，制定安全策略，基于网络安全政策，通过采取必要的技术和管理措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定、可靠运行的状态，保障网络数据的完整性、保密性、可用性的能力。a)梳理摸清学校信息资产，建立信息资产库，进行安全风险分析评估；b)明确安全目标和安全策略，确定网络安全保护等级，进行网络安全体系设计，制定较为完善的安全管理体系，有效防范有关对网络的攻击、侵入、干扰、破坏、非法使用和意外事故发生；c)根据网络安全体系的设计选择适当的技术和产品，制定网络安全技术防护实施方案和运行管理方案，推进多层次纵深网络安全防护，使网络始终处于稳定、可靠运行的状态；d)对安全管理活动中的各种管理内容建立安全管理制度，对安全人员的日常安全管理操作制定操作规程，形成由安全策略、管理制度、操作规程、记录表单等构成的较为全面的安全管理体系，有效防范非法使用和意外事故发生；e)坚持问题导向、目标导向，推进网络安全技术防护系统和网络安全管理体系相融合，持续改进网络安全工作，不断提升保障网络数据完整性、保密性、可用性的能力；f)网络安全的防护对象主要涉及基础网络、云计算平台/系统、大数据应用/平台/资源、物联网（IoT）、网站、业务信息系统、个人计算机系统、个人移动终端、智能化系统以及采用移动互联技术的系统等等。网络安全实质上已经发展为网络空间安全，不仅仅包括内容安全、也包括技术安全等。网络安全具有放大、外溢、交织、叠加等特点，已经与政治安全、意识形态安全、公共安全、学生安全、实验室安全、生产安全等校园安全工作相互交织、相互叠加、跨界扩散等，需要协同应对。1.2网络安全网络安全包括信息化软硬件设施的物理环境安全、网络与通信安全、网站与信息系统安全、智能化系统安全、物联网系统安全、各类计算机及移动终端安全、摄像头及显示系统安全、移动互联网应用安全、云计算与云服务安全、新媒体应用安全、数据安全及个人隐私信息安全等。1.2.1计算机系统安全管理a)计算机操作系统及系统软件应正版化，应及时打补丁，进行安全配置、加固和优化，增加系统操作审计等安全机制；b)数据库及中间件系统应加强版本管理，对系统版本及时更新，进行安全加固和优化，对数据库进行加密，应部署数据库审计系统对数据有关操作进行实施监控和审计；c)系统应消除弱密码。多人使用的系统应实现弱密码禁止注册或登录，提供安全密码设置的技术导引；d)系统应及时进行漏洞检查与修复，部署实时监测和清除各类病毒以及黑客程序、支持各类客户端防杀病毒的计算机防病毒系统，病毒扫描引擎和病毒代码库能够及时进行更新。1.2.2网络安全防护要求1.2.2.1物理环境安全防护a)机房场地应选择在具有防震、防风和防雨等能力的建筑物内，并避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施；b)机房应设置响应的安防设施，出入口应配置电子门禁系统，控制、鉴别和记录进出人员，机房内应设置相应防盗报警系统或设置专人值守的视频监控系统；c)机房应设置防静电、防雷击、防火、防水、防潮等相关措施，应考虑冗余电源、不间断电源、电磁防护以及温湿度控制等增强物理环境安全的措施。1.2.2.2网络安全防护a)校园网边界应进行网络安全防护，根据访问控制策略设置访问控制规则，检测、防止或限制来自校内、外的网络攻击行为。可以根据需要设置网络安全防火区，用于对外提供信息服务；b)校园网核心或骨干设备应在保证业务处理能力满足业务高峰需要的情况下，支持网络安全策略实施，对不同网络区域之间根据访问控制策略设置访问控制规则，实现网络安全风险隔离，检测、防止或限制来自校内外的网络攻击行为；c)应对数据中心或服务器系统等应用进行边界防护，对进出网络的数据流基于应用协议和应用内容进行访问控制，隔离，检测、防止或限制来自校内外的网络攻击行为；d)应部署网络安全设施，对非授权设备私自连到内部网络行为进行检查和限制，对内部用户非授权连到外部网络的行为进行检测和限制。1.2.2.3云计算环境安全防护a)云计算基础设施部署在中国境内，提供开放接口和开放性安全服务，云服务客户具有根据自己的业务安全需求自主设置安全策略的能力；b)云计算环境具备横向访问控制以及风险隔离能力，检测到网络攻击行为、异常流量情况时能够实时告警；c)云计算环境应支持云服务商、云服务客户在远程管理时执行的特权命令，以及云服务商对云服务客户系统和数据操作可以被云服务客户有效审计；d)云计算环境能够提供云计算平台和管理终端的双向身份验证机制，允许云服务客户设置不同虚拟机之间的访问控制策略，并且控制策略可以随虚拟机迁移而迁移；e)云计算环境应对恶意代码感染及在虚拟机之间蔓延情况、虚拟机之间资源隔离失效情况以及虚拟机异常操作进行告警；f)云计算环境应有足够的技术和管理措施确保云服务客户业务数据的完整性、保密性和可用性；应支持云服务客户部署密钥管理解决方案，保证云服务客户自行实现数据的加解密过程。1.2.2.4信息系统安全防护a)信息系统安全首先要落实计算机系统安全管理；b)信息系统须具备对登录用户具备身份标识和鉴别功能，限制非法登录次数，有效解决远程登录安全性问题；c)信息系统实现系统账户的有效管理，不存在默认或失效账户，应支持多主体授权，支持用户级、进程级或数据库级或表级等多种粒度的访问控制策略配置，实现管理用户的权限分离，实现访问安全控制；d)应实现系统安全审计功能，覆盖所有用户。对重要用户和重要安全事件进行审计，对审计进程和审计记录有保护措施，防止未经授权的中断及更改；e)遵循最小安装原则，仅安装需要的组建和应用程序。关闭不需要的端口和服务。对有关入侵或非法操作能够及时进行报警；f)采用密码技术或校验技术保证重要数据的完整性、数据保密性；g)采取较为完善的数据备份与恢复功能，有数据备份与恢复还原的具体方案，并定期进行演练。1.2.2.5移动互联安全防护a)无线接入设备安装位置选址应避免电磁干扰，无线网络与有线网络边界之间的数据流和访问应通过无线接入网关设备，无线接入设备开启接入认证，并通过认证服务器进行认证；b)无线接入系统能够监测非授权无线接入设备和非授权移动终端的接入行为，并能够阻断非授权无线接入设备或非授权终端；c)无线接入系统具备安全管理和防范功能，能够检测对无线接入设备的网络扫描、密钥破解、中间人攻击、DDos攻击和欺骗攻击等；d)应对移动端和移动端应用软件的采购、开发、部署和使用等进行有效管理；e)应建立和加强移动端以及移动端应用软件的运行管理。1.2.2.6网络安全管理中心应部署校园网络安全态势感知平台，建立网络安全管理中心，实现网络安全统一管理。以此为基础，检查落实网络安全策略执行情况，检查落实网络、信息系统安全配置、授权、审计和安全控制情况，检查落实网络安全管理制度执行情况，检查落实网络安全操作规程执行情况，查找网络安全管理风险，持续改进网络安全工作。a)根据学校网络安全实际情况，划分网络安全管理域，对不同管理域的网络安全设备、安全软件/系统或组件进行管控；b)组建虚拟专网，提供安全信息传输路径，实现对网络中的安全设备、安全软件/系统或组建进行管理；c)能够对网络设备、网络链路、网络安全设备和服务器等的运行情况进行集中检测；d)能够对分散在相关设备上的审计数据进行汇总和集中分析，并保证对审计数据管理的合规遵从性；e)能够对网络安全策略、恶意代码、软件版本管理及补丁升级等网络安全相关事项进行集中管理；f)能够对网络中发生的各类安全事件进行识别、报警和分析。1.2.3网络安全管理网络安全管理包括网络安全管理制度、网络安全机构、网络安全管理人员、网络安全建设管理和网络安全运维管理等部分。1.2.3.1网络安全管理制度网络安全管理制度包括网络安全策略、网络安全行动指南、网络安全管理制度、网络安全操作规程以及记录表单等构成的全面的网络安全制度体系。a)制定网络安全工作的总方针和安全策略，明确网络安全工作的总目标、范围、原则和安全框架等；b)根据网络安全策略，制定网络安全工作行动指南，为网络安全管理提供清晰的策略方向，阐明网络安全建设和管理的重要原则以及网络安全建设和管理所需支撑保障；c)对网络安全管理活动中的有关内容建立相应的网络安全管理制度，如机房管理制度、网站建设管理办法等制度；d)对管理人员或操作人员执行的日常管理操作建立操作规程，如服务器操作系统安装与安全配置操作规程等；e)为了落实相关网络安全管理制度、操作规程，必须设计相应的记录表单，记录表单最好通过信息系统实现，便于管理和监督；f)管理制度的制定和发布应该符合相关管理规定，并建立相应的制定、评审、修订、发布的规范流程。1.2.3.2网络安全管理机构应成立主要负责人担任领导的指导和管理网络安全工作的委员会或领导小组，应明确承担网络安全管理工作的职能部门，明确负责人的网络安全职责。设立相应的网络安全专职岗位，并明确岗位职责。建立网络安全专题会议制度，定期研究网络安全问题，协调开展网络安全检查，就网络安全工作进行协调、沟通、评估、推进等。1.2.3.3网络安全人员应设立安全主管、安全管理各个方面的负责人岗位，定义各负责人职责。配备一定数量的网络管理员、系统管理员、安全审计管理员和安全管理员等。配备专职安全管理员，不可兼任。a)相关网络安全人员应具备相应岗位的安全管理或技术能力，并签署岗位责任协议；b)网络安全人员离岗，应及时终止相关权限或授权，进行工作交接，严格调离手续，签署承诺调离后的保密义务方可离开；c)针对岗位要求，制定网络安全人员的学习和教育培训计划，网络安全人员应参加或接受相关网络安全知识、技能培训；d)网络安全人员应定期学习网络安全管理制度以及操作规程，并接受考核；e)网络安全人员应落实外部人员访问管理有关规定和操作规程。1.2.3.4网络安全建设管理a)根据网络安全策略和网络安全工作指南，结合网络安全现状，对网络安全进行整体规划和安全方案设计，建立相应的配套文件；b)组织相关部门和专家对网络安全整体规划、网络安全实施方案及配套文件进行合理性、可行性等进行咨询论证、审定，经批准后实施；c)网络安全产品采购和使用应符合国家有关规定和有关主管部门的要求，应根据方案事先对产品进行选型测试，确定产品的候选范围；d)建议引入第三方符合资质要求的网络安全工程监理，控制项目的实施过程，负责项目质量管理；e)应制定网络安全工程实施过程和交付前的测试方案，依据实施方案和测试方案进行工程管理和监理；f)制定交付清单，根据交付清单对设备、软件和文档等进行清点交接。对负责运行维护相关人员进行培训，提供建设文档和运行维护文档，落实项目技术交底；g)对服务商产品及服务进行定期评估，强化安全产品的系统升级与服务的改进管理。1.2.3.5网络安全运维管理a)落实环境安全管理，特别是机房安全管理制度，做好人员出入管理及外部访问人员的相关行为管理；b)落实信息资产管理措施，对重要信息资产进行标识管理和分类管理；c)落实介质的使用和管理，对各类介质进行控制和保护，完善介质存放、使用档案；d)落实设备的维护与管理，特别防范非授权操作；e)开展安全漏洞和安全风险管理，及时识别安全漏洞和风险，定期开展安全测评，形成安全测评报告，采取措施应对相应安全问题；f)落实网络安全、云计算安全、信息系统安全等相关措施；g)增强密码管理意识，落实教育行业密码使用管理规定；h)加强配置管理，保存网络拓扑、软件版本、补丁信息、配置参数等基本配置信息，及时更新配置变更信息；i)明确变更程序和过程管理，根据变