《网络系统及信息安全工作情况汇报.doc》由会员分享,可在线阅读,更多相关《网络系统及信息安全工作情况汇报.doc(36页珍藏版)》请在三一办公上搜索。
1、阜阳粮食学院网络系统及信息安全工作情况汇报阜阳粮食学院 网络中心2012-8-24校园网(CAN)不仅为广大师生提供信息交流的平台,同时,也担负着学院管理的重要职责,已具有不可替代的作用,以我院为例,本校园网除了为师生提供基本的网络信息浏览、邮件、网上聊天、选课、课件下载、远程教学、招生宣传和志愿填报、学籍管理等一系列基本网络服务外,还是校园一卡通系统、监控、电话程控机、电子大屏幕、广播系统、无线信号中继等各种弱电系统应用的综合业务平台,因此,保证校园网络正常运行和信息安全对于我院正常运转具有举足轻重的意义。基于这一认识,我院领导及相关职能部门在阜阳粮食学院新区建设一开始,便将校园网的安全建设
2、放到了基础建设的同等位置。一、 重要网络与信息系统基本情况首先在新校区弱电工程项目立项之初,我校成立以院级领导为首,综合事务、网络中心、院办等各部门参与的专门工作小组,开始对安全进行需求分析和技术论证工作,根据考察科大讯飞和网易科技的所推荐的数个在华东地区院校的成功案例,及考察合肥体校、合肥学院等数家大专院校,再根据我院的实际特点,通过竞标的方式选定合肥市电信集团作为我院新校区弱电工程的系统集成商,从安全和管理来说,即希望利用电信集团在系统集成方面的雄厚技术实力和人才优势,通过统一技术和设备,保证系统在基础上的通用性、可靠性和实用性。1. 网络设备安全根据现在我院的校园网系统系统核心设备统一采
3、用华为系列产品,实现无缝连接来保证未来系统的可靠性和交互性,便于部署标准的华为信息安全授权、发布、安全架构及产品使用等一系列的配套产品。 (1)联网安全如图1所示,在网管使用NE40E路由器配套的NAT卡将内外网络做物理隔离,通过1个光口上联防火墙eudemon100接入internet。利用高品质的QoS(Quality of Service)能力,先进的队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足不同用户、不同业务等级的服务质量要求。设置AAA(Authentication, Authorization, Audit: 认证、授权、审计)等级保证不同的用户可以获得可
4、靠的服务。硬件可靠:NE40E提供关键部件的冗余备份,关键组件支持热插拔与热备份和 ISSU,NSR(Non-Stop Routing),NSF(Non-Stop Forwarding)等技术提高业务恢复能力,实现无中断业务运行。网络级可靠:NE40E提供IP/LDP/VPN/TE快速重路由/Hot-Standby,IGP、BGP以及组播路由快速收敛,虚拟路由冗余协议(VRRP,Virtual Router Redundancy Protocol),快速环网保护协议(RRPP,Rapid Ring Protection Protocol),TRUNK链路分担备份,BFD链路快速检测,MPLS/
5、Ethernet OAM,路由协议/端口/VLAN Damping等技术,保证整网稳定性,可以提供端到端200ms保护倒换,业务无中断。 另外NE40E提供的VPN FRR和E-VRRP技术以保证未来在和老校区通过vpn互连时提供业务级可靠服务。eudemon100防火墙设备通过光口连接internet和NE40E,我院使用标准的路由模式,以NAT方式实现和外网互联,从而达到校园网和外网隔离,尽可能地减少被攻击的可能。它支持DES,3DES, AES及国密办算法,并发连接数:200,000条,新建连接率:5,000条/秒,支持抵抗SYN FLOOD、ICMP FLOOD、UDP FLOOD、W
6、innuke、Land、Smurf、Fraggle等数十种攻击。同时,对TCP、UDP、分片报文、FTP、SMTP、RTSP、H.323、SIP、HTTP等进行应用状态检测,足够满足我院在有限的将来的全部联网安全需求。APNE40-2FirewallEudemon移动网络中心服务器集群:www, DNS, E-Mail, RTX, ftp, OA, surveillance matrixRaid2硬盘网络中心维护平台计算中心图书馆教务处财务处招生/就业#1,2,3学生公寓(暂定:2 Servers)(管理工作站:普通PC)汇聚层核心层S2326S5300cS3300S3300S3300S330
7、0S3300S3300IP Phone院办S2326S2326S2326S2326S2326一卡通服务器监控室图像存储监控点就近接入邻近交换机APAPS2326接入层wLAN/2G/4G移动图1. 阜阳粮食学院网络拓扑结构图(2)网络交换机树状结构组建校园网络:顶层核心交换机使用S5300,下一步还将准备增购1台,实现双机冗余热备份;次层汇聚层使用S3328TP-EI-24S共6台,交换机内配置AAA;接入层使用65台S2326c,相互间使用光纤互联,从技术上保证1G传输接口。其可靠性以下协议实现: 支持RRPP环型拓扑、支持相交环和多实例等功能; 支持Smartlink树型拓朴及Smartl
8、ink多实例; 支持STP/RSTP/MSTP协议; 支持BPDU保护、根保护和环回保护; 支持智能以太网保护(SEP); 可选:支持Ipv6。(其它交换机的设备可靠性详细参数可参见华为技术白皮书)(3)服务器除财务系统网络外,为实现我院的综合信息查询和管理系统,我院采购了3台DELL R710服务器(Intel尔至强5500双核/2G/SAS500G/),分别用于:Web及DNS:阜阳粮食学院网站:(拟);FTP:课件上传、下载,远程教育;OA:学院的日常办公、邮件、人事考勤、学籍管理等的系统集成;其他:利用1台DELL商务机 Celeon D做 RTX服务器,实现腾讯及时通内网实时通信系统
9、;以上系统使用windows server 2003 professional 和redhat enterprise Linux 5.6&5.8操作系统,建立磁盘镜像予以备份。一旦系统增加,还会考虑在富裕服务器上安装VMWare8.0虚拟操作系统,包括用于云计算支持。一卡通系统和监控系统都采用各自原厂改装和自配组合的服务器组合阵列实现本职业务,其运行各自操作管理系统,与其他应用不兼容。(4)磁盘管理已为一卡通系统订购1套IBM磁盘阵列和1块硬盘,决定使用raid2方式实现一卡通财务数据的保护。(5)综合布线终端模块主要使用IBM和AMP产品,网线(catalog 6 & extra catal
10、og 5)采用各色品牌,依据568B综合布线标准实施。2. 电话通信安全使用天波IPX500设备,光纤接入,支持160线,现已开通101个线(号码),由电信集团统一放号和维护,不用端口一律屏蔽,配线架配有防雷接线子。3. 管理安全根据物理区间的不同划分不同的网段,由于是使用电信集团作为总的ISP服务商,目前还没有通过教育网分配公网地址,所以,内网选用192地址段,在主楼、食堂等处使用210.45.10.x,监控系统使用210.45.201.x,一卡通系统210.45.202.x。已部门为单位划分网段,现在已划分了11个vlan网段,各网段间禁止互访。在多个计算中心、网络实验室拟通过路由器和校园
11、网互联。待学院的所有网络设备和工作电脑到位后,就要使用ip和mac地址绑定的方式实现管理。其中财务、人事另外组建单独子网。在学生公寓使用ONU 设备接入公网。无线设备中继规定212.191.x.x方式接入另个子网。4. 安全设备机房使用独立供电系统,多重空气开关保护,后备电源使用UPS(Santek 2kw)/松下电池组4小时。机房弱电单独接地,摇表测试:地阻0.5。机房配有监控器1台,24小时实时监视。其他,利用各种防静电材料和手段来保护硬件设备安全。二、整体安全状况根据国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)的文件精神,重点保护基础信息网络,建立信息安全等级
12、保护制度,制定信息安全等级,按标准进行建设、管理和监督。1确立安全处理规范建立通用的P2DR动态安全模型,即以Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)模式为参照,建立网络中心和各部门安全处理机制,制定网络维护日常管理流程和突发状况应对预案。图2. P2DR安全模型2. 以防护等级确立管理机制根据公通字200466号文件:关于信息安全等级保护工作的实施意见公通字20067号文件:信息安全等级保护管理办法试行和信息安全等级保护信息系统运行安全管理要求在整个学院建立系统保护管理控制机制,将网络划分为3个安全等级,分别为自主保护级、指
13、导保护级和监督保护级,其中监督保护级又分为普通监督保护级和重点监督保护级。主管部门对不同级别的网络实行不同等级的监管。1) 自主保护:各部门(除财务、人事处)下属网络和主机自行保护,由网络中心提供建议和学院通用软件和补丁程序,只在紧急情况下提供系统恢复服务。2) 指导保护:当由各部门系统或设备给整个学院网络造成轻微损害。本级在主管部门的指导下,按照通信行业安全标准进行自主保护。3) 监督保护(分普通监督保护级和重点监督保护级两种情况) 普通监督保护级是指学院网络遭到破坏,或对学院管理、业务部门、群体利益以及网络和业务运营商造成损害。本级按照通信行业安全标准进行自主保护,通知主管部门对其进行监督
14、、检查。 重点监督保护级是指学院网络遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及网络和业务运营商造成严重损害。本级按照通信行业安全标准进行自主保护,将由院领导对其进行重点监督、检查。以此为依据,在阜阳粮食学院院办的统一领导和指挥下,确立以网络中心为主导,针对不同的用户群体,定制网络维护、应用、存储的3个等级和权限:分别实现:1) 部门保护,即本机安全由用户自行控制,网络中心随时追踪和指导;2) 重点防护:针对学院内重要公共设备,如财务、人事、招生部门的共享服务器、打印机、电井内交换机设备,采取定时查询、口令限制等;3) 系统保护:对中心机房设备、院级网络采取专人维护、系统加密、授权认
15、证方式实施全面防护。另外,特别规定了在紧急情况下(如断网、重要联网设备当机等)应采取的相应措施,及需要优先保障的用户(院级领导、招生中心、财务)和设备(一卡通、学籍管理系统等)。为贯彻管理责任及时到位,现已开始和各部门签订网络与信息安全责任书(承诺书),其文本详见附录2。4. 确立单位组织处理流程详细结构如图3所示:学院领导正院长院办副院长网络中心主任基础安全n 安全技术架构设计n 制定与维护安全策略n 基础网络安全制度n 安全连接审查n 安全技术产品审查安全运作n 7x24小时支持n 安全事件管理应急中心n 应用和系统的安全支持n 安全部署实施n 安全策略实施安全服务n 安全顾问咨询n 安全
16、认证服务n 入侵检测服务n 防DDoS攻击服务n 安全接入服务安全培训部门人事处安全审计安全运营安全管理NOC网络管理系统评估报告图3. 阜阳粮食学院安全管理组织结构图5持续投入,加紧建设,动态调整随着网络设备的不断升级改造,本网络中心机房的扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。四、安全状况的判断和处理(1)访问管理(AAA: Authentic
17、ation & Authorization &Audit)非核心设备网络设备都已关闭远程登录功能,在核心路由器、交换机设备通过SSH实现远程登录维护。根据安全需求不同,在所有重要网络设备上设置长短不一、字母数字混合的登录口令,以增加系统破解难度。同时,服务器还有登录次数限定,个别设备还有30天时间提示更改口令提示。网络中心的设备保护口令只在本机房内部由专人保存。各部门和用户也已通过RTX远程通知的方式告知单机系统口令的设置的重要性,其管理按“自我保护”等级要求实施。入离职员工或转换部门,失效口令立即更改或注销。(2)日志管理(详见附录3)1) 建立相关文档、编制调查表、与有关人员访谈、现场实地
18、观察等多种方式尽可能多地收集、分析和整理电信网络的相关信息(详见附录1)。准备文本,对所有机房发生的事件,出入设备进行记录,定期上报网络运行情况。2) 日志定期处理:路由器、防火墙、服务器、交换机日志的记录、查阅和存档。另外,攻击者会试图通过我们允许的协议实施隧道攻击。这就导致了SQL注入、缓存溢出和其它应用层攻击的增长。这种情况迫使我们修改我们的日志策略。虽然我们过去一直把重点放在以网络为中心的攻击方面,保留防火墙报警和网络流量等数据,但是,我们现在需要把重点放在应用层日志方面。系统日志一般通过移动硬盘的放保存1年。3) 审计追踪:日志记录必须被设置3个级别,系统管理员和安全分析员才可以追踪
19、核心网络设备的所有日志(syslog);系统操作员可以查阅登陆、操作、报警信息(access_log);一般部门人员只能浏览和本人有关的数据库登陆等信息(usrlog)。(3)针对网络的攻击解决方案1) 边界安全:在防火墙(Huawei eudemon100)及网关服务器(RHEL 5.6)通过设置,只让经过授权的用户(拥有钥匙或者胸牌的用户)进出。边界安全可以控制对关键性应用、服务和数据的访问,使得只有合法的用户和信息才能从一个网络(信任域)进入另外一个网络。基本的实施是访问控制和防火墙(访问攻击,缓解DOS攻击,检测扫描攻击及作出相应措施)。2) 入侵防范(IDS,IPS):扫描网络流量(
20、通过将流量拷贝一份到传感器),查找可疑的数据分组。利用一个跟踪特征数据库,它们可以记录任何不正常的情况,并采取相应的措施:发出警报,重置攻击者的TCP 连接,或者禁止攻击者的IP 地址再次登录网络。网络IDS(NIDS)检则器通常可以利用一个不可寻址的混和接口卡监听某个子网上的所有流量,并通过另外一个更加可靠的接口发送任何警报和记录的流量。(检测攻击代码,如木马、病毒,扫描攻击)3) 安全连接(VPN):通过NE40e和本部互联,利用互联网协议安全标准(IPS)的虚拟专用网(VPN)可以提供信息的机密性、完整性和终端身份认证。(防止数据被非法用户窃取,防止中间人的攻击)4) 身份识别(802.
21、1X,AAA):在交换机和服务器,只有通过认证的用户才能访问网络(非法用户不能接入,防止密码攻击)。5) 准入控制(NAC/EAD(H3C)):NAC为完全符合安全策略的终端设备提供网络接入,且有助于确保拒绝不符合策略的设备接入,将其放入隔离区以修复,或仅允许其有限地访问资源。(解决网络威胁)6) 行为管理:通过sniffer监控网络行为,限制网络用户对网络的滥用。(解决网络威胁)7) 集成化产品安全:在提供传统防火墙、VPN功能基础上,同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。具体产品:我院在服务器级别使用:Macfee和A
22、vast防火墙和杀毒软件; 单机用户以360和金山网盾为主。8) 行为监控和网络准入管理: 对网络流量的分析以确认异常流量和现象; 定期的安全评估分析和报告; 各部门间的沟通和响应。7. 网络中心日常维护工作以网络中心为核心,日常的主要工作有:1) 维护网络中心和10层电井内的所有硬件设备、终端系统;2) 配置管理(软硬件清单、存储介质的管理),另外,包括设备迁移或废弃,存储介质的传递、复制、清除或销毁;3) 为各部门提供安全的操作系统和应用系统技术支持,补丁管理;4) 运行维护和安全日志管理、完整性管理、访问控制管理(应用级)。五、安全风险和威胁分析评估1.根据安徽省教育厅分别皖教密【201
23、2】14号文件精神,此次依照上文确立的管理规范和管理制度流程,成立了以院办为主导,副院级领导亲自监督,网络中心具体实施的阜阳粮食学院网络信息安全工作小组,对全院所有在用的网络设备主机进行检测:根据系统的不同使用范围和性质,有针对性性的对每套设备进行巡查,以确认学院网络安全环境的可靠、完善性,具体内容包括:1) 对按照工作流程已经对口令、工作文档、日志、设备连接情况工作进行复查;2) 关闭对外服务的接口设备和服务器设备的不用端口、服务(telnet(23)、ipc$、3389等),封锁sql 注入、ssl溢出漏洞)和应用(不必要的共享功能),及时更新补丁,禁用代理服务。3) 对器网络中心设备,如
24、交换机、路由器、防火墙,确认使用最新补丁,扫描嗅探系统漏洞,对工作站使用linux 和microsoft 维护命令集了解系统。4) 向终端用户分布最新的网络维护信息,安装杀毒软件,帮助扫描漏洞、查杀木马。5) 最后,编制信息系统安全自查情况报告表,详见附录1.2发现的主要问题、薄弱环节及整改情况1) 受规模效益影响,网络硬件系统只是单一树状结构,在核心层还无法做到双机冗余热备份结构,从总体上来说该套系统还只是中小企业规模的校园网,因此在拓扑结构上目前还无达到电信级别的安全标准。2) 系统只在一卡通系统账目财务管理服务器上实现磁盘阵列,其他重要设备一般只使用镜像备份的方式,一旦硬盘崩溃,系统恢复
25、将十分耗时。3) 网络中心所配的UPS后备电源系统,功率偏低、断电为续时间太短,无法保证全部设备的长时间不间断使用。4) 为保障安全,多处关闭了远程登录功能,受授权因素影响,防火墙和有些安全软件需要手工定时升级,造成整个系统自动化管理程度不高,增加了系统漏洞的暴露几率。5) 日志基本人工分析,效率太低,同时,基本上只在本地分析,无法自动上传网络。6) 受人为因素影响,我院还缺乏系统分析师一级的高级网络维护人员团队,造成网络维护还停留在一般网管层面,人员技术水平需要进一步提高,才能适应未来不断变化的网络安全环境。其他:该校园网由于是由合肥市电信集团作为总的系统提供商,主要网络设备基本采用华为产品
26、,服务器以Dell产品为主,辅以各色其他兼容设备,基本上对国外品牌产品依赖不大,各种核心技术、操作系统或开发平台除作为西方原创外,具体应用基本上还是以国产开发软件为主,如一卡通、学籍管理、RTX腾讯通等系统。六、加强我院网络信息安全工作建议根据2个多月来的实践,本系统还是发现了一些问题和安全漏洞,我们根据自检自查的结果,有针对性采取了防范措施,比如在有些地方的网络组成和配置已及时作出了调整或整改,有些因受环境和设备条件因素影响,还有待进一步完善。,我们也因此认识到:除了要在国家层面做好立法工作,对安全法律法规的贯彻实施进行监督外,网络的安全防护不仅是复杂的综合的系统工程。具体到单位和个人,日常
27、的工作不仅要不断加强技术手段外,还需要加强对社会工程学、社会心理学、犯罪心理学等方面的学习。另外,要想保证设备的高效运营,确实有必要不断加大设备的软硬件投入。另外,希望上级部门能够经常组织有关信息系统安全的培训,进一步提升信息系统管理工作人员的专业水平,以进一步强化信息系统的安全防范工作。工作贵在持之以恒,虽然我院已制定了管理流程和规范、并且已将工作落实到具体部门和个人,但由于工作中人的因素第一性,所以还必须由各级相关职能部门随时狠抓落实,长期不懈,这样才能真正做到信息安全的有效性和长久性。同时,继续加强对全院所有教工的安全意识教育,提高做好安全工作的主动性和自觉性。以制度为根本,在进一步完善
28、信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。七、年度培训计划安排根据和设备提供商的所达成的协议,未来我院有2个选送华为(杭州办事处)培训中心和2个锐捷公司(深圳)免费管理员培训名额,我院将依据学院的整体工作安排,在适当时候,选派学院合适人员参加。截止8月底,我院财务处以组织了网络中心、财务、人事、学管、招生等数个部门进行了全面的一卡通使用和维护培训。人事处开学后还将安排学院网络管理制度和员工使用细则培训,同时,为方便新员工入职和新生入学,学生处还分别编制了教师/新生入校网络使用指南。八、费用投入(略)九、总结我院各级部门根据一个时期以来的工作和不断
29、摸索,为了养成规范流程操作和良好工作习惯,网络中心根据院办院办要求,从基础抓起,拟定了安全方案、工作计划和安全责任书,目前已开始逐步实施,希望能够以此不断提升信息安全理念,强化信息技术的安全管理和保障,加强对包括设备安全、网络安全、数据安全等信息化建设全方位的安全管理,为学院的科学化和精细化管理提供决策依据。总之,我们要不断创新安全工作机制,提高我院的网络信息工作的运行效率,进一步规范办公秩序。提高信息安全工作的现代化水平,便于进一步加强对计算机信息系统安全的防范和保密工作。附录1. 阜阳粮食学院网络内部系统运行情况分析一、网络运行总体情况1. 信息网络运行效率统计月份 月统计指标8月7月网络
30、及服务器设备故障次数21本地网络系统运行率40%20%广域网络系统运行率50%50%应用子系统服务器平均运行率10.000%0.0%2.网络运行情况我院计算机网络整体运行良好,但在网络上还有DDoS出现,主要现象为针对135、139和445端口发送大量垃圾信息,对应用系统的正常使用有一定的影响。各部门各单位应加强定期检查本部门或本单位计算机病毒和溢出攻击的防治工作,特别是计算机系统在重新安装系统后必须安装防病毒程序,并及时安装操作系统补丁,更新防病毒特征码,保证联网计算机的安全。3定期软件漏洞扫描检查结果因本系统投入2个月来,还没有出现网络异常情况,所以出于了解网络运行状况目的,使用fluxa
31、y和sniffer 软件在每月网络空闲时进行例行检查,寻找漏洞主机,同时,监察是否存在攻击源或中毒“肉鸡”,以最后1次8月23日扫描情况为例说明:图4. fluxay 扫描演示获得扫描情况报告,获知在运行主机共有122台主机,其中22台有23端口(telnet)开放,57台IPC$开放,1台具有CGI漏洞,这样就可以了解学院现在出现DDos攻击的可能性较高,因通过ip与mac地址的绑定的方式查找开放端口主机,通知他们立即打上补丁,开启防火墙,关闭不必要端口。利用sniffer软件进行扫描,通过对比各个主机的连接情况,可以基本肯定在该时段系统基本认为正常,没有流速异常情况。图5. sniffer
32、 Ip连接扫描列表二、网络系统服务情况自7-8月,系统出现3次网络服务中断的情况,除1次是由于ISP提供商中国电信集团的光缆断裂和路由器地址分配出问题外,唯一1次是在食堂的连接的一卡通工控机系统因设置不慎造成网络风暴,造成整个网段出现无法上网情况,后来通过卸载相关软件,故障消失。其他除单机问题外,系统基本正常。三、病毒通报无四、安全建议:(1) 打好系统补丁。(2) 上网的时候一定打开杀毒软件的即时监控功能,并及时升级杀毒软件,免费软件建议使用金山毒霸、360杀毒、avast等在本机自行扫描解决。(3) 不要轻易点击网络论坛上、聊天室里、聊天软件发来的网址链接。附录2. 信息系统安全自查情况报
33、告表(得分: 分)一、单位基本情况(小计5分,得 分)单位名称分管信息安全工作的领导(2分)姓 名: 温志军 职 务: 副院长 信息安全责任处(科)室(1.5分)名 称: 网络中心 负责人: 李华正 职务: 工程师 电 话: 信息安全员(1.5分)姓 名: 仇石洲 职务: 工程师 电 话: 二、信息系统基本情况(小计13分,得 分)信息系统基本情况(3分)信息系统总数: 1 个面向社会公众提供服务的信息系统数: 1 个委托社会第三方进行日常运维管理的信息系统数: 1 个,其中签订运维外包服务合同的信息系统数: 个互联网接入情况(此项为统计项,不计分 本报告表未列明分值的选项均为统计调查项,不设
34、分值,不计入总分。)互联网接入口总数: 1 个其中:移动 接入口数量: 1 个 接入带宽: 200 兆 电信 接入口数量: 0 个 接入带宽: 兆 其他: 接入口数量: 个 接入带宽: 兆系统定级情况(2分)第一级: 个 第二级: 1 个 第三级: 个第四级: 个 第五级: 个 未定级: 个系统安全测评情况(8分)最近2年开展安全测评(含风险评估、等级测评)系统数: 0 个三、日常信息安全管理情况(小计8分,得 分)人员管理(5分)岗位信息安全和保密责任制度:R已建立 未建立重要岗位人员信息安全和保密协议:R全部签订 部分签订 均未签订人员离岗离职安全管理规定:R已制定 未制定外部人员访问机房
35、等重要区域管理制度:R已建立 未建立资产管理(3分)信息安全设备运维管理:R已明确专人负责 未明确R定期进行配置检查、日志审计等 未进行设备维修维护和报废销毁管理:R已建立管理制度,且维修维护和报废销毁记录完整已建立管理制度,但维修维护和报废销毁记录不完整尚未建立管理制度四、信息安全防护管理情况(小计37分,得 分)网络边界防护管理(6分)网络区域划分是否合理:R合理 不合理安全防护设备策略:使用默认配置 R根据应用自主配置互联网访问控制: R有访问控制措施 无访问控制措施互联网访问日志: R留存日志 未留存日志信息系统安全管理(6分)服务器安全防护:R已关闭不必要的应用、服务、端口 未关闭R
36、帐户口令满足8位,包含数字、字母或符号 不满足R定期更新帐户口令 未能定期更新R定期进行漏洞扫描、病毒木马检测 未进行网络设备防护:R安全策略配置有效 无效R帐户口令满足8位,包含数字、字母或符号 不满足定期更新帐户口令 未能定期更新定期进行漏洞扫描、病毒木马检测 R未进行信息安全设备部署及使用:R已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备 未部署 R安全策略配置有效 无效门户网站应用管理(15分)门户网站管理(3分)网站域名:_IP地址:_是否申请中文域名:是_ R否网站是否备案:R是 否门户网站账户安全管理: R已清理无关帐户 未清理无空口令、弱口令和默认口令 R有清理网站临时
37、文件、关闭网站目录遍历功能等情况:R已清理 口未清理门户网站信息发布管理: v已建立审核制度,且审核记录完整已建立审核制度,但审核记录不完整尚未建立审核制度其他应用管理(4分)电子邮件功能(开设 未开设)R已作清理,仅限本部门或有关人员使用 未作清理R有技术措施用于控制和管理口令强度 无技术措施无空口令、弱口令和默认口令 R有留言板功能(R开设 未开设)R留言内容经审核后发布 未经审核即可发布论坛功能(开设 未开设) R已备案根据互联网电子公告服务管理规定,拟开展电子论坛等电子公告服务的,应当向所在地电信管理机构进行专项备案。 未备案论坛内容经审核后发布 未经审核即可发布博客功能(R开设 未开
38、设)R已作清理,仅限本部门或有关人员使用 未作清理博客内容经审核后发布 未经审核即可发布日常安全保障(8分)依据p2dr规范,在整个学院建立系统保护管理控制机制,将网络划分为3个安全等级,分别为自主保护级、指导保护级和监督保护级,其中监督保护级又分为普通监督保护级和重点监督保护级。主管部门对不同级别的网络实行不同等级的监管。终端计算机安全管理(6分)终端计算机安全管理方式:使用统一平台对终端计算机进行集中管理 R用户分散管理帐户口令管理:无空口令、弱口令和默认口令 R有接入互联网安全控制措施:R有控制措施(如实名接入、绑定计算机IP和MAC地址等)无控制措施漏洞扫描、木马检测: R定期进行 未
39、进行在非涉密信息系统和涉密信息系统间混用情况:R不存在 存在是否存在使用非涉密计算机处理涉密信息情况:R不存在 存在存储设备安全管理(4分)移动存储设备管理方式:集中管理,统一登记、配发、收回、维修、报废、销毁R未采取集中管理相关措施在非涉密信息系统和涉密信息系统间混用情况:R不存在 存在五、信息安全应急管理情况(小计10分,得 分)应急预案制定及备案情况(5分)R已备案 已制定但未备案 未制定应急技术支援队伍(1分)R本单位自身力量 外部专业机构 未明确信息安全应急演练(2分)R本年度已开展 本年度未开展信息安全备份(2分)重要数据: R备份 未备份重要信息系统:R备份 未备份容灾备份服务:
40、R位于境内 位于境外 无六、信息技术产品使用情况(小计5分,得 分)服务器总台数: 4 ,其中国产台数: 1 使用国产CPU的服务器台数: 0 终端计算机(含笔记本)总台数: 122+489 ,其中国产台数: 基本国产 使用国产CPU的计算机台数: 0 网络设备总台数: 1+6+65+others ,其中国产台数: 基本国产 操作系统服务器操作系统情况:安装Windows操作系统的服务器台数: 3 安装Linux操作系统的服务器台数: 1 安装其他操作系统的服务器台数: 0 终端计算机操作系统情况:安装Windows操作系统的计算机台数: 610 安装Linux操作系统的计算机台数: 1 安装
41、其他操作系统的计算机台数: 数据库总套数: 4 ,其中国产套数: 0 信息安全设备安装国产防病毒产品的终端计算机台数: 611 防火墙(不含终端软件防火墙)台数: 1 其中国产防火墙的台数: 1 新购信息安全产品强制性认证情况(5分)2012年新购信息安全产品通过国家认证的台(套)数: 2 ,占新购信息安全产品总数的百分比为: 25% 七、信息安全教育培训情况(小计5分,得 分)参加培训情况(1.5分)R本年度是否派员参加信息安全相关业务培训,人次数: 2 ,培训部门名称 网络中心 组织培训情况(1.5分)R本年度是否组织开展信息安全教育培训,次数: 1 参训人员比例(2分)本年度参加信息安全
42、教育培训的人员占总人数比例为: 17% 八、信息安全检查情况(小计12分,得 分)信息安全检查工作情况(8分)检查工作和经费落实情况: R已落实 未落实检查工作方案制定情况: R已制定 未制定安全保密和风险控制措施: R已采取 未采取组织开展技术检测情况: R已开展 未开展九、信息安全经费预算投入情况(小计5分,得 分)经费预算(2分)本年度信息安全经费预算额: 万元实际经费投入(3分)本年度信息安全经费实际投入额: 万元十、本年度信息安全事件情况本年度安全技术检测结果病毒木马等恶意代码 本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。检测结果进行过病毒木马等恶意代码检测的服务器台数: 4 其中感染恶意代码的服务器台数: 0 进行过病毒木马等恶意代码检测的终端计算机台数: 122 其中感染恶意代码的终端计算机台数: 23 漏洞检测结果进行过漏洞扫描的服务器台数:_4_ ,其中存在漏洞的服务器台数:_0_ ,存在高风险漏洞 本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。的服务器台数:_0_进行过漏洞扫描的终端
