xx大學資訊保安方案

目錄1. 專案背景 1

2. 現狀及存在問題 2

3. 需求分析 4

3.1. 網路安全風險及安全需求 4

3.2. 資料風險及安全需求 6

4. 總體解決方案 6

4.1. 網路安全 6

4.2. 資料安全 7

5. 詳細設計方案 7

5.1. 網路安全詳細設計 7

5.1.1. 物理層安全 8

5.1.2. 網路層安全 8

5.1.3. 系統層安全 10

5.1.4. 應用層安全 10

5.1.5. 管理層安全 11

5.1.6. 網路安全部署示意圖 12

5.2. 資料安全詳細設計 13

5.2.1. 資料安全部署示意圖 13

5.2.2. 本地備份 13

5.2.2.1. 備份系統組成 13

5.2.2.2. 基於磁碟的資料保護設計 14

5.2.2.3. oracle資料庫的備份方式 14

5.2.3. 容災規劃 15

5.2.3.1. 容災技術路線 15

5.2.3.2. 容災所需配置 19

6. 建設清單 20

21世紀是知識經濟的時代，以知識和資訊的產生、傳播及應用為基礎的知識經濟將佔世界經濟發展的主導地位。資訊科技的飛速發展，為知識經濟的發展奠定了堅實的技術基礎。國家的綜合國力和國際競爭力越來越取決於教育發展、科技進步和知識創新，教育在經濟和社會發展過程中將呈現出越來越突出的作用。

然而21世紀教育面臨一系列的挑戰，這些挑戰主要來自於科學技術的迅猛發展、因人口增長而引起的教育要求、國際競爭和各種社會問題等方面。傳統的教育越來越不適應社會的發展，教育的根本出路就在改革，而教育改革的重要途徑之一是教育資訊化。

自2023年以來，我過的教育資訊化經過多年的發展，我國現在教育資訊化的基礎設施建設已經初具規模。***大學早期已完成校園網工程的建設，建立起了校園骨幹網網路，校園中心機房及多套業務應用系統即網路層的建設與業務層的部分建設，資訊化建設的基礎設施已經基本完備。***大學的資訊化建設已經逐步從「重建設」向「重應用」轉化。

這些資訊化的建設內容取得了許多很好的實際應用效果，為數位化校園的建設和持續發展打下了基礎。

但是在教學及管理的資訊化背後，網路的安全以及資料的安全的問題也慢慢凸顯。在校園資訊化的進一步深入後，校園的的日常運作更依賴於校園的資訊化系統。一旦校園的網路出現問題，或者資料丟失，很可能造成校園業務的癱瘓，損失無法估量。

***大學校園網由中國教育與科研計算機網（cer***，100mbps頻寬，簡稱教科網），中國電信（china***，200mbps第二出口和6gbps頻寬線路各兩條）共同組成，為全校師生提供國內、國際訪問服務。學校3校區以光纖千兆互連，以無線網作為補充覆蓋校園的主要部分，利用vpn裝置完成所有校區外教職員工的校園網路接入。其中，絕大部分校內伺服器及資訊資源均部署在教科網，中國電信（china***）只提供個人、辦公互聯接入。

網路拓撲圖如下：

目前存在的問題如下：

1.網路安全問題：

（1）校園網通過cer***與inter***相連，在享受inter***方便快捷的同時，也面臨著遭遇攻擊的風險。

（2）隨著***大學數位化校園的建設，校園的web社交網路、微博等等一系列新型的網際網路產品的誕生，基於web環境的數位化校園應用越來越廣泛，校園資訊化的過程中各種應用都架設在web平台上，web業務的迅速發展也引起黑客們的強烈關注，接踵而至的就是web安全威脅的凸顯，來自校內外的黑客利用**作業系統的漏洞和web服務程式的sql注入漏洞等得到web伺服器的控制許可權，輕則篡改網頁內容，重則竊取重要內部資料，更為嚴重的則是在網頁中植入惡意**，使得**訪問者受到侵害。而現在，黑客攻擊工具在網上十分常見，一般人員並不需要很複雜的知識就能用。這也使得越來越多的使用者關注應用層的安全問題，對web應用安全的關注度也逐漸公升溫。

（3）隨著校園內計算機應用的大範圍普及，接入校園網節點日漸增多，而這些節點大部分都沒有採取一定的防護措施，隨時有可能造成病毒氾濫、資訊丟失、資料損壞、網路被攻擊、系統癱瘓等嚴重後果。

目前***大學在cer***及inter***的出口處各部署了一台防火牆。防火牆可以有效地隔離內部網與外部網，保護校園內部網路免遭來自外網的侵入。但對於來自內網的安全威脅，並沒有任何的防護措施。

2.資料安全問題：

***大學目前多個部門有多個應用系統。由於這些應用系統多建於不同時間段，由於當時的技術所限以及行政管理的原因，各個部門的各個系統處於「資訊孤島」的狀態。各部門的各系統的資料分別存放在各伺服器本地硬碟上。

整體規劃數位化校園後，將學校現有的各個應用系統通過中介軟體統一整合到乙個平台上，資料也將統一儲存，各應用伺服器僅提**用服務，而不提供具體的資料服務。

目前***大學僅有一套富士通的光纖儲存陣列，但由於資訊孤島的狀態，該儲存陣列僅作為各伺服器資料的備份裝置使用，採用人工備份的方式，效率低下，維護工作量大，出錯率大。

如數位化校園系統上線後，該儲存陣列作為資料庫的主要儲存裝置，所有資料均存放在該儲存裝置上，一旦該儲存裝置出現問題，所有應用系統都將癱瘓，因此需要考慮資料的備份與恢復的問題。

隨著***大學的資訊化的發展，數位化校園系統上線後，資訊系統將漸漸成為***大學賴以生存和發展的基本條件。相應地，學校資訊系統的安全問題也越來越突出，學校資訊系統的安全問題主要包括兩個方面：一是來自外界對資訊系統的非法侵入，對資訊系統的蓄意破壞和盜竊、篡改資訊行為；二是來自學校內部人員（學生或教師）故意或無意的對資訊系統管理的違反。

學校資訊系統正在面臨著嚴峻的挑戰。

下面我們將通過分析***大學的網路結構下可能面臨的安全問題，對***大學目前的安全需求進行總體分析。

針對目前最常見的網際網路攻擊型別以及國內校園通常面臨的安全威脅，結合***大學的實際情況，我們認為在***大學網路可能面臨的安全風險和對應的安全需求如下：

技術的快速發展和校園資訊化建設力度的不斷增強，對資訊資料的完整性和系統執行的持續性提出了更為嚴格的要求。資訊資料海量增長、資訊系統支撐的業務高度集中和資訊儲存網路化不但使得資訊資料的重要性日益凸顯，同時也加大了各類風險的發生概率和資訊資產的脆弱程度。

目前***大學雖然已經部署了大量的應用系統，但是由於缺乏統一規劃，各應用系統由不同時期的不同廠商開發建設的，沒有相關的資訊資料標準，因此資料也無法統一存放，各系統均存放在各應用伺服器的本地儲存上。數位化校園的建設勢必要統一各部門各應用系統的資料，並且統一存放。在校園日常業務轉移到數位化校園平台上後，一旦資料丟失，將對校園的日常運營產生無法估量的損失。

因此，***大學需要建立一套完善的資料備份、恢復系統。

根據對***大學系統安全需求分析，我們提出了由多種安全技術和多層防護措施構成的一整套安全技術方案，具體包括：

網路層：部署防火牆，用於隔離網路，劃分安全域；部署入侵防禦系統，實時、主動攔截黑客攻擊、蠕蟲、網路病毒、後門木馬、ddos等惡意流量用於識別來自內外網路在系統層部署病毒防範系統；

系統層：部署防病毒軟體

應用層：部署web安全裝置及上網行為管理裝置。

管理層：制訂安全管理策略

目前***大學並無任何備份容災措施。根據海洋大學的現狀以及將來數位化校園的規劃，採用現有的富士通儲存作為主儲存裝置；同時配置一套本地備份系統及遠端容災系統。本地備份系統主要由以下部分構成：

備份伺服器：安裝備份軟體，制定備份策略，提供備份及恢復的服務。

備份儲存裝置：配置一台fc備份儲存裝置作為近線儲存，存放需要備份的重要資料。

虛擬帶庫：儲存使用率較低的資料。

遠端容災系統由以下部分組成：

容災儲存裝置：配置一台ip san儲存作為遠端容災儲存。

根據對***大學系統安全需求分析，我們提出了由多種安全技術和多層防護措施構成的一整套安全技術方案。

xx大學資訊保安方案

XX大學技術方案

XX網路與資訊保安應急預案

xx大學xx系xx專業xx班同學會方案

xx大學資訊保安方案

XX大學技術方案

XX網路與資訊保安應急預案

xx大學xx系xx專業xx班同學會方案

相關推薦