安全資訊

近日，中國教育部發(fā)布“教育部關(guān)于發(fā)布《職業(yè)院校數字校園規范》的通知”（ 教職成函〔2020〕3號）， 為貫徹落實(shí)全國教育大會(huì )精神，落實(shí)《國家職業(yè)教育改革實(shí)施方案》《教育信息化“十三五”規劃》和《教育信息化2.0行動(dòng)計劃》，發(fā)展“互聯(lián)網(wǎng)+職業(yè)教育”，規范、引導職業(yè)院校在新形勢下的信息化工作，特制定《職業(yè)院校數字校園規范》。

《職業(yè)院校數字校園規范》第8部分：網(wǎng)絡(luò )安全。該部分規定了數字校園中網(wǎng)絡(luò )安全的要求，包括總體要求、網(wǎng)絡(luò )安全防護與管理、網(wǎng)絡(luò )安全系統與設備、網(wǎng)絡(luò )內容安全與輿情、網(wǎng)絡(luò )安全能力建設等，旨在加強職業(yè)院校網(wǎng)絡(luò )空間的安全，為職業(yè)院校提供安全、穩定、可靠的網(wǎng)絡(luò )環(huán)境和社會(huì )環(huán)境。

《職業(yè)院校數字校園規范》第8部分整體內容如下：

8   網(wǎng)絡(luò )安全
8.1    總體要求
建設安全可靠的網(wǎng)絡(luò )與信息化設施、確保本校所發(fā)布的信息合法合規，是《網(wǎng)絡(luò )安全法》對所有提供信息服務(wù)的單位提出的統一要求?；凇禛B/T22239-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》、《GB/T28448-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評要求》、《GB/T25070-2019 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護設計要求》等標準規范，網(wǎng)絡(luò )與信息安全是指通過(guò)梳理摸清信息資產(chǎn)，進(jìn)行安全風(fēng)險分析，明確安全目標，制定安全策略，基于網(wǎng)絡(luò )安全政策，通過(guò)采取必要的技術(shù)和管理措施，防范對網(wǎng)絡(luò )的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò )處于穩定、可靠運行的狀態(tài)，保障網(wǎng)絡(luò )數據的完整性、保密性、可用性的能力。

a)   梳理摸清學(xué)校信息資產(chǎn)，建立信息資產(chǎn)庫，進(jìn)行安全風(fēng)險分析評估；

b)   明確安全目標和安全策略，確定網(wǎng)絡(luò )安全保護等級，進(jìn)行網(wǎng)絡(luò )安全體系設計，制定較為完善的安全管理體系，有效防范有關(guān)對網(wǎng)絡(luò )的攻擊、侵入、干擾、破壞、非法使用和意外事故發(fā)生；

c)   根據網(wǎng)絡(luò )安全體系的設計選擇適當的技術(shù)和產(chǎn)品，制定網(wǎng)絡(luò )安全技術(shù)防護實(shí)施方案和運行管理方案，推進(jìn)多層次縱深網(wǎng)絡(luò )安全防護，使網(wǎng)絡(luò )始終處于穩定、可靠運行的狀態(tài)；

d)   對安全管理活動(dòng)中的各種管理內容建立安全管理制度，對安全人員的日常安全管理操作制定操作規程，形成由安全策略、管理制度、操作規程、記錄表單等構成的較為全面的安全管理體系，有效防范非法使用和意外事故發(fā)生；

e)   堅持問(wèn)題導向、目標導向，推進(jìn)網(wǎng)絡(luò )安全技術(shù)防護系統和網(wǎng)絡(luò )安全管理體系相融合，持續改進(jìn)網(wǎng)絡(luò )安全工作，不斷提升保障網(wǎng)絡(luò )數據完整性、保密性、可用性的能力；

f)    網(wǎng)絡(luò )安全的防護對象主要涉及基礎網(wǎng)絡(luò )、云計算平臺/系統、大數據應用/平臺/資源、物聯(lián)網(wǎng)（IoT）、網(wǎng)站、業(yè)務(wù)信息系統、個(gè)人計算機系統、個(gè)人移動(dòng)終端、智能化系統以及采用移動(dòng)互聯(lián)技術(shù)的系統等等。

    網(wǎng)絡(luò )安全實(shí)質(zhì)上已經(jīng)發(fā)展為網(wǎng)絡(luò )空間安全，不僅僅包括內容安全、也包括技術(shù)安全等。網(wǎng)絡(luò )安全具有放大、外溢、交織、疊加等特點(diǎn)，已經(jīng)與政治安全、意識形態(tài)安全、公共安全、學(xué)生安全、實(shí)驗室安全、生產(chǎn)安全等校園安全工作相互交織、相互疊加、跨界擴散等，需要協(xié)同應對。

8.2    網(wǎng)絡(luò )安全
網(wǎng)絡(luò )安全包括信息化軟硬件設施的物理環(huán)境安全、網(wǎng)絡(luò )與通信安全、網(wǎng)站與信息系統安全、智能化系統安全、物聯(lián)網(wǎng)系統安全、各類(lèi)計算機及移動(dòng)終端安全、攝像頭及顯示系統安全、移動(dòng)互聯(lián)網(wǎng)應用安全、云計算與云服務(wù)安全、新媒體應用安全、數據安全及個(gè)人隱私信息安全等。

8.2.1 計算機系統安全管理
a)   計算機操作系統及系統軟件應正版化，應及時(shí)打補丁，進(jìn)行安全配置、加固和優(yōu)化，增加系統操作審計等安全機制；

b)   數據庫及中間件系統應加強版本管理，對系統版本及時(shí)更新，進(jìn)行安全加固和優(yōu)化，對數據庫進(jìn)行加密，應部署數據庫審計系統對數據有關(guān)操作進(jìn)行實(shí)施監控和審計；

c)   系統應消除弱密碼。多人使用的系統應實(shí)現弱密碼禁止注冊或登錄，提供安全密碼設置的技術(shù)導引；

d)   系統應及時(shí)進(jìn)行漏洞檢查與修復，部署實(shí)時(shí)監測和清除各類(lèi)病毒以及黑客程序、支持各類(lèi)客戶(hù)端防殺病毒的計算機防病毒系統，病毒掃描引擎和病毒代碼庫能夠及時(shí)進(jìn)行更新。

8.2.2  網(wǎng)絡(luò )安全防護要求
8.2.2.1  物理環(huán)境安全防護
a)   機房場(chǎng)地應選擇在具有防震、防風(fēng)和防雨等能力的建筑物內，并避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施；

b)   機房應設置響應的安防設施，出入口應配置電子門(mén)禁系統，控制、鑒別和記錄進(jìn)出人員，機房?jì)葢O置相應防盜報警系統或設置專(zhuān)人值守的視頻監控系統；

c)   機房應設置防靜電、防雷擊、防火、防水、防潮等相關(guān)措施，應考慮冗余電源、不間斷電源、電磁防護以及溫濕度控制等增強物理環(huán)境安全的措施。

8.2.2.2  網(wǎng)絡(luò )安全防護
a)   校園網(wǎng)邊界應進(jìn)行網(wǎng)絡(luò )安全防護，根據訪(fǎng)問(wèn)控制策略設置訪(fǎng)問(wèn)控制規則，檢測、防止或限制來(lái)自校內、外的網(wǎng)絡(luò )攻擊行為?？梢愿鶕枰O置網(wǎng)絡(luò )安全防火區，用于對外提供信息服務(wù)；

b)   校園網(wǎng)核心或骨干設備應在保證業(yè)務(wù)處理能力滿(mǎn)足業(yè)務(wù)高峰需要的情況下，支持網(wǎng)絡(luò )安全策略實(shí)施，對不同網(wǎng)絡(luò )區域之間根據訪(fǎng)問(wèn)控制策略設置訪(fǎng)問(wèn)控制規則，實(shí)現網(wǎng)絡(luò )安全風(fēng)險隔離，檢測、防止或限制來(lái)自校內外的網(wǎng)絡(luò )攻擊行為；

c)   應對數據中心或服務(wù)器系統等應用進(jìn)行邊界防護，對進(jìn)出網(wǎng)絡(luò )的數據流基于應用協(xié)議和應用內容進(jìn)行訪(fǎng)問(wèn)控制，隔離，檢測、防止或限制來(lái)自校內外的網(wǎng)絡(luò )攻擊行為；

d)   應部署網(wǎng)絡(luò )安全設施，對非授權設備私自連到內部網(wǎng)絡(luò )行為進(jìn)行檢查和限制，對內部用戶(hù)非授權連到外部網(wǎng)絡(luò )的行為進(jìn)行檢測和限制。

8.2.2.3  云計算環(huán)境安全防護
a)   云計算基礎設施部署在中國境內，提供開(kāi)放接口和開(kāi)放性安全服務(wù)，云服務(wù)客戶(hù)具有根據自己的業(yè)務(wù)安全需求自主設置安全策略的能力；

b)   云計算環(huán)境具備橫向訪(fǎng)問(wèn)控制以及風(fēng)險隔離能力，檢測到網(wǎng)絡(luò )攻擊行為、異常流量情況時(shí)能夠實(shí)時(shí)告警；

c)   云計算環(huán)境應支持云服務(wù)商、云服務(wù)客戶(hù)在遠程管理時(shí)執行的特權命令，以及云服務(wù)商對云服務(wù)客戶(hù)系統和數據操作可以被云服務(wù)客戶(hù)有效審計；

d)   云計算環(huán)境能夠提供云計算平臺和管理終端的雙向身份驗證機制，允許云服務(wù)客戶(hù)設置不同虛擬機之間的訪(fǎng)問(wèn)控制策略，并且控制策略可以隨虛擬機遷移而遷移；

e)   云計算環(huán)境應對惡意代碼感染及在虛擬機之間蔓延情況、虛擬機之間資源隔離失效情況以及虛擬機異常操作進(jìn)行告警；

f)    云計算環(huán)境應有足夠的技術(shù)和管理措施確保云服務(wù)客戶(hù)業(yè)務(wù)數據的完整性、保密性和可用性；應支持云服務(wù)客戶(hù)部署密鑰管理解決方案，保證云服務(wù)客戶(hù)自行實(shí)現數據的加解密過(guò)程。

8.2.2.4  信息系統安全防護
a)   信息系統安全首先要落實(shí)計算機系統安全管理；

b)   信息系統須具備對登錄用戶(hù)具備身份標識和鑒別功能，限制非法登錄次數，有效解決遠程登錄安全性問(wèn)題；  

c)   信息系統實(shí)現系統賬戶(hù)的有效管理，不存在默認或失效賬戶(hù)，應支持多主體授權，支持用戶(hù)級、進(jìn)程級或數據庫級或表級等多種粒度的訪(fǎng)問(wèn)控制策略配置，實(shí)現管理用戶(hù)的權限分離，實(shí)現訪(fǎng)問(wèn)安全控制；  

d)   應實(shí)現系統安全審計功能，覆蓋所有用戶(hù)。對重要用戶(hù)和重要安全事件進(jìn)行審計，對審計進(jìn)程和審計記錄有保護措施，防止未經(jīng)授權的中斷及更改；

e)   遵循最小安裝原則，僅安裝需要的組建和應用程序。關(guān)閉不需要的端口和服務(wù)。對有關(guān)入侵或非法操作能夠及時(shí)進(jìn)行報警；

f)    采用密碼技術(shù)或校驗技術(shù)保證重要數據的完整性、數據保密性；

g)   采取較為完善的數據備份與恢復功能，有數據備份與恢復還原的具體方案，并定期進(jìn)行演練。

8.2.2.5  移動(dòng)互聯(lián)安全防護
a)   無(wú)線(xiàn)接入設備安裝位置選址應避免電磁干擾，無(wú)線(xiàn)網(wǎng)絡(luò )與有線(xiàn)網(wǎng)絡(luò )邊界之間的數據流和訪(fǎng)問(wèn)應通過(guò)無(wú)線(xiàn)接入網(wǎng)關(guān)設備，無(wú)線(xiàn)接入設備開(kāi)啟接入認證，并通過(guò)認證服務(wù)器進(jìn)行認證；

b)   無(wú)線(xiàn)接入系統能夠監測非授權無(wú)線(xiàn)接入設備和非授權移動(dòng)終端的接入行為，并能夠阻斷非授權無(wú)線(xiàn)接入設備或非授權終端；

c)   無(wú)線(xiàn)接入系統具備安全管理和防范功能，能夠檢測對無(wú)線(xiàn)接入設備的網(wǎng)絡(luò )掃描、密鑰破解、中間人攻擊、DDos攻擊和欺騙攻擊等；

d)   應對移動(dòng)端和移動(dòng)端應用軟件的采購、開(kāi)發(fā)、部署和使用等進(jìn)行有效管理；

e)   應建立和加強移動(dòng)端以及移動(dòng)端應用軟件的運行管理。

8.2.2.6  網(wǎng)絡(luò )安全管理中心
應部署校園網(wǎng)絡(luò )安全態(tài)勢感知平臺，建立網(wǎng)絡(luò )安全管理中心，實(shí)現網(wǎng)絡(luò )安全統一管理。以此為基礎，檢查落實(shí)網(wǎng)絡(luò )安全策略執行情況，檢查落實(shí)網(wǎng)絡(luò )、信息系統安全配置、授權、審計和安全控制情況，檢查落實(shí)網(wǎng)絡(luò )安全管理制度執行情況，檢查落實(shí)網(wǎng)絡(luò )安全操作規程執行情況，查找網(wǎng)絡(luò )安全管理風(fēng)險，持續改進(jìn)網(wǎng)絡(luò )安全工作。
a)   根據學(xué)校網(wǎng)絡(luò )安全實(shí)際情況，劃分網(wǎng)絡(luò )安全管理域，對不同管理域的網(wǎng)絡(luò )安全設備、安全軟件/系統或組件進(jìn)行管控；

b)   組建虛擬專(zhuān)網(wǎng)，提供安全信息傳輸路徑，實(shí)現對網(wǎng)絡(luò )中的安全設備、安全軟件/系統或組建進(jìn)行管理；

c)   能夠對網(wǎng)絡(luò )設備、網(wǎng)絡(luò )鏈路、網(wǎng)絡(luò )安全設備和服務(wù)器等的運行情況進(jìn)行集中檢測；

d)   能夠對分散在相關(guān)設備上的審計數據進(jìn)行匯總和集中分析，并保證對審計數據管理的合規遵從性；

e)   能夠對網(wǎng)絡(luò )安全策略、惡意代碼、軟件版本管理及補丁升級等網(wǎng)絡(luò )安全相關(guān)事項進(jìn)行集中管理；

f)    能夠對網(wǎng)絡(luò )中發(fā)生的各類(lèi)安全事件進(jìn)行識別、報警和分析。

8.2.3 網(wǎng)絡(luò )安全管理
網(wǎng)絡(luò )安全管理包括網(wǎng)絡(luò )安全管理制度、網(wǎng)絡(luò )安全機構、網(wǎng)絡(luò )安全管理人員、網(wǎng)絡(luò )安全建設管理和網(wǎng)絡(luò )安全運維管理等部分。

8.2.3.1  網(wǎng)絡(luò )安全管理制度
    網(wǎng)絡(luò )安全管理制度包括網(wǎng)絡(luò )安全策略、網(wǎng)絡(luò )安全行動(dòng)指南、網(wǎng)絡(luò )安全管理制度、網(wǎng)絡(luò )安全操作規程以及記錄表單等構成的全面的網(wǎng)絡(luò )安全制度體系。
a)   制定網(wǎng)絡(luò )安全工作的總方針和安全策略，明確網(wǎng)絡(luò )安全工作的總目標、范圍、原則和安全框架等；

b)   根據網(wǎng)絡(luò )安全策略，制定網(wǎng)絡(luò )安全工作行動(dòng)指南，為網(wǎng)絡(luò )安全管理提供清晰的策略方向，闡明網(wǎng)絡(luò )安全建設和管理的重要原則以及網(wǎng)絡(luò )安全建設和管理所需支撐保障；

c)   對網(wǎng)絡(luò )安全管理活動(dòng)中的有關(guān)內容建立相應的網(wǎng)絡(luò )安全管理制度，如機房管理制度、網(wǎng)站建設管理辦法等制度；

d)   對管理人員或操作人員執行的日常管理操作建立操作規程，如服務(wù)器操作系統安裝與安全配置操作規程等；

e)   為了落實(shí)相關(guān)網(wǎng)絡(luò )安全管理制度、操作規程，必須設計相應的記錄表單，記錄表單最好通過(guò)信息系統實(shí)現，便于管理和監督；

f)    管理制度的制定和發(fā)布應該符合相關(guān)管理規定，并建立相應的制定、評審、修訂、發(fā)布的規范流程。

8.2.3.2  網(wǎng)絡(luò )安全管理機構
應成立主要負責人擔任領(lǐng)導的指導和管理網(wǎng)絡(luò )安全工作的委員會(huì )或領(lǐng)導小組，應明確承擔網(wǎng)絡(luò )安全管理工作的職能部門(mén)，明確負責人的網(wǎng)絡(luò )安全職責。設立相應的網(wǎng)絡(luò )安全專(zhuān)職崗位，并明確崗位職責。建立網(wǎng)絡(luò )安全專(zhuān)題會(huì )議制度，定期研究網(wǎng)絡(luò )安全問(wèn)題，協(xié)調開(kāi)展網(wǎng)絡(luò )安全檢查，就網(wǎng)絡(luò )安全工作進(jìn)行協(xié)調、溝通、評估、推進(jìn)等。
8.2.3.3  網(wǎng)絡(luò )安全人員
應設立安全主管、安全管理各個(gè)方面的負責人崗位，定義各負責人職責。配備一定數量的網(wǎng)絡(luò )管理員、系統管理員、安全審計管理員和安全管理員等。配備專(zhuān)職安全管理員，不可兼任。
a)   相關(guān)網(wǎng)絡(luò )安全人員應具備相應崗位的安全管理或技術(shù)能力，并簽署崗位責任協(xié)議；

b)   網(wǎng)絡(luò )安全人員離崗，應及時(shí)終止相關(guān)權限或授權，進(jìn)行工作交接，嚴格調離手續，簽署承諾調離后的保密義務(wù)方可離開(kāi)；  

c)   針對崗位要求，制定網(wǎng)絡(luò )安全人員的學(xué)習和教育培訓計劃，網(wǎng)絡(luò )安全人員應參加或接受相關(guān)網(wǎng)絡(luò )安全知識、技能培訓；  

d)   網(wǎng)絡(luò )安全人員應定期學(xué)習網(wǎng)絡(luò )安全管理制度以及操作規程，并接受考核；

e)   網(wǎng)絡(luò )安全人員應落實(shí)外部人員訪(fǎng)問(wèn)管理有關(guān)規定和操作規程。

8.2.3.4  網(wǎng)絡(luò )安全建設管理
a)   根據網(wǎng)絡(luò )安全策略和網(wǎng)絡(luò )安全工作指南，結合網(wǎng)絡(luò )安全現狀，對網(wǎng)絡(luò )安全進(jìn)行整體規劃和安全方案設計，建立相應的配套文件；

b)   組織相關(guān)部門(mén)和專(zhuān)家對網(wǎng)絡(luò )安全整體規劃、網(wǎng)絡(luò )安全實(shí)施方案及配套文件進(jìn)行合理性、可行性等進(jìn)行咨詢(xún)論證、審定，經(jīng)批準后實(shí)施；  

c)   網(wǎng)絡(luò )安全產(chǎn)品采購和使用應符合國家有關(guān)規定和有關(guān)主管部門(mén)的要求，應根據方案事先對產(chǎn)品進(jìn)行選型測試，確定產(chǎn)品的候選范圍；

d)   建議引入第三方符合資質(zhì)要求的網(wǎng)絡(luò )安全工程監理，控制項目的實(shí)施過(guò)程，負責項目質(zhì)量管理；  

e)   應制定網(wǎng)絡(luò )安全工程實(shí)施過(guò)程和交付前的測試方案，依據實(shí)施方案和測試方案進(jìn)行工程管理和監理；

f)    制定交付清單，根據交付清單對設備、軟件和文檔等進(jìn)行清點(diǎn)交接。對負責運行維護相關(guān)人員進(jìn)行培訓，提供建設文檔和運行維護文檔，落實(shí)項目技術(shù)交底；

g)   對服務(wù)商產(chǎn)品及服務(wù)進(jìn)行定期評估，強化安全產(chǎn)品的系統升級與服務(wù)的改進(jìn)管理。

8.2.3.5  網(wǎng)絡(luò )安全運維管理
a)   落實(shí)環(huán)境安全管理，特別是機房安全管理制度，做好人員出入管理及外部訪(fǎng)問(wèn)人員的相關(guān)行為管理；

b)   落實(shí)信息資產(chǎn)管理措施，對重要信息資產(chǎn)進(jìn)行標識管理和分類(lèi)管理；

c)   落實(shí)介質(zhì)的使用和管理，對各類(lèi)介質(zhì)進(jìn)行控制和保護，完善介質(zhì)存放、使用檔案；

d)   落實(shí)設備的維護與管理，特別防范非授權操作；

e)   開(kāi)展安全漏洞和安全風(fēng)險管理，及時(shí)識別安全漏洞和風(fēng)險，定期開(kāi)展安全測評，形成安全測評報告，采取措施應對相應安全問(wèn)題；

f)    落實(shí)網(wǎng)絡(luò )安全、云計算安全、信息系統安全等相關(guān)措施；

g)   增強密碼管理意識，落實(shí)教育行業(yè)密碼使用管理規定；

h)   加強配置管理，保存網(wǎng)絡(luò )拓撲、軟件版本、補丁信息、配置參數等基本配置信息，及時(shí)更新配置變更信息；

i)    明確變更程序和過(guò)程管理，根據變更需求制定變更方案，變更方案要經(jīng)過(guò)評審方可實(shí)施，并且建立中止變更或從失敗變更中恢復的程序，明確控制方法并對恢復過(guò)程進(jìn)行演練；

j)    對安全事件進(jìn)行有效管理，對重大安全事件及時(shí)啟動(dòng)應急處置預案和履行報告程序。對網(wǎng)絡(luò )安全應急預案應進(jìn)行演練；

k)   對外包運維管理應加強服務(wù)商能力評估，確保符合國家有關(guān)規定及項目運維能力交付，應明確相關(guān)安全要求，簽訂相關(guān)保密要求，明確應急服務(wù)保障要求等。



8.3    網(wǎng)絡(luò )安全系統與設備
    校園網(wǎng)絡(luò )安全系統與設備包括用戶(hù)統一身份認證系統、防火墻、入侵檢測系統、防病毒系統、漏洞掃描系統、安全審計系統、流量監控系統、上網(wǎng)行為管理系統和WEB應用防火墻等，這些設備根據需要部署在校園網(wǎng)絡(luò )出口位置或數據中心出口位置。
8.3.1   用戶(hù)統一身份認證系統的安全性
a)   校園網(wǎng)應部署統一身份認證系統，結合實(shí)際場(chǎng)景，采取802.1x、Portal、PPPOE、IPOE等多種認證方式，實(shí)現有線(xiàn)無(wú)線(xiàn)用戶(hù)及終端、IPv4/IPv6的統一認證；

b)   統一身份認證系統應支持用戶(hù)身份、IP地址、終端地址和接入位置的綁定及可視化，實(shí)現所有終端的5A可信接入；

c)   應符合《中華人民共和國網(wǎng)絡(luò )安全法》與《互聯(lián)網(wǎng)安全保護技術(shù)措施規定》（公安部令第82號）的規定。



8.3.2   防火墻
防火墻對校園網(wǎng)絡(luò )邊界和各安全域的邊界進(jìn)行保護，其功能包括：抵御DOS/DDos攻擊、靈活的訪(fǎng)問(wèn)控制、NAT/SAT、鏈路負載均衡、服務(wù)器負載均衡、IPSec/PPTP/L2TP/SSL VPN、策略路由、IPV4/IPV6雙協(xié)議棧、日志審計等。


8.3.3   入侵檢測系統
入侵檢測系統通過(guò)對系統或網(wǎng)絡(luò )日志分析，獲得系統或網(wǎng)絡(luò )的安全狀況，發(fā)現可疑或非法的行為，預防合法用戶(hù)對資源的誤操作，其功能包括：實(shí)時(shí)網(wǎng)絡(luò )數據流跟蹤、網(wǎng)絡(luò )攻擊與入侵手段識別、網(wǎng)絡(luò )安全事件捕獲、智能化網(wǎng)絡(luò )安全審計方案、實(shí)時(shí)流量統計與監控等。


8.3.4   防病毒系統
防病毒系統針對互聯(lián)網(wǎng)病毒對學(xué)校信息系統進(jìn)行全方位的保護，其功能包括：
a)   檢測蠕蟲(chóng)病毒、宏病毒、木馬型病毒等各種已知病毒和未知病毒，自動(dòng)恢復被病毒修改的注冊表，自動(dòng)刪除木馬程序；

b)   隔離染毒用戶(hù)，防止病毒傳播。通過(guò)設置，一旦發(fā)現用戶(hù)訪(fǎng)問(wèn)或者拷貝染毒文件時(shí)，可以自動(dòng)切斷網(wǎng)絡(luò )連接，阻止用戶(hù)在指定時(shí)間內再次訪(fǎng)問(wèn)服務(wù)器；  

c)   采用啟發(fā)式掃描技術(shù)，發(fā)現未知病毒或可疑代碼，同時(shí)，通過(guò)網(wǎng)絡(luò )自動(dòng)提交病毒樣本文件；  

d)   對操作系統進(jìn)行安全防護，對于非可信應用程序動(dòng)作，應滿(mǎn)足但不限于檢測木馬、檢測蠕蟲(chóng)、檢測P2P蠕蟲(chóng)、檢測鍵盤(pán)記錄器、檢測隱藏的驅動(dòng)器安裝、檢測修改操作系統內核的操作、檢測隱藏對象、檢測隱藏進(jìn)程；

e)   垃圾郵件防護，方法包括域名信譽(yù)、IP 信譽(yù)、發(fā)件人身份驗證、灰名單技術(shù)、圖片過(guò)濾、完整性分析、啟發(fā)式檢測、黑名單和白名單。



8.3.5   漏洞掃描系統
漏洞掃描系統對關(guān)鍵服務(wù)器系統和網(wǎng)絡(luò )系統的潛在安全威脅進(jìn)行分析，發(fā)現系統的漏洞和弱點(diǎn)，提出建議補救措施供網(wǎng)絡(luò )管理者參考，其功能包括：
a)   根據用戶(hù)制定的安全策略，對系統在模擬黑客入侵的情況下對系統的脆弱性進(jìn)行掃描，準確詳細地報告系統當前存在的弱點(diǎn)和漏洞；

b)   詳細報告系統信息和對外提供的服務(wù)信息；

c)   針對系統存在的漏洞和弱點(diǎn)，給用戶(hù)提出改進(jìn)建議、措施和安全策略；

d)   在掃描分析目標系統后，生成完整的安全性分析報告。



8.3.6   安全審計系統
安全審計系統是對網(wǎng)絡(luò )或指定系統的使用狀態(tài)進(jìn)行跟蹤記錄和綜合管理的工具，對網(wǎng)絡(luò )或指定系統進(jìn)行動(dòng)態(tài)實(shí)時(shí)監控，完成訪(fǎng)問(wèn)和操作等相關(guān)日志信息的收集、分析和審計，及時(shí)發(fā)現和控制來(lái)自?xún)炔炕蛲獠康陌踩L(fēng)險，并提供安全事件的取證。


8.3.7   流量監控系統
流量監控系統是對網(wǎng)絡(luò )流量，特別是校園網(wǎng)出口流量和帶寬進(jìn)行管理和控制的軟硬件一體化系統，包括網(wǎng)絡(luò )流量監控、網(wǎng)絡(luò )流量行為監控、流量和帶寬管理策略的設置等主要功能，主要是實(shí)現較為精細的流量管理，優(yōu)化網(wǎng)絡(luò )應用和服務(wù)，實(shí)現網(wǎng)絡(luò )帶寬的有效利用，提高網(wǎng)絡(luò )和應用的服務(wù)質(zhì)量等。


8.3.8   上網(wǎng)行為管理系統
上網(wǎng)行為管理系統是對網(wǎng)絡(luò )帶寬資源進(jìn)行優(yōu)化以及管理、控制并詳細記錄校園網(wǎng)用戶(hù)的網(wǎng)絡(luò )行為的軟硬件一體化系統，具備上網(wǎng)日志存儲管理，網(wǎng)絡(luò )用戶(hù)行為分析、網(wǎng)頁(yè)訪(fǎng)問(wèn)過(guò)濾，上網(wǎng)應用管理、信息收發(fā)審計等功能。


8.3.9   WEB應用防火墻
WEB應用防火墻保護WEB應用服務(wù)器免受攻擊，有效阻止對服務(wù)器和應用帶來(lái)的威脅，其功能包括主動(dòng)防御、掛馬監測、用戶(hù)訪(fǎng)問(wèn)保護、漏洞攻擊防護、網(wǎng)絡(luò )攻擊防護、流量整形等。


8.4    網(wǎng)絡(luò )內容安全與輿情
8.4.1 網(wǎng)站安全
a)   使用網(wǎng)站群系統實(shí)現網(wǎng)站系統的安全工作； 

b)   網(wǎng)站有版權管理制度，明確信息發(fā)布內容要求，防止非法/不當信息發(fā)布；

c)   網(wǎng)站信息發(fā)布專(zhuān)人專(zhuān)機、嚴格網(wǎng)站信息發(fā)布密碼合規管理，嚴格網(wǎng)站信息發(fā)布審核流程，確保網(wǎng)站信息發(fā)布安全；

d)   嚴格網(wǎng)站信息鏈接管理，防止鏈接非法不良信息/網(wǎng)站；

e)   網(wǎng)站管理人員有嚴格交接制度，確保權限收回，系統無(wú)后門(mén)、無(wú)非法鏈接。



8.4.2 網(wǎng)絡(luò )論壇安全
a)   網(wǎng)絡(luò )論壇系統應落實(shí)網(wǎng)絡(luò )安全等級保護要求；

b)   網(wǎng)絡(luò )論壇的信息發(fā)布要落實(shí)先審后發(fā)制度；

c)   網(wǎng)絡(luò )論壇系統應有關(guān)鍵詞過(guò)濾和屏蔽功能；

d)   網(wǎng)絡(luò )論壇系統應落實(shí)論壇安全管理相關(guān)要求。



8.4.3 新媒體安全
a)   新媒體賬號要備案，賬號密碼要安全，設置為登錄及修改信息時(shí)關(guān)聯(lián)管理人員手機，經(jīng)手機端確認才能登錄或修改信息；

b)   新媒體管理和信息發(fā)布人員離崗的，必須履行交接程序，應確認收回權限，明確離崗人員個(gè)人賬戶(hù)與單位新媒體賬戶(hù)沒(méi)有任何關(guān)聯(lián)；

c)   落實(shí)新媒體管理和信息發(fā)布的用戶(hù)權限與授權管理，撤銷(xiāo)不必要授權；

d)   信息發(fā)布有明確的審核流程，不允許未經(jīng)審核或自動(dòng)關(guān)聯(lián)相關(guān)賬號進(jìn)行信息發(fā)布；

e)   有新媒體安全管理制度，明確規定新媒體管理與信息發(fā)布場(chǎng)所、機器，新媒體管理和信息發(fā)布留痕、可溯源；

f)    新媒體管理與信息發(fā)布終端安全管理，包括個(gè)人計算機、筆記本電腦等，防范病毒/掛馬。



8.4.4 其他內容安全
a)   防止智能大屏系統被植入病毒及木馬程序，顯示非法/不良信息；

b)   防止外部顯示大屏及連接的設備被植入非法/不良信息；

c)   打印機驅動(dòng)程序要及時(shí)打補丁，關(guān)閉不必要的網(wǎng)絡(luò )服務(wù)，避免被遠程控制進(jìn)行打印或者獲取打印機打印內容。



8.4.5 網(wǎng)絡(luò )輿情
a)   建立輿情發(fā)現、研判、應對、處置的協(xié)同工作機制；

b)   建立輿情研判、處置工作預案，及時(shí)研判輿情發(fā)展趨勢，回應關(guān)于本校的熱議內容；

c)   建立輿情監測平臺，及時(shí)發(fā)現校內外網(wǎng)站、論壇、微博、貼吧、聊天群關(guān)于本校的有關(guān)輿情；

d)   建立與有關(guān)媒體日常溝通和協(xié)調機制，暢通輿情化解與處置通道；

e)   與輿情相關(guān)工作隊伍聯(lián)動(dòng)，及時(shí)疏通與輿情有關(guān)人員的情緒，掌握與輿情發(fā)展相關(guān)人員信息及動(dòng)態(tài)，便于進(jìn)一步工作研判、處置和后續工作跟蹤。



8.5    網(wǎng)絡(luò )安全能力建設
8.5.1   網(wǎng)絡(luò )安全風(fēng)險的洞察力
a)   認識不到、看不到以及發(fā)現不了網(wǎng)絡(luò )安全風(fēng)險都是最大的風(fēng)險，發(fā)現網(wǎng)絡(luò )安全風(fēng)險是防范化解網(wǎng)絡(luò )安全各種風(fēng)險的前提，因此務(wù)必提高網(wǎng)絡(luò )安全風(fēng)險的洞察力；

b)   推進(jìn)網(wǎng)絡(luò )安全風(fēng)險排查，總結網(wǎng)絡(luò )安全事件特點(diǎn)規律，提高網(wǎng)絡(luò )安全風(fēng)險的發(fā)現能力；

c)   研判網(wǎng)絡(luò )安全風(fēng)險發(fā)展趨勢，分析總結網(wǎng)絡(luò )安全風(fēng)險演化呈現的疊加、聯(lián)動(dòng)、放大、誘導等效應情況，特別注意其他安全風(fēng)險產(chǎn)生的外溢效應；

d)   及時(shí)洞察各方面安全風(fēng)險，特別是高度警惕發(fā)生概率小而影響大的“黑天鵝”事件，高度防范發(fā)生概率大且影響大的“灰犀?！笔录?。



8.5.2   網(wǎng)絡(luò )安全風(fēng)險防控能力
網(wǎng)絡(luò )安全重在預防，加強網(wǎng)絡(luò )安全風(fēng)險分析研判和預測，避免發(fā)生網(wǎng)絡(luò )安全事件。一旦發(fā)生網(wǎng)絡(luò )安全事件，應有并啟動(dòng)網(wǎng)絡(luò )安全應急處置預案，能夠及時(shí)有效控制網(wǎng)絡(luò )安全事件和風(fēng)險不累積、不擴散、不升級。

a)   構建網(wǎng)絡(luò )安全態(tài)勢感知平臺，強化網(wǎng)絡(luò )安全風(fēng)險的預測預判預警預防，防范其他安全風(fēng)險外溢效應，將網(wǎng)絡(luò )安全風(fēng)險消滅在萌芽、化解于無(wú)形，防止小風(fēng)險發(fā)展成大風(fēng)險，防止局部風(fēng)險演化為全局風(fēng)險，實(shí)現網(wǎng)絡(luò )安全防御前置；

b)   構建多層深度智能化動(dòng)態(tài)網(wǎng)絡(luò )安全保障與防御體系，及時(shí)發(fā)現網(wǎng)絡(luò )安全風(fēng)險，有效防范外部風(fēng)險、內部風(fēng)險，防止外部風(fēng)險和內部風(fēng)險擴散，網(wǎng)絡(luò )安全風(fēng)險防護與應急處置技術(shù)支持到位；

c)   加強網(wǎng)絡(luò )輿情咨詢(xún)專(zhuān)家隊伍建設和網(wǎng)絡(luò )輿情應急處置數據庫建設，網(wǎng)絡(luò )輿情研判分析精準到位；

d)   網(wǎng)絡(luò )安全管理實(shí)現統籌協(xié)調、部門(mén)協(xié)同、上下聯(lián)動(dòng)，網(wǎng)絡(luò )安全管理制度和網(wǎng)絡(luò )安全操作的實(shí)施細則落實(shí)執行到位，實(shí)現了網(wǎng)絡(luò )安全管理與應急處置的系統性、整體性、協(xié)同性、有效性。



8.5.3   網(wǎng)絡(luò )安全風(fēng)險治理能力
a)   網(wǎng)絡(luò )安全頂層設計實(shí)現網(wǎng)絡(luò )安全、內容管理和技術(shù)防護的全覆蓋、無(wú)死角、無(wú)短板、無(wú)縫銜接，構建形成網(wǎng)絡(luò )安全風(fēng)險治理的整體框架；

b)   構建形成覆蓋學(xué)校、院系部門(mén)、科室、個(gè)人的四級網(wǎng)絡(luò )安全管理和協(xié)同機制，形成統籌協(xié)調有力、部門(mén)協(xié)同高效，上下聯(lián)動(dòng)順暢的網(wǎng)絡(luò )安全工作機制，網(wǎng)絡(luò )安全責任制及績(jì)效考核辦法得到有效落實(shí)；

c)   建成專(zhuān)職網(wǎng)絡(luò )安全管理和技術(shù)隊伍，培養提升教職工網(wǎng)絡(luò )新媒體素養和信息素養，學(xué)生網(wǎng)絡(luò )安全隊伍參與，實(shí)現社會(huì )網(wǎng)絡(luò )安全力量協(xié)同，網(wǎng)絡(luò )安全競賽、教育培訓、網(wǎng)絡(luò )安全應急演練實(shí)現常態(tài)化；

d)   《網(wǎng)絡(luò )安全法》《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》等網(wǎng)絡(luò )安全法規、條例、標準的宣傳與有關(guān)工作要求得到有效落實(shí)。