学校信息系统现状与安全需求.docx

学校信息系统现状与安全需求 信息化建设现状综述 随着XXX大学信息化建设的推进，信息化建设初具规模，服务器等主机设备基本到位，大型网络设备、高端路由设备、多种网络和系统管理软件、专业数据备份软件及网络数据安全设备和软件等大都配备完成，运行保障的基础技术手段基本具备； XXX大学网络信息中心技术力量雄厚，在网络工程、数据库建设、系统设计、软件开发、信息安全等多项领域具有较强的实力和丰富的经验。承担信息中心的网络系统管理和应用支持的专业技术人员达20余人； XXX大学随着信息系统的逐步建设，分别针对重要应用系统采用了防火墙、IPS/IDS、防病毒等常规安全防护手段，保障了核心业务系统在一般情况下的正常运行，具备了基本的安全防护能力； XXX大学的日常运行管理比较规范，按照信息基础设施运行操作流程和管理对象的不同，确定了网络系统运行保障管理的角色和岗位，初步建立了问题处理的应急响应机制。 技术体系结构现状 XXX大学信息系统主要包括六大业务应用系统，网络、认证计费、校园卡、数字XX、网站、邮件系统。 网络是XXX大学各大业务平台的基础核心，是整个校园网的基础，网络上承载着多种校园业务应用，包括认证计费、数字XX、网站、邮件等多种业务应用系统，这些业务应用系统都运行在XXX大学的基础网络环境上。 XXX大学认证计费系统是针对学生上互联网的一种接入认证计费的管理方式，XXX大学对学生上网是按流量进行统计收费的。认证计费系统共4台服务器，两台认证服务器、一台自服服务器，一台流量统计服务器。学生机上网通过802.1X协议进行接入认证，上网流量通过互联网出口交换机的端口镜象功能将上网数据发送到流量统计服务器，学生通过自服务服务器可以查看个人上网流量的使用情况。计费采用流量计费方式，但每月流量与实际费用不成比例。 校园卡属XXX大学专网，主要实现学生校园卡消费管理。校园卡与XXX大学网络有三个物理接口（包括数字XX、认证计费、东区食堂）。专网，与中国银行通过DDN方式互联，没有部署防火墙，数据传输使用加密机进行加密，终端取用IP/MAC绑定的安全机制，网管采用昆特网管系统对交换机、服务器、终端进行监控管理。 数字XX是XXX大学最重要的业务应用系统，系统中存储着重要的教务工作数据、学生考试信息、财务数据等重要数据信息。数字XX有2个应用服务器，2个认证服务器，1个BI服务器，远程通过VPN、桥服务器管理，有IP访问控制机制，服务器是SUN的主机，安装Solaris 10系统，2台Oralcle数据库服务器，2台Weblogic应用服务器，1台对外提供服务的Apache服务器，应用系统采取数据库，应用，服务的三层安全架构模式部署，服务器没有做安全加固，存在Web应用攻击威胁，测试服务器密码被篡改过。 XXX大学网站系统为XXX大学校园的互联网窗口，起到学校对外介绍宣传的功能。目前，XXX大学网站系统共有6台服务器，服务器区域部署了IDS设备实时检测网站的安全动态，系统配置了主机防火墙，一周进行一次本机数据备份，目前密码强度基本符合安全要求，有安全应急预案，但不完善，没有进行过操作演练。 XXX大学邮件系统主要为XXX大学教师与学生提供邮件收发服务，目前邮件系统用户20000多，邮件系统前端部署了IPS进行安全防护，并通过梭子鱼垃圾邮件网关对垃圾邮件进行过滤，邮件数据最终存储到H3C的IP SAN中，邮件服务器目前单机运行，没有做双机热备，邮件系统受到垃圾邮件，病毒邮件的威胁，WEB邮件服务发生过服务中断，系统系统存在过邮件退信攻击与邮件丢失问题，可能由于邮件系统自身脆弱性造成。 物理环境 机房： 位于该楼三层，机房总面积约151m2，机房管理没有采取记录进出人员时间、数量和原因等情况，配电间没铺设防静电地板，接入电源为380V/50HZ/200A，无双电互投，在线UPS 40KVA输出1组，冷备UPS 40KVA输出2组，4个APC电池柜，每组32块电池。机房铺设防静电地板，拥有2组HIROSS专用空调保证机房恒温、恒湿，空调无漏水监控报警，机房内配置防漏电保护、视频监控、烟感和利达海鑫柜式灭火、防静电导流排等必须的防护措施。机架线序混乱，没有规范应急灯和温感监控。 机房物理环境 三层机房物理和环境安全 地理位置 XXX大学三层。 电源 电压380V/50HZ/200A，无双电互投，总接入电量为2x70平方 中央空调 HIROSS 空调2组，没有空调漏水监控报警。 外设空调 UPS UPS在线40KVA输出1组，冷备10KVA输出2组，APC电池柜2组，每组32*12V*100Ah电池。 地板 600*600静电地板，防静电导流排。 防电涌 有防漏电保护，无防浪涌。 机房温湿度 空调显示温度：1组：21.3℃,2组：24.2℃。 气喷 于