更多案例

纽盾等级保护-教育行业案例

客户背景

某大专院校,为建设系统安全管理体系和技术体系,并满足上级监管单位的要求,该院校选择了纽盾提供的等级保护总包服务。

纽盾对其系统进行了深入的调研和评估,梳理和整理了当前运行的所有业务系统,并依据《信息系统等级保护定级指南》对自身核心业务系统的保护进行了定级备案、差距分析与风险评估、安全规划等一系列准备工作。

 

安全需求

该单位定级了若干重要信息系统如官网系统(二级)、教务系统(三级)、财务系统(三级)、一卡通系统(三级)。

信息系统网络架构为B/S架构,定级系统共用一套安全设备,只有一台思科防火墙。

根据等级保护建设前期调研、评估过程,依据信息安全技术 网络安全等级保护基本要求》,最终确定本次等级保护建设需求如下:

 

安全技术层面:

物理安全:物理机房设备摆放凌乱,缺乏完善的资产标签;无湿度控制装置;机房进出无审批流程,无记录;机房无电子门禁;机房监控日志留存时长不满足要求。不满足等保要求。

网络安全:缺少网页防篡改措施、无法检测到内部用户私自外联行为、未采用两种或者两种以上组合鉴别技术进行身份鉴别,不满足等级保护要求。

主机安全:不具备日志审计功能,缺乏对恶意代码的防范措施,不满足等级保护要求。

应用安全:关键数据没有加密传输、用户密码为弱密码;未提供安全审计功能,不能对系统的重要操作进行审计;不满足等级保护要求。

数据安全:未对重要数据加密存储;未提供本地数据备份与恢复功能。不满足等级保护要求。

安全管理层面:缺乏管理制度、管理机构、人员管理、系统建设管理、系统运维管理等方面的安全管理制度,不满足等级保护要求。

渗透测试:在客户授权许可的情况下,利用各种主流的攻击技术对网络做模拟攻击测试,以发现系统中的安全漏洞和风险点,提前发现系统潜在的各种高危漏洞和安全威胁。

漏洞扫描:通过扫描等手段对系统的安全脆弱性进行检测,并验证改漏洞是否可被利用,从而发现系统存在的漏洞问题。

 

用户收益

● 履行了安全义务,满足上级监管单位要求

依据等级保护国家标准对学校内部的系统进行安全等级保护建设以及测评,履行了学校自身的网络安全义务。

● 充分利用多种安全技术手段,提升了业务系统边界保护能力

依据相关等级别保护设计标准,通过部署日志审计以及网页防篡改系统等多种安全防护产品,增强了不同区域间业务用户访问控制能力,提升了该单位边界抵御内部攻击行为的能力。

● 明确人员安全管理职责,提高了系统安全运维安全管理水平

本次建设该单位在等级保护技术体系建设的同时,还配合大量的咨询、服务的配合与支撑,提高该单位业务系统安全运维的效率和管理水平。

关注我们

图片
图片
图片
图片

全国免费咨询电话 | 400-804-8858

站点地图 | 法律声明

沪ICP备15047702号-1

图片

在线咨询

图片

电话咨询

图片

全国免费咨询电话
☎  400-804-8858

图片
图片

分享

图片

新浪微博

图片

微信

图片

人人网

图片

腾讯微博

图片

开心网

图片

QQ空间

图片

豆瓣网

图片

二维码

用微信扫描二维码,分享到朋友圈!

图片

确定

请输入您的手机号,我们的专家会在一分钟内给您回电。

立即给我回电

正在呼叫....

电话连线成功,请注意接听电话