某在線教育平臺(tái)網(wǎng)絡(luò)安全等級(jí)保護(hù)項(xiàng)目
【發(fā)布時(shí)間】2019-10-24 14:18:48
【作者】Admin
【瀏覽量】
客戶背景
某教育企業(yè)是全球大型的學(xué)分課程運(yùn)營(yíng)服務(wù)平臺(tái),服務(wù)的會(huì)員學(xué)校近2000所,超過(guò)1000萬(wàn)大學(xué)生,是國(guó)內(nèi)領(lǐng)先的教育信息化制造商與互聯(lián)網(wǎng)教育運(yùn)營(yíng)商。
作為行業(yè)的知名企業(yè),其核心業(yè)務(wù)管理平臺(tái)存儲(chǔ)著大量的隱私信息,關(guān)系著公司核心業(yè)務(wù)的運(yùn)營(yíng),企業(yè)前期在信息化建設(shè)和網(wǎng)絡(luò)安全上進(jìn)行了大量投入,但隨著網(wǎng)絡(luò)安全形式的日益嚴(yán)重,同時(shí)為滿足國(guó)家等級(jí)保護(hù)制度的相關(guān)要求,該企業(yè)選擇了我們進(jìn)行等級(jí)保護(hù)一站式解決方案。
安全需求
該單位定級(jí)核心業(yè)務(wù)管理平臺(tái)系統(tǒng)(三級(jí))。
信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)為B/S架構(gòu),定級(jí)系統(tǒng)安全設(shè)備齊全,包括防火墻、WAF、堡壘機(jī)、上網(wǎng)行為管理系統(tǒng)、日志審計(jì)系統(tǒng)。
根據(jù)等級(jí)保護(hù)建設(shè)前期調(diào)研、評(píng)估過(guò)程,依據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,最終確定本次等級(jí)保護(hù)建設(shè)需求如下
安全技術(shù)層面:
網(wǎng)絡(luò)安全:未啟用訪問(wèn)控制,不滿足等級(jí)保護(hù)要求。
主機(jī)安全:未啟用登錄失敗處理功能,主機(jī)使用默認(rèn)賬號(hào)密碼,不滿足等級(jí)保護(hù)要求。
數(shù)據(jù)安全:客戶近200余臺(tái)pc服務(wù)器部署服務(wù)應(yīng)用,有600余臺(tái)數(shù)據(jù)庫(kù)服務(wù)器,未對(duì)重要數(shù)據(jù)加密存儲(chǔ)。不滿足等級(jí)保護(hù)要求。
安全管理層面:缺乏管理制度、管理機(jī)構(gòu)、人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面的安全管理制度,不滿足等級(jí)保護(hù)要求。
滲透測(cè)試:在客戶授權(quán)許可的情況下,利用各種主流的攻擊技術(shù)對(duì)網(wǎng)絡(luò)做模擬攻擊測(cè)試,以發(fā)現(xiàn)系統(tǒng)中的安全漏洞和風(fēng)險(xiǎn)點(diǎn),提前發(fā)現(xiàn)系統(tǒng)潛在的各種高危漏洞和安全威脅。
漏洞掃描:通過(guò)掃描等手段對(duì)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè),并驗(yàn)證改漏洞是否可被利用,從而發(fā)現(xiàn)系統(tǒng)存在的漏洞問(wèn)題。