等保2.0為校園網(wǎng)絡(luò)環(huán)境筑造安全防護墻

  • 人閱讀
  • 2022-03-03 15:51:20

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

摘要:我們根據(jù)客戶需求并遵循國家信息安全等級保護的要求,為上海市黃浦區(qū)校園安全管理中心提供標準有效的一站式等保咨詢服務(wù)解決方案,這不僅是貫徹落實國家網(wǎng)絡(luò)安全等級保護制度要求的有力舉措,同時能夠完善學(xué)校對信息系統(tǒng)安全保障體系,提高信息系統(tǒng)的安全防御能力,更好地抵御網(wǎng)絡(luò)攻擊,保障學(xué)校信息系統(tǒng)安全有序運作。

一、項目背景

隨著信息化的快速發(fā)展和信息技術(shù)的廣泛應(yīng)用,網(wǎng)絡(luò)安全面臨的威脅持續(xù)加大,教育信息化是國家信息化重要組成部分,教育行業(yè)網(wǎng)絡(luò)與信息安全工作關(guān)系著教育信息化的穩(wěn)步推進和教育事業(yè)的改革發(fā)展。

為了保護我國基礎(chǔ)信息網(wǎng)絡(luò)的安全,國家推出一系列針對信息系統(tǒng)安全等級防護的規(guī)范制度。2017年6月1日正式實施的《網(wǎng)絡(luò)安全法》第二十一條明確國家實行網(wǎng)絡(luò)安全等級保護制度要求。2019年5月13日《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》(GB/T22239-2019)正式發(fā)布,同年12月1日正式實施,預(yù)示著等級保護2.0體系的正式來臨,等級保護也從原有的法規(guī)條例上升到法律層面。

上海市黃浦區(qū)校園安全管理中心等級保護服務(wù)項目是貫徹落實國家網(wǎng)絡(luò)安全等級保護制度要求的有力舉措,同時能夠完善學(xué)校對信息系統(tǒng)安全保障體系,提高信息系統(tǒng)的安全防御能力,更好地抵御網(wǎng)絡(luò)攻擊,保障學(xué)校信息系統(tǒng)安全有序運作。

二、項目需求

1、系統(tǒng)現(xiàn)狀

校園安全工作檢查系統(tǒng)是上海市黃浦區(qū)校園安全管理中心的內(nèi)部系統(tǒng),主要的作用是為下屬各分校的安全工作檢查提供統(tǒng)一的管理,如包括每月巡檢、通知管理、保安管理、消防管理、特種設(shè)備管理、車輛管理、防汛防臺管理、日常檢查管理、專項檢查等工作內(nèi)容的管理,同時還提供匯總及分析服務(wù)。

校園視頻監(jiān)控系統(tǒng)存儲大量學(xué)校及個人隱私數(shù)據(jù),如包含地理環(huán)境信息、布防信息、錄像信息、抓拍信息、回放信息等數(shù)據(jù)內(nèi)容。

2、預(yù)期目標

綜合防范,整體安全:堅持管理與技術(shù)并重,從人員、管理、安全技術(shù)手段等多方面著手,建立綜合防范機制,實現(xiàn)整體安全。

分級保護、務(wù)求實效:從實際出發(fā),綜合評估信息的價值和系統(tǒng)所面臨風(fēng)險大小等因素,依據(jù)安全等級進行安全建設(shè)和管理,綜合平衡安全成本和風(fēng)險,優(yōu)化信息安全資源的配置。

標準化與規(guī)范化原則:基于國際標準和國家頒布的有關(guān)標準,堅持統(tǒng)一、標準、規(guī)范的原則,為未來業(yè)務(wù)發(fā)展增容奠定良好的基礎(chǔ)。

較小影響原則:信息系統(tǒng)安全保障將盡可能小地影響現(xiàn)有系統(tǒng)和網(wǎng)絡(luò)的正常運行,不會對業(yè)務(wù)的正常運行產(chǎn)生顯著影響(包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等),如無法避免,將對風(fēng)險進行說明。

三、服務(wù)方案

為了滿足客戶預(yù)期目標,御盾安全根據(jù)客戶需求并遵循國家信息安全等級保護的要求提供標準有效的一站式解決方案。

1、系統(tǒng)定級與備案

依據(jù)《網(wǎng)絡(luò)安全等級保護定級指南》對客戶信息系統(tǒng)和網(wǎng)絡(luò)現(xiàn)狀進行調(diào)研與分析;明確系統(tǒng)邊界,識別數(shù)據(jù)和應(yīng)用的重要程度,結(jié)合國家對等保的要求及規(guī)定,定義出符合企業(yè)自身現(xiàn)狀的等保級別,最終確定校園安全工作檢查系統(tǒng)的業(yè)務(wù)信息安全保護等級為第二級,校園視頻監(jiān)控平臺的系統(tǒng)服務(wù)安全保護等級為第二級;編寫定級報告和定級備案表,經(jīng)過評審后,向公安機關(guān)備案。

2、風(fēng)險評估與差距分析

根據(jù)信息系統(tǒng)定級結(jié)果以及等級保護基本要求,選擇適當(dāng)?shù)陌踩Wo指標;對信息系統(tǒng)及運行環(huán)境進行差距分析工作,識別威脅和弱點,挖掘安全物理環(huán)境、安全區(qū)域邊界、安全計算環(huán)境、安全通信網(wǎng)絡(luò)、安全管理中心、管理等各層面安全風(fēng)險;通過將系統(tǒng)安全現(xiàn)狀與安全評估指標進行逐一對比,記錄當(dāng)前的現(xiàn)狀情況,找到與評估指標之間的差距,判斷安全技術(shù)和安全管理方面與評估指標的符合程度;在此基礎(chǔ)上將差距分析的結(jié)果文檔化,形成差距分析報告并提出改進建議。

3、安全建設(shè)規(guī)劃

根據(jù)差距分析結(jié)果,從管理和技術(shù)兩個方面確定信息系統(tǒng)安全建設(shè)整改需求,在明確安全需求的基礎(chǔ)上,對安全體系進行總體設(shè)計并規(guī)劃安全建設(shè)項目。

4、安全方案設(shè)計

根據(jù)安全建設(shè)規(guī)劃,進行詳細的方案設(shè)計和安全產(chǎn)品選擇,形成可實施的詳細方案。根據(jù)建設(shè)目標和建設(shè)內(nèi)容將總體設(shè)計和建設(shè)規(guī)劃中要求實現(xiàn)的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實到產(chǎn)品功能或物理形態(tài)上,提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范,并將產(chǎn)品功能特征整理成文檔;根據(jù)用戶當(dāng)前安全管理需要和安全技術(shù)保障需要提出與信息系統(tǒng)安全總體方案中管理部分相適應(yīng)的本期安全實施內(nèi)容,以保證安全技術(shù)建設(shè)的同時,安全管理的同步建設(shè),安全管理設(shè)計的內(nèi)容主要考慮:安全管理機構(gòu)和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。

5、協(xié)助安全加固

根據(jù)等保差距分析的結(jié)果,對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)進行配置加固,提高系統(tǒng)安全性,滿足等保要求,并將加固記錄分析整理,形成安全加固報告。

6、安全管理咨詢

協(xié)助用戶完善配套的安全管理職能部門,通過管理機構(gòu)的崗位設(shè)置、人員的分工以及各種資源的配備,為信息系統(tǒng)的安全管理提供組織上的保障;協(xié)助用戶完善修訂與信息系統(tǒng)安全管理相配套的、包括所有信息系統(tǒng)的建設(shè)、開發(fā)、運維、升級和改造等各個階段和環(huán)節(jié)所應(yīng)當(dāng)遵循的行為規(guī)范和操作規(guī)程;協(xié)助用戶根據(jù)自己組織結(jié)構(gòu)特點進行安全制度培訓(xùn)、宣傳、推廣,確保安全制度的落地執(zhí)行。

7、輔助等級測評

協(xié)助客戶選擇適合其行業(yè)特點、具備等保測評資質(zhì)的第三方測評機構(gòu),并提交等保測評申請;根據(jù)測評要求,協(xié)助補充和準備測評所需的文檔資料;指派專業(yè)咨詢顧問配合測評機構(gòu)的現(xiàn)場測評工作,協(xié)助回答測評人員問題,協(xié)助客戶搜集測評需要的制度、記錄等文檔,協(xié)助客戶完成國家等級保護測評;現(xiàn)場測評過程中可能會出現(xiàn)部分不符合項,咨詢顧問針對這些不符合項進行快速整改,確??蛻繇樌ㄟ^測評。

8、后期持續(xù)運維

等保測評通過后,保持對其持續(xù)運行維護(包含每年續(xù)證事宜、因政策變化而引起的變更調(diào)整、新增及調(diào)整需求等)。

四、客戶收益

通過本次服務(wù),客戶可以獲得如下收益:

①發(fā)現(xiàn)安全現(xiàn)狀與安全要求的差距

②根據(jù)整改建議及安全加固增強信息系統(tǒng)的安全防護能力

③建設(shè)符合標準規(guī)范的信息系統(tǒng)

④獲得等級保護全周期性的安全服務(wù)

⑤獲得中長期的等級保護建設(shè)發(fā)展規(guī)劃建議

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )