等保2.0為校園網(wǎng)絡(luò)環(huán)境筑造安全防護(hù)墻

  • 人閱讀
  • 2022-03-03 15:51:20

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

摘要:我們根據(jù)客戶需求并遵循國(guó)家信息安全等級(jí)保護(hù)的要求,為上海市黃浦區(qū)校園安全管理中心提供標(biāo)準(zhǔn)有效的一站式等保咨詢服務(wù)解決方案,這不僅是貫徹落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求的有力舉措,同時(shí)能夠完善學(xué)校對(duì)信息系統(tǒng)安全保障體系,提高信息系統(tǒng)的安全防御能力,更好地抵御網(wǎng)絡(luò)攻擊,保障學(xué)校信息系統(tǒng)安全有序運(yùn)作。

一、項(xiàng)目背景

隨著信息化的快速發(fā)展和信息技術(shù)的廣泛應(yīng)用,網(wǎng)絡(luò)安全面臨的威脅持續(xù)加大,教育信息化是國(guó)家信息化重要組成部分,教育行業(yè)網(wǎng)絡(luò)與信息安全工作關(guān)系著教育信息化的穩(wěn)步推進(jìn)和教育事業(yè)的改革發(fā)展。

為了保護(hù)我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)的安全,國(guó)家推出一系列針對(duì)信息系統(tǒng)安全等級(jí)防護(hù)的規(guī)范制度。2017年6月1日正式實(shí)施的《網(wǎng)絡(luò)安全法》第二十一條明確國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求。2019年5月13日《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239-2019)正式發(fā)布,同年12月1日正式實(shí)施,預(yù)示著等級(jí)保護(hù)2.0體系的正式來臨,等級(jí)保護(hù)也從原有的法規(guī)條例上升到法律層面。

上海市黃浦區(qū)校園安全管理中心等級(jí)保護(hù)服務(wù)項(xiàng)目是貫徹落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求的有力舉措,同時(shí)能夠完善學(xué)校對(duì)信息系統(tǒng)安全保障體系,提高信息系統(tǒng)的安全防御能力,更好地抵御網(wǎng)絡(luò)攻擊,保障學(xué)校信息系統(tǒng)安全有序運(yùn)作。

二、項(xiàng)目需求

1、系統(tǒng)現(xiàn)狀

校園安全工作檢查系統(tǒng)是上海市黃浦區(qū)校園安全管理中心的內(nèi)部系統(tǒng),主要的作用是為下屬各分校的安全工作檢查提供統(tǒng)一的管理,如包括每月巡檢、通知管理、保安管理、消防管理、特種設(shè)備管理、車輛管理、防汛防臺(tái)管理、日常檢查管理、專項(xiàng)檢查等工作內(nèi)容的管理,同時(shí)還提供匯總及分析服務(wù)。

校園視頻監(jiān)控系統(tǒng)存儲(chǔ)大量學(xué)校及個(gè)人隱私數(shù)據(jù),如包含地理環(huán)境信息、布防信息、錄像信息、抓拍信息、回放信息等數(shù)據(jù)內(nèi)容。

2、預(yù)期目標(biāo)

綜合防范,整體安全:堅(jiān)持管理與技術(shù)并重,從人員、管理、安全技術(shù)手段等多方面著手,建立綜合防范機(jī)制,實(shí)現(xiàn)整體安全。

分級(jí)保護(hù)、務(wù)求實(shí)效:從實(shí)際出發(fā),綜合評(píng)估信息的價(jià)值和系統(tǒng)所面臨風(fēng)險(xiǎn)大小等因素,依據(jù)安全等級(jí)進(jìn)行安全建設(shè)和管理,綜合平衡安全成本和風(fēng)險(xiǎn),優(yōu)化信息安全資源的配置。

標(biāo)準(zhǔn)化與規(guī)范化原則:基于國(guó)際標(biāo)準(zhǔn)和國(guó)家頒布的有關(guān)標(biāo)準(zhǔn),堅(jiān)持統(tǒng)一、標(biāo)準(zhǔn)、規(guī)范的原則,為未來業(yè)務(wù)發(fā)展增容奠定良好的基礎(chǔ)。

較小影響原則:信息系統(tǒng)安全保障將盡可能小地影響現(xiàn)有系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行,不會(huì)對(duì)業(yè)務(wù)的正常運(yùn)行產(chǎn)生顯著影響(包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等),如無法避免,將對(duì)風(fēng)險(xiǎn)進(jìn)行說明。

三、服務(wù)方案

為了滿足客戶預(yù)期目標(biāo),御盾安全根據(jù)客戶需求并遵循國(guó)家信息安全等級(jí)保護(hù)的要求提供標(biāo)準(zhǔn)有效的一站式解決方案。

1、系統(tǒng)定級(jí)與備案

依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》對(duì)客戶信息系統(tǒng)和網(wǎng)絡(luò)現(xiàn)狀進(jìn)行調(diào)研與分析;明確系統(tǒng)邊界,識(shí)別數(shù)據(jù)和應(yīng)用的重要程度,結(jié)合國(guó)家對(duì)等保的要求及規(guī)定,定義出符合企業(yè)自身現(xiàn)狀的等保級(jí)別,最終確定校園安全工作檢查系統(tǒng)的業(yè)務(wù)信息安全保護(hù)等級(jí)為第二級(jí),校園視頻監(jiān)控平臺(tái)的系統(tǒng)服務(wù)安全保護(hù)等級(jí)為第二級(jí);編寫定級(jí)報(bào)告和定級(jí)備案表,經(jīng)過評(píng)審后,向公安機(jī)關(guān)備案。

2、風(fēng)險(xiǎn)評(píng)估與差距分析

根據(jù)信息系統(tǒng)定級(jí)結(jié)果以及等級(jí)保護(hù)基本要求,選擇適當(dāng)?shù)陌踩Wo(hù)指標(biāo);對(duì)信息系統(tǒng)及運(yùn)行環(huán)境進(jìn)行差距分析工作,識(shí)別威脅和弱點(diǎn),挖掘安全物理環(huán)境、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)、安全管理中心、管理等各層面安全風(fēng)險(xiǎn);通過將系統(tǒng)安全現(xiàn)狀與安全評(píng)估指標(biāo)進(jìn)行逐一對(duì)比,記錄當(dāng)前的現(xiàn)狀情況,找到與評(píng)估指標(biāo)之間的差距,判斷安全技術(shù)和安全管理方面與評(píng)估指標(biāo)的符合程度;在此基礎(chǔ)上將差距分析的結(jié)果文檔化,形成差距分析報(bào)告并提出改進(jìn)建議。

3、安全建設(shè)規(guī)劃

根據(jù)差距分析結(jié)果,從管理和技術(shù)兩個(gè)方面確定信息系統(tǒng)安全建設(shè)整改需求,在明確安全需求的基礎(chǔ)上,對(duì)安全體系進(jìn)行總體設(shè)計(jì)并規(guī)劃安全建設(shè)項(xiàng)目。

4、安全方案設(shè)計(jì)

根據(jù)安全建設(shè)規(guī)劃,進(jìn)行詳細(xì)的方案設(shè)計(jì)和安全產(chǎn)品選擇,形成可實(shí)施的詳細(xì)方案。根據(jù)建設(shè)目標(biāo)和建設(shè)內(nèi)容將總體設(shè)計(jì)和建設(shè)規(guī)劃中要求實(shí)現(xiàn)的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實(shí)到產(chǎn)品功能或物理形態(tài)上,提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范,并將產(chǎn)品功能特征整理成文檔;根據(jù)用戶當(dāng)前安全管理需要和安全技術(shù)保障需要提出與信息系統(tǒng)安全總體方案中管理部分相適應(yīng)的本期安全實(shí)施內(nèi)容,以保證安全技術(shù)建設(shè)的同時(shí),安全管理的同步建設(shè),安全管理設(shè)計(jì)的內(nèi)容主要考慮:安全管理機(jī)構(gòu)和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。

5、協(xié)助安全加固

根據(jù)等保差距分析的結(jié)果,對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)進(jìn)行配置加固,提高系統(tǒng)安全性,滿足等保要求,并將加固記錄分析整理,形成安全加固報(bào)告。

6、安全管理咨詢

協(xié)助用戶完善配套的安全管理職能部門,通過管理機(jī)構(gòu)的崗位設(shè)置、人員的分工以及各種資源的配備,為信息系統(tǒng)的安全管理提供組織上的保障;協(xié)助用戶完善修訂與信息系統(tǒng)安全管理相配套的、包括所有信息系統(tǒng)的建設(shè)、開發(fā)、運(yùn)維、升級(jí)和改造等各個(gè)階段和環(huán)節(jié)所應(yīng)當(dāng)遵循的行為規(guī)范和操作規(guī)程;協(xié)助用戶根據(jù)自己組織結(jié)構(gòu)特點(diǎn)進(jìn)行安全制度培訓(xùn)、宣傳、推廣,確保安全制度的落地執(zhí)行。

7、輔助等級(jí)測(cè)評(píng)

協(xié)助客戶選擇適合其行業(yè)特點(diǎn)、具備等保測(cè)評(píng)資質(zhì)的第三方測(cè)評(píng)機(jī)構(gòu),并提交等保測(cè)評(píng)申請(qǐng);根據(jù)測(cè)評(píng)要求,協(xié)助補(bǔ)充和準(zhǔn)備測(cè)評(píng)所需的文檔資料;指派專業(yè)咨詢顧問配合測(cè)評(píng)機(jī)構(gòu)的現(xiàn)場(chǎng)測(cè)評(píng)工作,協(xié)助回答測(cè)評(píng)人員問題,協(xié)助客戶搜集測(cè)評(píng)需要的制度、記錄等文檔,協(xié)助客戶完成國(guó)家等級(jí)保護(hù)測(cè)評(píng);現(xiàn)場(chǎng)測(cè)評(píng)過程中可能會(huì)出現(xiàn)部分不符合項(xiàng),咨詢顧問針對(duì)這些不符合項(xiàng)進(jìn)行快速整改,確??蛻繇樌ㄟ^測(cè)評(píng)。

8、后期持續(xù)運(yùn)維

等保測(cè)評(píng)通過后,保持對(duì)其持續(xù)運(yùn)行維護(hù)(包含每年續(xù)證事宜、因政策變化而引起的變更調(diào)整、新增及調(diào)整需求等)。

四、客戶收益

通過本次服務(wù),客戶可以獲得如下收益:

①發(fā)現(xiàn)安全現(xiàn)狀與安全要求的差距

②根據(jù)整改建議及安全加固增強(qiáng)信息系統(tǒng)的安全防護(hù)能力

③建設(shè)符合標(biāo)準(zhǔn)規(guī)范的信息系統(tǒng)

④獲得等級(jí)保護(hù)全周期性的安全服務(wù)

⑤獲得中長(zhǎng)期的等級(jí)保護(hù)建設(shè)發(fā)展規(guī)劃建議

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )