【發(fā)布時間】2019-10-24 14:18:48

【作者】Admin

【瀏覽量】

客戶背景
某教育企業(yè)是全球大型的學(xué)分課程運營服務(wù)平臺，服務(wù)的會員學(xué)校近2000所，超過1000萬大學(xué)生，是國內(nèi)領(lǐng)先的教育信息化制造商與互聯(lián)網(wǎng)教育運營商。
作為行業(yè)的知名企業(yè)，其核心業(yè)務(wù)管理平臺存儲著大量的隱私信息，關(guān)系著公司核心業(yè)務(wù)的運營，企業(yè)前期在信息化建設(shè)和網(wǎng)絡(luò)安全上進行了大量投入，但隨著網(wǎng)絡(luò)安全形式的日益嚴(yán)重，同時為滿足國家等級保護制度的相關(guān)要求，該企業(yè)選擇了我們進行等級保護一站式解決方案。
 
安全需求
該單位定級核心業(yè)務(wù)管理平臺系統(tǒng)（三級）。
信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)為B/S架構(gòu)，定級系統(tǒng)安全設(shè)備齊全，包括防火墻、WAF、堡壘機、上網(wǎng)行為管理系統(tǒng)、日志審計系統(tǒng)。
根據(jù)等級保護建設(shè)前期調(diào)研、評估過程，依據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》，最終確定本次等級保護建設(shè)需求如下
 
安全技術(shù)層面：
網(wǎng)絡(luò)安全：未啟用訪問控制，不滿足等級保護要求。
主機安全：未啟用登錄失敗處理功能，主機使用默認(rèn)賬號密碼，不滿足等級保護要求。
數(shù)據(jù)安全：客戶近200余臺pc服務(wù)器部署服務(wù)應(yīng)用，有600余臺數(shù)據(jù)庫服務(wù)器，未對重要數(shù)據(jù)加密存儲。不滿足等級保護要求。
安全管理層面：缺乏管理制度、管理機構(gòu)、人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等方面的安全管理制度，不滿足等級保護要求。
滲透測試：在客戶授權(quán)許可的情況下，利用各種主流的攻擊技術(shù)對網(wǎng)絡(luò)做模擬攻擊測試，以發(fā)現(xiàn)系統(tǒng)中的安全漏洞和風(fēng)險點，提前發(fā)現(xiàn)系統(tǒng)潛在的各種高危漏洞和安全威脅。
漏洞掃描：通過掃描等手段對系統(tǒng)的安全脆弱性進行檢測，并驗證改漏洞是否可被利用，從而發(fā)現(xiàn)系統(tǒng)存在的漏洞問題。