摘要：根据客户需求，御盾为客户提供了一站式信息安全合规咨询服务和一套完整的信息系统建设整改方案，既可以充分满足国家信息安全等级保护相关标准的要求，又能够有效抵御安全风险，为该学校信息系统提供有效保护。

行业背景

2019年5月13日，国家标准新闻发布会正式发布网络安全等级保护制度2.0标准，针对设备以及计算安全类别第三级中明确要求需要加强对政企内部安全的管控，需对用户身份具有二次鉴别能力，并于2019年12月1日开始实施，标志着对于信息安全的要求已经上升到国家防控战略层面，未来对企业信息化安全保护管控也将会越来越严格。

教育行业是我国最大的民生行业之一，也是网络安全法定义的关键基础设施行业之一。随着教育行业信息化建设的高速发展，信息安全问题屡见不鲜，教育行业信息系统一直是等级保护工作的重点测评对象。

项目建设目标

在国家信息系统安全等级保护相关政策和标准的指导下，结合学校信息系统的安全需求分析，确定学校信息系统安全等级保护的级别，对信息系统进行差距分析并提出整改建议，对学校信息系统进行整改，满足等级保护的要求，协助学校信息系统通过测评，更好地保障学校信息系统的正常运行，全面提升学校信息系统的网络安全防护能力、隐患发现能力、应急处置能力，为教育行业信息化健康发展提供可靠保障，全面维护公共利益、社会秩序和国家安全。

系统情况

赫德学校官网系统主要面向社会公众提供信息展示等服务，主要包括单位介绍、在线入学申请提交、招生信息公示、联系方式等功能模块，通过对单位的介绍和新闻动态的展现，让公众浏览者对其具体情况和服务范围有所了解。

赫德学校官网系统部署于云平台，网络架构分为外联区、安全防护区、服务器区。外联区互联网出口通过云防火墙保证系统安全性；安全防护区通过云安全中心、云监控、操作审计等措施对官网系统进行安全防护；服务器区部署了一台服务器和一台数据库，供官网系统服务使用。

等保咨询服务方案

根据客户需求，御盾为客户提供了一站式等保咨询服务和一套完整的建设整改方案，既可以充分满足国家信息安全等级保护相关标准的要求，又能够有效抵御安全风险，为客户信息系统提供有效保护。

1、企业现状评估

根据客户的系统建设及内部管理状况，对其进行全面评估，并出具等保评估报告，为后续的定义等保级别、设计整改方案提供支撑依据。

2、定义等保级别

根据评估报告，结合国家对等保的要求及规定，确定赫德学校官网系统的业务信息安全保护等级为第二级。

3、协助备案审查

指导和协助客户收集、整理、准备备案审查过程中所要求的各类资料和文档，加快备案审查进度，促成最终备案证书落地。

4、模拟等保测评

备案审查通过后，由御盾专业团队根据等级保护标准对赫德学校官网系统进行模拟测评与分析，并形成测评报告。

5、设计整改方案

根据评估报告和模拟测评报告，对客户的等保整改建设进行全面规划设计，并出具整改建设方案。

6、落实整改事项

依据整改建设方案，对每项整改事项逐一分解并落实具体整改工作，有序保障整个整改工作的稳步推进。

7、辅助等保测评

将整改后的结果提交测评机构进行等保测评，全程跟进处理过程中所需资料及要求，确保最终测评工作顺利完成。

8、后期持续运维

等保测评通过后，保持对其持续运行维护（包含每年续证事宜、因政策变化而引起的变更调整、新增及调整需求等）。

等保建设整改方案

1、安全物理环境

客户信息系统为云上系统，国内主流的云服务商，例如阿里云、腾讯云、华为云等，都已通过网络安全等级保护测评。按照新的云等保要求和监管部门的意见，在具体的云上应用等级保护合规和测评中，涉及云平台侧的相关要求不再进行单独测评，可以直接引用云平台的测评结论，所以只需要在对应云平台申请平台等保证书即可，包括云平台等保备案证明和云平台测评报告封面及结论页。

2、安全通信网络

在信息系统中部署负载均衡系统，通过对多台云服务器进行均衡的流量分发调度，消除单点故障，提升应用系统的可靠性与吞吐力。

3、安全区域边界

（1）在云平台中部署入侵检测系统，通过配置相应的防护策略，实现对攻击行为进行检测记录并向管理员进行有效报警。

（2）在云平台中部署恶意代码防护系统，对恶意代码进行检测和清除。

（3）在网络层面与主机层面部署不同品牌的防恶意代码产品，确保两者的恶意代码库异构。

4、安全计算环境

（1）根据需要，对系统用户口令设置复杂度限制，并配置定期更换策略，防止存在口令被攻击者暴力破解的可能性。

（2）在操作系统中配置失败登录处理功能，通过限制非法登录次数、自动退出时间、锁定时间等，防止合法用户身份被仿冒，导致服务器被非授权访问。

（3）在互联网边界部署Web应用防护系统，对信息系统的业务流量进行恶意特征识别及防护，保障业务的稳定和数据的安全。

（4）定期对信息系统进行漏洞扫描，及时发现信息系统存在的漏洞风险，并及时加固处理，保证信息系统运行在相对安全的环境中。

5、安全管理中心

（1）在信息系统、服务器、数据库、云控制台中配置安全审计策略，对各设备的操作记录进行安全审计。

（2）在云平台中配置了快照备份策略，对各设备的日志进行备份，保证日志保存时间满足网络安全法中不少于6个月的要求。

（3）在云平台中配置了邮件和短信等方面的告警措施，将各设备的运行情况、安全情况及时通过短信和邮件告知运维人员，针对不同情况采取必要的应对措施。

6、安全管理制度

（1）制定信息安全工作的总体方针和安全策略，由总体方针、安全策略、管理制度、操作规程等构成。

（2）制定制度评审和修订管理制度，内容包括相关人员的评审意见、评审周期、修订版本等。

7、安全管理机构

（1）制定部门岗位职责文件，内容包括安全管理机构的职责，机构内各部门的职责和分工，部门职责涵盖物理、网络和系统安全等各个方面。

（2）制定审批管理制度文档，内容包括审批事项、需逐级审批的事项、审批部门、批准人及审批程序等。

（3）制定安全检查管理制度文档，内容包括定期进行全面安全检查，检查内容、检查程序和检查周期等。

8、安全管理人员

（1）制定安全教育和培训计划文档，内容包括培训方式、培训对象、培训内容、培训时间和地点等。

（2）制定外部人员访问管理文档，内容包括允许外部人员访问的范围（区域、系统、设备、信息等内容）。

（3）制定考核文档，内容包括考核的对象、考核的周期，考核内容包含安全知识、安全技能等。

9、安全建设管理

（1）制定和收集需求分析说明书、软件设计说明书、软件操作手册、软件源代码文档等软件开发文档和使用指南，并形成软件源代码审查记录、软件安装之前检测软件中的恶意代码的记录。

（2）制定工程实施管理制度，包括工程实施过程的控制方法、实施参与人员的行为准则等方面内容。

（3）制定和收集测试验收管理文档，包括系统测试验收的过程控制方法、参与人员的行为规范等内容。

（4）制定系统交付管理文档，包括交付过程的控制方法和对交付参与人员的行为限制等，并收集系统交付清单、培训记录等记录文件。

10、安全运维管理

（1）制定资产安全管理制度，内容包括明确信息资产管理的责任部门、责任人等，并形成资产清单。

（2）制定介质管理制度，内容包括在介质物理传输过程中对人员选择、打包、交付等情况进行控制，形成介质管理记录。

（3）制定网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期、文件备份等方面作出规定，形成网络漏洞扫描报告、网络设备配置文件的备份文件、网络审计日志等。

（4）制定系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出规定，形成系统漏洞扫描报告、运行日志和审计结果分析记录等文档。

（5）制定恶意代码防范管理文档，包括防恶意代码软件的授权使用、恶意代码库升级、定期汇报等方面，组织员工进行恶意代码防范教育的相关培训，形成恶意代码检测记录、恶意代码库升级记录、分析报告、培训记录等文档。

（6）制定备份管理文档，内容包括备份方式、备份频度、存储介质和保存期等方面内容，并形成备份和恢复记录。

（7）制定安全事件报告和处置管理制度，内容包括本系统已发生的和需要防止发生的安全事件类型，包括安全事件的现场处理、事件报告和后期恢复的管理职责，不同安全事件是否采取不同的处理和报告程序，形成安全事件定级文档、安全事件记录分析文档、安全事件报告和处理程序文档等文档。

（8）制定应急预案框架，根据应急预案框架制定的不同事件的应急预案，针对应急预案进行培训及演练，形成应急预案培训记录、应急预案演练记录，并定期对应急预案进行审查，根据实际情况更新内容。

御盾等级保护优势特点

1、代理繁琐的等保流程

协助企业准备等保申请所需的各类材料，指导企业完成业务流程梳理，使整个流程变得简单清晰。

2、快速高效的申报流程

依托与测评机构的良好合作关系，御盾可以有效协助客户在申报过程中少绕弯路，缩短申报周期，加速申报流程。

3、高效资深的专业团队

拥有专业的等保咨询队伍，丰富的多行业等保项目服务经验，为等保服务提供专业保障。

4、全生命周期运维保障

提供建设前、建设中及建设后全生命周期运维服务，持续不断地为企业等保之路保驾护航。

服务价值体现

1、满足等级保护技术规范要求

协助客户疏通等保工作全流程，快速满足合规需求：统筹符合等保要求的安全组件，快速交付，以可靠有效的安全解决方案满足等保合规需求。

2、加强网络安全建设

通过本项目建设符合等级保护相关要求的安全防护措施，形成完善的网络安全防护体系，有效防范网络安全问题，实现敏感数据的安全防护，降低网络安全问题可能引发的风险及其造成的不良社会影响。

3、安全可视 简化运维

安全功能组件统一管理，简化信息安全运维工作。帮助提升网络设备、安全设备、应用系统运行监控的透明度，降低人工审计成本，实现全业务运行可视化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。

责任编辑：kj005