某在线教育平台网络安全等级保护项目
【发布时间】2019-10-24 14:18:48
【作者】Admin
【浏览量】
客户背景
某教育企业是全球大型的学分课程运营服务平台,服务的会员学校近2000所,超过1000万大学生,是国内领先的教育信息化制造商与互联网教育运营商。
作为行业的知名企业,其核心业务管理平台存储着大量的隐私信息,关系着公司核心业务的运营,企业前期在信息化建设和网络安全上进行了大量投入,但随着网络安全形式的日益严重,同时为满足国家等级保护制度的相关要求,该企业选择了我们进行等级保护一站式解决方案。
安全需求
该单位定级核心业务管理平台系统(三级)。
信息系统网络架构为B/S架构,定级系统安全设备齐全,包括防火墙、WAF、
堡垒机、
上网行为管理系统、
日志审计系统。
根据等级保护建设前期调研、评估过程,依据《信息安全技术 网络安全等级保护基本要求》,最终确定本次等级保护建设需求如下
安全技术层面:
网络安全:未启用访问控制,不满足等级保护要求。
主机安全:未启用登录失败处理功能,主机使用默认账号密码,不满足等级保护要求。
数据安全:客户近200余台pc服务器部署服务应用,有600余台数据库服务器,未对重要数据加密存储。不满足等级保护要求。
安全管理层面:缺乏管理制度、管理机构、人员管理、系统建设管理、系统运维管理等方面的安全管理制度,不满足等级保护要求。
渗透测试:在客户授权许可的情况下,利用各种主流的攻击技术对网络做模拟攻击测试,以发现系统中的安全漏洞和风险点,提前发现系统潜在的各种高危漏洞和安全威胁。
漏洞扫描:通过扫描等手段对系统的安全脆弱性进行检测,并验证改漏洞是否可被利用,从而发现系统存在的漏洞问题。