摘要:我们根据客户需求并遵循国家信息安全等级保护的要求,为上海市黄浦区校园安全管理中心提供标准有效的一站式等保咨询服务解决方案,这不仅是贯彻落实国家网络安全等级保护制度要求的有力举措,同时能够完善学校对信息系统安全保障体系,提高信息系统的安全防御能力,更好地抵御网络攻击,保障学校信息系统安全有序运作。
一、项目背景
随着信息化的快速发展和信息技术的广泛应用,网络安全面临的威胁持续加大,教育信息化是国家信息化重要组成部分,教育行业网络与信息安全工作关系着教育信息化的稳步推进和教育事业的改革发展。
为了保护我国基础信息网络的安全,国家推出一系列针对信息系统安全等级防护的规范制度。2017年6月1日正式实施的《网络安全法》第二十一条明确国家实行网络安全等级保护制度要求。2019年5月13日《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)正式发布,同年12月1日正式实施,预示着等级保护2.0体系的正式来临,等级保护也从原有的法规条例上升到法律层面。
上海市黄浦区校园安全管理中心等级保护服务项目是贯彻落实国家网络安全等级保护制度要求的有力举措,同时能够完善学校对信息系统安全保障体系,提高信息系统的安全防御能力,更好地抵御网络攻击,保障学校信息系统安全有序运作。
二、项目需求
1、系统现状
校园安全工作检查系统是上海市黄浦区校园安全管理中心的内部系统,主要的作用是为下属各分校的安全工作检查提供统一的管理,如包括每月巡检、通知管理、保安管理、消防管理、特种设备管理、车辆管理、防汛防台管理、日常检查管理、专项检查等工作内容的管理,同时还提供汇总及分析服务。
校园视频监控系统存储大量学校及个人隐私数据,如包含地理环境信息、布防信息、录像信息、抓拍信息、回放信息等数据内容。
2、预期目标
综合防范,整体安全:坚持管理与技术并重,从人员、管理、安全技术手段等多方面着手,建立综合防范机制,实现整体安全。
分级保护、务求实效:从实际出发,综合评估信息的价值和系统所面临风险大小等因素,依据安全等级进行安全建设和管理,综合平衡安全成本和风险,优化信息安全资源的配置。
标准化与规范化原则:基于国际标准和国家颁布的有关标准,坚持统一、标准、规范的原则,为未来业务发展增容奠定良好的基础。
较小影响原则:信息系统安全保障将尽可能小地影响现有系统和网络的正常运行,不会对业务的正常运行产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,将对风险进行说明。
三、服务方案
为了满足客户预期目标,御盾安全根据客户需求并遵循国家信息安全等级保护的要求提供标准有效的一站式解决方案。
1、系统定级与备案
依据《网络安全等级保护定级指南》对客户信息系统和网络现状进行调研与分析;明确系统边界,识别数据和应用的重要程度,结合国家对等保的要求及规定,定义出符合企业自身现状的等保级别,最终确定校园安全工作检查系统的业务信息安全保护等级为第二级,校园视频监控平台的系统服务安全保护等级为第二级;编写定级报告和定级备案表,经过评审后,向公安机关备案。
2、风险评估与差距分析
根据信息系统定级结果以及等级保护基本要求,选择适当的安全保护指标;对信息系统及运行环境进行差距分析工作,识别威胁和弱点,挖掘安全物理环境、安全区域边界、安全计算环境、安全通信网络、安全管理中心、管理等各层面安全风险;通过将系统安全现状与安全评估指标进行逐一对比,记录当前的现状情况,找到与评估指标之间的差距,判断安全技术和安全管理方面与评估指标的符合程度;在此基础上将差距分析的结果文档化,形成差距分析报告并提出改进建议。
3、安全建设规划
根据差距分析结果,从管理和技术两个方面确定信息系统安全建设整改需求,在明确安全需求的基础上,对安全体系进行总体设计并规划安全建设项目。
4、安全方案设计
根据安全建设规划,进行详细的方案设计和安全产品选择,形成可实施的详细方案。根据建设目标和建设内容将总体设计和建设规划中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档;根据用户当前安全管理需要和安全技术保障需要提出与信息系统安全总体方案中管理部分相适应的本期安全实施内容,以保证安全技术建设的同时,安全管理的同步建设,安全管理设计的内容主要考虑:安全管理机构和人员的配套、安全管理制度的配套、人员安全管理技能的配套等。
5、协助安全加固
根据等保差距分析的结果,对网络设备、安全设备、操作系统、数据库、应用系统进行配置加固,提高系统安全性,满足等保要求,并将加固记录分析整理,形成安全加固报告。
6、安全管理咨询
协助用户完善配套的安全管理职能部门,通过管理机构的岗位设置、人员的分工以及各种资源的配备,为信息系统的安全管理提供组织上的保障;协助用户完善修订与信息系统安全管理相配套的、包括所有信息系统的建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规范和操作规程;协助用户根据自己组织结构特点进行安全制度培训、宣传、推广,确保安全制度的落地执行。
7、辅助等级测评
协助客户选择适合其行业特点、具备等保测评资质的第三方测评机构,并提交等保测评申请;根据测评要求,协助补充和准备测评所需的文档资料;指派专业咨询顾问配合测评机构的现场测评工作,协助回答测评人员问题,协助客户搜集测评需要的制度、记录等文档,协助客户完成国家等级保护测评;现场测评过程中可能会出现部分不符合项,咨询顾问针对这些不符合项进行快速整改,确保客户顺利通过测评。
8、后期持续运维
等保测评通过后,保持对其持续运行维护(包含每年续证事宜、因政策变化而引起的变更调整、新增及调整需求等)。
四、客户收益
通过本次服务,客户可以获得如下收益:
①发现安全现状与安全要求的差距
②根据整改建议及安全加固增强信息系统的安全防护能力
③建设符合标准规范的信息系统
④获得等级保护全周期性的安全服务
⑤获得中长期的等级保护建设发展规划建议