等级保护-金融行业案例

客户背景

华南测评中心某金融客户为国知名信托公司，为提升自身系统安全性，保障重要业务、数据安全，经过多家对比后，选择了华南测评中心提供的等级保护咨询、整改、测评一站式服务。

华南测评中心对其系统进行了深入的调研和评估，依据《信息安全技术 网络安全等级保护基本要求》对其系统按照国家标准（290项）进行逐项梳理，并对未达到标准的风险点逐项整改、并回归测试。

安全需求

该单位定级了若干重要信息系统如邮件系统（二级）、核心业务系统（三级）。

信息系统网络架构为B/S架构，定级系统安全设备齐全，包括防火墙、WAF、反垃圾邮件系统、堡垒机、上网行为管理系统、日志审计系统。

根据等级保护建设前期调研、评估过程，依据《信息安全技术 网络安全等级保护基本要求》，最终确定本次等级保护建设需求如下：

安全技术层面：

物理安全：系统存放于阿里云，物理安全由阿里云提供保障。

网络安全：未采用两种或者两种以上组合鉴别技术进行身份鉴别；具有口令复杂度要求，但无定期更换机制。不满足等级保护要求。

主机安全：启用强制密码复杂度,但不具备定期更换周期策略；数据库未配置登录失败处理措施；不支持防恶意代码的统一管理；不满足等级保护要求。

应用安全：启用强制密码复杂度,但不具备定期更换周期策略；未提供覆盖到每个用户的安全审计功能，不能对应用系统重要安全事件；未对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；进行审计不满足等级保护要求。

数据安全：未对重要数据加密存储。不满足等级保护要求。

安全管理层面：缺乏管理制度、管理机构、人员管理、系统建设管理、系统运维管理等方面的安全管理制度，不满足等级保护要求。

渗透测试：在客户授权许可的情况下，利用各种主流的攻击技术对网络做模拟攻击测试，以发现系统中的安全漏洞和风险点，提前发现系统潜在的各种高危漏洞和安全威胁。

漏洞扫描：通过扫描等手段对系统的安全脆弱性进行检测，并验证改漏洞是否可被利用，从而发现系统存在的漏洞问题。

用户收益

● 履行了安全义务，满足上级监管单位要求

依据等级保护国家标准对企业内部的系统进行安全等级保护建设以及测评，履行了自身的网络安全义务。

 ● 提升系统安全性

依据国家标准对定级系统进行全方位的排查，对不满足要求的问题点逐个消化，提升了系统整体的安全性，保障业务的正常运行。

● 充分利用现有安全设备

依据相关等级别保护设计标准，对网络进行优化，并对安全设备策略逐个排查，去除冗余的安全策略，让安全设备的作用发挥到最优。

● 明确人员安全管理职责，提高了系统安全运维安全管理水平

本次建设该单位在等级保护技术体系建设的同时，还配合大量的咨询、服务的配合与支撑，提高该单位业务系统安全运维的效率和管理水平。