等级保护-事业单位行业案例

客户背景

华南测评中心某客户单位为国内知名央企，从自身信息系统安全角度考虑，单位需要建设自己的安全管理体系和技术体系的建设，提升整体信息系统及数据的安全性。

华南测评中心对其系统进行了深入的调研和评估，梳理和整理了当前运行的所有业务系统，并依据《信息系统等级保护定级指南》对自身核心业务系统的保护进行了定级备案、差距分析与风险评估、安全规划等一系列准备工作。

安全需求

华南测评中心为客户单位定级了若干重要信息系统，如业务支撑系统，项目管理系统。

信息系统网络架构为简单的B/S架构，整个系统除一台堡垒机外，其他安防手段、措施均缺失，距离等级保护二级要求有非常大的差距，安防状况堪忧。

根据等级保护建设前期调研、评估过程，依据《GB 17859-1999 信息安全技术 信息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议，最终确定本次等级保护建设需求如下：

安全技术层面：

物理安全：物理机房设备摆放凌乱，缺乏完善的资产标签；无湿度控制装置；机房进出无审批流程，无记录；机房无防盗报警系统。机房监控日志留存时间不满足要求。不满足等保要求。

网络安全：缺少入侵防范、网络防火墙、内部用户私自外联行为、行为审计、单点冗余等措施，不满足等级保护要求。

主机安全：缺少对服务器主机的安全防范与威胁过滤措施，缺乏对恶意代码的防范措施，不满足等级保护要求。

应用安全：关键数据没有加密传输；用户密码为弱密码；不满足等级保护要求。

数据安全：数据备份后没有加密措施，数据备份时长不符合要求；数据访问缺少审计、防SQL注入、防攻击等保护数据库系统的措施；不满足等级保护要求。

安全管理层面：缺乏管理制度、管理机构、人员管理、系统建设管理、系统运维管理等方面的安全管理制度，不满足等级保护要求。

渗透测试：在客户授权许可的情况下，利用各种主流的攻击技术对网络做模拟攻击测试，以发现系统中的安全漏洞和风险点，提前发现系统潜在的各种高危漏洞和安全威胁。

漏洞扫描：通过扫描等手段对系统的安全脆弱性进行检测，并验证改漏洞是否可被利用，从而发现系统存在的漏洞问题。

用户收益

● 明确了重要系统的业务边界，优化原有的网络结构

依据等级保护分域保护思想，为该单位规划了不同功能的安全区域，为该单位今后业务发展以及后续网络安全基础设施的部署和安全策略的实现提供坚实的基础。

● 充分利用多种安全技术手段，提升了业务系统边界保护能力

依据相关等级别保护设计标准，通过部署下一代防火墙以及安全审计等多种安全防护产品，增强了不同区域间业务用户访问控制能力，提升了该单位边界抵御内部攻击行为的能力。

● 实现该单位对敏感个人隐私信息的有效保护

依据等级保护关于身份鉴别、可信数字电文的有关要求，实现对该单位业务系统敏感信息机密性、完整性的全面保护，保障了统计上报数据中关于个人及组织的合法利益。

● 明确人员安全管理职责，提高了系统安全运维安全管理水平

本次建设该单位在等级保护技术体系建设的同时，还配合大量的咨询、服务的配合与支撑，提高该单位业务系统安全运维的效率和管理水平。