等级保护-互联网行业案例

客户背景

华南测评中心客户为互联网知名企业，为保证其核心业务应用的持续、稳定运行，实现各核心业务应用之间信息的安全共享，该单位按照《信息安全等级保护管理办法》（公通字[2007]43号）文件精神，结合自身核心业务系统特点开展信息安全等级保护建设整改工作。

华南测评中心对其系统进行了深入的调研和评估，梳理和整理了当前运行的所有业务系统，并依据《信息系统等级保护定级指南》对自身核心业务系统的保护进行了定级备案、差距分析与风险评估、安全规划等一系列准备工作。上级单位通过了该单位等级保护整改建设方案的评审，该单位等级保护工作正式进入整改建设阶段。

安全需求

华南测评中心辅助客户定级了若干重要信息系统，如信息管理系统、官网后台系统、内部OA系统、项目管理系统。

根据等级保护建设前期调研、评估过程，依据《GB 17859-1999 信息安全技术 信息系统安全保护等级定级指南》，最终确定本次等级保护建设需求如下：

1.业务内网现有网络架构都是单节点部署同时没有划分安全域，需要优化设计；

2.各个网络区域边界没有访问控制措施；

3.提高安全维护人员对入侵行为的检测能力；

4.建立符合等级保护要求的内部审计机制；

5.构建基于用户身份的网络准入控制体系；

6.从业务角度出发，强化应用安全、保护隐私数据；

7.建立并保持一个文件化的信息安全管理体系，明确管理职责、规范操作行为。

安全技术层面：

物理安全：机房要满足等保三级基础要求。

网络安全：网络结构进行优化，所有核心节点全冗余部署，同时还要有网络优先级控制；所有安全区域边界位置部署NGAF，开启FW、IDS、WAF、AV模块；核心区域部署AC，实现网络行为审计功能。

主机安全：服务器及用户终端统一安装网络杀毒软件；服务器及用户终端统一安装必要的终端安全管理系统；进行人工干预的安全加固工作。

应用安全：重要业务访问建立安全加密连接；实行代码审计工作防御应用级安全漏洞。

安全管理层面：编写对应安全管理制度、安全管理机构设定、人员安全管理规范、系统建设管理规范、系统运维管理规范。

渗透测试：在客户授权许可的情况下，利用各种主流的攻击技术对网络做模拟攻击测试，以发现系统中的安全漏洞和风险点，提前发现系统潜在的各种高危漏洞和安全威胁。

漏洞扫描：通过扫描等手段对系统的安全脆弱性进行检测，并验证改漏洞是否可被利用，从而发现系统存在的漏洞问题。

用户收益

● 明确了重要系统的业务边界，优化原有的网络结构

依据等级保护分域保护思想，为该单位规划了不同功能的安全区域，为该单位今后业务发展以及后续网络安全基础设施的部署和安全策略的实现提供坚实的基础。

● 提供效率，大大缩短了用户等保建设时间

凭借华南测评中心等保工程师丰富得经验，咨询与整改并行，大大降低了用户等保建设时间。

● 实现该单位对敏感个人隐私信息的有效保护

依据等级保护关于身份鉴别、可信数字电文的有关要求，实现对该单位业务系统敏感信息机密性、完整性的全面保护，保障了统计上报数据中关于个人及组织的合法利益。

● 明确人员安全管理职责，提高了系统安全运维安全管理水平

本次建设该单位在等级保护技术体系建设的同时，还配合大量的咨询、服务的配合与支撑，提高该单位业务系统安全运维的效率和管理水平。