项目背景
2019年12月1日,等保2.0正式实施,标志着我国正式迈入了等保2.0时代。2019年3月1日,教育部科技司印发了《教育部科技司2019年工作要点》,其中有一项就是要求加强教育系统的网络安全保障能力。
那如何加强教育系统的安全保障能力呢?其实在2009年至2018年期间,教育部就已经出台了一些与信息安全等级保护相关的政策和要求。其中,2017年,教育部和公安部共同发布了《关于全面推进教育行业信息安全等级保护工作的通知》,该通知是目前教育行业等保工作的“工作指南”。
项目概述
客户所建立的在线教育平台提供在线视频学习、练习、考试、答疑,内容包括精讲、串讲、模考、答疑、直播,涉及自考、成考、职业资格等教育,为机构提供录播、串讲、直播、答疑等多种在线教学方式,学员可在电脑、微信、APP等多终端进行同步自主学习。
安全需求
1、客户要求其在线教育平台拿到信息安全等级保护二级备案证明;
2、客户之前没有做过等保,需要我们对等保工作提供一站式的等保合规建设指导服务;
3、客户系统部署在阿里云中,需要我们指导客户购买和指导部署阿里云安全产品及技术支持服务。
安全技术层面问题
1、安全通信网络:未基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证。
2、安全区域边界:
①阿里云审计记录采用阿里云OSS存储并定期备份,目前审计记录仅保存2个月;
②未基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证。
3、安全计算环境(网络):
①阿里云控制台:采用阿里云OSS存储,但未保存6个月;
②阿里云控制台:通过阿里云安全中心发现漏洞,但未定期漏扫,无修复和评估方案;
③阿里云控制台:未基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证;
4、安全管理制度:未定期对安全管理制度的合理性和适用性进行论证和审定。
5、安全计算环境(DB):阿里云RDS-SQLServer版;未开启ssl传输。
6、安全管理制度:未定期对安全管理制度的合理性和适用性进行论证和审定。
7、安全运维管理:未制定办公环境管理制度对不随意放置含有敏感信息的纸档文件和移动介质等作出规定。
用户收益
①履行了安全义务,满足上级监管单位要求
依据等级保护国家标准对在线教育的系统进行安全等级保护建设以及测评,履行了网站自身的网络安全义务。
②充分利用多种安全技术手段,提升了业务系统边界保护能力
依据相关等级别保护设计标准,通过部署waf以及网页防篡改系统等多种安全防护产品,增强了不同区域间业务用户访问控制能力,提升了该单位边界抵御内部攻击行为的能力。
③明确人员安全管理职责,提高了系统安全运维安全管理水平
本次建设该单位在等级保护技术体系建设的同时,还配合大量的咨询、服务的配合与支撑,提高该单位业务系统安全运维的效率和管理水平。