校园“人脸识别及监测”系统三级合规等保

一、项目背景

教育行业是关乎国家发展和社会进步的基础行业之一，同时也是网络安全法定义的关键基础设施行业之一。互联网时代，随着教育行业信息化建设的高速发展,教育行业信息系统的诸多信息安全问题纷纷暴露出来。

2019年3月1日，教育部科技司发布了《教育部科技司2019年工作要点》，其中强调，要加强教育系统的网络安全保障能力：加强教育系统网络安全保障能力。坚持教育部网络安全和信息化领导小组的统筹领导，全面落实党委(党组)网络安全责任制，建立覆盖教育系统的常态化监督考核机制。制定关键信息基础设施保护规划，开展教育系统关键信息基础设施识别认定、检测评估、安全演练。制定数据安全管理办法，开展数据安全专项治理行动。探索建立线上线下相结合的网络安全培训机制，做好建国70周年等重大时段的教育系统网络安全保障工作。

教育行业信息系统也一直是等级保护工作的重点测评对象，和教育行业网络安全等级保护相关的政策有：

① 《教育部办公厅关于开展信息系统安全等级保护工作的通知》教办厅函 [2009] 80号

②  《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》教办厅函 [2011] 83号

③ 《教育部关于加强教育行业网络与信息安全工作的指导意见》教技 [2014] 4号

④ 教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南（试行）》的通知

⑤ 《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》教技 [2015] 2号

⑥ 《教育部关于推进职业教育信息化发展的指导意见》教职成 [2017] 4号

⑦ 《教育部关于印发《教育信息2.0行动计划》的通知》教技 [2018] 6号

⑧ 《教育部关于加强网络学习空间建设与应用的指导意见》教技 [2018] 16号

⑨ 《教育部第八部门关于引导规范教育移动互联网应用有序健康发展的意见》教技函 [2019] 55号

⑩ 教育部办公厅关于印发《教育移动互联网应用程序备案管理办法》的通知 教技厅 [2019] 3号

总而言之，教育是国家的根本。对教育行业而言，等级保护是基本制度，是重要支撑，是必备资质，更是国家法规、市场拓展、业务需求的明确刚需！

二、项目概述

某校园系统是一套专门针对“各主要卡口出入人员进行监控、 识别”的校园安防系统，是视频分析、人脸检测和识别技术在视频监控领域的全新综合应用。

通过在校门、教学大楼、图书馆、宿舍楼等出入口部署安装人脸识别智能卡口系统设卡进行人员的多重管理，对经过的人员进行人脸抓拍。前端摄像机将抓拍到的人脸图片通过计算机网络传输到前端对比服务器及监控中心的数据库进行数据存储，并与建立的学生、老师人脸白名单库进行实时比对。当发现非白名单内的可疑人员时，系统会自动发出报警信号，采用多种联动方式通知值班人员。

也因此，该校园信息系统包含学生个人信息、人脸信息、校园信息教职工信息等，必须做好信息安全防护工作，以保障校园门禁系统的安全。

三、安全需求

1、客户要求其校园系统拿到信息安全等级保护三级备案证明；

2、客户之前没有做过等保，需要我们对等保工作提供一站式的等保合规建设指导服务；

3、客户系统部署在阿里公有云中，需要我们指导客户采购安全产品、指导部署安全产品，并提供技术支持服务。

四、安全测评范围

安全测评的范围主要包括该校园系统的物理环境、主机、网络、业务应用系统、安全管理制度和人员等。安全测评通过静态评估、现场测试、综合评估等相关环节和阶段，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理十个方面，对十牛校园系统进行综合测评。

五、系统风险及整改建议

通过安全测评，并结合网络安全等级保护的安全通用要求，我们发现，该校园系统存在各种大大小小的风险。基于这些风险，我们给出了针对性的整改建议，提供了专业的技术指导。

在青莲的帮助下，该校园系统成功通过等保测评认证。本次测评的等级测评结论为良，评分为82.93。