網(wǎng)絡(luò )安全

【發(fā)布時(shí)間】2019-10-24 14:18:48

【作者】Admin

【瀏覽量】

客戶(hù)背景
某教育企業(yè)是全球大型的學(xué)分課程運營(yíng)服務(wù)平臺，服務(wù)的會(huì )員學(xué)校近2000所，超過(guò)1000萬(wàn)大學(xué)生，是國內領(lǐng)先的教育信息化制造商與互聯(lián)網(wǎng)教育運營(yíng)商。
作為行業(yè)的知名企業(yè)，其核心業(yè)務(wù)管理平臺存儲著(zhù)大量的隱私信息，關(guān)系著(zhù)公司核心業(yè)務(wù)的運營(yíng)，企業(yè)前期在信息化建設和網(wǎng)絡(luò )安全上進(jìn)行了大量投入，但隨著(zhù)網(wǎng)絡(luò )安全形式的日益嚴重，同時(shí)為滿(mǎn)足國家等級保護制度的相關(guān)要求，該企業(yè)選擇了我們進(jìn)行等級保護一站式解決方案。
 
安全需求
該單位定級核心業(yè)務(wù)管理平臺系統（三級）。
信息系統網(wǎng)絡(luò )架構為B/S架構，定級系統安全設備齊全，包括防火墻、WAF、堡壘機、上網(wǎng)行為管理系統、日志審計系統。
根據等級保護建設前期調研、評估過(guò)程，依據《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》，最終確定本次等級保護建設需求如下
 
安全技術(shù)層面：
網(wǎng)絡(luò )安全：未啟用訪(fǎng)問(wèn)控制，不滿(mǎn)足等級保護要求。
主機安全：未啟用登錄失敗處理功能，主機使用默認賬號密碼，不滿(mǎn)足等級保護要求。
數據安全：客戶(hù)近200余臺pc服務(wù)器部署服務(wù)應用，有600余臺數據庫服務(wù)器，未對重要數據加密存儲。不滿(mǎn)足等級保護要求。
安全管理層面：缺乏管理制度、管理機構、人員管理、系統建設管理、系統運維管理等方面的安全管理制度，不滿(mǎn)足等級保護要求。
滲透測試：在客戶(hù)授權許可的情況下，利用各種主流的攻擊技術(shù)對網(wǎng)絡(luò )做模擬攻擊測試，以發(fā)現系統中的安全漏洞和風(fēng)險點(diǎn)，提前發(fā)現系統潛在的各種高危漏洞和安全威脅。
漏洞掃描：通過(guò)掃描等手段對系統的安全脆弱性進(jìn)行檢測，并驗證改漏洞是否可被利用，從而發(fā)現系統存在的漏洞問(wèn)題。