客戶背景

某大專院校，為建設系統安全管理體系和技術體系，并滿足上級監管單位的要求，該院校選擇了紐盾提供的等級保護總包服務。

紐盾對其系統進行了深入的調研和評估，梳理和整理了當前運行的所有業務系統，并依據《信息系統等級保護定級指南》對自身核心業務系統的保護進行了定級備案、差距分析與風險評估、安全規劃等一系列準備工作。

安全需求

該單位定級了若干重要信息系統如官網系統（二級）、教務系統（三級）、財務系統（三級）、一卡通系統（三級）。

信息系統網絡架構為B/S架構，定級系統共用一套安全設備，只有一臺思科防火墻。

根據等級保護建設前期調研、評估過程，依據信息安全技術 網絡安全等級保護基本要求》，最終確定本次等級保護建設需求如下：

安全技術層面：

物理安全：物理機房設備擺放凌亂，缺乏完善的資產標簽；無濕度控制裝置；機房進出無審批流程，無記錄；機房無電子門禁；機房監控日志留存時長不滿足要求。不滿足等保要求。

網絡安全：缺少網頁防篡改措施、無法檢測到內部用戶私自外聯行為、未采用兩種或者兩種以上組合鑒別技術進行身份鑒別，不滿足等級保護要求。

主機安全：不具備日志審計功能，缺乏對惡意代碼的防范措施，不滿足等級保護要求。

應用安全：關鍵數據沒有加密傳輸、用戶密碼為弱密碼；未提供安全審計功能，不能對系統的重要操作進行審計；不滿足等級保護要求。

數據安全：未對重要數據加密存儲；未提供本地數據備份與恢復功能。不滿足等級保護要求。

安全管理層面：缺乏管理制度、管理機構、人員管理、系統建設管理、系統運維管理等方面的安全管理制度，不滿足等級保護要求。

滲透測試：在客戶授權許可的情況下，利用各種主流的攻擊技術對網絡做模擬攻擊測試，以發現系統中的安全漏洞和風險點，提前發現系統潛在的各種高危漏洞和安全威脅。

漏洞掃描：通過掃描等手段對系統的安全脆弱性進行檢測，并驗證改漏洞是否可被利用，從而發現系統存在的漏洞問題。

用戶收益

● 履行了安全義務，滿足上級監管單位要求

依據等級保護國家標準對學校內部的系統進行安全等級保護建設以及測評，履行了學校自身的網絡安全義務。

● 充分利用多種安全技術手段，提升了業務系統邊界保護能力

依據相關等級別保護設計標準，通過部署日志審計以及網頁防篡改系統等多種安全防護產品，增強了不同區域間業務用戶訪問控制能力，提升了該單位邊界抵御內部攻擊行為的能力。

● 明確人員安全管理職責，提高了系統安全運維安全管理水平

本次建設該單位在等級保護技術體系建設的同時，還配合大量的咨詢、服務的配合與支撐，提高該單位業務系統安全運維的效率和管理水平。