等級保護案例

客戶背景

御乾客戶為上海市衛(wèi)生行業(yè)某中心醫(yī)院,為保證其核心業(yè)務(wù)應(yīng)用的持續(xù)、穩(wěn)定運行,實現(xiàn)各核 心業(yè)務(wù)應(yīng)用之間信息的安全共享,該單位按照《信息安全等級保護管理辦法》(公通字[2007]43號) 文件精神,結(jié)合自身核心業(yè)務(wù)系統(tǒng)特點開展信息安全等級保護建設(shè)整改工作。

御乾對其系統(tǒng)進行了深入的調(diào)研和評估,梳理和整理了當前運行的所有業(yè)務(wù)系統(tǒng),并依據(jù)《信息 系統(tǒng)等級保護定級指南》對自身核心業(yè)務(wù)系統(tǒng)的保護進行了定級備案、差距分析與風險評估、安全規(guī) 劃等一系列準備工作。上級單位通過了該單位等級保護整改建設(shè)方案的評審,該單位等級保護工作正 式進入整改建設(shè)階段。

安全需求

御乾輔助客戶定級了若干重要信息系統(tǒng),如內(nèi)網(wǎng)核心信息系統(tǒng)、門戶網(wǎng)站系統(tǒng)、互聯(lián)網(wǎng)醫(yī)院系統(tǒng),OA辦公系統(tǒng)。

根據(jù)等級保護建設(shè)前期調(diào)研、評估過程,依據(jù)《GB 17859-1999 信息安全技術(shù) 信息系統(tǒng)安全保護等 級定級指南》,確定本次等級保護建設(shè)需求如下:

1.業(yè)務(wù)內(nèi)網(wǎng)現(xiàn)有網(wǎng)絡(luò)架構(gòu)都是單節(jié)點部署且未劃分安全域;

2.網(wǎng)絡(luò)區(qū)域邊界沒有訪問控制措施;

3.提高相關(guān)運維人員對入侵行為的檢測能力;

4.需要構(gòu)建基于用戶身份的網(wǎng)絡(luò)準入控制體系;

5.從業(yè)務(wù)角度出發(fā),強化應(yīng)用安全、保護隱私數(shù)據(jù);

6.建立并保持一個文件化的信息安全管理體系,明確管理職責、規(guī)范操作行為。

安全技術(shù)層面:

物理安全:

機房要滿足等保三級建設(shè)中的基本要求。

網(wǎng)絡(luò)安全:

優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),對所有核心節(jié)點實現(xiàn)冗余 ,同時還要有網(wǎng)絡(luò)優(yōu)先級控制;在安全區(qū)域邊界位置部署NGAF,開啟FW、IDS、WAF、AV模塊;核心 區(qū)域部署AC,實現(xiàn)網(wǎng)絡(luò)行為審計功能。。

主機安全:

服務(wù)器及用戶終端統(tǒng)一安裝網(wǎng)絡(luò)版殺毒軟件 ;服務(wù)器及用戶終端統(tǒng)一安裝必要的終端安全管理系統(tǒng);實現(xiàn)對終端的安全加固。。

應(yīng)用安全:

要業(yè)務(wù)訪問建立安全加密連接;實行代碼審計工作防御應(yīng)用級安全漏洞。。

安全管理層面:

編寫安全管理制度、安全管理機構(gòu)設(shè)定、人員安全管理規(guī)范、 系統(tǒng)建設(shè)管理規(guī)范、系統(tǒng)運維管理規(guī)范。。

滲透測試:

在客戶授權(quán)許可的情況下,利用各種主流的 攻擊技術(shù)對網(wǎng)絡(luò)做模擬攻擊測試,以發(fā)現(xiàn)系統(tǒng)中的安全漏洞和風險點,提前發(fā)現(xiàn)系統(tǒng)潛在的各種高危漏 洞和安全威脅。

漏洞掃描:

通過掃描等手段對系統(tǒng)的安全脆弱性進行檢測,并 驗證改漏洞是否可被利用,從而發(fā)現(xiàn)系統(tǒng)存在的漏洞問題。。

用戶收益:

?明確了重要系統(tǒng)的業(yè)務(wù)邊界,優(yōu)化原有的網(wǎng)絡(luò)結(jié)構(gòu)

依據(jù)等級保護分域保護思想,為該單位規(guī)劃了不同功能的安全區(qū)域,為該單位今后業(yè)務(wù)發(fā)展以及后續(xù)網(wǎng)絡(luò)安 全基礎(chǔ)設(shè)施的部署和安全策略的實現(xiàn)提供堅實的基礎(chǔ)

?提供效率,大大縮短了用戶等保建設(shè)時間

憑借御乾等保工程師豐富得經(jīng)驗,咨詢與整改并行,大大降低了用戶等保建設(shè)時間。

?實現(xiàn)該單位對敏感個人隱私信息的有效保護

依據(jù)等級保護關(guān)于身份鑒別、個人隱私的有關(guān)要求,實現(xiàn)對該單位業(yè)務(wù)系統(tǒng)敏感信息機密性、完整性的全面保 護,保障了數(shù)據(jù)中關(guān)于個人及組織的隱私權(quán)益。

?明確人員安全管理職責,提高了系統(tǒng)安全運維安全管理水平

本次建設(shè)該單位在等級保護技術(shù)體系建設(shè)的同時,還配合大量的咨詢、服務(wù)的配合與支撐,提高該單位業(yè)務(wù)系統(tǒng)安全運維的效率和管理水平。
遇到問題需要幫助嗎?
遇到一個無法解決的問題需要尋求我們的幫助?我們一直在這里等您。
聯(lián)系我們