教育行业等保案例-立刻说系统等级保护测评服务项目

客户介绍：

　　立刻说(原美联在线)隶属于美联国际教育集团，是国内的在线学习品牌。凭借着10年的语言培训经验，同时借助互联网优势，打破了时间与空间对学习的限制，为广大英语学习者与爱好者，提供了24小时/365天不间断的真人在线英语培训产品与服务。立刻说涵盖了通用英语、青少英语、海外考试英语、行业英语等4大产品体系，是全产线的在线教育品牌。借助互联网整合全球师资， 现已拥有2000多位欧美高颜值外教师资，通过智能化的真人互动学习平台，促使学员使用电脑/平板/手机就能随时随地浸入全英语环境，有效且快捷的帮助学员全面提升学习效率和兴趣。

　　项目背景：

　　2019年11月11日，教育部办公厅发布了《教育移动互联网应用程序备案管理办法》，里面明确指出教育移动应用备案工作需要落实等级保护备案，所以教育移动运营者为了合规经营，所运营的教育移动应用需要落实信息安全等级保护制度。

　　客户需求：

　　《立刻说系统信息安全等级保护测评报告》

　　安全需求：

　　核心信息系统部署于阿里云上，部署了若干应用服务。根据等级保护建设前期调研、评估过程，依据《GB 17859-1999 信息安全技术信息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议，最终确定本次等级保护建设需求如下：

　　1.将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，降低网络的安全风险。

　　2.定期进行漏洞扫描，审计跟踪，及时发现问题并且解决问题。

　　3.通过入侵检测等方式实现实时的安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施能力。

　　4.使网络管理者能够快速重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地降低损失。

　　解决方案：

　　在方案设计阶段，以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等国家标准文件，并结合行业特性要求、监管单位要求、用户提出的额外安全需求来进行系统性方案设计。在满足相应等级安全区域边界、安全计算环境及管理部分要求基础上，最大程度发挥安全措施的保护能力。

　　通过对现状资产梳理以及差距分析后，先将整体网络架构重新设计，如下图，下图为参考示意图，非本案例真实架构图。

　　立刻说系统所有服务托管在阿里云上,核心部分部署在13台主机上，其按业务功能处于独立的安全区域内。本系统服务器实现与其他系统逻辑隔离。

　　安全技术层面：

　　安全区域边界：网络结构进行优化，所有核心阿里云安全服务重新部署，有网络优先级控制;部署SLB负载均衡;互联网出口区域部署云防火墙、DDOS攻击、web应用防火墙、云安全中心、堡垒机、数据库审计。

　　安全计算环境：配置安全的符合规范的身份鉴别、访问控制、安全审计模块。

　　安全管理层面：编写对应安全管理制度、安全管理机构设定、人员安全管理规范、系统建设管理规范、系统运维管理规范。

　　技术简介：

　　我司(广州万方计算机科技有限公司)拥有国家级网络安全资质认证6个，国家发明专利2个，实用新型1个，软著40个，拥有一支由多名CISSP、CISA、CISP、CCIE、CCSP、PMP、ITIL等资质的专业技术专家组成的网络安全技术团队。

　　客户收益：

　　1、根据2019年教育部办公厅发布的《教育移动互联网应用程序备案管理办法》，明确指出教育移动应用备案工作需要落实等级保护备案，项目实施需要帮助企业严格遵守国家颁布的法律法规。

　　2、项目实施需要彻底落实企业的网络安全保护义务，合理规避风险。

　　3、提高信息系统的信息安全防护能力。

客户案例请勿转载