教育行业等保案例-立刻说系统等级保护测评服务项目

2020-11-17 10:59:36 万方科技 13

  图片关键词

客户介绍:

  立刻说(原美联在线)隶属于美联国际教育集团,是国内的在线学习品牌。凭借着10年的语言培训经验,同时借助互联网优势,打破了时间与空间对学习的限制,为广大英语学习者与爱好者,提供了24小时/365天不间断的真人在线英语培训产品与服务。立刻说涵盖了通用英语、青少英语、海外考试英语、行业英语等4大产品体系,是全产线的在线教育品牌。借助互联网整合全球师资, 现已拥有2000多位欧美高颜值外教师资,通过智能化的真人互动学习平台,促使学员使用电脑/平板/手机就能随时随地浸入全英语环境,有效且快捷的帮助学员全面提升学习效率和兴趣。

  项目背景:

  2019年11月11日,教育部办公厅发布了《教育移动互联网应用程序备案管理办法》,里面明确指出教育移动应用备案工作需要落实等级保护备案,所以教育移动运营者为了合规经营,所运营的教育移动应用需要落实信息安全等级保护制度。

  客户需求:

  《立刻说系统信息安全等级保护测评报告》

  安全需求:

  核心信息系统部署于阿里云上,部署了若干应用服务。根据等级保护建设前期调研、评估过程,依据《GB 17859-1999 信息安全技术信息系统安全保护等级定级指南》和第三方等级保护咨询机构的建议,最终确定本次等级保护建设需求如下:

  1.将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,降低网络的安全风险。

  2.定期进行漏洞扫描,审计跟踪,及时发现问题并且解决问题。

  3.通过入侵检测等方式实现实时的安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施能力。

  4.使网络管理者能够快速重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地降低损失。

  解决方案:

  在方案设计阶段,以《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》等国家标准文件,并结合行业特性要求、监管单位要求、用户提出的额外安全需求来进行系统性方案设计。在满足相应等级安全区域边界、安全计算环境及管理部分要求基础上,最大程度发挥安全措施的保护能力。

  通过对现状资产梳理以及差距分析后,先将整体网络架构重新设计,如下图,下图为参考示意图,非本案例真实架构图。

整体网络架构重新设计

  立刻说系统所有服务托管在阿里云上,核心部分部署在13台主机上,其按业务功能处于独立的安全区域内。本系统服务器实现与其他系统逻辑隔离。

  安全技术层面:

  安全区域边界:网络结构进行优化,所有核心阿里云安全服务重新部署,有网络优先级控制;部署SLB负载均衡;互联网出口区域部署云防火墙、DDOS攻击、web应用防火墙、云安全中心、堡垒机、数据库审计。

  安全计算环境:配置安全的符合规范的身份鉴别、访问控制、安全审计模块。

  安全管理层面:编写对应安全管理制度、安全管理机构设定、人员安全管理规范、系统建设管理规范、系统运维管理规范。

  技术简介:

  我司(广州万方计算机科技有限公司)拥有国家级网络安全资质认证6个,国家发明专利2个,实用新型1个,软著40个,拥有一支由多名CISSP、CISA、CISP、CCIE、CCSP、PMP、ITIL等资质的专业技术专家组成的网络安全技术团队。

  客户收益:

  1、根据2019年教育部办公厅发布的《教育移动互联网应用程序备案管理办法》,明确指出教育移动应用备案工作需要落实等级保护备案,项目实施需要帮助企业严格遵守国家颁布的法律法规。

  2、项目实施需要彻底落实企业的网络安全保护义务,合理规避风险。

  3、提高信息系统的信息安全防护能力。

客户案例请勿转载

图片关键词