等級保護咨詢及整改服務案例
項目背景
某(mou)中(zhong)心(xin)是全市(shi)綜(zong)合(he)經濟運行管(guan)理的重要決策咨(zi)詢(xun)和信(xin)(xin)息(xi)服務(wu)(wu)(wu)機構,隸屬于當地(di)的發展和改革(ge)委員會。負責全市(shi)經濟信��������(xin)(xin)息(xi)系統建設的規劃和組織,統一管(guan)理�������信(xin)(xin)息(xi)網絡(luo)的開發和利用(yong);向市(shi)委、市(shi)政(zheng)府及綜(zong)合(he)部(bu)門提(ti)供經濟信(xin)(xin)息(xi)、經濟形勢分析預測(ce);為(wei)各部(bu)門采用(yong)先進手段開展業務(wu)(wu)(wu)和處理事務(wu)(wu)(wu)提(ti)供技術和信(xin)(xin)息(xi)支持,開展公眾信(xin)(xin)息(xi)咨(zi)詢(xun)服務(wu)(wu)(wu)和國內外的信(xin)(xin)息(xi)交流。
為貫(guan)徹(che)和響應國(guo)家及行(xing)業等級(ji)保(bao)護(hu)(hu)相關文件要(yao)求(qiu)(qiu),保(bao)護(hu)(hu)應用系統(tong)的安(an)(an)(an)(an)(an)全性,不斷提(ti)升核心(xin)競(jing)爭力,某(mou)中心(xin)依據《中華人民(min)共(gong)和國(guo)網(wang)(wang)絡安(an)(an)(an)(an)(an)全法》和《信息(xi)安(an)(an)(an)(an)(an)全技(ji)術 網(wang)(wang)絡安(an)(an)(an)(an)(an)全等級(ji)保(bao)護(hu)(hu)基(ji)本要(yao)求(qiu)(qiu)》等相關要(yao)求(qiu)(qiu)開展等級(ji)保(bao)護(hu)(hu)測(ce)評工作,并(bing)委托圣博潤對向市委/市政府及綜合部(bu)門(men)提(ti)供經濟信息(xi)和經濟形勢分析預(yu)測(ce)、向社會公(gong)眾發布政務信息(xi)的重要(yao)網(wang)(wang)站、云(yun)平臺等五個(ge)重要(yao)應用系統(tong)進行(xing)定級(ji)備(bei)案、安(an)(an)(an�������)(an)(an)全評估、差距分析、安(an)(an)(an)(an)(an)全整改、應急演練等工作。
解決思路
圣博(bo)(bo)潤根(gen)據(ju)中心(xin)應(ying)(ying)用(yong)(yong)(yong)系統(tong)安全(quan)(quan)的實(shi)際(ji)情況和要求,成(cheng)立(li)項(xiang)目(mu)(mu)組,制定(ding)項(xiang)目(mu)(mu)實(shi)施(shi)方案(an)。通(tong)過采取人員(yuan)訪談、文件審核、現場調研等方法,對(dui)五個應(ying)(ying)用(yong)(yong)(yong)系統(tong)進(jin)(jin)(jin)行系統(tong)定(ding)級(ji)、系統(tong)備案(an)、安全(quan)(quan)評估,采用(yong)(yong)(yong)工具結合(he)人工分(�������fen)析(xi)(xi)的方式對(dui)五個應(ying)(ying)用(yong)(yong)(yong)系統(tong)進(jin)(jin)(jin)行滲透測試,同時(shi)使用(yong)(yong)(yong)圣博(bo)(bo)潤脆弱性掃描(miao)系統(tong)對(dui)78臺資產設備進(jin)(jin)(jin)行漏洞(dong)掃描(miao)查找安全(quan)(quan)隱患。在評估過程中對(dui)發現的問題進(jin)(jin)(jin)行差距分(fen)析(xi)(xi),出具整改建議(yi),并協助某中心(xin)開展(zhan)整改工作,結合(he)國(guo)家和行業法律法規、政(zheng)策、標(biao)準,制定(ding)符(fu)合(he)某中心(xin)安全(quan)(quan)管理要求、可落實(shi)、符(fu)合(he)等級(ji)保(bao)護相(xiang)關要求的安全(quan)(quan)管理制度(du)體系。
為驗證應(ying)(ying)急預案的(de)(de)(de)適(s������hi)用性,找出應(ying)(ying)急預案存在的(de)(de)(de)問題,建立(li)和保(bao)持可(ke)靠的(de)(de)(de)信息渠道及應(ying)(ying)急人員的(de)(de)(de)協同(tong)性,確(que)保(bao)所有(you)應(ying)(ying)急組(zu)織都熟悉并能夠正確(que)履(lv)行其職(zhi)責(ze),組(zu)織某(mou)中(zhong)心、產品供應(ying)(ying)商、網(wang)絡(luo)安全服務商等開展網(wang)絡(luo)安全應(ying)(ying)急預案的(de)(de)(de)培訓和演(yan)練(lian)(lian);演(yan)練(lian)(lian)結束后,針對這次演(yan)練(lian)(lian)活動進行認(ren)真總結,同(tong)時建議某(mou)中(zhong)心針對應(ying)(ying)急演(yan)練(lian)(lian)中(zhong)出現的(de)(de)(de)問題及時進行整改(gai),對各崗位的(de)(de)(de)責(ze)任制(zhi)再次加以明確(que)和落實。
用戶收益
通(tong)過(guo)本項目的實(shi)施(shi),全(q�����uan)(quan)面(mian)發現了(le)某(mou)中(zhong)心(xin)各類應(ying)用系統資產和(he)(he)系統的安(an)(an)(an)全(quan)(quan)隱患,并針對性的提(ti)出安(an)(an)(an)全(quan)(quan)整改建議與協助(zhu)整改,使某(mou)中(zhong)心(xin)充分了(le)解到網(wang)絡(luo)安(an)(an)(an)全(quan)(quan)工作的重要性,加(jia)強了(le)某(mo������u)中(zhong)心(xin)發現安(an)(an)(an)全(quan)(quan)問題(ti)和(he)(he)處理(li)安(an)(an)(an)全(quan)(quan)問題(ti)的能力,保(bao)障了(le)某(mou)中(zhong)心(xin)系統定級的準確性和(he)(he)系統備案的實(shi)操性,并為(wei)安(an)(an)(an)全(quan)(quan)管理(li)體系的持續改進,提(ti)供(gong)了(le)支撐和(he)(he)指導,全(quan)(quan)面(mian)提(ti)升網(wang)絡(luo)和(he)(he)信息安(an)(an)(an)全(quan)(quan)管理(li)水平。
