摘要：我們根據(jù)客戶(hù)需求并遵循國(guó)家信息安全等級(jí)保護(hù)的要求，為上海市黃浦區(qū)校園安全管理中心提供標(biāo)準(zhǔn)有效的一站式等保咨詢(xún)服務(wù)解決方案，這不僅是貫徹落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求的有力舉措，同時(shí)能夠完善學(xué)校對(duì)信息系統(tǒng)安全保障體系，提高信息系統(tǒng)的安全防御能力，更好地抵御網(wǎng)絡(luò)攻擊，保障學(xué)校信息系統(tǒng)安全有序運(yùn)作。

一、項(xiàng)目背景

隨著信息化的快速發(fā)展和信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)安全面臨的威脅持續(xù)加大，教育信息化是國(guó)家信息化重要組成部分，教育行業(yè)網(wǎng)絡(luò)與信息安全工作關(guān)系著教育信息化的穩(wěn)步推進(jìn)和教育事業(yè)的改革發(fā)展。

為了保護(hù)我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)的安全，國(guó)家推出一系列針對(duì)信息系統(tǒng)安全等級(jí)防護(hù)的規(guī)范制度。2017年6月1日正式實(shí)施的《網(wǎng)絡(luò)安全法》第二十一條明確國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求。2019年5月13日《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB／T22239－2019)正式發(fā)布，同年12月1日正式實(shí)施，預(yù)示著等級(jí)保護(hù)2.0體系的正式來(lái)臨，等級(jí)保護(hù)也從原有的法規(guī)條例上升到法律層面。

上海市黃浦區(qū)校園安全管理中心等級(jí)保護(hù)服務(wù)項(xiàng)目是貫徹落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求的有力舉措，同時(shí)能夠完善學(xué)校對(duì)信息系統(tǒng)安全保障體系，提高信息系統(tǒng)的安全防御能力，更好地抵御網(wǎng)絡(luò)攻擊，保障學(xué)校信息系統(tǒng)安全有序運(yùn)作。

二、項(xiàng)目需求

1、系統(tǒng)現(xiàn)狀

校園安全工作檢查系統(tǒng)是上海市黃浦區(qū)校園安全管理中心的內(nèi)部系統(tǒng)，主要的作用是為下屬各分校的安全工作檢查提供統(tǒng)一的管理，如包括每月巡檢、通知管理、保安管理、消防管理、特種設(shè)備管理、車(chē)輛管理、防汛防臺(tái)管理、日常檢查管理、專(zhuān)項(xiàng)檢查等工作內(nèi)容的管理，同時(shí)還提供匯總及分析服務(wù)。

校園視頻監(jiān)控系統(tǒng)存儲(chǔ)大量學(xué)校及個(gè)人隱私數(shù)據(jù)，如包含地理環(huán)境信息、布防信息、錄像信息、抓拍信息、回放信息等數(shù)據(jù)內(nèi)容。

2、預(yù)期目標(biāo)

綜合防范，整體安全：堅(jiān)持管理與技術(shù)并重，從人員、管理、安全技術(shù)手段等多方面著手，建立綜合防范機(jī)制，實(shí)現(xiàn)整體安全。

分級(jí)保護(hù)、務(wù)求實(shí)效：從實(shí)際出發(fā)，綜合評(píng)估信息的價(jià)值和系統(tǒng)所面臨風(fēng)險(xiǎn)大小等因素，依據(jù)安全等級(jí)進(jìn)行安全建設(shè)和管理，綜合平衡安全成本和風(fēng)險(xiǎn)，優(yōu)化信息安全資源的配置。

標(biāo)準(zhǔn)化與規(guī)范化原則：基于國(guó)際標(biāo)準(zhǔn)和國(guó)家頒布的有關(guān)標(biāo)準(zhǔn)，堅(jiān)持統(tǒng)一、標(biāo)準(zhǔn)、規(guī)范的原則，為未來(lái)業(yè)務(wù)發(fā)展增容奠定良好的基礎(chǔ)。

較小影響原則：信息系統(tǒng)安全保障將盡可能小地影響現(xiàn)有系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不會(huì)對(duì)業(yè)務(wù)的正常運(yùn)行產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等），如無(wú)法避免，將對(duì)風(fēng)險(xiǎn)進(jìn)行說(shuō)明。

三、服務(wù)方案

為了滿(mǎn)足客戶(hù)預(yù)期目標(biāo)，御盾安全根據(jù)客戶(hù)需求并遵循國(guó)家信息安全等級(jí)保護(hù)的要求提供標(biāo)準(zhǔn)有效的一站式解決方案。

1、系統(tǒng)定級(jí)與備案

依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》對(duì)客戶(hù)信息系統(tǒng)和網(wǎng)絡(luò)現(xiàn)狀進(jìn)行調(diào)研與分析；明確系統(tǒng)邊界，識(shí)別數(shù)據(jù)和應(yīng)用的重要程度，結(jié)合國(guó)家對(duì)等保的要求及規(guī)定，定義出符合企業(yè)自身現(xiàn)狀的等保級(jí)別，最終確定校園安全工作檢查系統(tǒng)的業(yè)務(wù)信息安全保護(hù)等級(jí)為第二級(jí)，校園視頻監(jiān)控平臺(tái)的系統(tǒng)服務(wù)安全保護(hù)等級(jí)為第二級(jí)；編寫(xiě)定級(jí)報(bào)告和定級(jí)備案表，經(jīng)過(guò)評(píng)審后，向公安機(jī)關(guān)備案。

2、風(fēng)險(xiǎn)評(píng)估與差距分析

根據(jù)信息系統(tǒng)定級(jí)結(jié)果以及等級(jí)保護(hù)基本要求，選擇適當(dāng)?shù)陌踩Ｗo(hù)指標(biāo)；對(duì)信息系統(tǒng)及運(yùn)行環(huán)境進(jìn)行差距分析工作，識(shí)別威脅和弱點(diǎn)，挖掘安全物理環(huán)境、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)、安全管理中心、管理等各層面安全風(fēng)險(xiǎn)；通過(guò)將系統(tǒng)安全現(xiàn)狀與安全評(píng)估指標(biāo)進(jìn)行逐一對(duì)比，記錄當(dāng)前的現(xiàn)狀情況，找到與評(píng)估指標(biāo)之間的差距，判斷安全技術(shù)和安全管理方面與評(píng)估指標(biāo)的符合程度；在此基礎(chǔ)上將差距分析的結(jié)果文檔化，形成差距分析報(bào)告并提出改進(jìn)建議。

3、安全建設(shè)規(guī)劃

根據(jù)差距分析結(jié)果，從管理和技術(shù)兩個(gè)方面確定信息系統(tǒng)安全建設(shè)整改需求，在明確安全需求的基礎(chǔ)上，對(duì)安全體系進(jìn)行總體設(shè)計(jì)并規(guī)劃安全建設(shè)項(xiàng)目。

4、安全方案設(shè)計(jì)

根據(jù)安全建設(shè)規(guī)劃，進(jìn)行詳細(xì)的方案設(shè)計(jì)和安全產(chǎn)品選擇，形成可實(shí)施的詳細(xì)方案。根據(jù)建設(shè)目標(biāo)和建設(shè)內(nèi)容將總體設(shè)計(jì)和建設(shè)規(guī)劃中要求實(shí)現(xiàn)的安全策略、安全技術(shù)體系結(jié)構(gòu)、安全措施和要求落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出能夠?qū)崿F(xiàn)的產(chǎn)品或組件及其具體規(guī)范，并將產(chǎn)品功能特征整理成文檔；根據(jù)用戶(hù)當(dāng)前安全管理需要和安全技術(shù)保障需要提出與信息系統(tǒng)安全總體方案中管理部分相適應(yīng)的本期安全實(shí)施內(nèi)容，以保證安全技術(shù)建設(shè)的同時(shí)，安全管理的同步建設(shè)，安全管理設(shè)計(jì)的內(nèi)容主要考慮：安全管理機(jī)構(gòu)和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。

5、協(xié)助安全加固

根據(jù)等保差距分析的結(jié)果，對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)進(jìn)行配置加固，提高系統(tǒng)安全性，滿(mǎn)足等保要求，并將加固記錄分析整理，形成安全加固報(bào)告。

6、安全管理咨詢(xún)

協(xié)助用戶(hù)完善配套的安全管理職能部門(mén)，通過(guò)管理機(jī)構(gòu)的崗位設(shè)置、人員的分工以及各種資源的配備，為信息系統(tǒng)的安全管理提供組織上的保障；協(xié)助用戶(hù)完善修訂與信息系統(tǒng)安全管理相配套的、包括所有信息系統(tǒng)的建設(shè)、開(kāi)發(fā)、運(yùn)維、升級(jí)和改造等各個(gè)階段和環(huán)節(jié)所應(yīng)當(dāng)遵循的行為規(guī)范和操作規(guī)程；協(xié)助用戶(hù)根據(jù)自己組織結(jié)構(gòu)特點(diǎn)進(jìn)行安全制度培訓(xùn)、宣傳、推廣，確保安全制度的落地執(zhí)行。

7、輔助等級(jí)測(cè)評(píng)

協(xié)助客戶(hù)選擇適合其行業(yè)特點(diǎn)、具備等保測(cè)評(píng)資質(zhì)的第三方測(cè)評(píng)機(jī)構(gòu)，并提交等保測(cè)評(píng)申請(qǐng)；根據(jù)測(cè)評(píng)要求，協(xié)助補(bǔ)充和準(zhǔn)備測(cè)評(píng)所需的文檔資料；指派專(zhuān)業(yè)咨詢(xún)顧問(wèn)配合測(cè)評(píng)機(jī)構(gòu)的現(xiàn)場(chǎng)測(cè)評(píng)工作，協(xié)助回答測(cè)評(píng)人員問(wèn)題，協(xié)助客戶(hù)搜集測(cè)評(píng)需要的制度、記錄等文檔，協(xié)助客戶(hù)完成國(guó)家等級(jí)保護(hù)測(cè)評(píng)；現(xiàn)場(chǎng)測(cè)評(píng)過(guò)程中可能會(huì)出現(xiàn)部分不符合項(xiàng)，咨詢(xún)顧問(wèn)針對(duì)這些不符合項(xiàng)進(jìn)行快速整改，確保客戶(hù)順利通過(guò)測(cè)評(píng)。

8、后期持續(xù)運(yùn)維

等保測(cè)評(píng)通過(guò)后，保持對(duì)其持續(xù)運(yùn)行維護(hù)（包含每年續(xù)證事宜、因政策變化而引起的變更調(diào)整、新增及調(diào)整需求等）。

四、客戶(hù)收益

通過(guò)本次服務(wù)，客戶(hù)可以獲得如下收益：

①發(fā)現(xiàn)安全現(xiàn)狀與安全要求的差距

②根據(jù)整改建議及安全加固增強(qiáng)信息系統(tǒng)的安全防護(hù)能力

③建設(shè)符合標(biāo)準(zhǔn)規(guī)范的信息系統(tǒng)

④獲得等級(jí)保護(hù)全周期性的安全服務(wù)

⑤獲得中長(zhǎng)期的等級(jí)保護(hù)建設(shè)發(fā)展規(guī)劃建議