项目概述
广西某旅游公司是其大集团旗下旅游版块上市公司的全资子公司,前身是有着60多年历史的海运总公司,拥有亚洲最豪华的高速客船,是国内船队规模最大、载客能力最强的海洋旅游企业之一。出于对票务系统网络安全问题的担忧,也为了上市审计的合规需求,该企业需要找一家能提供一站式省心省力安全等级测评服务的公司,协助其票务系统通过三级等保测评。
所属行业
文旅行业
等保级别
三级
项目地点
广西
项目背景
疫情的冲击让旅游业苦不堪言,2020年,我国旅游人数为28.79亿次,同比下降52.1%;旅游收入2.23万亿元,同比下降66%。同时,那些从前得益于旅游产业辐射的交通、票务、住宿等关联业务,也都受到了波及。
面对疫情的持续影响,国家和地方陆续出台了扶持政策,支持旅游市场的复苏。不少企业也看到了数字化、智能化解决方案的巨大价值,主动求变。其中,票务系统成为一个主要发力点。但目前旅游行业企业的票务系统,只是做到了电子化、线上化,离真正的安全、智能化仍有差距。
广西某旅游公司的票务系统主要实现门票预订和核销等,是景区信息化系统建设的核心业务系统,具备实现电子售票、闸机检票、系统管理、财务管理、会员管理、大数据分析等功能。同时随着疫情常态化,还具备了实名制购票、实名制检票、人脸识别、健康绿码、游客测温等功能。依据《中华人民共和国网络安全法》相关规定,该企业决定在专业团队协助下,启动票务系统三级网络安全等级保护测评工作。
痛点难题
时间紧迫
为了迎接防控优化带来的业务增长,同时满足上市审计需要,企业急需在年底前完成票务系统的三级等保测评,获取等保证书,时间比较赶。
专业能力不足
企业内部人力有限,缺乏专门的安全运维人员支持,无法独立完成等保所需的测评、制度建设和安全加固等工作。
数据安全隐患
票务系统储存大量游客的身份信息、支付数据等敏感信息,一旦发生泄露将造成严重后果,亟需建立完善的安全防护机制。
解决方案
专业一站式等保服务
全程为客户设置专职项目经理协调相关各方资源,落实各方责任,推进项目进度,提供管家式项目管理服务。等保服务涵盖定级备案、差距测评、安全整改、测评报告等全流程,特别是在整改环节,对应三级等保规定的96项技术要求与115项管理要求,快速完成所有整改工作,大大缩短整改周期。
量身定制安全方案
针对票务系统的特点定制安全运维方案,满足等保2.0合规要求。为保障涉及大量游客信息的票务系统安全,根据法规要求,同时为了满足等保2.0三级"安全区域边界"、"安全计算环境"、"安全管理中心"等合规要求,为客户推荐了云安全中心、云堡垒机、数据库审计、Web应用防火墙、云防火墙等安全产品,不推荐不必要的设备,帮助客户节约成本。
全面制度建设与应急体系
在安全管理方面,专业团队为企业制定了应急响应处理流程,规范安全事件从申报到处理过程,明确各部门人员职责,落实应急响应处理工作步骤以及应急响应报告机制。同时建议客户根据组织管理要求建立全面的应急场景和应急体系,通过应急预案迅速、有序、有效地恢复系统正常运行,将风险变为可控,降低突发事件造成的损失。
项目成果
顺利通过等保测评
票务系统顺利通过三级等保测评,获得备案证明,满足上市审计合规要求。
安全防护能力提升
建立了完善的安全防护体系,实现对票务系统的全方位保护,用户数据安全得到有效保障。
业务增长支撑
为企业迎接疫情防控优化后的业务增长提供了坚实的安全保障,同时提升了品牌形象和客户信任度。
文旅行业等保知识
文旅行业信息系统的特殊性
文旅行业信息系统通常涉及大量的个人敏感信息,如身份证号、手机号、支付信息等,同时也具有高并发、高可用性需求,特别是在节假日等旅游高峰期。此外,随着实名制购票、人脸识别等技术的应用,系统安全保护的要求也越来越高。
票务系统等保建设重点
票务系统作为文旅行业的核心业务系统,其等保建设应重点关注以下几个方面:
个人信息保护:实施严格的数据访问控制和加密措施,确保游客个人信息安全
支付安全保障:对支付环节进行全流程安全防护,防止支付信息泄露和篡改
高并发系统稳定性:确保在高峰期系统仍能稳定运行,避免因安全措施影响业务连续性
接口安全管理:对与第三方平台的接口进行安全管控,防止通过接口实施攻击
移动应用安全:加强移动票务应用的安全防护,防止移动端成为安全攻击入口
文旅行业等保合规建议
文旅企业在进行等保建设过程中,可参考以下建议:
安全与业务平衡在保证安全的前提下,不影响票务系统的用户体验和业务效率
分级防护策略根据数据敏感程度实施分级防护,重点保护核心敏感信息
季节性安全加固在旅游旺季前进行专项安全加固和演练,确保高峰期系统安全
云原生安全架构对于采用云服务的票务系统,应建立符合云环境特点的安全架构
持续监控与响应建立7×24小时安全监控机制,确保及时发现并处置安全事件
