项目概述
成都某教育集团开设包括幼儿园、小学、中学在内课程,致力于为中国的学生提供高品质的双语多元文化教育。该集团自发找到全云在线专业团队,开展安全等级保护工作,在全云在线一站等保的帮助下,省时省力过了三级等保,全面提高云上安全指数!
所属行业
教育行业
等保级别
三级
项目地点
四川省成都市
项目背景
该教育集团的智慧校园系统面向社会公众,提供教学管理服务,如课程预约、问卷调查、健康信息上报、家长会预约、校服购买、通知发送、教职工管理等。该平台部署在云平台上,云平台服务商仅提供基础版安全服务模块,未部署其他安全产品服务。系统防护薄弱、安全边界不清、缺少运维和数据库系统审计措施、不能定期安全自查,也未通过等级保护测评。
随着教育信息化的深入推进,教育行业网络安全问题日益凸显。根据相关通知要求,教育机构需要开展等级保护工作,确保信息系统安全。该教育集团意识到信息安全的重要性,主动寻求专业团队协助完成等保测评认证。
痛点难题
云上安全威胁
智慧校园系统以云计算技术建设基础设施层,丰富相关应用的同时面临更多安全威胁,如校园数据泄露、篡改等事件频繁发生。
安全体系不完善
集团网络安全建设落后于信息化应用建设,重建设轻运营,无有效全局性防护体系,缺少顶层设计和规划,智慧校园系统各应用系统安全防护水平不一。
人力资源不足
考虑到数据安全的问题,以及目前企业存在工作人手不够、制度编写存在一定难度等问题,需要专业团队全程协助完成等保工作。
解决方案
专业一站式等保服务
全云在线为客户设置专职项目经理协调相关各方资源,提供管家式的项目管理服务。专业团队围绕等级保护要求为客户提供等保咨询,同时打包了定级备案、差距测评、整改、测评报告、安全检查在内一站式服务。在测评+整改过程中,协助客户对接协调监管部门、测评机构、专家库等相关机构。以三级信息系统的等级保护规定为例,其测评内容包含等级保护安全建设整改(技术)的5个方面内容以及建设整改(管理)的5个方面内容,共211项技术和管理要求。
制度体系快速构建
在等保整改中,管理制度占测评总分的一半(50分)。全云在线团队为客户交付制度文档多达100多份,帮助用户单位快速梳理上百个建设项、测评项,大大缩短了整改周期,帮助节省时间。同时在报告撰写、制度整改等环节上帮助企业压缩时间,最终在不到2个月的时间就帮助其通过了等保测评。
量身定制安全运维方案
该企业的信息系统平台涉及到学生信息、家长信息以及教师信息。为满足等保2.0三级"安全区域边界"、"安全计算环境"、"安全管理中心"等合规要求,全云在线的安全人员为客户推荐了web应用防火墙、堡垒机、数据库审计、云安全中心以及SSL证书等安全产品,保障了系统的网络与通信安全、设备与计算安全以及应用和数据安全,不给客户推荐并不急需的安全产品,帮助客户节约成本。同时,针对应急演练场景不够全面的问题,建议学校建立全面的应急场景和应急体系。
项目成果
顺利通过等保测评
仅用两个月时间完成了通常需要4-6个月的三级等保测评和认证流程,获得备案证明,满足教育行业监管要求。
安全防护能力提升
通过部署合适的安全产品和建立完善的管理制度,智慧校园系统的安全防护能力得到全面提升,有效防范数据泄露和篡改风险。
业务合作基础强化
通过等保认证,为教育集团与高等院校、其他教育企业的业务合作提供了"敲门砖",增强了业务互信基础。
教育行业等保知识
教育行业等保相关政策
教育行业等保工作主要依据以下政策法规
《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》(教办厅函(2011)83号)
《教育部办公厅关于开展信息系统安全等级保护工作的通知》(教办厅(2009)80号)
教育部印发《教育信息关于进一步推进市属教育行业信息安全等级保护工作的通知》(京教函(2012)363号)
教育部《教育行业信息系统安全等级保护定级工作指南(试行)》的通知(2014)
教育部科技司印发《关于加开推进信息系统网络安全等级保护定级备案工作的通知》
教育部印发《教育信息化2.0行动计划》的通知
教育行业等保的重要性
网络安全等级保护制度是我国网络安全领域一项重要制度,不开展网络等级保护制度就是违法!对于教育行业来说,开展等保工作具有以下重要意义
业务合作需要互联网教育与高等院校、其他教育企业等合作时需要有业务对接,此时等级保护便成为业务互信的"敲门砖"
提升安全水平通过等级保护基本要求,完成安全工作所需的基本建设要求如应用安全、网络安全、系统安全、数据安全等
保护师生信息教育系统中包含大量师生个人信息,通过等保工作可以有效保障这些敏感信息的安全
满足监管要求随着教育信息化的深入推进,监管部门对教育行业信息安全提出了更高要求,开展等保工作是满足监管要求的重要手段
提升品牌形象通过等保测评,可以向学生、家长和社会展示机构对信息安全的重视,提升品牌形象和社会信任度
