客户背景
某广场中心位处核心商业区,入驻许多跨国公司和大型中国企业,周边配属大量商城、医院、酒店与高校,属于人流量巨大的公共区域,其LED大屏承担着日常广告、宣传等作用,具有大规模受众群体,影响巨大。
2019年上海网络安全执法检查中也把户外LED大屏播控系统,10平方米以上户外LED大屏的播控系统列为检查对象范围某商业综合体。
为响应国家政策以及保∩障系统安全性,客户最终选择纽盾为其等保一体化建□ 设的服务商。
纽盾依据《信息安全技术 网络安全等级保护↑基本要求》以及针对大屏系统特殊指标,从物理与★环境安全、网络与通信安全和应用安全几个方面对系统的风险进行测试、整改。
安全需求
经过周边环境与系统情况调研,该商业体最↑终定级了大屏播控系统(二级)
信息系统网络架构为◆C/S架构,安全设备只有一台防火墙
根据等级保护建设前期调研、评估过程,依据《信息安全技术 网络安全等级保护基本要求》,最终确定本『次等级保护建设需求如下:
安全技术层面:
物理安全:物理机房设备摆放凌乱,缺乏完善的资产标签;无湿度控制装置;机房进出无审批流△程,无记录;未设置灭火设备。不█满足等保要求。
网络安全:未启用访问控制,不满足等级保护要★求。
主机安全:未启用∑ 登录失败处理功能,主机使用默认账号密▼码,不满足等级保护要求。
数据安全:未对重要数据加密存储。不满足等级保护要求。
安全@管理层面:缺乏管理制度、管理机构、人员管理、系统建设←管理、系统运维管理等方面的安全管理制度,不满足等级保护要求。
渗透测试:在客户♀授权许可的情况下,利用各种主流的攻◣击技术对网络做模拟ξ 攻击测试,以发现系统中的安全漏洞和风险点,提前发现系统潜在的各种高危漏洞和安全威胁。
漏洞扫描:通过扫描等手段对系统的安全♀脆弱性进行检测,并验证改╳漏洞是否可被利用,从而发现系统存在的漏洞问题。
用户收益
● 履行了安全义务,满足上∴级监管单位要求
依据等级保护国家标准对公司的大屏系统进行安全等级保护建设以及测评,履行了自身的网络安全义务。
● 充分【利用多种安全技术手段,提升了业务系统边界保◤护能力
依据相√关等级别保护设计标准,提升了该单位边界抵御内部攻击行为的能力。
● 明确人员安全管理职责,提高了系统安全运维安全管理水平
本次建№设该单位在等级保护技术体系建设■的同时,还配合大量的咨询、服务的配合与支撑,提高该单位业务系统安全运维的效率和管理水平。
