教育平台app做等保测评的案例分析

工程背景。

2020年12月1日，等保2.0正式启动，标志着我国正式迈入等保2.0时代。新的一年三月一日，教育部科技司发布了教育部科技司2019年工作要点，其中之一就是要求加强教育系统网络安全保障能力。

那么怎样才能提高教育系统的安全保障能力？事实上，从2009年到2018年，教育部已出台了一系列与信息安全等级保护有关的政策和要求。2017年，教育部与公安部联合发布了《关于全面推进教育行业信息安全等级保护工作的通知》，该通知是当前教育行业等保工作的“工作指南”。

计划概要。

建立了在线教育平台，提供在线视频学习、练习、测验、答疑等内容，内容包括精讲、串讲、模考、答疑、直播等，内容包括自考、成考、职业资格等，为机构提供了录播、串讲、直播、答疑等多种在线教学方式，并可在电脑、模考、答疑等多终端进行同步自主学习。

安全性要求。

1、用户要求其网上教育平台取得信息安全等级保护二级备案证明；

2、客户以前没有做过等保，需要我们的对等保工作提供一站式保合规建设指导服务；

3、客户系统部署在阿里云上，需要指导客户购买并指导阿里云安全产品的部署和技术支持。

关于安全的技术层面。

1、安全通信网：没有根据可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用等进行可信验证。

2.区域安全界限：

①阿里云审计记录是用阿里云OSS进行存储和定期备份的，目前审计记录只保存2个月；

②没有根据可信根对边界设备、系统程序、重要配置参数和边界保护应用等进行可信验证。

3.安全计算环境(网络)：

①阿里云控制台：使用阿里云存储OSS，但未保存6个月；

②阿里云控制台：通过阿里云安全中心发现漏洞，但没有定期泄漏，没有修复和评估方案；

③阿里云控制台：没有根据可信根对计算设备、系统程序、重要配置参数和应用程序等进行可信验证；

4、安全管理体系：没有定期对安全管理体系的合理性和适用性进行论证和验证。

5、安全计算环境(DB)：阿里云的RDS-SQLServer版本；ssl传输没有打开。

6、安全管理体系：安全管理体系的合理性和适用性没有定期地加以论证、验证。

7、安全操作管理：没有制定办公环境管理制度，对不随意放置含有敏感信息的纸档和移动媒体等进行规范。

使用者的收益

完成了公司的安全职责，符合上级监管部门的要求。

根据分级保护国家标准，对网络教育系统进行安全等级保护建设和测评，履行了网站自身的网络安全义务。

②充分运用多种安全技术手段，提高运营系统的边界防护能力。

根据相应的等级保护设计标准，通过配置waf和网页防篡改系统等多种安全防护产品，加强了不同地区间业务用户的访问控制能力，提高了单位边界抵抗内部攻击的能力。

③明确人员安全管理职责，提高系统安全操作的安全管理水平。

这次建设单位在建设等级保护技术体系的同时，还配合大量的咨询、服务的配合与支持，提高了单位业务系统安全操作的效率和管理水平。