广州市某物业管理有限公司始建于1999年5月,专业从事物业管理服务及相应的配套服务。2011年4月经整合重组,改制成为全资国有企业。公司先后承接了海心沙岛、花城广场、花城汇、流花展馆、天河新天地、星海音乐学院、岭南复建商厦、怡滨大厦、花城金沙汇、城壹汇等物管项目。目前,公司管理面积达300万平方米,管理类型涵盖政府公益性项目、大型广场、大型商场、高级写字楼、公园、展馆、住宅小区等。
一.现状与需求
Ø 客户类别:国有企业
Ø 过等保系统:企业官网
Ø 客户现状:国有物业公司,无IT人员,官网外包开发,网站交付后,没有继续购买维保服务,并自由运营多年。应上级红头文件要求,须履行等级保护义务。
二.项目分析
1. 根据《网络安全法》企业履行等级保护义是义务,不落实不整改属于违法犯罪,会给予严重处罚。
该物业公司是国企单位,国企单位、事业单位是国家重点督查的对象,并且上级主管部分直接以红头文件要求。企业单位必须履行。
2. 客户情况非常特殊,只能提供一个网站地址,代码、服务器均无法提供,因为网站直接是完全托管在别人的网站空间里。这等于连服务器都没有,根本无法执行等保测评工作。但客户无专业人员,对这些也不太懂,希望我们全部搞定。这可以说是一个“奇葩”的等级保护项目。
三.普通门户官网与等保2.0官网的区别
这里跟大家普及一下,现在是个公司/单位都有自己的官网,对于一些国企或事业单位,官网更是简陋甚至运行了很多年。那么竟然有官网,是否可以直接基于现有的官网做等保测评呢?当然可以,同时又不可以,这要看实际的网站。
首先普通的门户网站跟满足等保2.0的网站他在功能和安全代码上是要求完全不一样的。普通的官网,只在乎前端页面的展示,至于后台有何功能,有什么安全功能模块是完全不在乎的,如果基于模板建站,某些平台9.9元就可以建站,定制化的也在5k左右。但是要满足等保2.0要求的官网,在代码和功能上就有很多要求了,比如管理员账号密码加密传输和存储、可提交窗口敏感字符策略、密码复杂度、防暴力破解策略、访问日志审计功能、三权分立原则等等具有很多安全性功能要求,经得起漏扫、渗透攻击、暴力破解、SQL注入等等满足等保安全合规的要求。而目前基本上所有的官网都不具备直接满足等保2.0安全合规要求,都必须进行重新开发或者在原系统的基础上做二次开发。
四.方案与实施
1) 方案第一步:“依葫芦画瓢”基于客户现有网站,基于PHP开发语言,完全照着开发一个一模一样的客户企业官网,并把网站内容迁移过来。
开发一个官网对于青莲开发团队来讲,当然是小菜一碟。青莲开发部平时承包的项目都是几百万级的,各种Java、PHP、C、Python大神都有。
2) 方案第二步:基于等保2.0技术技术要求,继续开发等保安全合规所需的功能模块
3) 方案第三步:将开发好的官网部署到阿里云的云服务器。
选择上云且用云服务器原因有二。首先,客户没有机房,平时也只是个杂物间充当企业的机房,根本不合规,其次,云上更容易过等保,成本更低,速度更快。或许有人问,客户如果使用的是原万网虚拟主机是否可以,答案是不允许的。
4) 方案第四步:实施等保技术整改,购买及配置相应的安全套件及日志及灾备模块,以满足等保合规要求
过等保要满足哪些技术要求,前面已经讲过不再细讲,过等保必须买一些安全产品、开启某些备份、日志审计模块,包括云控制台本身一些策略等等。
5) 方案第五步:实施等保软整改,制度等文档编制。
6) 方案第六步:测评师入场测评,一周后出结果,直接高分通过测评,无需二次测评。
