欢迎访问等保测评网!

等保服务热线:18011868462

当前位置:主页 > 行业实践 > 高校 >

校园“人脸识别及监测”系统三级合规等保

2020-06-08 17:23

一、项目背景

 

教育行业是关乎国家发展和社会进步的基础行业之一,同时也是网络安全法定义的关键基础设施行业之一。互联网时代,随着教育行业信息化建设的高速发展,教育行业信息系统的诸多信息安全问题纷纷暴露出来。

 

201931日,教育部科技司发布了《教育部科技司2019年工作要点》,其中强调,要加强教育系统的网络安全保障能力:加强教育系统网络安全保障能力。坚持教育部网络安全和信息化领导小组的统筹领导,全面落实党委(党组)网络安全责任制,建立覆盖教育系统的常态化监督考核机制。制定关键信息基础设施保护规划,开展教育系统关键信息基础设施识别认定、检测评估、安全演练。制定数据安全管理办法,开展数据安全专项治理行动。探索建立线上线下相结合的网络安全培训机制,做好建国70周年等重大时段的教育系统网络安全保障工作。

 

教育行业信息系统也一直是等级保护工作的重点测评对象,和教育行业网络安全等级保护相关的政策有:

① 《教育部办公厅关于开展信息系统安全等级保护工作的通知》教办厅函 [2009] 80

  《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》教办厅函 [2011] 83

③ 《教育部关于加强教育行业网络与信息安全工作的指导意见》教技 [2014] 4

④ 教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知

⑤ 《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》教技 [2015] 2

⑥ 《教育部关于推进职业教育信息化发展的指导意见》教职成 [2017] 4

⑦ 《教育部关于印发《教育信息2.0行动计划》的通知》教技 [2018] 6

⑧ 《教育部关于加强网络学习空间建设与应用的指导意见》教技 [2018] 16

⑨ 《教育部第八部门关于引导规范教育移动互联网应用有序健康发展的意见》教技函 [2019] 55

⑩ 教育部办公厅关于印发《教育移动互联网应用程序备案管理办法》的通知 教技厅 [2019] 3

 

总而言之,教育是国家的根本。对教育行业而言,等级保护是基本制度,是重要支撑,是必备资质,更是国家法规、市场拓展、业务需求的明确刚需!

 

二、项目概述

 

某校园系统是一套专门针对“各主要卡口出入人员进行监控、 识别”的校园安防系统,是视频分析、人脸检测和识别技术在视频监控领域的全新综合应用。

 

通过在校门、教学大楼、图书馆、宿舍楼等出入口部署安装人脸识别智能卡口系统设卡进行人员的多重管理,对经过的人员进行人脸抓拍。前端摄像机将抓拍到的人脸图片通过计算机网络传输到前端对比服务器及监控中心的数据库进行数据存储,并与建立的学生、老师人脸白名单库进行实时比对。当发现非白名单内的可疑人员时,系统会自动发出报警信号,采用多种联动方式通知值班人员。

 

也因此,该校园信息系统包含学生个人信息、人脸信息、校园信息教职工信息等,必须做好信息安全防护工作,以保障校园门禁系统的安全。

 

三、安全需求

 

1、客户要求其校园系统拿到信息安全等级保护三级备案证明

2、客户之前没有做过等保,需要我们对等保工作提供一站式的等保合规建设指导服务

3、客户系统部署在阿里公有云中,需要我们指导客户采购安全产品、指导部署安全产品,并提供技术支持服务

 

四、安全测评范围

 

安全测评的范围主要包括该校园系统的物理环境、主机、网络、业务应用系统、安全管理制度和人员等。安全测评通过静态评估、现场测试、综合评估等相关环节和阶段,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理十个方面,对十牛校园系统进行综合测评。

 

五、系统风险及整改建议

 

通过安全测评,并结合网络安全等级保护的安全通用要求,我们发现,该校园系统存在各种大大小小的风险。基于这些风险,我们给出了针对性的整改建议,提供了专业的技术指导。

 

 

风险

风险等级

整改建议

1

未采取措施对所有主体和客体设置敏感标记,网络内设备及系统中的资源可能被非授权访问。

中风险

建议对系统重要资源增加敏感标记的功能,并控制用户对已标记的敏感信息的操作。

2

设备未设定有效的终端接入方式及范围限制措施;网络层未针对地址范围等条件限制终端登录,恶意用户可使用任意终端/IP尝试非授权访问设备。

中风险

建议限制可登录设备的管理终端地址,仅允许特定的地址登录。

3

操作系统未采用两种或两种以上的身份鉴别技术,存在口令被恶意用户猜测获得,合法用户身份被仿冒的风险。一旦该鉴别信息被非授权人员获取,可能对系统造成较大威胁,导致系统被非授权访问的可能性。

中风险

建议对重要核心设备、 操作系统等增加除用户名/口令以外的身份鉴别技术,如密码/令牌、生物鉴别方式等,实现双因子身份鉴别,增强身份鉴别的安全力度。

4

登录操作系统的用户存在未相应分配不同账户的情况;登录操作系统存在使用共用、默认账户的情况。系统登录用户权限设置不合理可能导致越权访问,进而实施恶意操作或误操作影响系统安全运行。

中风险

建议根据安全策略,分别对系统登录的用户分配账户和权限。

5

系统特权用户的权限未分离为系统管理、安全管理、安全审计、系统操作等方面的权限。未按最小授权原则分配,存在赋予一般用户管理员权限,赋予用户不必要的操作权限等风险。

中风险

建议实现管理用户的权限分离,避免存在特权用户。

 

在青莲的帮助下,该校园系统成功通过等保测评认证。本次测评的等级测评结论为良,评分为82.93