教育信息化等保安全建设_第1页
教育信息化等保安全建设_第2页
教育信息化等保安全建设_第3页
教育信息化等保安全建设_第4页
教育信息化等保安全建设_第5页
已阅读5页,还剩33页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、教育信息化等保安全建设新时代:教育信息化进入2.0时代教育信息化2.0十九大;以教育信息化全面推动教育现代化,开启智能时代教育的新征程。教育信息化2.0行动计划目标任务:三全两高一大。提出了到2022年基本实现“三全两高一大”的发展目标,即: 教学应用覆盖全体教师、学习应用覆盖全体适龄学生、数字校园建设覆盖全体学校,提高信息化 应用水平、提高师生信息素养,建设一个“互联网+教育”大平台。核心要义:三个转变。教育专用资源VS教育大资源;信息技术应用能力VS信息素养;融合 应用VS创新发展。内涵本质:三个新模式。构建信息化条件下的人才培养新模式;发展基于互联网的教育服务 新模式;探索信息时代教育治

2、理新模式。八大行动:教育信息化2.0行动计划,作为教育信息化2.0的先导性工程,将重点开展数字资 源服务普及行动、网络学习空间覆盖行动、网络扶智工程攻坚行动、教育治理能力优化行动、百 区千校万课引领行动、数字校园规范建设行动、智慧教育创新发展行动、信息素养全面提升行动 等八大行动。CONTENTS目录PA R T0 1网 络 安 全 重 点 工 作PA R T0 2教 育 网 络 安 全 工 作 建 议一、教育系统如何落实等级保护2.0Why?为什么要开展等级保护2.0:满足合规要求(法律法规、公安机关、网信部门、审计部门、教 育主管行政部门);我国网络安全防护的基本制度:以等级保护为基础,关

3、键信息基 础设施安全、移动APP安全、数据安全、个人信息保护等为各行业、各地区、各单位开展网络安全工作提出了基本要求和 指引;结合行业和各单位特色,应在等级保护基础之上,开展更有针对性的防护。一、教育系统如何落实等级保护2.0Who?都有哪些单位要开展等级保护2.0:各网络运营者:结合等级保护要求开展定级备案、整改和测评行业主管单位(如教育部科技司):开展定级审核、组织开展行 业安全检查和监督考核测评机构(如教育等保测评中心):开展等级测评,提供定级、 备案、安全设计咨询公安机关:开展公安执法检查、对等级保护过程管理一、教育系统如何落实等级保护2.0How?如何落实等级保护2.0:梳理等保2.

4、0下的定级对象开展等保2.0下的等保建设与测评管理体系与安全技术防护体系的进一步完善结合等级保护2.0管理和技术要求,形成本单位网络安全风险防控的方法 论一、教育系统如何落实等级保护2.0(一)梳理系统定级以高校校园系统为例,可包括如下定级对象:1.2.3.4.5.6.7.校园基础网络(涵盖校园有线网、无线网络;可单独定级) 校园网站群平台(统一平台生成多个子网站,可合并定级)校园私有云平台(可对私有云平台的虚拟网络、主机、存储及管理平台统一定 级)校园大数据平台(整合校园各类应用数据、流量数据、日志数据形成的大数据 分析平台)基于物联网的校园安防体系校园移动应用(涵盖其应用后台及APP形态)

5、 其他校园信息系统一、教育系统如何落实等级保护2.0(二)云平台安全要求及测评要点以校园私有云为例资源虚拟化物理硬件-计算、存储、网络 物理基础设施云管 理平 台应用A虚拟机 安全组件 虚拟网络应用B虚拟机 安全组件 虚拟网络校园私有云,测评对象需覆 盖:所管理的硬件设施、虚 拟资源及其提供应用租户 管理 服务 组件一、教育系统如何落实等级保护2.0校园网络校园无线网络(三)校园移动互联平台安全要求及测评要点-以智慧校园平台 及其APP为例手机终端-移动APP无线认证 网关移动身份 认证网关智慧校园 平台一、教育系统如何落实等级保护2.0物理安全网络安全 主机安全 应用安全 数据安全安全物理环

6、境安全通信网络 安全区域边界 安全计算环境 安全管理中心原网络结构、网络通信安全原网络层面访问控制、边界防护、入侵防范等涵盖网络设备、安全设备、主机、应用、数据库、终端、运维工 具等各类计算节点原各层面的监控、审计以及安全 管理中的集中管控要求,统一合 并,体现综合防控思想(四)等级保护2.0-技术防护能力提升从分层防护向综合防控、集中安全防护的思想转变一、教育系统如何落实等级保护2.0安全区域划分与隔离-教育政务网络互联网接入区、业务网络区(DMZ区、应用服务器区、 数据库区)、安全管理区、 终端接入区、无线接入区电子政务外网电子政务内网安全区域划分与隔离-校园网络互联网接入区、校园数据中

7、心区(DMZ区、应用服务器 区、数据库区)、安全管理 区、终端接入区、无线接入 区一卡通专网 财务系统网络(四)等级保护2.0-技术防护能力提升做好网络划分及区域边界防护措施,为“三重防护”打下基础一、教育系统如何落实等级保护2.0安全风险可识别(入侵防范、 恶意代码防范)安全风险可控制 (身份认证、 访问控制、边界防护、数据加 密)安全风险可记录 (安全审计)安全风险可分析 (集中管理中 心)下一代防火墙态势感知系统APT防范网络行为审计分析可信免疫安全事件关联分析(AI、大数据技术)密码技术身份认证、签名、数据加密灾备技术 个人信息保护等保2.0-技术防护目标等保2.0-安全防护产品一、教

8、育系统如何落实等级保护2.0(五)等级保护2.0-安全管理机制完善什么是安全管理体系的建立提供一套管理模板?制度、表单、文档?结合教育行业、本单位特色,形成一套制度体系?结合本单位实际应用,改善制度体系,使其更落地?教育行政单位及高校信息化部门:人员不足、安全力量不足,一套刻板 的安全管理制度可能无法实际施行一、教育系统如何落实等级保护2.0有办法有清单有制度有执行有检查学校/单位网络安 全管理办法系统名录信息资产清单人员管理系统建设管理 运维管理制度培训记录 运维记录 变更审批 漏洞通报 应急演练安全事件记录技术检查 管理检查 考核(五)等级保护2.0-安全管理机制完善一、教育系统如何落实等

9、级保护2.0学校/单位网络安全管理办法明确网络安全领导小组、工作组、安全管理部 门、安全技术支撑部门、其他二级单位/部门的安 全职责。提出在网络、信息系统建设、运行、应急处置 等方面的总体要求,为“安全管理制度汇编”中 的详细规定给出上位法的依据。明确监督、考核相关要求。通过“办法”,统一思想认识、明确工作要求、落实安全责任。(五)等级保护2.0-安全管理机制完善实践建议1:有办法一、教育系统如何落实等级保护2.0信息系统名录信息资产清单建立系统名录(上线前更新、每年定期更新) 并上报“信息安全工作管理平台”;建立信息资产清单(通过上线前填报、定期更 新、自动化资产发现,明确系统/主机/开放端

10、口服 务等。为系统梳理、资产梳理、避免双非网站等提供依 据。摸清底数,才能有的放矢。(五)等级保护2.0-安全管理机制完善实践建议2:有清单一、教育系统如何落实等级保护2.0人员管理制度系统建设管理制度漏洞通报制度安全事件处置管理制度网络和系统运维制度 等等通过制度,体现-组织机构及职责、人员岗位 设置、系统上线安全、系统域名和服务规范、系 统名录清单建立、等级保护工作开展、系统运维 过程安全要求;明确漏洞通报、安全事件处置等要求有了达成共识的制度,才能真正落实和执行(五)等级保护2.0-安全管理机制完善实践建议3:有制度一、教育系统如何落实等级保护2.0安全运维记录授权审批记录变更记录工单漏

11、洞通报和处置记录安全事件处置记录。日常制度执行,在人员不足时,可借助系统和 设备,提高效率。如系统上线备案系统;工单系统;漏洞扫描监测 系统;运维管理系统自动报表生成;漏洞通报和 处置平台;补丁统一管理平台等每年定期开展专项制度执行 如应急演练、安全培训等结合实际、尽量执行;分阶段、分重点执行制度(五)等级保护2.0-安全管理机制完善实践建议4:有执行一、教育系统如何落实等级保护2.0安全自查结果记录安全检查报告单位自查(资产名录、运维巡检、漏洞修复情 况、管理制度落实情况)配合公安机关、网信部门、上级教育行政部门 开展网络安全检查(五)等级保护2.0-安全管理机制完善实践建议5:有检查二、

12、网络安全重点工作教育部网络安全和信息化领导小组领导小组办公室科技司办 政 规 人 财 基 教 职 高 督 民 教 思 公 法 划 事 务 教 材 成 教 导 族 师 政 厅 司 司 司 司 司 局 司 司 局 司 司 司研 究 生 司电 教 馆信息 中 心终安数安安安安人人安安宣学资支端全据全全全全才才全全传科源撑安普安考经宣教培培纳师教建平保全法全核费传材养、养、入资育、设台障教保教编宣宣督队内安育障育写传传导伍容全教教建安保育育设全障二、 网络安全重点工作教育部部内 司局直属 单位省级教育 行政部门其他部门内部 处室直属 单位地市级教育 行政部门部属 高校省属 学校内部 处室直属 单位区县

13、级教育 行政部门市属 学校内部 科室直属 单位所属 学校所属 高校省级统筹 省级监管行业统筹行业监管二、 网络安全重点工作1.落实网络安全责任制网络安 全责任 制主体 责任系统 责任领导 责任建立党委(党组)领导下的网络安全责 任制,切实加强党对网信工作的领导。建立网络安全工作考核机制,将网络安 全工作纳入领导干部考核,发生重大安 全事件一票否决;将网络安全工作纳入 巡视、督导、审计工作。建立网络安全问责机制,确立了六条问 责条款。二、 网络安全重点工作2.教育系统网络安全标准规范研究与编制教育部机关及直属单位数据安全管理办法教育系统数据安全指导意见教育系统关键信息基础设施识别认定指南教育系统

14、网络安全通报机制管理办法二、 网络安全重点工作3.网络安全等级保护国家指导性文件:关于信息安全等级保护工作的实施意见信息安全等级保护管理办法 网络安全等级保护2.0相关标准规范行业指导性文件:教育部 公安部 关于全面推进教育行业信息安全等级保护工作的通知教育部办公厅关于印发教育行业信息系统安全等级保护定级工作指南(试行)二、 网络安全重点工作4.监测通报网络安全态势感知平台安全工作 管理平台资产库通报预 警数据分 析平台情报中 心二、 网络安全重点工作5.监督检查综治考核综治考核中教育占4%; 教育中网络安全占10%。 每年对省厅考核一次。4321现场检查配合公安机关开展网络安全执 法检查;配

15、合中央网信办开展 关键信息基础设施检查。监督问责按照党委党组网络安全责任 制的相关要求,对符合相关 条件的予以问责。通报情况重要时期总结,通报网络安 全情况。通报好的也通报坏 的。1234二、 网络安全重点工作6.开展教育APP专项监测工作工作方法:组织开展校园APP专项调研,采取抽样调查问卷和网络爬虫相结 合的方式对各级各类学校和教育行政部门的APP进行调研。现有工作成果:教育行政部门和学校主管的教育APP共298个。监测共发现 安全威胁3091个。已将相关安全威胁通报至相关单位,并要求涉事单位进行 限期整改。目前,相关安全威胁修复率已达60%以上。二、 网络安全重点工作7.其他任务内容主管

16、部门主要工作人才培养高教司一流网络安全学院建设 卓越工程师计划学科建设研究生司网络空间安全一级学科设立职业教育职成司“学历证书+若干职业技能等级证书”制度试点方案(1X)宣传教育思政司网络安全宣传周;网络安全进校园、进教材、进头脑五、 网络安全工作建议五、 网络安全工作建议1. 加强学习,提升网信工作能力一是学习习近平总书记网络强国战略思想和关于网信工作的一些列重要论述, 这是做好网信工作的首要政治任务和根本的保障措施。二是学习网信的理论知识和技术成果,与教育战线需求相结合。三是学习兄弟单位乃至其他国家的先进经验和成功做法。四是学习以往的工作经验和教训,自己向自己学习,这要成为网信工作的基 本

17、“算法”。五、 网络安全工作建议2. 加强网络安全责任制落实成立网络安全和信息化领导小组,领导班子主要负责人为领导小组 组长,下设网信办。党委(党组)要定期研究部署网络安全工作,分管负责同志至少每 季度召开一次会议听取网络安全工作汇报。每年要制定网信领导小组年度工作要点或网络安全年度工作要点。五、 网络安全工作建议3. 落实网络安全等级保护制度全面完成信息系统网络安全等级保护定级备案。定期开展网络安全等级测评(三级系统每年一次,二级系统每两年 一次)和安全整改。落实等级保护2.0要求。五、 网络安全工作建议4. 加强网络安全教育培训对于单位在职全体人员,要开展全面网络安全意识培训,提高网络 安

18、全意识,培训时间要满足相关要求。对于单位信息化管理人员和技术人员,要开展网络安全素养培训, 培训时间要满足相关要求。对于系统运维和安全技术人员,要组织参加专业技术培训,获得相 关资质证书,全面提升网络安全防范技能和水平。五、 网络安全工作建议5. 提升数据安全防护能力制定本单位数据安全管理办法,保护学生家长个人隐私。按照主管部门要求做好校园APP审核、使用、管理五、 网络安全工作建议6. 开展安全监测和应急演练日常安全威胁监测,通过配备工具或购买服务的方式进行,对系统 运行安全状态进行实时监测,第一时间发现问题。根据国家和教育系统网络安全应急预案制定本单位专项应急预案和 配套管理制度。每年至少开展一次桌面推演,有条件的单位开展实战攻防演练。五、 网络安全工作建议7.落实重要时期安全保障提高安全意识,加强统筹部署安全工作是一项政治性很强

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论