教育系统应急响应最佳实践

1、教育系统应急响应最佳实践技术创新，变革未来目录教育行业安全现状应急响应体系建设走向安全态势感知教育行业网络安全特点机构数量级1幼儿园25 万 +2小学/教学点27 万 +3中学7万 +4高等教育2800 +5其他8000 +60 万教育机构，小、散、乱各地区经济和安全意识发展不平衡安全人员和团队普遍缺位 网站 20万 +， IPV4地址 1300 万 +学生 3.1 亿 +， 专任教师1500 万 +2018 教育信息化和网络安全工作要点完善教育系统网络安全制度体系健全考核评价和监督问责机制出台教育系统网络安全事件应急预案建立健全教育系统网络安全事件应急工作机制推进关键信息基础设施保障工作制定

2、教育系统关键信息基础设施认定规则开展关键信息基础设施现场检查检测和安全评估持续推进教育系统网络安全监测预警健全网络安全威胁通报机制推进教育系统通用软件检测工作建立基于大数据的教育系统网络安全预警机制教育系统网络安全事件应急预案 发布工作原则：统一指挥、密切协同分级管理、强化责任预防为主、平战结合坚持事件处置和预防工作相结合，做好事件预防、 预判、预警工作，加强应急支撑保障能力和安全态势感 知能力建设。提高网络安全事件快速响应和科学处置能力，抓早 抓小，争取早发现、早报告、早控制、早解决，严控网 络安全事件风险和影响范围。网络安全事件应急响应分为级、级、级、级 分别对应特别重大、重大、较大和一般

3、网络安全事件教育系统网络安全事件应急预案 之工作保障明确网络安全职能处室，工作责任落实到具体部门、具体岗位和个人，建立健全应急工作机制应明确或建立网络安全技术支撑单位，加强网络安全应急技术支撑队伍建设和网络安全物资保障教育部建立教育系统网络安全专家组，各省级教育行政部门建立本地区的网络安全专家咨询队伍教育部加强教育系统网络安全管理平台建设，建立教育系统网络安全态势感知体系加强与网络安全职能部门、网络安全专业机构、行业学会和教育网网络中心等单位的合作，建立网络安全威胁的信息共享机制和网络安全事件的快速发现和协同处置机制各单位应为网络安全应急工作提供必要的经费保障，利用现有政策和资金渠道各级教育行

4、政部门可对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和 奖励，对不按照规定执行的对有关责任人给予处分教育部网络安全保障工作要求加强网络安全工作的组织部署按需调整重要时期网络防护策略加强内部网络的安全防护切实做好监测预警通报工作加强值班值守和信息报送加强重要网络和数据中心的运维保障如何理解这些具体防护策略？各单位研判信息系统/网站现状，采取有效措施确保安全隐患清零后方可上线，专人专岗24小时值守门户网站和重要服务网站要保障访问通畅限制互联网访问的几个前提 1.假期期间；2.无业务加载，无专人运维；安全保障工作常态化三月全国两会五月一带一路六月高招保障八月 建军90周年十九大2

5、017 不平凡 全国性安全保障 62 天全国两会改革开放四十周年一带一路五周年高招网络安全保障上合组织峰会中非合作论坛中国国际进口博览会2018 不太平，安全保障任务压力巨大目录教育行业安全现状应急响应体系建设走向安全态势感知平安校园 + 智慧校园机构保障意识形态网络安全态势感知应急响应安全教育消防安全安全检查督办整改安全值班应急预案 / 安全演练完善和落实安全管理责任制度制度建设并加强落实建设和完善校级网络信息安全管理制度严格落实安全漏洞和事件处置、网站管理相关规定 对网络安全法相关要求执行情况开展自查和整改网站备案管理和年审校园网出口实施 WEB 服务白名单制度 推进网站集中化部署（网站群

6、、云平台）加强数据安全管理和控制敏感数据接触人员签署 NDA/保密协议 开发测试、系统运维、数据分析数据脱敏数据库防火墙、运维审计、堡垒机精细化权限管控校园网边界的网络安全架构CERNET2CERNET中国电信校园网100G10G边界路由器中国联通TAP 流量 汇聚/复制/均衡/过滤/编辑1 到 NN 到 1 N 到 M+ 防火墙 + WAF分光/镜像 SDN交换机处理规则应用场景入侵检测安全审计网络性能异常分析缓存加速上网行为电子文献流量回溯Interface IP/Mask Port VLANLayer3/4 MPLS五元组大数据时代的校园网络安全大部分人凡走过必留下痕迹攻击者在大数据下无

7、所遁形设备日志/系统日志/应用日志HTTP/DNS/SSL/FLOW 流量日志安全威胁域名/IP 地址黑名单可快速审计、可追踪溯源、可关联场景分析有一定规模的学校，安全大数据平台不可少初期建设 易VS长期运维 难云计算时代的教育信息化安全高性能10秒钟完成一台任意大小的云主机创建云硬盘实时快照，对一块1T的硬盘进行快照操 作，耗时不到 1秒钟万兆校园骨干网络接入高灵活支持Web面板/API/CLI云主机部件如硬盘、网卡、防火墙等随意拆卸和组装虚拟数据中心(VDC)支持完全 自主定义网络架构和拓扑高弹性随时按需获取任意数量的云资源按秒计费，按需实时结算云主机/云硬盘支持在线扩容公网IP带宽随时调

8、整高安全采用分布式存储，每份存储都有三副本私有网络互相隔离Agent 常驻VM，全局安全集中管控安全扫描，漏洞管理，详尽日志WAF，虚拟防火墙，蜜罐，堡垒机2134安全扫描和漏洞管理常态化校园信息资产自动发现、指纹识别、漏扫联动 掌握入网设备存量、全生命周期安全跟踪管理 持续扫描监测，及时发现篡改挂马等安全事件 关注师生隐私泄露，自动发现有害、敏感信息97%修复安全工作是需要并且可以量化的安全漏洞管理实现闭环，要越见越少是工作抓手但绝不是安全工作的全部辩证看待数量，并正确评估威胁等级举一反三的智慧，再一再二不能再三各类日志集中管理分析适配各种服务软件的认证日志格式LDAP 看不到客户端 IP

9、地址、User-Agent记录失败的登录:用户不存在 / 密码错 / 验证码错高教行业网络信息基础数据库（IPDB）25个省/市 100%全覆盖成员高校 2421所再也不怕找不到人了基础教育行业基础数据平台也初步完善教育行业漏洞报告平台已收到 2108 所高校和教育机构的漏洞/目录教育行业安全现状应急响应体系建设走向安全态势感知安全威胁情报共享与分析研判网络空间安全事件和攻击信息的高效共享至关重要各校自扫门前雪，谁也不能独善其身 共享共治，迈向网络空间命运共同体对多渠道信息自动汇聚搜集人工过滤分析专业研判预警安全风险事件生命周期管理快速应急响应保障业务连续教育部安全漏洞信息通报机制网络安全管理 平台多元化 数据源API 获取 人工分拣安全漏洞 安全事件验证入库安全服务商人工验证邮件通报 短信提醒 登录查看微信平台IP/域名库用户管理API