教育网络与信息安全建设

教育网络与信息安全建设提纲一、国家及教育行业面临的信息安全形势二、国家教育管理信息系统安全保障体系建设三、教育网络与信息安全工作开展情况四、2013年教育网络与信息安全重点工作2023/2/421.1国家信息安全面临的形势-网络攻击政治化当前，网络攻击政治化日趋明显：美国奥巴马政府发布了《网络空间国际战略》，明确表明了美国政府实施网络战略威慑、主导网络空间的霸主图谋；同时计划建立40支网络部队，其中包括：进攻性网络部队、网络培训和网络监控部队等日本正在筹备成立新的网络战部队，新部队的显著特点在于其加强了“进攻”能力。今年3月大量的恶意软件攻击韩国电视台和金融机构，造成大规模的损害，擦除了上千个硬盘数据。朝鲜被列为头号怀疑对象2023/2/431.1国家信息安全面临的形势-我国网络安全态势《2012年我国互联网网络安全态势综述》针对关键网络基础设施的探测、渗透和攻击事件时有发生，安全形势仍不容乐观利用“火焰”病毒、“高斯”病毒、“红色十月”病毒等实施的高级可持续攻击（APT攻击）活动频现，对国家和企业的数据安全造成严重威胁。2012年，我国境内至少有4.1万余台主机感染了具有APT特征的木马程序。网站被植入后门等隐蔽性攻击事件呈增长态势，网站用户信息成为黑客窃取重点，监测发现我国境内52324个网站被植入后门，其中政府网站3016个，较2011年月均分别增长213.7%和93.1%2023/2/441.1国家信息安全面临的形势-新技术新应用风险新技术、新应用引发的安全风险新技术的应用不断深入，但缺乏相关的安全规范和要求（如下一代互联网、物联网等）；大数据和云计算的发展引入新的安全风险，数据和应用逐步集中的趋势，面临数据安全和运行安全的双重考验；移动互联网恶意程序数量将持续增加并更加复杂；2023/2/451.2教育信息安全面临的形势面临的主要信息安全问题：教育网站遭篡改、暗链、挂马篡改招生录取、考试成绩，窃取学生及学生家长个人隐私信息等数据，谋取商业利益教育资源公共服务平台面临的内容安全风险教育管理公共服务平台面临业务数据安全和系统服务安全的双重风险2023/2/462023/2/47教育网站遭篡改、暗链：

近一年来通过教育网站安全监测平台发现，高校网页被植入大量暗链，且一般会修改网页源代码，在网页中隐藏其暗链框架，管理员难以发现。某单位页面中被植入暗链如下：主要问题及表现1.2教育信息安全面临的形势2023/2/48招生考试期间教育网站遭挂马2012年6月底正值高考报名高峰期，部分学校网站被发现挂马。据统计，招生网站已成为挂马的频发区，360安全卫士和浏览器每天拦截挂马超过8万次。个人隐私数据外泄2012年某教育信息网大量注册用户数据外泄：姓名、地址、手机号码1.2教育信息安全面临的形势2023/2/49“三通两平台”面临的安全威胁业务数据数据大集中（中央级和省级）大量高价值数据（如全国范围内的学生、教师和学校信息、数字教育资源等）吸引更多潜在攻击者数据挖掘和关联技术的不断发展，为黑客带来更多有价值的信息系统服务教育管理业务、教育资源公共服务对信息系统依赖程度提高，对系统服务的依赖程度增高会会吸引更多潜在攻击者关键时期业务连续性保障1.2教育信息安全面临的形势提纲一、国家及教育行业面临的信息安全形势二、国家教育管理信息系统安全保障体系建设三、教育网络与信息安全工作开展情况四、2013年教育网络与信息安全重点工作2023/2/410国家教育管理信息系统的业务特点国家教育管理信息系统规划建设学生、教师、学校资产及办学条件、教育规划与决策支持、其他业务管理等五大类共20个管理信息系统；“两级建设，五级应用”，核心应用系统部署在部省两级数据中心，供中央、省、地市、区县和学校使用；业务终端分布于全国各省、市、区、县，应用终端大于30万个；国家教育管信息系统按要求统一定为“三级”系统。2023/2/411国家教育管理信息系统的信息安全风险2023/2/412物理机房Internet互联网区应用存储区办公网区办公终端应用存储服务器互联网服务器学前系统存储数据传输数据处理数据中央级用户应用终端用户省级用户区县级用户地市级用户学校用户应用层SQL注入身份冒用溢出攻击数据窃取传输窃听数据重放主机层弱口令系统漏洞病毒入侵资源占用黑客攻击网络层带宽资源滥用非法接入非法外联区域混乱协议攻击中间人攻击信息泄露物理层断电物理攻击非法进出盗窃火灾数据层篡改非法访问丢失泄露不可用用户层篡改非法访问丢失泄露恶意代码?安全管理风险安全责任不明确人员安全意识风险人员安全技术风险安全制度缺失风险安全建设管理风险安全运维管理风险安全技术风险国家教育管理信息系统安全建设需求2023/2/413保障对象国家教育管理信息系统（在中央和省级数据中心物理部署）自建系统（如教育资源平台、其他管理信息系统等）安全需求信息系统整体按等级保护“三级”要求进行设计保障国家教育管理信息系统数据安全（如数据采集、数据传输、数据存储、数据使用等）围绕国家教育管理信息系统进行纵向安全保障，建立一体化的安全防护体系2.1建设目标国家教育管理信息系统安全保障体系建设的总体目标是：依据国家和行业信息安全保障要求，根据系统安全保障实际需要和系统结构特点，在中央和省共同建设符合信息安全等级保护要求，适用国家教育管理信息系统“两级建设、五级应用”特点，上下贯通的信息安全一体化防护体系（“两横两纵”）。确保国家教育管理信息系统稳定运行，保障教育管理信息安全。

2023/2/4142.2安全保障体系框架2023/2/415两横：部、省两级信息安全保障体系两纵：统一安全管理与技术支撑体系终端：五级应用终端安全保障2.3安全建设内容中央、省两级信息安全保障体系建设（两横）教育部：建立中央级信息安全保障体系省级教育部门：建立省级信息安全保障体系统一安全管理与技术支撑体系建设（两纵）教育部：负责“两纵”规划设计；制定相关流程规范；按照政府采购流程，组织、协调相关产品及平台的“统谈分签”。省级教育部门：按照教育部统一要求在省级信息安全保障体系中落实“两纵”要求；按照“统谈分签”要求的方式进行平台及产品采购。2023/2/4162.3安全建设内容应用终端安全建设（五级应用终端）覆盖范围中央/省/地市/区县教育部门学校（高校、中职、中小学等）安全建设要求终端主机要安装防病毒软件，防病毒软件的病毒库要实时更新；主机操作系统要开启补丁自动更新功能，并更新主要的安全补丁。各级教育部门要组织对下级教育部门和学校应用终端操作人员进行信息安全意识与基本技能的培训。2023/2/4172.3安全建设内容2023/2/418木桶原理各级教育部门和学校本单位的信息安全保障体系建设是国家教育管理信息系统安全保障体系建设的基础，因此要保障国家教育管理信息系统安全稳定运行，要求各单位要按照信息安全等级保护要求，做好本单位信息安全保障体系的建设。2.4等级保护建设流程2023/2/419系统定级系统备案建设整改等级测评监督检查等级测评（差距分析）2.4等级保护建设流程2023/2/420定级是等级保护工作的首要环节，是开展备案、信息系统建设、整改、测评、监督检查等后续工作的重要基础。应依据《教育信息系统安全等级保护定级指南》对基础网络、业务系统和网站自行进行定级；应组织教育信息安全等级保护相关专家对自定级结果进行评审。要将系统定级结果报上级教育主管部门审批；审批通过后，对定为第二级以上信息系统要在当地公安机关备案；系统备案材料要在教育部教育管理信息中心报备。已定为第二级及以上系统要纳入安全建设整改范围；由于安全建设整改工作涉及面广（物理、网络、主机、应用、管理等10个层面）、技术性强（涉及整改方案设计、安全策略设计与实施等），要聘请专业安全服务机构进行具体安全建设整改的方案设计与实施；安全建设整改内容主要包括：信息安全方案设计、安全技术策略设计、安全集成实施、安全评估加固。安全建设整改项目验收前，需要进行信息系安全等级测评；教育行业第三级系统安全等级测评工作由教育信息安全等级保护测评中心统筹实施；第三级系统1年测评1次，二级系统在备案2年内完成等级测评，重要二级系统参照三级系统实施。各单位自查，掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等（三级系统至少每年自查1次）；行业主管部门督导检查；公安机关监督检查。系统定级系统备案安全建设整改安全等级测评监督检查提纲一、国家及教育行业面临的信息安全形势二、国家教育管理信息系统安全保障体系建设三、教育网络与信息安全工作开展情况四、2013年教育网络与信息安全重点工作2023/2/421教育行业信息安全工作政策要求2023/2/422序号文号发文单位名称1教办厅函[2009]80号教育部办公厅教育部办公厅关于开展信息系统安全等级保护工作的通知2教办厅函[2010]80号教育部办公厅教育部办公厅关于开展教育系统信息安全等级保护工作专项检查通知3教办厅函[2010]87号教育部办公厅教育部办公厅关于信息安全等级保护自查情况的通报4教办厅函[2011]83号教育部办公厅教育部办公厅关于进一步加强网络信息系统安全保障工作的通知5教信推办〔2013〕8号教育部教育信息化推进办公室关于印发《国家教育管理公共服务平台省级数据中心建设指南》的通知6教育部财政部人力资源和社会保障部关于进一步加强教育管理信息花工作的若干意见通知（拟印发）7教育部国家教育管理信息系统建设总体方案（送审稿）教育行业信息安全工作政策要求2011年，教育部办公厅83号文加强组织领导，建立健全信息安全管理和责任机制以信息安全等级保护工作为抓手，建立完善网络信息安全保障体系落实人员和经费保障，规范信息安全工作实施实施信息安全人员持证上岗制度为进一步做好技术服务与指导工作，经教育部人事司批准成立“教育信息安全等级保护测评中心”（2011年6月，获得公安部教育行业信息安全等级保护测评专业机构资质。）2023/2/423教育网络与信息安全工作开展情况工作落实情况（一）工作开展情况培训宣传组织起草行业安全政策与技术标准协助开展工作专项检查日常重要信息系统安全监测（二）安全技术服务开展情况2023/2/424（一）工作开展情况2023/2/425时间地点对象人次（约数）2010.03海南三亚省厅，直属高校1002010.11教育部部机关，直属单位602010.12广西北海省厅，直属高校1202011.04教育部部机关，直属单位602011.07山东威海省厅，直属高校1002011.10四川成都省厅，直属高校602011.11湖南长沙本省教育部门和高校为主602011.12新疆乌鲁木齐本省教育部门和高校为主702012.09贵州贵阳省市教育部门、高等学校702012.12广西南宁省市教育部门、高等学校1202013.05北京省市教育部门、高等学校60（1）培训宣传（一）工作开展情况已制定完成《教育信息系统安全等级保护定级指南》（送审稿），正在审批已开展《教育信息系统安全等级保护基本要求》调研起草工作，正在进一步修改完善参与《国家教育管理信息系统建设方案》及《省级数据中心建设指南》安全部分制定完成《国家教育管理信息系统信息安全保障体系建设实施指引》（征求意见稿）2023/2/426（2）组织起草行业安全政策与技术标准2023/2/427（一）工作开展情况2011年11月，印发了《教育部办公厅关于开展教育系统信息安全等级保护工作专项检查的通知》（教办厅函〔2011〕80号）检查内容：各单位信息系统安全等级保护工作部署和组织实施情况、定级备案、等级测评和安全建设整改情况。检查方式：采取自查、抽查相结合的形式2023/2/427（3）协助开展工作专项检查（一）工作开展情况按照办公厅工作安排，组织测评中心对重要信息系统进行了远程安全监测。监测范围：各省级教育部门、部属高校、教育部直属机关门户网站；有定制服务需求的教育单位每周发布《教育网站与信息系统安全监测周报》，已发布30期2023/2/428（4）重要信息系统安全监测教育网络与信息安全工作开展情况工作落实情况（一）工作开展情况（二）安全技术服务开展情况技术支撑保障定级备案咨询规划设计国家教育管理信息系统安全保障体系为行业提供信息系统安全等级测评、风险评估等服务2023/2/429（二）安全技术服务开展情况人员队伍。经过不断实践，已经打造了一支技术能力突出、了解教育行业专业服务队伍。网络与信息安全实验室。建立了业界一流的安全实验室，具备搭建复杂信息系统实际运行环境的条件。服务内容信息系统安全等级测评教育行业安全标准研究安全规划设计、安全监测、源代码审计安全运维2023/2/430（1）技术支撑保障（教育信息安全等级保护测评中心）（二）安全技术服务开展情况完成教育部直属机关129个系统定级及评审工作完成部机关37个系统（三级系统26个，二级系统11个）和直属单位共88个系统的备案工作协助国家考试中心、广东省教育厅、深圳市教育局、中国广播电视大学完成约300个信息系统的定级评审定级参照《教育信息系统安全等级保护定级指南》2023/2/431（2）定级备案咨询系统名称安全保护等级教育部公文与信息交换系统第三级教育部门户网站第三级“长江学者奖励计划”信息系统第三级全国优秀教师和教育工作者表彰奖励申报、评审信息系统第二级全国《学生体质健康标准》数据库管理信息系统第三级全国中等职业学校学生信息管理系统第三级国家中西部农村初中校舍改造工程管理系统第三级国有资产行政管理信息系统第三级农村义务教育保障新机制系统第三级内地高校面向港澳台地区招生信息系统第二级高校学生资助信息管理系统第三级全国大学生就业公共服务立体化平台第三级2023/2/432部机关直属单位三级系统名单（二）安全技术服务开展情况系统名称安全保护等级学籍学历信息管理系统第三级学历认证网上办公系统第三级中国高等教育学生信息网系统第三级中国研究生招生信息网系统第二级阳光高考系统第三级大学生预征报名系统第三级非全日制攻读硕士学位全国考试管理信息系统第三级学位授予信息年报及采集信息系统第三级中国教育文凭认证管理信息系统第三级高等学校博士学科点专项科研基金管理系统第二级教育电子认证服务系统第三级（二）安全技术服务开展情况目前完成了9个信息系统的定级工作组织进行差距分析、安全规划设计以及建设整改实施对新建信息系统，编写安全开发规范，从设计开发阶段就开始落实安全措施对已建信息系统，进行风险评估和差距分析，落实整改采用技术和管理手段加强敏感数据加密组织落实“两横两纵五级保障”整体安全保障体系2023/2/433（3）国家教育管理信息系统安全保障体系建设（中央级）《信息安全总体方针》《信息安全组织及职责管理规定》《安全管理制度管理及发布规定》《授权和审批管理规定》《安全检查和审核管理规定》《人员安全管理规定》《第三方人员安全管理规定》《信息系统建设安全管理规定》《办公环境安全管理规定》《机房安全管理规定》《信息资产安全管理规定》《介质安全管理规定》《基础设施运维安全管理规定》《公共平台运维安全管理规定》《应用系统运维安全管理规定》《终端信息安全管理规定》《防病毒安全管理规定》《密码管理规定》《数据备份和恢复管理规定》《信息系统变更管理规定》《信息安全事件处置管理规定》《信息安全应急响应管理规定》《信息安全应急预案》《安全管理制度编制及发布流程》《信息安全评估检查工作流程》《信息安全培训及考核流程》《信息系统建设安全管理流程》《信息系统等级保护定级工作流程》《应用系统安全开发规范使用流程》《信息系统上线前风险评估工作流程》《信息系统等级保护测评工作流程》《安全补丁管理流程》《第三方人员网络访问申请审批流程》《数据备份流程》《数据恢复流程》《信息系统变更安全管理流程》《安全事件处理流程》《重大安全事件应急响应流程》各部门岗位安全人员列表工程项目安全管理人员列表常用信息安全组织机构信息表安全顾问名单内部人员联系表安全管理制度意见表安全管理制度记录清单安全管理制度收发登记记录表安全管理制度评审记录表系统重要操作申请表基础设施安全检查记录表公共平台安全检查记录表应用系统安全检查记录表基础设施月度安全检查表（安全管理员）基础设施月度安全检查表（安全审计员）公共平台月度安全检查（安全管理员）公共平台月度安全检查表（安全审计员）应用系统月度安全检查（安全管理员）应用系统月度安全检查（安全审计员）20XX年度安全培训计划表安全培训用户签到表人员安全考核记录表员工保密协议离职人员保密承诺“第三方”人员保密协议机房访问审批单机房进出登记表机房异常情况登记表外部人员机房工作内容记录表机房设备清单机房设备维修记录单机房设备带出登记表信息资产清单_服务器资产清单信息资产清单_网络设备和安全设备资产清单信息资产清单_软件资产清单信息访问申请表网络设备配置记录表软件资产配置记录表数据资产配置记录表存储介质管理登记表介质报废登记表临时接入网络申请表数据备份记录清单信息系统运行变更申请表信息系统配置变更申请单信息安全事件应急响应人员职责清单IT基础设施供应商联络清单应用系统供应商联络清单应急响应事件处理记录管理制度管理流程执行表单（二）安全技术服务开展情况典型案例：等级测评：已完成教育部门户网站（三级）、电子公文与信息交换系统（三级）、国家学生体质健康管理系统（三级）、国家汉办官方网站（二级）、OA系统（二级）、网络孔子学院网站（三级）、中国人民大学电子校务系统（三级）、北京外国语大学数字北外（二级）等信息系统的等级测评工作。风险评估：已完成教育部全国学前教育管理信息系统（部本级）、全国中小学校舍信息管理系统（部本级）、国家学生体质健康标准数据管理与分析系统

、中国教育统计网、人民教育出版社管理信息系统、门户网站、ERP系统等信息系统的风险评估工作。2023/2/434（4）为行业提供信息安全等级测评、风险评估等服务提纲一、国家及教育行业面临的信息安全形势二、国家教育管理信息系统安全保障体系建设三、教育网络与信息安全工作开展情况四、2013年教育网络与信息安全重点工作2023/2/4352023/2/436四、2013年教育网络与信息安全重点工作（一）加强信息安全等级保护工作监督检查（二）国家教育管理信息系统安全保障体系实施（三）继续开展网络与信息安全岗位培训（四）完善教育行业等级保护标准规范（五）加快推进安全等级测评（六）建立行业统一的容灾备份体系（一）加强信息安全等级保护工作监督检查按照公安部和工信部要求，教育行业作为22个重要行业之一，教育部将适时组织行业内网络与信息安全检查。(预计8-10月)检查形式：自查