教育网络与信息安全建设.ppt

教育网络与信息安全建设 2020 3 29 2 提纲 一 国家及教育行业面临的信息安全形势二 国家教育管理信息系统安全保障体系建设三 教育网络与信息安全工作开展情况四 2013年教育网络与信息安全重点工作 1 1国家信息安全面临的形势 网络攻击政治化 当前 网络攻击政治化日趋明显 美国奥巴马政府发布了 网络空间国际战略 明确表明了美国政府实施网络战略威慑 主导网络空间的霸主图谋 同时计划建立40支网络部队 其中包括 进攻性网络部队 网络培训和网络监控部队等日本正在筹备成立新的网络战部队 新部队的显著特点在于其加强了 进攻 能力 今年3月大量的恶意软件攻击韩国电视台和金融机构 造成大规模的损害 擦除了上千个硬盘数据 朝鲜被列为头号怀疑对象 2020 3 29 3 2020 3 29 4 1 1国家信息安全面临的形势 我国网络安全态势 2012年我国互联网网络安全态势综述 针对关键网络基础设施的探测 渗透和攻击事件时有发生 安全形势仍不容乐观利用 火焰 病毒 高斯 病毒 红色十月 病毒等实施的高级可持续攻击 APT攻击 活动频现 对国家和企业的数据安全造成严重威胁 2012年 我国境内至少有4 1万余台主机感染了具有APT特征的木马程序 网站被植入后门等隐蔽性攻击事件呈增长态势 网站用户信息成为黑客窃取重点 监测发现我国境内52324个网站被植入后门 其中政府网站3016个 较2011年月均分别增长213 7 和93 1 2020 3 29 5 1 1国家信息安全面临的形势 新技术新应用风险 新技术 新应用引发的安全风险新技术的应用不断深入 但缺乏相关的安全规范和要求 如下一代互联网 物联网等 大数据和云计算的发展引入新的安全风险 数据和应用逐步集中的趋势 面临数据安全和运行安全的双重考验 移动互联网恶意程序数量将持续增加并更加复杂 2020 3 29 6 1 2教育信息安全面临的形势 面临的主要信息安全问题 教育网站遭篡改 暗链 挂马篡改招生录取 考试成绩 窃取学生及学生家长个人隐私信息等数据 谋取商业利益教育资源公共服务平台面临的内容安全风险教育管理公共服务平台面临业务数据安全和系统服务安全的双重风险 2020 3 29 7 教育网站遭篡改 暗链 近一年来通过教育网站安全监测平台发现 高校网页被植入大量暗链 且一般会修改网页源代码 在网页中隐藏其暗链框架 管理员难以发现 某单位页面中被植入暗链如下 主要问题及表现 1 2教育信息安全面临的形势 2020 3 29 8 招生考试期间教育网站遭挂马2012年6月底正值高考报名高峰期 部分学校网站被发现挂马 据统计 招生网站已成为挂马的频发区 360安全卫士和浏览器每天拦截挂马超过8万次 个人隐私数据外泄2012年某教育信息网大量注册用户数据外泄 姓名 地址 手机号码 1 2教育信息安全面临的形势 2020 3 29 9 三通两平台 面临的安全威胁业务数据数据大集中 中央级和省级 大量高价值数据 如全国范围内的学生 教师和学校信息 数字教育资源等 吸引更多潜在攻击者数据挖掘和关联技术的不断发展 为黑客带来更多有价值的信息系统服务教育管理业务 教育资源公共服务对信息系统依赖程度提高 对系统服务的依赖程度增高会会吸引更多潜在攻击者关键时期业务连续性保障 1 2教育信息安全面临的形势 2020 3 29 10 提纲 一 国家及教育行业面临的信息安全形势二 国家教育管理信息系统安全保障体系建设三 教育网络与信息安全工作开展情况四 2013年教育网络与信息安全重点工作 2020 3 29 11 国家教育管理信息系统的业务特点 国家教育管理信息系统规划建设学生 教师 学校资产及办学条件 教育规划与决策支持 其他业务管理等五大类共20个管理信息系统 两级建设 五级应用 核心应用系统部署在部省两级数据中心 供中央 省 地市 区县和学校使用 业务终端分布于全国各省 市 区 县 应用终端大于30万个 国家教育管信息系统按要求统一定为 三级 系统 2020 3 29 12 国家教育管理信息系统的信息安全风险 学前系统 2020 3 29 13 国家教育管理信息系统安全建设需求 保障对象国家教育管理信息系统 在中央和省级数据中心物理部署 自建系统 如教育资源平台 其他管理信息系统等 安全需求信息系统整体按等级保护 三级 要求进行设计保障国家教育管理信息系统数据安全 如数据采集 数据传输 数据存储 数据使用等 围绕国家教育管理信息系统进行纵向安全保障 建立一体化的安全防护体系 2020 3 29 14 2 1建设目标 国家教育管理信息系统安全保障体系建设的总体目标是 依据国家和行业信息安全保障要求 根据系统安全保障实际需要和系统结构特点 在中央和省共同建设符合信息安全等级保护要求 适用国家教育管理信息系统 两级建设 五级应用 特点 上下贯通的信息安全一体化防护体系 两横两纵 确保国家教育管理信息系统稳定运行 保障教育管理信息安全 2020 3 29 15 2 2安全保障体系框架 两横 部 省两级信息安全保障体系 两纵 统一安全管理与技术支撑体系 终端 五级应用终端安全保障 2020 3 29 16 2 3安全建设内容 中央 省两级信息安全保障体系建设 两横 教育部 建立中央级信息安全保障体系省级教育部门 建立省级信息安全保障体系统一安全管理与技术支撑体系建设 两纵 教育部 负责 两纵 规划设计 制定相关流程规范 按照政府采购流程 组织 协调相关产品及平台的 统谈分签 省级教育部门 按照教育部统一要求在省级信息安全保障体系中落实 两纵 要求 按照 统谈分签 要求的方式进行平台及产品采购 2020 3 29 17 2 3安全建设内容 应用终端安全建设 五级应用终端 覆盖范围中央 省 地市 区县教育部门学校 高校 中职 中小学等 安全建设要求终端主机要安装防病毒软件 防病毒软件的病毒库要实时更新 主机操作系统要开启补丁自动更新功能 并更新主要的安全补丁 各级教育部门要组织对下级教育部门和学校应用终端操作人员进行信息安全意识与基本技能的培训 2020 3 29 18 2 3安全建设内容 木桶原理 各级教育部门和学校本单位的信息安全保障体系建设是国家教育管理信息系统安全保障体系建设的基础 因此要保障国家教育管理信息系统安全稳定运行 要求各单位要按照信息安全等级保护要求 做好本单位信息安全保障体系的建设 2020 3 29 19 2 4等级保护建设流程 系统定级 系统备案 建设整改 等级测评 监督检查 等级测评 差距分析 2020 3 29 20 2 4等级保护建设流程 定级是等级保护工作的首要环节 是开展备案 信息系统建设 整改 测评 监督检查等后续工作的重要基础 应依据 教育信息系统安全等级保护定级指南 对基础网络 业务系统和网站自行进行定级 应组织教育信息安全等级保护相关专家对自定级结果进行评审 要将系统定级结果报上级教育主管部门审批 审批通过后 对定为第二级以上信息系统要在当地公安机关备案 系统备案材料要在教育部教育管理信息中心报备 已定为第二级及以上系统要纳入安全建设整改范围 由于安全建设整改工作涉及面广 物理 网络 主机 应用 管理等10个层面 技术性强 涉及整改方案设计 安全策略设计与实施等 要聘请专业安全服务机构进行具体安全建设整改的方案设计与实施 安全建设整改内容主要包括 信息安全方案设计 安全技术策略设计 安全集成实施 安全评估加固 安全建设整改项目验收前 需要进行信息系安全等级测评 教育行业第三级系统安全等级测评工作由教育信息安全等级保护测评中心统筹实施 第三级系统1年测评1次 二级系统在备案2年内完成等级测评 重要二级系统参照三级系统实施 各单位自查 掌握信息系统安全状况 安全管理制度及技术保护措施的落实情况等 三级系统至少每年自查1次 行业主管部门督导检查 公安机关监督检查 2020 3 29 21 提纲 一 国家及教育行业面临的信息安全形势二 国家教育管理信息系统安全保障体系建设三 教育网络与信息安全工作开展情况四 2013年教育网络与信息安全重点工作 2020 3 29 22 教育行业信息安全工作政策要求 2020 3 29 23 教育行业信息安全工作政策要求 2011年 教育部办公厅83号文加强组织领导 建立健全信息安全管理和责任机制以信息安全等级保护工作为抓手 建立完善网络信息安全保障体系落实人员和经费保障 规范信息安全工作实施实施信息安全人员持证上岗制度为进一步做好技术服务与指导工作 经教育部人事司批准成立 教育信息安全等级保护测评中心 2011年6月 获得公安部教育行业信息安全等级保护测评专业机构资质 教育网络与信息安全工作开展情况工作落实情况 一 工作开展情况培训宣传组织起草行业安全政策与技术标准协助开展工作专项检查日常重要信息系统安全监测 二 安全技术服务开展情况 2020 3 29 24 一 工作开展情况 2020 3 29 25 1 培训宣传 一 工作开展情况 已制定完成 教育信息系统安全等级保护定级指南 送审稿 正在审批已开展 教育信息系统安全等级保护基本要求 调研起草工作 正在进一步修改完善参与 国家教育管理信息系统建设方案 及 省级数据中心建设指南 安全部分制定完成 国家教育管理信息系统信息安全保障体系建设实施指引 征求意见稿 2020 3 29 26 2 组织起草行业安全政策与技术标准 2020 3 29 27 一 工作开展情况 2011年11月 印发了 教育部办公厅关于开展教育系统信息安全等级保护工作专项检查的通知 教办厅函 2011 80号 检查内容 各单位信息系统安全等级保护工作部署和组织实施情况 定级备案 等级测评和安全建设整改情况 检查方式 采取自查 抽查相结合的形式 2020 3 29 27 3 协助开展工作专项检查 一 工作开展情况 按照办公厅工作安排 组织测评中心对重要信息系统进行了远程安全监测 监测范围 各省级教育部门 部属高校 教育部直属机关门户网站 有定制服务需求的教育单位每周发布 教育网站与信息系统安全监测周报 已发布30期 2020 3 29 28 4 重要信息系统安全监测 教育网络与信息安全工作开展情况工作落实情况 一 工作开展情况 二 安全技术服务开展情况技术支撑保障定级备案咨询规划设计国家教育管理信息系统安全保障体系为行业提供信息系统安全等级测评 风险评估等服务 2020 3 29 29 二 安全技术服务开展情况 人员队伍 经过不断实践 已经打造了一支技术能力突出 了解教育行业专业服务队伍 网络与信息安全实验室 建立了业界一流的安全实验室 具备搭建复杂信息系统实际运行环境的条件 服务内容信息系统安全等级测评教育行业安全标准研究安全规划设计 安全监测 源代码审计安全运维 2020 3 29 30 1 技术支撑保障 教育信息安全等级保护测评中心 二 安全技术服务开展情况 完成教育部直属机关129个系统定级及评审工作完成部机关37个系统 三级系统26个 二级系统11个 和直属单位共88个系统的备案工作协助国家考试中心 广东省教育厅 深圳市教育局 中国广播电视大学完成约300个信息系统的定级评审定级参照 教育信息系统安全等级保护定级指南 2020 3 29 31 2 定级备案咨询 2020 3 29 32 部机关直属单位三级系统名单 二 安全技术服务开展情况 二 安全技术服务开展情况 目前完成了9个信息系统的定级工作组织进行差距分析 安全规划设计以及建设整改实施对新建信息系统 编写安全开发规范 从设计开发阶段就开始落实安全措施对已建信息系统 进行风险评估和差距分析 落实整改采用技术和管理手段加强敏感数据加密组织落实 两横两纵五级保障 整体安全保障体系 2020 3 29 33 3 国家教育管理信息系统安全保障体系建设 中央级 二 安全技术服务开展情况 典型案例 等级测评 已完成教育部门户网站 三级 电子公文与信息交换系统 三级 国家学生体质健康管理系统 三级 国家汉办官方网站 二级 OA系统 二级 网络孔子学院网站 三级 中国人民大学电子校务系统 三级 北京外国语大学数字北外 二级 等信息系统的等级测评工作 风险评估 已完成教育部全国学前教育管理信息系统 部本级 全国中小学校舍信息管理系统 部本级 国家学生体质健康标准数据管理与分析系统 中国教育统计网 人民教育出版社管理信息系统 门户网站 ERP系统等信息系统的风险评估工作 2020 3 29 34 4 为行业提供信息安全等级测评 风险评估等服务 2020 3 29 35 提纲 一 国家及教育行业面临的信息安全形势二 国家教育管理信息系统安全保障体系建设三 教育网络与信息安全工作开展情况四 2013年教育网络与信息安全重点工作 2020 3 29 36 四 2013年教育网络与信息安全重点工作 一 加强信息安全等级保护工作监督检查 二 国家教育管理信息系统安全保障体系实施 三 继续开展网络与信息安全岗位培训 四 完善教育行业等级保护标准规范 五 加快推进安全等级测评 六 建立行业统一的容灾备份体系 2020 3 29 37 一 加强信息安全等级保护工作监督检查 按照公安部和工信部要求 教育行业作为22个重要行业之一 教育部将适时组织行业内网络与信息安全检查 预计8 10月 检查形式 自查 现场抽查 远程技术检测检查重点 漏定级 定级不准 重要系统 如门户网站 学生管理 教师管理 考试招生 资助管理 就业服务等重要系统等 建设整改和等级测评工作开展情况 2020 3 29 38 二 国家教育管理信息系统安全保障体系实施 国家教育管理信息系