一、教育信息系统安全风险概述二、国家信息安全等级保护的41

一、教育信息系统安全风险概述二、国家信息安全等级保护的相关政策三、教育系统等级保护工作要求及开展情况提纲一、教育信息系统安全风险概述典型应用门户网站教育行政部门网站学校网站……政务校务办公教育电子公文与信息交换系统视频会议系统电子邮件、一卡通等基础应用内部行政办公系统人事、财务、资产等管理系统学籍、教务、科研等管理系统……公共服务各类信息发布政务公开、校务公开网上考试报名、成绩查询、招生系统学历学位认证系统就业公共服务平台学生资助服务平台……应用建设现状一、教育信息系统安全风险概述2.教育信息系统风险分析有意破坏风险，非法人员利用网络、系统、应用等的脆弱性对系统进行攻击，从而影响信息的保密性、完整性、可用性；管理风险，内部人员的违规\违法操作,口令和密钥管理不当、制度遗漏、岗位、职责设置不全面等因素引起的风险；无意错误风险，是指由于人为或系统错误而影响信息的完整性、机密性和可用性。物理风险，比如自然灾害，电力供应突然中断，静电、强磁场破坏硬件设备以及设备老化等引起的风险；一、教育信息系统安全风险概述一、教育信息系统安全风险概述2010年上半年教育网网站挂马数量和月度挂马率统计数据来源：北京大学网络与信息安全实验室4.教育信息系统安全事件4.教育信息系统安全事件一、教育信息系统安全风险概述一、教育信息系统安全风险概述国内某高校网站遭受篡改4.教育信息系统安全事件一、教育信息系统安全风险概述123非法修改招生录取数据，制作销售假录取通知书，骗取家长手续费！非法修改学历学位数据，制作销售假学历学位证书，骗取学生证书费！非法修改各类考试成绩，骗取学生相关费用！4.教育信息系统安全事件一、教育信息系统安全风险概述标保护信息资产〔信息基础设施、应用服务信息内容等〕不受侵犯保证信息资产的所有者面临最小的安全风险和获取最大的安全利益符合国家对信息安全保障体系建设的要求——信息安全等级保护制度一、教育信息系统安全风险概述二、国家信息安全等级保护的相关政策三、教育系统等级保护工作要求及开展情况提纲二、国家信息安全等级保护政策解读1.等级保护的基本含义二、国家信息安全等级保护政策解读信息安全等级保护是信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法。二、国家信息安全等级保护政策解读

?中华人民共和国计算机信息系统安全保护条例?〔1994年国务院147号令〕计算机信息系统实行安全等级保护具体办法由公安部会同有关部门制定?关于信息安全等级保护工作的实施意见?〔公通字[2004]66号〕明确等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法明确了等级保护工作的责任分工定义了安全保护等级共分五级?信息安全等级保护管理办法?〔公通字[2007]43号〕明确了自主定级、自主保护的原那么形成等级保护的基本理论框架，制定了方法、规范和过程二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读等级保护政策体系二、国家信息安全等级保护政策解读?关于加强国家电子政务工程建设项目信息安全风险评估工作的通知?〔发改高技[2008]2071号〕将等级保护费用纳入项目总投资，同步落实等级保护项目验收时必须“一证两报告〞〔备案证明、等级测评报告、风险评估报告〕二、国家信息安全等级保护政策解读等级保护标准体系二、国家信息安全等级保护政策解读4.等级保护工作的主要内容1)系统定级2)系统备案3)建设整改4)等级测评5)监督检查二、国家信息安全等级保护政策解读第五级第四级第三级第二级第一级信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。信息系统受到破坏后，会对国家安全造成特别严重损害。自主保护级指导保护级监督保护级强制保护级专控保护级4.等级保护工作的主要内容

1)系统定级:等级划分业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级业务信息安全保护等级矩阵表系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全保护等级矩阵表二、国家信息安全等级保护政策解读自主定级谁主管，谁负责谁运营，谁负责专家评审主管部门审批公安机关审核

1〕系统定级：定级原那么二、国家信息安全等级保护政策解读第一级信息系统小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级信息系统县级某些单位中的重要信息系统。地市级以上国家机关、企事业单位内部一般的信息系统，例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

1〕系统定级：参考意见二、国家信息安全等级保护政策解读第三级信息系统地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统。中央各部委、省〔区、市〕门户网站和重要网站。跨省联接的网络系统等。

1〕系统定级：参考意见二、国家信息安全等级保护政策解读第四级信息系统国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信骨干传输网、铁路客票系统、列车指挥调度系统等。

1〕系统定级：参考意见二、国家信息安全等级保护政策解读定级报告范例

1〕系统定级：起草定级报告二、国家信息安全等级保护政策解读

2〕系统备案第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，备案时需提交?信息系统安全等级保护定级报告?和?信息系统安全等级保护备案表?第一级系统无需到公安机关备案二、国家信息安全等级保护政策解读

2〕系统备案信息系统备案表二、国家信息安全等级保护政策解读

3〕建设整改二、国家信息安全等级保护政策解读4.等级保护工作的主要内容

4〕等级测评等级测评：测评机构按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动测评目的：衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相应等级的安全保护能力。测评频率第三级系统一年1次第四级系统半年1次第二级系统参照二、国家信息安全等级保护政策解读4.等级保护工作的主要内容

5〕监督检查?信息安全等级保护管理办法?〔公通字[2007]43号〕第十八条规定:公安机关负责信息安全等级保护工作的监督、检查、指导工作自行开展监督检查会同主管部门开展监督检查检查内容等级保护工作部署和组织实施情况信息系统安全等级保护定级备案情况信息系统安全建设整改、等级测评情况信息安全管理制度建立和落实情况信息安全产品选择和使用情况备案单位定期自查情况一、教育信息系统安全风险概述二、国家信息安全等级保护的相关政策三、教育系统等级保护工作要求及开展情况提纲三、教育系统等级保护工作要求及开展情况教育部高度重视信息安全等级保护工作2009年，经教育部办公厅、科技司、教育管理信息中心会签后下发了?教育部办公厅关于开展信息安全等级保护工作的通知?〔教办厅函〔2009〕80号〕，责成教育部教育管理信息中心负责教育系统信息安全等级保护工作的组织实施，并配合公安部门在教育系统内开展监督检查工作。2010年，为承担教育系统标准制定、安全评估和等级测评工作，教育管理信息中心专门成立了信息安全测评部，负责技术服务工作。2011年，教育部部将“做好教育系统网络信息安全保障工作〞列为年度工作重点之一。2011年5月，信息安全测评部通过公安部等级保护评估中心现场能力核查，达到测评机构能力要求，正在办理教育行业等级测评机构资质授权相关手续。专项检查2010年11月，为配合公安部专项检查工作，印发了?教育部办公厅关于开展教育系统信息安全等级保护工作专项检查的通知?〔教办厅函〔2010〕80号〕。检查内容：各单位信息系统安全等级保护工作部署和组织实施情况、定级备案、等级测评和安全建设整改情况。检查方式：采取自查、抽查相结合的形式；各省级教育行政部门负责组织辖区内的自查和抽查三、教育系统等级保护工作要求及开展情况近期目标用3年左右时间〔至2012年〕，基本建立教育系统信息系统安全等级保护体系。到2012年，完成地市级以上教育行政部门和学校的培训工作，每单位至少培训1名信息系统安全主管和1名技术骨干。2010年上半年完成地市级教育行政部门和学校的定级备案工作2011年内完成各省级教育行政部门和直属高校的建设整改与等级测评工作，2012年内完成地市级以上教育行政部门和学校的建设整改与等级测评工作。我区教育系统信息安全等级保护首先完成各单位信息系统的定级备案工作，定为三级保护的信息系统要求使用单位在2011年10月20日前完成定级、评审和备案工作，其余信息系统在2011年12月31日前完成。其次完成三级保护信息系统的等级测评工作，定为三级保护的信息系统要求使用单位在2013年12月31日前完成等级测评工作，其余信息系统在2014年7月1日前完成。最后是依据测评结果完成信息系统的整改工作，未通过等级测评的三级保护信息系统要求使用单位对照测评结果，拿出切实可行的整改方案，在2014年7月1日前完成系统的整改工作，其余信息系统在2014年12月31日前完成整改工作。网站安全监测请教育部和公安厅监测高校门户网站Sql注入跨站脚本目录列表尤其是各学院子站问题较多。一、教育信息系统安全风险概述二、国家信息安全等级保护的相关政策三、教育系统等级保护工作要求及开展情况回顾谢谢！Zr$u(x+A2E5H9KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVnYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7JaMePhSkWnZr$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7JaMePhSkWnZr$u*x+A2D5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjr$u*x+A2D5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVnYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!s&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-z1D4G8JbMeQhTkWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&v)z0C4F7IaMdPgSkV%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWoZr%u(y+B2E6H9KcOfRjUmXp!s&v)z0C4F7IaMdPgSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7JaMePhSkWnZr$u*x+A2D5H8KcNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVnYq!t*w-z1H8KbNfQiUlXo#s%v(y0B3F6I9LdOgRjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVmYq!t*w-z1D4G7JbMeQhTkWoZr$u(x+B2E5H9KcNfRiUmXp#s&v)y0C3F7IaLdPgSjVnYq$t*w-A1D4G8JbNeQhTlWoZr%u(x+B2E6H9KcOfRiUmXp!s&v)z0C3F7IaMdPgSkVnYq$t*x-A1D5G8JbNeQiTlWo#r%u(y+B3E6H9LcOfRjUmYp!s&w)z0C4F7JaMdPhSkVnZq$t*x-A2D5G8KbNeQiTlXo#r%v(y+B3E6I9LcOgRjUmYp!t&w)z1C4F7JaMePhSkWnZq$u*x+A2D5H8KbNfQiUlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B7JaMePhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6I9LdOgRjVmYp!t&w-z1C4G7JaMePhTkWnZr$u*x+A2E5H8KcNfQiUlXp#s%v)y0B3F6IaLdOgSjVmYq!t&w-z1D4G7JbMePhTkWoZr$u(x+A2E5H9KcNfRiUlXp#s&v)y0C3F6IaLdPgSjVnYq!t*w-A1D4G8JbMeQhTlWoZr%u(x+B2E5H9KcOfRiUmXp#s&v)z0C3F7IaLdPgSkVnYq$t*w-A1D5G8JbNeQhTlWo#r%u(y+B2E6H9LcOfRjUmXp!s&w)z0C4F7IaMdPhSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5H8KbNfQiTlXo#s%v(y0B3E6IPgSkVnZq$t*x-A1D5G8KbNeQiTlWo#r%v(y+B3E6H9LcOgRjUmYp!s&w)z1C4F7JaMdPhSkWnZq$u*x-A2D5G8KbNfQiTlXo#r%v(y0B3E6I9LcOgRjVmYp!t&w)z1C4G7JaMePhSkWnZr$u*x+A2D5H8KcNfQiUlXo#s%v)y0B3F6I9LdOgSjVmYq!t&w-z1C4G7JbMePhTkWnZr$u(x+A2E5H8KcNfRiUlXp#s%v)y0C3F6IaLdOgSjVnYq!t*w