教育网络与信息安全建设

,*,Second level,Third level,Fourth level,Fifth level,*,*,标题,教育部教育管理信息中心,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,教育网络与信息安全建设,提 纲,一、国家及教育行业面临的信息安全形势,二、国家教育管理信息系统安全保障体系建设,三、教育网络与信息安全工作开展情况,四、,2013,年教育网络与信息安全重点工作,2024/11/28,2,1.1,国家信息安全面临的形势,-,网络攻击政治化,当前，网络攻击政治化日趋明显：,美国奥巴马政府发布了网络空间国际战略，明确表明了美国政府实施网络战略威慑、主导网络空间的霸主图谋；同时计划建立,40,支网络部队，其中包括：进攻性网络部队、网络培训和网络监控部队等,日本正在筹备成立新的网络战部队，新部队的显著特点在于其加强了,“,进攻,”,能力。,今年,3,月大量的恶意软件攻击韩国电视台和金融机构，造成大规模的损害，擦除了上千个硬盘数据。朝鲜被列为头号怀疑对象,2024/11/28,3,1.1,国家信息安全面临的形势,-,我国网络安全态势,2012,年我国互联网网络安全态势综述,针对关键网络基础设施的探测、渗透和攻击事件时有发生，安全形势仍不容乐观,利用,“火焰”病毒、“高斯”病毒、“红色十月”病毒,等实施的高级可持续攻击（,APT,攻击）活动频现，对国家和企业的数据安全造成严重威胁。,2012,年，我国境内至少有,4.1,万余台主机感染了具有,APT,特征的木马程序。,网站被植入后门等隐蔽性攻击事件呈增长态势,，网站用户信息成为黑客窃取重点,，监测发现我国境内,52324,个网站被植入后门，其中政府网站,3016,个，较,2011,年月均分别增长,213.7%,和,93.1%,2024/11/28,4,1.1,国家信息安全面临的形势,-,新技术新应用风险,新技术、新应用引发的安全风险,新技术的应用不断深入，但缺乏相关的安全规范和要求（如下一代互联网、物联网等）；,大数据和云计算的发展引入新的安全风险，数据和应用逐步集中的趋势，面临数据安全和运行安全的双重考验；,移动互联网恶意程序数量将持续增加并更加复杂；,2024/11/28,5,1.2,教育信息安全面临的形势,面临的主要信息安全问题：,教育网站遭篡改、暗链、挂马,篡改招生录取、考试成绩，窃取学生及学生家长个人隐私信息等数据，谋取商业利益,教育资源公共服务平台面临的内容安全风险,教育管理公共服务平台面临业务数据安全和系统服务安全的双重风险,2024/11/28,6,2024/11/28,7,教育网站遭篡改、暗链：,近一年来通过教育网站安全监测平台发现，高校网页被植入大量暗链，且一般会修改网页源代码，在网页中隐藏其暗链框架，管理员难以发现。某单位页面中被植入暗链如下：,主要问题及表现,1.2,教育信息安全面临的形势,2024/11/28,8,招生考试期间教育网站遭挂马,2012,年,6,月底正值高考报名高峰期，部分学校网站被发现挂马。据统计，招生网站已成为挂马的频发区，,360,安全卫士和浏览器每天拦截挂马超过,8,万次,。,个人隐私数据外泄,2012,年某教育信息网 大量注册用户数据外泄：姓名、地址、手机号码,1.2,教育信息安全面临的形势,2024/11/28,9,“,三通两平台,”,面临的安全威胁,业务数据,数据大集中（中央级和省级）,大量高价值数据（如全国范围内的学生、教师和学校信息、数字教育资源等）吸引更多潜在攻击者,数据挖掘和关联技术的不断发展，为黑客带来更多有价值的信息,系统服务,教育管理业务、教育资源公共服务对信息系统依赖程度提高，对系统服务的依赖程度增高会会吸引更多潜在攻击者,关键时期业务连续性保障,1.2,教育信息安全面临的形势,提 纲,一、国家及教育行业面临的信息安全形势,二、国家教育管理信息系统安全保障体系建设,三、教育网络与信息安全工作开展情况,四、,2013,年教育网络与信息安全重点工作,2024/11/28,10,国家教育管理信息系统的业务特点,国家教育管理信息系统规划建设学生、教师、学校资产及办学条件、教育规划与决策支持、其他业务管理等五大类共,20,个管理信息系统；,“,两级建设，五级应用,”,，核心应用系统部署在部省两级数据中心，供中央、省、地市、区县和学校使用；,业务终端分布于全国各省、市、区、县，应用终端大于,30,万个；,国家教育管信息系统按要求统一定为,“,三级,”,系统。,2024/11/28,11,国家教育管理信息系统的信息安全风险,2024/11/28,12,物理机房,Internet,互联网区,应用存储区,办公网区,办公终端,应用存储服务器,互联网服务器,学前系统,存储数据,传输数据,处理数据,中央级用户,应用终端用户,省级用户,区县级用户,地市级用户,学校用户,应用层,SQL,注入,身份,冒用,溢出,攻击,数据窃取,传输,窃听,数据重放,主机层,弱口令,系统漏洞,病毒入侵,资源占用,黑客攻击,网络层,带宽资源滥用,非法接入,非法外联,区域混乱,协议攻击,中间人攻击,信息泄露,物理层,断电,物理攻击,非法进出,盗窃,火灾,数据层,篡改,非法访问,丢失,泄露,不可用,用户层,篡改,非法访问,丢失,泄露,恶意代码,?,安全管理风险,安全责任,不明确,人员安全,意识风险,人员安全,技术风险,安全制度缺失风险,安全建设管理风险,安全运维管理风险,安全技术风险,国家教育管理信息系统安全建设需求,2024/11/28,13,保障对象,国家教育管理信息系统（在中央和省级数据中心物理部署）,自建系统（如教育资源平台、其他管理信息系统等）,安全需求,信息系统整体按等级保护,“,三级,”,要求进行设计,保障国家教育管理信息系统数据安全（如数据采集、数据传输、数据存储、数据使用等）,围绕国家教育管理信息系统进行纵向安全保障，建立一体化的安全防护体系,2.1,建设目标,国家教育管理信息系统安全保障体系建设的总体目标是：,依据国家和行业信息安全保障要求，根据系统安全保障实际需要和系统结构特点，,在中央和省共同建设符合信息安全等级保护要求，适用国家教育管理信息系统,“,两级建设、五级应用,”,特点,，,上下贯通的信息安全一体化防护体系（,“,两横两纵,”,）。,确保国家教育管理信息系统稳定运行，保障教育管理信息安全。,2024/11/28,14,2.2,安全保障体系框架,2024/11/28,15,两横：,部、省两级信息安全保障体系,两纵：,统一安全管理与技术支撑体系,终端：,五级应用终端安全保障,2.3,安全建设内容,中央、省两级信息安全保障体系建设（两横）,教育部：建立中央级信息安全保障体系,省级教育部门：建立省级信息安全保障体系,统一安全管理与技术支撑体系建设（两纵）,教育部：负责,“,两纵,”,规划设计；制定相关流程规范；按照政府采购流程，组织、协调相关产品及平台的,“,统谈分签,”,。,省级教育部门：按照教育部统一要求在省级信息安全保障体系中落实,“,两纵,”,要求；按照,“,统谈分签,”,要求的方式进行平台及产品采购。,2024/11/28,16,2.3,安全建设内容,应用终端安全建设（五级应用终端）,覆盖范围,中央,/,省,/,地市,/,区县教育部门,学校（高校、中职、中小学等）,安全建设要求,终端主机要安装防病毒软件，防病毒软件的病毒库要实时更新；主机操作系统要开启补丁自动更新功能，并更新主要的安全补丁。,各级教育部门要组织对下级教育部门和学校应用终端操作人员进行信息安全意识与基本技能的培训。,2024/11/28,17,2.3,安全建设内容,2024/11/28,18,木桶原理,各级教育部门和学校本单位的信息安全保障体系建设是国家教育管理信息系统安全保障体系建设的基础，因此要保障国家教育管理信息系统安全稳定运行，,要求各单位要按照信息安全等级保护要求，做好本单位信息安全保障体系的建设。,2.4,等级保护建设流程,2024/11/28,19,系统定级,系统备案,建设整改,等级测评,监督检查,等级测评（差距分析）,2.4,等级保护建设流程,2024/11/28,20,定级是等级保护工作的首要环节，是开展备案、信息系统建设、整改、测评、监督检查等后续工作的重要基础。,应依据,教育信息系统安全等级保护定级指南,对基础网络、业务系统和网站自行进行定级；,应组织教育信息安全等级保护相关专家对自定级结果进行评审。,要将系统定级结果报上级教育主管部门审批；,审批通过后，对定为第二级以上信息系统要在当地公安机关备案；,系统备案材料要在教育部教育管理信息中心报备。,已定为第二级及以上系统要纳入安全建设整改范围；,由于安全建设整改工作涉及面广（物理、网络、主机、应用、管理等,10,个层面）、技术性强（涉及整改方案设计、安全策略设计与实施等），要聘请专业安全服务机构进行具体安全建设整改的方案设计与实施；,安全建设整改内容主要包括：信息安全方案设计、安全技术策略设计、安全集成实施、安全评估加固。,安全建设整改项目验收前，需要进行信息系安全等级测评；,教育行业第三级系统安全等级测评工作由教育信息安全等级保护测评中心统筹实施；,第三级系统,1,年测评,1,次，二级系统在备案,2,年内完成等级测评，重要二级系统参照三级系统实施。,各单位自查，掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等（三级系统至少每年自查,1,次）；,行业主管部门督导检查；,公安机关监督检查。,系统定级,系统备案,安全建设整改,安全等级测评,监督检查,提 纲,一、国家及教育行业面临的信息安全形势,二、国家教育管理信息系统安全保障体系建设,三、教育网络与信息安全工作开展情况,四、,2013,年教育网络与信息安全重点工作,2024/11/28,21,教育行业信息安全工作政策要求,2024/11/28,22,序号,文号,发文单位,名称,1,教办厅函200980号,教育部办公厅,教育部办公厅关于开展信息系统安全等级保护工作的通知,2,教办厅函201080号,教育部办公厅,教育部办公厅关于开展教育系统信息安全等级保护工作专项检查通知,3,教办厅函201087号,教育部办公厅,教育部办公厅关于信息安全等级保护自查情况的通报,4,教办厅函201183号,教育部办公厅,教育部办公厅关于进一步加强网络信息系统安全保障工作的通知,5,教信推办,2013,8,号,教育部教育信息化推进办公室,关于印发,国家教育管理公共服务平台省级数据中心建设指南,的通知,6,教育部 财政部 人力资源和社会保障部,关于进一步加强教育管理信息花工作的若干意见通知（拟印发）,7,教育部,国家教育管理信息系统建设总体方案（送审稿）,教育行业信息安全工作政策要求,2011,年，教育部办公厅,83,号文,加强组织领导，建立健全信息安全管理和责任机制,以信息安全等级保护工作为抓手，建立完善网络信息安全保障体系,落实人员和经费保障，规范信息安全工作实施,实施信息安全人员持证上岗制度,为进一步做好技术服务与指导工作，经教育部人事司批准成立,“,教育信息安全等级保护测评中心,”,（,2011,年,6,月，获得公安部教育行业信息安全等级保护测评专业机构资质。）,2024/11/28,23,教育网络与信息安全工作开展情况工作落实情况,（一）工作开展情况,培训宣传,组织起草行业安全政策与技术标准,协助开展工作专项检查,日常重要信息系统安全监测,（二）安全技术服务开展情况,2024/11/28,24,（一）工作开展情况,2024/11/28,25,时间,地点,对象,人次（约数）,2010.03,海南三亚,省厅，直属高校,100,2010.11,教育部,部机关，直属单位,60,2010.12,广西北海,省厅，直属高校,120,2011.04,教育部,部机关，直属单位,60,2011.07,山东威海,省厅，直属高校,100,2011.10,四川成都,省厅，直属高校,60,2011.11,湖南长沙