教育網(wǎng)絡(luò)與信息安全建設(shè)

教育網(wǎng)絡(luò)與信息安全建設(shè)提綱一、國家及教育行業(yè)面臨的信息安全形勢二、國家教育管理信息系統(tǒng)安全保障體系建設(shè)三、教育網(wǎng)絡(luò)與信息安全工作開展情況四、2013年教育網(wǎng)絡(luò)與信息安全重點(diǎn)工作2023/2/421.1國家信息安全面臨的形勢-網(wǎng)絡(luò)攻擊政治化當(dāng)前，網(wǎng)絡(luò)攻擊政治化日趨明顯：美國奧巴馬政府發(fā)布了《網(wǎng)絡(luò)空間國際戰(zhàn)略》，明確表明了美國政府實(shí)施網(wǎng)絡(luò)戰(zhàn)略威懾、主導(dǎo)網(wǎng)絡(luò)空間的霸主圖謀；同時(shí)計(jì)劃建立40支網(wǎng)絡(luò)部隊(duì)，其中包括：進(jìn)攻性網(wǎng)絡(luò)部隊(duì)、網(wǎng)絡(luò)培訓(xùn)和網(wǎng)絡(luò)監(jiān)控部隊(duì)等日本正在籌備成立新的網(wǎng)絡(luò)戰(zhàn)部隊(duì)，新部隊(duì)的顯著特點(diǎn)在于其加強(qiáng)了“進(jìn)攻”能力。今年3月大量的惡意軟件攻擊韓國電視臺(tái)和金融機(jī)構(gòu)，造成大規(guī)模的損害，擦除了上千個(gè)硬盤數(shù)據(jù)。朝鮮被列為頭號(hào)懷疑對(duì)象2023/2/431.1國家信息安全面臨的形勢-我國網(wǎng)絡(luò)安全態(tài)勢《2012年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》針對(duì)關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施的探測、滲透和攻擊事件時(shí)有發(fā)生，安全形勢仍不容樂觀利用“火焰”病毒、“高斯”病毒、“紅色十月”病毒等實(shí)施的高級(jí)可持續(xù)攻擊（APT攻擊）活動(dòng)頻現(xiàn)，對(duì)國家和企業(yè)的數(shù)據(jù)安全造成嚴(yán)重威脅。2012年，我國境內(nèi)至少有4.1萬余臺(tái)主機(jī)感染了具有APT特征的木馬程序。網(wǎng)站被植入后門等隱蔽性攻擊事件呈增長態(tài)勢，網(wǎng)站用戶信息成為黑客竊取重點(diǎn)，監(jiān)測發(fā)現(xiàn)我國境內(nèi)52324個(gè)網(wǎng)站被植入后門，其中政府網(wǎng)站3016個(gè)，較2011年月均分別增長213.7%和93.1%2023/2/441.1國家信息安全面臨的形勢-新技術(shù)新應(yīng)用風(fēng)險(xiǎn)新技術(shù)、新應(yīng)用引發(fā)的安全風(fēng)險(xiǎn)新技術(shù)的應(yīng)用不斷深入，但缺乏相關(guān)的安全規(guī)范和要求（如下一代互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等）；大數(shù)據(jù)和云計(jì)算的發(fā)展引入新的安全風(fēng)險(xiǎn)，數(shù)據(jù)和應(yīng)用逐步集中的趨勢，面臨數(shù)據(jù)安全和運(yùn)行安全的雙重考驗(yàn)；移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量將持續(xù)增加并更加復(fù)雜；2023/2/451.2教育信息安全面臨的形勢面臨的主要信息安全問題：教育網(wǎng)站遭篡改、暗鏈、掛馬篡改招生錄取、考試成績，竊取學(xué)生及學(xué)生家長個(gè)人隱私信息等數(shù)據(jù)，謀取商業(yè)利益教育資源公共服務(wù)平臺(tái)面臨的內(nèi)容安全風(fēng)險(xiǎn)教育管理公共服務(wù)平臺(tái)面臨業(yè)務(wù)數(shù)據(jù)安全和系統(tǒng)服務(wù)安全的雙重風(fēng)險(xiǎn)2023/2/462023/2/47教育網(wǎng)站遭篡改、暗鏈：

近一年來通過教育網(wǎng)站安全監(jiān)測平臺(tái)發(fā)現(xiàn)，高校網(wǎng)頁被植入大量暗鏈，且一般會(huì)修改網(wǎng)頁源代碼，在網(wǎng)頁中隱藏其暗鏈框架，管理員難以發(fā)現(xiàn)。某單位頁面中被植入暗鏈如下：主要問題及表現(xiàn)1.2教育信息安全面臨的形勢2023/2/48招生考試期間教育網(wǎng)站遭掛馬2012年6月底正值高考報(bào)名高峰期，部分學(xué)校網(wǎng)站被發(fā)現(xiàn)掛馬。據(jù)統(tǒng)計(jì)，招生網(wǎng)站已成為掛馬的頻發(fā)區(qū)，360安全衛(wèi)士和瀏覽器每天攔截掛馬超過8萬次。個(gè)人隱私數(shù)據(jù)外泄2012年某教育信息網(wǎng)大量注冊(cè)用戶數(shù)據(jù)外泄：姓名、地址、手機(jī)號(hào)碼1.2教育信息安全面臨的形勢2023/2/49“三通兩平臺(tái)”面臨的安全威脅業(yè)務(wù)數(shù)據(jù)數(shù)據(jù)大集中（中央級(jí)和省級(jí)）大量高價(jià)值數(shù)據(jù)（如全國范圍內(nèi)的學(xué)生、教師和學(xué)校信息、數(shù)字教育資源等）吸引更多潛在攻擊者數(shù)據(jù)挖掘和關(guān)聯(lián)技術(shù)的不斷發(fā)展，為黑客帶來更多有價(jià)值的信息系統(tǒng)服務(wù)教育管理業(yè)務(wù)、教育資源公共服務(wù)對(duì)信息系統(tǒng)依賴程度提高，對(duì)系統(tǒng)服務(wù)的依賴程度增高會(huì)會(huì)吸引更多潛在攻擊者關(guān)鍵時(shí)期業(yè)務(wù)連續(xù)性保障1.2教育信息安全面臨的形勢提綱一、國家及教育行業(yè)面臨的信息安全形勢二、國家教育管理信息系統(tǒng)安全保障體系建設(shè)三、教育網(wǎng)絡(luò)與信息安全工作開展情況四、2013年教育網(wǎng)絡(luò)與信息安全重點(diǎn)工作2023/2/410國家教育管理信息系統(tǒng)的業(yè)務(wù)特點(diǎn)國家教育管理信息系統(tǒng)規(guī)劃建設(shè)學(xué)生、教師、學(xué)校資產(chǎn)及辦學(xué)條件、教育規(guī)劃與決策支持、其他業(yè)務(wù)管理等五大類共20個(gè)管理信息系統(tǒng)；“兩級(jí)建設(shè)，五級(jí)應(yīng)用”，核心應(yīng)用系統(tǒng)部署在部省兩級(jí)數(shù)據(jù)中心，供中央、省、地市、區(qū)縣和學(xué)校使用；業(yè)務(wù)終端分布于全國各省、市、區(qū)、縣，應(yīng)用終端大于30萬個(gè)；國家教育管信息系統(tǒng)按要求統(tǒng)一定為“三級(jí)”系統(tǒng)。2023/2/411國家教育管理信息系統(tǒng)的信息安全風(fēng)險(xiǎn)2023/2/412物理機(jī)房Internet互聯(lián)網(wǎng)區(qū)應(yīng)用存儲(chǔ)區(qū)辦公網(wǎng)區(qū)辦公終端應(yīng)用存儲(chǔ)服務(wù)器互聯(lián)網(wǎng)服務(wù)器學(xué)前系統(tǒng)存儲(chǔ)數(shù)據(jù)傳輸數(shù)據(jù)處理數(shù)據(jù)中央級(jí)用戶應(yīng)用終端用戶省級(jí)用戶區(qū)縣級(jí)用戶地市級(jí)用戶學(xué)校用戶應(yīng)用層SQL注入身份冒用溢出攻擊數(shù)據(jù)竊取傳輸竊聽數(shù)據(jù)重放主機(jī)層弱口令系統(tǒng)漏洞病毒入侵資源占用黑客攻擊網(wǎng)絡(luò)層帶寬資源濫用非法接入非法外聯(lián)區(qū)域混亂協(xié)議攻擊中間人攻擊信息泄露物理層斷電物理攻擊非法進(jìn)出盜竊火災(zāi)數(shù)據(jù)層篡改非法訪問丟失泄露不可用用戶層篡改非法訪問丟失泄露惡意代碼?安全管理風(fēng)險(xiǎn)安全責(zé)任不明確人員安全意識(shí)風(fēng)險(xiǎn)人員安全技術(shù)風(fēng)險(xiǎn)安全制度缺失風(fēng)險(xiǎn)安全建設(shè)管理風(fēng)險(xiǎn)安全運(yùn)維管理風(fēng)險(xiǎn)安全技術(shù)風(fēng)險(xiǎn)國家教育管理信息系統(tǒng)安全建設(shè)需求2023/2/413保障對(duì)象國家教育管理信息系統(tǒng)（在中央和省級(jí)數(shù)據(jù)中心物理部署）自建系統(tǒng)（如教育資源平臺(tái)、其他管理信息系統(tǒng)等）安全需求信息系統(tǒng)整體按等級(jí)保護(hù)“三級(jí)”要求進(jìn)行設(shè)計(jì)保障國家教育管理信息系統(tǒng)數(shù)據(jù)安全（如數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用等）圍繞國家教育管理信息系統(tǒng)進(jìn)行縱向安全保障，建立一體化的安全防護(hù)體系2.1建設(shè)目標(biāo)國家教育管理信息系統(tǒng)安全保障體系建設(shè)的總體目標(biāo)是：依據(jù)國家和行業(yè)信息安全保障要求，根據(jù)系統(tǒng)安全保障實(shí)際需要和系統(tǒng)結(jié)構(gòu)特點(diǎn)，在中央和省共同建設(shè)符合信息安全等級(jí)保護(hù)要求，適用國家教育管理信息系統(tǒng)“兩級(jí)建設(shè)、五級(jí)應(yīng)用”特點(diǎn)，上下貫通的信息安全一體化防護(hù)體系（“兩橫兩縱”）。確保國家教育管理信息系統(tǒng)穩(wěn)定運(yùn)行，保障教育管理信息安全。

2023/2/4142.2安全保障體系框架2023/2/415兩橫：部、省兩級(jí)信息安全保障體系兩縱：統(tǒng)一安全管理與技術(shù)支撐體系終端：五級(jí)應(yīng)用終端安全保障2.3安全建設(shè)內(nèi)容中央、省兩級(jí)信息安全保障體系建設(shè)（兩橫）教育部：建立中央級(jí)信息安全保障體系省級(jí)教育部門：建立省級(jí)信息安全保障體系統(tǒng)一安全管理與技術(shù)支撐體系建設(shè)（兩縱）教育部：負(fù)責(zé)“兩縱”規(guī)劃設(shè)計(jì)；制定相關(guān)流程規(guī)范；按照政府采購流程，組織、協(xié)調(diào)相關(guān)產(chǎn)品及平臺(tái)的“統(tǒng)談分簽”。省級(jí)教育部門：按照教育部統(tǒng)一要求在省級(jí)信息安全保障體系中落實(shí)“兩縱”要求；按照“統(tǒng)談分簽”要求的方式進(jìn)行平臺(tái)及產(chǎn)品采購。2023/2/4162.3安全建設(shè)內(nèi)容應(yīng)用終端安全建設(shè)（五級(jí)應(yīng)用終端）覆蓋范圍中央/省/地市/區(qū)縣教育部門學(xué)校（高校、中職、中小學(xué)等）安全建設(shè)要求終端主機(jī)要安裝防病毒軟件，防病毒軟件的病毒庫要實(shí)時(shí)更新；主機(jī)操作系統(tǒng)要開啟補(bǔ)丁自動(dòng)更新功能，并更新主要的安全補(bǔ)丁。各級(jí)教育部門要組織對(duì)下級(jí)教育部門和學(xué)校應(yīng)用終端操作人員進(jìn)行信息安全意識(shí)與基本技能的培訓(xùn)。2023/2/4172.3安全建設(shè)內(nèi)容2023/2/418木桶原理各級(jí)教育部門和學(xué)校本單位的信息安全保障體系建設(shè)是國家教育管理信息系統(tǒng)安全保障體系建設(shè)的基礎(chǔ)，因此要保障國家教育管理信息系統(tǒng)安全穩(wěn)定運(yùn)行，要求各單位要按照信息安全等級(jí)保護(hù)要求，做好本單位信息安全保障體系的建設(shè)。2.4等級(jí)保護(hù)建設(shè)流程2023/2/419系統(tǒng)定級(jí)系統(tǒng)備案建設(shè)整改等級(jí)測評(píng)監(jiān)督檢查等級(jí)測評(píng)（差距分析）2.4等級(jí)保護(hù)建設(shè)流程2023/2/420定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié)，是開展備案、信息系統(tǒng)建設(shè)、整改、測評(píng)、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。應(yīng)依據(jù)《教育信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》對(duì)基礎(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)和網(wǎng)站自行進(jìn)行定級(jí)；應(yīng)組織教育信息安全等級(jí)保護(hù)相關(guān)專家對(duì)自定級(jí)結(jié)果進(jìn)行評(píng)審。要將系統(tǒng)定級(jí)結(jié)果報(bào)上級(jí)教育主管部門審批；審批通過后，對(duì)定為第二級(jí)以上信息系統(tǒng)要在當(dāng)?shù)毓矙C(jī)關(guān)備案；系統(tǒng)備案材料要在教育部教育管理信息中心報(bào)備。已定為第二級(jí)及以上系統(tǒng)要納入安全建設(shè)整改范圍；由于安全建設(shè)整改工作涉及面廣（物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、管理等10個(gè)層面）、技術(shù)性強(qiáng)（涉及整改方案設(shè)計(jì)、安全策略設(shè)計(jì)與實(shí)施等），要聘請(qǐng)專業(yè)安全服務(wù)機(jī)構(gòu)進(jìn)行具體安全建設(shè)整改的方案設(shè)計(jì)與實(shí)施；安全建設(shè)整改內(nèi)容主要包括：信息安全方案設(shè)計(jì)、安全技術(shù)策略設(shè)計(jì)、安全集成實(shí)施、安全評(píng)估加固。安全建設(shè)整改項(xiàng)目驗(yàn)收前，需要進(jìn)行信息系安全等級(jí)測評(píng)；教育行業(yè)第三級(jí)系統(tǒng)安全等級(jí)測評(píng)工作由教育信息安全等級(jí)保護(hù)測評(píng)中心統(tǒng)籌實(shí)施；第三級(jí)系統(tǒng)1年測評(píng)1次，二級(jí)系統(tǒng)在備案2年內(nèi)完成等級(jí)測評(píng)，重要二級(jí)系統(tǒng)參照三級(jí)系統(tǒng)實(shí)施。各單位自查，掌握信息系統(tǒng)安全狀況、安全管理制度及技術(shù)保護(hù)措施的落實(shí)情況等（三級(jí)系統(tǒng)至少每年自查1次）；行業(yè)主管部門督導(dǎo)檢查；公安機(jī)關(guān)監(jiān)督檢查。系統(tǒng)定級(jí)系統(tǒng)備案安全建設(shè)整改安全等級(jí)測評(píng)監(jiān)督檢查提綱一、國家及教育行業(yè)面臨的信息安全形勢二、國家教育管理信息系統(tǒng)安全保障體系建設(shè)三、教育網(wǎng)絡(luò)與信息安全工作開展情況四、2013年教育網(wǎng)絡(luò)與信息安全重點(diǎn)工作2023/2/421教育行業(yè)信息安全工作政策要求2023/2/422序號(hào)文號(hào)發(fā)文單位名稱1教辦廳函[2009]80號(hào)教育部辦公廳教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級(jí)保護(hù)工作的通知2教辦廳函[2010]80號(hào)教育部辦公廳教育部辦公廳關(guān)于開展教育系統(tǒng)信息安全等級(jí)保護(hù)工作專項(xiàng)檢查通知3教辦廳函[2010]87號(hào)教育部辦公廳教育部辦公廳關(guān)于信息安全等級(jí)保護(hù)自查情況的通報(bào)4教辦廳函[2011]83號(hào)教育部辦公廳教育部辦公廳關(guān)于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全保障工作的通知5教信推辦〔2013〕8號(hào)教育部教育信息化推進(jìn)辦公室關(guān)于印發(fā)《國家教育管理公共服務(wù)平臺(tái)省級(jí)數(shù)據(jù)中心建設(shè)指南》的通知6教育部財(cái)政部人力資源和社會(huì)保障部關(guān)于進(jìn)一步加強(qiáng)教育管理信息花工作的若干意見通知（擬印發(fā)）7教育部國家教育管理信息系統(tǒng)建設(shè)總體方案（送審稿）教育行業(yè)信息安全工作政策要求2011年，教育部辦公廳83號(hào)文加強(qiáng)組織領(lǐng)導(dǎo)，建立健全信息安全管理和責(zé)任機(jī)制以信息安全等級(jí)保護(hù)工作為抓手，建立完善網(wǎng)絡(luò)信息安全保障體系落實(shí)人員和經(jīng)費(fèi)保障，規(guī)范信息安全工作實(shí)施實(shí)施信息安全人員持證上崗制度為進(jìn)一步做好技術(shù)服務(wù)與指導(dǎo)工作，經(jīng)教育部人事司批準(zhǔn)成立“教育信息安全等級(jí)保護(hù)測評(píng)中心”（2011年6月，獲得公安部教育行業(yè)信息安全等級(jí)保護(hù)測評(píng)專業(yè)機(jī)構(gòu)資質(zhì)。）2023/2/423教育網(wǎng)絡(luò)與信息安全工作開展情況工作落實(shí)情況（一）工作開展情況培訓(xùn)宣傳組織起草行業(yè)安全政策與技術(shù)標(biāo)準(zhǔn)協(xié)助開展工作專項(xiàng)檢查日常重要信息系統(tǒng)安全監(jiān)測（二）安全技術(shù)服務(wù)開展情況2023/2/424（一）工作開展情況2023/2/425時(shí)間地點(diǎn)對(duì)象人次（約數(shù)）2010.03海南三亞省廳，直屬高校1002010.11教育部部機(jī)關(guān)，直屬單位602010.12廣西北海省廳，直屬高校1202011.04教育部部機(jī)關(guān)，直屬單位602011.07山東威海省廳，直屬高校1002011.10四川成都省廳，直屬高校602011.11湖南長沙本省教育部門和高校為主602011.12新疆烏魯木齊本省教育部門和高校為主702012.09貴州貴陽省市教育部門、高等學(xué)校702012.12廣西南寧省市教育部門、高等學(xué)校1202013.05北京省市教育部門、高等學(xué)校60（1）培訓(xùn)宣傳（一）工作開展情況已制定完成《教育信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（送審稿），正在審批已開展《教育信息系統(tǒng)安全等級(jí)保護(hù)基本要求》調(diào)研起草工作，正在進(jìn)一步修改完善參與《國家教育管理信息系統(tǒng)建設(shè)方案》及《省級(jí)數(shù)據(jù)中心建設(shè)指南》安全部分制定完成《國家教育管理信息系統(tǒng)信息安全保障體系建設(shè)實(shí)施指引》（征求意見稿）2023/2/426（2）組織起草行業(yè)安全政策與技術(shù)標(biāo)準(zhǔn)2023/2/427（一）工作開展情況2011年11月，印發(fā)了《教育部辦公廳關(guān)于開展教育系統(tǒng)信息安全等級(jí)保護(hù)工作專項(xiàng)檢查的通知》（教辦廳函〔2011〕80號(hào)）檢查內(nèi)容：各單位信息系統(tǒng)安全等級(jí)保護(hù)工作部署和組織實(shí)施情況、定級(jí)備案、等級(jí)測評(píng)和安全建設(shè)整改情況。檢查方式：采取自查、抽查相結(jié)合的形式2023/2/427（3）協(xié)助開展工作專項(xiàng)檢查（一）工作開展情況按照辦公廳工作安排，組織測評(píng)中心對(duì)重要信息系統(tǒng)進(jìn)行了遠(yuǎn)程安全監(jiān)測。監(jiān)測范圍：各省級(jí)教育部門、部屬高校、教育部直屬機(jī)關(guān)門戶網(wǎng)站；有定制服務(wù)需求的教育單位每周發(fā)布《教育網(wǎng)站與信息系統(tǒng)安全監(jiān)測周報(bào)》，已發(fā)布30期2023/2/428（4）重要信息系統(tǒng)安全監(jiān)測教育網(wǎng)絡(luò)與信息安全工作開展情況工作落實(shí)情況（一）工作開展情況（二）安全技術(shù)服務(wù)開展情況技術(shù)支撐保障定級(jí)備案咨詢規(guī)劃設(shè)計(jì)國家教育管理信息系統(tǒng)安全保障體系為行業(yè)提供信息系統(tǒng)安全等級(jí)測評(píng)、風(fēng)險(xiǎn)評(píng)估等服務(wù)2023/2/429（二）安全技術(shù)服務(wù)開展情況人員隊(duì)伍。經(jīng)過不斷實(shí)踐，已經(jīng)打造了一支技術(shù)能力突出、了解教育行業(yè)專業(yè)服務(wù)隊(duì)伍。網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室。建立了業(yè)界一流的安全實(shí)驗(yàn)室，具備搭建復(fù)雜信息系統(tǒng)實(shí)際運(yùn)行環(huán)境的條件。服務(wù)內(nèi)容信息系統(tǒng)安全等級(jí)測評(píng)教育行業(yè)安全標(biāo)準(zhǔn)研究安全規(guī)劃設(shè)計(jì)、安全監(jiān)測、源代碼審計(jì)安全運(yùn)維2023/2/430（1）技術(shù)支撐保障（教育信息安全等級(jí)保護(hù)測評(píng)中心）（二）安全技術(shù)服務(wù)開展情況完成教育部直屬機(jī)關(guān)129個(gè)系統(tǒng)定級(jí)及評(píng)審工作完成部機(jī)關(guān)37個(gè)系統(tǒng)（三級(jí)系統(tǒng)26個(gè)，二級(jí)系統(tǒng)11個(gè)）和直屬單位共88個(gè)系統(tǒng)的備案工作協(xié)助國家考試中心、廣東省教育廳、深圳市教育局、中國廣播電視大學(xué)完成約300個(gè)信息系統(tǒng)的定級(jí)評(píng)審定級(jí)參照《教育信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》2023/2/431（2）定級(jí)備案咨詢系統(tǒng)名稱安全保護(hù)等級(jí)教育部公文與信息交換系統(tǒng)第三級(jí)教育部門戶網(wǎng)站第三級(jí)“長江學(xué)者獎(jiǎng)勵(lì)計(jì)劃”信息系統(tǒng)第三級(jí)全國優(yōu)秀教師和教育工作者表彰獎(jiǎng)勵(lì)申報(bào)、評(píng)審信息系統(tǒng)第二級(jí)全國《學(xué)生體質(zhì)健康標(biāo)準(zhǔn)》數(shù)據(jù)庫管理信息系統(tǒng)第三級(jí)全國中等職業(yè)學(xué)校學(xué)生信息管理系統(tǒng)第三級(jí)國家中西部農(nóng)村初中校舍改造工程管理系統(tǒng)第三級(jí)國有資產(chǎn)行政管理信息系統(tǒng)第三級(jí)農(nóng)村義務(wù)教育保障新機(jī)制系統(tǒng)第三級(jí)內(nèi)地高校面向港澳臺(tái)地區(qū)招生信息系統(tǒng)第二級(jí)高校學(xué)生資助信息管理系統(tǒng)第三級(jí)全國大學(xué)生就業(yè)公共服務(wù)立體化平臺(tái)第三級(jí)2023/2/432部機(jī)關(guān)直屬單位三級(jí)系統(tǒng)名單（二）安全技術(shù)服務(wù)開展情況系統(tǒng)名稱安全保護(hù)等級(jí)學(xué)籍學(xué)歷信息管理系統(tǒng)第三級(jí)學(xué)歷認(rèn)證網(wǎng)上辦公系統(tǒng)第三級(jí)中國高等教育學(xué)生信息網(wǎng)系統(tǒng)第三級(jí)中國研究生招生信息網(wǎng)系統(tǒng)第二級(jí)陽光高考系統(tǒng)第三級(jí)大學(xué)生預(yù)征報(bào)名系統(tǒng)第三級(jí)非全日制攻讀碩士學(xué)位全國考試管理信息系統(tǒng)第三級(jí)學(xué)位授予信息年報(bào)及采集信息系統(tǒng)第三級(jí)中國教育文憑認(rèn)證管理信息系統(tǒng)第三級(jí)高等學(xué)校博士學(xué)科點(diǎn)專項(xiàng)科研基金管理系統(tǒng)第二級(jí)教育電子認(rèn)證服務(wù)系統(tǒng)第三級(jí)（二）安全技術(shù)服務(wù)開展情況目前完成了9個(gè)信息系統(tǒng)的定級(jí)工作組織進(jìn)行差距分析、安全規(guī)劃設(shè)計(jì)以及建設(shè)整改實(shí)施對(duì)新建信息系統(tǒng)，編寫安全開發(fā)規(guī)范，從設(shè)計(jì)開發(fā)階段就開始落實(shí)安全措施對(duì)已建信息系統(tǒng)，進(jìn)行風(fēng)險(xiǎn)評(píng)估和差距分析，落實(shí)整改采用技術(shù)和管理手段加強(qiáng)敏感數(shù)據(jù)加密組織落實(shí)“兩橫兩縱五級(jí)保障”整體安全保障體系2023/2/433（3）國家教育管理信息系統(tǒng)安全保障體系建設(shè)（中央級(jí)）《信息安全總體方針》《信息安全組織及職責(zé)管理規(guī)定》《安全管理制度管理及發(fā)布規(guī)定》《授權(quán)和審批管理規(guī)定》《安全檢查和審核管理規(guī)定》《人員安全管理規(guī)定》《第三方人員安全管理規(guī)定》《信息系統(tǒng)建設(shè)安全管理規(guī)定》《辦公環(huán)境安全管理規(guī)定》《機(jī)房安全管理規(guī)定》《信息資產(chǎn)安全管理規(guī)定》《介質(zhì)安全管理規(guī)定》《基礎(chǔ)設(shè)施運(yùn)維安全管理規(guī)定》《公共平臺(tái)運(yùn)維安全管理規(guī)定》《應(yīng)用系統(tǒng)運(yùn)維安全管理規(guī)定》《終端信息安全管理規(guī)定》《防病毒安全管理規(guī)定》《密碼管理規(guī)定》《數(shù)據(jù)備份和恢復(fù)管理規(guī)定》《信息系統(tǒng)變更管理規(guī)定》《信息安全事件處置管理規(guī)定》《信息安全應(yīng)急響應(yīng)管理規(guī)定》《信息安全應(yīng)急預(yù)案》《安全管理制度編制及發(fā)布流程》《信息安全評(píng)估檢查工作流程》《信息安全培訓(xùn)及考核流程》《信息系統(tǒng)建設(shè)安全管理流程》《信息系統(tǒng)等級(jí)保護(hù)定級(jí)工作流程》《應(yīng)用系統(tǒng)安全開發(fā)規(guī)范使用流程》《信息系統(tǒng)上線前風(fēng)險(xiǎn)評(píng)估工作流程》《信息系統(tǒng)等級(jí)保護(hù)測評(píng)工作流程》《安全補(bǔ)丁管理流程》《第三方人員網(wǎng)絡(luò)訪問申請(qǐng)審批流程》《數(shù)據(jù)備份流程》《數(shù)據(jù)恢復(fù)流程》《信息系統(tǒng)變更安全管理流程》《安全事件處理流程》《重大安全事件應(yīng)急響應(yīng)流程》各部門崗位安全人員列表工程項(xiàng)目安全管理人員列表常用信息安全組織機(jī)構(gòu)信息表安全顧問名單內(nèi)部人員聯(lián)系表安全管理制度意見表安全管理制度記錄清單安全管理制度收發(fā)登記記錄表安全管理制度評(píng)審記錄表系統(tǒng)重要操作申請(qǐng)表基礎(chǔ)設(shè)施安全檢查記錄表公共平臺(tái)安全檢查記錄表應(yīng)用系統(tǒng)安全檢查記錄表基礎(chǔ)設(shè)施月度安全檢查表（安全管理員）基礎(chǔ)設(shè)施月度安全檢查表（安全審計(jì)員）公共平臺(tái)月度安全檢查（安全管理員）公共平臺(tái)月度安全檢查表（安全審計(jì)員）應(yīng)用系統(tǒng)月度安全檢查（安全管理員）應(yīng)用系統(tǒng)月度安全檢查（安全審計(jì)員）20XX年度安全培訓(xùn)計(jì)劃表安全培訓(xùn)用戶簽到表人員安全考核記錄表員工保密協(xié)議離職人員保密承諾“第三方”人員保密協(xié)議機(jī)房訪問審批單機(jī)房進(jìn)出登記表機(jī)房異常情況登記表外部人員機(jī)房工作內(nèi)容記錄表機(jī)房設(shè)備清單機(jī)房設(shè)備維修記錄單機(jī)房設(shè)備帶出登記表信息資產(chǎn)清單_服務(wù)器資產(chǎn)清單信息資產(chǎn)清單_網(wǎng)絡(luò)設(shè)備和安全設(shè)備資產(chǎn)清單信息資產(chǎn)清單_軟件資產(chǎn)清單信息訪問申請(qǐng)表網(wǎng)絡(luò)設(shè)備配置記錄表軟件資產(chǎn)配置記錄表數(shù)據(jù)資產(chǎn)配置記錄表存儲(chǔ)介質(zhì)管理登記表介質(zhì)報(bào)廢登記表臨時(shí)接入網(wǎng)絡(luò)申請(qǐng)表數(shù)據(jù)備份記錄清單信息系統(tǒng)運(yùn)行變更申請(qǐng)表信息系統(tǒng)配置變更申請(qǐng)單信息安全事件應(yīng)急響應(yīng)人員職責(zé)清單IT基礎(chǔ)設(shè)施供應(yīng)商聯(lián)絡(luò)清單應(yīng)用系統(tǒng)供應(yīng)商聯(lián)絡(luò)清單應(yīng)急響應(yīng)事件處理記錄管理制度管理流程執(zhí)行表單（二）安全技術(shù)服務(wù)開展情況典型案例：等級(jí)測評(píng)：已完成教育部門戶網(wǎng)站（三級(jí)）、電子公文與信息交換系統(tǒng)（三級(jí)）、國家學(xué)生體質(zhì)健康管理系統(tǒng)（三級(jí)）、國家漢辦官方網(wǎng)站（二級(jí)）、OA系統(tǒng)（二級(jí)）、網(wǎng)絡(luò)孔子學(xué)院網(wǎng)站（三級(jí)）、中國人民大學(xué)電子校務(wù)系統(tǒng)（三級(jí)）、北京外國語大學(xué)數(shù)字北外（二級(jí)）等信息系統(tǒng)的等級(jí)測評(píng)工作。風(fēng)險(xiǎn)評(píng)估：已完成教育部全國學(xué)前教育管理信息系統(tǒng)（部本級(jí)）、全國中小學(xué)校舍信息管理系統(tǒng)（部本級(jí)）、國家學(xué)生體質(zhì)健康標(biāo)準(zhǔn)數(shù)據(jù)管理與分析系統(tǒng)

、中國教育統(tǒng)計(jì)網(wǎng)、人民教育出版社管理信息系統(tǒng)、門戶網(wǎng)站、ERP系統(tǒng)等信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作。2023/2/434（4）為行業(yè)提供信息安全等級(jí)測評(píng)、風(fēng)險(xiǎn)評(píng)估等服務(wù)提綱一、國家及教育行業(yè)面臨的信息安全形勢二、國家教育管理信息系統(tǒng)安全保障體系建設(shè)三、教育網(wǎng)絡(luò)與信息安全工作開展情況四、2013年教育網(wǎng)絡(luò)與信息安全重點(diǎn)工作2023/2/4352023/2/436四、2013年教育網(wǎng)絡(luò)與信息安全重點(diǎn)工作（一）加強(qiáng)信息安全等級(jí)保護(hù)工作監(jiān)督檢查（二）國家教育管理信息系統(tǒng)安全保障體系實(shí)施（三）繼續(xù)開展網(wǎng)絡(luò)與信息安全崗位培訓(xùn)（四）完善教育行業(yè)等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范（五）加快推進(jìn)安全等級(jí)測評(píng)（六）建立行業(yè)統(tǒng)一的容災(zāi)備份體系（一）加強(qiáng)信息安全等級(jí)保護(hù)工作監(jiān)督檢查按照公安部和工信部要求，教育行業(yè)作為22個(gè)重要行業(yè)之一，教育部將適時(shí)組織行業(yè)內(nèi)網(wǎng)絡(luò)與信息安全檢查。(預(yù)計(jì)8-10月)檢查形式：自查