PowerPoint Template

Size: px

Start display at page:

Download "PowerPoint Template"

圳窦
7 years ago
Views:

1 教育行政部门和学校信息安全工作实践与操作曾德华 2015 年 10 月 1

2 提纲一. 教育网络与信息安全状况与特点二. 教育行业网络与信息安全的政策和工作三. 教育部机关信息安全的实践四. 高校网络与信息安全建议五. 教育信息安全等级保护测评中心简介 2015/11/3 2

3 一教育网络与信息安全状况与特点总体形势严峻新华社经济参考报报道自 2014 年 4 月至 2015 年 3 月的 12 个月间, 某漏洞响应平台上显示的有效高校网站漏洞多达 3495 个, 涉及高校千余所, 占比近 40% 在上述漏洞中, 至少有 384 个漏洞可能造成教职员工或学生个人信息泄漏令人担忧的是, 过去一年间, 在被告知网站存在漏洞后, 会修复漏洞的高校网站只有 35 个, 仅 186 个漏洞被修复,96.8% 的高校网站完全无视安全漏洞的存在, 94.6% 的高校网站安全漏洞未被修复 2015/11/3 3

4 一教育网络与信息安全状况与特点高校的网络安全状况网站及应用安全风险较大, 尤其是二级网站建设管理分散, 防护不够, 遭受攻击安全事件多 9 月份部直属高校官网安全监测数据 2015/11/3 4

5 一教育网络与信息安全状况与特点高校的网络安全状况信息安全等级保护工作落实不到位部属高校约 46% 的信息系统未开展信息系统定级备案工作, 未定级备案信息系统总数约 2100 个部属高校定为三级系统有 78 个, 其中开展测评的仅 26 个, 约占 33% 部属高校中 69 所已经制定了网络安全应急预案, 但仅 39 所开展了网络安全应急演练, 约 57% 2015/11/3 5

6 一教育网络与信息安全状况与特点教育行业部分被公开曝光安全漏洞统计 2014 年 4 月至 2015 年 9 月 30 日数据教育行业信息系统安全漏洞 105 个涉及高校 54 所 ( 以上信息来自乌云补天等公众安全平台 ) 2015/11/3 6

7 一教育网络与信息安全状况与特点漏洞数量危害说明弱口令 28 安全意识问题, 造成应用及数据直接对外开放 SQL 注入 31 攻击者通过在 WEB 地址栏构建 URL, 实现获取后台数据库数据信息的目的, 从而实现信息获取蹿改, 上传远程可控制的脚本等任意文件上传 13 可上传任意文件, 包括木马恶意脚本越权操作 10 可使用最高权限操作应用或系统, 可开展任意操作信息泄露 7 系统设计不合理或有安全漏洞, 造成应用代码或数据泄露任意文件下载 4 可不需授权就下载应用的任意文件, 导致信息泄露跨站脚本攻击 4 通过骗取用户点击的方式, 窃取合法用户的 Cookie 信息, 进而获得该用户的登录权限, 进行非法操作系统 / 服务补丁或配置不当 6 应中间件数据库系统漏洞及配置不当, 导致应用及数据存在泄露蹿改风险应用设计缺陷 2 应用系统设计缺陷, 导致应用及数据存在泄露蹿改 2015/11/3 风险 7

8 一教育网络与信息安全状况与特点教育行业网站遭受黑客攻击情况仍然高发特别是 2012 年以来, 以反共黑客组织为首的境外敌对势力, 频繁对我党政机关事业单位重点高校等单位网站开展渗透攻击活动截至今年 5 月 27 日, 该组织共对我境内 386 个网站实施攻击, 仅北京地区, 教育行业网站被攻击篡改的比例高达 40% 2015/11/3 8

9 一教育网络与信息安全状况与特点篡改招生录取窃取学生及学生家长个人隐私信息等数据, 谋取商业利益 2015/11/3 9

10 一教育网络与信息安全状况与特点学校信息系统安全系统存在安全漏洞, 服务系统整个被控制浸入信息系统, 尤其是教务系统, 修改考试成绩等数据个人计算机被攻击, 窃取敏感文件信息系统被拖库 2015/11/3 10

11 一教育网络与信息安全状况与特点高校的典型网络安全问题无线校园网络应用普遍, 终端安全隐患多用户账号被盗用风险网络侦听造成信息泄露风险无线加密算法存在被破解风险 ARP 地址欺骗攻击风险移动智能终端的安全脆弱性, 带来了更多的安全风险 2015/11/3 11

12 一教育网络与信息安全状况与特点教育行业已成立网络安全的重灾区网络信息安全事件占全国的 25% 2015/11/3 12

13 一教育网络与信息安全状况与特点大量高价值数据 ( 如全国范围内的学生教师和学校信息数字教育资源等 ) 吸引更多潜在攻击者数据挖掘和关联技术的不断发展, 为黑客带来更多有价值的信息高等院校网站分散, 技术防护运行维护安全管理薄弱承担着国家诸多重要科研和军工项目 2015/11/3 13

14 一教育网络与信息安全状况与特点高校网络安全问题分析信息化的管理问题安全重视不够, 安全管理体系不健全, 安全技术防护能力偏弱, 网络安全建设整体明显滞后于信息化建设运行维护, 尤其是安全管理不够规范专业高校学生群体整体网络安全意识淡薄, 缺乏网络安全常识 2015/11/3 14

15 提纲一. 教育网络与信息安全形势二. 教育行业网络与信息安全的政策和工作三. 教育部信息中心信息安全工作实践四. 高校网络与信息安全建设思路五. 教育信息安全等级保护测评中心简介 2015/11/3 15

16 二教育行业网络与信息安全的政策和工作 1. 国家网络信息安全的管理体系三位一体总体 : 中央网络安全与信息化领导小组中央网络安全与信息化领导小组办公室 1. 公安部公共网络信息安全执法 2. 国家保密局涉密信息系统管理密码及应用管理 3. 国家密码管理局涉密信息系统管理密码及应用管理 2015/11/3 16

17 二教育行业网络与信息安全的政策和工作 2. 教育部网络信息安全的管理体系职责分工科技司负责信息技术安全思政司负责内容安全信息中心承担技术支撑保障工作安排教育部关于加强教育行业网络与信息安全工作的指导意见 ( 教技 [2014]4 号 ) 通报机制教育部网络与信息安全事件报告与处置管理制度 2015/11/3 17

18 二教育行业网络与信息安全的政策和工作 3. 教育部自 2014 年以来下发的网络安全主要文件序号文号发文单位名称 1 教技 [2014]4 号教育部教育部关于加强教育行业网络安全工作的指导意见 2 教技厅函 [2014]74 号教育部办公厅教育部办公厅关于印发教育行业信息系统安全等级保护定级工作指南 ( 试行 ) 的通知 3 教技厅函 [2014]75 号教育部办公厅教育部办公厅关于印发信息技术安全事件报告与处置流程 ( 试行 ) 的通知 4 教技 [2015]2 号教育部公安部教育部公安部关于全面推进教育行业网络安全等级保护工作的通知 5 教技厅函 [2015]64 号教育部办公厅教育部办公厅印发信息系统安全等级保护定级审核工作流程 ( 试行 ) 的通知 6 教技厅函 [2015]68 号教育部办公厅教育部办公厅关于组织开展部属单位信息安全等级保护工作的通知 2015/11/3 18

19 二教育行业网络与信息安全的政策和工作指导意见 ( 教技 [2014]4 号 ) 提出五大任务 1 建立健全网络与信息安全组织领导体系 2 全面实施信息安全等级保护制度 3 建立健全网络与信息安全应急处置与通报机制 4 加强网络与信息安全队伍建设和人员培训 5 加快教育行业信息安全标准规范建设四大亮点 1 第一次以教育部名义发文推动信息安全工作 2 明确单位主要负责同志是单位网络与信息安全的第一责任人 3 明确二级系统每两年测评一次 4 明确地方各级教育部门负责本地区教育部门和学校的信息安全工作 2015/11/3 19

20 二教育行业网络与信息安全的政策和工作教育部公安部关于全面推进教育行业网络安全等级保护工作的通知 ( 教技 [2015]2 号 ) 提出明确时间要求和工作推进措施 1 到 2016 年底基本完成教育行业信息系统的定级备案和第三级以上系统的测评整改工作 2 建立由教育部公安部组成的部际协调机制 ; 地方结合实际建立协调机制 3 组织开展信息系统摸底调查工作 4 加快推进信息系统安全等级保护定级备案工作测评和整改工作 5 开展信息系统安全等级保护专项检查 2015/11/3 20

21 二教育行业网络与信息安全的政策和工作教育部办公厅关于组织开展部属单位信息安全等级保护工作的通知 ( 教技厅函 [2015]68 号 ) 对部属高校提出明确时间要求和工作推进措施 1 部属高校应于 2016 年 6 月 30 日前完成公安机关定级备案 2 部属高校应于 2016 年 12 月 31 日前完成测评整改 3 部属高校应定期进行安全自查 4 科技司将结合年度网络安全检查, 对各部属单位信息系统安全等级保护工作情况进行现场抽查 2015/11/3 21

22 二教育行业网络与信息安全的政策和工作 4. 建立安全的工作通报机制科技司牵头, 形成了与中网办国家网络信息安全中心公安部通报中心教育信息安全等级保护测评中心等信息安全监测机构建立安全威胁的交换机制, 及时将安全漏洞通报各单位和学校 2015/11/3 22

23 二教育行业网络与信息安全的政策和工作 5. 安全工作支撑保障机制依托, 下属的教育信息安全等级保护测评中心提供具体人员, 为教育网络信息安全提供支撑保障安全监测重点时期安全监测 : 两会 9-3 阅兵等重点时期远程安全监测, 共监测发现 40 余个单位 50 余个安全漏洞日常安全监测 : 每周发布教育网站与信息系统安全监测情况周报, 累计已发布 100 余期安全事件应急处置配合科技司对背景地区高等学校教育部直属机关的信息安全进行处置配合公安部门进行安全事件的取证协助现场处置安全事件 30 余起 23

24 二教育行业网络与信息安全的政策和工作 6. 开展人员和队伍的培训机关人员战线 ( 直属高等学校省市教育厅 ) 技术队伍培训 2015/11/3 24

25 二教育行业网络与信息安全的政策和工作 7. 开展网络信息安全工作督导检查落实指导意见, 开展安全工作督导组织实地检查对网络安全事件, 与公安部门一起进行处罚 2015/11/3 25

26 提纲一. 教育网络与信息安全形势二. 教育行业网络与信息安全的政策和工作三. 教育部机关信息安全工作实践四. 高校网络与信息安全建设思路五. 教育信息安全等级保护测评中心简介 2015/11/3 26

27 三教育部机关信息安全工作实践 1. 网络与信息安全应急处置和督查通报机制印发教育部网络与信息安全事件报告与处置管理制度安全事件的报告流程安全事件应急处置安全问题技术整改安全事件的责任追究 2015/11/3 27

28 三教育部机关信息安全工作实践 2. 落实信息系统安全等级保护工作摸清底数组织信息系统的定级审查备案督促监督落实测评整改 2015/11/3 28

29 三教育部机关信息安全工作实践 3. 教育部信息中心信息安全工作落地建立网络与信息安全组织领导体系制订工作相关的网络与信息安全规划和管理制度实施信息安全等级保护落实网络与信息安全技术防护健全网络与信息安全应急处置和督查通报机制加强网络与信息安全队伍建设和人员培训 2015/11/3 29

30 三教育部机关信息安全工作实践 3.1 教育部信息中心信息安全工作落地建立健全网络与信息安全组织体系教育部信息中心设立信息安全领导小组, 负责信息中心的信息安全工作, 各单位要加强对网络与信息安全工作的领导 ; 信息安全领导小组下设信息安全工作组, 具体负责组织协调和落实各项信息安全工作各个部门 / 项目有安全责任人 2015/11/3 30

31 三教育部机关信息安全工作实践 3.2 教育部信息中心信息安全工作落地制订网络与信息安全规划和管理制度网络与信息安全总体管理办法安全管理机构制度安全管理人员安全管理系统建设管理系统运维管理信息安全组织及职责管理规定技术类制度管理规定工作人员网络与信息安全管理规定信息系统建设安全管理规定机房管理制度办公环境网络与信息安全管理规定第三方工作人员网络与信息安全管理规定信息资产安全管理规定基础设施运维安全管理规定防病毒安全管理规定信息系统口令管理规定教育部信息中心 : 截至目前, 共编制发布 5 大类 18 个制度公共平台运维安全管理规定应用系统运维安全管理规定托管信息系统资源评估管理规定数据备份和恢复管理规定介质安全管理规定信息系统变更安全管理规定 2015/11/3 31 信息安全事件处理和应急管理规定

32 三教育部机关信息安全工作实践 3.3 教育部信息中心信息安全工作落地全面实施信息安全等级保护制度教育部完成国家教育管理信息系统的定级备案工作 ; 在教育部数据中心及在中央上线的应用系统已经开展信息系统等级保护测评工作和整改工作 ; 依托教育信息安全等级保护测评中心, 部分国家测评机构, 开展测评工作 2015/11/3 32

33 三教育部机关信息安全工作实践 3.4 教育部信息中心信息安全工作落地加强网络与信息安全技术防护安全区域划分, 分为核心交换区前置服务区应用服务区数据库服务区运维管理区综合业务区测试开发区业务分析区等 8 个区域网络安全通过部署网络入侵检测系统防病毒网关抗 DDOS 设备流量分析设备 IPSEC VPN 等安全设备, 实现网络层的安全防护及审计功能 ; 数据安全围绕数据采集传输存储等各方面制定了技术防护方案应用安全针对已上线系统定期进行渗透测试及安全检查, 保障应用系统的安全稳定运行 ; 针对新建应用系统, 制定了应用系统开发安全规范部完成国家教育管理信息系统的定级备案工作 2015/11/3 33

34 三教育部机关信息安全工作实践监测预警安全运维管理平台应用安全监测与预警平台异地灾备经财政部批准, 建立教育行业云灾备中心教育部和各省教育部门重要数据要通过教育行业云灾备中心实现数据级灾备各高校可通过接入教育行业云灾备中心实现数据级灾备电子身份安全认证体系 2015/11/3 34

35 三教育部机关信息安全工作实践 3.5 教育部信息中心信息安全工作落地落实网络安全应急处置和督查通报机制制定信息安全应急处置预案并定期开展演练, 一般一年至少演练一次督查通报机制定期进行系统测评渗透测试与安全风险分 2015/11/3 35

36 三教育部机关信息安全工作实践 3.6 教育部信息中心信息安全工作落地加强网络与信息安全队伍建设和人员培训建立网络与信息安全队伍, 定岗定责, 落实安全管理制度定期开展人员专业技能培训定期开展专业人员专业能力考核 2015/11/3 36

37 提纲一. 教育网络与信息安全形势二. 教育行业网络与信息安全政策要求三. 教育部机关信息安全工作实践四. 高校网络与信息安全的建议五. 教育信息安全等级保护测评中心简介 2015/11/3 37

38 四高校网络与信息安全的建议以等级保护工作为抓手建立安全保障体系建立监测预警与应急响应体系 2015/11/3 38

39 4.1 以等保工作为抓手建立安全保障体系以落实信息安全等级保护为抓手, 建立完善的安全保障体系! 信息安全等级保护 : 是指对国家秘密信息法人和其他组织及公民的专有信息以及公开信息和存储传输处理这些信息的信息系统分等级实行安全保护对信息系统中使用的信息安全产品实行按等级管理对信息系统中发生的信息安全事件分等级响应处置 2015/11/3 39

40 4.1 以等保工作为抓手建立安全保障体系信息安全等级保护工作的基本内容系统定级系统备案建设整改监督检查等级测评 2015/11/3 40

41 4.1 以等保工作为抓手建立安全保障体系系统等级划分系统定级第五级专控保护级系统备案建设整改监督检查第四级强制保护级第三级监督保护级等级测评第二级指导保护级第一级自主保护级 2015/11/3

42 4.1 以等保工作为抓手建立安全保障体系定级流程系统定级系统备案建设整改等级测评监督检查确定定级责任主体自主定级谁主管, 谁负责谁运营, 谁负责谁使用, 谁负责专家评审主管部门审批 ( 报科技司 ) 公安机关备案 ( 到属地公安机关 ) 2015/11/3 42

43 4.1 以等保工作为抓手建立安全保障体系系统定级系统备案建设整改等级测评监督检查定级工作的结果是以备案完成为标志第二级以上信息系统, 由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续, 备案时需提交信息系统安全等级保护定级报告和信息系统安全等级保护备案表第一级系统无需备案 2015/11/3 43

44 4.1 以等保工作为抓手建立安全保障体系物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构人员安全管理安全管理制度系统建设管理系统运维管理二级 :175 个要求项三级 :290 个要求项 2015/11/3 44 系统定级系统备案建设整改等级测评监督检查

45 4.1 以等保工作为抓手建立安全保障体系系统定级系统备案建设整改等级测评监督检查老系统要进行整改 ; 新建系统应同步安全规划同步进行安全建设安全管理方面安全责任体系 : 建立安全组织机构, 落实全员的安全责任人员安全管理 : 开展全员安全培训 ; 规范内部工作人员及外来人员的管理 2015/11/3 45

46 4.1 以等保工作为抓手建立安全保障体系高校安全管理方面系统定级系统备案建设整改等级测评监督检查系统建设管理 : 建立安全保障体系总体规划设计产品采购采购工程建设管理规定 ; 网站开发及业务系统定制应编制代码安全规范要求并按照要求实施 ; 对定制的系统上线前应进行代码安全检测 ; 应定期开展安全等级测评系统运维管理 : 应建立安全管理中心 ; 应加强重要信息系统的数据备份与恢复 ; 应建立事件通报处置预案管理等机制安全管理制度 : 制定并实施安全管理流程与制度 2015/11/3 46

47 4.1 以等保工作为抓手建立安全保障体系系统定级系统备案建设整改等级测评监督检查高校安全技术方面应加强数据保护, 应实现非法人员进不来拿不走看不懂跑不掉应加强无线校园网及终端的安全管理建立完善的无线用户认证和授权系统, 加强移动设备访问权限控制采用安全的无线加密算法如 WPA2, 进行数据加密传输通过无线网关的 IP/MAC 地址绑定防止 ARP 地址欺骗 2015/11/3 47

48 4.1 以等保工作为抓手建立安全保障体系系统定级系统备案建设整改等级测评监督检查安全技术方面物联网云计算等新技术应用同时应注意同步开展安全防护加强软件正版化优先采用具有自主知识产权和自有核心技术的软硬件产品 2015/11/3 48

49 4.1 以等保工作为抓手建立安全保障体系系统定级系统备案建设整改等级测评监督检查测评目的 : 衡量信息系统安全保护措施是否符合等级保护基本要求, 是否具备了相应等级的安全保护能力测评频率 : 第二级系统两年 1 次第三级系统一年 1 次第四级系统半年 1 次 2015/11/3 49

50 4.1 以等保工作为抓手建立安全保障体系备案单位定期自查系统定级系统备案建设整改等级测评监督检查定期开展自查, 掌握信息系统安全状况安全管理制度及技术保护措施的落实情况等第三级系统至少每年 1 次自查, 第四级系统至少每半年 1 次自查教育部各地教育行政部门督导检查公安机关监督检查 2015/11/3 50

51 4.2 建立监测预警与应急响应体系加强高校网站安全监测预警监控网站可用性篡改暗链挂马漏洞等可购置监测预警平台工具采购第三方提供服务或采用行业的监测平台关注新技术的发展与应用, 建立安全动态防御体系部分有条件高校可尝试采用新技术, 如态势感知技术建立校园安全监控体系加强高校舆情监控加强学校论坛管理建立一人一账号实名登记上网制度和可追溯制度, 加强网络信息内容监管建立网络数据分析平台, 对用户的上网行为校园行为进行分析和预警 2015/11/3 51

52 4.2 建立监测预警与应急响应体系建立安全事件通报机制, 加强应急响应能力建设按照教育部办公厅信息技术安全事件报告与处置流程 ( 试行 ) 的通知要求, 建立安全事件通报机制制定完善的网络安全应急预案, 建立用户单位主管单位行业机构安全服务商产品供应商等多种角色多方协作的应急生态链, 及时发现, 及时有效解决事件分类事件分级分级响应拒绝服务攻击事件非法入侵事件恶意代码事件跨站脚本事件其他信息安全事件一般较大重大特别重大一级响应二级响应 2015/11/3 52

53 提纲一. 教育网络与信息安全形势二. 教育行业网络与信息安全政策要求三. 教育部信息中心信息安全工作实践四. 高校网络与信息安全建设思路五. 教育信息安全等级保护测评中心简介 2015/11/3 53

54 五教育信息安全等级保护测评中心介绍 1. 中心概况中心成立于 2010 年 4 月, 挂靠, 是经教育部人事司批准, 取得国家级信息安全等级保护测评机构推荐证书的第三方安全检测服务机构 2015 年 1 月当选信息安全测评联盟副理事长单位主要职能中心简介技术支撑 : 为教育行业主管部门网络与信息安全工作相关技术标准起草以及安全检查提供技术支撑信息安全等级保护测评机构推荐证书专业服务 : 专注信息系统安全等级测评信息安全评估等安全技术服务 2015/11/3 54

55 五教育信息安全等级保护测评中心介绍测评中心按照 CNAS CMA 要求建立了完善的质量管理体系有一支 40 人的安全可靠稳定高素质的技术团队立足于满足行业网络与信息安全工作需要, 建立了设施完备的网络与信息安全实验室 2015/11/3 55

56 五教育信息安全等级保护测评中心介绍各地分支机构 : 测评中心已经在河北吉林山西宁夏河南安徽浙江湖南广东新疆等 10 个省市建立了分中心或工作站, 负责本省范围内技术服务的开展 2015/11/3 56

57 五教育信息安全等级保护测评中心介绍 2. 测评中心安全服务内容定级备案阶段规划设计阶段安全建设与整改阶段运行管理阶段安全培训定级咨询风险评估源代码审计等级测评安全规划安全产品测试应急响应安全运维外包安全监测 2015/11/3 57

58 五教育信息安全等级保护测评中心介绍 3. 配合科技司所做主要技术支撑工作编制行业安全技术规范教育信息系统安全等级保护定级指南 (2014 年已发布 ) 教育信息系统安全等级保护基本要求 ( 进行中 ) 年度网络安全检查技术支撑远程安全技术检测汇总安全检查数据 2015/11/3 58

59 五教育信息安全等级保护测评中心介绍 3. 配合科技司所做主要技术支撑工作安全监测重点时期安全监测 : 两会 9-3 阅兵等重点时期远程安全监测, 共监测发现 40 余个单位 50 余个安全漏洞日常安全监测 : 每周发布教育网站与信息系统安全监测情况周报, 累计已发布 100 余期安全事件应急处置协助现场处置安全事件 30 余起信息系统定级咨询 2015/11/3 59

60 谢谢曾德华 2015/11/3 60

PowerPoint Template

PowerPoint Template 落实信息安全等级保护提高高校网络与信息安全建设水平安宏 2015 年 10 月提纲一. 网络安全形势概述 1.1 国家面临的网络安全形势 1.2 教育行业面临的网络安全形势 1.3 高校存在的典型网络安全问题二. 国家及教育行业相关要求三. 高校网络安全建设思路 2015/10/10 2 1.1 国家面临的网络安全形势我国高度重视网络安全 2014 年 3 月, 中央网络安全和信息化领导小组成立,