《教育信息化等保安全建设》由会员分享,可在线阅读,更多相关《教育信息化等保安全建设(38页珍藏版)》请在金锄头文库上搜索。
1、教育信息化等保安全建设,新时代:教育信息化进入2.0时代,教育信息化2.0 十九大;以教育信息化全面推动教育现代化,开启智能时代教育的新征程。 教育信息化2.0行动计划 目标任务:三全两高一大。提出了到2022年基本实现“三全两高一大”的发展目标,即: 教学应用覆盖全体教师、学习应用覆盖全体适龄学生、数字校园建设覆盖全体学校,提高信息化 应用水平、提高师生信息素养,建设一个“互联网+教育”大平台。 核心要义:三个转变。教育专用资源VS教育大资源;信息技术应用能力VS信息素养;融合 应用VS创新发展。 内涵本质:三个新模式。构建信息化条件下的人才培养新模式;发展基于互联网的教育服务 新模式;探索
2、信息时代教育治理新模式。 八大行动:教育信息化2.0行动计划,作为教育信息化2.0的先导性工程,将重点开展数字资 源服务普及行动、网络学习空间覆盖行动、网络扶智工程攻坚行动、教育治理能力优化行动、百 区千校万课引领行动、数字校园规范建设行动、智慧教育创新发展行动、信息素养全面提升行动 等八大行动。,CONTENTS 目录,一、教育系统如何落实等级保护2.0,Why? 为什么要开展等级保护2.0: 满足合规要求(法律法规、公安机关、网信部门、审计部门、教 育主管行政部门); 我国网络安全防护的基本制度:以等级保护为基础,关键信息基 础设施安全、移动APP安全、数据安全、个人信息保护等 为各行业、
3、各地区、各单位开展网络安全工作提出了基本要求和 指引;结合行业和各单位特色,应在等级保护基础之上,开展更 有针对性的防护。,一、教育系统如何落实等级保护2.0,Who? 都有哪些单位要开展等级保护2.0: 各网络运营者:结合等级保护要求开展定级备案、整改和测评 行业主管单位(如教育部科技司):开展定级审核、组织开展行 业安全检查和监督考核 测评机构(如教育等保测评中心):开展等级测评,提供定级、 备案、安全设计咨询 公安机关:开展公安执法检查、对等级保护过程管理,一、教育系统如何落实等级保护2.0,How? 如何落实等级保护2.0: 梳理等保2.0下的定级对象 开展等保2.0下的等保建设与测评
4、 管理体系与安全技术防护体系的进一步完善 结合等级保护2.0管理和技术要求,形成本单位网络安全风险防控的方法 论,一、教育系统如何落实等级保护2.0,(一)梳理系统定级 以高校校园系统为例,可包括如下定级对象:,1. 2. 3.,4.,5. 6. 7.,校园基础网络(涵盖校园有线网、无线网络;可单独定级) 校园网站群平台(统一平台生成多个子网站,可合并定级) 校园私有云平台(可对私有云平台的虚拟网络、主机、存储及管理平台统一定 级) 校园大数据平台(整合校园各类应用数据、流量数据、日志数据形成的大数据 分析平台) 基于物联网的校园安防体系 校园移动应用(涵盖其应用后台及APP形态) 其他校园信
5、息系统,一、教育系统如何落实等级保护2.0,(二)云平台安全要求及测评要点以校园私有云为例,资源虚拟化 物理硬件-计算、存储、网络 物理基础设施,云管 理平 台,应用A 虚拟机 安全组件 虚拟网络,应用B 虚拟机 安全组件 虚拟网络,校园私有云,测评对象需覆 盖:所管理的硬件设施、虚 拟资源及其提供应用,租户 管理 服务 组件,一、教育系统如何落实等级保护2.0,校园网络,校园无线网络,(三)校园移动互联平台安全要求及测评要点-以智慧校园平台 及其APP为例 手机终端 -移动APP,无线 认证 网关,移动身份 认证网关,智慧 校园 平台,一、教育系统如何落实等级保护2.0,物理安全 网络安全
6、主机安全 应用安全 数据安全,安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心,原网络结构、网络通信安全,原网络层面访问控制、边界防护 、入侵防范等,涵盖网络设备、安全设备、主机 、应用、数据库、终端、运维工 具等各类计算节点,原各层面的监控、审计以及安全 管理中的集中管控要求,统一合 并,体现综合防控思想,(四)等级保护2.0-技术防护能力提升 从分层防护向综合防控、集中安全防护 的思想转变,一、教育系统如何落实等级保护2.0,安全区域划分与隔离-教育政务网络, ,互联网接入区、业务网络区 (DMZ区、应用服务器区、 数据库区)、安全管理区、 终端接入区、无线接入区 电子
7、政务外网 电子政务内网,安全区域划分与隔离-校园网络, ,互联网接入区、校园数据中 心区(DMZ区、应用服务器 区、数据库区)、安全管理 区、终端接入区、无线接入 区 一卡通专网 财务系统网络,(四)等级保护2.0-技术防护能力提升,做好网络划分及区域边界防护措施,为“三重防护”打下基础,一、教育系统如何落实等级保护2.0,安全风险可识别(入侵防范、 恶意代码防范) 安全风险可控制 (身份认证、 访问控制、边界防护、数据加 密) 安全风险可记录 (安全审计) 安全风险可分析 (集中管理中 心),下一代防火墙 态势感知系统,APT防范 网络行为审计分析,可信免疫,安全事件关联分析(AI、大数据技
8、术) 密码技术身份认证、签名、数据加密 灾备技术 个人信息保护,等保2.0-技术防护目标,等保2.0-安全防护产品,一、教育系统如何落实等级保护2.0,(五)等级保护2.0-安全管理机制完善 什么是安全管理体系的建立 提供一套管理模板?制度、表单、文档? 结合教育行业、本单位特色,形成一套制度体系? 结合本单位实际应用,改善制度体系,使其更落地? 教育行政单位及高校信息化部门:人员不足、安全力量不足,一套刻板 的安全管理制度可能无法实际施行,一、教育系统如何落实等级保护2.0,有办法,有清单,有制度,有执行,有检查,学校/单位网络安 全管理办法,系统名录 信息资产清单,人员管理 系统建设管理
9、运维管理制度,培训记录 运维记录 变更审批 漏洞通报 应急演练 安全事件记录,技术检查 管理检查 考核,(五)等级保护2.0-安全管理机制完善,一、教育系统如何落实等级保护2.0,学校/单位 网络安全管理办法,明确网络安全领导小组、工作组、安全管理部 门、安全技术支撑部门、其他二级单位/部门的安 全职责。 提出在网络、信息系统建设、运行、应急处置 等方面的总体要求,为“安全管理制度汇编”中 的详细规定给出上位法的依据。 明确监督、考核相关要求。,通过“办法”,统一思想认识、明确工作要求、落实安全责任。,(五)等级保护2.0-安全管理机制完善 实践建议1:有办法,一、教育系统如何落实等级保护2.
10、0,信息系统名录 信息资产清单,建立系统名录(上线前更新、每年定期更新) 并上报“信息安全工作管理平台”; 建立信息资产清单(通过上线前填报、定期更 新、自动化资产发现,明确系统/主机/开放端口服 务等。 为系统梳理、资产梳理、避免双非网站等提供依 据。,摸清底数,才能有的放矢。,(五)等级保护2.0-安全管理机制完善 实践建议2:有清单,一、教育系统如何落实等级保护2.0,人员管理制度 系统建设管理制度 漏洞通报制度 安全事件处置管理制度 网络和系统运维制度 等等,通过制度,体现-组织机构及职责、人员岗位 设置、系统上线安全、系统域名和服务规范、系 统名录清单建立、等级保护工作开展、系统运维
11、 过程安全要求; 明确漏洞通报、安全事件处置等要求,有了达成共识的制度,才能真正落实和执行,(五)等级保护2.0-安全管理机制完善 实践建议3:有制度,一、教育系统如何落实等级保护2.0,安全运维记录 授权审批记录 变更记录工单 漏洞通报和处置记录 安全事件处置记录 。,日常制度执行,在人员不足时,可借助系统和 设备,提高效率。 如系统上线备案系统;工单系统;漏洞扫描监测 系统;运维管理系统自动报表生成;漏洞通报和 处置平台;补丁统一管理平台等 每年定期开展专项制度执行 如应急演练、安全培训等,结合实际、尽量执行;分阶段、分重点执行制度,(五)等级保护2.0-安全管理机制完善 实践建议4:有执
12、行,一、教育系统如何落实等级保护2.0,安全自查结果记录 安全检查报告,单位自查(资产名录、运维巡检、漏洞修复情 况、管理制度落实情况) 配合公安机关、网信部门、上级教育行政部门 开展网络安全检查,(五)等级保护2.0-安全管理机制完善 实践建议5:有检查,二、 网络安全重点工作,教育部网络安全和信息化领导小组 领导小组办公室 科技司,办 政 规 人 财 基 教 职 高 督 民 教 思 公 法 划 事 务 教 材 成 教 导 族 师 政 厅 司 司 司 司 司 局 司 司 局 司 司 司,研 究 生 司,电 教 馆,信,息 中 心,二、 网络安全重点工作,教育部,部内 司局,直属 单位,省级教
13、育 行政部门,其他部门,内部 处室,直属 单位,地市级教育 行政部门,部属 高校,省属 学校,内部 处室,直属 单位,区县级教育 行政部门,市属 学校,内部 科室,直属 单位,所属 学校,所属 高校,省级统筹 省级监管,行业统筹,行业监管,二、 网络安全重点工作,1.落实网络安全责任制,网络安 全责任 制,主体 责任,系统 责任,领导 责任,建立党委(党组)领导下的网络安全责 任制,切实加强党对网信工作的领导。 建立网络安全工作考核机制,将网络安 全工作纳入领导干部考核,发生重大安 全事件一票否决;将网络安全工作纳入 巡视、督导、审计工作。 建立网络安全问责机制,确立了六条问 责条款。,二、
14、网络安全重点工作,2.教育系统网络安全标准规范研究与编制 教育部机关及直属单位数据安全管理办法 教育系统数据安全指导意见 教育系统关键信息基础设施识别认定指南 教育系统网络安全通报机制管理办法,二、 网络安全重点工作,3.网络安全等级保护 国家指导性文件: 关于信息安全等级保护工作的实施意见 信息安全等级保护管理办法 网络安全等级保护2.0相关标准规范 行业指导性文件: 教育部 公安部 关于全面推进教育行业信息安全等级保护工作的通知 教育部办公厅关于印发教育行业信息系统安全等级保护定级工作指南(试行),二、 网络安全重点工作,4.监测通报,网络安全态势感知平台,安全工作 管理平台,资产库,通报
15、预 警,数据分 析平台,情报中 心,二、 网络安全重点工作 5.监督检查,综治考核 综治考核中教育占4%; 教育中网络安全占10%。 每年对省厅考核一次。,4 3,2,1,现场检查 配合公安机关开展网络安全执 法检查;配合中央网信办开展 关键信息基础设施检查。,监督问责 按照党委党组网络安全责任 制的相关要求,对符合相关 条件的予以问责。,通报情况 重要时期总结,通报网络安 全情况。通报好的也通报坏 的。,1,2,3,4,二、 网络安全重点工作,6.开展教育APP专项监测工作 工作方法:组织开展校园APP专项调研,采取抽样调查问卷和网络爬虫相结 合的方式对各级各类学校和教育行政部门的APP进行调研。 现有工作成果:教育行政部门和学校主管的教育APP共298个。监测共发现 安全威胁3091个。已将相关安全威胁通报至相关单位,并要求涉事单位进行 限期整改。目前,相关安全威胁修复率已达60%以上。,二、 网络安全重点工作,7.其他任务,五、 网络安全工作建议,五、 网络安全工作建议,1. 加强学习,提升网信工作能力 一是学习习近平总书记网络强国战略思想和关于网信工作的一些列重要论述, 这是做好网信工作的首要政治任务和根本的保障措施。 二是学习网信的理论知识和技术成果,与教育战线需求相结合。 三是学习兄弟单位乃至其他国家的先进经验和成功做法。 四是学习以
