教育信息化安全建设.pptx
《教育信息化安全建设.pptx》由会员分享,可在线阅读,更多相关《教育信息化安全建设.pptx(57页珍藏版)》请在冰点文库上搜索。
担当责任、保障安全,护航教育信息化建设,教育信息化安全建设,新时代:
教育信息化进入2.0时代,教育信息化2.0十九大;以教育信息化全面推动教育现代化,开启智能时代教育的新征程。
教育信息化2.0行动计划目标任务:
三全两高一大。
提出了到2022年基本实现“三全两高一大”的发展目标,即:
教学应用覆盖全体教师、学习应用覆盖全体适龄学生、数字校园建设覆盖全体学校,提高信息化应用水平、提高师生信息素养,建设一个“互联网+教育”大平台。
核心要义:
三个转变。
教育专用资源VS教育大资源;信息技术应用能力VS信息素养;融合应用VS创新发展。
内涵本质:
三个新模式。
构建信息化条件下的人才培养新模式;发展基于互联网的教育服务新模式;探索信息时代教育治理新模式。
八大行动:
教育信息化2.0行动计划,作为教育信息化2.0的先导性工程,将重点开展数字资源服务普及行动、网络学习空间覆盖行动、网络扶智工程攻坚行动、教育治理能力优化行动、百区千校万课引领行动、数字校园规范建设行动、智慧教育创新发展行动、信息素养全面提升行动等八大行动。
CONTENTS目录,、网络安全威胁与形势,网络安全形势严峻,、网络安全威胁与形势,系统数量多教育系统网站超过20万个;的系统网站11万个;涉及超过100万人数据的系统超过500个。
掌握数据多政务数据资源数量达10624条;教师数据超过4000万;累计学生数据超过5亿。
涉及人员多教育机构60万个;专职教师1800万人;各级各类学生3.5亿。
三个三分之一:
三分之一的人口,三分之一的系统,三分之一的安全事件,教育系统基本情况,主要安全事件,数据数据网站页面泄露篡改瘫痪篡改,、网络安全威胁与形势,某省中小学籍信息泄露1000万个人信息,大量高度敏感信息的泄露。
系统的管理不规范?
敏感信息的保护制度不健全?
、网络安全威胁与形势,、网络安全威胁与形势,、网络安全威胁与形势,教育类APP应用泛滥、平台垄断、强制使用有害信息传播、广告传播超纲教学,、网络安全威胁与形势,FG黑客“教育月”,、网络安全威胁与形势,2017年7月22日,宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位,导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件。
宜宾网安部门在对事件进行调查时发现,该网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务。
根据网络安全法第五十九条第一款之规定,决定给予翠屏区教师培训与教育研究中心法定代表唐某某行政处罚决定,对翠屏区教师培训与教育研究中心处一万元罚款,对法人代表唐某某处五千元罚款。
、网络安全威胁与形势教育系统违反网络安全法第一案,2017年9月28日,淮南职业技术学院系统存在高危漏洞,系统存储的4000余名学生身份信息已经造成泄露。
经过现场勘验和调查,确认淮南职业技术学院招生信息管理系统存在越权漏洞,后台登录密码弱口令,学院未落实网络安全管理制度,未建立网络安全防护技术措施、网络日志留存少于六个月,未采取数据分类、重要数据备份和加密措施,致使系统存储的4353名学生的身份信息泄露。
淮南市公安局网安支队确认该学校因未落实网络安全等级保护制度造成数据泄露,依法对淮南职业技术学院处以立即整改和行政警告的处罚措施。
、网络安全威胁与形势高等学校违反网络安全法第一案,二、网络安全法治时代,网络安全法,网络安全等级保护制度,网络安全等级保护条例,等保2.0系列标准,关键信息基础设施保护条例,用户信息保护制度,个人信息保护法,个人信息保护标准,网络安全监测预警和信息通报制度,网络安全信息通报机制管理办法,网络安全监测预警信息管理办法,网络安全监测预警分级标准,二、网络安全法治时代,刑法修正案(九)、最高人民法院.最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释:
致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
【三年以下有期徒刑】非法获取.出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一【侵犯公民个人信息罪】规定的“情节严重”。
【踪轨迹信息.通信内容.征信信息.财产信息五十条以上】,信息安全等级保护管理办法,公安部等四部委关于信息安全等级保护工作的实施意见,等级保护2.0标准正式发布:
基本要求GB/T22239-2019”测评要求安全设计要求,网络安全法国家实行网络安全等级保护制度,1994.02,2017.06,(公通字200743号),2019.5.13,(公通字200466号)国务院147号令:
“计算机信息系统全,面实行信息安全等级保护”,等保1.0标准发布“基本要求-GB/T22239-2008”,2008,后续:
等级保护条例关基保护条例,二、网络安全法治时代,教育行业信息系统安全等级保护定级工作指南(试行),教育系统网络安全事件应急预案,教办厅函200980号,教技厅函201474号,教办厅函201183号,2019,教育部办公厅关于开展信息系统安全等级保护工作的通知,教育部公安部全面推进教育行业信息安全等级保护工作的通知,教技20152号,后续:
教育关基认定数据安全管理办法,教育部办公厅关于进一步加强网络信息系统安全保障工作的通知,教技20188号,党委党组网络安全责任制,二、网络安全法治时代,1.0:
信息系统安全等级保护,2.0:
网络安全等级保护,与网络安全法保持一致覆盖全行业、全社会覆盖全对象:
基础网络、信息系统、云计算、物联网、工控、移动互联,移动APP需要测评吗?
托管在云平台,是否还要测评?
民营互联网公司,需要开展等级保护吗,二、网络安全法治时代,二、网络安全法治时代,1.基础网络安全等级保护条例(征求意见稿)2.定级备案网络安全等级保护定级指南GA/T1389-2017-(公安行标,待形成国标稿)3.建设整改网络安全等级保护基本要求(GB/T22239-2019)2019年12月1日正式实施,GB/T25070-2019,网络安全等级保护安全设计技术要求4.等级测评网络安全等级保护测评要求网络安全等级保护测评过程指南,GB/T28448-2019GB/T28449-2018,三重防护,一个中心、三重防护安全通信网络,安全区域边界,安全计算环境,一个中心,安全管理中心,、,、,二、网络安全法治时代,通用要求+安全扩展要求,安全通用要求,安全物理环境,安全通信网络,安全区域边界,安全计算环境,安全管理中心,安全管理制度,安全管理机构,安全管理人员,安全建设管理,安全运维管理,安全扩展要求,云计算安全,移动互联安全,物联网安全工业控制系统安全,大数据安全*,二、网络安全法治时代,可信计算3.0-主动免疫三级要求:
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,可信管理中心,可信网络传输,可信边界连接策略,可信计算环境,可信芯片TPM,操作系统可信软件基,应用系统,可信支撑接口,二、网络安全法治时代,三、教育系统如何落实等级保护2.0,Why?
为什么要开展等级保护2.0:
满足合规要求(法律法规、公安机关、网信部门、审计部门、教育主管行政部门);我国网络安全防护的基本制度:
以等级保护为基础,关键信息基础设施安全、移动APP安全、数据安全、个人信息保护等为各行业、各地区、各单位开展网络安全工作提出了基本要求和指引;结合行业和各单位特色,应在等级保护基础之上,开展更有针对性的防护。
三、教育系统如何落实等级保护2.0,Who?
都有哪些单位要开展等级保护2.0:
各网络运营者:
结合等级保护要求开展定级备案、整改和测评行业主管单位(如教育部科技司):
开展定级审核、组织开展行业安全检查和监督考核测评机构(如教育等保测评中心):
开展等级测评,提供定级、备案、安全设计咨询公安机关:
开展公安执法检查、对等级保护过程管理,三、教育系统如何落实等级保护2.0,How?
如何落实等级保护2.0:
梳理等保2.0下的定级对象开展等保2.0下的等保建设与测评管理体系与安全技术防护体系的进一步完善结合等级保护2.0管理和技术要求,形成本单位网络安全风险防控的方法论,三、教育系统如何落实等级保护2.0,
(一)梳理系统定级以高校校园系统为例,可包括如下定级对象:
1.2.3.,4.,5.6.7.,校园基础网络(涵盖校园有线网、无线网络;可单独定级)校园网站群平台(统一平台生成多个子网站,可合并定级)校园私有云平台(可对私有云平台的虚拟网络、主机、存储及管理平台统一定级)校园大数据平台(整合校园各类应用数据、流量数据、日志数据形成的大数据分析平台)基于物联网的校园安防体系校园移动应用(涵盖其应用后台及APP形态)其他校园信息系统,三、教育系统如何落实等级保护2.0,
(二)云平台安全要求及测评要点以校园私有云为例,资源虚拟化物理硬件-计算、存储、网络物理基础设施,云管理平台,应用A虚拟机安全组件虚拟网络,应用B虚拟机安全组件虚拟网络,校园私有云,测评对象需覆盖:
所管理的硬件设施、虚拟资源及其提供应用,租户管理服务组件,三、教育系统如何落实等级保护2.0,校园网络,校园无线网络,(三)校园移动互联平台安全要求及测评要点-以智慧校园平台及其APP为例手机终端-移动APP,无线认证网关,移动身份认证网关,智慧校园平台,三、教育系统如何落实等级保护2.0,物理安全网络安全主机安全应用安全数据安全,安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心,原网络结构、网络通信安全,原网络层面访问控制、边界防护、入侵防范等,涵盖网络设备、安全设备、主机、应用、数据库、终端、运维工具等各类计算节点,原各层面的监控、审计以及安全管理中的集中管控要求,统一合并,体现综合防控思想,(四)等级保护2.0-技术防护能力提升从分层防护向综合防控、集中安全防护的思想转变,三、教育系统如何落实等级保护2.0,安全区域划分与隔离-教育政务网络,互联网接入区、业务网络区(DMZ区、应用服务器区、数据库区)、安全管理区、终端接入区、无线接入区电子政务外网电子政务内网,安全区域划分与隔离-校园网络,互联网接入区、校园数据中心区(DMZ区、应用服务器区、数据库区)、安全管理区、终端接入区、无线接入区一卡通专网财务系统网络,(四)等级保护2.0-技术防护能力提升,做好网络划分及区域边界防护措施,为“三重防护”打下基础,三、教育系统如何落实等级保护2.0,安全风险可识别(入侵防范、恶意代码防范)安全风险可控制(身份认证、访问控制、边界防护、数据加密)安全风险可记录(安全审计)安全风险可分析(集中管理中心),下一代防火墙态势感知系统,APT防范网络行为审计分析,可信免疫,安全事件关联分析(AI、大数据技术)密码技术身份认证、签名、数据加密灾备技术个人信息保护,等保2.0-技术防护目标,等保2.0-安全防护产品,三、教育系统如何落实等级保护2.0,(五)等级保护2.0-安全管理机制完善什么是安全管理体系的建立提供一套管理模板?
制度、表单、文档?
结合教育行业、本单位特色,形成一套制度体系?
结合本单位实际应用,改善制度体系,使其更落地?
教育行政单位及高校信息化部门:
人员不足、安全力量不足,一套刻板的安全管理制度可能无法实际施行,三、教育系统如何落实等级保护2.0,有办法,有清单,有制度,有执行,有检查,学校/单位网络安全管理办法,系统名录信息资产清单,人员管理系统建设管理运维管理制度,培训记录运维记录变更审批漏洞通报应急演练安全事件记录,技术检查管理检查考核,(五)等级保护2.0-安全管理机制完善,三、教育系统如何落实等级保护2.0,学校/单位网络安全管理办法,明确网络安全领导小组、工作组、安全管理部门、安全技术支撑部门、其他二级单位/部门的安全职责。
提出在网络、信息系统建设、运行、应急处置等方面的总体要求,为“安全管理制度汇编”中的详细规定给出上位法的依据。
明确监督、考核相关要求。
通过“办法”,统一思想认识、明确工作要求、落实安全责任。
(五)等级保护2.0-安全管理机制完善实践建议1:
有办法,三、教育系统如何落实等级保护2.0,信息系统名录信息资产清单,建立系统名录(上线前更新、每年定期更新)并上报“信息安全工作管理平台”;建立信息资产清单(通过上线前填报、定期更新、自动化资产发现,明确系统/主机/开放端口服务等。
为系统梳理、资产梳理、避免双非网站等提供依据。
摸清底数,才能有的放矢。
(五)等级保护2.0-安全管理机制完善实践建议2:
有清单,三、教育系统如何落实等级保护2.0,人员管理制度系统建设管理制度漏洞通报制度安全事件处置管理制度网络和系统运维制度等等,通过制度,体现-组织机构及职责、人员岗位设置、系统上线安全、系统域名和服务规范、系统名录清单建立、等级保护工作开展、系统运维过程安全要求;明确漏洞通报、安全事件处置等要求,有了达成共识的制度,才能真正落实和执行,(五)等级保护2.0-安全管理机制完善实践建议3:
有制度,三、教育系统如何落实等级保护2.0,安全运维记录授权审批记录变更记录工单漏洞通报和处置记录安全事件处置记录。
日常制度执行,在人员不足时,可借助系统和设备,提高效率。
如系统上线备案系统;工单系统;漏洞扫描监测系统;运维管理系统自动报表生成;漏洞通报和处置平台;补丁统一管理平台等每年定期开展专项制度执行如应急演练、安全培训等,结合实际、尽量执行;分阶段、分重点执行制度,(五)等级保护2.0-安全管理机制完善实践建议4:
有执行,三、教育系统如何落实等级保护2.0,安全自查结果记录安全检查报告,单位自查(资产名录、运维巡检、漏洞修复情况、管理制度落实情况)配合公安机关、网信部门、上级教育行政部门开展网络安全检查,(五)等级保护2.0-安全管理机制完善实践建议5:
有检查,四、网络安全重点工作,教育部网络安全和信息化领导小组领导小组办公室科技司,办政规人财基教职高督民教思公法划事务教材成教导族师政厅司司司司司局司司局司司司,研究生司,电教馆,信,息中心,四、网络安全重点工作,教育部,部内司局,直属单位,省级教育行政部门,其他部门,内部处室,直属单位,地市级教育行政部门,部属高校,省属学校,内部处室,直属单位,区县级教育行政部门,市属学校,内部科室,直属单位,所属学校,所属高校,省级统筹省级监管,行业统筹,行业监管,四、网络安全重点工作,1.落实网络安全责任制,网络安全责任制,主体责任,系统责任,领导责任,建立党委(党组)领导下的网络安全责任制,切实加强党对网信工作的领导。
建立网络安全工作考核机制,将网络安全工作纳入领导干部考核,发生重大安全事件一票否决;将网络安全工作纳入巡视、督导、审计工作。
建立网络安全问责机制,确立了六条问责条款。
四、网络安全重点工作,2.教育系统网络安全标准规范研究与编制教育部机关及直属单位数据安全管理办法教育系统数据安全指导意见教育系统关键信息基础设施识别认定指南教育系统网络安全通报机制管理办法,四、网络安全重点工作,3.网络安全等级保护国家指导性文件:
关于信息安全等级保护工作的实施意见信息安全等级保护管理办法网络安全等级保护2.0相关标准规范行业指导性文件:
教育部公安部关于全面推进教育行业信息安全等级保护工作的通知教育部办公厅关于印发教育行业信息系统安全等级保护定级工作指南(试行),四、网络安全重点工作,4.监测通报,网络安全态势感知平台,安全工作管理平台,资产库,通报预警,数据分析平台,情报中心,四、网络安全重点工作5.监督检查,综治考核综治考核中教育占4%;教育中网络安全占10%。
每年对省厅考核一次。
43,2,1,现场检查配合公安机关开展网络安全执法检查;配合中央网信办开展关键信息基础设施检查。
监督问责按照党委党组网络安全责任制的相关要求,对符合相关条件的予以问责。
通报情况重要时期总结,通报网络安全情况。
通报好的也通报坏的。
1,2,3,4,四、网络安全重点工作,6.开展教育APP专项监测工作工作方法:
组织开展校园APP专项调研,采取抽样调查问卷和网络爬虫相结合的方式对各级各类学校和教育行政部门的APP进行调研。
现有工作成果:
教育行政部门和学校主管的教育APP共298个。
监测共发现安全威胁3091个。
已将相关安全威胁通报至相关单位,并要求涉事单位进行限期整改。
目前,相关安全威胁修复率已达60%以上。
四、网络安全重点工作,7.其他任务,五、网络安全工作建议,五、网络安全工作建议,1.加强学习,提升网信工作能力一是学习习近平总书记网络强国战略思想和关于网信工作的一些列重要论述,这是做好网信工作的首要政治任务和根本的保障措施。
二是学习网信的理论知识和技术成果,与教育战线需求相结合。
三是学习兄弟单位乃至其他国家的先进经验和成功做法。
四是学习以往的工作经验和教训,自己向自己学习,这要成为网信工作的基本“算法”。
五、网络安全工作建议,2.加强网络安全责任制落实成立网络安全和信息化领导小组,领导班子主要负责人为领导小组组长,下设网信办。
党委(党组)要定期研究部署网络安全工作,分管负责同志至少每季度召开一次会议听取网络安全工作汇报。
每年要制定网信领导小组年度工作要点或网络安全年度工作要点。
五、网络安全工作建议,3.落实网络安全等级保护制度全面完成信息系统网络安全等级保护定级备案。
定期开展网络安全等级测评(三级系统每年一次,二级系统每两年一次)和安全整改。
落实等级保护2.0要求。
五、网络安全工作建议,4.加强网络安全教育培训对于单位在职全体人员,要开展全面网络安全意识培训,提高网络安全意识,培训时间要满足相关要求。
对于单位信息化管理人员和技术人员,要开展网络安全素养培训,培训时间要满足相关要求。
对于系统运维和安全技术人员,要组织参加专业技术培训,获得相关资质证书,全面提升网络安全防范技能和水平。
五、网络安全工作建议,5.提升数据安全防护能力制定本单位数据安全管理办法,保护学生家长个人隐私。
按照主管部门要求做好校园APP审核、使用、管理,五、网络安全工作建议,6.开展安全监测和应急演练日常安全威胁监测,通过配备工具或购买服务的方式进行,对系统运行安全状态进行实时监测,第一时间发现问题。
根据国家和教育系统网络安全应急预案制定本单位专项应急预案和配套管理制度。
每年至少开展一次桌面推演,有条件的单位开展实战攻防演练。
五、网络安全工作建议,7.落实重要时期安全保障,提高安全意识,加强统筹部署安全工作是一项政治性很强的工作,关键时间节点就要有不同的措施,确保“万无一失”。
优化网站访问策略持续访问、工作时间访问、限制访问、关停。
“零报告”和724小时值守做好监测预警和应急管理发现问题马上改,出了事情马上报。
新服务:
教育等保测评中心,网络安全检测服务等保测评、商用密码应用安全性测评、通用软件安全检测、APP安全检测、源代码安全审计。
数据异地灾备服务教育异地灾备中心对教育用户提供准实时的数据异地灾备服务。
网络安全培训服务“教育网络安全保障专业人员证书(ECSP)”网络安全工作管理和网络安全技术保障岗位能力培训与认证。
网络安全护航为实现教育信息化2.0、互联网+、智能教育,而不懈努力,