教育信息系统安全风险概述.ppt

《教育信息系统安全风险概述.ppt》由会员分享，可在线阅读，更多相关《教育信息系统安全风险概述.ppt（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、一、教育信息系统安全风险概述一、教育信息系统安全风险概述二、国家信息安全等级保护的相关政策二、国家信息安全等级保护的相关政策三、教育系统等级保护工作要求及开展情况三、教育系统等级保护工作要求及开展情况提纲提纲一、教育信息系统安全风险概述一、教育信息系统安全风险概述典型应用门户网站门户网站u教育行政部门网站教育行政部门网站u学校网站学校网站u政务校务办公政务校务办公u教育电子公文与信息交教育电子公文与信息交换系统换系统u视频会议系统视频会议系统u电子邮件、一卡通等基电子邮件、一卡通等基础应用础应用u内部行政办公系统内部行政办公系统u人事、财务、资产等管人事、财务、资产等管理系统理系统u学籍、教务

2、、科研等管学籍、教务、科研等管理系统理系统u公共服务公共服务u各类信息发布各类信息发布u政务公开、校务公开政务公开、校务公开u网上考试报名、成绩查网上考试报名、成绩查询、招生系统询、招生系统u学历学位认证系统学历学位认证系统u就业公共服务平台就业公共服务平台u学生资助服务平台学生资助服务平台u1.教育系统应用建设现状一、教育信息系统安全风险概述一、教育信息系统安全风险概述2.教育信息系统风险分析v有意破坏风险，非法人员利用网络、系统、应用等的脆弱性对系统进行攻击，从而影响信息的保密性、完整性、可用性；v管理风险，内部人员的违规违法操作,口令和密钥管理不当、制度遗漏、岗位、职责设置不全面等因素引

3、起的风险；v无意错误风险，是指由于人为或系统错误而影响信息的完整性、机密性和可用性。v物理风险，比如自然灾害，电力供应突然中断，静电、强磁场破坏硬件设备以及设备老化等引起的风险；一、教育信息系统安全风险概述一、教育信息系统安全风险概述3.教育信息系统所面临的恶意攻击一、教育信息系统安全风险概述一、教育信息系统安全风险概述2010年上半年教育网网站挂马数量和月度挂马率统计数据来源：北京大学网络与信息安全实验室4.教育信息系统安全事件4.教育信息系统安全事件一、教育信息系统安全风险概述一、教育信息系统安全风险概述一、教育信息系统安全风险概述一、教育信息系统安全风险概述国内某高校网站遭受篡改4.教育

4、信息系统安全事件一、教育信息系统安全风险概述一、教育信息系统安全风险概述123非法修改招生录取数据，制作销售假录非法修改招生录取数据，制作销售假录取通知书，骗取家长手续费！取通知书，骗取家长手续费！非法修改学历学位数据，制作销售假学非法修改学历学位数据，制作销售假学历学位证书，骗取学生证书费！历学位证书，骗取学生证书费！非法修改各类考试成绩，骗取学生相关非法修改各类考试成绩，骗取学生相关费用！费用！4.教育信息系统安全事件一、教育信息系统安全风险概述一、教育信息系统安全风险概述5.教育信息系统安全建设目标v保护信息资产（信息基础设施、应用服务信息内容等）不受侵犯v保证信息资产的所有者面临最小的

5、安全风险和获取最大的安全利益 符合国家对信息安全保障体系建设的要求信息安全等级保护制度一、教育信息系统安全风险概述一、教育信息系统安全风险概述二、国家信息安全等级保护的相关政策二、国家信息安全等级保护的相关政策三、教育系统等级保护工作要求及开展情况三、教育系统等级保护工作要求及开展情况提纲提纲二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读1.等级保护的基本含义2.等级保护政策要求3.等级保护标准体系4.等级保护工作的主要内容二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读1.等级保护的基本含义v信息安全等级保护是信息系统分等级实行安全保分等级实行安全保护护，对

6、信息系统中使用的信息安全产品实行按等实行按等级管理，级管理，对信息系统中发生的信息安全事件分等分等级响应、处置。级响应、处置。v信息安全等级保护制度是国家信息安全保障的基基本制度、基本策略、基本方法。本制度、基本策略、基本方法。二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读 2.等级保护政策要求v中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）计算机信息系统实行安全等级保护安全等级保护具体办法由公安部会同有关部门制定v关于信息安全等级保护工作的实施意见（公通字200466号）明确等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法基本制度、基本策

7、略、基本方法明确了等级保护工作的责任分工定义了安全保护等级共分五级五级v信息安全等级保护管理办法（公通字200743号）明确了自主定级、自主保护自主定级、自主保护的原则形成等级保护的基本理论框架，制定了方法、规范和过程方法、规范和过程二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读等级保护政策体系二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读v关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号）将等级保护费用纳入项目总投资，同步落实等级保护项目验收时必须“一证两

8、报告一证两报告”（备案证明、等级测评报告、风险评估报告）二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读等级保护标准体系二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读4.等级保护工作的主要内容1)系统定级2)系统备案3)建设整改4)等级测评5)监督检查二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读第五级第五级第五级第五级第四级第四级第四级第四级第三级第三级第三级第三级第二级第二级第二级第二级第一级第一级第一级第一级信息系统受到破坏后，会对信息系统受到破坏后，会对公民、法人和其他公民、法人和其他公民、法人和其他公民、法人和其他组织组织组织组织的

9、合法权益造成的合法权益造成损害损害损害损害，但不损害国家安全、，但不损害国家安全、社会秩序和公共利益。社会秩序和公共利益。信息系统受到破坏后，会对信息系统受到破坏后，会对公民、法人和其他公民、法人和其他公民、法人和其他公民、法人和其他组织组织组织组织的合法权益产生的合法权益产生严重损害严重损害严重损害严重损害，或者对，或者对社会秩社会秩社会秩社会秩序和公共利益序和公共利益序和公共利益序和公共利益造成造成损害损害损害损害，但不损害国家安全。，但不损害国家安全。信息系统受到破坏后，会对信息系统受到破坏后，会对社会秩序和公共利社会秩序和公共利社会秩序和公共利社会秩序和公共利益益益益造成造成严重损害严

10、重损害严重损害严重损害，或者对，或者对国家安全国家安全国家安全国家安全造成造成损害损害损害损害。信息系统受到破坏后，会对信息系统受到破坏后，会对社会秩序和公共利社会秩序和公共利社会秩序和公共利社会秩序和公共利益益益益造成特别造成特别严重损害严重损害严重损害严重损害，或者对，或者对国家安全国家安全国家安全国家安全造成造成严严严严重损害重损害重损害重损害。信息系统受到破坏后，会对国家安全国家安全造成特别特别严重损害严重损害。自主保护级自主保护级指导保护级指导保护级监督监督保护级保护级强制强制保护级保护级专控专控保护级保护级4.等级保护工作的主要内容 1)系统定级系统定级:等级划分业务信息安全被破坏

11、业务信息安全被破坏时所侵害的客体时所侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损严重损害害特别严特别严重损重损害害公民、法人和其他组公民、法人和其他组织的合法权益织的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级业务信息安全保护等级矩阵表系统服务安全被破坏时所侵害的系统服务安全被破坏时所侵害的客体客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权公民、法人和其他组织的合

12、法权益益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级系统服务安全保护等级矩阵表二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读v自主定级谁主管，谁负责谁运营，谁负责v专家评审v主管部门审批v公安机关审核4.等级保护工作的主要内容 1 1）系统定级）系统定级：定级原则二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读v第一级信息系统小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。v第二级信息系统县级某些单位中的重要信息系统。地市

13、级以上国家机关、企事业单位内部一般的信息系统，例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。4.等级保护工作的主要内容 1 1）系统定级）系统定级：参考意见二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读v第三级信息系统地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统。中央各部委、省（区、市）门户网站和重要网站。跨省联接的网络系统等。4.等级保护工作的主要内容 1 1）系统定级）系统定级：参

14、考意见二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读v第四级信息系统国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信骨干传输网、铁路客票系统、列车指挥调度系统等。4.等级保护工作的主要内容 1 1）系统定级）系统定级：参考意见二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读定级报告范例定级报告范例4.等级保护工作的主要内容 1 1）系统定级）系统定级：起草定级报告二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读4.等级保护工作的主要内容2 2）系统备案）系统备案第二级以上

15、信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门市级以上公安机关网络安全保卫部门办理备案手续，备案时需提交信息系统安全等级保护定信息系统安全等级保护定级报告级报告和信息系统安全等级保护备案表信息系统安全等级保护备案表第一级系统无需到公安机关备案二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读4.等级保护工作的主要内容2 2）系统备案）系统备案信息系统备案表信息系统备案表二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读4.等级保护工作的主要内容3 3）建设整改）建设整改二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读4

16、.等级保护工作的主要内容4 4）等级测评）等级测评等级测评等级测评：测评机构按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动测评目的测评目的：衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相应等级的安全保护能力。测评频率测评频率第三级系统一年一年1次次第四级系统半年半年1次次第二级系统参照二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读4.等级保护工作的主要内容5 5）监督检查）监督检查信息安全等级保护管理办法（公通字200743号）第十八条规定第十八条规定:公安机关负责信息安全等级保护工作的监督、检查、指导工作自行开展监督

17、检查会同主管部门开展监督检查 检查内容等级保护工作部署和组织实施情况信息系统安全等级保护定级备案情况信息系统安全建设整改、等级测评情况信息安全管理制度建立和落实情况信息安全产品选择和使用情况备案单位定期自查情况一、教育信息系统安全风险概述一、教育信息系统安全风险概述二、国家信息安全等级保护的相关政策二、国家信息安全等级保护的相关政策三、教育系统等级保护工作要求及开展情况三、教育系统等级保护工作要求及开展情况提纲提纲三、教育系统等级保护工作要求及开展情况三、教育系统等级保护工作要求及开展情况教育部高度重视信息安全等级保护工作教育部高度重视信息安全等级保护工作v2009年，经教育部办公厅、科技司、

18、教育管理信息中心会签后下发了教育部办公厅关于开展信息安全等级保护工作的通知（教办厅函200980号），责成教育部教育管理信息中心负责教育系统信息安全等级保护工作的组织实责成教育部教育管理信息中心负责教育系统信息安全等级保护工作的组织实施，并配合公安部门在教育系统内开展监督检查工作。施，并配合公安部门在教育系统内开展监督检查工作。v2010年，为承担教育系统标准制定、安全评估和等级测评工作，教育管理信息中心专门成立了信息安全测评部信息安全测评部，负责技术服务工作。v2011年，教育部部将“做好教育系统网络信息安全保障工作做好教育系统网络信息安全保障工作”列为年度工作重点之一。v20112011年

19、年5 5月月，信息安全测评部信息安全测评部通过公安部等级保护评估中心现场能力核查，达到测评机构能力要求，正在办理教育行业等级测评机构资质授权相关手续。专项检查专项检查v2010年11月，为配合公安部专项检查工作，印发了教育部办公厅关于开展教育系统信息安全等级保护工作专项检查的通知（教办厅函201080号）。检查内容：各单位信息系统安全等级保护工作部署和组织实施情况、定级备案、等级测评和安全建设整改情况。检查方式：采取自查自查、抽查抽查相结合的形式；各省级教育行政部门负责组织辖区内的自查和抽查三、教育系统等级保护工作要求及开展情况三、教育系统等级保护工作要求及开展情况近期目标近期目标v用3年左右

20、时间（至2012年），基本建立教育系统信息系统安全等级保护体系。v到2012年，完成地市级以上教育行政部门和学校的培训工作，每单位至少培训1名信息系统安全主管和1名技术骨干。v20102010年上半年年上半年完成地市级教育行政部门和学校的定级备案工作v2011年内完成各省级教育行政部门和直属高校的建设整改与等级测评工作，2012年内完成地市级以上教育行政部门和学校的建设整改与等级测评工作。v我区教育系统信息安全等级保护我区教育系统信息安全等级保护v首先完成各单位信息系统的定级备案工作，定为三级保护的信息系统要求使用单位在2011年10月20日前完成定级、评审和备案工作，其余信息系统在2011年

21、12月31日前完成。v其次完成三级保护信息系统的等级测评工作，定为三级保护的信息系统要求使用单位在2013年12月31日前完成等级测评工作，其余信息系统在2014年7月1日前完成。v最后是依据测评结果完成信息系统的整改工作，未通过等级测评的三级保护信息系统要求使用单位对照测评结果，拿出切实可行的整改方案，在2014年7月1日前完成系统的整改工作，其余信息系统在2014年12月31日前完成整改工作。网站安全监测网站安全监测v请教育部和公安厅监测高校门户网站vSql注入v跨站脚本v目录列表v尤其是各学院子站问题较多。一、教育信息系统安全风险概述一、教育信息系统安全风险概述二、国家信息安全等级保护的相关政策二、国家信息安全等级保护的相关政策三、教育系统等级保护工作要求及开展情况三、教育系统等级保护工作要求及开展情况回顾回顾谢谢！谢谢！