515-教育信息系统安全风险概述.ppt
《515-教育信息系统安全风险概述.ppt》由会员分享,可在线阅读,更多相关《515-教育信息系统安全风险概述.ppt(40页珍藏版)》请在三一文库上搜索。
1、,一、教育信息系统安全风险概述 二、国家信息安全等级保护的相关政策 三、教育系统等级保护工作要求及开展情况,提纲,一、教育信息系统安全风险概述,典型应用,1.教育系统应用建设现状,一、教育信息系统安全风险概述,2. 教育信息系统风险分析 有意破坏风险,非法人员利用网络、系统、应用等的脆弱性对系统进行攻击,从而影响信息的保密性、完整性、可用性; 管理风险,内部人员的违规违法操作,口令和密钥管理不当、制度遗漏、岗位、职责设置不全面等因素引起的风险; 无意错误风险,是指由于人为或系统错误而影响信息的完整性、机密性和可用性。 物理风险,比如自然灾害,电力供应突然中断,静电、强磁场破坏硬件设备以及设备老
2、化等引起的风险;,一、教育信息系统安全风险概述,拒绝服务攻击 (系统瘫痪、停止服务),非法入侵 (网页被篡改、被挂马),恶意代码 (破坏、盗取),跨站脚本 (盗取、挂马),3.教育信息系统所面临的恶意攻击,一、教育信息系统安全风险概述,2010年上半年教育网网站挂马数量和月度挂马率统计 数据来源:北京大学网络与信息安全实验室,4.教育信息系统安全事件,4.教育信息系统安全事件,一、教育信息系统安全风险概述,一、教育信息系统安全风险概述,国内某高校网站遭受篡改,4.教育信息系统安全事件,一、教育信息系统安全风险概述,1,2,3,非法修改招生录取数据,制作销售假录取通知书,骗取家长手续费!,非法修
3、改学历学位数据,制作销售假学历学位证书,骗取学生证书费!,非法修改各类考试成绩,骗取学生相关费用!,4.教育信息系统安全事件,一、教育信息系统安全风险概述,5.教育信息系统安全建设目标 保护信息资产(信息基础设施、应用服务信息内容等)不受侵犯 保证信息资产的所有者面临最小的安全风险和获取最大的安全利益 符合国家对信息安全保障体系建设的要求信息安全等级保护制度,一、教育信息系统安全风险概述 二、国家信息安全等级保护的相关政策 三、教育系统等级保护工作要求及开展情况,提纲,二、国家信息安全等级保护政策解读,1.等级保护的基本含义 2.等级保护政策要求 3.等级保护标准体系 4.等级保护工作的主要内
4、容,二、国家信息安全等级保护政策解读,1.等级保护的基本含义 信息安全等级保护是信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法。,二、国家信息安全等级保护政策解读,2.等级保护政策要求 中华人民共和国计算机信息系统安全保护条例(1994年国务院147号令) 计算机信息系统实行安全等级保护 具体办法由公安部会同有关部门制定 关于信息安全等级保护工作的实施意见(公通字200466号) 明确等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法 明确
5、了等级保护工作的责任分工 定义了安全保护等级共分五级 信息安全等级保护管理办法(公通字200743号) 明确了自主定级、自主保护的原则 形成等级保护的基本理论框架,制定了方法、规范和过程,二、国家信息安全等级保护政策解读,二、国家信息安全等级保护政策解读,等级保护政策体系,二、国家信息安全等级保护政策解读,关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号) 将等级保护费用纳入项目总投资,同步落实等级保护 项目验收时必须“一证两报告”(备案证明、等级测评报告、风险评估报告),二、国家信息安全等级保护政策解读,等级保护标准体系,二、国家信息安全等级保护政策解读
6、,4. 等级保护工作的主要内容 1)系统定级 2)系统备案 3)建设整改 4)等级测评 5)监督检查,二、国家信息安全等级保护政策解读,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。,信息系统受到破坏后,会对国家安全造成特别严重损害。,自主保护级,指
7、导保护级,监督保护级,强制保护级,专控保护级,4.等级保护工作的主要内容 1)系统定级:等级划分,业务信息安全保护等级矩阵表,系统服务安全保护等级矩阵表,二、国家信息安全等级保护政策解读,自主定级 谁主管,谁负责 谁运营,谁负责 专家评审 主管部门审批 公安机关审核,4.等级保护工作的主要内容 1)系统定级:定级原则,二、国家信息安全等级保护政策解读,第一级信息系统 小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 第二级信息系统 县级某些单位中的重要信息系统。 地市级以上国家机关、企事业单位内部一般的信息系统,例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 515 教育 信息系统安全 风险 概述
链接地址:https://www.31doc.com/p-3021002.html