515-教育信息系统安全风险概述.ppt

,一、教育信息系统安全风险概述 二、国家信息安全等级保护的相关政策 三、教育系统等级保护工作要求及开展情况,提纲,一、教育信息系统安全风险概述,典型应用,1.教育系统应用建设现状,一、教育信息系统安全风险概述,2. 教育信息系统风险分析 有意破坏风险，非法人员利用网络、系统、应用等的脆弱性对系统进行攻击，从而影响信息的保密性、完整性、可用性； 管理风险，内部人员的违规违法操作,口令和密钥管理不当、制度遗漏、岗位、职责设置不全面等因素引起的风险； 无意错误风险，是指由于人为或系统错误而影响信息的完整性、机密性和可用性。 物理风险，比如自然灾害，电力供应突然中断，静电、强磁场破坏硬件设备以及设备老化等引起的风险；,一、教育信息系统安全风险概述,拒绝服务攻击 （系统瘫痪、停止服务),非法入侵 （网页被篡改、被挂马),恶意代码 （破坏、盗取）,跨站脚本 （盗取、挂马）,3.教育信息系统所面临的恶意攻击,一、教育信息系统安全风险概述,2010年上半年教育网网站挂马数量和月度挂马率统计 数据来源：北京大学网络与信息安全实验室,4.教育信息系统安全事件,4.教育信息系统安全事件,一、教育信息系统安全风险概述,一、教育信息系统安全风险概述,国内某高校网站遭受篡改,4.教育信息系统安全事件,一、教育信息系统安全风险概述,1,2,3,非法修改招生录取数据，制作销售假录取通知书，骗取家长手续费！,非法修改学历学位数据，制作销售假学历学位证书，骗取学生证书费！,非法修改各类考试成绩，骗取学生相关费用！,4.教育信息系统安全事件,一、教育信息系统安全风险概述,5.教育信息系统安全建设目标 保护信息资产（信息基础设施、应用服务信息内容等）不受侵犯 保证信息资产的所有者面临最小的安全风险和获取最大的安全利益 符合国家对信息安全保障体系建设的要求信息安全等级保护制度,一、教育信息系统安全风险概述 二、国家信息安全等级保护的相关政策 三、教育系统等级保护工作要求及开展情况,提纲,二、国家信息安全等级保护政策解读,1.等级保护的基本含义 2.等级保护政策要求 3.等级保护标准体系 4.等级保护工作的主要内容,二、国家信息安全等级保护政策解读,1.等级保护的基本含义 信息安全等级保护是信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法。,二、国家信息安全等级保护政策解读,2.等级保护政策要求 中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令） 计算机信息系统实行安全等级保护 具体办法由公安部会同有关部门制定 关于信息安全等级保护工作的实施意见（公通字200466号） 明确等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法 明确了等级保护工作的责任分工 定义了安全保护等级共分五级 信息安全等级保护管理办法（公通字200743号） 明确了自主定级、自主保护的原则 形成等级保护的基本理论框架，制定了方法、规范和过程,二、国家信息安全等级保护政策解读,二、国家信息安全等级保护政策解读,等级保护政策体系,二、国家信息安全等级保护政策解读,关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号） 将等级保护费用纳入项目总投资，同步落实等级保护 项目验收时必须“一证两报告”（备案证明、等级测评报告、风险评估报告）,二、国家信息安全等级保护政策解读,等级保护标准体系,二、国家信息安全等级保护政策解读,4. 等级保护工作的主要内容 1)系统定级 2)系统备案 3)建设整改 4)等级测评 5)监督检查,二、国家信息安全等级保护政策解读,信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。,信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。,信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。,信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。,信息系统受到破坏后，会对国家安全造成特别严重损害。,自主保护级,指导保护级,监督保护级,强制保护级,专控保护级,4.等级保护工作的主要内容 1)系统定级:等级划分,业务信息安全保护等级矩阵表,系统服务安全保护等级矩阵表,二、国家信息安全等级保护政策解读,自主定级 谁主管，谁负责 谁运营，谁负责 专家评审 主管部门审批 公安机关审核,4.等级保护工作的主要内容 1）系统定级：定级原则,二、国家信息安全等级保护政策解读,第一级信息系统 小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 第二级信息系统 县级某些单位中的重要信息系统。 地市级以上国家机关、企事业单位内部一般的信息系统，例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。,4.等级保护工作的主要内容 1）系统定级：参考意见,二、国家信息安全等级保护政策解读,第三级信息系统 地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。 跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统。 中央各部委、省（区、市）门户网站和重要网站。 跨省联接的网络系统等。,4.等级保护工作的主要内容 1）系统定级：参考意见,二、国家信息安全等级保护政策解读,第四级信息系统 国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信骨干传输网、铁路客票系统、列车指挥调度系统等。,4.等级保护工作的主要内容 1）系统定级：参考意见,二、国家信息安全等级保护政策解读,定级报告范例,4.等级保护工作的主要内容 1）系统定级：起草定级报告,二、国家信息安全等级保护政策解读,4.等级保护工作的主要内容 2）系统备案 第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，备案时需提交信息系统安全等级保护定级报告和信息系统安全等级保护备案表 第一级系统无需到公安机关备案,二、国家信息安全等级保护政策解读,4.等级保护工作的主要内容 2）系统备案 信息系统备案表,二、国家信息安全等级保护政策解读,4.等级保护工作的主要内容 3）建设整改,二、国家信息安全等级保护政策解读,4.等级保护工作的主要内容 4）等级测评 等级测评：测评机构按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动 测评目的：衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相应等级的安全保护能力。 测评频率 第三级系统一年1次 第四级系统半年1次 第二级系统参照,二、国家信息安全等级保护政策解读,4.等级保护工作的主要内容 5）监督检查 信息安全等级保护管理办法（公通字200743号） 第十八条规定: 公安机关负责信息安全等级保护工作的监督、检查、指导工作 自行开展监督检查 会同主管部门开展监督检查 检查内容 等级保护工作部署和组织实施情况 信息系统安全等级保护定级备案情况 信息系统安全建设整改、等级测评情况 信息安全管理制度建立和落实情况 信息安全产品选择和使用情况 备案单位定期自查情况,一、教育信息系统安全风险概述 二、国家信息安全等级保护的相关政策 三、教育系统等级保护工作要求及开展情况,提纲,三、教育系统等级保护工作要求及开展情况,教育部高度重视信息安全等级保护工作 2009年，经教育部办公厅、科技司、教育管理信息中心会签后下发了教育部办公厅关于开展信息安全等级保护工作的通知（教办厅函200980号），责成教育部教育管理信息中心负责教育系统信息安全等级保护工作的组织实施，并配合公安部门在教育系统内开展监督检查工作。 2010年，为承担教育系统标准制定、安全评估和等级测评工作，教育管理信息中心专门成立了信息安全测评部，负责技术服务工作。 2011年，教育部部将“做好教育系统网络信息安全保障工作”列为年度工作重点之一。 2011年5月，信息安全测评部通过公安部等级保护评估中心现场能力核查，达到测评机构能力要求，正在办理教育行业等级测评机构资质授权相关手续。,专项检查,2010年11月，为配合公安部专项检查工作，印发了教育部办公厅关于开展教育系统信息安全等级保护工作专项检查的通知（教办厅函201080号）。 检查内容：各单位信息系统安全等级保护工作部署和组织实施情况、定级备案、等级测评和安全建设整改情况。 检查方式：采取自查、抽查相结合的形式；各省级教育行政部门负责组织辖区内的自查和抽查,三、教育系统等级保护工作要求及开展情况,近期目标 用3年左右时间（至2012年），基本建立教育系统信息系统安全等级保护体系。 到2012年，完成地市级以上教育行政部门和学校的培训工作，每单位至少培训1名信息系统安全主管和1名技术骨干。 2010年上半年完成地市级教育行政部门和学校的定级备案工作 2011年内完成各省级教育行政部门和直属高校的建设整改与等级测评工作，2012年内完成地市级以上教育行政部门和学校的建设整改与等级测评工作。,我区教育系统信息安全等级保护 首先完成各单位信息系统的定级备案工作，定为三级保护的信息系统要求使用单位在2011年10月20日前完成定级、评审和备案工作，其余信息系统在2011年12月31日前完成。 其次完成三级保护信息系统的等级测评工作，定为三级保护的信息系统要求使用单位在2013年12月31日前完成等级测评工作，其余信息系统在2014年7月1日前完成。 最后是依据测评结果完成信息系统的整改工作，未通过等级测评的三级保护信息系统要求使用单位对照测评结果，拿出切实可行的整改方案，在2014年7月1日前完成系统的整改工作，其余信息系统在2014年12月31日前完成整改工作。,网站安全监测,请教育部和公安厅监测高校门户网站 Sql注入 跨站脚本 目录列表 尤其是各学院子站问题较多。,一、教育信息系统安全风险概述 二、国家信息安全等级保护的相关政策 三、教育系统等级保护工作要求及开展情况,回顾,谢谢！,