PDF下载-网络信息安全工作组.PDF

落实信息安全等级保护 提高高校网络与信息安全建设水平 教育部教育管理信息中心 安宏 2015年10月 提纲 一．网络安全形势概述 1.1 国家面临的网络安全形势 1.2 教育行业面临的网络安全形势 1.3 高校存在的典型网络安全问题 二. 国家及教育行业相关要求 三. 高校网络安全建设思路 2015/10/102015/10/10 22 教育部教育管理信息中心 1.1 国家面临的网络安全形势 我国高度重视网络安全 2014年3月，中央网络安全和信息化领导小组成立，国家 主席习近平亲自担任组长，网络安全成为“一把手工程” 没有网络安全就没有国家安全 网络安全与信息化是一体之两翼、驱动之双轮，必须 统一谋划、统一部署、统一推进、统一实施 2015年7月， 《中华人民共和国网络安全法（草案）》 （第一部网络安全法律）公开发布征求意见 2015年9月，习近平主席访美，网络安全是重要议题，就 共同打击网络犯罪达成重要共识 2015/10/102015/10/10 33 教育部教育管理信息中心 1.2 教育行业面临的网络安全形势 网站漏洞： 教育网站遭篡改、暗链、挂马，贴反动标语 业务数据威胁： 招生录取、考试成绩、学生及学生家长个 人隐私信息等数据遭篡改、窃取，谋取商业利益 科研信息泄密：科研信息系统防护不到位遭攻破或教师、 学生保密意识淡薄引发泄密 大数据风险：教育信息化“三通两平台”建设，管理与信 息资源数据大集中带来更多的关注和攻击 终端安全：非法外连、移动终端APP安全问题突出 2015/10/102015/10/10 44 教育部教育管理信息中心 1.2 教育行业面临的网络安全形势  根据2015年对75所部属高校网站安全监测情况以及北京市 4起教育部门和高校安全事件应急处置情况分析，信息安全 漏洞威胁较大的包括：  Struts2 远程命令执行漏洞  第三方编辑器上传漏洞（如Fckeditor ，ckeditor等）  SQL注入漏洞 2015/10/10 5 教育部教育管理信息中心 1.3 高校存在的典型网络安全问题  部分单位重视不够，安全管理体系不健全，安全 技术防护能力偏弱，网络安全建设整体明显滞后 于信息化建设  高校学生群体整体网络安全意识淡薄，缺乏网络 安全常识  网站及应用安全风险较大，尤其是二级网站建设 管理分散，防护不够，遭受攻击安全事件多 2015/10/102015/10/10 66 教育部教育管理信息中心 1.3 高校存在的典型网络安全问题  无线校园网络应用普遍，终端安全隐患多 无线校园网络主要安全风险：  用户账号被盗用风险  网络侦听造成信息泄露风险  无线加密算法存在被破解风险  ARP地址欺骗攻击风险  移动智能终端的安全脆弱性，带来了更 多的安全风险 2015/10/102015/10/10 77 教育部教育管理信息中心 提纲 一．国家及教育行业面临的网络安全形势 二. 国家及教育行业相关要求 2.1 国家政策要求 2.2 教育行业相关要求 三. 高校网络安全建设思路 2015/10/102015/10/10 88 教育部教