03-2-信息系统定级与备案案例介绍及常见问题解析.pptVIP

* * * * 四、信息安全测评中心介绍——机构职能 行业标准制定 教育等级保护政策研究 教育行业等级保护标准、规范研究 教育行业重要信息系统定级备案材料审查 等级测评 等级保护综合管理平台 差距分析、风险评估、自测自评 日常管理 安全咨询与服务 差距分析、风险评估、安全建设整改等信息安全服务 信息系统定级咨询 等级保护业务与技术培训 网站安全监测 * * 四、信息安全测评中心介绍——咨询服务案例 定级咨询 辅助部机关和直属单位完成129个信息系统分析，提供定级建议并辅助编写定级报告 组织部机关和直属单位完成129个信息系统的备案工作，其中第三级系统45个，第二级系统84个 * * 四、信息安全测评中心介绍——咨询服务案例 风险评估（含渗透测试） 学生体质健康网系统 《教育部学生体质健康网系统评估报告》 《教育部学生体质健康数据上报系统渗透测试报告》 留学生报到登记系统 《留学生报到登记系统评估报告》 《留学生报到登记系统渗透测试报告》 * * 四、信息安全测评中心介绍——咨询服务案例 等级测评 教育部门户网站 《教育部门户网站等级测评报告》 《教育部门户网站等级测评差距分析报告》 教育部电子公文交换系统 教育部电子公文交换系统等级测评报告》 《教育部电子公文交换系统等级测评差距分析报告》 * * 四、信息安全测评中心介绍——咨询服务案例 等级保护安全建设 服务单位：某直属单位 项目范围：全球性学习网站、OA系统、门户网站三个信息系统 技术手段：差距分析、风险分析、渗透测试 项目成果：已完成各系统差距分析报告、系统评估报告及渗透测试报告；已完成三个系统的《需求分析报告》、《详细设计方案》； * * * * 四、信息安全测评中心介绍——咨询服务案例 网站安全监测 网页篡改 网站挂马 网页非法内容 主机漏洞 应用漏洞（SQL注入、XSS等） 网络钓鱼 网站性能 * * 四、信息安全测评中心介绍——咨询服务案例 网站安全监测 适用对象：各单位网站 使用情况 11月中旬和12月初对部机关直属单位27个对外服务网站、各省级教育行政部门和部属高校111个门户网站的检查性安全监测并对高风险网站出具深度挖掘报告 共监测到各类漏洞4243个，其中挂马22个，SQL注入400个，XSS跨站645个，CGI漏洞2244个，应用漏洞932个。 * * 四、等级保护综合管理平台 等级保护综合管理平台 适用对象： 各级教育主管部门和信息系统运营使用单位 部署依据： 公安部在《信息安全等级保护安全建设整改工作的总体工作要求》中提出了安全建设整改工作的具体工作方法，其中重点强调了“将安全建设整改工作与业务工作、信息化建设工作有机结合，利用信息安全等级保护综合工作平台，使等级保护工作常态化”。 教育部在《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》（教办厅函[2011]83号）文件中明确提出“通过分级建设信息安全等级保护综合管理系统，使等级保护工作常态化、制度化，加强对教育行政部门等级保护工作的管” 。 * * 四、等级保护综合管理平台 主要功能： 重要信息系统的定级备案信息维护与管理 信息系统安全建设整改活动管理 等级测评活动的组织和管理 安全检查活动情况的跟踪记录管理 信息系统风险评估活动相关信息的维护管理 等级保护工作相关信息与数据的统计及分析 提供等级保护各个工作环节所需的基础数据的维护管理 应用价值 实现等级保护工作数据集中管理 提高等级保护工作信息处理效率 等级保护工作 管理信息化 定制等级保护各个工作环节的工作流程 催进等级保护工作业务管理的规范化 等级保护工作 管理流程化 将等级保护工作融入日常信息安全管理工作 实现等级保护工作的常态化管理 等级保护工作管理常态化 四、等级保护综合管理平台 应用案例 国家质量监督检验总局 中华人民共和国教育部 国家发展和改革委员会 国务院国有资产监督管理委员会 国家地震台网中心 国家统计局 中国社会科学院 中国石油天然气集团公司 东北电网有限公司 三亚市公安局 四、等级保护综合管理平台 谢谢！ 湖北教育信息化发展中心 * * * 国家安全：科研、对外（对外事务） * * * * * * 教育部教育管理信息中心信息安全测评部 湖北教育信息化发展中心 教育部教育管理信息中心信息安全测评部 湖北教育信息化发展中心 * 常见问题解答及定级备案案例介绍 湖北教育信息化发展中心 2011年12月 * * 提纲 等级保护工作常见问题解析 二 三 信息系统定级备案案例介绍 教育部信息安全测评中心介绍 四 等级保护主要内容回顾 一 * * 一、等级保护主要内容回顾 信息安全等级保护制度回顾 等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法。 各项工作意义 定级是前提 备案是基础