高校网络与信息安全保障体系的思考.pptVIP

高校网络与信息安全保障体系的思考 电子科技大学信息中心 2015.11.26 提纲 政策解读 等保定级备案 安全检查 我校的信息安全建设工作 政策解读 序号 文号 发文单位 名称 1 教技[2014]4号 教育部 关于加强教育行业网络安全工作的指导意见 2 教技厅函[2014]74号 教育部办公厅 关于印发《教育行业信息系统安全等级保护定级工作指南（试行）》的通知 3 教技厅函[2014]75号 教育部办公厅 关于印发《信息技术安全事件报告与处置流程（试行）》的通知 4 教技[2015]2号 教育部、公安部 关于全面推进教育行业网络安全等级保护工作的通知 5 教技厅函[2015]64号 教育部办公厅 关于印发《信息系统安全等级保护定级审核工作流程（试行）》的通知 6 教技厅函[2015]68号 教育部办公厅 关于组织开展部属单位信息安全等级保护工作的通知 教育部文件 政策解读 定级依据 定级思路 定级工作流程 信息系统分类表 政策及要求 政策及要求 政策解读 所有高校信息系统都是二级以上 I类院校的重点系统定为三级： 科研管理、科研情报 招生录取管理 门户网站、论坛、社区类网站 校园一卡通 根据定级工作指南： 政策解读 列表里的信息系统都要备案？ 二级域名的网站怎么算？ 二级系统一定要做测评？ 备案测评要多少钱？ 等保工作有没有时间节点要求？ 几点疑问： 等保定级备案 步骤：定级备案整改测评监督检查 定级方式：自主定级，自行聘请专家进行评审，主管部门审核批准 定级依据：《教育行业信息系统安全等级保护定级工作指南（试行）》 备案方式：二级以上系统到市级以上公安机关办理备案手续，三级以上信息系统同时报教育部备案 等保定级备案 备案提交材料：《信息系统安全等级保护定级报告》和《信息系统安全等级保护备案表》，下载链接：/xxgk/gsgg/dbxx/201405/7765.html 据了解，目前其他高校备案情况： 清华大学4个二级系统； 北京交通大学2个三级系统，12个二级系统； 北京师范大学1个三级系统，12个二级系统 等保定级备案 电子科技大学2015年6月25日完成3个二级系统的备案： 电子科技大学中文门户网站 电子科技大学本科招生网 电子科技大学研究生招生网 等保定级备案 电子科技大学备案情况：3个二级系统： 电子科技大学中文门户网站 电子科技大学本科招生网 电子科技大学研究生招生网 等保定级备案 1.时间节点的要求（教技厅函[2015]68号）： 部属高校应于2016年6月30日前完成公安机关定级备案 部属高校应于2016年12月31日前完成测评整改 科技司将结合年度网络安全检查,对各部属单位信息系统安全等级保护工作情况进行现场抽查 等保定级备案 2. 测评经费的需求 二级系统每两年一次测评 三级系统每年至少一次测评 区域指导价（经济越发达地区，价格越贵） 没有上级专项经费支持 测评之后，还要花钱整改 安全检查 2015.5.27 省公安厅网安总队到电子科技大学进行安全检查。检查内容依据川公发【2014】75号，针对四个方向： 互联网站 重要信息系统 学校公共上网服务场所 内部联网系统 安全检查 2014年9月22日 川公发【2014】75号四川省公安教育联合发文 “关于进一步加强学校网络和信息安全保护工作的通知” 互联网站 重要信息系统 学校公共上网服务场所 内部联网系统 （1）定级备案 （2）安全审计日志 （3）制度建设 （4）安全防护措施建设 安全检查 互联网站 一级网站（主页门户） 双备案：工信部ICP备案和公安厅等保备案 审计日志留存情况（访问日志） 网站是否有交互式论坛、留言板等内容审查 安全防护：网页防篡改系统 iGuard， Web应用入侵审计系统iAudit，网站应用防火墙 iWall，Fail2ban 防火墙 （1）定级备案 （2）安全审计日志 （3）制度建设 （4）安全防护措施建设 安全检查 互联网站 二级网站：校内登记二级域名305个，其中有效域名约240个 部门/院系/实验室等网站：向信息中心申请二级域名，部门/院系自行开发、管理、维护网站及服务器其中部分网站基于信息中心的虚拟主机平台或托管在信息中心机房； 部分职能部门网站基于信息中心的网站群平台开发由信息中心提供技术支持和统一维护； （1）定级备案 （2）安全审计日志 （3）制度建设 （4）安全防护措施建设 安全检查 互联网站 二级网站安全防护 2013年Web应用防火墙（安恒明御WAF）上线，保障清水河校区托管服务机房的Web应用（30个网站） 防病毒：主要采用第三方免费软件 防入侵：无统一措施 防攻击破坏：双机热备或数据备份等机制 重灾区 网站群？ （1）定级备案 （2）安全审计日志 （3）制度建设 （4）