教育网络与信息安全工作PPT 75页

'1教育信息化与网络信息安全曾德华教育部教育信息化推进办公室教育部教育管理信息中心2015年5月 一、信息化是国家教育的重要战略二、教育信息化内容三、网络信息安全形势四、国家网络信息安全体系与制度五、教育信息安全工作落地目录2 1.1教育信息化的战略地位教育信息化在国家发展和教育综合改革全局中的战略地位不断提升，教育信息化是国家信息化的重要组成部分习近平同志指出：没有网络安全就没有国家安全，没有信息化就没有现代化十八大《中共中央关于全面深化改革若干问题的决议》没有教育信息化就没有教育现代化。一、信息化是国家教育的重要战略3 基础设施现状：天地网络初步成形，互联互通尚未实现，宽带尚未普及发展关键词：解决有无、普及覆盖、性能提升资源与应用现状：资源出具规模，数量、质量均显不足，共建共享机制尚未形成发展关键词：有无、能用、好用管理信息化现状：单个业务系统较多，业务环节尚未全部覆盖，信息孤岛问题突出发展关键词：单个应用、数据互通、流程再造保障体系现状：组织体系未理顺，资金投入入机制未形成，标准规范执行不到位发展关键词：理顺机制、确保投入、规范发展1.4教育信息化十年发展规划（2011-2020年）一、信息化是国家教育的重要战略 1.5教育信息化十年发展规划（2011-2020年）——推动信息技术与基础教育深度融合缩小数字化差距——面向区域。提高所有学校在信息基础设施、教学资源、软件工具等方面的基本配置水平，全面提升应用能力。促进所有学校师生享用优质数字教育资源，开足开好国家课标规定课程，推进民族地区双语教育。重点支持农村地区、边远贫困地区、民族地区的学校信息化和公共服务体系建设。推进信息技术与教学融合——面向教师。建设智能化教学环境，提供优质数字教育资源和软件工具，利用信息技术开展启发式、探究式、讨论式、参与式教学，鼓励发展性评价，探索建立以学习者为中心的教学新模式，倡导网络校际协作学习，提高信息化教学水平。逐步普及专家引领的网络教研，提高教师网络学习的针对性和有效性，促进教师专业化发展。培养学生信息化环境下的学习能力——面向学生。继续普及和完善信息技术教育，开展多种方式的信息技术应用活动，创设绿色、安全、文明的应用环境。鼓励学生利用信息手段主动学习、自主学习、合作学习；培养学生利用信息技术学习的良好习惯，发展兴趣特长，提高学习质量；增强学生在网络环境下提出问题、分析问题和解决问题的能力。一、信息化是国家教育的重要战略5 1.1国家教育信息化的重点——“三通两平台”宽带网络校校通优质资源班班通网络学习空间人人通教育资源公共服务平台教育管理公共服务平台7二、教育信息化内容 2.1宽带网络校校通学校宽带网络接入校内网络教学环境电脑、投影仪、电子白板、实物投影、电子书包Pad“宽带中国”战略、农村扶贫开发、“村村通”工程等重大规划加大对农村中小学扶持的力度教学点数字教育资源全覆盖项目，为全国6.7万多个教学点配备数字教育资源接收和播放设备，配送优质数字教育资源，组织教学点应用数字教育资源开展教学，利用信息技术帮助各教学点开好国家规定课程二、教育信息化内容8 2.2优质资源班班通数字化辅助教学远程教育：同步课堂，空中课堂，名师课堂“一师一优课，一课一名师"二、教育信息化内容 ——促进信息技术与教育教学深度融合“专递课堂”“名校网络课堂”“名师课堂”10二、教育信息化内容2.2优质资源班班通 孝感市的“1+X名师课堂”试点二、教育信息化推进工作2.2优质资源班班通 郧县桃花沟教学点56岁的刘兆明老师不会说英语，却利用信息化手段，为三个年级、七名学生开出了英语等国家规定的全部课程。12恩施花枝山教学点郑维元教师为小学一年级开上了“基本部位操”体育课程。2.2优质资源班班通 13二、教育信息化内容——2.3人人有空间 二、教育信息化推进工作——2.3人人有空间14 二、教育信息化内容——2.3人人有空间15 二、教育信息化内容——2.3人人有空间16 2.4国家教育资源公共服务平台空间服务公益资源和应用服务学校、老师、学生、家长实名制空间有偿资源和应用服务提供免费数字教育资源为学校提供模块化、个性化的教育信息化管理为教师提供便捷的教学平台为学生提供信息化学习平台为家长提供家校互动的交流平台国内最优质的教育服务和应用厂商提供的收费服务国家建设的资源地方建设的资源社会提供的公益性资源提供网络备课、同步课堂、在线课堂和电子作业等教学服务提供名师导学、网络答疑等自主性学习、创新性学习教育服务提供国内各大知名网校、远程教育机构的名师课程提供各类教育和学习应用、工具提供教育出版社出版的数字教材、教辅等教育资源二、教育信息化内容 二、教育信息化内容18 二、教育信息化内容19 20二、教育信息化内容2.5国家教育管理公共服务平台学前教育学生管理系统中小学生学籍管理（含营养改善计划管理）信息系统中等职业学校学生管理信息系统高等教育学生管理信息系统学生资助管理信息系统学生体质健康标准数据管理与分析系统教师管理信息系统资产及办学条件管理类信息系统 2.6高等教育与继续教育MOOCs（massiveopenonlinecourses）学习社区微课程:5-10分钟,教学突出某个学科知识点或技能点2.7职业教育网络实训二、教育信息化内容21 一、信息化是国家教育的重要战略二、教育信息化内容三、网络信息安全形势四、国家网络信息安全体系与制度五、教育信息安全工作落地目录22 三、当前网络安全形势网络安全 恶意程序〓病毒比喻作强盗，会破坏你的电脑程序和数据文件〓木马比喻作小偷，在你不知道的情况下偷取你的信息形势严峻风险持续上升——个人安全2014年，360互联网安全中心共截获新增恶意程序样本3.24亿个，平均每天截获新增恶意程序样本88.8万个。 钓鱼网站形势严峻风险持续上升——个人安全双十一狂欢的不止马云背后的女人2014年，360互联网安全中心共截获新增钓鱼网站262.1万个，较2013年增长了19.1%。平均每天截获新增钓鱼网站约7080个。 系统漏洞形势严峻风险持续上升——个人安全2014年，微软公司官方发布的安全公告中，共发布安全补丁85个，累计修补各类漏洞数341个，平均每个月发布安全补丁7个，平均每月修复安全漏洞约28个。 骚扰电话形势严峻风险持续上升——个人安全2014年，用户通过手机卫士标记各类骚扰电话号码约2.56亿个，平均每天被用户标记的各类骚扰电话号码约104万个。 伪基站垃圾短信形势严峻风险持续上升——个人安全2014年，360手机卫士共为全国用户拦截各类垃圾短信约613亿条，平均每天拦截垃圾短信1.68亿条。 以2014年11月11日“双十一”的数据为例，全网24小时范围内10.4万个6055万次9305个290个96.6万个1.56亿次1.1亿条215万个360网络安全风险指数 攻击方式花样翻新、手段不断升级▲DDOS攻击(流量攻击）近年来多家知名网站相继遭到DDoS攻击，出现不同程度的访问故障或中断。尽管这些网站已陆续恢复正常访问，但日益猖獗的DDoS攻击无疑为广大网站敲响了警钟。形势严峻风险持续上升——机构企业安全 高级定制开发、目的性强多种0day配合多种渗透方式社会工程学持续潜伏性强长期持续性攻击多种方式启动威胁机密窃取，破坏活动不易发现▲APT攻击简称高级持续性威胁(AdvancedPersistentThreat,APT)针对特定目标人群或目标企业,综合利用各种漏洞和攻击手段的，一种高级、长期、持续性的攻击方式，通常具有组织和国家背景支持。形势严峻风险持续上升——机构企业安全 ▲拖库2011年底，中国最大的软件开发者技术社区CSDN后台数据库被黑客恶意发布到互联网上并提供下载，此数据库中包含了642万多个用户的帐号、密码等信息，严重威胁了相关用户的信息安全。地下黑色产业链已掌握了规模超过10亿条的“社工库”，包括用户名、密码、邮箱、身份证号、手机号等用户敏感数据。黑客利用“社工库”，通过“撞库攻击”的方式，可以自动化地在各大网站上破解用户账号，广大用户的隐私、虚拟资产、网银资金等面临严重威胁。形势严峻风险持续上升——机构企业安全 ▲震网攻击2010年7月,世界上首个网络“超级武器”，一种名为Stuxnet的计算机病毒感染了全球超过45000个网络，伊朗遭到的攻击最为严重，两所核电站被攻击。震网事件是全球首例被公开披露报道的APT攻击。攻击目标：●伊朗纳坦兹核电站●伊朗布舍尔核电站攻击结果：●用于浓缩铀材料的离心机受到了严重的破坏●近20%的离心机因此报废●进而导致浓缩铀的产量下降了30%形势严峻风险持续上升——机构企业安全 震网病毒攻击路径形势严峻风险持续上升——机构企业安全 斯诺登曝光美国“棱镜计划”：美国国家安全局和联邦调查局棱镜计划以思科为代表的美国“八大金刚”（思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软）在中国绝大多数核心领域占据了庞大的市场份额。行为被监听形势严峻风险持续上升——机构企业安全 卧底软件社工库(用户隐私数据库)隐私情报协议漏洞（心脏流血和sms漏洞）伪基站全球接近90%的用户ID和密码已泄露核心信息被窃取形势严峻风险持续上升——机构企业安全 特斯拉（Tesla）、Google汽车车联网，是指是利用先进传感技术、网络技术、计算技术、控制技术、智能技术，对道路和交通进行全面感知，实现多个系统间大范围、大容量数据的交互，对每一辆汽车进行交通全程控制，对每一条道路进行交通全时空控制，以提供交通效率和交通安全为主的网络与应用。万物互联（InternetofThings，缩写IOT）是一个基于互联网、传统电信网等信息承载体，让所有能够被独立寻址的普通物理对象实现互联互通的网络。IoT时代的安全威胁车联网与物联网 是以住宅为平台，利用综合布线技术、网络通信技术、智能家居-系统设计方案安全防范技术、自动控制技术、音视频技术将家居生活有关的设施集成，构建高效的住宅设施与家庭日程事务的管理系统。路由器空间净化器智能摄像头安防监控IoT时代的安全威胁智能家居 IoT时代的安全威胁●终端劫持智能汽车、心脏起搏器、可穿戴设备、智能家居、航空器、电梯、摄像头……●数据泄露和数据污染 教育网络与信息安全非法修改招生改录取数据，制作销售假录取通知书，骗取家长手续费！非法修改各类考试成绩，骗取学生相关费用！教育网站遭篡改、暗链招生考试期间教育网站遭挂马2021/8/240 教育网络与信息安全41368个教育网站在7月同时被挂马，其中不乏名校！ 提纲一、省级数据中心建设情况通报二、教育信息安全指导意见的落实情况三、学籍省级部署安全检查情况通报四、省级安全运行维护要求五、几项工作进展通报2021/8/242 一、信息化是国家教育的重要战略二、教育信息化内容三、网络信息安全形势四、网络信息安全体系与制度五、教育信息安全工作落地目录43 1.国家网络信息安全的管理2.国家网络信息安全的操作落地3.教育部网络信息安全工作管理4.教育信息安全保障工作要求5.网络与信息安全应急处置和督查通报机制6.教育行业网络与信息安全标准规范7.教育网络与信息安全队伍和人员培训四、网络信息安全体系与制度44 中央网络安全与信息化领导小组中央网络安全与信息化领导小组办公室公安部公共网络信息安全执法国家网络安全保卫局国家保密局涉密信息系统管理密码及应用管理国家密码管理局涉密信息系统管理密码及应用管理4.1国家网络信息安全的管理体系45 信息系统安全等级保护制度系统定级系统备案安全建设整改等级测评监督检查技术标准体系4.2国家网络信息安全的操作落地46 1.职责分工科技司司负责信息技术安全办公厅负责机关组织信息中心负责技术支撑2.工作安排《教育部关于加强教育行业网络与信息安全工作的指导意见（教技[2014]4号）3.通报机制《教育部网络与信息安全事件报告与处置管理制度》4.标准规范《教育系统信息安全等级保护定级指南》《教育系统信息安全等级保护基本要求》4.3教育部网络信息安全工作体系47 4.4教育信息安全保障工作要求《教育部关于加强教育行业网络与信息安全工作的指导意见（教技[2014]4号），教育部组织落实以下工作：1建立健全网络与信息安全组织领导体系2制定完善网络与信息安全规划和管理制度3全面实施信息安全等级保护制度4加强网络与信息安全技术防护能力5建立健全网络与信息安全应急处置和督查通报机制6加强网络与信息安全队伍建设和人员培训7加快教育行业网络与信息安全标准规范建设2021/8/248 《教育部网络与信息安全事件报告与处置管理制度》；建立安全通报机制，对各单位的安全扫描问题进行单个通报。4.5网络与信息安全应急处置和督查通报机制49 4.6教育行业网络与信息安全标准规范教育信息系统定级指南教育信息系统安全防护基本要求教育信息系统安全等级保护测评规范教育信息系统安全评估基本要求2021/8/250 4.6部机关及直属单位定级备案情况(部分)系统名称安全保护等级学籍学历信息管理系统第三级学历认证网上办公系统第三级中国高等教育学生信息网系统第三级中国研究生招生信息网系统第二级阳光高考系统第三级大学生预征报名系统第三级非全日制攻读硕士学位全国考试管理信息系统第三级学位授予信息年报及采集信息系统第三级中国教育文凭认证管理信息系统第三级高等学校博士学科点专项科研基金管理系统第二级教育电子认证服务系统第三级2021/8/251 4.7加强教育网络与信息安全队伍和人员培训建立安全培训课程体系建立安全培训证书系列，为持证上岗准备条件教育部直属机关的培训年底前完成与各地合作开展安全专业证书培训2021/8/252 一、信息化是国家教育的重要战略二、教育信息化内容三、网络信息安全形势四、网络信息安全体系与制度五、教育信息安全工作落地目录53 2.1制订网络与信息安全规划和管理制度系2.2建立网络与信息安全组织领导体系2.3实施信息安全等级保护2.4落实网络与信息安全技术防护2.5健全网络与信息安全应急处置和督查通报机制2.6加强网络与信息安全队伍建设和人员培训五、教育信息安全工作落地54 5.1制定网络与信息安全规划和管理制度2021/8/255网络与信息安全总体管理办法安全管理机构制度安全管理人员安全管理系统建设管理系统运维管理信息安全组织及职责管理规定技术类制度管理规定工作人员网络与信息安全管理规定信息系统建设安全管理规定机房管理制度第三方工作人员网络与信息安全管理规定办公环境网络与信息安全管理规定信息资产安全管理规定防病毒安全管理规定基础设施运维安全管理规定信息系统口令管理规定公共平台运维安全管理规定数据备份和恢复管理规定应用系统运维安全管理规定介质安全管理规定托管信息系统资源评估管理规定信息系统变更安全管理规定信息安全事件处理和应急管理规定教育部信息中心：截至目前，共编制发布5大类18个制度 5.2建立健全网络与信息安全组织体系教育部信息中心设立信息安全领导小组，负责信息中心的信息安全工作各单位要加强对网络与信息安全工作的领导；信息安全领导小组下设信息安全工作组，具体负责组织、协调和落实各项信息安全工作。各个部门/项目有安全责任人2021/8/256 5.3全面实施信息安全等级保护制度教育部完成国家教育管理信息系统的定级、备案工作；在教育部数据中心及在中央上线的应用系统已经开展信息系统等级保护测评工作；教育部成立教育信息安全等级保护测评中心，开始与各教育厅信息中心合作,成立测评部或工作站，开展测评工作。2021/8/257 1技术防护防火墙，入侵检测工具数据传输安全：IPSecVPN，SSLVPN省部之间的数据传输安全：IPSecVPN用户终端与应用系统间数据安全：SSLVPN数据加密2监测预警安全运行维护管理平台应用安全监测与预警平台信息安全工作管理平台3异地教育行业灾难恢复体系4电子身份安全认证体系5.4加强网络与信息安全技术防护58 信息安全应急处置预案督查通报机制定期进行系统测评与安全风险分析信息安全应急处置预案5.5健全网络与信息安全应急处置和督查通报机制59 建立网络与信息安全队伍，定岗定责执行安全制度5.6加强网络与信息安全队伍建设和人员培训60 谢谢教育部教育管理信息中心曾德华zengdh@moe.edu.cn61 2021/8/2626.信息安全等级保护系统定级系统备案安全建设整改等级测评监督检查技术标准体系 2021/8/2636.1信息安全等级保护的概念信息安全等级保护是指对信息系统分等级实行安全保护对信息系统中使用的信息安全产品实行按等级管理对信息系统中发生的信息安全事件分等级响应、处置 2021/8/2646.2.1等级保护工作的主要内容（1）系统定级（2）系统备案（3）建设整改（4）等级测评（5）监督检查 2021/8/2656.2.2等级保护——系统定级自主定级谁主管，谁负责谁运营，谁负责专家评审主管部门审批公安部门备案 2021/8/2666.2.2等级保护——系统定级第五级第四级第三级第二级第一级信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。信息系统受到破坏后，会对国家安全造成特别严重损害。自主保护级指导保护级监督保护级强制保护级专控保护级 2021/8/2676.2.3等级保护——系统备案第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，备案时需提交《信息系统安全等级保护定级报告》和《信息系统安全等级保护备案表》第一级系统无需备案 2021/8/2686.2.5等级保护——建设整改 2021/8/2696.2.4等级保护——等级测评等级测评：测评机构按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动测评目的：衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相应等级的安全保护能力。测评频率第三级系统一年1次第四级系统半年1次第二级系统参照2年1次测评机构：测评机构由公安部进行能力检测后推荐。教育行业由教育信息安全等级保护测评中心负责为主。 2021/8/2706.2.6等级保护——监督检查备案单位定期自查定期开展自查，掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等。第三级系统至少每年1次自查，第四级系统至少每半年1次自查行业主管部门督导检查公安机关监督检查 2021/8/2716.2.5等级保护的职责分工国家管理部门公安机关负责等级保护工作的监督检查指导国家密码管理部门负责等级保护中密码工作的监督检查指导工信部及地方信息化领导机构负责等级保护工作的部门间协调行业主管部门制定行业实施细则和相关标准督促检查指导本行业信息系统运营使用单位的等级保护工作信息系统运营使用单位开展等级保护工作等级保护自查接受公安机关及主管部门的检查指导信息安全服务机构协助信息系统运营使用单位完成等级保护的相关工作主要包括协助定级、安全需求分析、安全规划设计和安全建设实施等信息安全产品供应商开发信息安全产品销售信息安全产品并提供相关服务信息安全等级测评机构对信息系统进行等级测评对信息安全产品进行安全测评 726.2.7等级保护标准规范体系等级保护政策体系 736.2.7等级保护标准规范体系等级保护标准体系 6.2.7等级保护标准规范体系——技术标准基础《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护实施指南》《信息系统安全保护等级定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护测评要求》技术《信息系统等级保护安全设计技术要求》《信息系统安全通用技术要求》……管理《信息系统安全管理要求》《信息系统安全工程管理要求》……产品《操作系统安全技术要求》《数据库管理系统安全技术要求》2021/8/274 谢谢教育部教育管理信息中心曾德华zengdh@moe.edu.cn75'