教育信息化安全建设PPT格式课件下载.pptx
《教育信息化安全建设PPT格式课件下载.pptx》由会员分享,可在线阅读,更多相关《教育信息化安全建设PPT格式课件下载.pptx(57页珍藏版)》请在冰豆网上搜索。
核心要义:
三个转变。
教育专用资源VS教育大资源;
信息技术应用能力VS信息素养;
融合应用VS创新发展。
内涵本质:
三个新模式。
构建信息化条件下的人才培养新模式;
发展基于互联网的教育服务新模式;
探索信息时代教育治理新模式。
八大行动:
教育信息化2.0行动计划,作为教育信息化2.0的先导性工程,将重点开展数字资源服务普及行动、网络学习空间覆盖行动、网络扶智工程攻坚行动、教育治理能力优化行动、百区千校万课引领行动、数字校园规范建设行动、智慧教育创新发展行动、信息素养全面提升行动等八大行动。
CONTENTS目录,、网络安全威胁与形势,网络安全形势严峻,、网络安全威胁与形势,系统数量多教育系统网站超过20万个;
的系统网站11万个;
涉及超过100万人数据的系统超过500个。
掌握数据多政务数据资源数量达10624条;
教师数据超过4000万;
累计学生数据超过5亿。
涉及人员多教育机构60万个;
专职教师1800万人;
各级各类学生3.5亿。
三个三分之一:
三分之一的人口,三分之一的系统,三分之一的安全事件,教育系统基本情况,主要安全事件,数据数据网站页面泄露篡改瘫痪篡改,、网络安全威胁与形势,某省中小学籍信息泄露1000万个人信息,大量高度敏感信息的泄露。
系统的管理不规范?
敏感信息的保护制度不健全?
、网络安全威胁与形势,、网络安全威胁与形势,、网络安全威胁与形势,教育类APP应用泛滥、平台垄断、强制使用有害信息传播、广告传播超纲教学,、网络安全威胁与形势,FG黑客“教育月”,、网络安全威胁与形势,2017年7月22日,宜宾市翠屏区“教师发展平台”网站因网络安全防护工作落实不到位,导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件。
宜宾网安部门在对事件进行调查时发现,该网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务。
根据网络安全法第五十九条第一款之规定,决定给予翠屏区教师培训与教育研究中心法定代表唐某某行政处罚决定,对翠屏区教师培训与教育研究中心处一万元罚款,对法人代表唐某某处五千元罚款。
、网络安全威胁与形势教育系统违反网络安全法第一案,2017年9月28日,淮南职业技术学院系统存在高危漏洞,系统存储的4000余名学生身份信息已经造成泄露。
经过现场勘验和调查,确认淮南职业技术学院招生信息管理系统存在越权漏洞,后台登录密码弱口令,学院未落实网络安全管理制度,未建立网络安全防护技术措施、网络日志留存少于六个月,未采取数据分类、重要数据备份和加密措施,致使系统存储的4353名学生的身份信息泄露。
淮南市公安局网安支队确认该学校因未落实网络安全等级保护制度造成数据泄露,依法对淮南职业技术学院处以立即整改和行政警告的处罚措施。
、网络安全威胁与形势高等学校违反网络安全法第一案,二、网络安全法治时代,网络安全法,网络安全等级保护制度,网络安全等级保护条例,等保2.0系列标准,关键信息基础设施保护条例,用户信息保护制度,个人信息保护法,个人信息保护标准,网络安全监测预警和信息通报制度,网络安全信息通报机制管理办法,网络安全监测预警信息管理办法,网络安全监测预警分级标准,二、网络安全法治时代,刑法修正案(九)、最高人民法院.最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释:
致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。
【三年以下有期徒刑】非法获取.出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一【侵犯公民个人信息罪】规定的“情节严重”。
【踪轨迹信息.通信内容.征信信息.财产信息五十条以上】,信息安全等级保护管理办法,公安部等四部委关于信息安全等级保护工作的实施意见,等级保护2.0标准正式发布:
基本要求GB/T22239-2019”测评要求安全设计要求,网络安全法国家实行网络安全等级保护制度,1994.02,2017.06,(公通字200743号),2019.5.13,(公通字200466号)国务院147号令:
“计算机信息系统全,面实行信息安全等级保护”,等保1.0标准发布“基本要求-GB/T22239-2008”,2008,后续:
等级保护条例关基保护条例,二、网络安全法治时代,教育行业信息系统安全等级保护定级工作指南(试行),教育系统网络安全事件应急预案,教办厅函200980号,教技厅函201474号,教办厅函201183号,2019,教育部办公厅关于开展信息系统安全等级保护工作的通知,教育部公安部全面推进教育行业信息安全等级保护工作的通知,教技20152号,后续:
教育关基认定数据安全管理办法,教育部办公厅关于进一步加强网络信息系统安全保障工作的通知,教技20188号,党委党组网络安全责任制,二、网络安全法治时代,1.0:
信息系统安全等级保护,2.0:
网络安全等级保护,与网络安全法保持一致覆盖全行业、全社会覆盖全对象:
基础网络、信息系统、云计算、物联网、工控、移动互联,移动APP需要测评吗?
托管在云平台,是否还要测评?
民营互联网公司,需要开展等级保护吗,二、网络安全法治时代,二、网络安全法治时代,1.基础网络安全等级保护条例(征求意见稿)2.定级备案网络安全等级保护定级指南GA/T1389-2017-(公安行标,待形成国标稿)3.建设整改网络安全等级保护基本要求(GB/T22239-2019)2019年12月1日正式实施,GB/T25070-2019,网络安全等级保护安全设计技术要求4.等级测评网络安全等级保护测评要求网络安全等级保护测评过程指南,GB/T28448-2019GB/T28449-2018,三重防护,一个中心、三重防护安全通信网络,安全区域边界,安全计算环境,一个中心,安全管理中心,、,、,二、网络安全法治时代,通用要求+安全扩展要求,安全通用要求,安全物理环境,安全通信网络,安全区域边界,安全计算环境,安全管理中心,安全管理制度,安全管理机构,安全管理人员,安全建设管理,安全运维管理,安全扩展要求,云计算安全,移动互联安全,物联网安全工业控制系统安全,大数据安全*,二、网络安全法治时代,可信计算3.0-主动免疫三级要求:
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,可信管理中心,可信网络传输,可信边界连接策略,可信计算环境,可信芯片TPM,操作系统可信软件基,应用系统,可信支撑接口,二、网络安全法治时代,三、教育系统如何落实等级保护2.0,Why?
为什么要开展等级保护2.0:
满足合规要求(法律法规、公安机关、网信部门、审计部门、教育主管行政部门);
我国网络安全防护的基本制度:
以等级保护为基础,关键信息基础设施安全、移动APP安全、数据安全、个人信息保护等为各行业、各地区、各单位开展网络安全工作提出了基本要求和指引;
结合行业和各单位特色,应在等级保护基础之上,开展更有针对性的防护。
三、教育系统如何落实等级保护2.0,Who?
都有哪些单位要开展等级保护2.0:
各网络运营者:
结合等级保护要求开展定级备案、整改和测评行业主管单位(如教育部科技司):
开展定级审核、组织开展行业安全检查和监督考核测评机构(如教育等保测评中心):
开展等级测评,提供定级、备案、安全设计咨询公安机关:
开展公安执法检查、对等级保护过程管理,三、教育系统如何落实等级保护2.0,How?
如何落实等级保护2.0:
梳理等保2.0下的定级对象开展等保2.0下的等保建设与测评管理体系与安全技术防护体系的进一步完善结合等级保护2.0管理和技术要求,形成本单位网络安全风险防控的方法论,三、教育系统如何落实等级保护2.0,
(一)梳理系统定级以高校校园系统为例,可包括如下定级对象:
1.2.3.,4.,5.6.7.,校园基础网络(涵盖校园有线网、无线网络;
可单独定级)校园网站群平台(统一平台生成多个子网站,可合并定级)校园私有云平台(可对私有云平台的虚拟网络、主机、存储及管理平台统一定级)校园大数据平台(整合校园各类应用数据、流量数据、日志数据形成的大数据分析平台)基于物联网的校园安防体系校园移动应用(涵盖其应用后台及APP形态)其他校园信息系统,三、教育系统如何落实等级保护2.0,
(二)云平台安全要求及测评要点以校园私有云为例,资源虚拟化物理硬件-计算、存储、网络物理基础设施,云管理平台,应用A虚拟机安全组件虚拟网络,应用B虚拟机安全组件虚拟网络,校园私有云,测评对象需覆盖:
所管理的硬件设施、虚拟资源及其提供应用,租户管理服务组件,三、教育系统如何落实等级保护2.0,校园网络,校园无线网络,(三)校园移动互联平台安全要求及测评要点-以智慧校园平台及其APP为例手机终端-移动APP,无线认证网关,移动身份认证网关,智慧校园平台,三、教育系统如何落实等级保护2.0,物理安全网络安全主机安全应用安全数据安全,安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心,原网络结构、网络通信安全,原网络层面访问控制、边界防护、入侵防范等,涵盖网络设备、安全设备、主机、应用、数据库、终端、运维工具等各类计算节点,原各层面的监控、审计以及安全管理中的集中管控要求,统一合并,体现综合防控思想,(四)等级保护2.0-技术防护能力提升从分层防护向综合防控、集中安全防护的思想转变,三、教育系统如何落实等级保护2.0,安全区域划分与隔离-教育政务网络,互联网接入区、业务网络区(DMZ区、应用服务器区、数据库区)、安全管理区、终端接入区、无线接入区电子政务外网电子政务内网,安全区域划分与隔离-校园网络,互联网接入区、校园数据中心区(DMZ区、应用服务器区、数据库区)、安全管理区、终端接入区、无线接入区一卡通专网财务系统网络,(四)等级保护2.0-技术防护能力提升,做好网络划分及区域边界防护措施,为“三重防护”打下基础,三、教育系统如何落实等级保护2.0,安全风险可识别(入侵防范、恶意代码防范)安全风险可控制(身份认证、访问控制、边界防护、数据加密)安全风险可记录(安全审计)安全风险可分析(集中管理中心),下一代防火墙态势感知系统,APT防范网络行为审计分析,可信免疫,安全事件关联分析(AI、大数据技术)密码技术身份认证、签名、数据加密灾备技术个人信息保护,等保2.0-技术防护目标,等保2.0-安全防护产品,三、教育系统如何落实等级保护2.0,(五)等级保护2.0-安全管理机制完善什么是安全管理体系的建立提供一套管理模板?
制度、表单、文档?
结合教育行业、本单位特色,形成一套制度体系?
结合本单位实际应用,改善制度体系,使其更落地?
教育行政单位及高校信息化部门:
人员不足、安全力量不足,一套刻板的安全管理制度可能无法实际施行,三、教育系统如何落实等级保护2.0,有办法,有清单,有制度,有执行,有检查,学校/单位网络安全管理办法,系统名录信息资产清单,人员管理系统建设管理运维管理制度,培训记录运维记录变更审批漏洞通报应急演练安全事件记录,技术检查管理检查考核,(五)等级保护2.0-安全
升级会员 