WWW.HNEDU.GOV.CN
欢迎您的访问!

当前位置:首页 > 通知讲话公告 > 最新文件 > 正文
关于开展全省教育系统网络与信息安全检查的通知
www.hnedu.gov.cn 发布时间:2015年06月23日 18:38 浏览数:4628

 

 

 

湘教通〔2015264

 

关于开展全省教育系统网络与

信息安全检查的通知

 

各市(州)教育局,各高等学校,厅委直属各单位:

     为贯彻落实习近平总书记在中央网络安全与信息化领导小组会议上的重要讲话精神,进一步提高我省教育网络与信息系统的安全防护能力,有效应对当前国内外各种网络安全威胁,维护公众利益和国家安全,根据《省委网络安全和信息化领导小组2015年工作要点》、《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技〔20144号)、《湖南省教育网络与信息安全工作实施方案》(湘教通〔2014499号)、《湖南省公安厅关于做好全省重要信息系统和重点网站安全执法检查迎检工作的函》(湘公函〔201541号)等文件要求,我厅决定在全省教育系统开展网络与信息安全检查行动,切实保障网络与信息系统的安全。现就有关事项通知如下:

一、检查目的

按照以查促防、以查促管、以查促建的原则,通过开展常态化的信息安全检查,全面排查安全隐患和安全漏洞,认真查找突出问题和薄弱环节,督促各单位(学校)限期整改,有针对性地采取管理和技术防护措施,进一步提高教育系统的安全防范水平和安全可控能力,预防和减少重大信息安全事故(事件)的发生,切实保障教育系统网络与信息安全。

二、检查范围

 检查范围包括厅委直属单位、各级教育行政部门、各级各类学校的重要信息系统和校园网(局域网)等基础网络,重点对门户网站、办公管理、业务管理等二级及以上信息系统,以及涉及国家秘密的信息系统进行重点检查。

  三、检查内容

    (一)网络与信息安全工作基本情况

     按照国家信息安全政策和标准规范要求,建立健全信息安全管理规章制度及落实情况。重点检查信息安全主管领导、管理机构和工作人员履职情况,信息安全责任制落实及事故责任追究情况,人员、资产、采购、运维服务(特别是外包服务)等日常安全管理情况,网络与信息安全工作经费保障情况等。

  (二)技术防护情况

  网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定,对地区、部门或行业正常生产生活具有较大影响的重要网络与信息系统的安全防护情况,包括技术防护体系建立情况;网络边界防护措施,不同网络或信息系统之间安全隔离措施,互联网接入安全防护措施,无线局域网安全防护策略等;服务器、网络设备、安全设备等安全策略配置及有效性,应用系统安全功能配置及有效性;终端计算机、移动存储介质安全防护措施;重要数据保护、传输、存储的安全防护措施和灾难备份等;教育信息化综合管控体系建设和落实情况等。

     (三)应急工作情况

 按照国家网络与信息安全事件应急预案要求,建立健全信息安全应急工作机制情况。重点检查网络与信息安全事件应急预案制订和修订情况,应急预案演练情况;应急技术支撑队伍、灾难备份与恢复措施建设情况,重大信息安全事件处置、查处情况和通报情况等。

    (四)安全教育培训情况

     重点检查网络与信息安全宣传教育培训情况,特别是领导干部和各级人员网络与信息安全责任书签订情况;网络与信息安全管理人员和技术人员持证上岗教育培训情况,包括信息安全技能培训、信息安全管理和技术人员专业培训情况等。

(五)网络与信息系统等级保护情况

重点检查网络与信息系统等级保护落实情况,包括定级、备案、测评、整改和保护措施等执行情况。新系统规划、建设情况,新系统安全保护等级定级备案情况,新系统同步规划、同步建设、同步运行的安全保护措施落实情况等。

     (六)安全问题整改情况

     重点检查2014年网络与信息安全检查中发现问题的整改情况,包括整改措施、整改效果及复查情况,以及类似问题的排查情况等,分析安全威胁和安全风险,进一步评估总体安全状况。

      四、检查方式

      采取自查与重点检查相结合、以自查为主的方式开展。各地各校和有关单位在具体实施安全检查时,可采用人员访谈、文档查阅、现场核查、远程技术检测、人工检测等方法进行。

  今年的网络与信息安全检查行动自本通知印发之日起启动,各有关单位要按照本通知要求抓紧研究部署,制定自查方案并认真组织实施。

     (一)自查阶段(610- 920日)

  各地各单位要严格按照检查内容进行自查,并将网络与信息安全自查表(详见附件1)、网络与信息安全自查工作总结报告(报告提纲见附件2)于920日前以传真或电子邮件方式上报省教育厅信息中心,联系人:许鞍铭,联系电话:13787008717,电子邮箱:8807240@qq.com

     (二)重点检查阶段(920-1020日)

      在各地各单位认真开展自查工作的基础上,省教育厅信息化办将组织专家团队,采取安全技术检测、现场核查等方式,对有关单位进行重点抽查,查找安全漏洞和隐患,评估安全防护能力,研究提出改进和加强安全保障的措施建议并及时反馈被检查单位

抽查比例为:高校20%;厅属单位10%;市(州)、县(市区)教育局20%

 五、工作要求

  (一)加强组织领导、落实责任

      各地各单位要高度重视此次检查行动,切实加强组织领导,精心部署,明确检查机构和检查人员,落实工作责任,做好培训和督促,保障工作经费,确保检查顺利实施并取得实效。市(州)、县(市区)教育局要指导所属单位和学校开展网络与信息安全自查,并提供技术支撑;高等学校要加强对二级学院的检查,特别是教学网站和教学科研等管理信息系统的安全排查。

      (二)注重源头,深入检查

      全面细致开展检查工作,注重采用技术检测等手段,深入查找安全问题和隐患,确保检查工作不走过场、不漏环节、不留死角。要高度重视检查中发现的苗头性、趋势性问题,全面系统地分析研究解决,从源头上遏制和消除安全隐患。省教育厅信息中心负责全省检查工作的技术咨询和指导,不断提高检查工作的科学性和规范性。

     (三)即查即改,确保成效

      对检查中发现的问题要及时整改,因条件不具备暂时不能整改的问题应采取临时防范措施,保证系统安全正常运行。省教育厅及时将检查中发现的问题通报给相关单位,督促相关单位组织风险研判并落实整改措施。对不重视网络与信息安全工作、逾期未进行整改的单位将予以通报批评,并约谈单位责任领导。对发生重大网络安全案(事)件的,将建议有关纪检监察部门追究相关领导和人员责任。

     (四)控制风险,强化保密

      此次检查要严格执行相关工作纪律,周密制定应急预案,强化风险控制措施,确保被检查的网络与信息系统正常运行。需委托外部检测机构进行检测的,要对相关检测机构的安全可靠性及其技术能力、管理水平等严格把关,明确检测机构和检测人员的安全责任。要严格按照有关保密规定和要求,切实加强保密管理,检查结果不得提供第三方机构使用。

 

附件:1.教育网络与信息安全自查表

     2.教育网络与信息安全自查报告提纲

 

 

                                 湖南省教育厅

                                2015611


附件1

教育网络与信息安全自查表

 

1  单位基本情况

*单位名称

 

单位地址

 

联 系 人

 

联系电话

 

*信息安全工作

分管领导

 

*职务

 

信息安全管理机构

*名称(如领导小组或办公室):

*负责人:                *职务:              

*联系人:                *电话:              

信息安全管理机构人数:              

信息安全专职

工作处室

*名称(如信息安全处):                                           

*负责人:                *电话:              

本单位内设机构数量

 

信息安全员

数量

 

专职信息安全员数量

 

自查时间

 

 

 

 

 

 

 

 

      主管领导:    (签字)            检查工作负责人:   (签字)

                         

 

                                                 

 

 

2  网络与信息系统自查表

一、信息系统基本情况

系统名称

 

系统安全保护等级

□二级 □三级 □四级 □未定级

系统运营使用单位

 

系统承载业务情况

业务类型

□生产作业□指挥调度□管理控制□内部办公

□公众服务□其他_____

功能描述

 

系统服务情况

服务范围

□全国□跨省(区、市)跨_____

□全省(区、市) □跨地(市、区)跨_____

□地(市、区)内

□其它_____

服务对象

□单位内部人员 □社会公众人员 □两者均包括

□学生、家长  □其他_____

系统数据

数据存储方式

□本地存储 □异地存储 □云存储 □其它_____

年存储数据量级

1TGB 10TGB 100TGB 1000TGB □其它_____

系统网络平台

覆盖范围

□局域网 □城域网 □广域网 □其他_____

网络性质

□业务专网 □互联网 □其它_____

系统互联情况

 

□与其他行业系统连接□与本行业其他单位系统连接

□与本单位其他系统连接□其它_____

 

系统经费投入情况

系统建设投入  _____万元;系统安全建设投入  _____万元

何时投入运行使用

      _________ ___

二、网络与信息系统安全保护情况

1

设备和资产管理情况

是否指定专人负责资产管理,并明确责任人职责?

□是  □否

是否建立完整资产台账,统一编号、统一标识、统一发放?

□是  □否

资产台账与实际设备是否相一致?

□是  □否

是否完整记录设备维修维护和报废信息(时间、地点、内容、责任人等)?

□是  □否

2

安全经费年度预算

是否将信息安全设施运维、日常管理、教育培训、等级测评和安全建设整改等费用纳入年度预算?

□是  □否

是否能够保障网络安全所需的费用?

□是  □否

年度网络安全经费情况

  _____万元

年度网络安全经费执行情况

执行比率:

3

网络安全规划、保护策略制定情况

是否制定了网络安全规划?

□是  □否

网络安全规划是否遵循国家、行业相关安全标准?

□是  □否

是否制定了网络安全保护策略?

□是  □否

4

定级备案、等级测评、风险评估及建设整改情况

信息系统是否已按照信息安全等级保护要求进行定级?

□是  □否

信息系统是否到属地公安机关定级备案?

□是  □否 

信息系统是否每年聘请符合国家资质要求的测评单位对信息系统进行测评?

□是  □否           

信息系统是否依据测评结果制定整改方案?

□是  □否

信息系统是否开展了风险评估?

□是  □否

信息系统是否完成安全建设整改?

□是  □否

5

网络安全管理制度制定情况

是否制定了完善的网络安全管理制度?

□是  □否

是否有网络安全管理操作规程?

□是  □否

是否监督管理制度的贯彻落实?

□是  □否

6

网络边界管理

信息系统是否有明确的安全域划分?

□是  □否

是否对系统边界有严格的安全策略控制?

□是  □否

7

日志及安全审计管理

是否对信息系统操作行为、设备运行状态有完善的日志记录?

□是  □否

是否对信息系统操作行为、设备运行状态有安全审计措施?

□是  □否

8

恶意代码防范管理

是否定期进行系统恶意代码扫描、查杀?

□是  □否

是否定期进行信息系统防病毒软件进行更新?

□是  □否

9

安全漏洞管理

是否对系统安全漏洞定期检查、分析?

□是  □否

是否对系统发现的安全漏洞进行加固整改?

□是  □否

10

终端管理

是否对系统终端安全进行统一管理?

□是  □否

11

数据的备份与恢复

是否具有本地数据备份与恢复策略?

□是  □否

系统备份数据是否场外存放?

□是  □否

核心网络设备、关键主机设备是否具有冗余备份?

□是  □否

是否具有冗余链路备份?

□是  □否

重要应用是否有备份恢复措施?

□是  □否

12

数据安全保护

是否对系统重要数据采取加密措施?

□是  □否

是否对系统重要数据采取校验措施保障数据的完整性?

□是  □否

是否对系统重要数据的应用、流转等情况进行管理?

□是  □否

13

安全事件处置、报告、追责情况

是否制定信息系统网络安全事件(事故)处置操作手册?

□是  □否

是否要求信息系统发生网络安全事件(事故)第一时间向公安机关报告?

□是  □否

是否制定安全事件责任制度?

□是  □否

14

应急队伍建设检查

是否建立了应急联络方式?

□是  □否

是否建立了应急技术支援队伍?

□是  □否

是否与相关单位建立了应急协调机制?

□是  □否

15

应急预案和演练

是否已制定了网络安全应急预案?

□是  □否

本年度是否已开展了应急演练?

□是  □否

系统本年度是否出现过异常中断?

□是  □否

系统异常中断造成的影响范围?

□社会公众  □本单位    □其他_______

16

操作系统、服务器、数据库国产化情况

使用国外操作系统的比率

  _____%

使用国外服务器的比率

  _____%

使用国外数据库的比率

  _____%

17

安全产品使用情况

使用国外信息安全产品的比率

  _____%

18

国产化替代工程计划和进展情况

是否制定核心网络设备、操作系统、数据库、服务器等软硬件产品的国产化替代工程计划?

□是  □否

是否落实相关国产化替代工程经费?

□是  □否

19

运维服务检查

是否委托社会第三方提供日常运维管理服务?

□是  □否

是否与受托单位签订了保密协议?

□是  □否

受托单位是否是国外安全服务机构?

□是  □否

20

信息系统和重要数据的运维情况

信息系统和重要数据是否由本单位自行维护?

□是  □否

信息系统和重要数据的服务托管单位?

单位名称:

是否要求并落实了托管单位的数据安全保护责任?

□是  □否

3:网站安全情况自查表

一、网站基本情况

网站中文名

 

IP地址

 

网址

 

网站责任单位

 

网站运行单位

 

网站责任单位负责

人及职务

 

联系电话

 

网站运行安全责任人及职务

 

联系电话

 

网站责任单位

所在地

 

工信部ICP备案号

 

国际联网备案号

 

隶属关系

 

□中央  □省  □市()  □县(区、市)  □其他_____

 

单位类型

 

□政府机关  □事业单位  □学校

 

等级保护定级备案

□二级     □三级     □四级    □未定级

等级测评

□已开展        □未开展

网站安全责任书

□已签订        □未签订

网站服务栏目

 

□新闻发布 □政策宣传 □事项办理 □论 坛 □即时通信

□电子邮件 □留言版 □政务公开 □其他_____

 

 

二、网站安全保护情况

1

网站安全责任部门和安全责任人落实情况

是否落实了单位网站安全责任部门?

□是 □否

是否落实了单位网站安全责任人?

□是 □否

2

主要领导对网站网络安全工作的重视情况

是否将网站安全工作的执行情况纳入到年度考核指标?

□是 □否

开展网站安全工作的经费是否纳入年度预算?

□是 □否

3

 

单位网站网络安全责任制落实情况

是否明确了网站建设单位、运维单位和内容更新单位等部门的责任?

□是 □否

是否对发生的网站安全事件(事故)按照安全责任制进行追责?

□是 □否

4

关键岗位人员配备情况

是否有明确的安全管理员,并签订保密协议?

□是 □否

是否有内容管理员,并签订保密协议?

□是 □否

5

网站定级备案执行情况

单位网站是否确定了安全保护等级?

□是 □否

单位网站是否按要求到公安机关进行了备案?

□是 □否

6

网站等级测评情况

是否从《全国信息安全等级保护测评机构推荐目录》中选择测评机构开展等级测评?

□是 □否

是否对网站系统定期进行安全测评?

□是 □否

是否对网站系统进行了外部渗透测试?

□是 □否

是否根据测评和渗透测试结果对网站进行安全加固改造?

□是 □否

7

 

安全事件报告处置

是否制定网站安全事件(事故)报告制度?

□是 □否

发生网站安全事件(事故)是否向属地公安机关报告?

□是 □否

是否有完整网站安全事件处置记录?

□是 □否

是否按照要求保留网站完整日志?

□是 □否

8

开展网站安全监测和预警情况

本单位是否开展日常网站安全监测?

□是 □否

是否有网站安全监测记录?

□是 □否

是否有网站安全预警和处理记录?

□是 □否

9

网站内容管理

是否制定网站内容发布管理制度?

□是 □否

是否制定网站内容发布流程?

□是 □否

10

应急预案的制定、演练和完善情况

是否有应急预案,并有相应的预案文档?

□是 □否

是否有应急保障队伍并有人员联系方式?

□是 □否

是否定期应急演练并有应急演练的文档记录?

□是 □否

是否根据演练结果对应急预案进行完善?

□是 □否

11

机房安全管理制度执行情况

本单位机房进出人员管理是否按照制度执行,并有详细记录?

□是 □否

本单位机房日常监控是否按照制度执行,并有监控记录?

□是 □否

12

网络安全检查情况

是否有网站安全自查工作总结报告?

□是 □否

13

网站交互式栏目信息巡查情况

单位网站是否有交互式栏目?

□是 □否

是否有专人负责网站交互式栏目信息巡查?

□是 □否

14

网络边界安全防护设备情况

是否部署防火墙?

□是 □否

是否对外屏蔽了不必要的服务/端口?

□是 □否

是否部署入侵检测(防护)设备?

□是 □否

是否部署防病毒网关?

□是 □否

是否部署抗拒绝服务攻击设备?

□是 □否

是否部署Web应用防火墙?

□是 □否

是否部署设备?

□是 □否

15

网页防篡改措施

是否定期对网站文件进行检测?

□是 □否

是否采取网页防篡改措施?

□是 □否

16

漏洞扫描措施及修复升级情况

是否进行过系统层漏洞扫描,并有详细记录?

□是 □否

是否进行过应用层漏洞扫描,并有详细记录?

□是 □否

发现的漏洞是否及时修复?

□是 □否

17

网站恶意代码防护

是否有网页挂马检测系统?

□是 □否

18

网站内容安全防护措施

内容编辑、审核及发布权限是否分离?

□是 □否

关键信息发布是否多级审核?

□是 □否

网站发布内容是否过滤?

□是 □否

19

管理终端安全防护措施

是否有控制措施(如地址绑定,网络接入控制等)?

□是 □否

20

网站后台管理系统防护措施

是否对网站后台管理系统的接口进行隐藏?

□是 □否

网站后台管理系统登录是否采取验证机制?

□是 □否

是否对网站后台管理系统的登录失败尝试次数进行限制?

□是 □否

是否对网站后台管理系统的用户口令复杂度进行强度限制?

□是 □否

21

主要设备可用性

网站服务器和数据库服务器是否双机热备?

□是 □否

网站服务器和数据库服务器是否采用冷备方式?

□是 □否

22

网站前、后台系统隔离情况

是否采用逻辑隔离?

□是 □否

23

网站应用远程管理情况

是否不允许远程管理网站的应用?

□是 □否

应用远程管理时是否采用加密通道?

□是 □否

24

网站内容远程维护情况

是否不允许远程维护网站内容?

□是 □否

网站内容远程维护时是否采用加密通道?

□是 □否

25

网站服务器操作系统安全措施

网站服务器操作系统安全补丁是否及时更新?

□是 □否

网站服务器操作系统是否存在弱口令?

□是 □否

网站服务器操作系统是否共用同一管理口令?

□是 □否

26

网站服务器数据库安全措施

网站服务器数据库是否存在弱口令?

□是 □否

网站服务器数据库是否共用同一管理口令?

□是 □否

27

网站服务器中间件安全措施

网站服务器中间件管理界面是否允许外部访问?

□是 □否

网站服务器中间件是否存在弱口令?

□是 □否

网站服务器中间件是否共用同一管理口令?

□是 □否

4  网络与信息安全教育培训情况

年度网络与信息安全培训计划

□已制定      □未制定

单位(学校)总人数

 

*本年度开展网络与信息安全教育培训次数

 

管理人员和技术人员“持证上岗”人数

 

*本年度接受网络与信息安全教育培训人数

 

接受培训人数的比例

占总人数的        %

*本年度信息安全管理和技术人员参加专业培训的人次数(含接受省教育厅组织的“持证上岗”培训)

              人次,其中“持证上岗”  

信息安全培训的主要内容

 

 

 

5  网络与信息安全检查情况

信息安全检查工作检查周期

□定期,周期为        □不定期

是否有具体的信息安全检查和实施办法

□是                □ 否

本年度信息安全事件总数量

                 

事件分布(网络、主机、应用、数据等分类填写)

事件数量

 

 

 

 

 

 

 

 

 

 

*本年度信息安全事件情况

门户网站受攻击情况

安全防护设备检测到的门户网站受攻击次数:      

网页被篡改情况

门户网站网页被篡改(含内嵌恶意代码)次数:    

重要系统中断情况

1.重要系统异常中断时间:     小时

2.重要系统异常中断造成的数据丢失量:

                MB  GB  TB

3.重要系统异常中断造成的影响范围:

□社会公众  □本单位  □下属单位  □其他

*技术检测情况

渗透测试

本部门进行过渗透测试的信息系统数量:

其中,可以成功控制的信息系统数量:

安全事故责任追究

□所有事故均已查处相关责任人

□有事故未查处相关责任人

6  本单位网络安全产品列表清单

单位名称

序号

类型

型号

购买日期

维保情况

1

防火墙

 

 

 

2

安全审计

 

 

 

4

上网行为管理

 

 

 

3

入侵检测

 

 

 

4

入侵防御

 

 

 

5

漏洞扫描

 

 

 

……

……

……

……

 

 

 

 

 

 

7  网络与信息安全隐患排查及整改情况

存在的安全隐患

整改情况

 

 

 

 

 

 

 

 

 

 

 

附件2

教育网络与信息安全自查报告提纲

 

一、基本情况(包括制度建设、机构设置、人员配备、网络与信息安全环境建设、经费保障等)

二、存在的问题

三、本单位(学校)网络与信息安全工作的主要做法

四、等级保护落实情况

五、下一步工作计划


 

分享到:
友情链接:
湖南省信访局 湖南省教育数字档案中心

版权所有: 湖南省教育厅  制作单位:湖南省教育厅信息中心

COPYRIGHT 湖南省教育厅