全面加强学校网络与信息安全工作：自查情况与检查内容详解

hwyzw

    为了实施“教育部对进行网络安全检查的通知”（教育与技术部[2014年第51号]的信：指导教育部关于加强网络的意见教育行业中的信息安全工作”（教学和技术[2014] 4号），省教育部“有关该省教育系统中网络和信息安全的特别检查的通知”（教育保险[2014]第8号），全面加强了我们学校的网络和信息安全工作，以及学校信息构建的领导层小组办公室对整个学校网络，信息系统和网站的安全问题进行了自我调查从9月16日至25日，现在报告了自我检查情况，如下所示：

    1。学校网络和信息安全状态

    该检查采用了对单元，远程检查和现场检查的自我检查的结合。检查内容主要包括五个方面，包括组织管理，日常维护，技术保护，紧急管理以及网络和信息系统安全的技术培训，并涉及5个方面。有28个信息系统和89个各种类型的网站。

    从检查来看，我们学校的网络和信息安全的总体状况很好。学校一直非常重视信息安全性，并一直将信息安全性视为信息化工作的关键内容。网络信息安全工作组织是合理的，责任是明确的，并且每日管理和维护工作相对标准化；管理系统是完美的，技术保护措施是适当的，并且信息安全风险有效降低；更多关注信息系统（网站）系统管理员和网络安全技术人员的培训。已经实施了紧急计划和紧急响应技术团队，并在一定程度上保证了工作资金，这基本上确保了校园网络信息系统（网站）的持续，安全和稳定的操作。但是，就网络安全管理，技术保护设施，网站构建和维护，信息系统级别保护工作等而言，仍然有必要进一步加强和改进。

    2。2014年网络信息安全工作

    1。网络信息安全组织管理

    根据“负责人负责，负责运营和维护以及负责使用的人”的原则，学校的网络信息安全工作受“三级”管理。学校有一个信息工作领导小组，学校的主要领导人担任小组负责人，信息工作办公室位于在线教育中心，中心主任和办公室主任。领导小组完全负责学校的网络信息安全工作，并授权信息办公室对学校的网络信息安全工作进行安全管理和监督。作为校园网络运营和维护部门，互联网教育中心负责信息系统安全的技术保护和技术保证。所有部门和大学都对其单位信息系统和网站的信息内容负责直接安全责任。

    2。信息系统的每日安全管理（网站）

    学校已经建立了一系列规则和法规，例如“校园网络管理法规”，“中央计算机室安全管理系统”，“数据安全管理指标”，“网站管理措施”，“服务器托管管理措施”和“”网络故障处理规格”。每个系统（网站）的用户基本上可以根据需要实施负责人，并更好地实施网站信息上传和批准系统，信息系统数据机密性和防篡改系统。每日维护操作相对标准化。大多数单位都实现了消除弱密码和周期性更改，严格保护个人计算机，定期备份数据，定期检查安全日志等，并随时保持系统状态（网站）状态以确保正常操作。

    3。信息系统的技术保护（网站）

    校园网络数据中心具有一定的全面安全保护措施。

    首先，建造了专业的中心计算机室，配备了视频监视和备用电源设备，防水，防潮，防静电，温度和湿度控制，电磁保护和其他措施，以及访问控制和注册系统并从计算机房间出来；

    其次，在网络出口中部署了一个安全系统，在电台群集系统中部署了应用程序防火墙，并且定期更新检测规则数据库，并且重要的信息系统建立了一个专门的网络，用于从校园网络进行物理隔离；

    第三，定期进行安全漏洞检查服务器，网络设备，安全设备等，及时更新操作系统和补丁，并配置密码策略以确保更新频率；

    第四，充分实施了实现的身份验证系统，并具有跟踪行为的能力；

    第五，定期备份重要的系统和数据，并建立一个灾难恢复中心。

    4。信息安全应急管理

    2009年，制定了“西北A＆F大学的网络和信息安全紧急紧急事件”。互联网教育中心是一个紧急技术支持部门，可确保快速有效地处理网络安全事件。

    5。信息安全教育和培训

    2014年，一名成员被派去参加省的信息安全和机密培训。夏季部门级的干部培训安排包括信息安全和机密主题。每年为整个学校的网络经理进行技术培训，以提高管理干部和技术人员的安全意识，并提高技术保护能力。

    3。检查中发现的主要问题

    与“通知”中的特定检查项目相比，我们的学校在信息安全工作中仍然存在某些问题：

    1。安全管理：网络管理员是兼职工作，很难确保他们投资精力。一些网络管理员尚未登录他们很长时间管理的系统（网站），并且无法及时知道发生的安全事件。某些系统（网站）的日常管理和维护不够标准化，并且仍然存在诸如管理员的密码较弱，对数据备份的注意力不足以及信息机密性的认识较差（将个人隐私信息上传到该信息的意识不足）网站在2013年）。

    2。技术保护：校园网络安全技术保护设施仍然不足，例如缺乏数据中心安全防御系统和审计系统，缺乏安全检测设施，无法扫描和检查服务器和信息系统（网站）的安全漏洞。

    3。就应用程序系统（网站）而言：某些应用程序系统（网站）具有设计缺陷和安全漏洞，使其容易出现安全事故。 （根据统计数据，自2013年以来的14个网站上发生了17起安全事故，其中11起是由于网站中的技术问题，例如安全漏洞或设计缺陷）。

    4。信息系统的级别保护尚未完全进行。

    5。在某些机构（部门）管辖下的计算机室或学习室尚未经过认证和审核。

    4。纠正措施

    为了应对现有问题，学校的信息领导小组进行了特殊研究和部署。

    1。进一步改善网络信息安全管理系统，并标准化信息系统和网站的日常管理和维护程序。加强网络管理人员的技术培训，并提高安全意识和技术能力。

    2.继续改善网络信息安全技术保护设施，为必要的安全防御和检测设备，实施信息系统（网站）安全检查访问系统，并从根本上降低安全风险。定期扫描并检测到服务器和操作系统上的潜在风险，并建立有针对性和主动的保护系统。

    3。响应各个级别的网站构建不平衡的水平，学校在2013年推出了一个站点组系统管理平台。目前，来自多个部门的12个网站已移至网站组系统管理平台。将来，我们将增加努力将所有级别的所有网站逐渐转移到网站组系统管理平台中，以提高网站技术安全性能。

    4.全面执行信息系统级别保护工作，并根据新发布的“有关安全保护和评级的教育行政部门和大学的评级指南”的所有在线系统的评分和归档。积极创建条件，以进行随后的评估评估，矫正和其他工作。

    5。加强紧急管理，修订紧急计划，由互联网教育中心的技术人员组成一个紧急支持技术团队，因为骨干和重要的系统管理员参与，加强部门间合作，进行紧急演习，并最大程度地减少安全事件的影响。

    6。部门（部门）下的计算机室或学习室的强制性认证和审核。

    五，一些建议

    1。建议每年支付相关资金，以进行培训，紧急演习，网站转型和其他工作。 （“网络安全资金的预算投资”也是教育与技术部门第51号文件第51号文件中的九项检查项目之一）；

    2。建议在2015年数字校园建设资金中包括特殊资金，以保证成绩，评估，整流和其他工作；

    3。建议所有类型的网站在适当的时间（最好在修订时）加入学校网站组系统管理平台。加入站点组系统管理平台后，经理将无需考虑网站的技术安全和风险，而只需考虑网站。信息和内容是安全的。