当前位置:文档之家 › 教育行业信息系统安全等级保护定级工作指南

教育行业信息系统安全等级保护定级工作指南

  • 格式:doc
  • 大小:13.18 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

信息系统安全等级保护定级指南

信息系统安全等级保护定级指南

前言本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位:公安部信息安全等级保护评估中心。

本标准主要起草人:任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。

引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括:——GB/T BBBBB-BBBB信息系统安全等级保护基本要求;——GB/T CCCCC-CCCC信息系统安全等级保护实施指南;——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。

本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。

信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件,其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分:安全GB17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。

教育行业等级保护(二级)解决方案V1

教育行业等级保护(二级)解决方案V1

教育行业等级保护(二级)解决方案2017年1月文档信息作者:何汉强日期:2017年1月19日复审人:日期:单击或点击此处输入日期。

密级:☐公开资料☒内部资料☐保密资料☐机密资料文档类型:☐管理文档☐计划文档☐需求文档☒设计文档☐测试文档☐用户文档☐工程文档☐维护文档版本控制版本编号修订人修订日期修订说明V1.0 何汉强2017.01.19 创建文档版权声明Copyright ©2017 福建六壬网安股份有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

目录1项目概述 (1)1.1项目背景 (1)1.2项目目标 (2)1.3项目内容 (2)2等级保护咨询服务 (3)2.1咨询服务依据 (3)2.1.1政策依据 (3)2.1.2标准依据 (4)2.2咨询服务原则 (4)2.3等级保护咨询服务介绍 (5)3等级保护差距分析 (8)4等级保护整改建议 (10)4.1等级保护整改保护措施 (10)4.2网络安全 (11)4.3主机安全 (12)4.4应用安全 (12)4.5数据安全与备份恢复 (13)5等级保护整改投资概算 (14)5.1编制说明 (14)5.1.1编制依据 (14)5.1.2各种费率的取定 (14)5.2概算表格 (15)5.2.1项目总投资概算 (15)5.2.2分项投资概算清单 (15)6六壬网安等保咨询服务的优势 (17)7典型成功案例列表 (18)1项目概述1.1项目背景随着我国信息技术的快速发展,计算机及信息网络对促进国民经济和社会发展发挥着日益重要的作用,加强对重要领域内计算机信息系统安全保护工作的监督管理,打击各类计算机违法犯罪活动,是我国信息化顺利发展的重要保障。

为加大依法管理信息网络安全工作的力度,维护国家安全和社会安定,维护信息网络安全,使我国计算机信息系统的安全保护工作走上法制化、规范化、制度化管理轨道,1994年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》。

教育行业信息系统安全等级保护定级工作指南

教育行业信息系统安全等级保护定级工作指南

教育行业信息系统安全等级保护定级工作指南一、引言信息系统安全等级保护是指根据信息系统的重要性和对等级保护目标的需求,对信息系统进行等级划分,并按照相应的保护措施和技术要求进行安全防护的工作。

教育行业的信息系统对于学生和学校来说是非常重要的,因此需要制定相应的安全等级保护定级工作指南,以保障教育信息系统的安全性和可靠性。

二、安全等级保护定级的原则和目标1.原则:依据国家有关信息系统等级保护的相关法律法规和标准,结合教育行业的特点,确定教育信息系统的安全等级。

2.目标:确保教育行业的信息系统按照相应的安全等级规范进行设计、建设和运维,提高信息系统的安全性和可用性。

三、安全等级划分原则1.教育信息系统的等级划分应综合考虑信息系统的重要性和对教育教学工作的支撑程度。

2.根据信息系统的功能、安全威胁、设备数量、技术复杂度等要素进行评估和划分。

3.对于涉密信息系统,需按照国家有关法律法规的要求进行专门的安全等级划分。

四、安全等级保护定级的程序1.收集信息:收集教育信息系统的技术文件、系统配置信息、安全管理措施等相关资料。

2.确定安全等级:根据信息系统的重要性和对等级保护目标的需求,结合信息系统等级保护标准,确定信息系统的安全等级。

3.制定安全保护方案:根据信息系统的安全等级,制定相应的安全保护方案,包括防护措施、技术要求、安全管理制度等。

4.实施方案:根据安全保护方案,实施相应的安全措施,包括加密、防火墙设置、访问控制等。

5.审查和评估:对已实施的安全措施进行审查和评估,确保其符合安全等级的要求。

6.定期检测和评估:对教育信息系统的安全状态进行定期检测和评估,及时发现和解决安全问题。

五、安全等级保护定级的技术要求1.信息系统的网络安全防护:包括网络设备的安全配置、网络防火墙的设置、入侵检测系统的部署等。

2.用户身份认证与授权管理:确保用户身份的合法性,限制用户权限,防止非法操作。

3.数据加密与传输安全:对敏感数据进行加密处理,确保数据传输的安全性。

教育行业信息系统等保

教育行业信息系统等保

自主
1) 应依据安全策略控制主体对客体的访问;
技术要求项 访问 控制
三级等保 2) 自主访问控制的覆盖范围应包括与信息安全直接相关的主体、客体及它 们之间的操作; 3) 自主访问控制的粒度应达到主体为用户级,客体为文件、数据库表级; 4) 应由授权主体设置对客体访问和操作的权限; 5) 权限分离应采用最小授权原则,分别授予不同用户各自为完成自己承担 任务所需的最小权限,并在他们之间形成相互制约的关系; 6) 应实现操作系统和数据库管理系统特权用户的权限分离; 7) 应严格限制默认用户的访问权限。
网络 入侵
1) 应在网络边界处应监视以下攻击行为:端口扫描、强力攻击、木马后门
技术要求项 防范
三级等保 攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等 入侵事件的发生; 2) 当检测到入侵事件时,应记录入侵的源IP、攻击的类型、攻击的目的、 攻击的时间,并在发生严重入侵事件时提供报警。
技术要求项 7) 应对机房设置监控报警系统。 防雷 击 1) 机房建筑应设置避雷装置; 2) 应设置防雷保安器,防止感应雷; 3) 应设置交流电源地线。 防火
三级等保
1) 应设置火灾自动消防系统,自动检测火情、自动报警,并自动灭火; 2) 机房及相关的工作房间和辅助房,其建筑材料应具有耐火等级; 3) 机房采取区域隔离防火措施,将重要设备与其他设备隔离开。
强制 访问 控制
1) 应对重要信息资源和访问重要信息资源的所有主体设置敏感标记; 2) 强制访问控制的覆盖范围应包括与重要信息资源直接相关的所有主体、 客体及它们之间的操作; 3) 强制访问控制的粒度应达到主体为用户级,客体为文件、数据库表级。
安全 审计
1) 安全审计应覆盖到服务器和客户端上的每个操作系统用户和数据库用 户; 2) 安全审计应记录系统内重要的安全相关事件,包括重要用户行为、系统 资源的异常使用和重要系统命令的使用; 3) 安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、 事件的结果等; 4) 安全审计应可以根据记录数据进行分析,并生成审计报表; 5) 安全审计应可以对特定事件,提供指定方式的实时报警; 6) 审计进程应受到保护避免受到未预期的中断; 7) 审计记录应受到保护避免受到未预期的删除、修改或覆盖等。

515-教育信息系统安全风险概述

515-教育信息系统安全风险概述

3.教育信息系统所面临的恶意攻击 拒绝服务攻击
(系统瘫痪、停止服
非法入侵
务)
(网页被篡改、被挂马)
恶意代码
(破坏、盗取)
跨站脚本 (盗取、挂马)
一、教育信息系统安全风险概述
4.教育信息系统安全事件
2010年上半年教育网网站挂马数量和月度挂马率统计
数据来源:北京大学网络与信息安全实验室
一、教育信息系统安全风险概述
4.等级保护工作的主要内容
1)系统定级:参考意见
❖ 第三级信息系统
▪ 地市级以上国家机关、企业、事业单位内部重要的信 息系统,例如涉及工作秘密、商业秘密、敏感信息的 办公系统和管理系统。
▪ 跨省或全国联网运行的用于生产、调度、管理、指挥、 作业、控制等方面的重要信息系统以及这类系统在省、 地市的分支系统。
❖ 管理风险,内部人员的违规\违法操作,口令和密钥管理不 当、制度遗漏、岗位、职责设置不全面等因素引起的风险;
❖ 无意错误风险,是指由于人为或系统错误而影响信息的完 整性、机密性和可用性。
❖ 物理风险,比如自然灾害,电力供应突然中断,静电、强 磁场破坏硬件设备以及设备老化等引起的风险;
一、教育信息系统安全风险概述
评报告、风险评估报告)
二、国家信息安全等级保护政策解读
等 级 保 护
标 准 体 系
信息系统安全等级保护定级指南
分析状况 方法指导
信息系统安全等级保护行业定级细则
保信 护息 测系 评统 过安 程全 指等 南级
信 保息 护系 测统 评安 要全 求等

安全等级
信息系统安全等级保 护建设
基线要求
信息系统安全等级保护基本要求的行业细则
强信息安全保障工作的意见》 管理办法(试行)》(

教育行业信息系统安全等级保护定级工作指南

教育行业信息系统安全等级保护定级工作指南

教育行业信息系统安全等级保护定级工作指南随着社会经济发展和信息技术迅猛发展,教育行业也紧随步伐,开始大量使用电子化信息系统来提高教育行业的效率和服务质量。

由于信息系统里涉及到学校学生和教师的信息,信息安全就关乎到教育行业的安全和稳定,因此,教育行业需要对教育行业信息系统的安全性做出充分保障。

为了保障教育行业信息系统安全,必须强化信息安全管理,并根据不同教育行业信息系统的安全性需求,建立安全等级保护办法,对不同信息系统安全性进行统一性评估,实施安全等级保护。

为了更好实施安全等级保护,我国制定了《教育行业信息系统安全等级保护定级工作指南》,将教育行业信息系统安全等级保护定级工作分为四个阶段,分别是信息收集与审核、安全等级保护评估、结果处理及安全控制、安全等级保护实施等。

首先,在信息收集与审核阶段,首先要根据教育行业信息系统的不同性质,确定不同等级保护要求,包括安全等级保护要求、信息安全管理要求、维护等级保护要求;然后,根据信息系统的不同安全性等级,收集相应的安全性要求,组织专业审核小组,对安全性要求进行审核;最后,根据审核结果,制定安全等级保护定级方案。

其次,在安全等级保护评估阶段,组织信息安全专家,对教育行业信息系统安全性进行评估,综合参考安全等级保护定级方案,对教育行业信息系统安全等级做出统一评估,确定安全等级保护定级。

评估过程中,要结合安全等级保护要求的特性,考虑信息系统的安全性和易用性,同时要考虑信息系统的经济性和实用性,以便确定一个更加合理的安全等级保护定级。

再次,在结果处理及安全控制阶段,根据安全等级保护定级,制定相应的安全等级保护控制措施,采取有效控制措施,有效维护教育行业信息系统的安全性,同时也要严格控制安全等级保护定级的执行,确保安全等级保护定级结果落实到位。

最后,在安全等级保护实施阶段,根据安全等级保护定级控制措施,实施安全等级保护,包括定期采取安全性评估,确保安全等级保护的有效性,或者实施安全等级保护审计,确保安全等级保护的执行,以确保安全等级保护实施的有效性。

关于加强教育行业网络与信息安全工作的指导意见

教育部关于加强教育行业网络与信息
安全工作的指导意见
各省、自治区、直辖市教育厅(教委),各计划单列市教育局,新疆生产建设兵团教育局,有关部门(单位)教育司(局),部属各高等学校,部内各司局,各直属单位:
信息化在促进国家经济和社会发展方面的作用日益凸显,已深入到社会生活的各个角落。

随着信息化的快速发展和信息技术的广泛应用,网络安全面临的威胁持续加大,教育信息化是国家信息化重要组成部分,教育行业网络与信息安全工作关系着教育信息化的稳步推进和教育事业的改革发展。

为深入贯彻中央关于网络安全工作的总体部署,落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》与信息安全等级保护制度的要求,加快建立健全教育行业网络与信息安全保障体系,提高防护能力和水平,保障教育事业健康有序发展,现就教育行业网络与信息安全工作提出以下指导意见:
一、总体目标和基本原则
总体目标:全面提高教育行业网络与信息安全意识,建立健全教育网络与信息安全工作的组织体系、管理规章和责任制度,落实国家信息安全等级保护制度,有效防范、控制和抵御信息安全风险,增强安全预警、应急处置和灾难恢复能力,提高各级教育部门和学校整体安全防护水平,形成与教育信息化发展相适应的、完备的网络与信息安全保障体系,支撑教育现代化事业健康持续发展。

基本原则:。

教育部办公厅下发关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知

龙源期刊网
教育部办公厅下发关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知
作者:
来源:《基础教育参考》2014年第23期
为进一步加强教育行业信息安全工作,指导和规范教育行业信息系统安全等级保护定级工作,教育部印发《教育行业信息系统安全等级保护定级工作指南(试行)》,要求各地结合本地本单位实际,认真组织实施。

文件含总则、定级依据、信息系统的类型划分、信息系统的定级思路、信息系统的定级工作流程和登记变更六大项目。

(教育部网站,2014-11-15)。

教育行业信息系统安全等级保护定级工作指南


定级工作展望
完善定级工作流程和方法 提高定级工作的准确性和科学性 加强与其他行业的交流与合作 推动定级工作向更高水平发展
THANK YOU
汇报人:
安全等级划分:根据信息系统的重要性、涉密程度、业务影响等因素,将信息系统划分为不 同的安全等级
确定流程:按照国家相关标准,进行信息系统安全等级的确定工作,包括初步定级、专家评 审、最终确定等步骤
注意事项:在确定信息系统安全等级时,需充分考虑各种因素,确保定级的准确性和合理性
确定信息系统安全保护等级
定级工作注意事项
避免主观性和片面性
客观评估:确保评估过程不受主观因素干扰,依据客观标准进行定级 全面考虑:综合考虑信息系统的重要性、涉密程度、业务影响等因素 专家参与:邀请专家参与定级工作,提供专业意见,避免片面性 持续改进:定期对定级工作进行审查和调整,确保其准确性和适应性
充分考虑业务需求和实际环境
明确业务需求:在定级工作开始前,需要充分了解业务需求,明确信息系统在业务中的角 色和重要性。
评估实际环境:对信息系统的实际环境进行全面评估,包括系统架构、网络环境、设备情 况等,确保定级工作的准确性。
综合考虑:在考虑业务需求和实际环境的基础上,对信息系统进行综合分析,确定合理的 定级结果。
及时调整:随着业务需求和实际环境的变化,定级结果可能需要进行调整。因此,在定级 工作完成后,还需要定期进行复查和调整。
教育行业信息系统安全等级保护依据
《中华人民共和国 网络安全法》
《信息安全技术 信息系统安全等级 保护定级指南》
《教育行业信息系 统安全等级保护定 级工作指南》
其他相关法规和标 准
定级工作实施要求
组织与人员要求
成立定级工作小组

推荐-信息系统安全等级保护定级备案 精品

作为定级对象的信息系统应该是由相关的和配套的设 备、设施按照一定的应用目标和规则组合而成的有形 实体。
第三部分 确定定级对象
定级对象的基本特征:
承载单一或相对独立的业务应用
定级对象承载“单一”的业务应用是指该业务应用的业 务流程独立,且与其他业务应用没有数据交换,且独 享所有信息处理设备。 定级对象承载“相对独立”的业务应用是指其业务应 用的主要业务流程独立,同时与其他业务应用有少量 的数据交换,定级对象可能会与其他业务应用共享一 些设备,尤其是网络传输设备。
第一部分 等级保护定级概述
第一部分:等级保护定级概述
信息系统安全保护等级
◦ 第一级,信息系统受到破坏后,会对公民、法 人和其他组织的合法权益造成损害,但不损害 国家安全、社会秩序和公共利益。
◦ 第二级,信息系统受到破坏后,会对公民、法 人和其他组织的合法权益产生严重损害,或者 对社会秩序和公共利益造成损害,但不损害国 家安全。
第一部分 等级保护定级概述
∘ 第三级,信息系统受到破坏后,会对社会秩序 和公共利益造成严重损害,或者对国家安全造 成损害。
∘ 第四级,信息系统受到破坏后,会对社会秩序 和公共利益造成特别严重损害,或者对国家安 全造成严重损害。
∘ 第五级,信息系统受到破坏后,会对国家安全 造成特别严重损害。
第一部分 等级保护定级概述
的安全责任。 ∘ 三是确定定级对象的方法允许多种多样。
第三部分 确定定级对象
确定定级对象举例
一、识别和描述定级对象
∘ 识别基本信息、管理框架、业务种类和业务流程、 信息资产、网络结构、软硬件设备、用户类型和 分布,描述单位基本信息。
二、划分定级对象
∘ 分析安全管理责任,确定管理边界;分析网络结 构和已有内外部边界;分析业务流程和业务间关 系;初步划定信息系统,确定定级对象。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

教育行业信息系统安全等级保护定级工作指南近年来,随着社会经济的发展,教育行业也逐渐加强自身信息化程度,各类信息系统的使用已经成为教育行业的必须要求,其中也包括了信息安全等级保护定级工作。

针对这一现状,为了更好地保护教育行业信息资源,保障信息系统的安全,维护教育行业信息安全,本文旨在提供一份指导性文档,即《教育行业信息系统安全等级保护定级工作指南》,以帮助学校更好地加强和实施《教育行业信息系统安全等级保护定级》工作。

一、教育行业信息系统安全等级保护定级的基本原则
1、依据《教育部有关信息安全等级保护定级管理规定》和《教育部关于进一步做好信息安全等级保护定级工作的通知》,教育行业信息系统安全等级保护定级工作要按照法律法规和规章制度,重视安全,强化组织,实施有组织有纪律的定级工作。

2、根据国家有关的法律法规和规章,严把信息安全关,以保障教育行业信息系统的安全,保护教育行业信息资源。

3、以综合性、全面性、系统性、可量化性为原则,结合信息系统安全定级标准,根据具体情况,确定系统安全等级,并给出措施。

4、根据国家有关法律法规、规章及政策等,如果系统存在重大安全隐患,必须立即采取措施,立即改进,增强安全措施。

二、教育行业信息系统安全等级保护定级的主要工作内容
1、审查信息系统安全等级保护定级需求
对学校信息系统或应用系统,信息安全等级保护定级要求进行审
查,通过审查,确定系统安全等级,判断是否符合信息安全定级标准,并明确安全等级分层及安全控制要求,并将其记录。

2、完成信息系统安全等级保护定级审核
在完成定级需求审查后,进行信息系统安全等级保护定级审核,对安全等级保护定级结果,以及改进工作做好记录,记录要识别系统中具体的安全控制缺陷,并记录相应的改进措施及改进建议。

3、落实安全等级控制措施
根据审核结果,根据信息安全等级保护定级综合报告,梳理发现问题,落实信息安全等级控制,确保安全等级得到维护,并给出相应的安全控制措施,以备落实和检查使用。

4、建立安全等级保护定级管理政策
针对教育行业信息系统安全等级保护定级,要建立健全安全等级保护定级管理政策,对安全等级的定级工作做到规范、有序、便捷,从而保证系统的安全。

三、教育行业信息系统安全等级保护定级工作的实施
1、实施营销安全等级保护定级工作
在完成管理政策编制及安全等级定级审核后,学校要加强对教育行业信息系统安全等级保护定级工作的执行,制定营销安全等级保护定级工作方案,适时实施营销安全等级保护定级工作,以确保系统安全,并定期检查,发现问题及时纠正。

2、建立信息安全等级保护定级台账
学校要建立安全等级保护定级台账,包括系统概况表、安全等级
定级结果表、安全控制落实表、安全控制检查表等,有序记录各项安全等级保护定级工作,为系统安全等级保护定级提供记录材料。

四、教育行业信息系统安全等级保护定级工作总结
教育行业信息系统安全等级保护定级工作是教育行业开展信息安全工作的重要组成部分,也是保障学校信息系统安全的重要手段之一。