《職業院校數字校園規范》下的校園等保2.0
近日,中國教育部發布“教育部關于發布《職業院校數字校園規范》的通知”( 教職成函〔2020〕3號), 為貫徹落實全國教育大會精神,落實《國家職業教育改革實施方案》《教育信息化“十三五”規劃》和《教育信息化2.0行動計劃》,發展“互聯網+職業教育”,規范、引導職業院校在新形勢下的信息化工作,特制定《職業院校數字校園規范》。
《職業院校數字校園規范》第8部分:網絡安全。該部分規定了數字校園中網絡安全的要求,包括總體要求、網絡安全防護與管理、網絡安全系統與設備、網絡內容安全與輿情、網絡安全能力建設等,旨在加強職業院校網絡空間的安全,為職業院校提供安全、穩定、可靠的網絡環境和社會環境。
8.1總體要求
建設安全可靠的網絡與信息化設施、確保本校所發布的信息合法合規,是《網絡安全法》對所有提供信息服務的單位提出的統一要求。
基于《GB/T22239-2019 信息安全技術 網絡安全等級保護基本要求》、
《GB/T28448-2019 信息安全技術 網絡安全等級保護測評要求》、
《GB/T25070-2019 信息安全技術 網絡安全等級保護設計要求》等標準規范,網絡與信息安全是指通過梳理摸清信息資產,進行安全風險分析,明確安全目標,制定安全策略,基于網絡安全政策,通過采取必要的技術和管理措施,防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網絡處于穩定、可靠運行的狀態,保障網絡數據的完整性、保密性、可用性的能力。
8.2網絡安全
網絡安全包括信息化軟硬件設施的物理環境安全、網絡與通信安全、網站與信息系統安全、智能化系統安全、物聯網系統安全、各類計算機及移動終端安全、攝像頭及顯示系統安全、移動互聯網應用安全、云計算與云服務安全、新媒體應用安全、數據安全及個人隱私信息安全等。
《職業院校數字校園規范》第8部分整體內容如下:
建設安全可靠的網絡與信息化設施、確保本校所發布的信息合法合規,是《網絡安全法》對所有提供信息服務的單位提出的統一要求。基于《GB/T22239-2019 信息安全技術 網絡安全等級保護基本要求》、《GB/T28448-2019 信息安全技術 網絡安全等級保護測評要求》、《GB/T25070-2019 信息安全技術 網絡安全等級保護設計要求》等標準規范,網絡與信息安全是指通過梳理摸清信息資產,進行安全風險分析,明確安全目標,制定安全策略,基于網絡安全政策,通過采取必要的技術和管理措施,防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網絡處于穩定、可靠運行的狀態,保障網絡數據的完整性、保密性、可用性的能力。
a) 梳理摸清學校信息資產,建立信息資產庫,進行安全風險分析評估;
b) 明確安全目標和安全策略,確定網絡安全保護等級,進行網絡安全體系設計,制定較為完善的安全管理體系,有效防范有關對網絡的攻擊、侵入、干擾、破壞、非法使用和意外事故發生;
c) 根據網絡安全體系的設計選擇適當的技術和產品,制定網絡安全技術防護實施方案和運行管理方案,推進多層次縱深網絡安全防護,使網絡始終處于穩定、可靠運行的狀態;
d) 對安全管理活動中的各種管理內容建立安全管理制度,對安全人員的日常安全管理操作制定操作規程,形成由安全策略、管理制度、操作規程、記錄表單等構成的較為全面的安全管理體系,有效防范非法使用和意外事故發生;
e) 堅持問題導向、目標導向,推進網絡安全技術防護系統和網絡安全管理體系相融合,持續改進網絡安全工作,不斷提升保障網絡數據完整性、保密性、可用性的能力;
f) 網絡安全的防護對象主要涉及基礎網絡、云計算平臺/系統、大數據應用/平臺/資源、物聯網(IoT)、網站、業務信息系統、個人計算機系統、個人移動終端、智能化系統以及采用移動互聯技術的系統等等。
網絡安全實質上已經發展為網絡空間安全,不僅僅包括內容安全、也包括技術安全等。網絡安全具有放大、外溢、交織、疊加等特點,已經與政治安全、意識形態安全、公共安全、學生安全、實驗室安全、生產安全等校園安全工作相互交織、相互疊加、跨界擴散等,需要協同應對。
網絡安全包括信息化軟硬件設施的物理環境安全、網絡與通信安全、網站與信息系統安全、智能化系統安全、物聯網系統安全、各類計算機及移動終端安全、攝像頭及顯示系統安全、移動互聯網應用安全、云計算與云服務安全、新媒體應用安全、數據安全及個人隱私信息安全等。
a) 計算機操作系統及系統軟件應正版化,應及時打補丁,進行安全配置、加固和優化,增加系統操作審計等安全機制;
b) 數據庫及中間件系統應加強版本管理,對系統版本及時更新,進行安全加固和優化,對數據庫進行加密,應部署數據庫審計系統對數據有關操作進行實施監控和審計;
c) 系統應消除弱密碼。多人使用的系統應實現弱密碼禁止注冊或登錄,提供安全密碼設置的技術導引;
d) 系統應及時進行漏洞檢查與修復,部署實時監測和清除各類病毒以及黑客程序、支持各類客戶端防殺病毒的計算機防病毒系統,病毒掃描引擎和病毒代碼庫能夠及時進行更新。
a) 機房場地應選擇在具有防震、防風和防雨等能力的建筑物內,并避免設在建筑物的頂層或地下室,否則應加強防水和防潮措施;
b) 機房應設置響應的安防設施,出入口應配置電子門禁系統,控制、鑒別和記錄進出人員,機房內應設置相應防盜報警系統或設置專人值守的視頻監控系統;
c) 機房應設置防靜電、防雷擊、防火、防水、防潮等相關措施,應考慮冗余電源、不間斷電源、電磁防護以及溫濕度控制等增強物理環境安全的措施。
a) 校園網邊界應進行網絡安全防護,根據訪問控制策略設置訪問控制規則,檢測、防止或限制來自校內、外的網絡攻擊行為。可以根據需要設置網絡安全防火區,用于對外提供信息服務;
b) 校園網核心或骨干設備應在保證業務處理能力滿足業務高峰需要的情況下,支持網絡安全策略實施,對不同網絡區域之間根據訪問控制策略設置訪問控制規則,實現網絡安全風險隔離,檢測、防止或限制來自校內外的網絡攻擊行為;
c) 應對數據中心或服務器系統等應用進行邊界防護,對進出網絡的數據流基于應用協議和應用內容進行訪問控制,隔離,檢測、防止或限制來自校內外的網絡攻擊行為;
d) 應部署網絡安全設施,對非授權設備私自連到內部網絡行為進行檢查和限制,對內部用戶非授權連到外部網絡的行為進行檢測和限制。
a) 云計算基礎設施部署在中國境內,提供開放接口和開放性安全服務,云服務客戶具有根據自己的業務安全需求自主設置安全策略的能力;
b) 云計算環境具備橫向訪問控制以及風險隔離能力,檢測到網絡攻擊行為、異常流量情況時能夠實時告警;
c) 云計算環境應支持云服務商、云服務客戶在遠程管理時執行的特權命令,以及云服務商對云服務客戶系統和數據操作可以被云服務客戶有效審計;
d) 云計算環境能夠提供云計算平臺和管理終端的雙向身份驗證機制,允許云服務客戶設置不同虛擬機之間的訪問控制策略,并且控制策略可以隨虛擬機遷移而遷移;
e) 云計算環境應對惡意代碼感染及在虛擬機之間蔓延情況、虛擬機之間資源隔離失效情況以及虛擬機異常操作進行告警;
f) 云計算環境應有足夠的技術和管理措施確保云服務客戶業務數據的完整性、保密性和可用性;應支持云服務客戶部署密鑰管理解決方案,保證云服務客戶自行實現數據的加解密過程。
a) 信息系統安全首先要落實計算機系統安全管理;
b) 信息系統須具備對登錄用戶具備身份標識和鑒別功能,限制非法登錄次數,有效解決遠程登錄安全性問題;
c) 信息系統實現系統賬戶的有效管理,不存在默認或失效賬戶,應支持多主體授權,支持用戶級、進程級或數據庫級或表級等多種粒度的訪問控制策略配置,實現管理用戶的權限分離,實現訪問安全控制;
d) 應實現系統安全審計功能,覆蓋所有用戶。對重要用戶和重要安全事件進行審計,對審計進程和審計記錄有保護措施,防止未經授權的中斷及更改;
e) 遵循最小安裝原則,僅安裝需要的組建和應用程序。關閉不需要的端口和服務。對有關入侵或非法操作能夠及時進行報警;
f) 采用密碼技術或校驗技術保證重要數據的完整性、數據保密性;
g) 采取較為完善的數據備份與恢復功能,有數據備份與恢復還原的具體方案,并定期進行演練。
a) 無線接入設備安裝位置選址應避免電磁干擾,無線網絡與有線網絡邊界之間的數據流和訪問應通過無線接入網關設備,無線接入設備開啟接入認證,并通過認證服務器進行認證;
b) 無線接入系統能夠監測非授權無線接入設備和非授權移動終端的接入行為,并能夠阻斷非授權無線接入設備或非授權終端;
c) 無線接入系統具備安全管理和防范功能,能夠檢測對無線接入設備的網絡掃描、密鑰破解、中間人攻擊、DDos攻擊和欺騙攻擊等;
d) 應對移動端和移動端應用軟件的采購、開發、部署和使用等進行有效管理;
e) 應建立和加強移動端以及移動端應用軟件的運行管理。
a) 根據學校網絡安全實際情況,劃分網絡安全管理域,對不同管理域的網絡安全設備、安全軟件/系統或組件進行管控;
b) 組建虛擬專網,提供安全信息傳輸路徑,實現對網絡中的安全設備、安全軟件/系統或組建進行管理;
c) 能夠對網絡設備、網絡鏈路、網絡安全設備和服務器等的運行情況進行集中檢測;
d) 能夠對分散在相關設備上的審計數據進行匯總和集中分析,并保證對審計數據管理的合規遵從性;
e) 能夠對網絡安全策略、惡意代碼、軟件版本管理及補丁升級等網絡安全相關事項進行集中管理;
f) 能夠對網絡中發生的各類安全事件進行識別、報警和分析。
網絡安全管理包括網絡安全管理制度、網絡安全機構、網絡安全管理人員、網絡安全建設管理和網絡安全運維管理等部分。
a) 制定網絡安全工作的總方針和安全策略,明確網絡安全工作的總目標、范圍、原則和安全框架等;
b) 根據網絡安全策略,制定網絡安全工作行動指南,為網絡安全管理提供清晰的策略方向,闡明網絡安全建設和管理的重要原則以及網絡安全建設和管理所需支撐保障;
c) 對網絡安全管理活動中的有關內容建立相應的網絡安全管理制度,如機房管理制度、網站建設管理辦法等制度;
d) 對管理人員或操作人員執行的日常管理操作建立操作規程,如服務器操作系統安裝與安全配置操作規程等;
e) 為了落實相關網絡安全管理制度、操作規程,必須設計相應的記錄表單,記錄表單最好通過信息系統實現,便于管理和監督;
f) 管理制度的制定和發布應該符合相關管理規定,并建立相應的制定、評審、修訂、發布的規范流程。
a) 相關網絡安全人員應具備相應崗位的安全管理或技術能力,并簽署崗位責任協議;
b) 網絡安全人員離崗,應及時終止相關權限或授權,進行工作交接,嚴格調離手續,簽署承諾調離后的保密義務方可離開;
c) 針對崗位要求,制定網絡安全人員的學習和教育培訓計劃,網絡安全人員應參加或接受相關網絡安全知識、技能培訓;
d) 網絡安全人員應定期學習網絡安全管理制度以及操作規程,并接受考核;
e) 網絡安全人員應落實外部人員訪問管理有關規定和操作規程。
a) 根據網絡安全策略和網絡安全工作指南,結合網絡安全現狀,對網絡安全進行整體規劃和安全方案設計,建立相應的配套文件;
b) 組織相關部門和專家對網絡安全整體規劃、網絡安全實施方案及配套文件進行合理性、可行性等進行咨詢論證、審定,經批準后實施;
c) 網絡安全產品采購和使用應符合國家有關規定和有關主管部門的要求,應根據方案事先對產品進行選型測試,確定產品的候選范圍;
d) 建議引入第三方符合資質要求的網絡安全工程監理,控制項目的實施過程,負責項目質量管理;
e) 應制定網絡安全工程實施過程和交付前的測試方案,依據實施方案和測試方案進行工程管理和監理;
f) 制定交付清單,根據交付清單對設備、軟件和文檔等進行清點交接。對負責運行維護相關人員進行培訓,提供建設文檔和運行維護文檔,落實項目技術交底;
g) 對服務商產品及服務進行定期評估,強化安全產品的系統升級與服務的改進管理。
a) 落實環境安全管理,特別是機房安全管理制度,做好人員出入管理及外部訪問人員的相關行為管理;
b) 落實信息資產管理措施,對重要信息資產進行標識管理和分類管理;
c) 落實介質的使用和管理,對各類介質進行控制和保護,完善介質存放、使用檔案;
d) 落實設備的維護與管理,特別防范非授權操作;
e) 開展安全漏洞和安全風險管理,及時識別安全漏洞和風險,定期開展安全測評,形成安全測評報告,采取措施應對相應安全問題;
f) 落實網絡安全、云計算安全、信息系統安全等相關措施;
g) 增強密碼管理意識,落實教育行業密碼使用管理規定;
h) 加強配置管理,保存網絡拓撲、軟件版本、補丁信息、配置參數等基本配置信息,及時更新配置變更信息;
i) 明確變更程序和過程管理,根據變更需求制定變更方案,變更方案要經過評審方可實施,并且建立中止變更或從失敗變更中恢復的程序,明確控制方法并對恢復過程進行演練;
j) 對安全事件進行有效管理,對重大安全事件及時啟動應急處置預案和履行報告程序。對網絡安全應急預案應進行演練;
k) 對外包運維管理應加強服務商能力評估,確保符合國家有關規定及項目運維能力交付,應明確相關安全要求,簽訂相關保密要求,明確應急服務保障要求等。
a) 校園網應部署統一身份認證系統,結合實際場景,采取802.1x、Portal、PPPOE、IPOE等多種認證方式,實現有線無線用戶及終端、IPv4/IPv6的統一認證;
b) 統一身份認證系統應支持用戶身份、IP地址、終端地址和接入位置的綁定及可視化,實現所有終端的5A可信接入;
c) 應符合《中華人民共和國網絡安全法》與《互聯網安全保護技術措施規定》(公安部令第82號)的規定。
a) 檢測蠕蟲病毒、宏病毒、木馬型病毒等各種已知病毒和未知病毒,自動恢復被病毒修改的注冊表,自動刪除木馬程序;
b) 隔離染毒用戶,防止病毒傳播。通過設置,一旦發現用戶訪問或者拷貝染毒文件時,可以自動切斷網絡連接,阻止用戶在指定時間內再次訪問服務器;
c) 采用啟發式掃描技術,發現未知病毒或可疑代碼,同時,通過網絡自動提交病毒樣本文件;
d) 對操作系統進行安全防護,對于非可信應用程序動作,應滿足但不限于檢測木馬、檢測蠕蟲、檢測P2P蠕蟲、檢測鍵盤記錄器、檢測隱藏的驅動器安裝、檢測修改操作系統內核的操作、檢測隱藏對象、檢測隱藏進程;
e) 垃圾郵件防護,方法包括域名信譽、IP 信譽、發件人身份驗證、灰名單技術、圖片過濾、完整性分析、啟發式檢測、黑名單和白名單。
a) 根據用戶制定的安全策略,對系統在模擬黑客入侵的情況下對系統的脆弱性進行掃描,準確詳細地報告系統當前存在的弱點和漏洞;
b) 詳細報告系統信息和對外提供的服務信息;
c) 針對系統存在的漏洞和弱點,給用戶提出改進建議、措施和安全策略;
d) 在掃描分析目標系統后,生成完整的安全性分析報告。
a) 使用網站群系統實現網站系統的安全工作;
b) 網站有版權管理制度,明確信息發布內容要求,防止非法/不當信息發布;
c) 網站信息發布專人專機、嚴格網站信息發布密碼合規管理,嚴格網站信息發布審核流程,確保網站信息發布安全;
d) 嚴格網站信息鏈接管理,防止鏈接非法不良信息/網站;
e) 網站管理人員有嚴格交接制度,確保權限收回,系統無后門、無非法鏈接。
a) 網絡論壇系統應落實網絡安全等級保護要求;
b) 網絡論壇的信息發布要落實先審后發制度;
c) 網絡論壇系統應有關鍵詞過濾和屏蔽功能;
d) 網絡論壇系統應落實論壇安全管理相關要求。
a) 新媒體賬號要備案,賬號密碼要安全,設置為登錄及修改信息時關聯管理人員手機,經手機端確認才能登錄或修改信息;
b) 新媒體管理和信息發布人員離崗的,必須履行交接程序,應確認收回權限,明確離崗人員個人賬戶與單位新媒體賬戶沒有任何關聯;
c) 落實新媒體管理和信息發布的用戶權限與授權管理,撤銷不必要授權;
d) 信息發布有明確的審核流程,不允許未經審核或自動關聯相關賬號進行信息發布;
e) 有新媒體安全管理制度,明確規定新媒體管理與信息發布場所、機器,新媒體管理和信息發布留痕、可溯源;
f) 新媒體管理與信息發布終端安全管理,包括個人計算機、筆記本電腦等,防范病毒/掛馬。
a) 防止智能大屏系統被植入病毒及木馬程序,顯示非法/不良信息;
b) 防止外部顯示大屏及連接的設備被植入非法/不良信息;
c) 打印機驅動程序要及時打補丁,關閉不必要的網絡服務,避免被遠程控制進行打印或者獲取打印機打印內容。
a) 建立輿情發現、研判、應對、處置的協同工作機制;
b) 建立輿情研判、處置工作預案,及時研判輿情發展趨勢,回應關于本校的熱議內容;
c) 建立輿情監測平臺,及時發現校內外網站、論壇、微博、貼吧、聊天群關于本校的有關輿情;
d) 建立與有關媒體日常溝通和協調機制,暢通輿情化解與處置通道;
e) 與輿情相關工作隊伍聯動,及時疏通與輿情有關人員的情緒,掌握與輿情發展相關人員信息及動態,便于進一步工作研判、處置和后續工作跟蹤。
a) 認識不到、看不到以及發現不了網絡安全風險都是最大的風險,發現網絡安全風險是防范化解網絡安全各種風險的前提,因此務必提高網絡安全風險的洞察力;
b) 推進網絡安全風險排查,總結網絡安全事件特點規律,提高網絡安全風險的發現能力;
c) 研判網絡安全風險發展趨勢,分析總結網絡安全風險演化呈現的疊加、聯動、放大、誘導等效應情況,特別注意其他安全風險產生的外溢效應;
d) 及時洞察各方面安全風險,特別是高度警惕發生概率小而影響大的“黑天鵝”事件,高度防范發生概率大且影響大的“灰犀牛”事件。
網絡安全重在預防,加強網絡安全風險分析研判和預測,避免發生網絡安全事件。一旦發生網絡安全事件,應有并啟動網絡安全應急處置預案,能夠及時有效控制網絡安全事件和風險不累積、不擴散、不升級。
a) 構建網絡安全態勢感知平臺,強化網絡安全風險的預測預判預警預防,防范其他安全風險外溢效應,將網絡安全風險消滅在萌芽、化解于無形,防止小風險發展成大風險,防止局部風險演化為全局風險,實現網絡安全防御前置;
b) 構建多層深度智能化動態網絡安全保障與防御體系,及時發現網絡安全風險,有效防范外部風險、內部風險,防止外部風險和內部風險擴散,網絡安全風險防護與應急處置技術支持到位;
c) 加強網絡輿情咨詢專家隊伍建設和網絡輿情應急處置數據庫建設,網絡輿情研判分析精準到位;
d) 網絡安全管理實現統籌協調、部門協同、上下聯動,網絡安全管理制度和網絡安全操作的實施細則落實執行到位,實現了網絡安全管理與應急處置的系統性、整體性、協同性、有效性。
a) 網絡安全頂層設計實現網絡安全、內容管理和技術防護的全覆蓋、無死角、無短板、無縫銜接,構建形成網絡安全風險治理的整體框架;
b) 構建形成覆蓋學校、院系部門、科室、個人的四級網絡安全管理和協同機制,形成統籌協調有力、部門協同高效,上下聯動順暢的網絡安全工作機制,網絡安全責任制及績效考核辦法得到有效落實;
c) 建成專職網絡安全管理和技術隊伍,培養提升教職工網絡新媒體素養和信息素養,學生網絡安全隊伍參與,實現社會網絡安全力量協同,網絡安全競賽、教育培訓、網絡安全應急演練實現常態化;
d) 《網絡安全法》《信息安全技術網絡安全等級保護基本要求》等網絡安全法規、條例、標準的宣傳與有關工作要求得到有效落實。