国家教育管理信息系统信息安全保障体系建设指南（试行）教育部教育管理信息中心2013年12月目录引言............................................. - 1 -一、建设目标与总体框架............................. - 3 -1.1建设目标 ..................................... - 3 -1.2建设原则 ..................................... - 3 -1.3总体框架 ..................................... - 4 -二、建设内容 ...................................... - 8 -2.1国家、省两级信息安全保障体系建设.............. - 8 -2.1.1 安全管理体系建设内容 ................... - 8 -2.1.2 安全技术体系建设内容 ................... - 9 -2.2统一安全管理与技术支撑体系建设............... - 10 -2.2.1 统一信息安全监管体系 .................. - 11 -2.2.2 统一关键安全技术支撑体系建设........... - 14 -2.3应用系统终端安全建设 ........................ - 16 -三、组织实施 ..................................... - 19 -3.1信息系统定级备案 ............................ - 20 -3.2安全建设（整改）规划 ........................ - 21 -3.3安全建设（整改）实施 ........................ - 21 -3.4安全等级测评 ................................ - 23 -3.5安全建设验收 ................................ - 24 -四、安全运维工作的组织实施........................ - 25 -4.1建立信息安全运维队伍 ........................ - 25 -4.2制定信息安全运维规范 ........................ - 25 -4.3开展日常信息安全运维工作 .................... - 26 -4.4配合教育部开展国家教育管理信息系统安全运维工作- 26 -附录1国家、省两级信息安全建设任务列表 ........... - 27 -附录2 省级教育部门需统一参数配置的安全设备列表.... - 28 -引言教育是提升民族素质、促进经济发展和社会进步的基本推动力，教育信息化是国家信息化的重要组成部分。

按照教育信息化十年规划、全国教育信息化工作电视电话会议精神、《教育部等九部门关于加快推进教育信息化当前几项重点工作的通知》和《教育部财政部人力资源和社会保障部关于进一步加强教育管理信息化工作的通知》要求，十二五期间，教育信息化的主要目标是建成以“宽带网络校校通、优质资源班班通、网络学习空间人人通”和“教育资源公共服务平台、教育管理公共服务平台”为核心的“三通两平台”工程。

国家教育管理信息系统建设是国家教育管理公共服务平台建设的基础与核心，将按照“两级建设，五级应用”的模式进行建设，其中，两级建设是指在教育部和各省级教育部门分别建立国家和省两级数据中心，形成数据集中、系统集成的应用环境；五级应用是指由教育部统一组织开发的教育管理信息系统，在国家级和省级数据中心进行部署，国家级系统部署在教育部数据中心，省、地市、县、学校级系统部署在省级数据中心，供国家、地方教育部门和学校使用。

国家教育管理信息系统规划建设学生、教师、学校资产及办学条件、教育规划与决策支持、其他业务管理等五大类共20个管理信息系统。

信息安全保障体系是国家教育管理信息系统的重要组成部分，是保障国家教育管理信息安全，确保国家教育管理信息系统安全稳定运行的基础保证。

随着国家教育管理信息系统的建成，各级教育管理机构和各类学校的教育管理业务对管理信息系统的依赖程度将会越来越高，会逐步形成覆盖全国各级各类教育的学生、教师和学校及资产等方面的海量信息，系统整体呈现数据信息规模庞大、数据海量、用户众多、分布范围广、传输数据路径复杂等特点。

国家教育管理信息系统在数据采集、数据传输、数据存储、应用系统自身、承载应用基础环境及系统互联等各个层面，面临着不断来自内部和外部网络的非授权访问、数据窃取、恶意代码攻击、数据丢失等现实威胁，对于维持国家教育管理信息系统安全稳定运行，保障国家教育管理信息安全提出了更高的要求。

为了加强国家教育管理信息系统安全，《国家教育管理信息系统建设总体方案》中明确提出“建设信息安全保障体系，保障国家教育管理信息系统的健康可持续发展”，要求遵照“同步规划、同步建设、同步发展”的原则，在系统建设时同步开展信息安全保障体系的设计与实施。

要求结合“两级建设、五级应用”的系统总体建设方案，在国家、省两级分别建立信息安全保障体系。

同时，通过在国家、省两级贯彻执行统一的安全规划、统一技术标准、统一的安全产品配置，保证上下互联互通，保障五级应用的整体安全。

信息安全的涉及范围广泛，与信息化的各个层面都紧密相关，其中，“统一电子认证和公钥基础设施体系（PKI/CA）”和“灾难备份恢复体系”是信息安全保障体系中的重要建设内容，这两部分内容相对独立，涉及技术专业性强，设计与实施复杂，教育部将围绕“统一电子认证和公钥基础设施体系（PKI/CA）”和“灾难备份恢复体系”另行制定指导性方案，保障信息安全建设的有效落实。

一、建设目标与总体框架1.1建设目标国家教育管理信息系统安全保障体系建设的总体目标是：依据国家和行业信息安全保障要求，根据系统安全保障实际需要和系统结构特点，在国家和省分别建设符合信息安全等级保护要求，适用国家教育管理信息系统“两级建设、五级应用”特点，上下贯通的信息安全一体化防护体系，维持国家教育管理信息系统稳定运行，保障教育管理信息安全。

国家教育管理信息系统信息安全保障体系建设的具体目标如下：1、国家、省两级分别建设符合国家和行业信息安全等级保护要求的信息安全保障体系，为本级各类应用系统、教育管理信息和应用终端用户提供安全保障。

2、在国家、省两级信息安全保障体系建设的基础上，建立统一的信息安全管理与技术支撑体系，实现教育部对全局信息安全工作的统筹协调，实现教育部对国家教育管理信息系统的统一安全管理与监控，实现国家教育管理信息系统安全保障体系中关键安全策略的一致性，保障关键安全措施的有效性，有效提高信息安全整体防护能力。

1.2建设原则国家教育管理信息系统安全保障体系建设遵循“同步建设、协同应用；等保合规、遵从行标；统一标准、上下联动”的原则。

同步建设、协同应用：坚持信息化与信息安全同步建设的原则，在国家教育管理信息系统建设过程中同步进行信息安全建设，在系统规划、设计、实施和运维整个生命周期中，全面落实信息安全措施，有效保障应用系统及教育管理信息安全。

等保合规、遵从行标：遵循国家信息安全等级保护相关政策、标准，执行教育部制定的教育行业信息安全相关标准规范，按照系统定级备案、安全建设和等级测评等工作程序，开展信息安全保障体系建设，落实等级保护要求。

统一标准、上下联动：国家、省两级教育部门要在关键安全策略与关键信息安全技术上实现统一策略、统一标准、统一配置，形成覆盖国家教育管理信息系统五级应用的纵向联动机制。

1.3总体框架根据《教育服务与监管体系信息化建设项目安全保障体系总体设计方案》（即国家级安全保障体系设计方案），将在国家、省两级教育部门共同建设“两横两纵”的国家教育管理信息系统安全保障体系。

即以国家、省两级数据中心为基础，由国家、省两级分别自行建设本级信息安全保障体系（简称“两横”）。

在此基础上，根据统一要求，国家、省两级教育部门共同建设统一安全管理与技术支撑体系（简称“两纵”），并依据统一的终端信息安全配置基线，针对国家教育管理信息系统的业务特点，进行应用系统终端安全设计与实施。

通过国家教育管理信息系统安全保障体系，为国家教育管理信息系统的基础环境、五级应用、业务数据信息及应用终端提供整体安全保障。

国家教育管理信息系统信息安全保障体系总体框架如图1所示。

- 5 -图 1 国家教育管理信息系统信息安全保障体系总体框架1、国家、省两级信息安全保障体系国家、省两级教育部门以本级所承载的国家教育管理信息系统和自建信息系统作为安全保障对象，建设由安全管理体系和安全技术体系构成的信息安全保障体系，为本级承载的业务及数据信息提供安全可控的环境与保障。

信息安全管理体系建设主要包括建立信息安全制度，明确信息安全责任部门，设立信息安全岗位，落实信息安全责任，规范信息安全工作程序，开展信息安全培训等。

信息安全技术体系建设主要包括建立覆盖物理、网络、主机、存储、数据库、平台、应用的整体信息安全防护技术支撑环境。

2、统一安全管理与技术支撑体系在建设国家、省两级信息安全保障体系的基础上，以国家教育管理信息系统为安全保障对象，建设由统一信息安全监管体系和统一关键安全技术支撑体系构成的统一安全管理与技术支撑体系，为教育行业网络与信息安全监督管理工作提供平台支持，为国家教育管理信息系统提供统一的关键信息安全基础设施支撑。

信息安全监管体系主要包括信息安全监管队伍和信息安全监管技术支撑平台，后者主要由信息安全运行维护管理平台、应用安全监测与预警平台、安全工作管理平台等构成，用于实施国家、省两级教育部门信息安全工作的统一管理，保障安全工作有效落实；实现国家、省两级教育部门对其承载的国家教育管理信息系统及自建系统安全运行状态、信息安全事件、应用系统脆弱性进行监管；实现教育部对部署在省级数据中心的国家教育管理信息系统进行远程安全监控，保障信息安全事件及时响应。

统一关键安全技术支撑体系主要包括加密传输通道、数据存储加密服务平台和应用终端传输加密与认证，主要为国家、省两级数据中心安全网络连接、数据加密存储/传输及应用系统终端可信访问提供统一的关键信息安全基础设施支撑。

3、应用系统终端安全应用系统终端是国家教育管理信息系统业务用户使用的客户端主机，分布于国家、省、地市、区县教育部门和学校等各级单位，根据国家教育管理信息系统的业务特点，大部分应用终端具备数据录入、审核、操作权限，此类终端面临系统病毒感染、系统遭受恶意攻击、数据篡改、数据丢失、应用系统遭受攻击等风险，要制定《国家教育管理信息系统终端信息安全配置规范》，对终端用户认证与授权管理、传输加密、终端设备管理、人员管理等方面提出基本要求，并结合实际需求进行安全设计与实施，保障国家教育管理信息系统终端安全。