• 部分职能部门网站基于信息中心的网站群平台开发 由信息中心提供技术支持和统一维护；
安全检查
① 互联网站
（1）定级备案 （2）安全审计日志 （3）制度建设 （4）安全防护措施建设
– 二级网站安全防护
• 2013年Web应用防火墙（安恒明御WAF）上线，保障 清水河校区托管服务机房的Web应用（30个网站）
限制指定IP
是
邮件/电话通知防 火墙管理人员在 防火墙限制指定IP
整改完成
邮件通知网络出口管理工作人员 或防火墙管理人员恢复校外访问
应急响应流程
制度建设
• 数据中心其他制度保障
– 《数据中心网络安全管理手册》 – 《数据中心服务器安全管理手册》 – 《数据中心日常检查制度》 – 《机房设备管理维护制度》 – 《数据中心应急预案》 – 《数据中心值班制度》 – 《数据中心机房出入管理制度》 – 《托管服务器管理制度》 – 《数据库存储备份管理制度》 – 《小型机管理制度》
① 互联网站 ② 重要信息系统 ③ 学校公共上网服务场所 ④ 内部联网系统
安全检查
（1）定级备案 （2）安全审计日志
（3）制度建设
1. 2014年9月22日 川公发【2014（】4）7安5全号防护四措施川建设
省公安教育联合发文 “关于进一步加强学
校网络和信息安全保护工作的通知”
– 互联网站
– 重要信息系统
– 互联网站
– 重要信息系统
– 学校公共上网服务场所
– 内部联网系统
安全检查
② 重要信息系统
（1）定级备案 （2）安全审计日志 （3）制度建设 （4）安全防护措施建设
– 是否定级
– 是否备案：公安厅等保备案
– 审计日志留存情况（访问日志）
– 系统用户是否实名制认证
安全检查
② 重要信息系统
– 校内重要信息系统由相关主管部门负责建设开发 和运行维护，服务器放置于信息中心机房统一管 理（财务系统除外）
信息系统安全等级保护工作情况进行现场抽查
等保定级备案
2. 测评经费的需求
– 二级系统每两年一次测评 – 三级系统每年至少一次测评 – 区域指导价（经济越发达地区，价格越贵） – 没有上级专项经费支持 – 测评之后，还要花钱整改
安全检查
2015.5.27 省公安厅网安总队到电子科技大学 进行安全检查。检查内容依据川公发【2014】 75号，针对四个方向：
安全检查
④ 内部联网系统
（1）定级备案 （2）安全审计日志 （3）制度建设 （4）安全防护措施建设
– 和②重要信息系统的要求一致
– 备案：公安厅等保备案
– 审计日志留存情况（访问日志）
– 系统用户是否实名制认证
我校的信息安全建设工作
1. 制度建设 2. 安全防护措施建设 3. 十三五规划
制度建设
明御WAF）上线 – 2014年万兆防火墙（Juniper SRX3600）上线，路由模式集群部署，
保障所有数据中心网段安全； – 2014年安全应用防火墙（山石网科M7360）上线，串行部署，保障
沙河校区数据中心服务器以及高性能计算机房安全； – 2014年网站安全监控平台（知道创宇WebSoc）上线，实现155个校
保密协议 • 安全联络员 • 新建域名申请流
程 • 信息系统和网站
上线流程
制度建设
2. 规章制度管理
– 应急流程与应急预案
• 安全事件响应 • 如何保证30分钟内断网？ • 3秒断网？ • 如何线索查证？
安全联络员或上级 领导收到安全通报
特别重大安全事件
判断事件等级
一般安全事件
电话通知网络出 口管理人员在校 园网络出口限制
1. 网络安全组织管理
– 主管领导
• 校长/副校长
– 管理机构
• 网络信息安全领导小组 • 信息中心
– 网络安全员
• 专职or兼职？
制度建设
2. 规章制度管理
– 网络信息服务管理办法
• 所有网络信息服务必须进行 审批和备案
• 安全责任人为所在单位第一 责任人
• 违反规定后的处分
制度建设
• 安全目标责任书 • 网络与信息安全
等保定级备案
电子科技大学备案情况：3个二级系统： • 电子科技大学中文门户网站 • 电子科技大学本科招生网 • 电子科技大学研究生招生网
等保定级备案
1.时间节点的要求（教技厅函[2015]68号）：
– 部属高校应于2016年6月30日前完成公安机关 定级备案
– 部属高校应于2016年12月31日前完成测评整改 – 科技司将结合年度网络安全检查,对各部属单位
安全防护措施建设
• 数据中心安全防护
– 2010年防火墙（思科ASA5550 ）上线，透明旁路双机部署，保障核 心应用服务安全；
– 2010年VPN设备（思科ASA5520）上线，结合防火墙策略实现远程维 护管理；
– 2013年统一身份认证与各应用系统的安全登录 SSL证书加密升级； – 2013年数据库审计设备（SecureGrid）和网站安全应用防火墙（安恒
• 防病毒：主要采用第三方免费软件 • 防入侵：无统一措施 • 防攻击破坏：双机热备或数据备份等机制
– 重灾区
– 网站群？
安全检查
（1）定级备案 （2）安全审计日志
（3）制度建设
1. 2014年9月22日 川公发【2014（】4）7安5全号防护四措施川建设
省公安教育联合发文 “关于进一步加强学
校网络和信息安全保护工作的通知”
教育部办 关于印发《信息系统安全等级保护定级
公厅
审核工作流程（试行）》的通知
教育部办 关于组织开展部属单位信息安全等级保
公厅
护工作的通知
政策解读
• 定级依据 • 定级思路 • 定级工作流程
信息系统分类表
政策及要求
政策及要求
政策解读
根据定级工作指南： • 所有高校信息系统都是二级以上 • I类院校的重点系统定为三级：
2. 据了解，目前其他高校备案情况：
– 清华大学4个二级系统； – 北京交通大学2个三级系统，12个二级系统； – 北京师范大学1个三级系统，12个二级系统
等保定级备案
电子科技大学2015年6月25日完成3个二级系 统的备案：
– 电子科技大学中文门户网站 – 电子科技大学本科招生网 – 电子科技大学研究生招生网
– 科研管理、科研情报 – 招生录取管理 – 门户网站、论坛、社区类网站 – 校园一卡通
政策解读
几点疑问： • 列表里的信息系统都要备案？ • 二级域名的网站怎么算？ • 二级系统一定要做测评？ • 备案测评要多少钱？ • 等保工作有没有时间节点要求？
等保定级备案
1. 步骤：定级备案整改测评监督检查 2. 定级方式：自主定级，自行聘请专家进行评
内域名统一监控
“十三五”安全规划
系统等 级保护 测评
安全责 任人制
度
系统安 全加固
日志审 计
流量分 析
防病毒
入侵防 御
NGFW
加强信息化安 统一安全 基于虚拟化的 全制度建设 审计平台 云安全平台
一体化安全体系
知识回顾 Knowledge Review
5 教技厅函[2015]64 号
6 教技厅函[2015]68 号
发文单位 名称
教育部
关于加强教育行业网络安全工作的指导 意见
教育部办 关于印发《教育行业信息系统安全等级
公厅
保护定级工作指南（试行）》的通知
教育部办 关于印发《信息技术安全事件报告与处
公业网络安全等级保 公安部 护工作的通知
指定IP
重大及较大 安全事件
通知事件责任部门断 网并要求立即整改
通知事件责任部 门整改
如果安全事件等级 升级，按照特别重 大或重大流程进行
断网处理
邮件告知网络出口 管理工作人员及上 级领导事件详情
通知事件责任部门 要求立即整改，并
提交情况报告
是否经过防火墙
否
邮件/电话通知网 络出口管理工作人 员在校园网络出口
安全检查
① 互联网站
（1）定级备案 （2）安全审计日志 （3）制度建设 （4）安全防护措施建设
– 二级网站：校内登记二级域名305个，其中有 效域名约240个
• 部门/院系/实验室等网站：向信息中心申请二级域 名，部门/院系自行开发、管理、维护网站及服务器 其中部分网站基于信息中心的虚拟主机平台或托管 在信息中心机房；
审，主管部门审核批准 3. 定级依据：《教育行业信息系统安全等级保
护定级工作指南（试行）》 4. 备案方式：二级以上系统到市级以上公安机
关办理备案手续，三级以上信息系统同时报 教育部备案
等保定级备案
1. 备案提交材料：《信息系统安全等级保护 定级报告》和《信息系统安全等级保护备 案表》，下载链接： /xxgk/gsgg/dbxx/201 405/t20140515_7765.html
– 信息门户、一卡通、本科教务系统、学工系统、 人事系统的数据库由信息中心统一管理，采用 RAC双机集群、dataguard容灾部署，每周全量备 份、每天增量备份到存储阵列和磁带库；
政策及要求
（1）实名认证 （2）安全审计设备 （3）日志记录，尤
其是源端口号
安全检查
（1）定级备案 （2）安全审计日志 （3）制度建设 （4）安全防护措施建设
– 学校公共上网服务场所
– 内部联网系统
安全检查
① 互联网站
（1）定级备案 （2）安全审计日志 （3）制度建设 （4）安全防护措施建设
– 一级网站（主页门户）
• 双备案：工信部ICP备案和公安厅等保备案 • 审计日志留存情况（访问日志）