教育信息系统安全风险概述.pptVIP

系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全保护等级矩阵表二、国家信息安全等级保护政策解读等级保护工作的主要内容

系统定级：定级原则自主定级谁主管，谁负责谁运营，谁负责专家评审主管部门审批公安机关审核二、国家信息安全等级保护政策解读第一级信息系统小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级信息系统县级某些单位中的重要信息系统。地市级以上国家机关、企事业单位内部一般的信息系统，例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。4.等级保护工作的主要内容

1）系统定级：参考意见二、国家信息安全等级保护政策解读第三级信息系统地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统。中央各部委、省（区、市）门户网站和重要网站。跨省联接的网络系统等。4.等级保护工作的主要内容

1）系统定级：参考意见二、国家信息安全等级保护政策解读4.等级保护工作的主要内容

1）系统定级：参考意见第四级信息系统国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信骨干传输网、铁路客票系统、列车指挥调度系统等。等级保护工作的主要内容

系统定级：起草定级报告定级报告范例二、国家信息安全等级保护政策解读二、国家信息安全等级保护政策解读等级保护工作的主要内容

系统备案第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，备案时需提交《信息系统安全等级保护定级报告》和《信息系统安全等级保护备案表》第一级系统无需到公安机关备案应引起足够警惕，采取安全措施，应对这种挑战。网上黑客入侵和犯罪、网上病毒泛滥和蔓延:一、教育信息系统安全风险概述二、国家信息安全等级保护的相关政策三、教育系统等级保护工作要求及开展情况提纲一、教育信息系统安全风险概述典型应用门户网站教育行政部门网站学校网站……政务校务办公教育电子公文与信息交换系统视频会议系统电子邮件、一卡通等基础应用内部行政办公系统人事、财务、资产等管理系统学籍、教务、科研等管理系统……公共服务各类信息发布政务公开、校务公开网上考试报名、成绩查询、招生系统学历学位认证系统就业公共服务平台学生资助服务平台……1.教育系统应用建设现状一、教育信息系统安全风险概述管理风险，内部人员的违规\违法操作,口令和密钥管理不当、制度遗漏、岗位、职责设置不全面等因素引起的风险；无意错误风险，是指由于人为或系统错误而影响信息的完整性、机密性和可用性。物理风险，比如自然灾害，电力供应突然中断，静电、强磁场破坏硬件设备以及设备老化等引起的风险；有意破坏风险，非法人员利用网络、系统、应用等的脆弱性对系统进行攻击，从而影响信息的必威体育官网网址性、完整性、可用性；教育信息系统风险分析一、教育信息系统安全风险概述教育信息系统所面临的恶意攻击一、教育信息系统安全风险概述4.教育信息系统安全事件2010年上半年教育网网站挂马数量和月度挂马率统计数据来源：北京大学网络与信息安全实验室一、教育信息系统安全风险概述教育信息系统安全事件一、教育信息系统安全风险概述教育信息系统安全事件国内某高校网站遭受篡改一、教育信息系统安全风险概述非法修改学历学位数据，制作销售假学历学位证书，骗取学生证书费！4.教育信息系统安全事件非法修改各类考试成绩，骗取学生相关费用！非法修改招生录取数据，制作销售假录取通知书，骗取家长手续费！一、教育信息系统安全风险概述教育信息系统安全建设目标保护信息资产（信息基础设施、应用服务信息内容等）不受侵犯保证信息资产的所有者面临最小的安全风险和获取最大的安全利益符合国家对信息安全保障体系建设的要求——信息安全等级保护制度1提纲教育信息系统安全风险概述国家信息安全等级保护的相关政策教育系统等级保护工作要求及开展情况二、国家信息安全等级保护政策解读添加标题等级保护的基本含义添加标题等级保护政策要求添加标题等级保护标准体系添加标题等级保护工作的主要内容二、国家信息安全等级保护政策解读1.等级保护的基本含义信息安全等级保护是信息系统分等级实行安全