西安市教育局关于开展教育系统网络及信息安全集中大检查的通知
市教发〔2011〕467号
各区县教育局,沣渭新区教育局,市属中小学:
根据《西安市教育局、西安市公安局关于开展教育信息系统安全等级保护工作的通知》(市教发发[2011]170号)精神,为进一步加强我市中小学校计算机及网络信息系统的安全管理,提高校园网的安全防范能力,按期完成教育信息系统安全等级保护工作,保证教育网络安全运行,市教育局联合市公安局决定于2010年11月10日至11月21日对全市各区县教育网及接入校园网的中小学校网络安全管理情况进行集中大检查。
一、组织领导
成立“西安市中小学计算机信息系统安全等级保护工作检查领导小组”负责此次检查工作的组织实施。
组长:李颖科 西安市教育局局长
副组长:赵春平西安市教育局副局长
张毅 西安市教育局副巡视员
赵宏伟西安市公安局网保支队副支队长
成员:郭会侠 西安市教育局稳定安全办公室主任
智功献西安市现代教育信息技术中心主任
张富成西安市公安局网监支队大队长
领导小组办公室设在市现代教育信息技术中心。
二、检查小组成员
为切实做好此次网络安全大检查工作,成立两个检查小组,分赴区县进行检查。每个检查小组设小组负责人1名,由稳定安全办公室或现教中心干部担任;各检查小组成员由稳安办人员1名、市公安局网监支队人员1名、市现教中心技术人员2名组成(具体分组安排见附件)。
三、检查对象
(一)各区县教育网
(二)各区县及市属中小学,随机抽查2-4所。
四、检查内容
(一)安全组织。各联网单位(学校)需建立由单位主要领导为负责人的计算机信息系统安全组织,设立专职或兼职安全管理员。
(二)安全管理制度。各被检查单位做好网站信息安全制度落实情况,建立健全网站应急值班、网站信息内容审核、安全责任追究等各项信息网络安全管理制度。
(三)安全技术措施。各被检查单位做好网页防篡改、防病毒、防攻击等相关技术防范措施,落实IP地址分配记录、60天以上日志留存,并按照《教育部关于加强中小学网络道德教育抵制网络不良信息的通知》(教基一〔2010〕2号)的要求安装绿色上网过滤软件等安全技术措施。
(四)校园机房环境安全。主要包括机房的布线、防雷、防火、防静电、监控等环境安全。
检查校园信息系统等级保护工作的落实情况。了解我市信息系统安全现状(具体检查标准,见附件2、3)。
四、其他要求
(一)各检查小组分赴区县进行检查,指定专人做好检查情况的记录、汇总。对有问题的单位及时下发整改通知。
(二)网络安全大检查期间,检查小组成员合理安排工作时间,保证检查工作的顺利实施。
(三)名区县做好等级保护自查结果汇总及信息安全等级保护工作协调领导小组联络人名单(见附件4、5)。
附件2:
西安市教育系统网络及信息安全大检查工作评分标准
(网络安全)
一级指标 |
二级指标 |
|
组织制度 |
成立安全领导小组(10) |
|
落实网络安全小组岗位工作职责(10) |
||
配备计算机安全员(10) |
||
管理制度 |
计算机机房安全保护管理制度(5) |
|
网络安全漏洞检测和系统升级管理制度(4) |
||
病毒防治制度(4) |
||
网络使用保密管理制度(4) |
||
应急预案(5) |
||
违法案件报告和协助查处制度(4) |
||
安全教育和培训制度(4) |
||
技术措施 |
计算机病毒防范措施(8) |
|
安全审计及预警措施(8) |
||
网络攻击防范、追踪措施(8) |
||
IP地址分配、管理、记录的有关措施(6) |
||
机房环境安全 |
机房布线(5) |
|
防雷、防火、防静电(3) |
||
监控(2) |
附件3: 西安市教育系统网络及信息安全大检查工作评分标准(网站安全) 一级指标(分值) 二级指标(分值) 说明 组织制度 成立网络安全小组(5) 落实网络安全小组岗位工作职责(2) 配备计算机安全员(3) 管理制度 网站安全管理制度(5) 病毒防治制度(3) 网络使用保密管理制度(3) 突发事件应急预案(3) 网站数据备份和恢复制度(3) 网站值班制度(3) 信息发布审核、登记、保存、清除和备份制度,信息群发服务管理制度(3) 交互式栏目24小时巡查制度(3) 用户登记制度和操作权限管理制度(3) 违法案件报告和协助查处制度(3) 网络安全漏洞检测和系统升级管理制度(3) 技术措施 病毒防范措施(4) 是否有针对网站的病毒方案措施 安全审计及预警措施(4) 包括是否有审核机制、预警机制,是否保留安全日志以及安全日志的查看周期等 网络攻击防范、追踪措施(4) 是否有针对网站的防范攻击的措施以及追踪措施 技术措施 日志保存措施(4) 保存60天以上系统网络运行日志和用户使用日志记录功能,内容包括IP地址分配及使用情况,交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地址,交互式栏目的信息等 交互式栏目具有关键字过滤技术措施(4) 交互式栏目(新闻回复、论坛、博客、空间等栏目)是否具备关键字过滤的技术 网页防篡改措施(4) 是否安装网页防篡改软件或硬件 系统管理和数据库管理的账号、密码的安全性(4) 包括是否多个服务器均使用一个帐号、密码的长度(至少8位)、密码的复杂性(至少包含3类字符),密码的更换周期等 服务器上系统及应用的安全性(4) 包括补丁安装情况,以及是否安装不安全、不必要的服务或应用 交互式栏目的身份登记和识别措施(4) 交互式栏目(新闻回复、论坛、博客、空间等栏目)是否具备身份登记、识别的措施 是否有网站数据备份措施(4) 是否在工信部、网监支队进行网站备案(5)
(10)
(35)
(45)
(45)