河南省教育厅
关于在全省教育系统开展网络安全综合治理行动的通知
各省辖市、省直管县(市)教育局,各高等学校,厅直属各单位:
为全面贯彻党中央、国务院关于网络安全的统筹部署,落实《网络安全法》,迎接党的十九大胜利召开。根据教育部办公厅《教育行业网络安全综合治理行动方案》部署安排,我厅决定于今年6月起,在全省教育系统开展网络安全综合治理行动,现将有关事宜通知如下:
一、工作目标
此次专项整治行动以“治乱、堵漏、补短、规范”为目标,坚持问题导向,强化依法治网,全面从严管理,狠抓责任落实,着力加强对网站乱象的治理、堵塞安全漏洞、补齐等保短板、规范安全管理。同时,兼顾近期与长远、综合治理与源头治理相结合,全面提升教育行业网络安全水平,增强信息系统防护能力,有效防范和抵御安全风险隐患,切实保障信息系统(网站)稳定运行和数据安全。
二、工作内容
(一)治理网站乱象,强化主体责任
1.进一步落实网站标识工作。各级教育行政部门、各级各类学校以单位名称注册网络域名时,必须与机构编制管理部门批准的名称相一致。尚未完成网站挂标的县级以上教育行政部门,应按照《党政机关网站开办审核、资格复核和网站标识管理办法》,尽快到各地机构编制部门完成网站开办审核、资格复核和挂标工作。
2.规范和清理教育类网站域名。各级教育行政部门应统一使用“.政务”、“.政务.cn”或“.gov.cn”域名,各高等学校应统一使用“.edu.cn”域名,鼓励有条件的其他教育机构、中等职业学校和中小学校使用.edu.cn域名。不具有教育行政职能、教育教学职能的单位原则上不得开办教育类网站,企业、个人以及其他社会组织不得开办教育类网站。省教科网网络中心配合省教育厅做好非教育机构的网站域名的清理工作。
3.严格信息发布、转载和链接管理。各单位要严格执行网站信息“统一规范、分级负责、多级审核、先审后上、保证质量”原则,建立健全网站信息发布审核和保密审查制度,明确审核审查程序,建立审核审查记录档案,确保信息内容的准确性、真实性和严肃性。要做好网上网下互通融合,充分考虑各种信息之间的关联性,防止由于数据汇聚泄露国家秘密或个人隐私、单位敏感信息。
教育网站原则上不承担与本地区、本单位教育系统无关的信息采集和发布义务,不得发布广告等经营性信息,严禁发布违反国家规定的信息。教育网站转载的信息应与自身的活动相关,并评估内容的真实性和客观性,充分考虑知识产权保护等问题。要加强网站的链接管理,定期检查链接的有效性和适用性。需要链接非教育类网站的,须经本单位分管网站安全工作的负责同志批准,链接的资源应与履行职能的活动相关,或者属于便民服务的范围。
4.加强网站运维管理。严格落实值班读网制度,网站管理部门安排值班人员每天登录网站读网,认真查看网站运行和页面显示状况,查看各项功能的有效性,查看所发布的信息特别是重要信息是否存在错漏,查看是否存在暗链,发现问题立即纠正。严格落实网站维护管理制度,原则上要求在单位局域网内进行运维管理,若管理员需要远程运维或第三方单位(如网站开发单位)远程接入运维,需要采用VPN加密等安全方式接入,不允许直接远程桌面或直接开放管理相关端口到互联网。
5.推进网站集约化建设。各市县教育局、各高校要进一步加强网站建设的统筹规划,将内部职能部门和内设机构网站纳入统一规划和管理,健全开办审批和登记备案制度。提倡采取网站群的模式对网站进行统一管理,实现信息同步和资源共享,增强网站防护能力和运维水平。不具备自建网站条件的县级以下教育行政部门和中职学校、中小学校和幼儿园,可利用上级教育行政部门网站平台或依托第三方力量合作建设和运维网站,提高网站的专业性和安全性。
(二)堵塞安全漏洞,增强防护能力
6.开展关键信息基础设施检查和风险评估。各单位要进一步摸清关键信息基础设施风险状况,以防攻击、防病毒、防泄密为重点,深入查找薄弱环节,关闭或删除不必要的网站、应用、服务、端口和链接,对弱口令问题进行重点整治。同时,加强系统间、业务间关联风险的评估,严防连锁式网络安全事故。
7.加强和规范数据安全管理。各单位应规范数据采集、存储、使用和开放共享,对重要数据必须进行加密存储、传输和容灾备份。加强对0day漏洞、SQL注入等数据库安全风险防范,防止拖库等安全事件的发生。
8.强化政务信息系统和互联网政务邮箱监管。各级教育行政部门、各高校对本单位的所有信息系统负有直接责任。要按照谁主管谁负责、谁使用谁负责、谁运维谁负责的原则,将所有信息系统安全责任逐一明确到个人。着力强化政务信息系统和互联网政务邮箱管理,注销非在职人员账号。个人处理公务时原则上使用单位统一提供的电子邮件系统,严禁使用个人邮箱收集涉及教师、学生、家长和单位敏感信息的材料。
(三)补齐等保短板,履行安全保护义务
9.加快完成信息系统安全等级保护定级备案。各地、各单位要严格按照《河南省教育厅、河南省公安厅关于深入开展教育行业信息系统安全等级保护工作的通知》(教科技〔2015〕710号)、《转发教育部办公厅关于印发<教育行业信息系统安全等级保护定级工作指南(试行)>》的通知》(教办科技〔2015〕394号)文件要求,坚持“自主定级、自主防护”的原则,尽快完成信息系统(网站)等级保护定级工作,并到当地公安机关进行备案。新建系统应在正式上线前完成信息系统定级备案和测评整改。
10.有序推进测评整改。各单位应按照文件要求,对主管的信息系统(网站)开展网络安全等级测评整改工作。三级信息系统(网站)每年进行一次测评,二级信息系统(网站)每两年进行一次测评,深入查找薄弱环节并迅速整改。
(四)规范安全管理,提升治理水平。
11.健全网络安全预警机制。省教育厅接收到相关部门的网络安全预警信息后,将通过公文、电话、微信群、短信平台等方式,第一时间向各省辖市、省直管县(市)教育局,各高等学校、厅直各单位发布预警信息。各地、各单位接到预警后,应迅速做出反应,按照预警通知要求全面做好防范工作。同时也要建立相应的网络安全预警机制,确保预警信息的快速通达。
12.建立网络安全日常监测和隐患通报机制。有条件的高校和教育行政部门应建立信息技术安全监测机制,实现网络安全问题的早发现、早处置。省教育厅委托省教育信息安全监测中心开展对各地、各单位门户网站、重要信息系统的常态化监测,通过电话、短信、微信和电子邮件等方式,向各单位通报存在的漏洞、后门、暗链、弱口令等安全隐患,并负责跟踪核查整改结果。各单位要按照省教育厅《信息技术安全事件报告与处置流程(试行)》(教科技〔2017〕438号)相关规定,按时按要求开展问题处置并提交整改报告。
13.健全网络安全事件应急响应机制。各单位应研究制定信息技术安全应急预案,按照省教育厅《信息技术安全事件报告与处置流程(试行)》的安排,建立安全事件分级响应、跨部门协同处置的工作机制。加强应急处置队伍建设,在重要时期和敏感时期落实24小时值守,并定期开展安全演练,提高教育信息系统(网站)应急处置水平。
三、工作要求
(一)提高思想认识,加强组织领导。省教育厅负责统筹部署综合治理行动,各级教育行政部门负责统筹本地区的综合治理行动。各单位应充分认识开展综合治理行动的重要性和紧迫性,将工作纳入重要议事日程予以部署,明确主管领导、牵头部门和责任人,提供必要的工作保障,确保各项工作落到实处。
(二)加强协调配合,形成工作合力。各级教育行政部门和各高校要加强与属地网信、公安、工信等网络安全职能部门的沟通,在打击网络违法行为、处置网络安全事件等方面形成合力。探索与网络安全专业机构、安全企业建立合作机制或购买第三方服务,在信息共享、技术支持、教育培训等方面开展多方位的合作。
(三)开展宣传教育,提升安全意识。各单位应组织开展网络安全宣传教育,面向网络安全管理人员和技术人员开展专题培训,切实提高网络安全意识、管理水平和防护能力。利用新生入学教育、网络安全宣传周等契机,通过形势政策课、讲座、报告会等方式面向广大师生开展网络安全宣传教育,提高网络安全意识和素养。