关于做好区教育系统基层单位网络安全工作的通知
2019年06月13日 来源: 上海普陀区教育系统各单位:
为进一步提升本市重点行业、重要单位的网络安全防护能力,全力做好新中国成立70周年大庆、第二届中国国际进口博览会等重大活动网络安全保卫工作,市公安局、市委网信办将联合组织开展了全市范围网络安全执法检查专项行动。为做好本市教育系统重要时期网络安全保障工作,市教卫工作党委、市教委将开展2019年本市教育系统网络安全检查,重点对本市教育行业各单位网络安全等级保护工作落实、联网系统备案、6个月以上日志留存、网络安全防范措施落实、网络安全应急响应措施、关键信息基础设施安全防护措施、户外LED大屏及楼宇电视管控等情况开展检查。
为有效落实上述工作要求,全面推进本区各教育单位网站(平台)信息系统安全工作,保障区域内教育网络设施、信息系统及数据安全,促进教育信息化安全有序运行,现就相关工作事项通知如下:
一、高度重视、明确分工
各单位应充分认识到网络安全保障工作的重要性,提高网络安全意识,强化底线思维。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,进一步明确责任、落实制度,将网络安全工作纳入重点工作予以研究部署,不折不扣地落实好网络安全保障工作,坚决防止发生重大网络安全事件。
二、清理整合现有信息系统
本文所指的信息系统是指本单位主办的各类网站、办公系统、管理系统、学习系统、电子邮件等系统。
1.摸清家底
各单位应开展一次信息系统自查,凡是符合以下条件之一的,都须纳入此次清理整合范围。
(1)放置于本单位服务器的信息系统;
(2)以托管服务器、租用空间、购买服务等形式运行的信息系统。
2.清理“僵尸”信息系统
对年访问量极低、长期未更新或很少更新的网站,已完成工作使命的专题网站,无人运维或运维缺乏基本保障、安全威胁长期不修复的信息系统等“僵尸”信息系统采取下线措施。
3.清理电子邮件系统
学校不自行建立电子邮件系统,可采取向境内合法企业邮箱服务商购买服务的方式解决必要的应用需求。同时,各单位应严格执行国家安全保密制度,禁止将涉密文件在服务商提供的电子邮件系统中流转。
三、网站迁移入群
原则上各单位不单独主办互联网网站和信息系统,各单位将包括单位门户网、各类专题网在内的所有需通过互联网直接访问的网站迁移至区教育网站群,统一使用pte.sh.cn子域名提供服务。各幼儿园也可将网站迁移至市教委主办的“上海学前教育网”(Age06)网站集群。
1.区教育站群概况
区站群系统提供快速搭建站点、页面模板化设计、内容发布等信息发布类网站的常用功能。现代教育技术中心为各单位提供两套网站群系统备选,供各单位自由选择。
2.网站迁移
各单位可自行聘请技术力量或聘请网站群系统开发方进行页面制作与数据迁移,产生的费用由各单位自行承担。
3.网站安全运维
网站群系统的安全运维由区现代教育技术中心负责组织实施,相关费用由区教育局统一安排。
四、关闭除网站外其他信息系统的互联网访问途径
1.访问限制
各单位应将其他各类办公系统、管理系统、学习系统等信息系统严格限制在区教育系统内网使用。对于兼顾管理、学习等应用功能的门户网站,应将门户网站功能剥离,迁移至市区相关教育网站群,剩余部分功能限制于内网使用。
2.远程访问
区现代教育技术中心将向各单位提供远程访问服务,满足各单位从外网访问内网系统的需求。
3.备案注销
如下线或限制内网使用的系统已完成备案,各单位应根据相关规定,完成系统、域名等的备案注销手续。
五、做好自建互联网信息系统安全保障工作
对确有必要主办面向社会公众的网站系统,其主办单位应填写《普陀区教育单位信息系统开放互联网访问申请表》(见附件1)向区教育局提交申请,经审核通过后方可上线运行。同时,主办单位应做好以下安全措施,确保信息系统安全可靠。
1.规范域名使用
学校网站应使用中国国家顶级域名.cn下的子域名,服务器应位于中华人民共和国境内。各单位应对现有域名进行梳理,注销现有.com、.net、.org等域名,更换为.cn域名。
2.定期开展安全等级保护测评
对从互联网直接访问的信息系统(网站)必须通过二级安全等级保护测评。根据公安部门的指导意见,二级等级保护测评应两年进行一次。相关费用由主办单位自行解决。
3.做好网站监测防护工作
应通过向主流安全服务商购买安全服务的方式,采用云防护、网页防篡改等技术手段,对网站内容进行7x24小时自动检测和自动防护,做到早发现、早预防、早处置。
4.定期组织开展应急演练
应定期(至少每学期一次)围绕网站安全组织开展应急演练。
5.加强值班值守和应急保障
各单位要加强网络安全值班值守,明确值班值守职责任务。保持通讯联络畅通。如发生网络安全事件,应立即启动应急预案,组织人员先期处置,务必第一时间将受影响的系统断开互联网访问后着手开展系统的修复工作,并在1小时内口头、2小时内书面报告区教育局。
六、互联网网站备案
所有互联网网站(包含加入站群系统的网站)都应至国家相关部门履行备案手续。各单位禁止使用未经备案的互联网信息系统。公办中小学、教育机构单位需要完成以下3项备案手续,民办学校和幼儿园需要完成第2项和第3项备案手续。
1.党政机关事业单位网站标识
根据国务院办公厅《政府网站发展指引》,要求政府网站主办单位在开办网站前先向机构编制部门提交加挂党政机关网站标识申请。公办中小学、教育机构单位网站(含站群系统网站),需在全国党政机关事业单位互联网网站标识管理服务平台(http://)进行党政事业标识符备案。
2.工信部备案
根据《非经营性互联网信息服务备案管理办法》,在中华人民共和国境内提供非经营性互联网信息服务,应当依法履行备案手续。互联网信息系统主办单位需在系统上线的30天内完成备案。各单位可咨询信息系统的服务商协助完成备案工作。
使用区、市网站群的网站由网站群的主办单位统一完成工信部备案,使用单位无需单独备案。
3.公安备案
依据《计算机信息网络国际联网安全保护管理办法》相关规定,各单位需在网站(含站群系统网站)开通之日起30日内登录全国公安机关互联网站安全管理服务平台(http://www.beian.gov.cn)提交公安备案申请。公安备案审核通过后,需根据要求将公安备案信息放置在网站网页底部。
七、加强信息系统使用管理
1.加强账号管理
各单位应加强相关账号的管理:账号密码应满足一定的复杂性,密码的位数不少于8位,密码中包含字母、数字、和字符;账号应妥善保存,不得将账号泄露至无关人员;相关工作人员如产生变动,应做好交接工作,并及时修改账号密码。
2.做好信息发布审核
各单位在网站中发布的信息,应按照《中华人民共和国保守国家秘密法》及其他的法律法规和国家有关规定对拟公开的信息进行审查,未经审核的内容一律不得发布。
3.加强引用信息管理
网站页面禁止自动进行跨域名跳转。
首页采取内嵌、动态加载等形式加载其他网站信息占整个页面信息的比例不应大于50%。
各单位应对网站页面上的非政府网站链接严格管理,要加强对相关页面内容的监测,杜绝因其内容不合法、不权威、不真实客观、不准确实用等造成不良影响。
4.关闭自建互联网出口
区教育城域网内单位原则上应通过本区教育系统和市教委出口访问互联网。如确有必要自行接入互联网,接入单位应填写《普陀区教育系统单位互联网接入申请表》(见附件2)向教育局提交申请,经业务和信息安全分管局长签署意见同意后方可接入。否则,各校自行接入的互联网出口必须关闭。
八、工作进度安排
1.各单位应于2019年12月31日前完成网站迁移入群工作。
2.各单位应于2019年11月1日前关闭自建互联网出口。
3.网站迁移工作完成截至日期之后,现代教育技术中心将对学校域名和互联网IP地址进行清理,将各类自建应用系统限制在教育内网访问。
联系人:现代教育技术中心 王老师 联系电话:62546268
附件1: 普陀区教育单位信息系统开放互联网访问申请表
附件2: 普陀区教育单位互联网接入申请表
普陀区教育局
2019年6月10日
附件1
普陀区教育系统单位信息系统开放互联网访问申请表
申请部门 (单位)盖章 | 申请开放 起止日期 | 年 月 日 起至 年 月 日 止 | |
联系人 | 移动电话 | ||
信息系统(含网站、软件平台)情况介绍 | (系统名称、域名、功能、运维情况等基础信息,以及漏洞扫描、备案等信息安全现状描述) | ||
开放互联网访问理由及信息安全承诺 |
我部门(单位)愿意承担本系统因开放互联网访问所引起的信息安全一切后果。
申请部门(单位)负责人签字: 年 月 日 | ||
区现代教育技术中心审核 |
区现代教育技术中心领导: 年 月 日 | ||
申请部门(单位)分管局领导意见 |
教育局分管领导: 年 月 日 | ||
信息安全分管局领导意见 |
教育局信息安全分管领导: 年 月 日 |
附件2
普陀区教育系统单位互联网接入申请表
申请部门 (单位)盖章 | 申请日期 | 年 月 日 | |
联系人 | 移动电话 | ||
接入带宽 | Mbps | 接入费用 | 本部门(单位)自行承担 |
自行接入互联网理由 | |||
信息安全承诺 | 我部门(单位)愿意承担因自行接入互联网所引起的信息安全一切后果。 申请部门(单位)负责人签字: 年 月 日 | ||
区现代教育技术中心审核 |
区现代教育技术中心领导: 年 月 日 | ||
申请部门(单位)分管局领导意见 |
教育局分管领导: 年 月 日 | ||
信息安全分管局领导意见 |
教育局信息安全分管领导: 年 月 日 |