湘教通[ 2014]499 号

关于印发《湖南省教育网络与信息安全

各市州教育局、高等学校，厅委各直属单位：

    为深入贯彻党中央关于网络安全工作的总体部署，根据教育部《关于加强教育行业网络与信息安全工作的指导意见》（教技〔2014〕4号）要求，加快推进我省教育系统网络与信息安全工作，确保我省教育事业健康有序发展，现将《湖南省教育网络与信息安全工作实施方案》印发给你们。请结合本单位实际，认真落实。

联系人：省教育厅信息化办   樊志良  0731－84710272

 吴日云  0731－89728326

附件：湖南省教育网络与信息安全工作实施方案

                 湖南省教育厅

                  2014年12月9日

附件

湖南省教育网络与信息安全工作实施方案

为深入贯彻党中央关于网络安全工作的总体部署，落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》、《教育部关于加强教育行业网络与信息安全工作的指导意见》和《教育行业信息系统安全等级保护定级工作指南（试行）》等文件精神，加快建立健全我省教育系统网络与信息安全保障体系，提高防护能力和水平，防止不良信息的侵害，促进和保障我省教育事业健康有序发展，制定本工作方案。

一、指导思想与基本原则

（一）指导思想

以习近平总书记在中央网络安全与信息化领导小组会议上的讲话精神为指导，坚持积极防御、综合防范相结合的方针，遵循管理与技术并重，统筹规划，突出重点，全面提高我省教育网络与信息安全防护能力，重点保障教育基础信息网络和重要信息系统安全，创建安全健康、可控可管的教育网络环境。正确处理安全与发展的关系，以安全保发展，在发展中求安全，明确责任，密切配合，积极调动全社会力量，共同构筑信息安全保障体系，保障和促进我省教育信息化建设健康、有序发展。

（二）基本原则

1．分级管理、逐级负责。省教育厅统筹指导全省教育系统的网络与信息安全工作，负责教育厅机关、直属单位、市（州）教育局、高等学校网络与信息安全工作的统筹部署与监督检查；各市（州）教育局负责本地区教育部门和学校的网络与信息安全工作。各级各类学校负责本校的网络与信息安全工作。

2．自主防护、明确责任。各地各单位按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”和“属地化管理”的原则，严格落实网络与信息安全责任制和责任追究制。

3．统筹规划、同步建设。各地各单位对网络与信息安全工作要归口管理，做好统筹规划。教育信息化与信息安全同步设计、同步建设，内容与技术并重、管理与技术并举。

4．政策合规、遵循标准。各地各单位要严格执行国家网络与信息安全法律法规、政策和标准规范，遵循省教育厅制订发布的各类教育信息化管理制度和网络与信息安全标准规范，对全省教育网络与信息系统安全防护采取符合我省实际要求的准入制度，在管理、技术、人员岗位和操作实施等各个方面符合要求。

二、重点任务

1．加快完成教育网络与信息安全基础设施建设

各地各单位在推进教育信息化“三通两平台”建设中,要将安全技术防范措施和信息化建设同步实施，即同时设计、同时建设、同时投入使用。尚未采取技术防范措施的单位，必须抓紧建设,要根据教育网络的实际需要，及时配置和更新网络防火墙、入侵检测、漏洞扫描、垃圾信息过滤、防病毒软件、WEB防篡改等网络安全产品，采取必要的技术措施，加强网络的各个环节特别是互联网接入的安全性。按照教育部教育数据中心“二级建设、五级应用”的总体部署，不具备IDC安全基础设施保障条件的学校和单位，必须将关键设备和三级及以上重要信息系统托管到省教育数据中心或具备条件的市州教育局网络中心。要加强安全设施、设备的管理，定期检查和维护,保证配置完好、安全可靠；做好日常巡检、监测和应急演练,不断提高对网络攻击、病毒入侵、系统故障等风险的安全防范和应急处置能力。到2015年，基本建成以省教育数据中心为核心，各级教育行政部门和高校网络中心为补充，可控可管的信息化基础环境。

2．加强网络与信息安全专业队伍建设

各地各单位要选拔配备与工作要求相符合的具有网络与信息系统管理经验和专业技能的人员，从事网络与信息安全管理工作，有条件的单位应建立网络与信息安全管理专职队伍和技术支撑专业队伍，并保持人员的相对稳定。各地各单位要建立网络与信息安全相关的安全管理、系统操作、数据管理、技术维护、应用服务等人员数据库，人员变动时要及时向省教育管理信息中心备案。

各地各单位要严格按照《关于印发<湖南省教育网络信息安全管理员持证上岗工作实施办法>的通知》（湘教发〔2005〕84号）要求，组织单位相关人员开展教育培训，未取得省教育厅颁发“网络信息安全管理员证书”的人员，不得从事教育网络与信息安全相关工作。2015年年底前，各地各校组织网络信息安全管理人员通过“湖南省教育系统网络与信息安全管理人员继续教育平台”进行培训、学习和继续教育考试，确保每单位不少于1名专业人员取得上岗证书。自2016年起，每年12月底前通过“湖南省教育系统网络与信息安全管理人员继续教育平台”完成本地本单位网络与信息安全管理人员的继续教育培训，不断提高网络信息安全管理人员的政治素养和业务素质。

3．加强网站安全管理，落实网站安全巡查机制

各地各单位要严格落实国务院《关于加强政府网站信息内容建设的意见》精神，高度重视本地本单位网站的安全管理工作，要建立健全本单位网上信息安全管理制度，严格网上信息发布审核程序，实行主要领导负责制，明确专门部门、专门人员负责本单位门户网站的管理，以进一步强化网上信息安全管理责任。各单位（学校）内设部门子网站要按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，强化管理和责任，确保网站管理工作落实到人，做到不办则已，办则有人管、能管好。委托其他单位运行维护的教育网站，主管单位要加强检查指导，确保网站管理不缺位，各地各单位要严格网站的开办审核。一级域名网站必须按照国家有关规定做好教育网站前置审核及ICP备案工作；本单位二级域名网站的开设必须明确开办条件和审核要求，信息技术保障部门不得开通未经审核的二级域名网站IP；同时要及时清理已停止使用的二级域名网站，并收回网站IP。

各地各单位要建立教育网站巡查机制，严格执行网站运行24小时值班制度，特别防护期间实行领导带班的值班备勤制度，密切监视易受攻击和利用的网站栏目，对监视和防护措施不到位的网站交互式栏目和网络系统要及时关停整改；要加强网站的定期巡查、定期备份、定期修改各类密码、定期扫描网站漏洞、每天检查服务器上新生成的文件合法性等；要加强网站系统运维管理，及时更新和升级服务器软件，包括操作系统、web应用中间件、数据库补丁等；要执行严格的系统安全策略，关闭或删除服务器上不必要的应用、服务、端口或连接。

4．大力推进全省教育信息化综合管控体系建设

各地各单位要按照全省多层次教育网络与信息安全技术防护方案，大力推进省、市（高校）、县、校四级联动的教育信息化综合管控体系建设。各市（州）、县（市区）教育局和各级各类学校要依托已建成的省市网络安全监控平台，落实终端设备建设任务，到2015年底基本建成省市县校四级联动的绿色上网环境；各级教育行政管理部门和各级各类学校要全面普及师生校园内通过教育电子身份证号注册实名上网，对上网行为进行监控监管，构建可信、可控、可查的网络与信息安全技术防护环境。各地各单位要进一步规范与加强校园网（或单位局域网）的统一安全管理，配置网络与信息安全防护设备与软件，推动软件正版化和优先采用具有自主知识产权和自有核心技术的软硬件产品；各级教育行政管理部门和各级各类学校要实施全面系统的湖南省教育行业舆情管控系统，系统由省教育厅统一部署,各教育行政部门、高校等单位配备客户端，纵横联动，全面、精准、主动了解全省互联网发展态势，第一时间对我省教育网络舆情进行预报和跟踪分析，由事后追查转为事前防范，有效预防教育网络事故。到2015年底，基本建成省、市、县、校（含高校）四级教育信息化综合管控体系，实现全省教育系统安全、绿色、稳定的网络环境。

5．全面落实信息安全等级保护制度

各地各单位要贯彻落实教育部《教育信息系统安全等级保护定级工作指南（试行）》要求，按照突出重点、分级负责、分类指导、分步实施、同步建设的要求和谁主管谁负责、谁运营谁负责的原则，明确信息系统主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任，分别落实和实施等级保护措施；要严格按照《湖南省教育信息系统安全等级保护工作实施方案》（湘教发〔2011〕33号）要求，开展定级和备案，对新建系统要在系统规划、设计阶段同步确定安全保护等级；要按照国家和教育行业有关标准规范要求开展测评，四级系统每年进行两次测评，三级系统每年进行一次测评，二级系统每两年进行一次测评；要按照国家和教育行业有关标准规范要求进行安全建设和问题整改，对于新建设系统，要在系统设计实施阶段同步建设安全防护措施。未经安全定级备案的信息系统以及第三方安全测评的重要信息系统不得上线运行。到2015年1月底，完成未定级备案信息系统的定级备案工作，2015年以后新建的系统在项目上线运行前必须完成系统定级备案。

三、工作要求

1．建立健全网络与信息安全组织体系。为进一步加强对我省教育系统网络与信息安全工作的领导，提高全省教育网络与信息安全保障能力，成立湖南省教育网络与信息安全工作领导小组：

组  长： 王柯敏    党组书记、工委书记、厅长

副组长： 邹文辉    党组成员、工委委员、副厅长

王玉清    党组成员、工委委员

成员由省教育厅办公室、省委教育工委维稳办、省教育厅信息化办和省教育管理信息中心主要负责人组成。

领导小组下设办公室，办公室设省教育厅信息化办，主任由厅信息化办主任兼任，负责统筹指导全省教育系统的网络与信息安全工作；湖南省教育管理信息中心负责全省教育网络与信息安全技术指导和支撑工作。

各地各单位要建立党政一把手负责的统筹网络与信息安全工作领导机构，主要负责人是网络与信息安全的第一责任人。结合本地本单位实际，设立并明确专门的网络与信息安全职能机构及专门管理人员，归口管理本地本单位网络与信息安全工作；设立并明确信息中心（网络中心）负责本地本单位网络与信息安全技术指导和支撑工作；建立健全管理协调机制，与各级政府网络与信息安全管理部门、公安部门建立跨部门协调和事件处理机制，充分发挥纵向衔接、横向协调的组织保障作用。

2．建立健全网络与信息安全保障制度。各地各单位要将此项工作列入本单位重要议事日程，与教育信息化重点工作统一谋划、统一部署、统一推进、统一实施。要在本地本单位教育信息化领导小组的领导下，明确信息化办和信息技术保障部门的安全职责，建立协调处理机制，制订详细的实施方案，建立和完善本地本单位的网络与信息安全运行、管理保障机制。各地各单位必须制订网络与信息安全应急预案，明确应急处置流程和权限，落实应急处置技术支撑队伍，配备必要的应急设备和环境，开展应急预案培训和演练，提高网络与信息安全应急处置能力。根据《教育部办公厅关于印发<信息技术安全事件报告与处置流程（试行）>的通知》（教技厅函〔2014〕75号）要求，建立重大网络与信息安全事件处置和报告制度，确定报送范围、规范报告格式、建立报送流程、明确报送时间、事件处置紧急措施等。发生事件后，信息系统的运维单位应当立即采取措施降低损害程度，防止事件扩大，保存相关记录。按照应急处置程序对发生安全事件的信息系统立即向有关部门报告，做到应急处置迅速，报告及时。建立网络与信息安全工作月报制度，各地各单位按流程上报本地本单位的网络信息安全工作情况、信息系统运行状况和网络信息事件处置情况，省教育厅定期通报全省网络与信息安全状况。

3．进一步加大网络与信息安全经费投入。各地各单位要建立稳定的网络与信息安全经费投入机制，设立网络与信息安全专项经费，明确网络与信息安全专项经费占教育信息化经费的支出比例，重点支持网络信息安全设施建设、安全防护能力建设、信息安全服务、人员培训、等级保护和日常管理工作。

4、进一步加强队伍培训和宣传教育工作。各地各单位要落实网络信息安全岗位“持证上岗”制度，按要求参加省教育厅组织的网络信息安全专业技术人员继续教育培训，并在省教育厅培训的基础上制订本地本单位的培训计划，确保培训工作不漏一人，落到实处。各地各单位要组织形式多样、针对性强的全员宣传教育，将网络与信息安全意识和政治意识、责任意识、保密意识结合起来，大力弘扬社会主义核心价值观，提高领导干部、管理人员、技术人员、师生的安全和防范意识，特别是要加强对学生的教育网络与信息安全教育，提高学生识别有害信息的能力，培养学生良好的媒介素养，引导学生树立科学健康的用网习惯，培养学生规范、合法的网络行为。

5、进一步加强网络与信息安全督促检查。省教育厅将网络与信息安全工作纳入教育安全综合治理责任制工作考核，省教育管理信息中心组织实施。各地各单位必须制定网络与信息安全检查、评价考核办法，建立隐患排查治理机制，认真开展安全检查，对检查中发现的隐患必须及时整改。各地各单位要建立网络泄密举报制度和奖惩制度，明确举报方式、受理机构和奖惩办法，充分调动社会各界和广大群众的监督作用。省教育厅每年至少组织一次网络与信息安全大检查；各市州、县市区教育局和高等学校结合本地本单位实际，每年至少组织开展两次网络与信息安全检查，并将检查结果上报省教育厅备案。各级教育行政部门和高等学校应尽快部署本地本单位网络与信息安全检查和等级保护工作，2015年3月底前将落实情况报送省教育厅。