自2017年6月《中华人民共和国网络安全法》实施以来,我校共接到教育部科技司及江苏省教育信息化中心通报的网络安全事件16起,涉及校内二级单位14家。其中2017年11月单月发生网络安全事件13起。具体安全事件类型及通报时间见下表。
事件类型 | 通报次数 | 通报时间 |
信息泄露 | 13 | 2017年11月 |
漏洞(心脏出血漏洞) | 1 | 2017年8月 |
漏洞(授权访问) | 1 | 2017年8月 |
漏洞(访问控制文件内容泄露) | 1 | 2017年6月 |
所有被通报的网络安全事件均已及时通报至校内各相关单位,在规定时间内完成了整改,并向江苏省教育信息化中心反馈了处理结果。信息泄露事件涉及校内二级单位12家,原因为相关学院或部门在网站发布信息时,未注意隐藏师生身份证号、手机号等隐私信息,造成少量信息泄露(20条以内)。
除上级安全主管单位定期对学校信息系统进行漏洞扫描外,信息网络中心也对我校信息系统进行了全面安全漏洞扫描共计300余次,发现高风险服务器漏洞2900个,高风险Web安全漏洞1448个。对于发现的网络安全问题,校信息网络中心立即组织持续性的修复及统一防护工作,制订数据中心及校园网边界防火墙安全策略560条,及时升级Web应用防火墙,制订数据脱敏规则,积极进行安全漏洞封堵。
对于存在高风险的信息系统,依据国家《信息安全等级保护管理办法》、《教育部关于加强教育行业网络与信息安全工作的指导意见》等文件规定的“谁主管谁负责,谁运维谁负责,谁使用谁负责”的原则,向其分管联系校领导报告并在校内通报,同时配合相关单位及时完成信息系统安全漏洞修复。目前校园网内可监测到的服务器高风险安全漏洞下降至322个,可监测到的高风险Web安全漏洞已基本消除,目前尚未修复的高风险安全漏洞主要集中在部分二级单位自有服务器上。
信息网络中心对未能及时完成安全整改,安全防护不到位,达不到开放要求的信息系统进行了统一关停,待整改到位后再行开通。请校内各信息系统的主管单位,充分认识网络安全形势的严峻性,提高网络安全保护意识,采取必要的管理手段和技术手段等加强管理,及时修复本单位主管的信息系统安全漏洞,保障本单位主管信息系统的网络安全。信息网络中心根据国家、教育部、江苏省教育厅以及学校关于网络安全工作的具体要求和部署,将继续采取更加体系化的安全防护技术措施,完善安全管理制度,大力推进落实信息系统等级保护制度,保障我校信息化健康发展。
党委办公室
校长办公室
信息网络中心
2018年1月4日
【背景信息】 网络安全法
随着全球信息时代的到来,网络成为继陆、海、空、天之外的国家第五大主权空间,控制网络空间就可以控制一个国家的经济命脉、政治导向和社会稳定。世界各国围绕网络空间发展权、主导权、控制权的竞争日趋激烈,我国作为发展中的网络大国,网络安全形势异常严峻。习近平总书记指出:“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。”,“没有网络安全就没有国家安全。”
《中华人民共和国网络安全法》于2017年6月1日起施行,为维护国家空间主权、国家安全、人民利益、社会发展提供了重要的法律依据。《中华人民共和国网络安全法》将网络安全治理从以往的规章管理上升到法律管理层面,为各行各业网络安全保障提出了可操作性规定和可量化性处罚措施。《中华人民共和国网络安全法》颁布后,包括教育行业在内的国内各行业高度重视,依法开展行业内的网络安全治理,我校也积极加强了网络安全管理力度,确保信息化建设健康有序发展。
