为加强教育行业信息安全工作,指导和规范教育行业信息系统安全等级保护定级工作,早在2014年,教育部办公厅发布了教育部办公厅关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知(教技厅函〔2014〕74号)。2018年,教育部教育管理信息中心发布的关于印发《教育部教育管理信息中心2018年工作要点》的通知(教信息中心〔2018〕4号),明确提出完善教育管理信息化安全保障体系,“教育安全评估和等级保护测评服务”是教育管理信息化安全保障体系的内容之一。
随着信息技术的不断发展和国力的持续上升,我国的网络安全形势将日益严峻,国家相关部门对网络、信息系统安全方面的要求也将会更加严格。对职业院校而言,智慧校园平台、互联网综合门户平台均应具备相应的安全保护能力。
(1)智慧校园平台。智慧校园平台是学校日常运营管理的基础支撑工具,属于面向校内的应用系统,应至少具备“第二级安全保护能力”,要求“应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾害以及其他相对危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能”。
(2)互联网综合门户平台。互联网综合门户平台是学校对外对内宣传展示的重要途径,面向社会,属于开放的系统,应至少具备“第三级安全保护能力”,要求“应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾害以及其他相对危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能”。(www.daowen.com)
学校若要开展信息系统安全等级保护认证,信息系统建设方式不同,认证方式和学校与厂商的职责分工也有所不同,如表5-12所示。
表5-12 职业院校信息系统安全等级保护认证工作职责分工
对于智慧校园平台选用非SaaS服务的学校,若各个应用系统由不同厂商提供、相互独立,而非整合集成,则各个独立的应用系统均需单独认证;若为整合集成的智慧校园平台,则只需进行一次认证,收取一次费用。学校在建设信息系统时,须充分评价厂商、服务商的技术实力、产品品质及服务能力,确保无论选择哪种建设方式,均能从技术和管理方面满足相应的安全等级保护要求,确保学校信息系统性能稳定、安全可靠,并顺利通过信息系统安全等级保护认证。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。