各市教育局、杨凌示范区教育局、西咸新区社会事务管理局,韩城市、神木县、府谷县教育局,各高等学校,各直属单位:
近期,教育行业信息系统(含网站,下同)连续发生页面遭篡改、信息被窃取事件,高校信息技术安全事件的发生率呈上升趋势,范围从高校延伸至中小学,不仅严重影响了正常工作的开展,部分事件还造成了较大范围的社会影响。现正值“两会”召开之际,为深刻总结安全事件的教训,举一反三,避免类似事件再次发生,确保重要时期的信息技术安全,我厅根据教育部办公厅《关于加强信息技术安全工作的紧急通知》(教技厅函〔2016〕11号)精神,结合我省实际,对进一步加强信息技术安全工作通知如下。
一、切实落实信息技术安全工作责任制
各单位要按照《陕西省教育厅关于加强全省教育系统网络与信息安全工作的指导意见》(陕教保〔2014〕19号)要求,进一步提高认识,切实履行信息技术安全主体责任。建立一把手领导负责责任制,将信息系统安全责任落实到人,健全内部责任追究制度,并将信息技术安全工作纳入年度考核。
二、加强对信息系统的统筹管理
各单位要准确掌握信息系统的数量和基本情况,特别是定义为内部使用的信息系统和游离于单位统一管理之外的信息系统,做到底数清、情况明。加强对信息系统的日常监测,开展漏洞扫描,对发现的问题限期整改,对带病运行、安全防护不到位的信息系统坚决采取关停或限制访问等措施。
三、加快推进信息系统定级备案工作
各单位要严格按照省教育厅有关文件要求,加快推进,按时完成信息系统的安全等级保护定级、备案和第三级以上信息系统的测评、整改。对于托管的信息系统,要规范安全管理,托管至正规的公司企业。
四、加强对VPN的管理
各单位要慎重使用VPN技术,对确需使用的,应加强VPN的设备管理、用户使用和安全防护等工作。建立健全VPN账号审批和管理制度,严格用户开通使用申请手续,对已开通的账号,特别是管理员账号,进行认真排查,对未进行实名验证的VPN进行清理。建立VPN账户的安全审计制度,禁止弱口令现象,完善用户访问日志记录,做到有据可查。
五、加强信息技术安全事件的应急管理
各单位应建立安全值守制度,对重要信息系统建立24小时安全值守制度,对非重要信息系统可采取临时全天或非工作时间限制访问或关闭的方式。遇到安全事件,应及时上报、果断处置,将损害和影响降到最小范围。
各级教育行政部门应参照上述要求,统筹部署好本地区重要时期的信息技术安全工作。
联系人:张劲萌 任媛媛
电 话:029—88668870 88668871
陕西省教育厅办公室
2016年3月11日
