1、教育系统应急响应最佳实践目录 教育行业安全现状 应急响应体系建设 走向安全态势感知教育行业网络安全特点机构数量级1 幼儿园25 万+2 小学/教学点27 万+3 中学7万+4 高等教育2800+5 其他8000+60 万教育机构，小、散、乱各地区经济和安全意识发展不平衡安全人员和团队普遍缺位网站 20 万+，IPV4地址 1300 万+学生 3.1 亿+，专任教师 1500 万+2018 教育信息化和网络安全工作要点完善教育系统网络安全制度体系 健全考核评价和监督问责机制 出台教育系统网络安全事件应急预案 建立健全教育系统网络安全事件应急工作机制推进关键信息基础设施保障工作 制定教育系统关键信

2、息基础设施认定规则 开展关键信息基础设施现场检查检测和安全评估持续推进教育系统网络安全监测预警 健全网络安全威胁通报机制 推进教育系统通用软件检测工作 建立基于大数据的教育系统网络安全预警机制教育系统网络安全事件应急预案 发布工作原则：统一指挥、密切协同 分级管理、强化责任 预防为主、平战结合坚持事件处置和预防工作相结合，做好事件预防、预判、预警工作，加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力，抓早抓小，争取早发现、早报告、早控制、早解决，严控网络安全事件风险和影响范围。网络安全事件应急响应分为级、级、级、级分别对应特别重大、重大、较大和一般网络安全事件

3、教育系统网络安全事件应急预案 之工作保障明确网络安全职能处室，工作责任落实到具体部门、具体岗位和个人，建立健全应急工作机制应明确或建立网络安全技术支撑单位，加强网络安全应急技术支撑队伍建设和网络安全物资保障教育部建立教育系统网络安全专家组，各省级教育行政部门建立本地区的网络安全专家咨询队伍教育部加强教育系统网络安全管理平台建设，建立教育系统网络安全态势感知体系加强与网络安全职能部门、网络安全专业机构、行业学会和教育网网络中心等单位的合作，建立网络安全威胁的信息共享机制和网络安全事件的快速发现和协同处置机制各单位应为网络安全应急工作提供必要的经费保障，利用现有政策和资金渠道各级教育行政部门可对网

4、络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励，对不按照规定执行的对有关责任人给予处分教育部网络安全保障工作要求 加强网络安全工作的组织部署 按需调整重要时期网络防护策略 加强内部网络的安全防护 切实做好监测预警通报工作 加强值班值守和信息报送 加强重要网络和数据中心的运维保障如何理解这些具体防护策略？各单位研判信息系统/网站现状，采取有效措施 确保安全隐患清零后方可上线，专人专岗24小时值守 门户网站和重要服务网站要保障访问通畅 限制互联网访问的几个前提1.假期期间；2.无业务加载，无专人运维；安全保障工作常态化三月 全国两会五月 一带一路六月 高招保障八月 建军90周年

5、十九大2017 不平凡 全国性安全保障62天全国两会改革开放四十周年一带一路五周年高招网络安全保障上合组织峰会中非合作论坛中国国际进口博览会2018 不太平，安全保障任务压力巨大目录 教育行业安全现状 应急响应体系建设 走向安全态势感知平安校园+智慧校园 机构保障 意识形态 网络安全 态势感知 应急响应 安全教育 消防安全 安全检查 督办整改 安全值班应急预案/安全演练完善和落实安全管理责任制度 制度建设并加强落实建设和完善校级网络信息安全管理制度严格落实安全漏洞和事件处置、网站管理相关规定对网络安全法相关要求执行情况开展自查和整改 网站备案管理和年审校园网出口实施 WEB 服务白名单制度推进

6、网站集中化部署（网站群、云平台）加强数据安全管理和控制敏感数据接触人员签署 NDA/保密协议开发测试、系统运维、数据分析数据脱敏数据库防火墙、运维审计、堡垒机精细化权限管控校园网边界的网络安全架构CERNET2CERNET中国电信校园网10G100G边界路由器中国联通TAP 流量 汇聚/复制/均衡/过滤/编辑1 到 NN 到 1N 到 M分光/镜像+防火墙+WAFSDN交换机处理规则应用场景 入侵检测 安全审计 网络性能 异常分析 缓存加速 上网行为 电子文献 流量回溯InterfaceIP/MaskPortVLANLayer3/4MPLS五元组大数据时代的校园网络安全 大部分人凡走过必留下痕

7、迹 攻击者在大数据下无所遁形 设备日志/系统日志/应用日志 HTTP/DNS/SSL/FLOW 流量日志 安全威胁域名/IP 地址黑名单 可快速审计、可追踪溯源、可关联场景分析 有一定规模的学校，安全大数据平台不可少初期建设易VS 长期运维难云计算时代的教育信息化安全高性能 10秒钟完成一台任意大小的云主机创建 云硬盘实时快照，对一块1T的硬盘进行快照操作，耗时不到 1秒钟 万兆校园骨干网络接入高灵活 支持Web面板/API/CLI 云主机部件如硬盘、网卡、防火墙等随意拆卸和组装 虚拟数据中心(VDC)支持完全自主定义网络架构和拓扑高弹性 随时按需获取任意数量的云资源 按秒计费，按需实时结算

8、云主机/云硬盘支持在线扩容 公网IP带宽随时调整高安全 采用分布式存储，每份存储都有三副本 私有网络互相隔离 Agent 常驻VM，全局安全集中管控 安全扫描，漏洞管理，详尽日志 WAF，虚拟防火墙，蜜罐，堡垒机3214安全扫描和漏洞管理常态化校园信息资产自动发现、指纹识别、漏扫联动掌握入网设备存量、全生命周期安全跟踪管理持续扫描监测，及时发现篡改挂马等安全事件关注师生隐私泄露，自动发现有害、敏感信息97%修复修复安全工作是需要并且可以量化的安全漏洞管理实现闭环，要越见越少是工作抓手但绝不是安全工作的全部辩证看待数量，并正确评估威胁等级举一反三的智慧，再一再二不能再三各类日志集中管理分析适配各

9、种服务软件的认证日志格式LDAP 看不到客户端 IP 地址、User-Agent记录失败的登录:用户不存在/密码错/验证码错高教行业网络信息基础数据库（IPDB）25个省/市 100%全覆盖成员高校 2421所再也不怕找不到人了基础教育行业基础数据平台也初步完善教育行业漏洞报告平台已收到 2108 所高校和教育机构的漏洞https:/src.edu- 教育行业安全现状 应急响应体系建设 走向安全态势感知安全威胁情报共享与分析研判网络空间安全事件和攻击信息的高效共享至关重要各校自扫门前雪，谁也不能独善其身共享共治，迈向网络空间命运共同体对多渠道信息自动汇聚搜集人工过滤分析专业研判预警安全风险事件生命周期管理快速应急响应保障业务连续教育部安全漏洞信息通报机制网络安全管理平台多元化数据源API 获取人工分拣验证入库安全漏洞安全事件安全服务商人工验证邮件通报短信提醒登录查看微信平台IP/域名库用户管理API学校的安全需求是什么？不是软硬件安全产品的堆砌 不是孤立的一个个系统建设 不是高等级的安全渗透测试 不是一次次的救火应急响应有限投入成本 覆盖 无限安全需求？管理、制度、咨询、规划、人员、培训、投入 系统、运维、整改、应急、演练、情报、服务学校捧着金饭碗要饭吃要机制创新，抱团取暖谢 谢！