桂教规范〔2016〕18号：关于加强全区教育系统网站管理工作的通知

在着安全漏洞或后门威胁,存在着被攻击、被篡改的风险;一些网站信息发布、转载、链接管理制度不严格,有页面不能正常访问,栏目内容更新不及时,网站链接存在错链或断链等问题。随着教育网站承载的业务不断增加,涉及政务信息、商业秘密和个人信息的内容越来越多,教育网站日益成为不法分子和各种犯罪组织的重点攻击对象,安全管理面临很大挑战。全区各级教育行政部门、各级各类学校要充分认识加强网站管理工作的重要性和紧迫性,将网络与信息安全工作摆在本单位工作的重要位置。明确各单位(学校)主要负责同志是本单位(学校)网站管理工作的第一责任人,明确网站管理职能部门、网站使用业务部门和运行维护技术部门的职责,配备合理的管理和技术人员队伍,建立健全内部管理协调工作机制,确保教育系统网站安全稳定运行、健康发展。要按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则切实落实网站安全管理责任,网站的主管部门承担网站安全管理和监督责任,网站的运行维护部门承担网站技术安全保障责任,网站使用的业务部门和个人承担网站操作与信息内容的直接安全责任。

二、加强教育系统网站规范管理

(一)关于网站标识。

各级教育行政部门、各级各类学校开办网站的主要任务是宣传党和国家教育方针政策、发布教育教学工作信息、开展网上办事等。各级教育行政部门、各级各类学校以单位名称注册网络域名时,必须与机构编制管理部门批准的名称相一致。教育系统网站原则上要使用以“.edu.cn”为结尾的域名,县级以上教育行政部门应同时注册“.政务”或“.政务.cn”为结尾的域名,县级以上教育机构应同时注册“.公益”或“.公益.cn”为结尾的域名,并按国家有关法规要求申报和及时备案。不具有教育行政职能、教育教学职能的单位原则上不得开办教育类网站,企业、个人以及其他社会组织不得开办教育类网站。

(二)加强网站群建设和管理。

各级教育行政部门、各级各类学校要切实加强网站建设的统筹规划和资源共享。各高校、各职业学校要统筹学校各职能部门和内设机构的网站建设,各级教育行政部门要统筹指导辖区内学校的网站建设。提倡采取集约化模式建设网站,各单位(学校)职能部门和内设机构的所有网站必须纳入统一规划和管理,要建立统一部署、统一标准、统一规范、统一管理的网站群,实现统一管理、信息同步和资源共享,提升网站的服务水平。不具备条件的县级及以下教育行政部门、中职、中小学和幼儿园原则上不单独建设网站,可利用上级教育行政部门网站平台,或依托第三方力量,与广西教育信息化中心(广西电化教育馆)、中国电信、中国移动、中国联通等第三方力量合作建设和运维网站,以提高网站建设和运维的专业性和安全性。其他不具备数据中心基础设施安全保障条件的单位和学校必须将关键设备和三级及以上重要信息系统托管至具有合法资质的第三方托管机构。第三方托管所提供网站和邮件服务的数据中心、云计算服务平台等要设在境内。

(三)建立健全网站各项管理制度。

教育网站的IT基础设施建设、内容建设、运行维护、安全保障、应急处置等工作都要建立和完善相关制度,加强对各项工作的规范管理。要重点建立和完善以下工作制度:一是信息上网发布审核和保密审查制度。从信息采集、编辑、报送到上网发布,各环节有关人员都要承担起审核把关责任,提高网上发布信息质量,确保涉密信息不上网、上网信息不涉密。二是值班读网制度。安排值班人员每天登录网站读网,认真查看网站运行和页面显示状况,查看各项功能的有效性,查看所发布的信息特别是重要信息是否存在错漏,发现问题立即纠正。可运用相关软件系统帮助纠错。提倡主管领导和分管负责同志读网。三是网站维护管理制度,原则上网站要求在内网进行运维管理,若管理员需要远程运维或第三方单位(如网站开发单位)远程接入运维,需要采用VPN加密等安全方式接入,不允许直接远程桌面或直接开放管理相关端口到互联网。要区分内网管理,各单位(学校)网站及信息系统如非必要应禁止接入互联网。

三、加强教育系统网站内容建设

(一)严格信息发布、转载和链接管理。

教育网站发布的信息主要是本地区本学校有关教育政策规定、政务信息、办事指南、便民服务信息等。各级教育行政部门、各级各类学校要建立健全网站信息发布审核和保密审查制度,明确审核审查程序,指定人员负责审核、审查工作,建立审核、审查记录档案,确保信息内容的准确性、真实性和严肃性,确保信息内容不涉及国家秘密和内部敏感信息。发布信息要严格执行有关规定,信息发布审查过程中,要充分考虑各种信息之间的关联性,防止由于数据汇聚泄露国家秘密或内部敏感信息。教育网站原则上不承担与本地区教育系统无关的信息采集和发布义务,不得发布广告等经营性信息,严禁发布违反国家规定的信息,以及低俗、庸俗、媚俗信息内容。

教育网站转载的信息应与自身的活动相关,并评估内容的真实性和客观性,充分考虑知识产权保护等问题。要加强网站的链接管理,定期检查链接的有效性和适用性。需要链接非教育类网站的,须经本单位(学校)分管网站安全工作的负责同志批准,链接的资源应与履行职能的活动相关,或者属于便民服务的范围。要采取技术措施,做到在用户点击链接离开网站时予以明确提示。

(二)加强网站应用管理。

教育网站的数据内容要严格遵守国家、教育部相关规定、标准和协议要求,加强对网站中重要教育信息、教育资源和个人信息的保护,防止未经授权使用、修改和泄露。要加强教育网站中留言评论等互动栏目管理,按照信息发布审核和保密审查的要求,对拟发布内容进行审核审查。严格对博客、微博等服务的管理,博客、微博申请注册人员原则上应限于本单位工作人员,信息发布要署实名,内容应与所从事的工作相关。教育网站原则上不开办对社会开放的论坛等服务。要利用本单位网络域名邮箱和OA办公系统等专用系统处理业务工作。严格专用系统注册审批登记,原则上只限于本单位(系统)工作人员注册使用,人员离职后应及时注销。要综合运用管理和技术措施保障网站系统账号、密码的安全,严格使用管理,明确账号和密码管理要求,不得使用简单密码或长期不更换密码。有条件的,应使用数字证书等技术手段提高系统账号安全性。

四、加强教育系统网站技术防护体系建设

(一)大力提升网站安全技术防护能力。

各级教育行政部门、各级各类学校在规划建设教育网站时,应按照同步规划、同步建设、同步运行的要求,参照国家有关标准规范,从业务需求出发,建立以网页防篡改、域名防劫持、网站防攻击以及国产密码技术、身份认证、访问控制、安全审计等为主要措施的网络与信息安全防护体系,按需配置网站安全防护设备和软件,在物理安全、网络安全、主机安全、应用安全等方面配齐必备的安全防护设备,实现安全防护、监测预警、灾难恢复、安全认证等安全保障与网络信任功能,提高网站防篡改、防病毒、防攻击、防瘫痪、防泄密能力。

要制订和完善教育网站安全应急预案,明确应急处置流程、处置权限,落实应急技术支撑队伍,强化技能训练,开展网站应急演练,提高应急处置能力。对于正在使用的网站,要长期开展技术安全检查,全面彻查并及时补救安全漏洞,做好各系统的加固工作,并严格网上信息审核发布程序。对于正在建设或拟投入使用的网站,要做好系统上线前的信息安全测试与网站的审核工作,测试达标后方可上线。对组建专业网络安全技术队伍有困难的单位(学校),可考虑购买专业机构的安全服务。

(二)全面落实信息安全等级保护制度。

各级教育行政部门、各级各类学校要严格按照《教育部、公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技〔2015〕2号)、《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函〔2014〕74号)文件要求,坚持“自主定级、自主防护”的原则,切实落实等级保护措施,做好网站定级、备案、建设、测评、整改和管理工作。对新建网站要在系统规划、设计阶段同步确定安全保护等级。要按照国家和教育行业有关标准规范要求开展测评,三级信息系统(网站)每年进行一次测评,二级信息系统(网站)每两年进行一次测评。要按照国家和教育行业有关标准规范要求进行安全建设和问题整改,对于新建网站,要在系统设计实施阶段同步建设安全防护措施。未经安全定级备案或第三方安全测评的重要网站不得上线运行。要采取监测、记录网站运行状态、安全事件的技术措施,留存相关的日志不少于六个月。

五、有关工作要求

(一)开展全面疏理和检查。

请各高校、各职业学校对学校所有网站(信息系统)进行全面梳理和检查,到2017年底,所有网站(信息系统)应纳入学校统一网站群管理,并落实信息安全等级保护措施,完成网站及信息系统定级、备案、测评及整改工作。对不再使用的网站及信息系统一律关停。

(二)落实经费投入。

各单位(学校)应建立网络与信息安全经费投入机制,设立网络与信息安全专项经费,重点支持网络信息安全设施建设、安全防护能力建设、信息安全服务、人员培训、等级保护和日常管理工作。

(三)加强督促检查。

各级教育行政部门、各级各类学校要定期开展本地区、本学校所属单位(部门)的网络与信息安全监督检查工作,通过自查、抽查和远程安全监测等形式,做到尽早发现、提前防范、及时补救。教育厅建立重大网络与信息安全事件处置和报告制度,各单位(学校)要按流程上报本单位的网站信息安全管理工作情况、信息系统运行状况和网络信息事件处置情况。教育厅将不定期通报全区教育系统网站及信息系统安全状况和信息安全等级保护工作落实情况。

广西壮族自治区教育厅

2016年12月18日