中心簡介
中心通過了國家信息安全等級保護測評機構資質認證,按照《信息安全等級保護測評工作管理規範》(公信安〔2010〕303號)和《信息安全等級測評機構能力要求發布稿(試行)》要求,組建了專業的技術和管理團隊,建立了完善的質量管理體系,搭建了完備的網路與信息安全實驗室,配置了先進的專業測評工具,已經具備了為教育行業信息安全服務提供全方位技術服務的能力。
中心職能
(1)協助教育行業主管部門研究制定行業信息安全等級保護技術標準、規範及指導性檔案;協助審查教育行業信息系統安全定級材料;為行業區域網路絡與信息安全監督、檢查提供技術支撐。
(2)開展行業內信息安全等級保護政策法規、技術標準及網路與信息安全技術等方面的培訓;統籌實施行業內第三級及以上重要信息系統的等級測評工作;開展風險評估、安全諮詢、安全監測、原始碼審計、安全運維外包以及安全產品測試等安全服務。
中心服務內容
安全培訓:
按照教育行業主管部門要求,組織實施教育系統網路與信息安全工作崗位培訓,負責“教育信息安全等級保護專業培訓合格證書”的培訓、認證考試和證書頒發管理。通過安全培訓,幫助教育部門和學校信息系統運營使用單位掌握網路與信息安全工作的基本知識和套用技能。
風險評估:
從風險管理角度,為用戶評估系統面臨的威脅以及脆弱性導致安全事件的可能性,並結合安全事件所涉及的資產價值來判斷安全事件一旦發生對系統造成的影響,提出有針對性的抵禦威脅的方法措施,將風險控制在可接受的範圍內,達到系統穩定運行的目的。為保證用戶信息系統的安全建設、穩定運行提供技術參考。
定級諮詢:
依據《信息系統安全等級保護定級指南》(GB/T22240-2008)和《教育信息系統安全等級保護定級指南》等相關標準,協助用戶對定級對象進行準確定級。通過定級諮詢幫助用戶多方面綜合評定信息系統的安全等級,避免用戶在自主定級過程中出現定級過高或過低的現象,導致在信息系統安全建設中投入費用過高或無法對信息系統進行有效防護。
安全建設整改諮詢:
依據《信息系統安全等級保護基本要求》(GB/T22239-2008)和教育行業有關技術要求,為用戶提供基於等級保護標準的合規建設諮詢、等級保護建設整改諮詢、方案設計等服務,協助用戶明確安全保護目標,實現安全保護能力。
等級測評:
依據《信息系統安全等級保護測評要求》、《信息系統安全等級保護測評過程指南》等國家標準以及教育行業有關技術要求,主要為教育系統用戶提供第三方權威的信息系統安全等級測評服務,檢測信息系統的安全保護措施是否符合國家相應安全等級的基本安全要求。
安全監測:
依託“教育行業網站實時監測與服務平台”,為用戶提供實時安全監控,及時、準確發現網站掛馬事件、被黑事件,並為用戶提供安全事件發生後的應急回響以及重要敏感時期的安全測試服務。
原始碼安全審計:
web套用存在安全威脅的主要原因在於信息系統原始碼存在安全漏洞。我們依託專業工具和專業代碼開發人才,為用戶提供信息系統原始碼安全審計,幫助用戶在信息系統上線前就對原始碼進行安全漏洞掃描、分析,並對導致安全漏洞的錯誤代碼進行定位和驗證,然後提供補救建議,確保信息系統原始碼安全。
實驗室:
立足於滿足等級保護專業測評工作需要,中心建立了業內一流、國內先進的網路與信息安全實驗室。實驗室採購了國內主流的各類安全防護產品以及網路、存儲等設備,基本能夠滿足模擬教育系統各類信息系統要求,為測評人員技術研究、人員培訓、等保測評的前期模擬工作提供了強有力支持;