普洱学院2020年网络安全自查报告
根据《云南省教育厅关于开展全省教育系统2020年网络安全安全自查的通知》的要求,信息中心(网信办)及时动员和认真组织相关人员对网络安全工作存在问题进行自查自纠,积极整改。现将自查整改情况报告如下:
一、自查工作部署开展情况
1、领导责任制建立情况
普洱学院于2019年12月16日发文(党办通【2019】36号)成立了以校党委书记、校长为组长,校副书记、副校长为副组长,各有关部门和二级学院主要负责人为成员的学校网络安全和信息化工作领导小组。学校网络安全与信息化领导小组下设办公室(即网信办),办公室设在信息中心,办公室主任由信息中心主任兼任。信息中心按领导小组要求,于2020年3月与各职能部门、二级学院网站主要负责人签订2020年度《网站网络安全承诺书》并进行存档,但目前未与党委(党组)主要负责人签订《网络安全承诺书》。
2、网络安全工作部署情况
信息中心每年均在校长办公会和党委会上做有关网络安全工作汇报。
2020年5月25日普洱市网信办、网安支队对普洱学院网络安全工作情况进行系统性的检查,并做反馈整改意见。信息中心在检查结束后的第二天便对反馈情况进行收集整理并立即着手整改。如对学校网站群系统老旧存在问题,我们对我校网站群系统投资26万进行升级改造,升级到了最新版本,并增加网页防篡改系统。
3、网络安全通报机制建设情况自查
普洱学院负责网络安全的职能部门为信息中心。网络安全责任人为信息中心主任。网络安全联络员为:鄢翔、陈洪磊。教育行业信息资产管理平台(GEDB)的管理员为:施秋萍。并在教育系统网络安全工作管理平台安全监测预警子系统注册。
普洱学院各信息系统的基本情况(信息资产)在加盖公章后,已于2020年2月26日以电子邮件的形式报送到普洱市网信办备案。
信息中心在重要时期按云南省教育厅下发文件的部署做到了对普洱学院网络安全运行情况“一日一报”,目前为止无任何网络安全事故发生。
4、网络完全威胁监测预警情况自查
信息中心对上级主管单位和网安部门的通报极为重视,对通报中的安全威胁(包括漏洞、后门、暗连接等)积极响应,目前已做到3个工作日内启动处置工作,7个工作日内完成处理。
信息中心在中心机房旁设置监控室,由鄢翔、陈洪磊、王朝晖三人为健行楼D102中心机房硬件设备提供7*24小时运维,并制定专门的监测值守和运维制度。在创业大楼A801中心机房则配有专业的动态环境系统,实时监控运维环境,环境值异常则短信报警。
普洱学院的各信息系统在物理上由信息中心通过虚拟化技术统一分配服务器,由信息中心统一管理。但服务器上的软件信息系统则由使用部门自行管理包括运维。信息中心只有硬件运维台账没有各信息系统软件运维与值守台账。
5、网络安全等级保护工作落实情况自查
普洱学院信息中心借助学校本科合格评估对所有信息系统筹级保护情况请进行了梳理并建立了台账,包含系统信息基本情况和等级保护情况等信息。
普洱学院信息中心严格按照 《云南省教育厅 云南省公安厅关于印发云南省教育行业信息安全等级保护工作实施规范的通知》文件要求,完成了普洱学院站群系统、一卡通应用系统、心理测系统、资产管理系统筹信息系统的安全等级保护二级以上(含第二级)保护定级备案、测评工作。备案证书及测评报告已经归档留存。并对网络安全等级保护测评要求中的数据备份和恢复、网络设备防护、网络行为安全审计、用户访问控制、恶意入侵防范以及测评中发现的高危漏洞等问题进行了全方位的整改,目前所有参与测评的信息系统达到了计算机等级保护2级的要求。2019年后购买的信息系统也将后续展开信息系统安全等级保护二级测评。
6、关键信息基础设施保障情况自查
普洱学院目前暂时没有需要达到计算机安全等级保护第三级的信息系统。对于校园网的各类基础设施,信息中心运维制度规定:24小时内必须响应,3-4个工作日内维护完毕,对运维所需配件或设备确实需要异地购买的,则另行通知运维完成时间。
普洱学院信息中心每年都参与了由普洱市网安大队组织的安全渗透检查,但均只获得口头反馈,未获得纸质正式文件的渗透报告。
7、网络安全应急管理情况自查
普洱学院信息中心于2018年10月修订的规章制度中配有《普洱学院网络与信息安全应急预案》,已经在普洱学院信息中心主页上进行过公示。普洱学院信息中心每年均开展一次网络安全应急演练或网络安全周教育活动,所有相关材料均已归档留存。
8、网络安全经费保障情况自查
普洱学院信息中心在2019年年底就已经提交了2020财年网络安全工作预算,但由于学院经费有限,要达到网络安全占总预算的比例不低于5%的占比明显脱离实际。信息中心关于信息系统安全升级改造和防护加固的相关政府采购的进程由于新冠肺炎疫情影响也出现了推迟。
9、网络安全宣传教育培训情况自查
普洱学院信息中心每周的例会除了布置工作重点和任务外,会开展对网络安全专业技术内部交流以促进大家技术的提高。另外普洱学院每年均会开展网络安全周活动,在此期间相当数量的普洱学院教职工都会参与聆听合作单位普洱市网安支队的网络安全意识和密码应用课程培训。网络安全宣传教育培训的相关证明材料均已归档留存。
二、自查中发现的安全问题和整改情况
针对自查过程中发现的安全问题,同时结合我校实际,我们进行了如下整改:
1、针对领导责任制建立情况自查发现未和党委(党组)主要负责人须签订《网络安全承诺书》的问题。
整改情况为:信息中心正在落实《网络安全承诺书》的签订。
2、针对网络完全威胁监测预警情况自查中发现的普洱学院的各信息系统在物理上由信息中心通过虚拟化技术统一分配服务器,由信息中心统一管理。但服务器上的软件信息系统则由使用部门自行管理包括运维。信息中心只有硬件运维台账没有各信息系统软件运维与值守台账的问题。
整改情况为:由于各信息系统数据涉密,故信息中心在各信息系统的系统管理员进行了深入沟通后初步达成了由各信息系统系统管理员对所使用的信息系统进行实时监测并记录值守台账。
3、网络安全经费保障情况自查中发现的网络安全占总预算的比例不低于普洱学院总预算5%的占比。
整改情况为:这个问题信息中心已经向学校积极反映,要求落实文件精神即网络安全工作经费占总预算的比例不低于5%。
三、下一步工作
根据云南省教育厅关于开展全省教育系统2020年网络安全安全自查的通知》的精神,信息中心做出了如下工作建议:
1、继续加强对信息化管理人员和技术人员的网络安全专业技术培训。通过精心组织网络安全周为契机对普洱学院全体教职工开展网络安全意识和密码应用宣传培训。
2、进一步强化基础设施运维。积极配合普洱市每年网络安全执法检查,组织开展网络安全渗透检查,并按检查报告情况及时修堵安全漏洞。
3、进一步推进工作人员的网络安全工作水平,定期组织开展业务能力和技能水平提升内训,强化对计算机信息系统安全的防范、保密、支撑工作。
4、进一步推进网络安全工作机制的完善。创新网络安全工作机制,根据最新上级安排部署对目前已形成的网络安全管理体系再继续完善改进,查缺补漏补齐短板,建立健全健康长效工作机制。
5、进一步落实2020财年的网络安全预算的政府采购项目。积极与学校内有关领导和部门沟通协调,结合我校实际争取尽量将网络安全预算提升到要求范围内,确保各项网络安全工作得到落地实施。
普洱学院信息中心
2020年7月10日