根据《浙江省教育厅办公室 浙江省公安厅办公室关于做好全省教育系统重要信息系统信息安全等级保护工作的通知》（浙教办技[2015]30号）、《浙江省教育厅办公室关于组织开展教育系统安全稳定隐患排查分析的通知》（浙教办函[2015]70号）等要求，为切实推进学校网络与信息安全工作，提高学校基础信息网络和重要信息系统安全保障能力，学校认真开展了网络与信息系统的定级备案、测评和整改工作，进行了校园网络与信息安全的隐患排查分析和加固工作，建设有关安全子系统，进一步完善细化各项安全管理制度，做好网络信息管理监督，加强网络信息安全的检查和培训指导工作。总体上较好保证了学校基础网络、门户网站与其他重要业务信息系统安全运行，较好地支撑了学校各项工作的顺利开展。

一． 网络与信息安全整体情况

１.进一步完善网络安全管理体制

　　在总体上，学校制定信息安全工作的总体方针和目标，明确信息安全工作的主要任务和原则，把信息安全工作列入学校重要议事日程。加强领导，在学校校园网络信息安全领导小组的统一领导下，综合协调各职能部门。结合实际组织制定信息安全管理制度，采取有效的技术防范措施，协调处理重大信息安全事件。设立信息安全领导小组办公室，具体承担信息安全工作，组织落实信息安全管理制度和信息安全技术防护措施，开展信息安全教育培训和监督检查。

　　网络信息的建设与管理实行“属地化归口管理”，坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则。各院级单位成立负责本单位网络信息安全管理工作；学校网络与信息中心负责建设和维护网络技术平台，保证校园网络安全平稳运行；党委研工部、学工部等有关部门负责专题教育网站建设、网上思政队伍建设及网络道德教育等职能，负责做好各BBS和论坛版主的教育、引导和管理工作；团委开展网络文化建设等职能；校办负责网络舆情反馈督查等；各部门协同做好涉及国家安全的网络信息监管、涉及违法违纪的网络事件处置、网络重大突发事件和敏感时期网络有害信息应急处置等工作。在领导小组统一组织协调下，学校各部门和单位网络管理工作职责和职能链接明确，健全校园网络信息建设管理责任制，做到认识到位、组织到位、人员到位、责任到位、协作到位，形成校园网络信息安全建设与管理工作的合力。

２.进一步加强网络安全技术防护能力

在网络安全技术上，不断加强技术安全防护体系统、网络边界安全防护措施、设备安全策略配置、重要数据传输存储安全防护等方面的建设。

目前学校互联网接入口有中国电信和中国联通，并接入中国教育科研网。非涉密信息系统与互联网及其它公共信息网络采取了必要的逻辑隔离设施，主要使用了路由、防火墙、流量控制、代理与反向代理、WAF、IPS等技术手段。涉密信息系统与互联网及其它公共信息网络实行严格的物理隔离。非涉密网中要求不得存储、处理、传输涉密信息。建立了严格的网络访问控制策略，安装防火墙、防病毒和上网管理系统等工具，对网络访问进行严格身份控制。根据承载业务的重要性对网络进行分区分域管理，主要有系统服务区、教学区、学生区、外部互连区，并采取技术设施对不同的网络分区进行防护、对不同的安全区域之间实施访问控制。校园服务器集中放置于网络中心机房的服务器网段，对于服务器的访问主要有以下策略：校园内部用户访问时，需通过核心交换机的访问控制和ASA 5520防火墙两道控制；外部访问时，需通过专门设置的ROUTEOS防火墙和反向代理服务器进入，达到了较高的安全性和性能。通过上网身份认证保证校内用户接入Internet的身份识别，并对出口访问日志保留6个月等策略，确保可以通过有关访问信息，定位到有关用户。进行网络日志管理，对网络访问日志进行初步分析，及时发现安全风险。

使用应用安全打描工具、漏洞扫描工具，SQL注入工具等对操作系统、数据库、网络设备、安全设备、信息系统等进行信息安全检查，检查系统补丁更新情况和防病毒软件安装，检测是否关闭了不必要的端口和服务，是否存在安全漏洞。检查系统的安全策略配置和重要数据加密情况。通过采取模拟攻击方式对重要信息系统进行入侵测试，检验系统防攻击、防泄漏等能力。做好重要数据的安全防护措施，包括传输防护、存储防护、本地备份、异地备份等。采用访问控制等技术措施，对网站应用中的敏感信息进行保护。

３.进一步加强对网站系统的安全管理与技术升级

学校现有网站200多个，网站功能日趋完善，但近年来针对Web的攻击（如DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等）正在迅猛增长，使网站所面临的安全风险日益加剧。

在管理上，最新修订完善了《学校网站管理办法》，进一步细化学校网站的建立、运行、管理、安全等要求，严格落实管理责任，逐个梳理各二级网站，由网站所在单位党政主要负责人重新签署网站安全责任书，严格落实网站管理人员，落实各项安全管理制度（包括安全保护技术措施、信息发布审核登记制度、信息监视保存、清除和备份制度、不良信息协助报告和协助查处制度、管理人员岗位责任制），并要求落实对网站的每日检查，并上报到信息化办公室。

在技术上，细化明确了网站主机系统规范和网站应用开发规范，加强对各网站的漏洞扫描和检测，对各二级网站提供了不同时期的多份检测报告，根据检测结果要求各网站单位整改有关漏洞问题，对于安全风险较高的，暂时关闭外网，待整改完毕后，并重新进行安全扫描合格后，方可再开通外网服务。同时加快在网络出口出部署网站防火墙、IPS等安全系统，较大地提高安全防护能力。

４.进一步做好网络信息管理监督

学校密切关注网络动态，重点监看论坛、博客以及互动栏目等服务，坚持“监控”与“引导”相结合，弘扬主旋律，建立完善了发现及时、反应灵敏、应对得当、高效畅通的网络舆情监管、反馈和引导机制，营造了良好的校园网络舆论氛围。校园论坛是学生思想动态的聚焦镜，往往也是现实问题的集中反映。学校建立了网络舆情监管值班制度、网络突发舆情处置反馈机制等，包括周末、节假日等时期安排专人加班，负责监控网络。敏感时期，天天安排专人值班，并做到安全信息每日一报。加强监控，有效预防，坚持人工与技术手段并重的对策，努力保证论坛、留言板等上不出现不良信息。

５.进一步加强对网络安全培训指导

加强培训和指导，通过会议、QQ群等提供技术管理方面的培训，全年进行会议或网上学习培训400人次以上。建立专门的网站管理QQ群，制作提供一些安全检查范例，增强网站管理人员的安全意识，提升管理员的网络安全管理能力。在敏感关键时期，通过QQ群，高校通，打电话等多种方式与网站管理人员及时联络，取得了较好的效果。同时，为充分保证网站安全问题的快速响应支持，学校信息化办公室提供24小时的电话服务支持。

二．重要信息系统等级保护工作情况

学校根据国家《信息安全等级保护管理办法》《浙江省信息安全等级保护管理办法》等有关规定和信息系统安全等级保护测评工作要求，学校领导高度重视，组织相关部门及人员，成立了信息安全等级保护工作小组，依据《教育行业信息系统安全等级保护定级工作指南（试行）》、《信息系统安全等级保护基本要求》等技术标准，认真开展了本单位信息系统定级备案工作。并确定１名信息安全等级保护工作联络员，负责掌握本校的教育信息安全等级保护工作动态和总体情况，与公安机关和教育厅进行日常联系和交流，协调组织本校开展信息安全等级保护工作。

学校已对网络系统、门户网站、综合管理信息系统三个系统，进行了安全保护等级为二级的定级工作，并具体配合浙江省发展信息安全测评技术有限公司完成了系统等级测评工作，完成了三个系统的测评备案。在进行信息系统等级保护测评过程中，重点检查了网络系统、门户网站和综合管理信息系统的安全防护情况。测评内容主要包括物理安全（机房及办公环境）、网络安全（网络全局、网络设备及安全设备）、主机安全（服务器操作系统及数据库系统），应用安全（应用系统软件）、数据安全及备份恢复（数据传输存储及备份）和管理安全（安全管理制度、安全管理机构、人员安全管理、系统建设管理及系统运维管理）。

浙江工业大学网络系统安全等级为二级，该系统主要用于为全校师生提供基础网络接入服务。本次测评结论为“基本符合”，测评指标共包括53项：物理安全共包括10项，其中符合4项，部分符合3项，不符合3项，不适用0项；网络安全共包括6项，其中符合3项，部分符合1项，不符合2项，不适用0项；数据安全及备份恢复共包括3项，其中符合1项，部分符合0项，不符合0项，不适用2项；管理安全共包括34项，其中符合28项，部分符合3项，不符合0项，不适用3项。

　浙江工业大学综合信息管理系统的安全等级为二级，该系统主要用于校园内部日常办公及管理工作。本次测评等级测试结论为“基本符合”，测评指标包括66项：物理安全工包括10项，其中符合4项，部分符合3项，不部分符合3项，不适用0项；网络安全共包括6项，其中符合3项，部分符合1项，不符合2项，不适用0项；主机安全共包括6项，其中符合0项，部分符合6项，不符合0项，不适用于0项；应用安全共包括7项，其中符合2项，部分符合4项，不符合1项，不适用0项；数据安全及备份恢复共包括3项，其中符合1项，部分符合2项，不符合0项，不适用0项；管理安全共包括34页，其中符合28项，部分符合5项，不符合0项，不适用于1项。

浙江工业大学综门户网站系统的安全等级为二级，该系统主要用于向学校用户和社会发布关于学校的各类信息。测评结论为“基本符合”，测评指标共包括66项：物理安全共包括10项，其中符合4项，部分符合3项，不符合3项，不适用0项；网络安全共包括6项，其中符合3项，部分符合1项，不符合2项，不适用0项；主机安全共包括6项，其中符合5项，部分符合1项，不符合0项，不适用0项；应用安全共包括7项，其中符合3项，部分符合3项，不符合1项，不适用0项；数据安全及备份恢复共包括3项，其中符合2项，部分符合1项，不符合0项，不适用0项；管理安全共包括34项，其中符合29项，部分符合4项，不符合0项，不适用1项。

　根据测评公司出具的《浙江工业大学信息系统安全等级保护测评整改报告》，学校详细研究分析信息系统中存在的问题和风险漏洞，具体提供了信息系统安全等级保护测评整改报告，对于短期内能解决的，学校已及时采取有关整改措施，消除安全风险。对于需要一定建设周期才能消除的安全风险，则加强动态监控，列入整改计划，合理安排经费，按照先重点后一般的原则，逐步推进，以从全方位确保网络与信息系统安全。

三．安全管理制度制定与落实情况

充分认识网络与信息安全工作的重要性和紧迫性，积极规范网络信息管理的制度与建设，依据国家相关法规，先后出台了《网络重大突发事件和敏感时期网络应急处置预案》、《浙江工业大学校园网络安全管理条例》、《浙江工业大学校园计算机网络有害信息处理办法》、《浙江工业大学校园网络电子公告服务管理办法》、《浙江工业大学信息系统安全管理规定》、《浙江工业大学网站管理条例》等，使得对校园网络、信息系统与信息内容的安全管理有章可循，有法可依。同时结合信息系统安全等级保护工作，制订完善了浙江工业大学信息安全管理制度汇编，主要有：信息安全管理组织机构、人员安全管理、系统建设管理、机房安全管理制度、信息资产管理制度、介质安全管理制度、设备安全管理制度、信息分类分级标识管理制度、网络安全管理制度、系统安全管理制度、网站管理制度、恶意代码防范管理制度、密码使用管理制度、备份恢复管理制度、信息安全事件管理制度、应急预案管理制度等。

四．突发安全事件处置情况

随着我校二级网站的不断增加，前期有少部分二级网站出现了一些的安全漏洞，个别二级网站出现了不良信息暗链接等问题，受到了公安部门的通报。对于出现安全问题的网站，信息化办公室根据校园网络与信息安全应急预案，第一时间作出反应，立即停止该网站的网络服务，最大限度地降低因信息系统安全事件给学校和社会所带来的影响，及时进行了相应的后续处理。同时由校办组织了相关专门会议，对相关网站举办单位进行了全校通报，针对二级网站安全问题的新情况，进行认真分析研究，主要从管理和技术两方面进行了强化整改，不断加强信息安全宣传和教育培训工作，提高信息安全意识，增强信息安全防护技能。

五．有关考虑

进一步优化学校二级网站管理机制，加快网站群建设，将分散的多个二级网站归并为网站群，对网站进行统一管理、统一检测、统一防护，从而极大地提高网站的安全防护能力。（在最近省公安厅等五部门印发的“网站安全专项整治行动工作方案”通知（浙公通字[2015]92号）中，有明确要求。）

依托浙江省计算机学会网络安全专委会，联合计算机学院及其他有关部门等，培养选拔学生，建立学校网络安全服务团队组织，为学校网络网站及信息系统安全，进行信息安全方面的检测巡查、预警、加固、宣传教育等工作，进一步做好网站安全防护工作。通过网络与信息管理工作队伍建设，大力推动了校园网络信息安全工作向深层发展。