中国科学技术大学网络安全建设工程一期技术方案.pdfVIP

第一章建设背景

随着我国学校信息化建设的逐步深入，学校教务工作对信息系统依赖的程度

越来越高；教育信息化建设中大量的信息资源，成为学校成熟的业务展示和应用

平台，在未来的教育信息化规划中占有非常重要的地位。从安全性上分析，高校

业务应用和网络系统日益复杂，外部攻击、内部资源滥用、木马和病毒等不安全

因素越来越显著，信息化安全是业务应用发展需要关注的核心和重点。

为贯彻落实国家网络安全等级保护制度，规范和指导全国教育网络安全等级

保护工作，国家教委教办厅函[2009]80文件发出“关于开展信息系统安全等级保

护工作的通知”；教育部教育管理信息中心发布《教育信息系统安全等级保护工

作方案》；教育部办公厅《印发关于开展教育系统信息安全等级保护工作专项检

查的通知》（教办厅函[2010]80号）；2015年《教育部公安部关于全面推进教

育行业信息安全等级保护工作的通知》（教技[2015]2号），标志着教育行业等

保开始全面实施；2017年3月《教育行业网络安全综合治理行动方案》出炉，

此次行动的重点被归纳为八个字：治乱、堵漏、补短、规范。2017年6月《网

络安全法》正式实施，它的出台提醒着我们“网络安全必须有底线思维”，网络安

全等级保护上升到了国家法律的层面；2018年教育部关于印发《教育信息化2.0

行动计划》的通知（教技〔2018〕6号），在保障措施章节，第五部分担当责任，

保障安全提出“全面落实网络安全等级保护制度，深入开展网络安全监测预警，

提高网络安全态势感知水平”；2020年，教育部办公厅关于印发《2020年教育信

息化和网络安全工作要点》的通知（教技厅〔2020〕1号），在第三十二条提出

“范持续开展网络安全监测预警，提高数据分析和态势感知能力。完善教育系统

网络安全通报机制建设。落实国家网络安全等级保护2.0的相关要求，健全相关

工作机制和技术标准。

同时，随着新技术的不断应用和新基建发展带来的网络安全新威胁，给高校

网络安全运营者也带来了新的安全挑战。由于高校现有安全建设缺乏有效的安全

运营，导致安全建设效果不理想、安全运维效率低、安全工作价值难体现等问题，

也困扰着组织的网络安全运营者。另外网络安全法、网络安全等级保护2.0等相

关标准在安全运营和管理方面都提出了明确的要求。因此，高校应建设有效的安

全运营体系，以应对各类安全挑战和解决安全运营工作遇到的问题，并确保网络

及业务系统持续稳定安全运行。

习近平主席在2016年4月19日的网信工作座谈会上发表的重要讲话，从整

体战略的高度勾勒出了中国网络空间安全战略框架。要求全面加强网络安全检查，

“摸清家底，认清风险，找出漏洞，通报结果，督促整改”。习主席还要求“全

天候全方位感知网络安全态势”，只有加强网络安全大检查，更好感知网络安全

态势，才能做到知己知彼，百战不殆。

因此，中国科学技术大学需要在落实《中华人民共和国网络安全法》、《网

络安全等级保护2.0》等相关法律法规要求的基础上，建立配套的常态化、长效

化新型安全运营指挥技术和管理体系，以及自动化的手段和有效的威胁检测措施，

实现潜藏风险发现、安全事件分析与处置，完善应急指挥机制，建立设备资源、

人力资源、管理资源之间的高效协同，对安全事件进行及时有效处置，实现统一

的网络安全协同运营。

第二章建设依据

2.1行业政策文件

《中华人民共和国网络安全法》

《中华人民共和国密码法》

《网络安全等级保护条例（征求意见稿）》

《教育部办公厅关于开展信息系统安全等级保护工作的通知》（教办厅函

[2009]80号）

《教育部办公厅关于开展教育系统信息安全等级保护工作专项检查的通知》

（教办厅函[2010]80号）

《关于加强教育行业网络与信息安全工作的指导意见》（教技[2014]4号）

《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》（教

技[2015]2号）

教育部办公厅关于印发《教育行业网络安全综合治理行动方案》的通知（教

技厅〔2017〕3号）

教育部关于印发《教育信息化2.0行动计划》的通知（教技〔2018〕6号）

教育部办公厅关于印发《2020年教育信息化和网络安全工作要点》的通知（教

科技厅〔2020〕1号）

2.2行业标准及规范

《计算机信息系统安全等级保护划分准则》（GB