教育信息安全等級保護測評中心

^[1]  中心通過了國家信息安全等級保護測評機構資質認證，按照《信息安全等級保護測評工作管理規範》（公信安〔2010〕303號）和《信息安全等級測評機構能力要求發佈稿（試行）》要求，組建了專業的技術和管理團隊，建立了完善的質量管理體系，搭建了完備的網絡與信息安全實驗室，配置了先進的專業測評工具，已經具備了為教育行業信息安全服務提供全方位技術服務的能力。 ^[1-2] 

（1）協助教育行業主管部門研究制定行業信息安全等級保護技術標準、規範及指導性文件；協助審查教育行業信息系統安全定級材料；為行業內網絡與信息安全監督、檢查提供技術支撐。

教育信息安全相關文件(3張)

（2）開展行業內信息安全等級保護政策法規、技術標準及網絡與信息安全技術等方面的培訓；統籌實施行業內第三級及以上重要信息系統的等級測評工作；開展風險評估、安全諮詢、安全監測、源代碼審計、安全運維外包以及安全產品測試等安全服務。

安全培訓：

按照教育行業主管部門要求，組織實施教育系統網絡與信息安全工作崗位培訓，負責“教育信息安全等級保護專業培訓合格證書”的培訓、認證考試和證書頒發管理。通過安全培訓，幫助教育部門和學校信息系統運營使用單位掌握網絡與信息安全工作的基本知識和應用技能。

從風險管理角度，為用户評估系統面臨的威脅以及脆弱性導致安全事件的可能性，並結合安全事件所涉及的資產價值來判斷安全事件一旦發生對系統造成的影響，提出有針對性的抵禦威脅的方法措施，將風險控制在可接受的範圍內，達到系統穩定運行的目的。為保證用户信息系統的安全建設、穩定運行提供技術參考。

依據《信息系統安全等級保護定級指南》（GB/T22240-2008）和《教育信息系統安全等級保護定級指南》等相關標準，協助用户對定級對象進行準確定級。通過定級諮詢幫助用户多方面綜合評定信息系統的安全等級，避免用户在自主定級過程中出現定級過高或過低的現象，導致在信息系統安全建設中投入費用過高或無法對信息系統進行有效防護。

依據《信息系統安全等級保護基本要求》（GB/T22239-2008）和教育行業有關技術要求，為用户提供基於等級保護標準的合規建設諮詢、等級保護建設整改諮詢、方案設計等服務，協助用户明確安全保護目標，實現安全保護能力。

依據《信息系統安全等級保護測評要求》、《信息系統安全等級保護測評過程指南》等國家標準以及教育行業有關技術要求，主要為教育系統用户提供第三方權威的信息系統安全等級測評服務，檢測信息系統的安全保護措施是否符合國家相應安全等級的基本安全要求。

依託“教育行業網站實時監測與服務平台”，為用户提供實時安全監控，及時、準確發現網站掛馬事件、被黑事件，併為用户提供安全事件發生後的應急響應以及重要敏感時期的安全測試服務。

web應用存在安全威脅的主要原因在於信息系統源代碼存在安全漏洞。我們依託專業工具和專業代碼開發人才，為用户提供信息系統源代碼安全審計，幫助用户在信息系統上線前就對源代碼進行安全漏洞掃描、分析，並對導致安全漏洞的錯誤代碼進行定位和驗證，然後提供補救建議，確保信息系統源代碼安全。

立足於滿足等級保護專業測評工作需要，中心建立了業內一流、國內先進的網絡與信息安全實驗室。實驗室採購了國內主流的各類安全防護產品以及網絡、存儲等設備，基本能夠滿足模擬教育系統各類信息系統要求，為測評人員技術研究、人員培訓、等保測評的前期模擬工作提供了強有力支持；