江油一中學校門戶網站信息系統安全等級保護定級情況的說明

   江油一中學校門戶網站信息系統安全等級保護定級情況的說明

一、江油一中學校門戶網站信息系統

 該信息系統的平臺搭建、程序設計和運行維護主要由綿陽電教館委托“北京網笑信息技術有限公司”承擔，我校為使用人，負責內容的更新。

  我校門戶網站信息系統主要提供學校信息發布， 校務公開，政策宣傳等，是我校對外宣傳具有組織合法權益的窗口陣地之一。

 該“網絡教育信息系統”已由綿陽電教館進行信息系統等級保護二級安全備案，證書編號：110****7082-00001

二、其它備案情況

工信部 ICP 備案號：蜀ICP備14002710號

川公網安備： 510****2110050號

政務和公益機構網上名稱標識證書：電子標識編號CA233****38600496520001

江油市公安局:關鍵信息基礎設施安全責任書，20180312報備

三、安全情況

使用國內知名安全廠商“360網站安全衛士”掃描，安全得分97分：

360網站安全檢測 – **** -

  ****

中國現代教育網關于網站安全監測

及安全措施說明

近年來，隨著互聯網在國內的飛速發展和普及，國家為進一步貫徹落實《中華人民共和國網絡安全法》，進一步提升我國網絡安全治理能力，切實加強互聯網安全建設，由公安部、中央網信辦、中央編辦、工業和信息化部聯合下發了《關于印發《黨政機關、事業單位和國有企業互聯網網站安全專項整治行動方案》的通知，在全國范圍內開展黨政機關、事業單位和國有企業互聯網網站安全專項整治行動。

中國現代教育網作為最早的重點教育門戶網站之一，作為新時期黨和國家教育發展的網上宣傳及服務陣地，肩負著普及信息化教育的使命和責任，服務于全國范圍廣大地區的中小學校、縣、市教育局等教育事業單位，各單位依托中國現代教育網信息化平臺支撐與支持，自主的建設本單位包括官方網站在內的整體一站式信息化系統。 鑒于我單位的服務與教育事業單位的緊密聯系，因此中國現代教育網平臺也在嚴格監管的范圍之內，我們亦是責無旁代堅決地支持和擁護國家對互聯網監管的規定和要求，打造合法、合規、宣傳主旋律、弘揚正能量、陽光清朗的互聯網空間。

近期陸續有學校、教育局等單位，通過第三方安全監測的形式，向我單位提交安全監測報告，并以問題匯總的形式要求我單位按報告進行整改和調整，我單位對上述系列報告一致重視，并會對報告中反饋的問題和建議進行深入分析和技術測試，對于的確存在問題的地方及時整改完善，對于經檢測發現不存在問題的地方，我們也及時作出回復說明情況。經過技術部門的多次完善，現將網站安全監測報告提出的常見問題及我們的安全措施說明作報告。

監測報告通常在 虛假或欺詐網站監控、掛馬或惡意網站監控、網站漏洞監控、網站敏感內容監控等幾個方面提供監測數據和分析結果，在此分別予以說明。

1. 虛假或欺詐網站監控

在中國現代教育平臺開通服務的學校、教育局等單位全部均是與我單位有法律合同約定，受國家法律保護的，合作單位、意向合作單位，均是在自主提交開通許可證明或經單位相關負責人員認可。所有開通的官網，均代表所在單位真實意思表示，不存在虛假及欺騙的情況，我們將繼續嚴格規范，杜絕不法站點在我平臺存在。

2. 掛馬或惡意網站監控

中國現代教育網作為正規對外提供教育信息化服務的單位，本著對教育負責的宗旨，不會通過掛馬或惡意病毒等任何不法形式營銷推廣。在技術上，我們啟用多層級監控機制，

1）源代碼級別嚴格過濾數據輸入與提交，上傳文件嚴格控制文件類型、執行權限控制。

2）目錄權限級別嚴格區分讀寫和相應權限，細化權限分配。

2）啟動專業云安全監控系統，嚴密監控非法輸入、非法操作、排除異常。

3）服務器啟用了三重防火墻控制，分別在WEB執行段、服務器端、服務器群內防火墻端均做好了防護工作。

4）啟用了阿里云提供的安全云盾、網站安全防護功能，進一步確保數據安全。

3. 網站漏洞監控

1）信息泄露問題，網頁上體現的電話、EMAIL等信息泄露等。

此類信息內容，完全由單位自主控制和發布顯示，我單位不會主動提供或泄露相關信息，所提供的所影響網址數據是用戶提交的使用數據，泄露危險低，用戶可以通過后臺管理和控制;

2）數據掛馬和SQL注入問題：

網頁針對所有請求已經做了編碼轉換，關鍵字過濾等處理，代碼內部，不存在風險。已全面審查網站源代碼，確保網站沒有后門漏洞，優化相關函數，防止數據庫SQL注入和跨站腳本攻擊。源代碼已經集成強化了包括SQL注入在內的專門過濾，不存在SQL注入風險。同時也有專門敏感字符的專項排查，最大化規避風險。

  3）NetBIOS Services Port 139 Enabled

已修復，139端口已經屏蔽未啟用。

4）應用漏洞問題  flash crossdomain.xml跨站請求偽造、網頁暗鏈問題

報告中常提到的暗鏈基本上是網校平臺整個系統中的獨立部署的子站點地址或域名，其目的是為了提升網站訪問速度和應用CDN加速等技術，不存在風險。

5）IIS短文件和文件夾泄漏漏洞

報告中常模擬不同地址訪問，并報告錯誤，網校系統已經對擴展名.aspx做了屏蔽處理，外部不能訪問aspx，同時代碼上已有注入等防范機制，不存在防線。

6）網站路徑泄漏風險和目錄風險問題

報告中常模擬不同地址訪問，網校系統敏感網址等是通過技術處理后的地址，不是真實實際地址，系統已經對各種注入做了專門處理，并通過軟件防火墻規則做了嚴格過濾，經測試不存在注入等風險。

4. 網站敏感內容監控

對于敏感內容，我平臺啟用敏感字庫體系，對各類敏感內容不斷加強過濾屏蔽工作。

對單位和個人發布的內容，實行后置審核處理，已安排專人審查。

在處理檢測報告反饋問題的同時，我單位同時主動的加強安全工作，網站技術防范安全處理方式。

1. 網站安全檢測

使用綠盟科技網站安全檢測工具（遠程安全評估系統）對網站進行全面檢測，網站風險值可控，風險等級為比較安全。掃描發現網站有低風險的漏洞時，及時修復。

2. 用戶權限排查

對網站用戶的權限進行核查，對部分用戶降低權限，要求網站用戶不要泄露密碼，更改使用強密碼。

3. 加強網站主機監控

  網站系統基于先進的云技術，在服務架構底層配置域防火墻、安全策略等手段有效的避免了絕大部分非法訪問侵入。同時提供DDOS高防防護攻擊策略，安騎士應用確保主機及時監控報警和安全。

另外，在系統內部，安裝部署安全狗企業版網站監控軟件，實時監控網站運行情況和是否受到惡意攻擊，并制定特定規則進行攔截等處理。

4. 網站源碼安全

檢查網站系統有否被掛黑鏈、網頁被篡改、源代碼是否泄露等。

5. 技術防護情況

服務器配置采用高性能配置，帶寬保證網站運行流暢，服務器部署以下服務器安全軟件：1.服務器安全狗；2.網站安全狗；3.360主機衛士。服務器安全狗功能為系統漏洞修復、系統賬號優化、目錄權限優化、數據庫優化、系統服務優化、注冊表優化、垃圾清理、系統殺毒，網絡防火墻、主動防御、遠程登錄防護,此軟件可保證服務器自身安全，防御攻擊并流暢運行。網站安全狗功能為網站漏洞防護、網馬防護、危險組件防護、IIS執行程序防護、一句話后門防護、敏感函數防護、流量防護、資源防護，此軟件針對網站設置多方位安全防護可保證訪問網站安全流暢運行。360主機衛士功能為每日定時掃描網頁木馬自動清理，可針對網頁漏洞及時修復。安裝防毒軟件并自動更新和定期查殺病毒；及時升級、更新防火墻、信息系統帳戶、口令及軟件補丁，加強對服務器和網站的日常維護，確保政府網站運行安全穩定。

6. 應急工作情況

定期做好數據備份和數據維護工作，定期進行設備巡檢、系統升級、網站維護，確保系統運行的正常穩定。對重要文件、信息資源做到及時備份，一旦發生意外情況能及時恢復，確保數據安全。并針對工作實際制定了基礎網絡及信息系統安全應急預案，明確了應急技術支撐隊伍，保障應急技術支撐，并積極開展應急演練，提升工作人員的業務素質和安全突發事件處置能力。

我單位感謝各使用單位對平臺的關注和支持，我們也將一如既往的努力打磨平臺，以期提供更好、更安全、更穩定的服務。 同時，我們也謹慎的指出，目前市場上不同的檢測工具，使用的方式不同、對問題、風險評判的標準、等級等沒有完整統一標準，由此得出的檢測報告，檢測出的結果是不盡相同，在作為完善工作的指導和參考的同時，也需要客觀看待報告中的數據。我公司的安全等級是基于阿里云核心安全框架提供保障。

北京網笑信息技術有限公司

中國現代教育網

2019.02.08