江油一中學校門戶網(wǎng)站信息系統(tǒng)安全等級保護定級情況的說明

一、江油一中學校門戶網(wǎng)站信息系統(tǒng)

 該信息系統(tǒng)的平臺搭建、程序設計和運行維護主要由綿陽電教館委托“北京網(wǎng)笑信息技術有限公司”承擔，我校為使用人，負責內容的更新。

  我校門戶網(wǎng)站信息系統(tǒng)主要提供學校信息發(fā)布， 校務公開，政策宣傳等，是我校對外宣傳具有組織合法權益的窗口陣地之一。

 該“網(wǎng)絡教育信息系統(tǒng)”已由綿陽電教館進行信息系統(tǒng)等級保護二級安全備案，證書編號：110****7082-00001

二、其它備案情況

工信部 ICP 備案號：蜀ICP備14002710號

川公網(wǎng)安備： 510****2110050號

政務和公益機構網(wǎng)上名稱標識證書：電子標識編號CA233****38600496520001

江油市公安局:關鍵信息基礎設施安全責任書，20180312報備

三、安全情況

使用國內知名安全廠商“360網(wǎng)站安全衛(wèi)士”掃描，安全得分97分：

360網(wǎng)站安全檢測 – **** -

  ****

中國現(xiàn)代教育網(wǎng)關于網(wǎng)站安全監(jiān)測

及安全措施說明

近年來，隨著互聯(lián)網(wǎng)在國內的飛速發(fā)展和普及，國家為進一步貫徹落實《中華人民共和國網(wǎng)絡安全法》，進一步提升我國網(wǎng)絡安全治理能力，切實加強互聯(lián)網(wǎng)安全建設，由公安部、中央網(wǎng)信辦、中央編辦、工業(yè)和信息化部聯(lián)合下發(fā)了《關于印發(fā)《黨政機關、事業(yè)單位和國有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項整治行動方案》的通知，在全國范圍內開展黨政機關、事業(yè)單位和國有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項整治行動。

中國現(xiàn)代教育網(wǎng)作為最早的重點教育門戶網(wǎng)站之一，作為新時期黨和國家教育發(fā)展的網(wǎng)上宣傳及服務陣地，肩負著普及信息化教育的使命和責任，服務于全國范圍廣大地區(qū)的中小學校、縣、市教育局等教育事業(yè)單位，各單位依托中國現(xiàn)代教育網(wǎng)信息化平臺支撐與支持，自主的建設本單位包括官方網(wǎng)站在內的整體一站式信息化系統(tǒng)。 鑒于我單位的服務與教育事業(yè)單位的緊密聯(lián)系，因此中國現(xiàn)代教育網(wǎng)平臺也在嚴格監(jiān)管的范圍之內，我們亦是責無旁代堅決地支持和擁護國家對互聯(lián)網(wǎng)監(jiān)管的規(guī)定和要求，打造合法、合規(guī)、宣傳主旋律、弘揚正能量、陽光清朗的互聯(lián)網(wǎng)空間。

近期陸續(xù)有學校、教育局等單位，通過第三方安全監(jiān)測的形式，向我單位提交安全監(jiān)測報告，并以問題匯總的形式要求我單位按報告進行整改和調整，我單位對上述系列報告一致重視，并會對報告中反饋的問題和建議進行深入分析和技術測試，對于的確存在問題的地方及時整改完善，對于經檢測發(fā)現(xiàn)不存在問題的地方，我們也及時作出回復說明情況。經過技術部門的多次完善，現(xiàn)將網(wǎng)站安全監(jiān)測報告提出的常見問題及我們的安全措施說明作報告。

監(jiān)測報告通常在 虛假或欺詐網(wǎng)站監(jiān)控、掛馬或惡意網(wǎng)站監(jiān)控、網(wǎng)站漏洞監(jiān)控、網(wǎng)站敏感內容監(jiān)控等幾個方面提供監(jiān)測數(shù)據(jù)和分析結果，在此分別予以說明。

1. 虛假或欺詐網(wǎng)站監(jiān)控

在中國現(xiàn)代教育平臺開通服務的學校、教育局等單位全部均是與我單位有法律合同約定，受國家法律保護的，合作單位、意向合作單位，均是在自主提交開通許可證明或經單位相關負責人員認可。所有開通的官網(wǎng)，均代表所在單位真實意思表示，不存在虛假及欺騙的情況，我們將繼續(xù)嚴格規(guī)范，杜絕不法站點在我平臺存在。

2. 掛馬或惡意網(wǎng)站監(jiān)控

中國現(xiàn)代教育網(wǎng)作為正規(guī)對外提供教育信息化服務的單位，本著對教育負責的宗旨，不會通過掛馬或惡意病毒等任何不法形式營銷推廣。在技術上，我們啟用多層級監(jiān)控機制，

1）源代碼級別嚴格過濾數(shù)據(jù)輸入與提交，上傳文件嚴格控制文件類型、執(zhí)行權限控制。

2）目錄權限級別嚴格區(qū)分讀寫和相應權限，細化權限分配。

2）啟動專業(yè)云安全監(jiān)控系統(tǒng)，嚴密監(jiān)控非法輸入、非法操作、排除異常。

3）服務器啟用了三重防火墻控制，分別在WEB執(zhí)行段、服務器端、服務器群內防火墻端均做好了防護工作。

4）啟用了阿里云提供的安全云盾、網(wǎng)站安全防護功能，進一步確保數(shù)據(jù)安全。

3. 網(wǎng)站漏洞監(jiān)控

1）信息泄露問題，網(wǎng)頁上體現(xiàn)的電話、EMAIL等信息泄露等。

此類信息內容，完全由單位自主控制和發(fā)布顯示，我單位不會主動提供或泄露相關信息，所提供的所影響網(wǎng)址數(shù)據(jù)是用戶提交的使用數(shù)據(jù)，泄露危險低，用戶可以通過后臺管理和控制;

2）數(shù)據(jù)掛馬和SQL注入問題：

網(wǎng)頁針對所有請求已經做了編碼轉換，關鍵字過濾等處理，代碼內部，不存在風險。已全面審查網(wǎng)站源代碼，確保網(wǎng)站沒有后門漏洞，優(yōu)化相關函數(shù)，防止數(shù)據(jù)庫SQL注入和跨站腳本攻擊。源代碼已經集成強化了包括SQL注入在內的專門過濾，不存在SQL注入風險。同時也有專門敏感字符的專項排查，最大化規(guī)避風險。

  3）NetBIOS Services Port 139 Enabled

已修復，139端口已經屏蔽未啟用。

4）應用漏洞問題  flash crossdomain.xml跨站請求偽造、網(wǎng)頁暗鏈問題

報告中常提到的暗鏈基本上是網(wǎng)校平臺整個系統(tǒng)中的獨立部署的子站點地址或域名，其目的是為了提升網(wǎng)站訪問速度和應用CDN加速等技術，不存在風險。

5）IIS短文件和文件夾泄漏漏洞

報告中常模擬不同地址訪問，并報告錯誤，網(wǎng)校系統(tǒng)已經對擴展名.aspx做了屏蔽處理，外部不能訪問aspx，同時代碼上已有注入等防范機制，不存在防線。

6）網(wǎng)站路徑泄漏風險和目錄風險問題

報告中常模擬不同地址訪問，網(wǎng)校系統(tǒng)敏感網(wǎng)址等是通過技術處理后的地址，不是真實實際地址，系統(tǒng)已經對各種注入做了專門處理，并通過軟件防火墻規(guī)則做了嚴格過濾，經測試不存在注入等風險。

4. 網(wǎng)站敏感內容監(jiān)控

對于敏感內容，我平臺啟用敏感字庫體系，對各類敏感內容不斷加強過濾屏蔽工作。

對單位和個人發(fā)布的內容，實行后置審核處理，已安排專人審查。

在處理檢測報告反饋問題的同時，我單位同時主動的加強安全工作，網(wǎng)站技術防范安全處理方式。

1. 網(wǎng)站安全檢測

使用綠盟科技網(wǎng)站安全檢測工具（遠程安全評估系統(tǒng)）對網(wǎng)站進行全面檢測，網(wǎng)站風險值可控，風險等級為比較安全。掃描發(fā)現(xiàn)網(wǎng)站有低風險的漏洞時，及時修復。

2. 用戶權限排查

對網(wǎng)站用戶的權限進行核查，對部分用戶降低權限，要求網(wǎng)站用戶不要泄露密碼，更改使用強密碼。

3. 加強網(wǎng)站主機監(jiān)控

  網(wǎng)站系統(tǒng)基于先進的云技術，在服務架構底層配置域防火墻、安全策略等手段有效的避免了絕大部分非法訪問侵入。同時提供DDOS高防防護攻擊策略，安騎士應用確保主機及時監(jiān)控報警和安全。

另外，在系統(tǒng)內部，安裝部署安全狗企業(yè)版網(wǎng)站監(jiān)控軟件，實時監(jiān)控網(wǎng)站運行情況和是否受到惡意攻擊，并制定特定規(guī)則進行攔截等處理。

4. 網(wǎng)站源碼安全

檢查網(wǎng)站系統(tǒng)有否被掛黑鏈、網(wǎng)頁被篡改、源代碼是否泄露等。

5. 技術防護情況

服務器配置采用高性能配置，帶寬保證網(wǎng)站運行流暢，服務器部署以下服務器安全軟件：1.服務器安全狗；2.網(wǎng)站安全狗；3.360主機衛(wèi)士。服務器安全狗功能為系統(tǒng)漏洞修復、系統(tǒng)賬號優(yōu)化、目錄權限優(yōu)化、數(shù)據(jù)庫優(yōu)化、系統(tǒng)服務優(yōu)化、注冊表優(yōu)化、垃圾清理、系統(tǒng)殺毒，網(wǎng)絡防火墻、主動防御、遠程登錄防護,此軟件可保證服務器自身安全，防御攻擊并流暢運行。網(wǎng)站安全狗功能為網(wǎng)站漏洞防護、網(wǎng)馬防護、危險組件防護、IIS執(zhí)行程序防護、一句話后門防護、敏感函數(shù)防護、流量防護、資源防護，此軟件針對網(wǎng)站設置多方位安全防護可保證訪問網(wǎng)站安全流暢運行。360主機衛(wèi)士功能為每日定時掃描網(wǎng)頁木馬自動清理，可針對網(wǎng)頁漏洞及時修復。安裝防毒軟件并自動更新和定期查殺病毒；及時升級、更新防火墻、信息系統(tǒng)帳戶、口令及軟件補丁，加強對服務器和網(wǎng)站的日常維護，確保政府網(wǎng)站運行安全穩(wěn)定。

6. 應急工作情況

定期做好數(shù)據(jù)備份和數(shù)據(jù)維護工作，定期進行設備巡檢、系統(tǒng)升級、網(wǎng)站維護，確保系統(tǒng)運行的正常穩(wěn)定。對重要文件、信息資源做到及時備份，一旦發(fā)生意外情況能及時恢復，確保數(shù)據(jù)安全。并針對工作實際制定了基礎網(wǎng)絡及信息系統(tǒng)安全應急預案，明確了應急技術支撐隊伍，保障應急技術支撐，并積極開展應急演練，提升工作人員的業(yè)務素質和安全突發(fā)事件處置能力。

我單位感謝各使用單位對平臺的關注和支持，我們也將一如既往的努力打磨平臺，以期提供更好、更安全、更穩(wěn)定的服務。 同時，我們也謹慎的指出，目前市場上不同的檢測工具，使用的方式不同、對問題、風險評判的標準、等級等沒有完整統(tǒng)一標準，由此得出的檢測報告，檢測出的結果是不盡相同，在作為完善工作的指導和參考的同時，也需要客觀看待報告中的數(shù)據(jù)。我公司的安全等級是基于阿里云核心安全框架提供保障。

北京網(wǎng)笑信息技術有限公司

中國現(xiàn)代教育網(wǎng)

2019.02.08