江油一中學(xué)校門(mén)戶網(wǎng)站信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)情況的說(shuō)明

一、江油一中學(xué)校門(mén)戶網(wǎng)站信息系統(tǒng)

 該信息系統(tǒng)的平臺(tái)搭建、程序設(shè)計(jì)和運(yùn)行維護(hù)主要由綿陽(yáng)電教館委托“北京網(wǎng)笑信息技術(shù)有限公司”承擔(dān)，我校為使用人，負(fù)責(zé)內(nèi)容的更新。

  我校門(mén)戶網(wǎng)站信息系統(tǒng)主要提供學(xué)校信息發(fā)布， 校務(wù)公開(kāi)，政策宣傳等，是我校對(duì)外宣傳具有組織合法權(quán)益的窗口陣地之一。

 該“網(wǎng)絡(luò)教育信息系統(tǒng)”已由綿陽(yáng)電教館進(jìn)行信息系統(tǒng)等級(jí)保護(hù)二級(jí)安全備案，證書(shū)編號(hào)：110****7082-00001

二、其它備案情況

工信部 ICP 備案號(hào)：蜀ICP備14002710號(hào)

川公網(wǎng)安備： 510****2110050號(hào)

政務(wù)和公益機(jī)構(gòu)網(wǎng)上名稱標(biāo)識(shí)證書(shū)：電子標(biāo)識(shí)編號(hào)CA233****38600496520001

江油市公安局:關(guān)鍵信息基礎(chǔ)設(shè)施安全責(zé)任書(shū)，20180312報(bào)備

三、安全情況

使用國(guó)內(nèi)知名安全廠商“360網(wǎng)站安全衛(wèi)士”掃描，安全得分97分：

360網(wǎng)站安全檢測(cè) – **** -

  ****

中國(guó)現(xiàn)代教育網(wǎng)關(guān)于網(wǎng)站安全監(jiān)測(cè)

及安全措施說(shuō)明

近年來(lái)，隨著互聯(lián)網(wǎng)在國(guó)內(nèi)的飛速發(fā)展和普及，國(guó)家為進(jìn)一步貫徹落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，進(jìn)一步提升我國(guó)網(wǎng)絡(luò)安全治理能力，切實(shí)加強(qiáng)互聯(lián)網(wǎng)安全建設(shè)，由公安部、中央網(wǎng)信辦、中央編辦、工業(yè)和信息化部聯(lián)合下發(fā)了《關(guān)于印發(fā)《黨政機(jī)關(guān)、事業(yè)單位和國(guó)有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項(xiàng)整治行動(dòng)方案》的通知，在全國(guó)范圍內(nèi)開(kāi)展黨政機(jī)關(guān)、事業(yè)單位和國(guó)有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項(xiàng)整治行動(dòng)。

中國(guó)現(xiàn)代教育網(wǎng)作為最早的重點(diǎn)教育門(mén)戶網(wǎng)站之一，作為新時(shí)期黨和國(guó)家教育發(fā)展的網(wǎng)上宣傳及服務(wù)陣地，肩負(fù)著普及信息化教育的使命和責(zé)任，服務(wù)于全國(guó)范圍廣大地區(qū)的中小學(xué)校、縣、市教育局等教育事業(yè)單位，各單位依托中國(guó)現(xiàn)代教育網(wǎng)信息化平臺(tái)支撐與支持，自主的建設(shè)本單位包括官方網(wǎng)站在內(nèi)的整體一站式信息化系統(tǒng)。 鑒于我單位的服務(wù)與教育事業(yè)單位的緊密聯(lián)系，因此中國(guó)現(xiàn)代教育網(wǎng)平臺(tái)也在嚴(yán)格監(jiān)管的范圍之內(nèi)，我們亦是責(zé)無(wú)旁代堅(jiān)決地支持和擁護(hù)國(guó)家對(duì)互聯(lián)網(wǎng)監(jiān)管的規(guī)定和要求，打造合法、合規(guī)、宣傳主旋律、弘揚(yáng)正能量、陽(yáng)光清朗的互聯(lián)網(wǎng)空間。

近期陸續(xù)有學(xué)校、教育局等單位，通過(guò)第三方安全監(jiān)測(cè)的形式，向我單位提交安全監(jiān)測(cè)報(bào)告，并以問(wèn)題匯總的形式要求我單位按報(bào)告進(jìn)行整改和調(diào)整，我單位對(duì)上述系列報(bào)告一致重視，并會(huì)對(duì)報(bào)告中反饋的問(wèn)題和建議進(jìn)行深入分析和技術(shù)測(cè)試，對(duì)于的確存在問(wèn)題的地方及時(shí)整改完善，對(duì)于經(jīng)檢測(cè)發(fā)現(xiàn)不存在問(wèn)題的地方，我們也及時(shí)作出回復(fù)說(shuō)明情況。經(jīng)過(guò)技術(shù)部門(mén)的多次完善，現(xiàn)將網(wǎng)站安全監(jiān)測(cè)報(bào)告提出的常見(jiàn)問(wèn)題及我們的安全措施說(shuō)明作報(bào)告。

監(jiān)測(cè)報(bào)告通常在 虛假或欺詐網(wǎng)站監(jiān)控、掛馬或惡意網(wǎng)站監(jiān)控、網(wǎng)站漏洞監(jiān)控、網(wǎng)站敏感內(nèi)容監(jiān)控等幾個(gè)方面提供監(jiān)測(cè)數(shù)據(jù)和分析結(jié)果，在此分別予以說(shuō)明。

1. 虛假或欺詐網(wǎng)站監(jiān)控

在中國(guó)現(xiàn)代教育平臺(tái)開(kāi)通服務(wù)的學(xué)校、教育局等單位全部均是與我單位有法律合同約定，受?chē)?guó)家法律保護(hù)的，合作單位、意向合作單位，均是在自主提交開(kāi)通許可證明或經(jīng)單位相關(guān)負(fù)責(zé)人員認(rèn)可。所有開(kāi)通的官網(wǎng)，均代表所在單位真實(shí)意思表示，不存在虛假及欺騙的情況，我們將繼續(xù)嚴(yán)格規(guī)范，杜絕不法站點(diǎn)在我平臺(tái)存在。

2. 掛馬或惡意網(wǎng)站監(jiān)控

中國(guó)現(xiàn)代教育網(wǎng)作為正規(guī)對(duì)外提供教育信息化服務(wù)的單位，本著對(duì)教育負(fù)責(zé)的宗旨，不會(huì)通過(guò)掛馬或惡意病毒等任何不法形式營(yíng)銷(xiāo)推廣。在技術(shù)上，我們啟用多層級(jí)監(jiān)控機(jī)制，

1）源代碼級(jí)別嚴(yán)格過(guò)濾數(shù)據(jù)輸入與提交，上傳文件嚴(yán)格控制文件類(lèi)型、執(zhí)行權(quán)限控制。

2）目錄權(quán)限級(jí)別嚴(yán)格區(qū)分讀寫(xiě)和相應(yīng)權(quán)限，細(xì)化權(quán)限分配。

2）啟動(dòng)專業(yè)云安全監(jiān)控系統(tǒng)，嚴(yán)密監(jiān)控非法輸入、非法操作、排除異常。

3）服務(wù)器啟用了三重防火墻控制，分別在WEB執(zhí)行段、服務(wù)器端、服務(wù)器群內(nèi)防火墻端均做好了防護(hù)工作。

4）啟用了阿里云提供的安全云盾、網(wǎng)站安全防護(hù)功能，進(jìn)一步確保數(shù)據(jù)安全。

3. 網(wǎng)站漏洞監(jiān)控

1）信息泄露問(wèn)題，網(wǎng)頁(yè)上體現(xiàn)的電話、EMAIL等信息泄露等。

此類(lèi)信息內(nèi)容，完全由單位自主控制和發(fā)布顯示，我單位不會(huì)主動(dòng)提供或泄露相關(guān)信息，所提供的所影響網(wǎng)址數(shù)據(jù)是用戶提交的使用數(shù)據(jù)，泄露危險(xiǎn)低，用戶可以通過(guò)后臺(tái)管理和控制;

2）數(shù)據(jù)掛馬和SQL注入問(wèn)題：

網(wǎng)頁(yè)針對(duì)所有請(qǐng)求已經(jīng)做了編碼轉(zhuǎn)換，關(guān)鍵字過(guò)濾等處理，代碼內(nèi)部，不存在風(fēng)險(xiǎn)。已全面審查網(wǎng)站源代碼，確保網(wǎng)站沒(méi)有后門(mén)漏洞，優(yōu)化相關(guān)函數(shù)，防止數(shù)據(jù)庫(kù)SQL注入和跨站腳本攻擊。源代碼已經(jīng)集成強(qiáng)化了包括SQL注入在內(nèi)的專門(mén)過(guò)濾，不存在SQL注入風(fēng)險(xiǎn)。同時(shí)也有專門(mén)敏感字符的專項(xiàng)排查，最大化規(guī)避風(fēng)險(xiǎn)。

  3）NetBIOS Services Port 139 Enabled

已修復(fù)，139端口已經(jīng)屏蔽未啟用。

4）應(yīng)用漏洞問(wèn)題  flash crossdomain.xml跨站請(qǐng)求偽造、網(wǎng)頁(yè)暗鏈問(wèn)題

報(bào)告中常提到的暗鏈基本上是網(wǎng)校平臺(tái)整個(gè)系統(tǒng)中的獨(dú)立部署的子站點(diǎn)地址或域名，其目的是為了提升網(wǎng)站訪問(wèn)速度和應(yīng)用CDN加速等技術(shù)，不存在風(fēng)險(xiǎn)。

5）IIS短文件和文件夾泄漏漏洞

報(bào)告中常模擬不同地址訪問(wèn)，并報(bào)告錯(cuò)誤，網(wǎng)校系統(tǒng)已經(jīng)對(duì)擴(kuò)展名.aspx做了屏蔽處理，外部不能訪問(wèn)aspx，同時(shí)代碼上已有注入等防范機(jī)制，不存在防線。

6）網(wǎng)站路徑泄漏風(fēng)險(xiǎn)和目錄風(fēng)險(xiǎn)問(wèn)題

報(bào)告中常模擬不同地址訪問(wèn)，網(wǎng)校系統(tǒng)敏感網(wǎng)址等是通過(guò)技術(shù)處理后的地址，不是真實(shí)實(shí)際地址，系統(tǒng)已經(jīng)對(duì)各種注入做了專門(mén)處理，并通過(guò)軟件防火墻規(guī)則做了嚴(yán)格過(guò)濾，經(jīng)測(cè)試不存在注入等風(fēng)險(xiǎn)。

4. 網(wǎng)站敏感內(nèi)容監(jiān)控

對(duì)于敏感內(nèi)容，我平臺(tái)啟用敏感字庫(kù)體系，對(duì)各類(lèi)敏感內(nèi)容不斷加強(qiáng)過(guò)濾屏蔽工作。

對(duì)單位和個(gè)人發(fā)布的內(nèi)容，實(shí)行后置審核處理，已安排專人審查。

在處理檢測(cè)報(bào)告反饋問(wèn)題的同時(shí)，我單位同時(shí)主動(dòng)的加強(qiáng)安全工作，網(wǎng)站技術(shù)防范安全處理方式。

1. 網(wǎng)站安全檢測(cè)

使用綠盟科技網(wǎng)站安全檢測(cè)工具（遠(yuǎn)程安全評(píng)估系統(tǒng)）對(duì)網(wǎng)站進(jìn)行全面檢測(cè)，網(wǎng)站風(fēng)險(xiǎn)值可控，風(fēng)險(xiǎn)等級(jí)為比較安全。掃描發(fā)現(xiàn)網(wǎng)站有低風(fēng)險(xiǎn)的漏洞時(shí)，及時(shí)修復(fù)。

2. 用戶權(quán)限排查

對(duì)網(wǎng)站用戶的權(quán)限進(jìn)行核查，對(duì)部分用戶降低權(quán)限，要求網(wǎng)站用戶不要泄露密碼，更改使用強(qiáng)密碼。

3. 加強(qiáng)網(wǎng)站主機(jī)監(jiān)控

  網(wǎng)站系統(tǒng)基于先進(jìn)的云技術(shù)，在服務(wù)架構(gòu)底層配置域防火墻、安全策略等手段有效的避免了絕大部分非法訪問(wèn)侵入。同時(shí)提供DDOS高防防護(hù)攻擊策略，安騎士應(yīng)用確保主機(jī)及時(shí)監(jiān)控報(bào)警和安全。

另外，在系統(tǒng)內(nèi)部，安裝部署安全狗企業(yè)版網(wǎng)站監(jiān)控軟件，實(shí)時(shí)監(jiān)控網(wǎng)站運(yùn)行情況和是否受到惡意攻擊，并制定特定規(guī)則進(jìn)行攔截等處理。

4. 網(wǎng)站源碼安全

檢查網(wǎng)站系統(tǒng)有否被掛黑鏈、網(wǎng)頁(yè)被篡改、源代碼是否泄露等。

5. 技術(shù)防護(hù)情況

服務(wù)器配置采用高性能配置，帶寬保證網(wǎng)站運(yùn)行流暢，服務(wù)器部署以下服務(wù)器安全軟件：1.服務(wù)器安全狗；2.網(wǎng)站安全狗；3.360主機(jī)衛(wèi)士。服務(wù)器安全狗功能為系統(tǒng)漏洞修復(fù)、系統(tǒng)賬號(hào)優(yōu)化、目錄權(quán)限優(yōu)化、數(shù)據(jù)庫(kù)優(yōu)化、系統(tǒng)服務(wù)優(yōu)化、注冊(cè)表優(yōu)化、垃圾清理、系統(tǒng)殺毒，網(wǎng)絡(luò)防火墻、主動(dòng)防御、遠(yuǎn)程登錄防護(hù),此軟件可保證服務(wù)器自身安全，防御攻擊并流暢運(yùn)行。網(wǎng)站安全狗功能為網(wǎng)站漏洞防護(hù)、網(wǎng)馬防護(hù)、危險(xiǎn)組件防護(hù)、IIS執(zhí)行程序防護(hù)、一句話后門(mén)防護(hù)、敏感函數(shù)防護(hù)、流量防護(hù)、資源防護(hù)，此軟件針對(duì)網(wǎng)站設(shè)置多方位安全防護(hù)可保證訪問(wèn)網(wǎng)站安全流暢運(yùn)行。360主機(jī)衛(wèi)士功能為每日定時(shí)掃描網(wǎng)頁(yè)木馬自動(dòng)清理，可針對(duì)網(wǎng)頁(yè)漏洞及時(shí)修復(fù)。安裝防毒軟件并自動(dòng)更新和定期查殺病毒；及時(shí)升級(jí)、更新防火墻、信息系統(tǒng)帳戶、口令及軟件補(bǔ)丁，加強(qiáng)對(duì)服務(wù)器和網(wǎng)站的日常維護(hù)，確保政府網(wǎng)站運(yùn)行安全穩(wěn)定。

6. 應(yīng)急工作情況

定期做好數(shù)據(jù)備份和數(shù)據(jù)維護(hù)工作，定期進(jìn)行設(shè)備巡檢、系統(tǒng)升級(jí)、網(wǎng)站維護(hù)，確保系統(tǒng)運(yùn)行的正常穩(wěn)定。對(duì)重要文件、信息資源做到及時(shí)備份，一旦發(fā)生意外情況能及時(shí)恢復(fù)，確保數(shù)據(jù)安全。并針對(duì)工作實(shí)際制定了基礎(chǔ)網(wǎng)絡(luò)及信息系統(tǒng)安全應(yīng)急預(yù)案，明確了應(yīng)急技術(shù)支撐隊(duì)伍，保障應(yīng)急技術(shù)支撐，并積極開(kāi)展應(yīng)急演練，提升工作人員的業(yè)務(wù)素質(zhì)和安全突發(fā)事件處置能力。

我單位感謝各使用單位對(duì)平臺(tái)的關(guān)注和支持，我們也將一如既往的努力打磨平臺(tái)，以期提供更好、更安全、更穩(wěn)定的服務(wù)。 同時(shí)，我們也謹(jǐn)慎的指出，目前市場(chǎng)上不同的檢測(cè)工具，使用的方式不同、對(duì)問(wèn)題、風(fēng)險(xiǎn)評(píng)判的標(biāo)準(zhǔn)、等級(jí)等沒(méi)有完整統(tǒng)一標(biāo)準(zhǔn)，由此得出的檢測(cè)報(bào)告，檢測(cè)出的結(jié)果是不盡相同，在作為完善工作的指導(dǎo)和參考的同時(shí)，也需要客觀看待報(bào)告中的數(shù)據(jù)。我公司的安全等級(jí)是基于阿里云核心安全框架提供保障。

北京網(wǎng)笑信息技術(shù)有限公司

中國(guó)現(xiàn)代教育網(wǎng)

2019.02.08