邵云龍：等保2.0 對(duì)高校網(wǎng)絡(luò)安全提出新要求

等保2.0 要求從分層防護(hù)向綜合防控、集中防護(hù)的思想轉(zhuǎn)變。其主要技術(shù)思想方向可歸結(jié)為：第一，“一個(gè)中心，三重防護(hù)”的體系框架；第二，可信計(jì)算；第三，通用+擴(kuò)展要求。

三個(gè)1/3 決定了網(wǎng)絡(luò)安全重要性

黨的十九大以后，教育信息化進(jìn)入了新的發(fā)展階段。去年4 月，教育部正式印發(fā)了《教育信息化2.0 行動(dòng)計(jì)劃》，提出了到2022 年基本實(shí)現(xiàn)“三全兩高一大”的發(fā)展目標(biāo)，要在1.0 階段“三通兩平臺(tái)”的基礎(chǔ)上，全面提升教育信息化發(fā)展水平，使中國教育信息化步入世界先進(jìn)行列，發(fā)揮全球引領(lǐng)作用，以教育信息化全面推動(dòng)教育現(xiàn)代化，開啟智能時(shí)代教育的新征程。

在這個(gè)過程中，網(wǎng)絡(luò)安全工作貫穿整個(gè)教育信息化建設(shè)的始終，是需要持之以恒、常抓不懈的關(guān)鍵性支撐工作。

網(wǎng)絡(luò)安全的重要性是與三個(gè)1/3 分不開的，即教育及教育相關(guān)人口占全國人口的1/3；各類教育行業(yè)在冊(cè)的信息系統(tǒng)占了全國將近1/3； 2016 年、2017 年，教育行業(yè)發(fā)生的網(wǎng)絡(luò)安全事件占全國安全事件1/3。

更直觀的數(shù)據(jù)包括：第一，涉及人員多。目前教育機(jī)構(gòu)60 萬個(gè)，專職教師1800 萬人，各類各級(jí)學(xué)生超過3.5 億人。第二，系統(tǒng)數(shù)量多。當(dāng)前教育系統(tǒng)網(wǎng)站超過20 萬個(gè)，edu.cn 的系統(tǒng)網(wǎng)站11 萬個(gè)，涉及超過百萬人數(shù)據(jù)的系統(tǒng)超過500 個(gè)。第三，掌握數(shù)據(jù)多。政務(wù)數(shù)據(jù)資源數(shù)量超過10000 條，教師數(shù)據(jù)超過4000 萬，累計(jì)學(xué)生數(shù)據(jù)超過5 億。

我們面臨的安全事件主要涉及數(shù)據(jù)泄漏、數(shù)據(jù)篡改、網(wǎng)站癱瘓、頁面篡改等四個(gè)方面。最近重點(diǎn)之一是對(duì)教育APP 的治理，在走訪時(shí)發(fā)現(xiàn)有個(gè)別學(xué)校針對(duì)學(xué)生有包括校內(nèi)新聞、吃飯、洗澡、院系選課等各式各樣的40 余個(gè)APP 同時(shí)使用，建議學(xué)校盡量整合成一個(gè)，至少是一個(gè)入口，杜絕多口徑分散式管理。

等保2.0 時(shí)代的網(wǎng)絡(luò)安全工作

2017 年正式實(shí)施的《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)安全正式帶入了法治時(shí)代，這也就意味著，履行網(wǎng)絡(luò)安全等級(jí)保護(hù)成為網(wǎng)絡(luò)運(yùn)營者的基本義務(wù)，假如信息系統(tǒng)沒有定級(jí)備案、沒有測評(píng)整改，都屬于違法運(yùn)維，從教育系統(tǒng)以及高校違反網(wǎng)絡(luò)安全法的處理情況來看都是非常嚴(yán)格的，需要引起各高校信息化部門的高度重視。

《網(wǎng)絡(luò)安全法》其中很重要的一方面就是網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。1994 年，國務(wù)院147 號(hào)令提出“計(jì)算機(jī)信息系統(tǒng)全面實(shí)行信息安全等級(jí)保護(hù)”，“等保”這個(gè)提法正式出現(xiàn)，隨著近年來云計(jì)算、移動(dòng)互聯(lián)、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)不斷涌現(xiàn)，計(jì)算機(jī)信息系統(tǒng)的概念已經(jīng)不能涵蓋全部，特別是互聯(lián)網(wǎng)快速發(fā)展帶來大數(shù)據(jù)價(jià)值的凸顯，等保2.0 標(biāo)準(zhǔn)應(yīng)運(yùn)而生。2019 年5 月13 日，公安部發(fā)布《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）、《網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T25070-2019）、《網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》（GB/T28448-2019）。

相比1.0，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 與網(wǎng)絡(luò)安全法保持一致，《中華人民共和國網(wǎng)絡(luò)安全法》明確規(guī)定“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，等保2.0 也與時(shí)俱進(jìn)地將原標(biāo)準(zhǔn)的“信息系統(tǒng)安全等級(jí)保護(hù)”改為“網(wǎng)絡(luò)安全等級(jí)保護(hù)”，并且覆蓋全社會(huì)、全行業(yè)和全對(duì)象，這個(gè)“網(wǎng)絡(luò)”是大的網(wǎng)絡(luò)概念，基礎(chǔ)網(wǎng)絡(luò)、信息系統(tǒng)、移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)、工控等都包含在其中。

等保2.0 要求從分層防護(hù)向綜合防控、集中防護(hù)的思想轉(zhuǎn)變。其主要技術(shù)思想方向可歸結(jié)為：第一，“一個(gè)中心，三重防護(hù)”的體系框架。三重防護(hù)是指“安全通信環(huán)境”、“安全區(qū)域邊界”和“安全計(jì)算環(huán)境”；一個(gè)中心是指“安全管理中心”。安全管理中心不是某一個(gè)平臺(tái)，某一個(gè)系統(tǒng)，而是把安全管理、安全監(jiān)測、安全審計(jì)等各類的設(shè)備和應(yīng)用平臺(tái)集中管控的體現(xiàn)。第二，可信計(jì)算。基于可信根對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，一旦檢測到可信性受到破壞就進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。第三，通用+擴(kuò)展要求。將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等列入標(biāo)準(zhǔn)規(guī)范。在通用要求的基礎(chǔ)上疊加相關(guān)擴(kuò)展要求。

具體到測評(píng)過程，應(yīng)該注意以下幾個(gè)方面，一是測評(píng)要求和測評(píng)內(nèi)容增加，等保2.0 中雖然表面測評(píng)項(xiàng)有所減少，實(shí)際上原網(wǎng)絡(luò)、主機(jī)、應(yīng)用層面的要求均合并至安全計(jì)算環(huán)境，實(shí)際測評(píng)對(duì)象并未減少，且網(wǎng)絡(luò)層面擴(kuò)充為“安全通信網(wǎng)絡(luò)與安全區(qū)域邊界”，增加了安全管理中心的要求；二是新標(biāo)準(zhǔn)進(jìn)一步要求加強(qiáng)問題分析以及滲透性驗(yàn)證測試。三是新標(biāo)準(zhǔn)的測評(píng)結(jié)論由之前的“符合、基本符合、不符合”三項(xiàng)變?yōu)閮?yōu)（90 分）、良（80 分）、中（70分）、差（70 分以下）四項(xiàng)量化比較成績，匯總形成教育系統(tǒng)測評(píng)得分統(tǒng)計(jì)和分析，并通報(bào)給有關(guān)部門。

建立長效機(jī)制確保萬無一失

近期教育系統(tǒng)網(wǎng)絡(luò)安全重點(diǎn)工作是：

1.建立網(wǎng)絡(luò)安全責(zé)任制。切實(shí)加強(qiáng)黨對(duì)網(wǎng)信工作的領(lǐng)導(dǎo)；建立網(wǎng)絡(luò)安全工作考核機(jī)制，將網(wǎng)絡(luò)安全工作納入領(lǐng)導(dǎo)干部考核；建立網(wǎng)絡(luò)安全問責(zé)機(jī)制，確立了六條問責(zé)條款。

2.加快教育系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范研究與編制。研究制定數(shù)據(jù)安全相關(guān)管理辦法、關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別認(rèn)定指南和網(wǎng)絡(luò)安全通報(bào)機(jī)制管理辦法等。

3.推進(jìn)監(jiān)測通報(bào)機(jī)制建設(shè)。與教育科研網(wǎng)、高教學(xué)會(huì)信息化分會(huì)、國家有關(guān)職能部門、專業(yè)安全服機(jī)構(gòu)建立合作，建立網(wǎng)絡(luò)安全漏洞和威脅共享機(jī)制；更新教育系統(tǒng)網(wǎng)絡(luò)安全工作管理平臺(tái)，完善信息系統(tǒng)資產(chǎn)管理，實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)測預(yù)警通報(bào)自動(dòng)化，提高教育系統(tǒng)整體安全防護(hù)聯(lián)動(dòng)處置效率。

4.落實(shí)監(jiān)督檢查工作。一是推進(jìn)網(wǎng)絡(luò)安全納入綜治考核，二是開展網(wǎng)絡(luò)安全現(xiàn)場檢查，三是加強(qiáng)網(wǎng)絡(luò)安全通報(bào)，四是對(duì)網(wǎng)絡(luò)安全涉事單位和責(zé)任人進(jìn)行監(jiān)督問責(zé)。

5.加強(qiáng)網(wǎng)絡(luò)安全的宣傳教育、人才培養(yǎng)。盡快開展一流網(wǎng)絡(luò)安全學(xué)院建設(shè)、網(wǎng)絡(luò)安全一級(jí)學(xué)科設(shè)立，在網(wǎng)絡(luò)安全宣傳周期間讓網(wǎng)絡(luò)安全意識(shí)進(jìn)校園、進(jìn)教材、進(jìn)頭腦。

6.部署落實(shí)上半年重要時(shí)期網(wǎng)絡(luò)安全保障工作。教育部印發(fā)《關(guān)于做好2019年上半年重要時(shí)期網(wǎng)絡(luò)安全保障工作的通知》，集中部署春節(jié)寒假、全國兩會(huì)、“一帶一路”國際合作峰會(huì)論壇、五一假期和高考期間等上半年的重要時(shí)期網(wǎng)絡(luò)安全保障工作，提出了加強(qiáng)網(wǎng)絡(luò)安全保障工作的組織部署、按需調(diào)整重要時(shí)期網(wǎng)絡(luò)防護(hù)策略、健全監(jiān)測預(yù)警通報(bào)機(jī)制、做好網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作、落實(shí)網(wǎng)絡(luò)安全“零報(bào)告”制度等工作要求。

7.開展教育APP 專項(xiàng)監(jiān)測工作。組織開展校園APP 專項(xiàng)調(diào)研，采取抽樣調(diào)查問卷和網(wǎng)絡(luò)爬蟲相結(jié)合的方式對(duì)各級(jí)各類學(xué)校和教育行政部門的APP 進(jìn)行調(diào)研。在此基礎(chǔ)上，對(duì)教育行政部門和學(xué)校主管的298 個(gè)教育APP 進(jìn)行網(wǎng)絡(luò)安全監(jiān)測。監(jiān)測共發(fā)現(xiàn)安全威脅3091 個(gè)。已將相關(guān)安全威脅通報(bào)至相關(guān)單位，并要求涉事單位進(jìn)行限期整改。目前，相關(guān)安全威脅修復(fù)率已達(dá)60%以上。

對(duì)高校網(wǎng)絡(luò)安全工作的建議

1.加強(qiáng)學(xué)習(xí)，提升網(wǎng)信工作能力。首先是學(xué)習(xí)習(xí)近平總書記網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略思想和關(guān)于網(wǎng)信工作的一系列重要論述，這是做好網(wǎng)信工作的首要政治任務(wù)和根本措施保障。其次是學(xué)習(xí)最新的網(wǎng)信理論知識(shí)和技術(shù)成果，與教育戰(zhàn)線需求相結(jié)合。再次是學(xué)習(xí)兄弟單位乃至其他國家的先進(jìn)經(jīng)驗(yàn)和成功做法。最后總結(jié)以往的工作經(jīng)驗(yàn)和教訓(xùn)，自己向自己學(xué)習(xí)，這要成為網(wǎng)信工作的基本“算法”。

2.加強(qiáng)網(wǎng)絡(luò)安全責(zé)任制落實(shí)。按照相關(guān)要求和量化的考核評(píng)分辦法，落實(shí)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組和網(wǎng)信辦的具體職責(zé)、任務(wù)。黨委（黨組）要定期研究部署網(wǎng)絡(luò)安全工作，分管負(fù)責(zé)同志至少每季度召開一次會(huì)議聽取網(wǎng)絡(luò)安全工作匯報(bào)，每年要制定網(wǎng)信領(lǐng)導(dǎo)小組年度工作要點(diǎn)或者網(wǎng)絡(luò)安全年度工作要點(diǎn)。

3.落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。全面完成信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案，定期開展網(wǎng)絡(luò)安全等級(jí)測評(píng)（三級(jí)系統(tǒng)每年一次，二級(jí)系統(tǒng)每兩年一次）和安全整改。按照2.0標(biāo)準(zhǔn)，對(duì)照落實(shí)相關(guān)要求。

4.加強(qiáng)網(wǎng)絡(luò)安全教育培訓(xùn)。對(duì)于單位在職全體人員，要開展全面網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，培訓(xùn)時(shí)間要滿足要求；對(duì)于單位信息化管理人員和技術(shù)人員，要開展網(wǎng)絡(luò)安全素養(yǎng)培訓(xùn)，培訓(xùn)時(shí)間要滿足相關(guān)要求；對(duì)于系統(tǒng)運(yùn)維和安全技術(shù)人員，要組織參加專業(yè)技術(shù)培訓(xùn)，獲得相關(guān)資質(zhì)證書，全面提升網(wǎng)絡(luò)安全防范技能和水平。

5.提升數(shù)據(jù)安全防護(hù)能力。要做好數(shù)據(jù)治理，推進(jìn)一數(shù)一源，制定本單位數(shù)據(jù)安全管理辦法，規(guī)范采集、傳輸、管理和使用。全面采用密碼技術(shù)，包括加密、簽名等，加強(qiáng)重要數(shù)據(jù)安全保障。

6.開展安全監(jiān)測和應(yīng)急演練。日常安全威脅監(jiān)測要通過配備工具或者購買服務(wù)的方式進(jìn)行，對(duì)系統(tǒng)運(yùn)行安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)測，能夠第一時(shí)間發(fā)現(xiàn)問題。落實(shí)《教育系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》要求，參照制定/修訂本單位的預(yù)案和具體信息系統(tǒng)的應(yīng)急預(yù)案，定期開展應(yīng)急演練。有條件的單位開展攻防實(shí)戰(zhàn)演習(xí)。

7.落實(shí)重要時(shí)期安全保障。首先要提高安全意識(shí)，加強(qiáng)統(tǒng)籌部署，安全工作是一項(xiàng)政治性很強(qiáng)的工作，關(guān)鍵時(shí)間節(jié)點(diǎn)要有不同的措施，確保“萬無一失”。其次，優(yōu)化信息系統(tǒng)和網(wǎng)站服務(wù)，區(qū)分持續(xù)訪問、工作時(shí)間訪問、限制訪問、關(guān)停等策略。第三，落實(shí)“零報(bào)告”和7×24 小時(shí)值守制度。第四，做好監(jiān)測預(yù)警和應(yīng)急管理，發(fā)現(xiàn)問題馬上改，發(fā)生事件馬上報(bào)。