為教育信息化2.0安全護航

國際國內(nèi)網(wǎng)絡(luò)安全形勢分析

近年來，國家高度重視網(wǎng)絡(luò)信息安全工作。網(wǎng)絡(luò)安全實際已從虛擬世界真正影響到整個現(xiàn)實生活，它已不僅僅是技術(shù)問題，更需站在歷史發(fā)展高度和政治高度來考量。

教育行業(yè)一直以來都是網(wǎng)絡(luò)安全防護的一個重要陣地。一是涉及人員多，教育機構(gòu)59萬個，專職教師1800萬人，整體教育行業(yè)各級各類學生超過3.5億；二是系統(tǒng)數(shù)量多，教育系統(tǒng)網(wǎng)站超過20萬個，edu.cn的系統(tǒng)網(wǎng)站11萬個，涉及超過100萬人數(shù)據(jù)的系統(tǒng)達500多個；三是掌握數(shù)據(jù)多，政務(wù)數(shù)據(jù)資源數(shù)量達10624條，教師數(shù)據(jù)超過4000萬，累計學生數(shù)據(jù)超過5億條。

教育行業(yè)面臨的主要威脅現(xiàn)已發(fā)展到了新的階段，表現(xiàn)在三個方面：一是數(shù)據(jù)泄漏，數(shù)據(jù)泄漏造成了很多安全事件；第二是業(yè)務(wù)癱瘓，主要發(fā)生在大規(guī)模的考試招生等過程中，對社會影響非常大；第三是頁面篡改。隨著信息化的發(fā)展，數(shù)據(jù)越來越集中，大量高度敏感信息的泄露，輿論已經(jīng)在倒逼學校整改，而安全意識和安全管理應(yīng)如何兼容值得深思。

實際上教育行業(yè)對網(wǎng)絡(luò)安全投入不足，據(jù)2017年底的數(shù)據(jù)顯示，71%的高校偏重網(wǎng)絡(luò)安全工作的人員投入不到兩個，高校很少有獨立的安全專員；13%的學校根本沒有網(wǎng)絡(luò)安全的投入；54%的高校投入在50萬元以下。從全國總體來看，安全投入普遍偏低；管理不善，教育行業(yè)的靈活和自由度較大，尤其在基礎(chǔ)教育領(lǐng)域，很多域名的管理不規(guī)范，造成諸多事件的處置存在困難。新技術(shù)帶來的攻擊手段呈現(xiàn)多元化，包括APT、物理攻擊、定向攻擊、網(wǎng)絡(luò)釣魚、社交攻擊等等。同時云計算、大數(shù)據(jù)、人工智能等新技術(shù)也給網(wǎng)絡(luò)安全帶來了新挑戰(zhàn)。

教育系統(tǒng)網(wǎng)絡(luò)安全體制機制

做好網(wǎng)絡(luò)安全工作的關(guān)鍵，是主管部門有擔當，支撐單位有能力，分工有序，配合默契。

教育系統(tǒng)責任機制，主要是統(tǒng)籌指導，監(jiān)督管理，逐級落實工作。按照“誰主管誰負責，誰運維誰負責，誰使用誰負責”的原則，做好網(wǎng)絡(luò)安全工作的最重要一環(huán)。針對高校來說，學校的書記、校長是主要責任人，落實“一把手”責任制。

網(wǎng)絡(luò)安全責任制要突出四個能力：制度建設(shè)、安全保障、監(jiān)測預(yù)警、應(yīng)急處置，形成對網(wǎng)絡(luò)安全的整體閉環(huán)。

制度保障方面，在《教育信息化2.0行動計劃》中，把網(wǎng)絡(luò)安全作為保障措施中的一個重要內(nèi)容，要求執(zhí)行法律要求，落實等保制度為主。在《2018年教育信息化和網(wǎng)絡(luò)安全工作要點》中，明確提出提升網(wǎng)絡(luò)安全人才培養(yǎng)能力和質(zhì)量，提高教育系統(tǒng)網(wǎng)絡(luò)安全保障能力。在《教育部教育管理信息中心2018年工作要點》中也明確規(guī)定，要完善教育管理信息化安全保障體系。

為了做好網(wǎng)絡(luò)安全支撐工作，教育部教育管理信息中心設(shè)立網(wǎng)絡(luò)安全處，明確了工作職責：一是配合科技司，開展網(wǎng)絡(luò)安全技術(shù)保障；二是教育部網(wǎng)絡(luò)安全技術(shù)保障，開展部本級安全技術(shù)保障工作；三是提供教育行業(yè)等保測評和安全服務(wù)，面向教育系統(tǒng)用戶提供信息系統(tǒng)安全等級測評、教育軟件安全檢測、教育商用密碼應(yīng)用安全性測評、安全風險評估、安全監(jiān)測等網(wǎng)絡(luò)安全服務(wù)。

教育系統(tǒng)網(wǎng)絡(luò)安全重點工作

1.加強網(wǎng)絡(luò)安全統(tǒng)籌領(lǐng)導。 教育部站在頂層設(shè)計的角度，加強網(wǎng)絡(luò)安全統(tǒng)籌領(lǐng)導，明確組織、規(guī)劃、分工、設(shè)計等。

2.落實網(wǎng)絡(luò)安全責任制，建立網(wǎng)絡(luò)安全工作考核機制和問責機制。

3.等級保護。教育部印發(fā)了《教育行業(yè)信息系統(tǒng)安全等級保護定級工作指南（試行） 》，推進落實、定級、備案、測評、整改工作 ，但是很多學校和單位并沒有落實好相關(guān)工作。

4.監(jiān)測通報。與教育網(wǎng)、信息化分會建立合作，建立流量分析機制；上線教育系統(tǒng)資產(chǎn)管理系統(tǒng)，收集系統(tǒng)超過20萬。網(wǎng)絡(luò)安全監(jiān)測預(yù)警系統(tǒng)實現(xiàn)了通報自動化，在漏洞檢測發(fā)現(xiàn)驗證之后，可以第一時間直接通知到相關(guān)單位的具體聯(lián)系人，能夠最短時間通報相關(guān)漏洞。同時不斷優(yōu)化網(wǎng)絡(luò)安全監(jiān)測預(yù)警通報工作，現(xiàn)在的信息資產(chǎn)系統(tǒng)并沒有覆蓋所有行業(yè)的所有系統(tǒng)和重要設(shè)備，需要各個單位主動如實填報，以便把所有重要資產(chǎn)納入監(jiān)測，提高效率、形成聯(lián)盟、追溯上游。

5.應(yīng)急預(yù)案，應(yīng)急演練。《網(wǎng)絡(luò)安全法》明確落實了相關(guān)內(nèi)容，教育系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案，要求各單位參照修訂制定本單位的預(yù)案和具體信息系統(tǒng)的應(yīng)急預(yù)案。開展應(yīng)急演練，應(yīng)急預(yù)案分成四級，目前主要的問題還是在二、三、四級。

6.監(jiān)督檢查。一是綜治考核，二是現(xiàn)場檢查，三是通報情況，四是監(jiān)督問責，按照教育部的要求逐步落實。

7.重要時期安全保障。（1）提高安全意識，加強統(tǒng)籌部署，安全工作是一項政治性很強的工作，關(guān)鍵時間節(jié)點要有不同的措施，確保“萬無一失”。（2）優(yōu)化網(wǎng)站訪問策略，包括持續(xù)訪問、工作時間訪問、限制訪問、關(guān)停等。（3）“零報告”和7×24小時值守。（4）做好監(jiān)測預(yù)警和應(yīng)急管理，發(fā)現(xiàn)問題馬上改，出現(xiàn)安全事件馬上報。

8.其他任務(wù)。在人才培養(yǎng)、學科建設(shè)、宣傳教育開展相關(guān)工作，建設(shè)一流網(wǎng)絡(luò)安全學院和網(wǎng)絡(luò)空間安全一級學科，開展網(wǎng)絡(luò)安全宣傳周等活動。

近期的工作要點：一是加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保障，包括關(guān)鍵信息基礎(chǔ)設(shè)施保護規(guī)劃、關(guān)鍵信息基礎(chǔ)設(shè)施識別指南等。二是完善網(wǎng)絡(luò)安全通報機制，協(xié)同政府、學校、企業(yè)建立安全聯(lián)盟。三是個人信息保護（數(shù)據(jù)安全），開展數(shù)據(jù)安全專項治理行動等。四是網(wǎng)絡(luò)安全態(tài)勢感知，依托于服務(wù)商建立態(tài)勢感知平臺，主要工作是漏洞通報展示等。

教育系統(tǒng)網(wǎng)絡(luò)安全工作建議

針對教育系統(tǒng)網(wǎng)絡(luò)安全工作的現(xiàn)狀，以講政治、講法制、講擔當、講大局為主題，指導學校網(wǎng)絡(luò)安全工作。目前在學校網(wǎng)絡(luò)安全工作中出現(xiàn)的問題可以總結(jié)為：“看不起、管不著、舍不得、想不通”四方面。看不起，會導致專家思維，技術(shù)自信、輕視管理，認為廠商只是為了掙錢；管不著，造成本位主義，而院系的技術(shù)能力又不能支撐學校安全保障工作；舍不得，會產(chǎn)生小農(nóng)經(jīng)濟，自己搞、花錢少，不重視后續(xù)維保；想不通，導致信息化部門地位尷尬，究竟是CIO、CTO、CSO ？還是教輔、后勤部門？因此，針對以上問題提出以下工作建議：

1.加強制度建設(shè)，守住法律底線。按照教育部科技司的要求落實網(wǎng)絡(luò)安全等級保護制度、用戶信息保護制度、網(wǎng)絡(luò)安全監(jiān)測預(yù)警通報機制，對法律有敬畏之心。

2.加強統(tǒng)籌領(lǐng)導，加強集中建設(shè)。加強信息系統(tǒng)統(tǒng)籌管理、數(shù)據(jù)統(tǒng)籌，探索網(wǎng)站群建設(shè)，減少網(wǎng)站的少散亂問題。建設(shè)統(tǒng)一的數(shù)據(jù)中心，避免基礎(chǔ)設(shè)施的重復(fù)建設(shè)等。

3.推廣云服務(wù)，降低建設(shè)成本、提高安全水平。能上云就上云，減少運維成本和應(yīng)用開發(fā)成本。慎上外企公有云；涉及個人信息不上公有云；需要公眾服務(wù)的建議混合云；行政部門建議建立行業(yè)云。

4.主動融入大局工作。網(wǎng)信工作統(tǒng)籌推進，主管業(yè)務(wù)就要管安全，網(wǎng)絡(luò)安全和信息化統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施。融入穩(wěn)定工作統(tǒng)籌部署。主動參與育人工作協(xié)調(diào)，包括協(xié)同育人、培養(yǎng)隊伍、地區(qū)性幫扶。

5.做好網(wǎng)絡(luò)安全應(yīng)急處置工作。教育部網(wǎng)絡(luò)安全應(yīng)急辦（部網(wǎng)信辦）負責網(wǎng)絡(luò)安全應(yīng)急管理事務(wù)性工作，提出特別重大網(wǎng)絡(luò)安全事件應(yīng)對措施，統(tǒng)籌組織網(wǎng)絡(luò)安全監(jiān)測工作。

6.正確認識等級保護工作的意義。網(wǎng)絡(luò)安全不僅是技術(shù)問題，更是管理問題。等級保護不僅是合規(guī)問題，更是合法問題，需要提高安全能力和規(guī)范性的基準。

日常在做測評和日常工作常見的典型問題：第一，問題日志，安全日志未記錄或未及時轉(zhuǎn)儲，無法及時分析或事件回溯。《網(wǎng)絡(luò)安全法》要求“留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月”。第二，訪問控制策略不合理，單位內(nèi)部的應(yīng)用系統(tǒng)層面差距很大，外部邊界防護很好，而內(nèi)部有一些疏漏，給攻擊者入侵帶來便利。第三，系統(tǒng)建設(shè)過程中未考慮安全功能，很多單位在各個院系建立系統(tǒng)， 未按安全要求開展方案審計、功能評估，系統(tǒng)上線時未進行應(yīng)用安全測試，導致存在較多漏洞，造成應(yīng)用安全漏洞頻發(fā)，運維階段難以及時整改。第四，安全運維管理制度無法有效落實，有制度沒流程，有崗位沒人員。缺少監(jiān)測和審計，被動應(yīng)對網(wǎng)絡(luò)攻擊。未來要針對這四點問題進行防護。