為教育信息化2.0安全護(hù)航

邵云龍認(rèn)為，學(xué)校網(wǎng)絡(luò)安全工作中出現(xiàn)的問題可以總結(jié)為：“看不起、管不著、舍不得、想不通”四方面。

國際國內(nèi)網(wǎng)絡(luò)安全形勢分析

近年來，國家高度重視網(wǎng)絡(luò)信息安全工作。網(wǎng)絡(luò)安全實(shí)際已從虛擬世界真正影響到整個現(xiàn)實(shí)生活，它已不僅僅是技術(shù)問題，更需站在歷史發(fā)展高度和政治高度來考量。

教育行業(yè)一直以來都是網(wǎng)絡(luò)安全防護(hù)的一個重要陣地。一是涉及人員多，教育機(jī)構(gòu)59萬個，專職教師1800萬人，整體教育行業(yè)各級各類學(xué)生超過3.5億；二是系統(tǒng)數(shù)量多，教育系統(tǒng)網(wǎng)站超過20萬個，edu.cn的系統(tǒng)網(wǎng)站11萬個，涉及超過100萬人數(shù)據(jù)的系統(tǒng)達(dá)500多個；三是掌握數(shù)據(jù)多，政務(wù)數(shù)據(jù)資源數(shù)量達(dá)10624條，教師數(shù)據(jù)超過4000萬，累計(jì)學(xué)生數(shù)據(jù)超過5億條。

教育行業(yè)面臨的主要威脅現(xiàn)已發(fā)展到了新的階段，表現(xiàn)在三個方面：一是數(shù)據(jù)泄漏，數(shù)據(jù)泄漏造成了很多安全事件；第二是業(yè)務(wù)癱瘓，主要發(fā)生在大規(guī)模的考試招生等過程中，對社會影響非常大；第三是頁面篡改。隨著信息化的發(fā)展，數(shù)據(jù)越來越集中，大量高度敏感信息的泄露，輿論已經(jīng)在倒逼學(xué)校整改，而安全意識和安全管理應(yīng)如何兼容值得深思。

實(shí)際上教育行業(yè)對網(wǎng)絡(luò)安全投入不足，據(jù)2017年底的數(shù)據(jù)顯示，71%的高校偏重網(wǎng)絡(luò)安全工作的人員投入不到兩個，高校很少有獨(dú)立的安全專員；13%的學(xué)校根本沒有網(wǎng)絡(luò)安全的投入；54%的高校投入在50萬元以下。從全國總體來看，安全投入普遍偏低；管理不善，教育行業(yè)的靈活和自由度較大，尤其在基礎(chǔ)教育領(lǐng)域，很多域名的管理不規(guī)范，造成諸多事件的處置存在困難。新技術(shù)帶來的攻擊手段呈現(xiàn)多元化，包括APT、物理攻擊、定向攻擊、網(wǎng)絡(luò)釣魚、社交攻擊等等。同時云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)也給網(wǎng)絡(luò)安全帶來了新挑戰(zhàn)。

教育系統(tǒng)網(wǎng)絡(luò)安全體制機(jī)制

做好網(wǎng)絡(luò)安全工作的關(guān)鍵，是主管部門有擔(dān)當(dāng)，支撐單位有能力，分工有序，配合默契。

教育系統(tǒng)責(zé)任機(jī)制，主要是統(tǒng)籌指導(dǎo)，監(jiān)督管理，逐級落實(shí)工作。按照“誰主管誰負(fù)責(zé)，誰運(yùn)維誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，做好網(wǎng)絡(luò)安全工作的最重要一環(huán)。針對高校來說，學(xué)校的書記、校長是主要責(zé)任人，落實(shí)“一把手”責(zé)任制。

網(wǎng)絡(luò)安全責(zé)任制要突出四個能力：制度建設(shè)、安全保障、監(jiān)測預(yù)警、應(yīng)急處置，形成對網(wǎng)絡(luò)安全的整體閉環(huán)。

制度保障方面，在《教育信息化2.0行動計(jì)劃》中，把網(wǎng)絡(luò)安全作為保障措施中的一個重要內(nèi)容，要求執(zhí)行法律要求，落實(shí)等保制度為主。在《2018年教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)》中，明確提出提升網(wǎng)絡(luò)安全人才培養(yǎng)能力和質(zhì)量，提高教育系統(tǒng)網(wǎng)絡(luò)安全保障能力。在《教育部教育管理信息中心2018年工作要點(diǎn)》中也明確規(guī)定，要完善教育管理信息化安全保障體系。

為了做好網(wǎng)絡(luò)安全支撐工作，教育部教育管理信息中心設(shè)立網(wǎng)絡(luò)安全處，明確了工作職責(zé)：一是配合科技司，開展網(wǎng)絡(luò)安全技術(shù)保障；二是教育部網(wǎng)絡(luò)安全技術(shù)保障，開展部本級安全技術(shù)保障工作；三是提供教育行業(yè)等保測評和安全服務(wù)，面向教育系統(tǒng)用戶提供信息系統(tǒng)安全等級測評、教育軟件安全檢測、教育商用密碼應(yīng)用安全性測評、安全風(fēng)險(xiǎn)評估、安全監(jiān)測等網(wǎng)絡(luò)安全服務(wù)。

教育系統(tǒng)網(wǎng)絡(luò)安全重點(diǎn)工作

1.加強(qiáng)網(wǎng)絡(luò)安全統(tǒng)籌領(lǐng)導(dǎo)。 教育部站在頂層設(shè)計(jì)的角度，加強(qiáng)網(wǎng)絡(luò)安全統(tǒng)籌領(lǐng)導(dǎo)，明確組織、規(guī)劃、分工、設(shè)計(jì)等。

2.落實(shí)網(wǎng)絡(luò)安全責(zé)任制，建立網(wǎng)絡(luò)安全工作考核機(jī)制和問責(zé)機(jī)制。

3.等級保護(hù)。教育部印發(fā)了《教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南（試行） 》，推進(jìn)落實(shí)、定級、備案、測評、整改工作 ，但是很多學(xué)校和單位并沒有落實(shí)好相關(guān)工作。

4.監(jiān)測通報(bào)。與教育網(wǎng)、信息化分會建立合作，建立流量分析機(jī)制；上線教育系統(tǒng)資產(chǎn)管理系統(tǒng)，收集系統(tǒng)超過20萬。網(wǎng)絡(luò)安全監(jiān)測預(yù)警系統(tǒng)實(shí)現(xiàn)了通報(bào)自動化，在漏洞檢測發(fā)現(xiàn)驗(yàn)證之后，可以第一時間直接通知到相關(guān)單位的具體聯(lián)系人，能夠最短時間通報(bào)相關(guān)漏洞。同時不斷優(yōu)化網(wǎng)絡(luò)安全監(jiān)測預(yù)警通報(bào)工作，現(xiàn)在的信息資產(chǎn)系統(tǒng)并沒有覆蓋所有行業(yè)的所有系統(tǒng)和重要設(shè)備，需要各個單位主動如實(shí)填報(bào)，以便把所有重要資產(chǎn)納入監(jiān)測，提高效率、形成聯(lián)盟、追溯上游。

5.應(yīng)急預(yù)案，應(yīng)急演練。《網(wǎng)絡(luò)安全法》明確落實(shí)了相關(guān)內(nèi)容，教育系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案，要求各單位參照修訂制定本單位的預(yù)案和具體信息系統(tǒng)的應(yīng)急預(yù)案。開展應(yīng)急演練，應(yīng)急預(yù)案分成四級，目前主要的問題還是在二、三、四級。

6.監(jiān)督檢查。一是綜治考核，二是現(xiàn)場檢查，三是通報(bào)情況，四是監(jiān)督問責(zé)，按照教育部的要求逐步落實(shí)。

7.重要時期安全保障。（1）提高安全意識，加強(qiáng)統(tǒng)籌部署，安全工作是一項(xiàng)政治性很強(qiáng)的工作，關(guān)鍵時間節(jié)點(diǎn)要有不同的措施，確?！叭f無一失”。（2）優(yōu)化網(wǎng)站訪問策略，包括持續(xù)訪問、工作時間訪問、限制訪問、關(guān)停等。（3）“零報(bào)告”和7×24小時值守。（4）做好監(jiān)測預(yù)警和應(yīng)急管理，發(fā)現(xiàn)問題馬上改，出現(xiàn)安全事件馬上報(bào)。

8.其他任務(wù)。在人才培養(yǎng)、學(xué)科建設(shè)、宣傳教育開展相關(guān)工作，建設(shè)一流網(wǎng)絡(luò)安全學(xué)院和網(wǎng)絡(luò)空間安全一級學(xué)科，開展網(wǎng)絡(luò)安全宣傳周等活動。

近期的工作要點(diǎn)：一是加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障，包括關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)規(guī)劃、關(guān)鍵信息基礎(chǔ)設(shè)施識別指南等。二是完善網(wǎng)絡(luò)安全通報(bào)機(jī)制，協(xié)同政府、學(xué)校、企業(yè)建立安全聯(lián)盟。三是個人信息保護(hù)（數(shù)據(jù)安全），開展數(shù)據(jù)安全專項(xiàng)治理行動等。四是網(wǎng)絡(luò)安全態(tài)勢感知，依托于服務(wù)商建立態(tài)勢感知平臺，主要工作是漏洞通報(bào)展示等。

教育系統(tǒng)網(wǎng)絡(luò)安全工作建議

針對教育系統(tǒng)網(wǎng)絡(luò)安全工作的現(xiàn)狀，以講政治、講法制、講擔(dān)當(dāng)、講大局為主題，指導(dǎo)學(xué)校網(wǎng)絡(luò)安全工作。目前在學(xué)校網(wǎng)絡(luò)安全工作中出現(xiàn)的問題可以總結(jié)為：“看不起、管不著、舍不得、想不通”四方面?？床黄穑瑫?dǎo)致專家思維，技術(shù)自信、輕視管理，認(rèn)為廠商只是為了掙錢；管不著，造成本位主義，而院系的技術(shù)能力又不能支撐學(xué)校安全保障工作；舍不得，會產(chǎn)生小農(nóng)經(jīng)濟(jì)，自己搞、花錢少，不重視后續(xù)維保；想不通，導(dǎo)致信息化部門地位尷尬，究竟是CIO、CTO、CSO ？還是教輔、后勤部門？因此，針對以上問題提出以下工作建議：

1.加強(qiáng)制度建設(shè)，守住法律底線。按照教育部科技司的要求落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度、用戶信息保護(hù)制度、網(wǎng)絡(luò)安全監(jiān)測預(yù)警通報(bào)機(jī)制，對法律有敬畏之心。

2.加強(qiáng)統(tǒng)籌領(lǐng)導(dǎo)，加強(qiáng)集中建設(shè)。加強(qiáng)信息系統(tǒng)統(tǒng)籌管理、數(shù)據(jù)統(tǒng)籌，探索網(wǎng)站群建設(shè)，減少網(wǎng)站的少散亂問題。建設(shè)統(tǒng)一的數(shù)據(jù)中心，避免基礎(chǔ)設(shè)施的重復(fù)建設(shè)等。

3.推廣云服務(wù)，降低建設(shè)成本、提高安全水平。能上云就上云，減少運(yùn)維成本和應(yīng)用開發(fā)成本。慎上外企公有云；涉及個人信息不上公有云；需要公眾服務(wù)的建議混合云；行政部門建議建立行業(yè)云。

4.主動融入大局工作。網(wǎng)信工作統(tǒng)籌推進(jìn)，主管業(yè)務(wù)就要管安全，網(wǎng)絡(luò)安全和信息化統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施。融入穩(wěn)定工作統(tǒng)籌部署。主動參與育人工作協(xié)調(diào)，包括協(xié)同育人、培養(yǎng)隊(duì)伍、地區(qū)性幫扶。

5.做好網(wǎng)絡(luò)安全應(yīng)急處置工作。教育部網(wǎng)絡(luò)安全應(yīng)急辦（部網(wǎng)信辦）負(fù)責(zé)網(wǎng)絡(luò)安全應(yīng)急管理事務(wù)性工作，提出特別重大網(wǎng)絡(luò)安全事件應(yīng)對措施，統(tǒng)籌組織網(wǎng)絡(luò)安全監(jiān)測工作。

6.正確認(rèn)識等級保護(hù)工作的意義。網(wǎng)絡(luò)安全不僅是技術(shù)問題，更是管理問題。等級保護(hù)不僅是合規(guī)問題，更是合法問題，需要提高安全能力和規(guī)范性的基準(zhǔn)。

日常在做測評和日常工作常見的典型問題：第一，問題日志，安全日志未記錄或未及時轉(zhuǎn)儲，無法及時分析或事件回溯?！毒W(wǎng)絡(luò)安全法》要求“留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月”。第二，訪問控制策略不合理，單位內(nèi)部的應(yīng)用系統(tǒng)層面差距很大，外部邊界防護(hù)很好，而內(nèi)部有一些疏漏，給攻擊者入侵帶來便利。第三，系統(tǒng)建設(shè)過程中未考慮安全功能，很多單位在各個院系建立系統(tǒng)， 未按安全要求開展方案審計(jì)、功能評估，系統(tǒng)上線時未進(jìn)行應(yīng)用安全測試，導(dǎo)致存在較多漏洞，造成應(yīng)用安全漏洞頻發(fā)，運(yùn)維階段難以及時整改。第四，安全運(yùn)維管理制度無法有效落實(shí)，有制度沒流程，有崗位沒人員。缺少監(jiān)測和審計(jì)，被動應(yīng)對網(wǎng)絡(luò)攻擊。未來要針對這四點(diǎn)問題進(jìn)行防護(hù)。