如何应对教育网络问题,八大重点工作值得重视

智能观 2019/04/18 00:31

教育前沿


教育部教育管理信息中心网络安全处处长邵云龙认为,教育领域网络安全工作中出现的问题可以总结为:"看不起、管不着、舍不得、想不通"四方面。那么,如何应对?

知识图谱,如何应对教育网络问题,八大重点工作值得重视

邵云龙

教育部教育管理信息中心网络安全处处长

近年来,国家高度重视网络信息安全工作。网络安全实际已从虚拟世界真正影响到整个现实生活,它已不仅仅是技术问题,更需站在历史发展高度和政治高度来考量。

教育行业一直以来都是网络安全防护的一个重要阵地。一是涉及人员多, 教育机构59万个,专职教师1800万人,整体教育行业各级各类学生超过3.5亿; 二是系统数量多 ,教育系统网站超过20万个,edu.cn的系统网站11万个,涉及超过100万人数据的系统达500多个; 三是掌握数据多, 政务数据资源数量达10624条,教师数据超过4000万,累计学生数据超过5亿条。

教育行业面临的主要威胁现已发展到了新的阶段,表现在三个方面:一是数据泄漏 ,数据泄漏造成了很多安全事件; 第二是业务瘫痪 ,主要发生在大规模的考试招生等过程中,对社会影响非常大; 第三是页面篡改 。随着信息化的发展,数据越来越集中,大量高度敏感信息的泄露,舆论已经在倒逼学校整改,而安全意识和安全管理应如何兼容值得深思。

实际上教育行业对网络安全投入不足,据2017年底的数据显示,71%的高校偏重网络安全工作的人员投入不到两个,高校很少有独立的安全专员;13%的学校根本没有网络安全的投入;54%的高校投入在50万元以下。从全国总体来看,安全投入普遍偏低;管理不善,教育行业的灵活和自由度较大,尤其在基础教育领域,很多域名的管理不规范,造成诸多事件的处置存在困难。新技术带来的攻击手段呈现多元化,包括APT、物理攻击、定向攻击、网络钓鱼、社交攻击等等。同时云计算、大数据、人工智能等新技术也给网络安全带来了新挑战。

国际国内网络安全形势分析

知识图谱,如何应对教育网络问题,八大重点工作值得重视

做好网络安全工作的关键,是主管部门有担当,支撑单位有能力,分工有序,配合默契。

教育系统责任机制,主要是统筹指导,监督管理,逐级落实工作。 按照"谁主管谁负责,谁运维谁负责,谁使用谁负责"的原则,做好网络安全工作的最重要一环。针对高校来说,学校的书记、校长是主要责任人,落实"一把手"责任制。

网络安全责任制要突出四个能力:制度建设、安全保障、监测预警、应急处置,形成对网络安全的整体闭环。

制度保障方面 ,在《教育信息化2.0行动计划》中,把网络安全作为保障措施中的一个重要内容,要求执行法律要求,落实等保制度为主。在《2018年教育信息化和网络安全工作要点》中,明确提出提升网络安全人才培养能力和质量,提高教育系统网络安全保障能力。在《教育部教育管理信息中心2018年工作要点》中也明确规定, 要完善教育管理信息化安全保障体系。

为了做好网络安全支撑工作,教育部教育管理信息中心设立网络安全处,明确了 工作职责:一是 配合科技司,开展网络安全技术保障; 二是 教育部网络安全技术保障,开展部本级安全技术保障工作; 三是 提供教育行业等保测评和安全服务,面向教育系统用户提供信息系统安全等级测评、教育软件安全检测、教育商用密码应用安全性测评、安全风险评估、安全监测等网络安全服务。

教育系统网络安全体制机制

知识图谱,如何应对教育网络问题,八大重点工作值得重视

加强网络安全统筹领导

教育部站在顶层设计的角度,加强网络安全统筹领导,明确组织、规划、分工、设计等。

落实网络安全责任制

建立网络安全工作考核机制和问责机制。

等级保护

教育部印发了《教育行业信息系统安全等级保护定级工作指南(试行)》,推进落实、定级、备案、测评、整改工作,但是很多学校和单位并没有落实好相关工作。

监测通报

与教育网、信息化分会建立合作,建立流量分析机制;上线教育系统资产管理系统,收集系统超过20万。网络安全监测预警系统实现了通报自动化,在漏洞检测发现验证之后,可以第一时间直接通知到相关单位的具体联系人,能够最短时间通报相关漏洞。同时不断优化网络安全监测预警通报工作,现在的信息资产系统并没有覆盖所有行业的所有系统和重要设备,需要各个单位主动如实填报,以便把所有重要资产纳入监测,提高效率、形成联盟、追溯上游。

应急预案,应急演练

《网络安全法》明确落实了相关内容,教育系统网络安全应急预案,要求各单位参照修订制定本单位的预案和具体信息系统的应急预案。开展应急演练,应急预案分成四级,目前主要的问题还是在二、三、四级。

监督检查

一是综治考核,二是现场检查,三是通报情况,四是监督问责,按照教育部的要求逐步落实。

重要时期安全保障

(1)提高安全意识,加强统筹部署,安全工作是一项政治性很强的工作,关键时间节点要有不同的措施,确保"万无一失"。

(2)优化网站访问策略,包括持续访问、工作时间访问、限制访问、关停等。

(3)"零报告"和7×24小时值守。

(4)做好监测预警和应急管理,发现问题马上改,出现安全事件马上报。

其他任务

在人才培养、学科建设、宣传教育开展相关工作,建设一流网络安全学院和网络空间安全一级学科,开展网络安全宣传周等活动。

近期的工作要点:一是 加强关键信息基础设施安全保障,包括关键信息基础设施保护规划、关键信息基础设施识别指南等。 二是 完善网络安全通报机制,协同政府、学校、企业建立安全联盟。 三是 个人信息保护(数据安全),开展数据安全专项治理行动等。四是网络安全态势感知,依托于服务商建立态势感知平台,主要工作是漏洞通报展示等。

教育系统网络安全工作建议

知识图谱,如何应对教育网络问题,八大重点工作值得重视

针对教育系统网络安全工作的现状,以讲政治、讲法制、讲担当、讲大局为主题,指导学校网络安全工作。目前在学校网络安全工作中出现的问题可以总结为:"看不起、管不着、舍不得、想不通"四方面。看不起,会导致专家思维,技术自信、轻视管理,认为厂商只是为了挣钱;管不着,造成本位主义,而院系的技术能力又不能支撑学校安全保障工作;舍不得,会产生小农经济,自己搞、花钱少,不重视后续维保;想不通,导致信息化部门地位尴尬,究竟是CIO、CTO、CSO?还是教辅、后勤部门?因此, 针对以上问题提出以下工作建议:

加强制度建设,守住法律底线

按照教育部科技司的要求落实网络安全等级保护制度、用户信息保护制度、网络安全监测预警通报机制,对法律有敬畏之心。

加强统筹领导,加强集中建设

加强信息系统统筹管理、数据统筹,探索网站群建设,减少网站的少散乱问题。建设统一的数据中心,避免基础设施的重复建设等。

推广云服务,降低建设成本、提高安全水平

能上云就上云,减少运维成本和应用开发成本。慎上外企公有云;涉及个人信息不上公有云;需要公众服务的建议混合云;行政部门建议建立行业云。

主动融入大局工作

网信工作统筹推进,主管业务就要管安全,网络安全和信息化统一谋划、统一部署、统一推进、统一实施。融入稳定工作统筹部署。主动参与育人工作协调,包括协同育人、培养队伍、地区性帮扶。

做好网络安全应急处置工作

教育部网络安全应急办(部网信办)负责网络安全应急管理事务性工作,提出特别重大网络安全事件应对措施,统筹组织网络安全监测工作。

正确认识等级保护工作的意义

网络安全不仅是技术问题,更是管理问题。等级保护不仅是合规问题,更是合法问题,需要提高安全能力和规范性的基准。

日常在做测评和日常工作常见的典型问题:

第一 ,问题日志,安全日志未记录或未及时转储,无法及时分析或事件回溯。《网络安全法》要求"留存相关的网络日志不少于六个月"。

第二 ,访问控制策略不合理,单位内部的应用系统层面差距很大,外部边界防护很好,而内部有一些疏漏,给攻击者入侵带来便利。

第三 ,系统建设过程中未考虑安全功能,很多单位在各个院系建立系统,未按安全要求开展方案审计、功能评估,系统上线时未进行应用安全测试,导致存在较多漏洞,造成应用安全漏洞频发,运维阶段难以及时整改。

第四 ,安全运维管理制度无法有效落实,有制度没流程,有岗位没人员。缺少监测和审计,被动应对网络攻击。未来要针对这四点问题进行防护。

— 完 —

来源:《中国教育网络》2019年2-3月合刊

想知道AI加教育领域有哪些最新研究成果?

想要AI领域更多的干货?

想了解更多专家的“智能观”?

请前往:www.智能观.com。

想交流沟通,请加负责人微信:znglmym

声明

编译文章旨在帮助读者了解行业新思想、新观点及新动态,为原作者观点,不代表智能观观点。

关于我们

我们关注AI+教育。 致力于提供高附加值的知识,以帮助每一位老师和我们的读者不断学习并提高技能。

我们努力让发表的每一篇文章都具有最佳质量,以满足读者的需求。

知识图谱,如何应对教育网络问题,八大重点工作值得重视


本文来自新知号自媒体,不代表商业新知观点和立场。

若有侵权嫌疑,请联系商业新知平台管理员。
联系方式:system@shangyexinzhi.com

智能观
收藏 | 微信分享 微博分享 QQ分享 | 返回顶部