当前位置:首页 > 信息安全 > 安全知识 > 详情
网络安全知识科普-教育系统网络安全八大重点工作(一)
2019年04月18日   

  01国际国内网络安全形势分析

  近年来,国家高度重视网络信息安全工作。网络安全实际已从虚拟世界真正影响到整个现实生活,它已不仅仅是技术问题,更需站在历史发展高度和政治高度来考量。

  教育行业一直以来都是网络安全防护的一个重要阵地。一是涉及人员多,教育机构59万个,专职教师1800万人,整体教育行业各级各类学生超过3.5亿;二是系统数量多,教育系统网站超过20万个,edu.cn的系统网站11万个,涉及超过100万人数据的系统达500多个;三是掌握数据多,政务数据资源数量达10624条,教师数据超过4000万,累计学生数据超过5亿条。

  教育行业面临的主要威胁现已发展到了新的阶段,表现在三个方面:一是数据泄漏,数据泄漏造成了很多安全事件;第二是业务瘫痪,主要发生在大规模的考试招生等过程中,对社会影响非常大;第三是页面篡改,随着信息化的发展,数据越来越集中,大量高度敏感信息的泄露,舆论已经在倒逼学校整改,而安全意识和安全管理应如何兼容值得深思。

  实际上教育行业对网络安全投入不足,据2017年底的数据显示,71%的高校偏重网络安全工作的人员投入不到两个,高校很少有独立的安全专员;13%的学校根本没有网络安全的投入;54%的高校投入在50万元以下。从全国总体来看,安全投入普遍偏低;管理不善,教育行业的灵活和自由度较大,尤其在基础教育领域,很多域名的管理不规范,造成诸多事件的处置存在困难。新技术带来的攻击手段呈现多元化,包括APT、物理攻击、定向攻击、网络钓鱼、社交攻击等等。同时云计算、大数据、人工智能等新技术也给网络安全带来了新挑战。

  02教育系统网络安全体制机制

  做好网络安全工作的关键,是主管部门有担当,支撑单位有能力,分工有序,配合默契。

  教育系统责任机制,主要是统筹指导,监督管理,逐级落实工作。按照"谁主管谁负责,谁运维谁负责,谁使用谁负责"的原则,做好网络安全工作的最重要一环。针对高校来说,学校的书记、校长是主要责任人,落实"一把手"责任制。

  网络安全责任制要突出四个能力:制度建设、安全保障、监测预警、应急处置,形成对网络安全的整体闭环。

  制度保障方面,在《教育信息化2.0行动计划》中,把网络安全作为保障措施中的一个重要内容,要求执行法律要求,落实等保制度为主。在《2018年教育信息化和网络安全工作要点》中,明确提出提升网络安全人才培养能力和质量,提高教育系统网络安全保障能力。在《教育部教育管理信息中心2018年工作要点》中也明确规定,要完善教育管理信息化安全保障体系。

  为了做好网络安全支撑工作,教育部教育管理信息中心设立网络安全处,明确了工作职责:一是配合科技司,开展网络安全技术保障;二是教育部网络安全技术保障,开展部本级安全技术保障工作;三是提供教育行业等保测评和安全服务,面向教育系统用户提供信息系统安全等级测评、教育软件安全检测、教育商用密码应用安全性测评、安全风险评估、安全监测等网络安全服务。