近年来,国家高度重视网络信息安全工作。网络安全实际已从虚拟世界真正影响到整个现实生活,它已不仅仅是技术问题,更需站在历史发展高度和政治高度来考量。
教育行业一直以来都是网络安全防护的一个重要阵地。一是涉及人员多,教育机构59万个,专职教师1800万人,整体教育行业各级各类学生超过3.5亿;二是系统数量多,教育系统网站超过20万个,edu.cn的系统网站11万个,涉及超过100万人数据的系统达500多个;三是掌握数据多,政务数据资源数量达10624条,教师数据超过4000万,累计学生数据超过5亿条。
教育行业面临的主要威胁现已发展到了新的阶段,表现在三个方面:一是数据泄漏,数据泄漏造成了很多安全事件;第二是业务瘫痪,主要发生在大规模的考试招生等过程中,对社会影响非常大;第三是页面篡改。随着信息化的发展,数据越来越集中,大量高度敏感信息的泄露,舆论已经在倒逼学校整改,而安全意识和安全管理应如何兼容值得深思。
实际上教育行业对网络安全投入不足,据2017年底的数据显示,71%的高校偏重网络安全工作的人员投入不到两个,高校很少有独立的安全专员;13%的学校根本没有网络安全的投入;54%的高校投入在50万元以下。从全国总体来看,安全投入普遍偏低;管理不善,教育行业的灵活和自由度较大,尤其在基础教育领域,很多域名的管理不规范,造成诸多事件的处置存在困难。新技术带来的攻击手段呈现多元化,包括APT、物理攻击、定向攻击、网络钓鱼、社交攻击等等。同时云计算、大数据、人工智能等新技术也给网络安全带来了新挑战。
做好网络安全工作的关键,是主管部门有担当,支撑单位有能力,分工有序,配合默契。
教育系统责任机制,主要是统筹指导,监督管理,逐级落实工作。按照“谁主管谁负责,谁运维谁负责,谁使用谁负责”的原则,做好网络安全工作的最重要一环。针对高校来说,学校的书记、校长是主要责任人,落实“一把手”责任制。
网络安全责任制要突出四个能力:制度建设、安全保障、监测预警、应急处置,形成对网络安全的整体闭环。
制度保障方面,在《教育信息化2.0行动计划》中,把网络安全作为保障措施中的一个重要内容,要求执行法律要求,落实等保制度为主。在《2018年教育信息化和网络安全工作要点》中,明确提出提升网络安全人才培养能力和质量,提高教育系统网络安全保障能力。在《教育部教育管理信息中心2018年工作要点》中也明确规定,要完善教育管理信息化安全保障体系。
为了做好网络安全支撑工作,教育部教育管理信息中心设立网络安全处,明确了工作职责:一是配合科技司,开展网络安全技术保障;二是教育部网络安全技术保障,开展部本级安全技术保障工作;三是提供教育行业等保测评和安全服务,面向教育系统用户提供信息系统安全等级测评、教育软件安全检测、教育商用密码应用安全性测评、安全风险评估、安全监测等网络安全服务。
1.加强网络安全统筹领导。 教育部站在顶层设计的角度,加强网络安全统筹领导,明确组织、规划、分工、设计等。
2.落实网络安全责任制,建立网络安全工作考核机制和问责机制。
3.等级保护。教育部印发了《教育行业信息系统安全等级保护定级工作指南(试行) 》,推进落实、定级、备案、测评、整改工作 ,但是很多学校和单位并没有落实好相关工作。
4.监测通报。与教育网、信息化分会建立合作,建立流量分析机制;上线教育系统资产管理系统,收集系统超过20万。网络安全监测预警系统实现了通报自动化,在漏洞检测发现验证之后,可以第一时间直接通知到相关单位的具体联系人,能够最短时间通报相关漏洞。同时不断优化网络安全监测预警通报工作,现在的信息资产系统并没有覆盖所有行业的所有系统和重要设备,需要各个单位主动如实填报,以便把所有重要资产纳入监测,提高效率、形成联盟、追溯上游。
5.应急预案,应急演练。《网络安全法》明确落实了相关内容,教育系统网络安全应急预案,要求各单位参照修订制定本单位的预案和具体信息系统的应急预案。开展应急演练,应急预案分成四级,目前主要的问题还是在二、三、四级。
6.监督检查。一是综治考核,二是现场检查,三是通报情况,四是监督问责,按照教育部的要求逐步落实。
7.重要时期安全保障。(1)提高安全意识,加强统筹部署,安全工作是一项政治性很强的工作,关键时间节点要有不同的措施,确保“万无一失”。(2)优化网站访问策略,包括持续访问、工作时间访问、限制访问、关停等。(3)“零报告”和7×24小时值守。(4)做好监测预警和应急管理,发现问题马上改,出现安全事件马上报。
8.其他任务。在人才培养、学科建设、宣传教育开展相关工作,建设一流网络安全学院和网络空间安全一级学科,开展网络安全宣传周等活动。
近期的工作要点:一是加强关键信息基础设施安全保障,包括关键信息基础设施保护规划、关键信息基础设施识别指南等。二是完善网络安全通报机制,协同政府、学校、企业建立安全联盟。三是个人信息保护(数据安全),开展数据安全专项治理行动等。四是网络安全态势感知,依托于服务商建立态势感知平台,主要工作是漏洞通报展示等。
针对教育系统网络安全工作的现状,以讲政治、讲法制、讲担当、讲大局为主题,指导学校网络安全工作。目前在学校网络安全工作中出现的问题可以总结为:“看不起、管不着、舍不得、想不通”四方面。看不起,会导致专家思维,技术自信、轻视管理,认为厂商只是为了挣钱;管不着,造成本位主义,而院系的技术能力又不能支撑学校安全保障工作;舍不得,会产生小农经济,自己搞、花钱少,不重视后续维保;想不通,导致信息化部门地位尴尬,究竟是CIO、CTO、CSO ?还是教辅、后勤部门?因此,针对以上问题提出以下工作建议:
1.加强制度建设,守住法律底线。按照教育部科技司的要求落实网络安全等级保护制度、用户信息保护制度、网络安全监测预警通报机制,对法律有敬畏之心。
2.加强统筹领导,加强集中建设。加强信息系统统筹管理、数据统筹,探索网站群建设,减少网站的少散乱问题。建设统一的数据中心,避免基础设施的重复建设等。
3.推广云服务,降低建设成本、提高安全水平。能上云就上云,减少运维成本和应用开发成本。慎上外企公有云;涉及个人信息不上公有云;需要公众服务的建议混合云;行政部门建议建立行业云。
4.主动融入大局工作。网信工作统筹推进,主管业务就要管安全,网络安全和信息化统一谋划、统一部署、统一推进、统一实施。融入稳定工作统筹部署。主动参与育人工作协调,包括协同育人、培养队伍、地区性帮扶。
5.做好网络安全应急处置工作。教育部网络安全应急办(部网信办)负责网络安全应急管理事务性工作,提出特别重大网络安全事件应对措施,统筹组织网络安全监测工作。
6.正确认识等级保护工作的意义。网络安全不仅是技术问题,更是管理问题。等级保护不仅是合规问题,更是合法问题,需要提高安全能力和规范性的基准。
日常在做测评和日常工作常见的典型问题:第一,问题日志,安全日志未记录或未及时转储,无法及时分析或事件回溯。《网络安全法》要求“留存相关的网络日志不少于六个月”。第二,访问控制策略不合理,单位内部的应用系统层面差距很大,外部边界防护很好,而内部有一些疏漏,给攻击者入侵带来便利。第三,系统建设过程中未考虑安全功能,很多单位在各个院系建立系统, 未按安全要求开展方案审计、功能评估,系统上线时未进行应用安全测试,导致存在较多漏洞,造成应用安全漏洞频发,运维阶段难以及时整改。第四,安全运维管理制度无法有效落实,有制度没流程,有岗位没人员。缺少监测和审计,被动应对网络攻击。未来要针对这四点问题进行防护。