刘松松1 王瑜2
滨州医学院 1.网络信息中心;2.口腔医学院,山东 烟台 264003
摘要:随着互联网在中国近三十年的飞速发展,如今“互联网+教育”已经进入深度融合阶段,然而,在网络应用快速发展的同时,面对持续进化的网络安全威胁对教育信息化建设提出了更高的要求。本文对当前教育信息化建设面临的网络安全形势和政策进行分析,并给出教育信息化网络安全、稳定运行的解决策略。
关键词:教育信息化;互联网+;网络安全
1引言
“十三五”以来,中国的教育信息化建设全面提速,呈现出了各层各级积极建设、各校各地全面开花的良好局面;近年来,随着国家“互联网+”战略的实施,《教育信息化“十三五”规划》的出台,教育领域的信息化热情被进一步激发,各级教育信息化的建设和应用水平得到了进一步提升。伴随互联网+技术的飞速发展,教育信息化建设得到前所未有的重视,信息化应用已逐步深入到教育行业的教学、管理、服务等各个领域。然而,教育信息化带来便利的同时,教育系统中网络安全问题愈发严重,如今网络上的恶意代码数量呈现几何倍数增长,平均1 秒钟就有一个新的网络安全威胁产生,网络安全事件的发生严重超出教育系统现有防病毒软件的防御能力,高级威胁随时都可能感染教育系统的终端和数据中心平台。
2教育系统网络安全威胁与形势
近几年来国外发生的斯诺登事件、希拉里邮件门事件、震网病毒事件、勒索病毒事件、乌克兰电网事件等网络安全问题涉及多个国家的重要安全领域,破坏性极大。国内发生的网络安全事件依然严峻。2017年,Struts2 S2-045漏洞爆发,影响和破坏极为严重。2017年5月12日,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。五个小时内,包括中国在内的国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。2020年,全球疫情防控期间,黑客攻击获取个人隐私数据和疫情防控信息,伪造疫情信息传播病毒,对当时全球各国全力抗击疫情无疑是雪上加霜。
.png)
图1 网络安全事件分布图
当前国内教育系统网络安全问题主要有以下三大特征:一是涉及人员多,全国各类教育机构60万之巨,各类专职教师达1800万人,各级各类在校生约3.5亿人。二是系统数量多,教育系统网站超过20万个,涉及超过100万人数据的系统超过500个。三是掌握数据多,教师数据超过4000万,累计学生数据超过5亿。与之对应的教育行业典型网络安全问题主要有数据泄露、数据篡改、网站瘫痪、页面篡改。
3网络安全法律法规及政策要求
网络空间不是法外之地,加快网络空间的法制化建设,是落实中央全面依法治国战略部署,加强和改进网络管理工作的要求。2017年6月1日,《中华人民共和国网络安全法》正式实施,作为网络安全的基本法,对网络安全的定位和目标、管理体制机制、主要制度、监督管理等基本问题作出明确规定。2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议表决通过《中华人民共和国密码法》,于2020年1月1日起实施。《中华人民共和国密码法》是为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定的法律。2020年7月3日,《中华人民共和国数据安全法(草案)》全文在中国人大网公开征求意见。该法案坚持安全与发展并重,支持数据安全与发展的措施;确立数据分级分类管理以及风险评估,检测预警和应急处置等数据安全管理各项基本制度;明确开展数据活动的组织、个人和数据安全保护义务,落实数据安全保护责任;建立保障政务数据安全和推动政务数据开放的制度措施。
4教育系统网络安全重点工作
落实网络安全责任制。建立网络安全责任制,各教育行业落实本单位的网络安全负责人。建立网络安全工作考核机制,将网络安全工作作为工作考核的重要部分,将网络安全工作纳入巡视、督导、审计等。建立网络安全问责机制,明确各项问责条款。
网络安全等级保护。教育系统严格按照《中华人民共和国网络安全法》制定本行业的法律法规。严格执行网络安全等级保护2.0相关标准规范。制定内部安全管理和操作规程,采取防范计算机病毒和网络攻击等威海网络安全的技术措施,采取数据分类、重要数据备份和加密等措施。
教育系统网络安全监测通报。网络安全事件具有不确定性,但又不是无迹可循。在信息化建设中,教育系统应制定网络安全事件突发应急预案,确保网络运行安全发布预警通知准确及时,当网络安全事件发生时迅速关闭相关通信通道,采取安全加固措施,阻断该事件的影响,保障了学校网络安全。提高学校网络与信息安全突发事件处理能力,构建科学、有效、反应迅速的应急工作机制,做好突发应急预案,确保重要计算机信息系统的实体安全、运行安全和数据安全。同时高校还应做好以下几点:一是高校应组织好本单位的网络安全自查工作,及时整改安全隐患;二是要强化网络安全设施配备管理,提升软硬件设施自主可控和安全防护能力,要加强对本单位的网络安全监测;三是做好安全顶层规划,持续开展系统整合。
.png)
图2 教育行业网络安全监测平台
建立监督检查机制。一是综治考核,针对目标单位每年考核一次;二是现场检查,配合公安机关开展网络安全执法检查,配合各级网信部门开展关键信息基础设施检查;三是通报情况,重要时期总结通报网络安全情况;四是监督问责,按照教育部的要求逐步落实,对符合相关条件的予以问责。
5网络安全问题解决策略
加强网络安全责任制落实。教育系统主管部门要落实统筹监管责任,制定规则,监督检查;各单位要落实主管责任,明确系统主管部门,专职技术部门要落实运维责任,协助做好技术防护。
落实网络安全等级保护制度。全面完成信息系统网络安全等级保护定级备案,定期开展网络安全等级测评,落实等级保护2.0要求。
提升网络安全防护能力。强化校园基础网络安全建设,部署与信息化配套的安全防护系统,安装新版防火墙、防病毒网关等,可以有效预防来自校外的网络攻击;通过购置网络入侵检测、漏洞扫描等手段,实时监控网络运行情况,预判网络故障,防范来源于校园内的网络攻击事件发生。校园网基础设施建设是智慧校园的基础性工作,做好基础网络安全建设是做好智慧校园的基础性保障。
健全网络安全法律法规。加强网络安全治理,提升网络安全防护水平,健全重点领域网络安全保障制度。推进个人信息保护立法,通过技术标准和安全保障措施健全个人数据泄露风险防控制度。加强数据安全协同治理。
开展网络安全监测和应急演练。提高教育行业网络与信息安全突发事件处理能力,构建科学、有效、反应迅速的应急工作机制,做好突发应急预案,确保重要计算机信息系统的实体安全、运行安全和数据安全。日常安全威胁监测,通过配备工作或购买服务的方式进行,对系统运行安全状态尤其是应用安全进行实时监测,第一时间发现问题;根据国家和教育系统网络安全应急预案制定本单位专项应急预案和配套管理制度;每年至少开展一次实战攻防演练。
加强网络安全教育培训。教育行业要将网络安全宣传教育工作列为安全教育的重要内容,学校相关职能部门制定年度网络安全宣传教育工作和学习培训计划。单位在职全体人员要开展全面网络安全意识培训,提高网络安全意识,培训时间要满足最低要求;单位信息化管理人员和技术人员要开展网络安全素养培训,培训时间要满足工作要求;信息化建设、运维和安全保障技术人员要组织参加专业技术培训,全面提升网络安全防范技能和水平。
加强学习,提升网信工作能力。在学校层面,学校要给广大运维技术人员提供学习和培训平台,让他们学习和掌握当今最前沿的网络安全态势和网络安全防护技术。在个人层面,网络安全运维人员首先要认清网络安全的重要性和紧迫性,加强学习,提高应对网络安全突发事件的技能。学习网信的理论知识和技术成果,与教育系统需求相结合;学习兄弟单位乃至其它国家的先进经验和成功做法。
6结束语
综上所述,互联网+的快速发展给教育系统的发展带来历史机遇。应对持续进化的网络威胁对教育系统抵御网络安全问题提出了更高的要求。教育系统要做好应对数据泄露、数据篡改、网站瘫痪、页面篡改等方面的安全对策。做好网络安全的内外防护,加强信息化建设,明确信息安全责任制,建立健全应急工作机制,做好突发应急预案,提高师生网络安全意识,提升运维人员技能。
参考文献
[1] 周秀芳 . 高校智慧校园建设中网络安全问题分析[J]. 信息记录材料,2020(3):85-87
[2] 史磊,李鹏 . 智慧校园环境下网络安全防范预警与应急体系探讨 [J]. 网络安全技术与应用,2020(1):85-87
[3] 蔺旭冉. 等保2.0标准技术要求浅析与初步实践思考 [J]. 网络安全技术与应用,2019(10):12-14
作者简介:刘松松(1987.09—),男,山东利津人,助理实验师,硕士,研究方向:网络信息安全和模式识别。
王瑜(1992—),女,山东莱阳人,助教,硕士,研究方向:医学生的教育教学改革及口腔颌面部发育。