风向标系列:《2018年教育信息化和网络安全工作要点》解读
❈
随着近年来教育行业网络攻击事件频发,信息安全工作从原来的配角上升为焦点,从教育部发布的《2018年教育信息化和网络安全工作要点》来看,2018年,是教育行业在信息安全发力的一年,下文将对文件中的网络安全工作要点部分进行分析解读。
❈
工作目标九:
“进一步提升网络安全人才培养能力和防护水平。增设一批网络空间安全学位授权点,加快一流网络安全学院建设步伐。网络安全预警预判、舆论引导和应急处置能力不断提升。网络安全责任制进一步夯实,关键信息基础设施保障体系不断健全,监测预警形成常态化。”
解读:
从此次工作目标中可见,教育行业的网络安全工作内容重点包括了人才培养、网络预警、应急处置、网络安全责任制、对CII体系和监测预警机制的健全,这些目标与国家网信办的《关键信息基础设施安全保护条例(征求意见稿)》的方向,以及《网络安全法》中对监管部门与运营单位安全工作要求内容一致,也有教育行业特色——安全人才培养,每项工作在下文的工作要求中都将会体现。
文件第九节的主题为“提高教育系统网络安全保障能力”,该节对各教育监管部门进行了网络安全工作的系统要求。以下对此节进行深入分析,望有助于各位理解教育安全工作。
1、涉及目标对象:
该节目标对象为教育部科技司、教育管理信息中心、各地的省教育厅,一般各地的省教育厅的信息化工作会由下属的省教育技术中心(部分地区又称为电化教育馆,这是同样一个机构,有时会同时挂两个单位的牌子)。
2、工作内容分析:
第27条 健全完善教育系统网络安全制度体系。
加强党对网络安全工作的领导,建立责任制度,明确主体责任,健全考核评价和监督问责机制。出台教育系统网络安全事件应急预案,建立健全教育系统网络安全事件应急工作机制,提高应对网络安全事件能力。(责任单位:科技司、教育管理信息中心、省级教育行政部门)
解读:
“健全考核评价和监督问责机制”要求将各单位的安全工作进行考核,这一项要求将在先知安全监管平台的考核机制中完全体现,平台中设计了单位的安全能力(被监测发现安全事件的类型和数量考核),单位的安全处置能力(通报后整改的时效)、单位的工作积极程度(重要时期报平安、日常工作“打卡”等)等多个分项指标,结合教育部监管工作的需要,设计体系化的考核方式,不仅协助教育部对各省厅、司局进行考核,也可协助各教育厅、局对下级单位进行考核,完成此项工作任务。
“建立健全教育系统网络安全事件应急工作机制,提高应对网络安全事件能力”,各级教育监管单位除了可以建立应急机制,负责协调督促管理工作,也可以考虑建设各地区域应急防护中心,可采用如玄武盾的云防护模式,在紧急必要时期为防护能力弱的单位提供应急防护。
第28条 推进关键信息基础设施保障工作。
研究制定教育系统关键信息基础设施保护规划,明确保护目标、基本要求、工作任务和具体措施。制定教育系统关键信息基础设施认定规则,开展关键信息基础设施认定工作。按照国家统一部署,开展关键信息基础设施现场检查检测和安全评估。(责任单位:科技司、教育管理信息中心、省级教育行政部门)
解读:
“开展关键信息基础设施认定工作”,一直以来,教育行业信息系统繁多,面临安全风险也更多,开展教育关键信息基础设施的认定、梳理、归档、责任人等工作具有非常重要的意义,先知监管平台中具有网络资产建档模块,目前已经掌握全国40W站点信息,并自动梳理关联站点的所属单位、联系人、联系电话、站点的指纹标签等信息,与教育部的GEDB等平台完全数据共享,不仅在教育部可以规范资产梳理,也可以在各地省厅/局完全适用,协助各地做好区域的关键信息基础设施的梳理建档工作,完善安全责任制管理。
对于教育系统中的重点业务系统,如教育考试系统、学籍信息管理系统是网络安全的重灾区,需要重点开展安全防护工作,并落实数据安全的整体解决方案,同时省厅可各自开展针对关键信息基础设施的现场安全评估工作。
第29条 持续推进教育系统网络安全监测预警。
健全网络安全威胁通报机制,优化监测服务流程,提高通报整改质量,强化数据统计分析能力。有序推进教育系统通用软件检测工作,建立常态化的通用软件检测机制。探索建立基于大数据的教育系统网络安全预警机制,提高信息收集、分析、研判能力。
解读:
"健全网络安全威胁通报机制”,先知监管平台已经为教育部开展该机制服务一年有余,全面建立起了在教育行业的安全威胁通报机制,落实教育部3日内安全通知,3日后安全通报(告警升级)的监管流程,整改不及时则同步其上级单位督促等特色行政监督功能,有效提升了各单位的安全整改积极度,去年整改事件上万起,涉及单位数千个。目前该套机制也在全国部分教育厅开展,运行收效显著。
“探索建立基于大数据的教育系统网络安全预警机制”,教育行业网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。网络安全监测预警和威胁情报共享、通报机制可以从一定程度上提高网络安全防护水平和应急处置能力,教育部2018年安全管理工作由监测向预警进行转变,比如0day、事件、威胁等预警,包括对网站STRUTS2框架识别、CMS类型识别等,在重大0day漏洞发生后,可对漏洞影响软件版本进行分析,进行行业精准安全预警。
各省厅可参考教育部监管平台自行建立安全监管平台,包括监测、预警和通报处置,同时对重点单位可部署大数据分析系统进行重点分析,部里开放通用接口,各自建立的监管平台可进行数据对接;
文件的第八章节主题为“提升网络安全人才培养能力和质量”,聚焦在对网络安全人才培养方面提出要求,要求原文如下:
第24条 加强网络安全人才培养。
继续加强网络空间安全学科建设和研究生培养工作,增设一批网络空间安全学位授权点。(责任单位:研究生司) 推动落实《关于加强网络安全学科建设和人才培养的意见》和《一流网络安全学院建设示范项目管理办法》,加强网络安全学科专业建设,推进新工科研究与实践,探索网络安全人才培养新思路、新体制和新机制,建设世界一流网络安全学院。增设一批网络安全相关国家级实验教学示范中心。(责任单位:高教司)
解读:
高校可以与信息安全企业共建,探索具有职业特色的专业,探索校企联合培养的新模式 。
其中安恒信息的攻防演练平台,提供教学课程、实验、比赛等模块,通过理论与实践的结合满足高校对信息安全课程培训的需求,助力我国网络安全人才的培养。
2018年,安恒信息将协助教育行业网络安全工作顺利开展,重视教育就是重视国家的未来,维护教育行业网络安全,我们将不忘初心,砥砺前行!