摘要: 来源:中国网络新闻网 原文链接:http://2i3.cn/i1在6月13-14日举行的2019北京高校信息化工作论坛上,教育部教育管理信息中心网络安全处处长邵云龙结合自身实际工作,对等保2.0的具体内容以及它对高校网络安全提出的更高要求进行了...
来源:中国网络新闻网
原文链接:http://2i3.cn/i1
十九大以后,教育信息化进入了新的发展阶段。去年4月,教育部正式印发了《教育信息化2.0行动计划》,提出了到2022年基本实现"三全两高一大"的发展目标,要在1.0阶段"三通两平台"的基础上,全面提升教育信息化发展水平,使中国教育信息化步入世界先进行列,发挥全球引领作用,以教育信息化全面推动教育现代化,开启智能时代教育的新征程。
而在这个过程中,网络安全工作贯穿整个教育信息化建设的始终,是需要持之以恒,常抓不懈的关键性支撑工作。
网络安全的重要性是与三个1/3分不开的,即教育及教育相关人口占全国人口的1/3;各类教育行业在册的信息系统占了全国将近1/3;2016年、2017年,教育行业发生的网络安全事件占全国安全事件1/3。
我们面临的安全事件主要涉及数据泄漏、数据篡改、网站瘫痪、页面篡改等四个方面。最近重点之一是对教育APP的治理,在走访时发现有个别学校针对学生包括校内新闻、吃饭、洗澡,院系选课各式各样的40余个APP同时使用,建议学校尽量整合成一个,至少是一个入口,杜绝多口径分散式管理。可以预见,未来会对教育APP有更高的门槛以及更严格的要求。
《网络安全法》其中很重要的一方面就是网络安全等级保护制度。1994年,国务院147号令提出"计算机信息系统全面实行信息安全等级保护","等保"这个提法正式出现,随着近年来云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保2.0标准应运而生。
相比1.0,网络安全等级保护2.0与网络安全法保持一致,《网络安全法》明确规定"国家实行网络安全等级保护制度",等保2.0也与时俱进的将原标准的"信息系统安全等级保护"改为"网络安全等级保护",并且覆盖全社会、全行业和全对象,这个"网络"是大的网络概念,基础网络、信息系统、移动互联网、云计算、物联网、工控等都包含在其中。相关标准将在今年12月1日正式实施,未来还将有相关标准和规定发布,需要我们及时关注。对于高校信息化部门来说,最重要的还是虚拟化、云平台、私有云以及未来的移动应用安全管控问题。
等保2.0要求从分层防护向综合防控、集中防护的思想转变。其主要技术思想方向可归结为:第一,"一个中心,三重防护"的体系框架。一个中心是指"安全管理中心"。安全管理中心不是某一个平台,某一个系统,而是把安全管理,安全监测、安全审计等各类的设备和应用平台集中管控的体现。三重防护是指"安全通信环境"、"安全区域边界"和"安全计算环境";第二,可信计算。基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,一旦检测到可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。第三,通用+扩展要求。将云计算、移动互联、物联网、工业控制系统等列入标准规范。在通用要求的基础上叠加相关扩展要求。
与相关学会、机构加强合作,建立网络安全漏洞和威胁共享机制;更新教育系统网络安全工作管理平台,完善信息系统资产管理、实现网络安全监测预警通报自动化,提高教育系统整体安全防护联动处置效率。
教育部印发《关于做好2019年上半年重要时期网络安全保障工作的通知》,集中部署重要时期网络安全保障工作,提出了加强网络安全保障工作的组织部署、按需调整重要时期网络防护策略、健全监测预警通报机制、做好网络安全应急响应工作、落实网络安全"零报告"制度等工作要求。
(本文根据邵云龙处长在2019北京高校信息化工作论坛上的发言整理而成,整理:王世新)