2014年2月27日，《在中央网络安全和信息化领导小组第一次会议上的讲话》中，习近平总书记提出“没有网络安全就没有国家安全”。《2020年教育信息化和网络安全工作要点》中第十一，提出提升网络安全人才支撑和保障能力，推进教育系统网络安全岗位能力建设，推广实施教育系统网络安全保障专业人员（ECSP）培训的要求，山东省教育厅组织此次培训，由教育部教育管理信息中心实施，旨在提升教育行业网络安全保障人员专业管理能力和水平。

11月9日至12日上午，学习了网络安全四个方面七大主题内容，12日下午参加了闭卷考试。通过学习、结合本职工作，将主要学习内容和个人感悟汇报如下。

一、教育系统网络安全工作与实践

1.教育网络安全政策要求

山东临沂的徐玉玉事件已被写入教材，沉痛的教训值得我们深思。教育系统涉及人员多、系统数量多、掌握数据多，因此教育行业主要的安全风险有数据泄露、数据被篡改、网站瘫痪、页面篡改等网络安全问题。

2017年6月1日，《中华人民共和国网络安全法》正式实施，将国家实行网络安全等级保护制度纳入法律，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞，按照规定的时间向主管部门报告。

2020年1月1日，《中华人民共和国密码法》施行，非国家机密采用商用密码，重要数据进行加密存储、传输。

2020年7月3日，《中华人民共和国数据安全法（草案）》全文在中国人大网公开征求意见，提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务、承担社会责任。

《关于加强教育行业网络与信息安全工作的指导意见》教技【2014】4号，明确提出教育系统网络安全七大主要任务；加强网络安全防护和保障能力是《2020年教育信息化和网络安全工作要点》提出的重要任务之一。

2.教育系统安全监测预警与通报

网络安全监测和预警是相辅相成的，监测是预警的前提和基础，预警是监测的目的和结果。资产管理是网络安全工作的基础，多年来我们十分重视信息资产的管理，并制作清晰、详细的台账，根据资产使用情况随时更新，保障资产可控、可用。

监测工作是安全监测体系中的核心内容，重点监测互联网区域资产，各单位自行开展监测时仍需关注内网。我校主要采用接收上级网络安全威胁通知的方式获取监测信息，在接收到预警通知后第一时间告知系统主责部门管理员，同时推送漏洞处理流程单，做到及时告知安全责任人和管理员、漏洞2日内修复，3日内向上级汇报处理结果。整个流程做到闭环管理，尽量不影响师生对系统的正常使用。

3.教育系统网络安全应急预案与实践

网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或其中的数据造成危害，对社会造成负面影响的事件。例如有害程序、网络攻击、信息破坏、设备设施故障等。根据危害范围和程度分为四个等级，前三个等级事件需上报处置。事发第一时间断网、保留现场，人为事件上报当地公安机关，情况通报至教育部信息中心；事件发生8小时内上报信息技术安全事件情况报告，报告处理情况；5个工作日内报送整改报告，总结经验，加强防护。近年来我校以省优质校建设为契机，合理规划项目，加大网络安全项目资金投入，提升网络安全防护技术水平，从未发生以上级别安全事件。

二、教育系统网络安全等级保护实践

1994年的《中华人民共和国计算机信息系统安全保护条例》被视为中国实施等级保护的法律基础，主要内容来源于美国可信计算系统评价准则TCSEC。等级保护2016年已进入2.0时代，该项工作需要由单位定级，市级以上公安机关备案，单位进行建设整改，等保测评机构进行等级测评，公安机关负责监督检查。根据相关法律要求，不实施等级保护工作视作违法。根据等保2.0建设思路，主要做好一个“安全管理中心”和“三重防护”建设。我校网站及数字化校园系统2018年通过了二级等保测评，并在公安机关进行备案，目前正在开展新一轮的等保测评工作。

等保测评安全通用技术要求主要测评：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。通用管理要去：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。对比各项要求，我们仍然存在一些薄弱环节。例如，不能严格落实“专职安全管理员，不可兼职”，三员管理执行不彻底，第三方运维管理欠完善等。

三、教育网络安全工作热点

1.云计算安全

目前云安全大部分用传统硬件交付，不具备多租户交付能力，租户无法自定义策略，缺失防护。其面临的风险有SQL注入、数据库攻击、内部越权、DDoS攻击等风险。对于云安全管理存在运维压力大、责任扯不清、缺乏整体态势感知等问题。因此，对于云计算安全扩展要求为：基础设施位置，必须位于中国境内；云平台等级不低于业务系统等级；责任主体一分为二：云服务商、云服务客户均需独立定级备案、过等保测评等。

2.移动APP安全

移动应用安全事件包括：信息泄露、侵犯隐私、诱导欺骗、支付威胁、内容安全。2019年教育部等八部门发布《关于引导规范教育移动互联网应用有序健康发展的意见》提出，第三方APP安全建设需要建立备案制度、加强内容建设、规范数据管理、保障网络安全、规范进校合作。我校2019年统计、上报了学校允许使用的APP并进行了备案，2020年根据使用情况进行了更新，任何部门和个人都不允许私自指定APP让师生使用。

3.物联网安全

城市安防中70种监控摄像头容易受到远程代码执行攻击；无人机失控，被远程接管；多个电子门锁被远程攻击。物联网安全体系建设需要从应用层、网络层和感知层进行防护。

攻击无处不在，防护一刻也不能停，加强网络安全建设，做好我校校园网络安全工作需要进一步加强学习，提升网信工作能力；加强网络安全责任制落实；落实网络安全等级保护制度；提升数据安全防护能力；开展安全监测和应急演练；加强网络安全教育培训；落实重要时期安全保障。

让我们携手，共建安全、文明、快捷的网络环境！

信息化建设办公室 许华

2020年11月17日