当前位置: 首页 > 成果分享 > 正文

提升网络安全意识,加强网络安全管理——提升网络安全意识,加强网络安全管理

【来源: 审核: 复核: | 发布日期:2020-11-17 】

2014年2月27日,《在中央网络安全和信息化领导小组第一次会议上的讲话》中,习近平总书记提出“没有网络安全就没有国家安全”。《2020年教育信息化和网络安全工作要点》中第十一,提出提升网络安全人才支撑和保障能力,推进教育系统网络安全岗位能力建设,推广实施教育系统网络安全保障专业人员(ECSP)培训的要求,山东省教育厅组织此次培训,由教育部教育管理信息中心实施,旨在提升教育行业网络安全保障人员专业管理能力和水平。

11月9日至12日上午,学习了网络安全四个方面七大主题内容,12日下午参加了闭卷考试。通过学习、结合本职工作,将主要学习内容和个人感悟汇报如下。

一、教育系统网络安全工作与实践

1.教育网络安全政策要求

山东临沂的徐玉玉事件已被写入教材,沉痛的教训值得我们深思。教育系统涉及人员多、系统数量多、掌握数据多,因此教育行业主要的安全风险有数据泄露、数据被篡改、网站瘫痪、页面篡改等网络安全问题。

2017年6月1日,《中华人民共和国网络安全法》正式实施,将国家实行网络安全等级保护制度纳入法律,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞,按照规定的时间向主管部门报告。

2020年1月1日,《中华人民共和国密码法》施行,非国家机密采用商用密码,重要数据进行加密存储、传输。

2020年7月3日,《中华人民共和国数据安全法(草案)》全文在中国人大网公开征求意见,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务、承担社会责任。

《关于加强教育行业网络与信息安全工作的指导意见》教技【2014】4号,明确提出教育系统网络安全七大主要任务;加强网络安全防护和保障能力是《2020年教育信息化和网络安全工作要点》提出的重要任务之一。

2.教育系统安全监测预警与通报

网络安全监测和预警是相辅相成的,监测是预警的前提和基础,预警是监测的目的和结果。资产管理是网络安全工作的基础,多年来我们十分重视信息资产的管理,并制作清晰、详细的台账,根据资产使用情况随时更新,保障资产可控、可用。

监测工作是安全监测体系中的核心内容,重点监测互联网区域资产,各单位自行开展监测时仍需关注内网。我校主要采用接收上级网络安全威胁通知的方式获取监测信息,在接收到预警通知后第一时间告知系统主责部门管理员,同时推送漏洞处理流程单,做到及时告知安全责任人和管理员、漏洞2日内修复,3日内向上级汇报处理结果。整个流程做到闭环管理,尽量不影响师生对系统的正常使用。

3.教育系统网络安全应急预案与实践

网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或其中的数据造成危害,对社会造成负面影响的事件。例如有害程序、网络攻击、信息破坏、设备设施故障等。根据危害范围和程度分为四个等级,前三个等级事件需上报处置。事发第一时间断网、保留现场,人为事件上报当地公安机关,情况通报至教育部信息中心;事件发生8小时内上报信息技术安全事件情况报告,报告处理情况;5个工作日内报送整改报告,总结经验,加强防护。近年来我校以省优质校建设为契机,合理规划项目,加大网络安全项目资金投入,提升网络安全防护技术水平,从未发生以上级别安全事件。

二、教育系统网络安全等级保护实践

1994年的《中华人民共和国计算机信息系统安全保护条例》被视为中国实施等级保护的法律基础,主要内容来源于美国可信计算系统评价准则TCSEC。等级保护2016年已进入2.0时代,该项工作需要由单位定级,市级以上公安机关备案,单位进行建设整改,等保测评机构进行等级测评,公安机关负责监督检查。根据相关法律要求,不实施等级保护工作视作违法。根据等保2.0建设思路,主要做好一个“安全管理中心”和“三重防护”建设。我校网站及数字化校园系统2018年通过了二级等保测评,并在公安机关进行备案,目前正在开展新一轮的等保测评工作。

等保测评安全通用技术要求主要测评:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。通用管理要去:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。对比各项要求,我们仍然存在一些薄弱环节。例如,不能严格落实“专职安全管理员,不可兼职”,三员管理执行不彻底,第三方运维管理欠完善等。

三、教育网络安全工作热点

1.云计算安全

目前云安全大部分用传统硬件交付,不具备多租户交付能力,租户无法自定义策略,缺失防护。其面临的风险有SQL注入、数据库攻击、内部越权、DDoS攻击等风险。对于云安全管理存在运维压力大、责任扯不清、缺乏整体态势感知等问题。因此,对于云计算安全扩展要求为:基础设施位置,必须位于中国境内;云平台等级不低于业务系统等级;责任主体一分为二:云服务商、云服务客户均需独立定级备案、过等保测评等。

2.移动APP安全

移动应用安全事件包括:信息泄露、侵犯隐私、诱导欺骗、支付威胁、内容安全。2019年教育部等八部门发布《关于引导规范教育移动互联网应用有序健康发展的意见》提出,第三方APP安全建设需要建立备案制度、加强内容建设、规范数据管理、保障网络安全、规范进校合作。我校2019年统计、上报了学校允许使用的APP并进行了备案,2020年根据使用情况进行了更新,任何部门和个人都不允许私自指定APP让师生使用。

3.物联网安全

城市安防中70种监控摄像头容易受到远程代码执行攻击;无人机失控,被远程接管;多个电子门锁被远程攻击。物联网安全体系建设需要从应用层、网络层和感知层进行防护。

攻击无处不在,防护一刻也不能停,加强网络安全建设,做好我校校园网络安全工作需要进一步加强学习,提升网信工作能力;加强网络安全责任制落实;落实网络安全等级保护制度;提升数据安全防护能力;开展安全监测和应急演练;加强网络安全教育培训;落实重要时期安全保障。

让我们携手,共建安全、文明、快捷的网络环境!

信息化建设办公室 许华

2020年11月17日