解读《教育行业网络综合治理行动方案》

          5月,教育部科技司信息化处调研员舒华在“2017年教育信息化创新论坛”中对教育部正在实施的《教育行业网络安全综合治理行动方案》进行了解读。她将此次行动归纳为八个字:治乱、堵漏、补短、规范。她提到,之所以选择这些内容重点推进源于问题导向。

  《教育行业网络安全综合治理行动方案》目标是提升安全水平,增强防护能力,有效防范风险,保障运行和数据安全。原则是:问题导向、突出重点、完善机制,狠抓落实。实施范围是各级教育行政部门及其直属单位高等学校。

  《方案》主要有四大项主要任务。每一项工作任务对应不同的工作重点,总共10项:

  1.治理网站乱象,强化主体责任--统一标识,信息发布,域名清理;2.堵塞安全漏洞,增强防护能力--监测预警,检测风险;3.补齐等保短板,履行安全保护义务--定级备案,测评整改;4.规范安全管理,提升治理水平--数据管理,关键设施,应急响应。教育部将之归纳为八个字:治乱、堵漏、补短、规范。

  治理网站乱象,强化主体责任

  1.统一标识。中央机构编制委员会和中央网信办于2014年出台“关于做好党政机关网站开办审核、资格复核和网站标识管理工作”的通知,要求相关机构建立党政机关网站标识制度。目前,各级教育行政部门和直属单位还未全部落实挂标工作,此次行动要推动这些单位挂标。

  2.信息发布管理。《网络安全法》明确个人信息是指电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。学校作为网络运营者应当认真审核数据的发布,不得将涉及个人隐私的数据直接发布在网上,采取技术措施和其他必要措施保护个人信息。

  3.网站域名清理。随着教育信息化的发展,各级各类学校逐渐建立学校自己的门户网站。但据调查显示,学校门户网站域名用.cn域名的相对较少。“一些学校的门户网站域名用的是如.me、.cc等五花八门的域名,不仅影响中国学校开展国际交流合作的形象,而且也难以开展安全监测,需要研究如何加强管理。”舒华表示。

  堵塞安全漏洞,增强防护能力

  1.安全监测预警。《网络安全法》第五章第五十二条指出,负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。2016年,教育部正式启动安全监测预警工作,加强与国家网络安全职能部门的沟通,建立与专业机构、安全企业等单位的信息共享合作,逐步形成多层次的、覆盖全行业的安全威胁信息共享机制。采取信息汇聚、核实、通报、限时整改、复核的工作机制。监测预警机制建立一年来,共发现安全威胁近20000个,修复率达到了90%。

  统计表明,教育行业网络安全事件,2015年发生的次数比2014年小幅上升,2016年比2015年下降了67%。其中一个重要原因是监测预警机制发挥了很大的作用,特别是.edu.cn域名的网络安全事件下降最多。

  2.检测风险。学校使用的信息系统中有一类是具有教育特色的通用软件,如:学生管理、教务管理、财务管理系统等。调研发现,直接使用通用型软件及基于通用型软件的个性化定制已成为学校开发系统的主要手段。提供这些通用软件的企业相对集中,加强对通用软件的安全审查和全面评估十分必要,力争从源头上降低安全风险。

  补齐等保短板,履行安全保护义务

  1.网络安全等保。舒华介绍说,《网络安全法》明确提出国家实行网络安全等级保护制度,在原来的信息安全等级保护制度基础上进一步完善,上升到了法律层面,使网络安全等级保护进入2.0时代。网络安全等级保护包括定级、备案、测评、整改四个步骤。2015年,教育部和公安部联合印发了《关于全面推进教育行业信息安全等级保护工作的通知》,截至目前,还有一些单位和学校没有完成等级保护定级备案工作。“6月1日《网络安全法》将正式实施,现在不做是违规,将来就是违法。”舒华说。

  2.测评和整改。每个信息系统在完成定级备案保护后,都应按照要求定期开展等级测评和整改工作。定级备案完成并不说明网络就安全了,只有通过测评整改才能更好地保证系统和网络的安全。

  规范安全管理,提升治理水平

  1.数据安全。保障信息系统和网络的安全,其根本目的是要保障数据的安全。教育行业有大量的师生信息,涉及个人隐私,保障数据安全任务艰巨。教育部正在制定《教育部教育数据管理办法》,规范数据的采集、传输、存储和开放共享。各单位应根据本单位实际,制定相应管理办法,加强数据保护工作,防止个人隐私信息泄露。

  2.关键信息基础设施。关键信息基础设施是在网络安全等级保护制定的基础上对信息基础设施实行重点保护。目前,各单位都在研究确定关键信息基础设施的保护范围。对教育行业来说,重要的信息基础设施应包括网络基础设施,涉及到考试、招生、学籍、资助等教育核心业务的信息系统,全国联网的信息系统,存储大量师生数据的信息系统。各地各校应认真梳理,明确本单位的重要信息基础设施。

  3.应急响应。《网络安全法》明确负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。教育部正在按照要求研究制定应急预案,各单位也应制定本单位的应急预案,出现安全事件及时响应和快速处置。

  舒华介绍,从今年开始,教育部将加强对地方、学校的网络安全工作的监督检查,把网络安全纳入校园和周边综合治理框架下进行考评,并制定了评价指标,主要包括网络安全通报机制、网络安全责任制、等级保护定级备案工作、网络安全威胁通报工作、重要时期网络安全保障工作、网络安全事件处置等六个方面。

  另外,她提到,并不是发现的漏洞越多就减分,而是发现漏洞却没有及时补漏才减分,也并非发生了安全事件就减分,而是发生了安全事件却不在规定时间内处置就减分。“这样的考核是对管理的考核,因为安全是防不胜防的,但管理到位可以将安全事件造成的损失控制到最低。”舒华说。