邵云龙

教育部教育管理信息中心网络安全处处长

近年来，国家高度重视网络信息安全工作。网络安全实际已从虚拟世界真正影响到整个现实生活，它已不仅仅是技术问题，更需站在历史发展高度和政治高度来考量。

教育行业一直以来都是网络安全防护的一个重要阵地。一是涉及人员多，教育机构59万个，专职教师1800万人，整体教育行业各级各类学生超过3.5亿；二是系统数量多，教育系统网站超过20万个，edu.cn的系统网站11万个，涉及超过100万人数据的系统达500多个；三是掌握数据多，政务数据资源数量达10624条，教师数据超过4000万，累计学生数据超过5亿条。

教育行业面临的主要威胁现已发展到了新的阶段，表现在三个方面：一是数据泄漏，数据泄漏造成了很多安全事件；第二是业务瘫痪，主要发生在大规模的考试招生等过程中，对社会影响非常大；第三是页面篡改。随着信息化的发展，数据越来越集中，大量高度敏感信息的泄露，舆论已经在倒逼学校整改，而安全意识和安全管理应如何兼容值得深思。

实际上教育行业对网络安全投入不足，据2017年底的数据显示，71%的高校偏重网络安全工作的人员投入不到两个，高校很少有独立的安全专员；13%的学校根本没有网络安全的投入；54%的高校投入在50万元以下。从全国总体来看，安全投入普遍偏低；管理不善，教育行业的灵活和自由度较大，尤其在基础教育领域，很多域名的管理不规范，造成诸多事件的处置存在困难。新技术带来的攻击手段呈现多元化，包括APT、物理攻击、定向攻击、网络钓鱼、社交攻击等等。同时云计算、大数据、人工智能等新技术也给网络安全带来了新挑战。

做好网络安全工作的关键，是主管部门有担当，支撑单位有能力，分工有序，配合默契。

教育系统责任机制，主要是统筹指导，监督管理，逐级落实工作。按照"谁主管谁负责，谁运维谁负责，谁使用谁负责"的原则，做好网络安全工作的最重要一环。针对高校来说，学校的书记、校长是主要责任人，落实"一把手"责任制。

网络安全责任制要突出四个能力：制度建设、安全保障、监测预警、应急处置，形成对网络安全的整体闭环。

制度保障方面，在《教育信息化2.0行动计划》中，把网络安全作为保障措施中的一个重要内容，要求执行法律要求，落实等保制度为主。在《2018年教育信息化和网络安全工作要点》中，明确提出提升网络安全人才培养能力和质量，提高教育系统网络安全保障能力。在《教育部教育管理信息中心2018年工作要点》中也明确规定，要完善教育管理信息化安全保障体系。

为了做好网络安全支撑工作，教育部教育管理信息中心设立网络安全处，明确了工作职责：一是配合科技司，开展网络安全技术保障；二是教育部网络安全技术保障，开展部本级安全技术保障工作；三是提供教育行业等保测评和安全服务，面向教育系统用户提供信息系统安全等级测评、教育软件安全检测、教育商用密码应用安全性测评、安全风险评估、安全监测等网络安全服务。

教育部站在顶层设计的角度，加强网络安全统筹领导，明确组织、规划、分工、设计等。

建立网络安全工作考核机制和问责机制。

教育部印发了《教育行业信息系统安全等级保护定级工作指南（试行）》，推进落实、定级、备案、测评、整改工作，但是很多学校和单位并没有落实好相关工作。

与教育网、信息化分会建立合作，建立流量分析机制；上线教育系统资产管理系统，收集系统超过20万。网络安全监测预警系统实现了通报自动化，在漏洞检测发现验证之后，可以第一时间直接通知到相关单位的具体联系人，能够最短时间通报相关漏洞。同时不断优化网络安全监测预警通报工作，现在的信息资产系统并没有覆盖所有行业的所有系统和重要设备，需要各个单位主动如实填报，以便把所有重要资产纳入监测，提高效率、形成联盟、追溯上游。

《网络安全法》明确落实了相关内容，教育系统网络安全应急预案，要求各单位参照修订制定本单位的预案和具体信息系统的应急预案。开展应急演练，应急预案分成四级，目前主要的问题还是在二、三、四级。

一是综治考核，二是现场检查，三是通报情况，四是监督问责，按照教育部的要求逐步落实。

（1）提高安全意识，加强统筹部署，安全工作是一项政治性很强的工作，关键时间节点要有不同的措施，确保"万无一失"。（2）优化网站访问策略，包括持续访问、工作时间访问、限制访问、关停等。（3）"零报告"和7×24小时值守。（4）做好监测预警和应急管理，发现问题马上改，出现安全事件马上报。

在人才培养、学科建设、宣传教育开展相关工作，建设一流网络安全学院和网络空间安全一级学科，开展网络安全宣传周等活动。

近期的工作要点：一是加强关键信息基础设施安全保障，包括关键信息基础设施保护规划、关键信息基础设施识别指南等。二是完善网络安全通报机制，协同政府、学校、企业建立安全联盟。三是个人信息保护（数据安全），开展数据安全专项治理行动等。四是网络安全态势感知，依托于服务商建立态势感知平台，主要工作是漏洞通报展示等。

针对教育系统网络安全工作的现状，以讲政治、讲法制、讲担当、讲大局为主题，指导学校网络安全工作。目前在学校网络安全工作中出现的问题可以总结为："看不起、管不着、舍不得、想不通"四方面。看不起，会导致专家思维，技术自信、轻视管理，认为厂商只是为了挣钱；管不着，造成本位主义，而院系的技术能力又不能支撑学校安全保障工作；舍不得，会产生小农经济，自己搞、花钱少，不重视后续维保；想不通，导致信息化部门地位尴尬，究竟是CIO、CTO、CSO？还是教辅、后勤部门？因此，针对以上问题提出以下工作建议：

按照教育部科技司的要求落实网络安全等级保护制度、用户信息保护制度、网络安全监测预警通报机制，对法律有敬畏之心。

加强信息系统统筹管理、数据统筹，探索网站群建设，减少网站的少散乱问题。建设统一的数据中心，避免基础设施的重复建设等。

能上云就上云，减少运维成本和应用开发成本。慎上外企公有云；涉及个人信息不上公有云；需要公众服务的建议混合云；行政部门建议建立行业云。

网信工作统筹推进，主管业务就要管安全，网络安全和信息化统一谋划、统一部署、统一推进、统一实施。融入稳定工作统筹部署。主动参与育人工作协调，包括协同育人、培养队伍、地区性帮扶。

教育部网络安全应急办（部网信办）负责网络安全应急管理事务性工作，提出特别重大网络安全事件应对措施，统筹组织网络安全监测工作。

网络安全不仅是技术问题，更是管理问题。等级保护不仅是合规问题，更是合法问题，需要提高安全能力和规范性的基准。

日常在做测评和日常工作常见的典型问题：第一，问题日志，安全日志未记录或未及时转储，无法及时分析或事件回溯。《网络安全法》要求"留存相关的网络日志不少于六个月"。第二，访问控制策略不合理，单位内部的应用系统层面差距很大，外部边界防护很好，而内部有一些疏漏，给攻击者入侵带来便利。第三，系统建设过程中未考虑安全功能，很多单位在各个院系建立系统，未按安全要求开展方案审计、功能评估，系统上线时未进行应用安全测试，导致存在较多漏洞，造成应用安全漏洞频发，运维阶段难以及时整改。第四，安全运维管理制度无法有效落实，有制度没流程，有岗位没人员。缺少监测和审计，被动应对网络攻击。未来要针对这四点问题进行防护。

（本文根据教育部教育管理信息中心网络安全处处长邵云龙在"2018年高校网络信息安全研讨会"上的演讲整理，未经本人确认，整理：杨燕婷）