数字化转型背景下教育系统网络安全研究
摘 要:网络安全牵一发而动全身,没有网络安全就没有国家安全。当前,我国正在实施教育数字化战略行动,工作推进要求之一便是“安全运行”、构建可持续的网络安全防护体系。介绍教育数字化战略行动的相关背景,论述保障教育网络安全的重要意义,针对学校网络安全保障体系的构建和完善,从网络安全管理、网络安全技术、网络安全运维三方面提出对策建议,具体包括:统筹网络安全顶层设计、完善数据安全制度、强化网络安全教育、建好网络安全管理体系;补全网络安全技术短板、提高主动防御能力,重点聚焦保护、检测以及响应能力,积极采纳零信任架构、哑终端网络安全、身份管理控制、密码服务、网络安全态势感知、托管式安全运营服务等技术解决方案,建好网络安全技术体系;建设网络安全运行队伍、增强攻防实战能力、建好网络安全运维体系等。教育系统要持续强化教育网络安全保障体系建设,不断增强维护教育网络安全能力,提高教育网络安全治理水平,筑牢教育网络安全屏障。
关键词:教育数字化;网络安全;数据安全;教育系统;网络安全保障体系
中图分类号:G434
文献标志码:A
文章编号:1673-8454(2024)02-0035-13
作者简介:魏顺平,中央民族大学教育学院教授,博士(北京 100081);邵云龙,通讯作者,教育部教育管理信息中心工程师(北京 100816);杨德全,北京理工大学网络信息技术中心助理研究员,博士(北京 100081)
基金项目:国家自然科学基金2022年面上项目“教育信息化战略对民族地区义务教育优质均衡的影响研究”(编号:72274234)
一、引言
党的二十大报告提出,推进教育数字化。[1]这是在数字中国、数字经济建设背景下对发展数字教育提出的新要求、作出的新部署,数字教育是“数字中国”的一个重要组成部分。《教育部2022年工作要点》明确提出,实施教育数字化战略行动。[2]2022年7月,教育部部长怀进鹏在为教育部直属机关全体党员干部讲授专题党课教育时指出,要围绕数字中国建设,以更为长远的眼光,加快实施教育数字化战略行动,打造教育的中国范式,提升高质量开放与合作的能力。[3]国家教育数字化战略行动以“联结为先、内容为本、合作为要”(Connection, Content, Cooperation)的3C战略思路,科学构建国家智慧教育公共服务平台体系、全面提升优质资源服务供给能力、强化智慧教育平台技术支撑保障、积极推动国际数字教育交流合作,将数字资源的静态势能转化为教育改革的强大动能,积极探索智慧教育新理念、新理论、新路径、新实践,助力实现更加公平、更高质量的教育。
2022年2月,怀进鹏主持教育部党组理论学习中心组集体学习暨教育信息化首场辅导报告会,提出要牢牢把握“方法重于技术、组织制度创新重于技术创新”的工作理念,按照“应用为王、服务至上、示范引领、安全运行”的工作要求和思路一体化推进建设与应用,要以标准安全运行保障为支撑,筑牢数据安全底线,探索创造富有中国特色的教育数字化治理标准,构建可持续的数据安全防护体系。[4]这充分说明网络安全保障对推进教育数字化战略的重要意义。
二、保障教育网络安全的缘由
在党的二十大报告中,“安全”出现91次,“国家安全”出现29次,有专章“十一、推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定”阐述安全工作,并指出“强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”,这里专门提到“网络安全保障体系建设”。
网络安全牵一发而动全身,深刻影响政治、经济、文化、社会、军事等各个领域的安全。没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。有学者认为,网络安全问题已成为影响经济发展的主阵地、影响政治安全的敲门砖,以及影响军事安全的杀手锏。[5]2020年以来新冠疫情所致远程办公和云端迁移潮,在各国及各行各业对远程工作、网上学习、网络服务依赖逐步扩大的影响下,为网络攻击开辟新的途径。在日益不稳定的全球网络安全格局中,大规模、有针对性的网络攻击大幅增加,数据泄露、勒索软件、安全漏洞、网络钓鱼、人为错误操作问题和事件急剧上升,对公众民生和社会治理稳定带来巨大影响。
我们已经实现第一个百年奋斗目标,在中华大地上全面建成小康社会,历史性地解决绝对贫困问题,正意气风发向全面建成社会主义现代化强国的第二个百年奋斗目标迈进。展望2035年,我国将建成文化强国、教育强国、人才强国、体育强国、健康中国,国民素质和社会文明程度达到新高度,国家文化软实力显著增强。在建设教育强国的进程中,我们必须统筹发展和安全、统筹教育信息化和网络安全,为建设高质量教育体系提供网络安全保障。
我国政府和教育系统高度重视教育数字化和网络安全,把信息化、数字化作为建设高质量教育体系的关键领域。我国是一个教育大国,截止到2022年底,全国共有各级各类学校51.85万所,各级各类学历教育在校生2.93亿人,专任教师1,880.36万人。[6]在实现从教育大国向教育强国跨越的伟大进程中,教育信息化发挥基础性和带动性作用。“十三五”以来,教育信息化工作得到党中央、国务院的高度重视,教育部加强统筹部署,截止到2020年底,各级各类学校实现网络接入率接近100%,超过95%的中小学拥有多媒体教室,超过65%的学校实现所有教室接入数字教育资源,开通网络学习空间的学生、教师,分别占全体学生和教师数量的47.3%、66.4%以上,超过78%的中小学教师利用信息技术开展教学活动。全国2,000多所高校已全部通过校园网接入高速互联网,90%以上的高校校园网主干带宽达到千兆级及以上水平,双一流高校校园网带宽平均达到13Gbps,其中63%的高校实现IPv6接入,网络环境成为高等学校教学、管理服务、科研活动平台支撑的关键设施。教育信息化关键工程如“三通两平台”各项目标任务圆满完成,“八大行动”全面推进,教育部以建设国家智慧教育公共服务平台为抓手,加快推进教育数字化转型和智能升级,我国教育数字化事业呈现出应用深化不断加速、创新案例竞相涌现、治理能力显著提升的良好局面。教育数字化建设同时给教育系统带来巨大的信息资产,具体表现为硬件设备多、信息系统多和数据资源多,这些信息资产背后则是对应的安全隐患。
教育部拥有12个国家关键信息基础设施,存储数以亿计的敏感个人信息。教育系统的网络安全关系广大师生家长的切身利益,甚至关系社会稳定和国家安全。然而,广大师生的网络安全意识教育未得到普遍重视,关键教育教学网络与信息系统安全内部漏洞、外部威胁广泛存在,网络安全防护能力仍有短板:教育数字化覆盖人口多,容易形成意识形态问题;教育领域信息系统多,容易带来系统攻击和被篡改;教育领域数据资源多,容易造成数据泄露。教育系统网络安全形势严峻,安全事件不断出现,涉及数据主权、内容安全、个人信息、网课爆破、网页篡改等。例如,考上大学的高中生因个人信息泄露、电信精准诈骗导致死亡,考试机构因受攻击而无法提供服务,大批量学生数据在暗网上贩卖,中学教师疑因上网课时遭受“网络爆破”后在家中猝死等。因此,我们一方面要大力推进教育数字化,为加快发展面向每个人、适合每个人、更加开放灵活的教育体系赋能;另一方面要不断加强教育机构网络安全工作,以保卫教育数字化成果,保障教育教学、管理、公共服务体系稳定运行。
习近平总书记在中央网络安全和信息化领导小组第一次会议上的讲话中指出,没有网络安全就没有国家安全,没有信息化就没有现代化。[7]网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。宋瑞娟(2021)认为应从机制、战略、产业、技术、观念五个层面构建网络安全治理能力的提升路径,具体包括促进多方协同合作、推动大数据战略发展、建立网络安全产业体系、注重科技创新和应用、加强网络安全意识的培养等。[8]有学者基于《2021地平线报告(信息安全版)》得出我国高校应对信息安全挑战的有益启示:加快顶层框架设计,完善职能部门权责;利用技术制约效应,建立自评自测体系;探索校企联防机制,严守数据安全红线;普及技术伦理教育,践行信息安防行为。[9]
基于上述要求和观点,本文提出我国教育系统及各级各类学校需构建和完善网络安全保障体系。网络安全保障体系包括管理体系、技术体系、运维体系等三大部分,如图1所示。其中,安全管理体系包括安全规划、安全制度建设、安全评估、安全审计、应急响应、安全培训等方面,安全技术体系包括监测与识别、安全防护、审计与恢复等方面,安全运维体系包括运维制度建设、运维人员管理、安全监控、安全预警、安全响应、应急演练、重要保障时期值守等方面。
图1 网络安全保障体系框架
三、 保障教育网络安全的对策建议
鉴于保障教育网络安全意义重大,下面从建好网络安全管理体系、网络安全技术体系、网络安全运维体系三方面提出对策建议,具体包括统筹网络安全顶层设计、完善数据安全制度、强化网络安全教育,补全网络安全技术短板、提高主动防御能力,建设网络安全运行队伍、增强攻防实战能力。
(一)网络安全管理体系建设持续完善
网络安全管理是体系框架的上层基础,对网络安全保障至关重要,从网络安全政策、标准、人员、意识、职责等方面保证网络安全运行的顺利进行。这里重点论述三方面的内容,即统筹网络安全顶层设计、加快跟进数据安全法的实施细节、不断强化面向广大师生的网络安全教育。
1.在信息化建设中统筹网络安全顶层设计
加强顶层设计,明确网络安全目标。网络安全工作是“一把手”工程,各院校应严格按照《党委(党组)网络安全工作责任制实施办法》由“一把手”牵头,落实好“党管网络”。校园网络和企业网络有明显的区别,教育系统的特殊性决定其网络安全管理的目标有别于其它行业,各院校应充分识别单位内部与外部存在的网络安全风险,如重要科研数据、学生个人信息、办公网络、通信链路等存在的安全风险。围绕重要的保护对象制定网络安全目标,开展网络安全管理工作,构建完善的网络安全管理体系。建立由院校主要领导参与的网络安全组织机构,定期组织网络安全沟通协调会议,以信息部门为网络安全工作开展的核心部门,积极推动网络安全各项工作开展,落实各相关部门网络安全职责,针对网络安全日常工作和重大事项形成常态化的汇报机制,使院校主要领导了解网络安全开展的必要性及其为校园网络安全稳定运行带来的积极作用,从而推动网络安全工作的顺利开展。
明确网络安全职责分工。明确网络安全职能部门及负责人岗位,建立有效制度文件说明。设立系统管理员、网络管理员、安全管理员、数据管理员等岗位,定义各个工作岗位的职责,做到专岗专用,尤其是安全管理员不得兼任。形成一定数量的管理员规模,关键技术岗位设立A、B岗,网络安全工作落实到每个细节。建议合理划分管理员权限系统:系统管理员具有系统监控、网络配置、系统管理等权限,审计管理员具有系统监控、应用分析、权限配置等权限,安全管理员具有系统监控、应用分析、数据管理(除配置日志、系统日志)、安全策略配置等权限。
建立可操作的安全规范。结合日常运维的场景,完善网络安全管理制度,覆盖巡检管理、变更管理、配置管理、漏洞管理、事件管理等多方面的操作规程。加强与安全厂商、专业运维公司的合作与交流,在交付验收时要求服务商提供系统安全运维操作手册、设备操作手册、日常维护操作手册等规范文件。
加大网络安全经费投入。安全工作不能仅靠制度和设计,还需要落地。落地就是在人、财、物等方面进行有效保障。近年来,我国在网络安全领域的投入占信息化总体投入的比例较低,且各学校每年投入波动较大,尤其是在人员和管理提升方面的投入严重不足,导致网络安全、数据安全等工作无法持续改进。建议教育机构根据自身情况设定每年网络安全、数据安全投入阈值(建议不低于每年信息化投入的5%),有力保障硬件、软件、服务等方面的持续优化提升,降低各单位安全稳定运行风险。
2.持续加强数据安全管理和师生个人信息保护
目前,我国高校信息安全领域也面临诸多风险与挑战,如数据采集过程中的合法性和真实合理性问题、数据存储和共享过程中的泄露问题,以及数据分析与应用中的价值伦理取向问题等。[10]教育系统可从以下四个方面加强数据安全管理和师生个人信息保护工作。
加强数据安全制度建设。教育行政部门和学校应制定本单位的数据安全管理办法,规范数据分类分级,明确数据安全防护措施。将数据泄露、破坏等数据安全事件纳入本单位网络安全事件应急预案中,明确处置措施。结合教育系统实际,组织制定并适时修订数据开发利用技术和数据安全相关标准规范。开展数据安全能力评估,推动数据治理标准化、制度化、规范化。
做好数据资产梳理,建立数据共享平台,以利用促安全。统筹发展和安全,坚持以数据开发利用和事业发展促进数据安全,以数据安全保障数据开发利用和事业发展。明确数据资产梳理、数据分级分类,以及最小权限策略落实等有效治理原则,落实数据流转过程的全生命周期的追踪,在数据产生、数据传输、数据存储、数据销毁等方面严格落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关规定,促进数据的安全有效使用。数据分类标准要考虑数据本身价值、数据敏感性、数据的危险程度等因素,全面分类管理,严格把控关键从业人员的职业能力门槛。
提升数据安全防护水平。教育行政部门和学校应严格遵从数据安全和个人信息保护相关法律法规明确的防护要求,按照网络安全等级保护要求落实数据安全保障措施,提升防入侵、防泄漏、防滥用、防窃取能力。加强对数据安全工作的经费支持,保障数据分级分类、安全评估、安全防护等重点任务开展。支持优先使用自主可控的软硬件设备和密码技术,保障教育系统数据安全。鼓励利用大数据、区块链、人工智能、可信计算、联邦学习、差分隐私技术等新技术新应用,提升数据安全保障水平。从数据完整性、数据保密性、数据备份和恢复三个技术层面加强对数据的安全防护。
健全个人信息保护制度,严格保护敏感个人信息。教育行政部门和学校应提高个人信息保护意识,充分尊重师生、家长的知情权和决定权;收集处理个人信息应以显著方式、清晰易懂的语言展示收集处理原则,并经个人信息主体同意后方可实施;利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理;存储传输个人信息应采取加密措施,公开个人信息应采取去标识化处理;对不满十四周岁的儿童信息实施特殊保障,在采集、使用、共享、发布时要有更加严格的要求。种族、民族、宗教信仰、个人生物特征、医疗健康、金融账号、个人行踪等信息属于敏感个人信息;收集处理敏感个人信息应对必要性、科学性、伦理性进行论证;实施时应取得个人信息主体的单独同意;鼓励基于人口库等权威数据源,以“用而不存”的方式处理敏感个人信息。
3.不断强化面向广大师生的网络安全教育
加强高校网络安全教育事关国家网络安全防线,事关国家意识形态安全,事关高校立德树人根本任务,具有重要意义,然而,当前高校网络安全教育所面临的困境具体表现为边缘化、形式化和碎片化。[11]
对标国家安全教育对“网络安全”的要求,强化教育系统用户的网络安全意识教育,引导广大师生自觉维护国家在网络空间的主权、安全和发展利益,促进师生理性认识网络空间,合理合法利用网络,依法上网、文明上网、安全上网,自觉保护个人权益和国家利益。学校应积极组织丰富多彩的网络安全进校园活动,包括依托网络媒体普及网络安全知识,开展系列网络安全讲座和展出活动,举办网络安全沙龙、网络安全作品展、网络安全教育主题班会,通过各级团学组织深入学生宿舍、教室等场所进行网络安全知识普及宣传,组织青年志愿者深入师生生活园区宣讲网络安全知识,邀请公安系统、安全企业等单位专家现身说法,普及网络安全知识,结合近期热点涉网案件对师生进行警示教育,借助微信公众号推出网络安全教育专栏,与师生分享预防网络诈骗技能,等等。对学生开展课程教育或者是开设专门的课程,将网络安全纳入学校教育教学内容,例如,增加学生各种数据隐私保护意识提升和权利维护的有效途径,将与安全性、隐私权相关的主题,以及伦理学融入人工智能、机器学习、计算机科学、数据科学的教学内容中,并注重因材施教,具体措施包括通过学校慕课、电子课堂、网络教学平台等,以视频课程、PPT等方式为学生提供网络安全知识与技能教学服务,鼓励广大学生积极践行网络安全保护。[12]
(二)网络安全技术体系迭代升级
网络安全技术提供网络安全运行需要的基础服务和基础设施的及时支持。先进完善的网络安全技术可以极大提高网络安全运作的有效性,从而达到网络安全保障体系的目标,实现整个生命周期的风险防范和控制。较为经典的网络安全技术体系模型是美国国家标准与技术研究院(National Institute of Standards and Technology, NIST)提出的IPDRR模型[13],该模型包括识别(Identify)、保护(Protect)、检测(Detect)、响应(Response)和恢复(Recovery)五大能力,如图2所示。其中,识别功能包括资产管理、业务环境、治理、风险评估、风险管理策略、供应链风险管理等;保护功能涵盖开发和实施适当的保障措施,以及保护关键基础架构的许多技术和物理安全控制;检测功能实施向组织发出网络攻击警报的措施;响应功能可确保对网络攻击和其他网络安全事件做出适当的响应;恢复功能包括恢复计划改进和通信。
图2 IPDRR 模型
针对学校网络安全的常见技术短板,结合当前网络安全的最新技术,重点聚焦保护、检测以及响应能力,具体包括零信任架构、哑终端网络安全、身份管理控制、密码服务、网络安全态势感知、托管式安全运营服务等技术解决方案。
1.零信任网络安全认证架构
随着学校信息化和智慧校园建设的持续推进,学校对内和对外的教学、科研和管理的业务系统丰富多样,C/S业务逐步减少,B/S、APP、H5等业务逐渐增多。为了校园各项业务的顺利开展,学校不仅需要满足师生在校内办公和访问的需求,还需要实现师生在校外可远程进行办公、教学和科研。与此同时,由于需要接入校园业务进行访问的用户人员类型不同、权限不一、设备终端多样、接入地点随机变化,以及网络环境差异大等因素的影响,传统的VPN/WEB VPN等解决方式在安全防护方面存在较大的隐患,例如,业务系统对外暴露面过大、弱密码、访问权限固化,以及接入点多样缺乏动态行为管控等,从而导致部分院校内网被攻破、数据外泄、系统被破坏等严重后果。
应对这一挑战,“零信任”架构应运而生。该架构的核心逻辑是统筹身份鉴别、访问控制和流量监控三个要素,以身份为基础构建的访问控制体系,访问主体客体之间的联系严格遵循最小权限原则,实现更高级别的网络安全防御体系。在满足业务安全性防护的基础上做到访问和管理的便捷性,结合当前国内外最新的安全建设理念和架构实践应用,可通过基于零信任的理念和SDP(Software Defined Perimeter,软件定义边界)架构设计校园接入的整体体系。具有一定代表性的面向“远程访问全过程”的安全风险管控体系如图3所示。
图3 面向“远程访问全过程”的安全风险管控体系
2.哑终端网络安全
哑终端(dumb terminal),又称字符终端,其只有输入输出字符的功能,没有处理器或硬盘,通过串行接口联接主机,一切工作都要交给主机来做。当前,学校拥有大量的哑终端设备,如摄像头、触摸屏、LED大屏等,这些设备存在较大的安全隐患。哑终端网络安全改变传统的外挂安全的思路,将安全能力内置在网络设备,通过网络与安全的协同实现哑终端仿冒私接等威胁检测,通过主动探测和被动采集功能对终端进行资产识别协同控制面完成资产管理,通过采集流量特征并进行统计与控制面共同完成资产异常检测,通过授权策略、强制下线、ACL配置、端口shutdown、MAC黑名单等方式对异常终端进行隔离或阻断,通过哑终端网络行为分析进行异常检测。具有一定代表性的哑终端整体方案架构如图4所示。
图4 哑终端解决方案
3.身份识别和访问管理
随着学校IT基础设施及数据中心设备越来越多,网络设备、操作系统、中间件、重要应用系统等登录账号共享情况比较普遍,甚至还包括离校教师、运维人员,通常一个账号多人共同使用,导致发生安全事件后难以定责。且静态口令容易被获取和暴力破解。一般数据中心的账号密码是由IT运维人员或者开发人员手工创建的,为了能够应对紧急情况,口令强度通常设置较低。通常情况下组织会通过堡垒机对运维账号进行管理,通过VPN打通组织内外网访问,但是堡垒机和VPN本身也是使用不安全的口令认证,因此存在一定的认证风险。
身份识别和访问管理(Identity and Access Management, IAM)是一个可有效控制人或物等不同类型用户访问行为和权限的管理系统,能够有效控制什么人或物体在什么时间有权限访问哪些资源。具有代表性方案提出的整合后的身份识别和访问管理包括访问和策略服务、用户服务、身份服务、合规服务、数据服务等,并将其组合到整体的逻辑层中,具体包含数字身份自动化管理、身份数据同步、统一认证及访问控制策略管理、授权管理、自适应智能融合认证、访问行为审计、权限互斥审阅、合规管理,以及确保实时预警和有效防范的风险管理机制等核心能力,其中较为核心的功能模块是统一身份管理系统。统一身份管理系统为学校提供统一用户管理,实现师生信息与账号的集中存储、闭环管理,实现身份全生命周期管理,为管理员和个人用户提供不同权限的管理视图,通过数据同步服务、连接器实现与应用系统的集成,实现人员数据、组织数据到身份管理系统的同步,以及与接入系统的账号同步,其架构如图5所示。
图5 统一身份管理功能架构
4.密码服务
当前,教育信息化系统中依旧有不少用户使用“账号+口令”的方式进行登录,存在用户信息假冒、截获的风险,需采用密码技术保证应用系统用户身份的真实性;在数据机密性方面,教育信息化系统中存储有大量学籍、学生健康、招生考试数据、毕业论文数据、家长、学校、科研管理成果、关键业务数据等敏感隐私信息,存在被窃取和篡改的风险,必须采用密码应用保证数据的机密性;在完整性方面,教育信息化系统,如OA系统、科研管理系统、教务系统、财务系统、资产管理系统等,存在重要业务数据、审计数据、配置数据、视频数据、用户信息等,需采用密码技术保证重要数据在传输和存储过程中的完整性;在抗抵赖性方面,教育信息化系统中存在大量学生成绩、学籍、毕业证、学位证、荣誉证书等敏感的关键数据,需采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。
数字认证旨在为教育行业提供好用、好管、规范、安全的数据密码服务体系,使安全与业务在技术上低耦合,但又能在服务上融合,提供轻量级改造应用的服务模式,有效防护教育信息化涉及的主体用户安全、数据安全、资源安全,实现密码服务业务化建设、场景化应用,满足教育行业密码技术融合应用创新、密码能力融入业务流程、密码服务构筑数字安全屏障。教育行业数据安全密码服务体系架构如图6所示。
图6 教育行业数据安全密码服务体系
5.网络安全态势感知
网络安全态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示,并据此预测未来的网络安全发展趋势。针对教育行业的网络安全痛点,一些机构提出网络安全态势感知SaaS化服务,该服务以多样化灵活的方式赋能教育行业,逐步提高教育行业的网络空间安全能力覆盖度,降低安全运营成本,提高网络安全效益,保障教育行业用户的网络空间安全。具有一定代表性的教育网络安全态势感知平台架构如图7所示。
图7 安全态势感知平台架构
教育网络安全态势感知平台是一种集信息汇聚、态势感知、预警通报、协同处置、协调指挥等功能为一体的大数据监测环境;是基于教育全域数据,集业务管理、监测预警、应急处置、指挥调度为一体的网络安全态势感知平台。其将自己的网络安全监测纳入教育部的网络空间安全综合治理体系,参与体系大联动,并在本级教育行业体系中发挥行业中枢作用:横向实现与本级党政机关和事业单位间网络安全信息共享、网络安全事件协同处置;纵向实现各层级教育系统平台间数据交互和业务联动,构建教育系统网络安全协调指挥体系。
6.托管式安全运营服务
在学校安全方面,尤其是高等院校中,在安全管理上存在内部组织机构多、IT资产多、校内人员多的特点:①组织机构多。二级教学、实验、行政单位众多。②IT资产多。在学校特别是高校中,普遍存在网站资产数百个、服务器资产数千台、终端数十万个这种资产规模。③人员多。超过5万人的高校接近20个,大部分本科院校人数超过2万人。一旦发生安全事件,如何快速定位资产归属、联系资产负责人、解决安全事件形成闭环,面临巨大的挑战。通过托管式运营服务,从资产测绘、资产和组织管理入手,进行周期性漏洞和脆弱性分析、持续性威胁监测、触发式威胁处置与应急响应,可以更系统地解决学校面临的信息安全问题,实现学校信息安全的闭环管理。
托管式安全运营服务(Managed Security Service, MSS)是消除网络安全工作开展受限、专业性门槛过高的重要手段。托管式安全运营服务提供商针对客户所面临的IT资产数量多、安全设备使用难、安全人员不充足、攻防实战水平弱等各种现实问题,通过将各类安全设备、安全管理与服务流程、具备攻防能力的安全人员有机结合起来,以资产为核心,以消除安全威胁、处理安全事件为目的,以结果为导向,帮助安全建设单位解决从合规到实战的问题。托管式安全运营服务团队借助专业技术工具,如流量分析、态势感知、主机安全、漏洞扫描等工具,以标准化管理流程集中研判、快速预警、统一指挥、紧急处置、追查反制等策略和措施,实现事前预警、事中监控、事后响应,快速规范化解决安全问题,力求安全问题闭环管理,持续迭代提升和输出整体安全能力,最大可能地保障业务安全运行。具有一定代表性的托管式安全运营服务架构如图8所示。
图8 托管式安全运营服务
(三)网络安全运维体系不断增强
网络安全运维基于风险管理理念的日常运作模式及其概念性流程,是网络安全保障体系的核心,贯穿网络安全始终;也是网络安全管理机制和技术机制在日常运作中的实现,涉及运维流程和运维管理。较为完备的网络安全运维体系应以信息资产管理为核心,包括安全运维监控中心、安全运维告警中心、安全运维事件响应中心,以及安全运维审核评估中心等部门。网络安全运维体系内容庞杂,这里重点论述网络安全运行队伍建设、网络安全攻防演练两方面的内容。
1.网络安全运行队伍建设
网络安全是“一把手”责任,网络安全工作必须通过人去完成落实,要实现网络安全的目标就必须建立一支高素质的安全管理队伍,这支队伍作为网络安全管理或者技术的专家,必须具备对应的知识和技能,必须能够较深刻地理解安全事件,并给出处理建议进而做出处置工作。建议要大力度激励专职人员,从制度、经费以及晋升通道上给予适当的倾斜。
保障网络安全定岗人员编制与专业资格培训。从制度上保证专职安全从业人员的编制数量和岗位职责,确保有足够的人员专职从事安全相关工作。教育系统网络安全从业人员大部分具有较强的学习能力,通过图书以及在线资源等方式自学是提升人才自身安全素质的重要环节。此外,从业人员应通过网络安全培训课程考核,目前网络安全培训课程推荐ECSP(Cyber Security Professional for Education Industry,教育系统网络安全保障专业人员培训)以及CISP(Certified Information Security Professional,注册信息安全专业人员)认证体系。将安全认证作为岗位的前置条件,大多数从业者通过技术培训后能在制度和实践上形成较为完善的安全体系架构知识体系,从而有利于校园网整体安全防御水平以及安全事件监测溯源能力的提升。对网络安全从业人员应给予培训经费、培训时间支持,设置专项课题。全面增强ECSP、CISP等资格证书的覆盖范围,在制度上保证培训时间、培训经费的投入。
建立有效的考核与激励机制。安全工作归根到底还是对人的管理,除了建立严格的制度外,还要对执行情况进行科学、有效的考核。制定有效灵活的考核体系,制定可以量化的考核指标,不应简单地以安全事件发生率作为唯一要素,部分安全事件预防的基础常规工作也应量化为考核指标,如安全资格证书取得人数、安全培训继续教育学时、安全宣传次数等指标。可按月度、半年度、年度以及重要时期等作为考核周期,以考核结果作为奖惩依据。
拓展信息化与网络人员发展空间。规范网络安全管理机构的设置,明确专职网络安全生产管理人员的配备标准以及晋升空间。对部分应用导向的研究领域,申请专项课题供安全从业人员开展研究工作。全面考量网络安全和信息化的工作特色,在职称评聘方面予以必要细化乃至倾斜,增强专家型人才、领军型人才的培育。
2.常态化开展网络安全攻防演练
网络安全攻防演练,是以不限制手段、路径,进行获取权限并攻陷指定靶机为目的实战攻防演练。通过真实网络中的攻防演练,可以全面评估目标所在网络的整体安全防护能力,检验防守方安全监测、防护,以及应急响应机制、措施的有效性,锻炼应急响应队伍,提升安全事件处置能力。教育部高度重视教育系统网络安全攻防演练工作。2018年以来,教育部连续4年参加公安部组织的“护网”攻防演习,目标系统均未被攻破。2020年以来,教育部连续3年组织教育系统网络安全攻防演习,均取得良好效果,攻防演习已经成为提升网络对抗能力、排查安全隐患的重要形式。
教育系统网络安全攻防演练的重要价值体现在:①发现教育系统潜在的安全威胁。通过模拟入侵来验证教育系统内部信息资产是否存在安全风险,集中发现各学校信息系统存在的安全漏洞和风险隐患问题,排查网络安全隐患。②提升教育系统网络安全团队能力。攻防演练中,防守方通过教育系统内多部门协同作战,演练大规模攻击情况下的防护流程及运营状态,提升应急处置效率和实战能力。③强化师生网络安全意识。通过攻防演练,检验师生在面对网络安全攻击时的警惕性和安全防护能力,预防风险事件的发生。
教育系统应建立常态化工作机制,经常性开展安全演练,通过多层次、多角度、多样化方案设计,实现以演促改、以演促管、以演促建的工作目标。做好教育系统网络安全攻防演练:首先,要制定好网络安全攻防演练方案,包括确立攻防演练目的、明确攻防演练目标、组建攻防演练团队等;其次,要做好组织实施工作,包括启动阶段、备战阶段、临战阶段、实战阶段、保障阶段等,需要系统化规划设计、统筹组织和部署执行,通过搭建演习平台,实现“全程监测、全程录屏、全程审计”;最后,针对发现的问题,整改落实要做到位,确保演练取得良好效果。
四、小结
党的二十大报告提出“办好人民满意的教育”“加快建设高质量教育体系”。教育部部长怀进鹏在多个场合提出“深入实施国家教育数字化战略行动”“以高水平的教育信息化引领教育现代化”“推动数字教育、促进教育现代化、实现教育强国”。可见,教育数字化和教育信息化对教育现代化、教育强国具有重要价值,这样更加凸显教育网络安全的重要性。教育网络安全是国家教育数字化战略得以顺利推进的重要前提和重要保障。我们要持续强化教育网络安全保障体系建设,不断增强维护教育网络安全能力,提高教育网络安全治理水平,筑牢教育网络安全屏障,推进教育数字化转型,在全面建设社会主义现代化国家新征程中奋勇前进。
参考文献:
[1]习近平.高举中国特色社会主义伟大旗帜 为全面建设社会主义现代化国家而团结奋斗[N].人民日报,2022-10-26(001).
[2]教育部.教育部2022年工作要点[EB/OL]. (2022-02-08)[2023-06-28]. http://www.moe.gov.cn/jyb_sjzl/moe_164/202202/t20220208_597666.html.
[3]教育部.走好第一方阵 为实现中华民族伟大复兴贡献教育力量[EB/OL]. (2021-02-03)[2023-06-28]. http://www.moe.gov.cn/jyb_xwfb/gzdt_gzdt/moe_1485/202207/t20220707_ 644253.html.
[4]教育部.教育部举行党组理论学习中心组集体学习暨教育信息化首场辅导报告会[EB/OL]. (2022-02-21)[2023-06-28]. http://www.moe.gov.cn/jyb_xwfb/gzdt_gzdt/moe_1485/202202/t20220221_600942.html.
[5]赵若云,武杰.对新时代网络安全的系统思考[J].系统科学学报,2021,29(1):51-56,72.
[6]教育部.2022年全国教育事业发展统计公报[EB/OL].(2023-07-05)[2023-11-01]. http://www.moe.gov.cn/jyb_sjzl/sjzl_fztjgb/202307/t20230705_1067278.html.
[7]新华社.中央网络安全和信息化领导小组第一次会议召开[EB/OL]. (2014-02-27)[2023-06-28].https://www.gov.cn/ldhd/2014-02/27/content_2625036.htm.
[8]宋瑞娟.大数据时代我国网络安全治理:特征、挑战及应对[J].中州学刊,2021(11):162-167.
[9][10][12]李艳,陈新亚,孙丹,等.从“透明人”到“践行者”:高校信息安全面临的挑战与应对——《2021地平线报告(信息安全版)》之启示[J].远程教育杂志,2021,39(3):11-19.
[11]蒋燕玲.新时代高校网络安全教育的意义、困境与路径[J].中国高等教育,2020(20):59-61.
[13]National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity Version 1.0[EB/OL]. (2014-02-14)[2023-06-28]. https://www.nist.gov/system/files/documents/cyberframework/cybersecurity-framework-021214.pdf.
Research on Network Security of Education System from the Perspective
of Digital Transformation
Shunping WEI1, Yunlong SHAO2, Dequan YANG3
(1.College of Education, Minzu University of China, Beijing 100081;
2.Education Management Information Center, Ministry of Education, Beijing 100816;
3.IT Department, Beijing Institute of Technology, Beijing 100081)
Abstract: Network security affects the whole body. Without network security, there would be no national security. Currently, China is implementing a digital education strategy, and one of the requirements for advancing the work is to “operate safely” and to build a sustainable network security protection system. The article introduces the relevant background of the digital education strategy action, discusses the important significance of ensuring education network security, and proposes countermeasures and suggestions for the construction and improvement of the school network security guarantee system from three aspects: network security management, network security technology, and network security operation and maintenance. Specifically, it includes: Coordinating the top-level design of network security, improving data security systems, and strengthening network security education, and establishing a sound network security management system; Completing the shortcomings of network security technology, improving proactive defense capabilities, focusing on protection, detection, and response capabilities, actively adopting zero trust architecture, dumb terminal network security, identity management and control, password services, network security situational awareness, hosting security operation services and other technical solutions, and establishing a good network security technology system; Building a network security operation team, enhancing offensive and defensive combat capabilities, and establishing a good network security operation and maintenance system. The education system should continue to strengthen the construction of the education network security guarantee system, continuously enhance the ability to maintain education network security, improve the level of education network security governance, and build a solid barrier for education network security.
Keywords: Education digitization; Network security; Data security; Education system; Network security guarantee system
编辑:王天鹏 校对:王晓明
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性质的教育和科研之目的,并不意味着赞同其观点或者证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。