邵云龙:等保2.0对高校网络安全提出新要求
三个1/3决定了网络安全重要性
党的十九大以后,教育信息化进入了新的发展阶段。去年4月,教育部正式印发了《教育信息化2.0行动计划》,提出了到2022年基本实现“三全两高一大”的发展目标,要在1.0阶段“三通两平台”的基础上,全面提升教育信息化发展水平,使中国教育信息化步入世界先进行列,发挥全球引领作用,以教育信息化全面推动教育现代化,开启智能时代教育的新征程。
在这个过程中,网络安全工作贯穿整个教育信息化建设的始终,是需要持之以恒、常抓不懈的关键性支撑工作。
网络安全的重要性是与三个1/3分不开的,即教育及教育相关人口占全国人口的1/3;各类教育行业在册的信息系统占了全国将近1/3;2016年、2017 年,教育行业发生的网络安全事件占全国安全事件1/3。
更直观的数据包括:第一,涉及人员多。目前教育机构60万个,专职教师1800万人,各类各级学生超过3.5亿人。第二,系统数量多。当前教育系统网站超过20万个,edu.cn的系统网站11万个,涉及超过百万人数据的系统超过500个。第三,掌握数据多。政务数据资源数量超过10000条,教师数据超过4000万,累计学生数据超过5亿。
我们面临的安全事件主要涉及数据泄漏、数据篡改、网站瘫痪、页面篡改等四个方面。最近重点之一是对教育APP 的治理,在走访时发现有个别学校针对学生有包括校内新闻、吃饭、洗澡、院系选课等各式各样的40余个APP同时使用,建议学校尽量整合成一个,至少是一个入口,杜绝多口径分散式管理。
等保2.0时代的网络安全工作
2017年正式实施的《网络安全法》将网络安全正式带入了法治时代,这也就意味着,履行网络安全等级保护成为网络运营者的基本义务,假如信息系统没有定级备案、没有测评整改,都属于违法运维,从教育系统以及高校违反网络安全法的处理情况来看都是非常严格的,需要引起各高校信息化部门的高度重视。
《网络安全法》其中很重要的一方面就是网络安全等级保护制度。1994年,国务院147号令提出“计算机信息系统全面实行信息安全等级保护”,“等保”这个提法正式出现,随着近年来云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保2.0标准应运而生。2019年5月13日,公安部发布《网络安全等级保护基本要求》(GB/T22239-2019)、《网络安全等级保护安全设计技术要求》(GB/T25070-2019)、《网络安全等级保护测评要求》(GB/T28448-2019)。
相比1.0,网络安全等级保护2.0与网络安全法保持一致,《中华人民共和国网络安全法》明确规定“国家实行网络安全等级保护制度”,等保2.0也与时俱进地将原标准的“信息系统安全等级保护”改为“网络安全等级保护”,并且覆盖全社会、全行业和全对象,这个“网络”是大的网络概念,基础网络、信息系统、移动互联网、云计算、物联网、工控等都包含在其中。
等保2.0要求从分层防护向综合防控、集中防护的思想转变。其主要技术思想方向可归结为:第一,“一个中心,三重防护”的体系框架。三重防护是指“安全通信环境”、“安全区域边界”和“安全计算环境”;一个中心是指“安全管理中心”。安全管理中心不是某一个平台,某一个系统,而是把安全管理、安全监测、安全审计等各类的设备和应用平台集中管控的体现。第二,可信计算。基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,一旦检测到可信性受到破坏就进行报警,并将验证结果形成审计记录送至安全管理中心。第三,通用+ 扩展要求。将云计算、移动互联、物联网、工业控制系统等列入标准规范。在通用要求的基础上叠加相关扩展要求。
具体到测评过程,应该注意以下几个方面,一是测评要求和测评内容增加,等保2.0中虽然表面测评项有所减少,实际上原网络、主机、应用层面的要求均合并至安全计算环境,实际测评对象并未减少,且网络层面扩充为“安全通信网络与安全区域边界”,增加了安全管理中心的要求;二是新标准进一步要求加强问题分析以及渗透性验证测试。三是新标准的测评结论由之前的“符合、基本符合、不符合”三项变为优(90分)、良(80 分)、中(70分)、差(70分以下)四项量化比较成绩,汇总形成教育系统测评得分统计和分析,并通报给有关部门。
建立长效机制确保万无一失
近期教育系统网络安全重点工作是:
1.建立网络安全责任制。切实加强党对网信工作的领导;建立网络安全工作考核机制,将网络安全工作纳入领导干部考核;建立网络安全问责机制,确立了六条问责条款。
2.加快教育系统网络安全标准规范研究与编制。研究制定数据安全相关管理办法、关键信息基础设施识别认定指南和网络安全通报机制管理办法等。
3.推进监测通报机制建设。与教育科研网、高教学会信息化分会、国家有关职能部门、专业安全服机构建立合作,建立网络安全漏洞和威胁共享机制;更新教育系统网络安全工作管理平台,完善信息系统资产管理,实现网络安全监测预警通报自动化,提高教育系统整体安全防护联动处置效率。
4.落实监督检查工作。一是推进网络安全纳入综治考核,二是开展网络安全现场检查,三是加强网络安全通报,四是对网络安全涉事单位和责任人进行监督问责。
5.加强网络安全的宣传教育、人才培养。尽快开展一流网络安全学院建设、网络安全一级学科设立,在网络安全宣传周期间让网络安全意识进校园、进教材、进头脑。
6.部署落实上半年重要时期网络安全保障工作。教育部印发《关于做好2019年上半年重要时期网络安全保障工作的通知》,集中部署春节寒假、全国两会、“一带一路”国际合作峰会论坛、五一假期和高考期间等上半年的重要时期网络安全保障工作,提出了加强网络安全保障工作的组织部署、按需调整重要时期网络防护策略、健全监测预警通报机制、做好网络安全应急响应工作、落实网络安全“零报告”制度等工作要求。
7.开展教育APP专项监测工作。组织开展校园APP专项调研,采取抽样调查问卷和网络爬虫相结合的方式对各级各类学校和教育行政部门的APP进行调研。在此基础上,对教育行政部门和学校主管的298个教育APP进行网络安全监测。监测共发现安全威胁3091个。已将相关安全威胁通报至相关单位,并要求涉事单位进行限期整改。目前,相关安全威胁修复率已达60% 以上。
对高校网络安全工作的建议
1.加强学习,提升网信工作能力。首先是学习习近平总书记网络强国战略思想和关于网信工作的一系列重要论述,这是做好网信工作的首要政治任务和根本措施保障。其次是学习最新的网信理论知识和技术成果,与教育战线需求相结合。再次是学习兄弟单位乃至其他国家的先进经验和成功做法。最后总结以往的工作经验和教训,自己向自己学习,这要成为网信工作的基本“算法”。
2.加强网络安全责任制落实。按照相关要求和量化的考核评分办法,落实网络安全和信息化领导小组和网信办的具体职责、任务。党委(党组)要定期研究部署网络安全工作,分管负责同志至少每季度召开一次会议听取网络安全工作汇报,每年要制定网信领导小组年度工作要点或者网络安全年度工作要点。
3.落实网络安全等级保护制度。全面完成信息系统网络安全等级保护定级备案,定期开展网络安全等级测评(三级系统每年一次,二级系统每两年一次)和安全整改。按照2.0标准,对照落实相关要求。
4.加强网络安全教育培训。对于单位在职全体人员,要开展全面网络安全意识培训,培训时间要满足要求;对于单位信息化管理人员和技术人员,要开展网络安全素养培训,培训时间要满足相关要求;对于系统运维和安全技术人员,要组织参加专业技术培训,获得相关资质证书,全面提升网络安全防范技能和水平。
5.提升数据安全防护能力。要做好数据治理,推进一数一源,制定本单位数据安全管理办法,规范采集、传输、管理和使用。全面采用密码技术,包括加密、签名等,加强重要数据安全保障。
6.开展安全监测和应急演练。日常安全威胁监测要通过配备工具或者购买服务的方式进行,对系统运行安全状态进行实时监测,能够第一时间发现问题。落实《教育系统网络安全应急预案》要求,参照制定/ 修订本单位的预案和具体信息系统的应急预案,定期开展应急演练。有条件的单位开展攻防实战演习。
7.落实重要时期安全保障。首先要提高安全意识,加强统筹部署,安全工作是一项政治性很强的工作,关键时间节点要有不同的措施,确保“万无一失”。其次,优化信息系统和网站服务,区分持续访问、工作时间访问、限制访问、关停等策略。第三,落实“零报告”和7×24小时值守制度。第四,做好监测预警和应急管理,发现问题马上改,发生事件马上报。
(本文根据教育部教育管理信息中心网络安全处处长邵云龙在2019 北京高校信息化工作论坛上的发言整理,整理:王世新)