《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)方案》目標(biāo)是提升安全水平，增強(qiáng)防護(hù)能力，有效防范風(fēng)險(xiǎn)，保障運(yùn)行和數(shù)據(jù)安全。原則是：?jiǎn)栴}導(dǎo)向、突出重點(diǎn)、完善機(jī)制，狠抓落實(shí)。實(shí)施范圍是各級(jí)教育行政部門(mén)及其直屬單位高等學(xué)校。

　　《方案》主要有四大項(xiàng)主要任務(wù)。每一項(xiàng)工作任務(wù)對(duì)應(yīng)不同的工作重點(diǎn)，總共10項(xiàng)：

　　1.治理網(wǎng)站亂象，強(qiáng)化主體責(zé)任--統(tǒng)一標(biāo)識(shí)，信息發(fā)布，域名清理；2.堵塞安全漏洞，增強(qiáng)防護(hù)能力--監(jiān)測(cè)預(yù)警，檢測(cè)風(fēng)險(xiǎn)；3.補(bǔ)齊等保短板，履行安全保護(hù)義務(wù)--定級(jí)備案，測(cè)評(píng)整改；4.規(guī)范安全管理，提升治理水平--數(shù)據(jù)管理，關(guān)鍵設(shè)施，應(yīng)急響應(yīng)。教育部將之歸納為八個(gè)字：治亂、堵漏、補(bǔ)短、規(guī)范。

　　治理網(wǎng)站亂象，強(qiáng)化主體責(zé)任

　　1.統(tǒng)一標(biāo)識(shí)。中央機(jī)構(gòu)編制委員會(huì)和中央網(wǎng)信辦于2014年出臺(tái)“關(guān)于做好黨政機(jī)關(guān)網(wǎng)站開(kāi)辦審核、資格復(fù)核和網(wǎng)站標(biāo)識(shí)管理工作”的通知，要求相關(guān)機(jī)構(gòu)建立黨政機(jī)關(guān)網(wǎng)站標(biāo)識(shí)制度。目前，各級(jí)教育行政部門(mén)和直屬單位還未全部落實(shí)掛標(biāo)工作，此次行動(dòng)要推動(dòng)這些單位掛標(biāo)。

　　2.信息發(fā)布管理。《網(wǎng)絡(luò)安全法》明確個(gè)人信息是指電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人姓名、出生日期、身份證號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。學(xué)校作為網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)認(rèn)真審核數(shù)據(jù)的發(fā)布，不得將涉及個(gè)人隱私的數(shù)據(jù)直接發(fā)布在網(wǎng)上，采取技術(shù)措施和其他必要措施保護(hù)個(gè)人信息。

　　3.網(wǎng)站域名清理。隨著教育信息化的發(fā)展，各級(jí)各類(lèi)學(xué)校逐漸建立學(xué)校自己的門(mén)戶網(wǎng)站。但據(jù)調(diào)查顯示，學(xué)校門(mén)戶網(wǎng)站域名用.cn域名的相對(duì)較少?！耙恍W(xué)校的門(mén)戶網(wǎng)站域名用的是如.me、.cc等五花八門(mén)的域名，不僅影響中國(guó)學(xué)校開(kāi)展國(guó)際交流合作的形象，而且也難以開(kāi)展安全監(jiān)測(cè)，需要研究如何加強(qiáng)管理?！笔嫒A表示。

　　堵塞安全漏洞，增強(qiáng)防護(hù)能力

　　1.安全監(jiān)測(cè)預(yù)警。《網(wǎng)絡(luò)安全法》第五章第五十二條指出，負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(mén)，應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度，并按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。2016年，教育部正式啟動(dòng)安全監(jiān)測(cè)預(yù)警工作，加強(qiáng)與國(guó)家網(wǎng)絡(luò)安全職能部門(mén)的溝通，建立與專業(yè)機(jī)構(gòu)、安全企業(yè)等單位的信息共享合作，逐步形成多層次的、覆蓋全行業(yè)的安全威脅信息共享機(jī)制。采取信息匯聚、核實(shí)、通報(bào)、限時(shí)整改、復(fù)核的工作機(jī)制。監(jiān)測(cè)預(yù)警機(jī)制建立一年來(lái)，共發(fā)現(xiàn)安全威脅近20000個(gè)，修復(fù)率達(dá)到了90%。

　　統(tǒng)計(jì)表明，教育行業(yè)網(wǎng)絡(luò)安全事件，2015年發(fā)生的次數(shù)比2014年小幅上升，2016年比2015年下降了67%。其中一個(gè)重要原因是監(jiān)測(cè)預(yù)警機(jī)制發(fā)揮了很大的作用，特別是.edu.cn域名的網(wǎng)絡(luò)安全事件下降最多。

　　2.檢測(cè)風(fēng)險(xiǎn)。學(xué)校使用的信息系統(tǒng)中有一類(lèi)是具有教育特色的通用軟件，如：學(xué)生管理、教務(wù)管理、財(cái)務(wù)管理系統(tǒng)等。調(diào)研發(fā)現(xiàn)，直接使用通用型軟件及基于通用型軟件的個(gè)性化定制已成為學(xué)校開(kāi)發(fā)系統(tǒng)的主要手段。提供這些通用軟件的企業(yè)相對(duì)集中，加強(qiáng)對(duì)通用軟件的安全審查和全面評(píng)估十分必要，力爭(zhēng)從源頭上降低安全風(fēng)險(xiǎn)。

　　補(bǔ)齊等保短板，履行安全保護(hù)義務(wù)

　　1.網(wǎng)絡(luò)安全等保。舒華介紹說(shuō)，《網(wǎng)絡(luò)安全法》明確提出國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，在原來(lái)的信息安全等級(jí)保護(hù)制度基礎(chǔ)上進(jìn)一步完善，上升到了法律層面，使網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入2.0時(shí)代。網(wǎng)絡(luò)安全等級(jí)保護(hù)包括定級(jí)、備案、測(cè)評(píng)、整改四個(gè)步驟。2015年，教育部和公安部聯(lián)合印發(fā)了《關(guān)于全面推進(jìn)教育行業(yè)信息安全等級(jí)保護(hù)工作的通知》，截至目前，還有一些單位和學(xué)校沒(méi)有完成等級(jí)保護(hù)定級(jí)備案工作。“6月1日《網(wǎng)絡(luò)安全法》將正式實(shí)施，現(xiàn)在不做是違規(guī)，將來(lái)就是違法?！笔嫒A說(shuō)。

　　2.測(cè)評(píng)和整改。每個(gè)信息系統(tǒng)在完成定級(jí)備案保護(hù)后，都應(yīng)按照要求定期開(kāi)展等級(jí)測(cè)評(píng)和整改工作。定級(jí)備案完成并不說(shuō)明網(wǎng)絡(luò)就安全了，只有通過(guò)測(cè)評(píng)整改才能更好地保證系統(tǒng)和網(wǎng)絡(luò)的安全。

　　規(guī)范安全管理，提升治理水平

　　1.數(shù)據(jù)安全。保障信息系統(tǒng)和網(wǎng)絡(luò)的安全，其根本目的是要保障數(shù)據(jù)的安全。教育行業(yè)有大量的師生信息，涉及個(gè)人隱私，保障數(shù)據(jù)安全任務(wù)艱巨。教育部正在制定《教育部教育數(shù)據(jù)管理辦法》，規(guī)范數(shù)據(jù)的采集、傳輸、存儲(chǔ)和開(kāi)放共享。各單位應(yīng)根據(jù)本單位實(shí)際，制定相應(yīng)管理辦法，加強(qiáng)數(shù)據(jù)保護(hù)工作，防止個(gè)人隱私信息泄露。

　　2.關(guān)鍵信息基礎(chǔ)設(shè)施。關(guān)鍵信息基礎(chǔ)設(shè)施是在網(wǎng)絡(luò)安全等級(jí)保護(hù)制定的基礎(chǔ)上對(duì)信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)。目前，各單位都在研究確定關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)范圍。對(duì)教育行業(yè)來(lái)說(shuō)，重要的信息基礎(chǔ)設(shè)施應(yīng)包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施，涉及到考試、招生、學(xué)籍、資助等教育核心業(yè)務(wù)的信息系統(tǒng)，全國(guó)聯(lián)網(wǎng)的信息系統(tǒng)，存儲(chǔ)大量師生數(shù)據(jù)的信息系統(tǒng)。各地各校應(yīng)認(rèn)真梳理，明確本單位的重要信息基礎(chǔ)設(shè)施。

　　3.應(yīng)急響應(yīng)?！毒W(wǎng)絡(luò)安全法》明確負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(mén)應(yīng)當(dāng)制定本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練。教育部正在按照要求研究制定應(yīng)急預(yù)案，各單位也應(yīng)制定本單位的應(yīng)急預(yù)案，出現(xiàn)安全事件及時(shí)響應(yīng)和快速處置。

　　舒華介紹，從今年開(kāi)始，教育部將加強(qiáng)對(duì)地方、學(xué)校的網(wǎng)絡(luò)安全工作的監(jiān)督檢查，把網(wǎng)絡(luò)安全納入校園和周邊綜合治理框架下進(jìn)行考評(píng)，并制定了評(píng)價(jià)指標(biāo)，主要包括網(wǎng)絡(luò)安全通報(bào)機(jī)制、網(wǎng)絡(luò)安全責(zé)任制、等級(jí)保護(hù)定級(jí)備案工作、網(wǎng)絡(luò)安全威脅通報(bào)工作、重要時(shí)期網(wǎng)絡(luò)安全保障工作、網(wǎng)絡(luò)安全事件處置等六個(gè)方面。

　　另外，她提到，并不是發(fā)現(xiàn)的漏洞越多就減分，而是發(fā)現(xiàn)漏洞卻沒(méi)有及時(shí)補(bǔ)漏才減分，也并非發(fā)生了安全事件就減分，而是發(fā)生了安全事件卻不在規(guī)定時(shí)間內(nèi)處置就減分。“這樣的考核是對(duì)管理的考核，因?yàn)榘踩欠啦粍俜赖?，但管理到位可以將安全事件造成的損失控制到最低?！笔嫒A說(shuō)。