解讀《教育行業(yè)網(wǎng)絡(luò)綜合治理行動(dòng)方案》
《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)方案》目標(biāo)是提升安全水平,增強(qiáng)防護(hù)能力,有效防范風(fēng)險(xiǎn),保障運(yùn)行和數(shù)據(jù)安全。原則是:?jiǎn)栴}導(dǎo)向、突出重點(diǎn)、完善機(jī)制,狠抓落實(shí)。實(shí)施范圍是各級(jí)教育行政部門(mén)及其直屬單位高等學(xué)校。
《方案》主要有四大項(xiàng)主要任務(wù)。每一項(xiàng)工作任務(wù)對(duì)應(yīng)不同的工作重點(diǎn),總共10項(xiàng):
1.治理網(wǎng)站亂象,強(qiáng)化主體責(zé)任--統(tǒng)一標(biāo)識(shí),信息發(fā)布,域名清理;2.堵塞安全漏洞,增強(qiáng)防護(hù)能力--監(jiān)測(cè)預(yù)警,檢測(cè)風(fēng)險(xiǎn);3.補(bǔ)齊等保短板,履行安全保護(hù)義務(wù)--定級(jí)備案,測(cè)評(píng)整改;4.規(guī)范安全管理,提升治理水平--數(shù)據(jù)管理,關(guān)鍵設(shè)施,應(yīng)急響應(yīng)。教育部將之歸納為八個(gè)字:治亂、堵漏、補(bǔ)短、規(guī)范。
治理網(wǎng)站亂象,強(qiáng)化主體責(zé)任
1.統(tǒng)一標(biāo)識(shí)。中央機(jī)構(gòu)編制委員會(huì)和中央網(wǎng)信辦于2014年出臺(tái)“關(guān)于做好黨政機(jī)關(guān)網(wǎng)站開(kāi)辦審核、資格復(fù)核和網(wǎng)站標(biāo)識(shí)管理工作”的通知,要求相關(guān)機(jī)構(gòu)建立黨政機(jī)關(guān)網(wǎng)站標(biāo)識(shí)制度。目前,各級(jí)教育行政部門(mén)和直屬單位還未全部落實(shí)掛標(biāo)工作,此次行動(dòng)要推動(dòng)這些單位掛標(biāo)。
2.信息發(fā)布管理。《網(wǎng)絡(luò)安全法》明確個(gè)人信息是指電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人姓名、出生日期、身份證號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。學(xué)校作為網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)認(rèn)真審核數(shù)據(jù)的發(fā)布,不得將涉及個(gè)人隱私的數(shù)據(jù)直接發(fā)布在網(wǎng)上,采取技術(shù)措施和其他必要措施保護(hù)個(gè)人信息。
3.網(wǎng)站域名清理。隨著教育信息化的發(fā)展,各級(jí)各類(lèi)學(xué)校逐漸建立學(xué)校自己的門(mén)戶網(wǎng)站。但據(jù)調(diào)查顯示,學(xué)校門(mén)戶網(wǎng)站域名用.cn域名的相對(duì)較少?!耙恍W(xué)校的門(mén)戶網(wǎng)站域名用的是如.me、.cc等五花八門(mén)的域名,不僅影響中國(guó)學(xué)校開(kāi)展國(guó)際交流合作的形象,而且也難以開(kāi)展安全監(jiān)測(cè),需要研究如何加強(qiáng)管理?!笔嫒A表示。
堵塞安全漏洞,增強(qiáng)防護(hù)能力
1.安全監(jiān)測(cè)預(yù)警。《網(wǎng)絡(luò)安全法》第五章第五十二條指出,負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(mén),應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,并按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。2016年,教育部正式啟動(dòng)安全監(jiān)測(cè)預(yù)警工作,加強(qiáng)與國(guó)家網(wǎng)絡(luò)安全職能部門(mén)的溝通,建立與專業(yè)機(jī)構(gòu)、安全企業(yè)等單位的信息共享合作,逐步形成多層次的、覆蓋全行業(yè)的安全威脅信息共享機(jī)制。采取信息匯聚、核實(shí)、通報(bào)、限時(shí)整改、復(fù)核的工作機(jī)制。監(jiān)測(cè)預(yù)警機(jī)制建立一年來(lái),共發(fā)現(xiàn)安全威脅近20000個(gè),修復(fù)率達(dá)到了90%。
統(tǒng)計(jì)表明,教育行業(yè)網(wǎng)絡(luò)安全事件,2015年發(fā)生的次數(shù)比2014年小幅上升,2016年比2015年下降了67%。其中一個(gè)重要原因是監(jiān)測(cè)預(yù)警機(jī)制發(fā)揮了很大的作用,特別是.edu.cn域名的網(wǎng)絡(luò)安全事件下降最多。
2.檢測(cè)風(fēng)險(xiǎn)。學(xué)校使用的信息系統(tǒng)中有一類(lèi)是具有教育特色的通用軟件,如:學(xué)生管理、教務(wù)管理、財(cái)務(wù)管理系統(tǒng)等。調(diào)研發(fā)現(xiàn),直接使用通用型軟件及基于通用型軟件的個(gè)性化定制已成為學(xué)校開(kāi)發(fā)系統(tǒng)的主要手段。提供這些通用軟件的企業(yè)相對(duì)集中,加強(qiáng)對(duì)通用軟件的安全審查和全面評(píng)估十分必要,力爭(zhēng)從源頭上降低安全風(fēng)險(xiǎn)。
補(bǔ)齊等保短板,履行安全保護(hù)義務(wù)
1.網(wǎng)絡(luò)安全等保。舒華介紹說(shuō),《網(wǎng)絡(luò)安全法》明確提出國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,在原來(lái)的信息安全等級(jí)保護(hù)制度基礎(chǔ)上進(jìn)一步完善,上升到了法律層面,使網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入2.0時(shí)代。網(wǎng)絡(luò)安全等級(jí)保護(hù)包括定級(jí)、備案、測(cè)評(píng)、整改四個(gè)步驟。2015年,教育部和公安部聯(lián)合印發(fā)了《關(guān)于全面推進(jìn)教育行業(yè)信息安全等級(jí)保護(hù)工作的通知》,截至目前,還有一些單位和學(xué)校沒(méi)有完成等級(jí)保護(hù)定級(jí)備案工作。“6月1日《網(wǎng)絡(luò)安全法》將正式實(shí)施,現(xiàn)在不做是違規(guī),將來(lái)就是違法?!笔嫒A說(shuō)。
2.測(cè)評(píng)和整改。每個(gè)信息系統(tǒng)在完成定級(jí)備案保護(hù)后,都應(yīng)按照要求定期開(kāi)展等級(jí)測(cè)評(píng)和整改工作。定級(jí)備案完成并不說(shuō)明網(wǎng)絡(luò)就安全了,只有通過(guò)測(cè)評(píng)整改才能更好地保證系統(tǒng)和網(wǎng)絡(luò)的安全。
規(guī)范安全管理,提升治理水平
1.數(shù)據(jù)安全。保障信息系統(tǒng)和網(wǎng)絡(luò)的安全,其根本目的是要保障數(shù)據(jù)的安全。教育行業(yè)有大量的師生信息,涉及個(gè)人隱私,保障數(shù)據(jù)安全任務(wù)艱巨。教育部正在制定《教育部教育數(shù)據(jù)管理辦法》,規(guī)范數(shù)據(jù)的采集、傳輸、存儲(chǔ)和開(kāi)放共享。各單位應(yīng)根據(jù)本單位實(shí)際,制定相應(yīng)管理辦法,加強(qiáng)數(shù)據(jù)保護(hù)工作,防止個(gè)人隱私信息泄露。
2.關(guān)鍵信息基礎(chǔ)設(shè)施。關(guān)鍵信息基礎(chǔ)設(shè)施是在網(wǎng)絡(luò)安全等級(jí)保護(hù)制定的基礎(chǔ)上對(duì)信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)。目前,各單位都在研究確定關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)范圍。對(duì)教育行業(yè)來(lái)說(shuō),重要的信息基礎(chǔ)設(shè)施應(yīng)包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施,涉及到考試、招生、學(xué)籍、資助等教育核心業(yè)務(wù)的信息系統(tǒng),全國(guó)聯(lián)網(wǎng)的信息系統(tǒng),存儲(chǔ)大量師生數(shù)據(jù)的信息系統(tǒng)。各地各校應(yīng)認(rèn)真梳理,明確本單位的重要信息基礎(chǔ)設(shè)施。
3.應(yīng)急響應(yīng)?!毒W(wǎng)絡(luò)安全法》明確負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(mén)應(yīng)當(dāng)制定本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期組織演練。教育部正在按照要求研究制定應(yīng)急預(yù)案,各單位也應(yīng)制定本單位的應(yīng)急預(yù)案,出現(xiàn)安全事件及時(shí)響應(yīng)和快速處置。
舒華介紹,從今年開(kāi)始,教育部將加強(qiáng)對(duì)地方、學(xué)校的網(wǎng)絡(luò)安全工作的監(jiān)督檢查,把網(wǎng)絡(luò)安全納入校園和周邊綜合治理框架下進(jìn)行考評(píng),并制定了評(píng)價(jià)指標(biāo),主要包括網(wǎng)絡(luò)安全通報(bào)機(jī)制、網(wǎng)絡(luò)安全責(zé)任制、等級(jí)保護(hù)定級(jí)備案工作、網(wǎng)絡(luò)安全威脅通報(bào)工作、重要時(shí)期網(wǎng)絡(luò)安全保障工作、網(wǎng)絡(luò)安全事件處置等六個(gè)方面。
另外,她提到,并不是發(fā)現(xiàn)的漏洞越多就減分,而是發(fā)現(xiàn)漏洞卻沒(méi)有及時(shí)補(bǔ)漏才減分,也并非發(fā)生了安全事件就減分,而是發(fā)生了安全事件卻不在規(guī)定時(shí)間內(nèi)處置就減分。“這樣的考核是對(duì)管理的考核,因?yàn)榘踩欠啦粍俜赖?,但管理到位可以將安全事件造成的損失控制到最低?!笔嫒A說(shuō)。