解讀《教育行業網絡綜合治理行動方案》

文 /本刊記者 王左利

解讀《教育行業網絡綜合治理行動方案》

文 /本刊記者 王左利

5 月，教育部科技司信息化處調研員舒華在“2017年教育信息化創新論壇”中對教育部正在實施的《教育行業網絡安全綜合治理行動方案》進行了解讀。她將此次行動歸納為八個字：治亂、堵漏、補短、規范。她提到，之所以選擇這些內容重點推進源于問題導向。

《教育行業網絡安全綜合治理行動方案》目標是提升安全水平，增強防護能力，有效防范風險，保障運行和數據安全。原則是：問題導向、突出重點、完善機制，狠抓落實。實施范圍是各級教育行政部門及其直屬單位高等學校。

《方案》主要有四大項主要任務。每一項工作任務對應不同的工作重點，總共10項：

1.治理網站亂象，強化主體責任——統一標識，信息發布，域名清理；2.堵塞安全漏洞，增強防護能力——監測預警，檢測風險；3.補齊等保短板，履行安全保護義務——定級備案，測評整改；4.規范安全管理，提升治理水平——數據管理，關鍵設施，應急響應。教育部將之歸納為八個字：治亂、堵漏、補短、規范。

治理網站亂象，強化主體責任

1.統一標識。中央機構編制委員會和中央網信辦于 2014 年出臺“關于做好黨政機關網站開辦審核、資格復核和網站標識管理工作”的通知，要求相關機構建立黨政機關網站標識制度。目前，各級教育行政部門和直屬單位還未全部落實掛標工作，此次行動要推動這些單位掛標。

2.信息發布管理。《網絡安全法》明確個人信息是指電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人姓名、出生日期、身份證號碼、個人生物識別信息、住址、電話號碼等。學校作為網絡運營者應當認真審核數據的發布，不得將涉及個人隱私的數據直接發布在網上，采取技術措施和其他必要措施保護個人信息。

圖1 2014 年 ～2016 年教育機構安全事件統計

3.網站域名清理。隨著教育信息化的發展，各級各類學校逐漸建立學校自己的門戶網站。但據調查顯示，學校門戶網站域名用 .cn 域名的相對較少。“一些學校的門戶網站域名用的是如 .me、.cc 等五花八門的域名，不僅影響中國學校開展國際交流合作的形象，而且也難以開展安全監測，需要研究如何加強管理。”舒華表示。

堵塞安全漏洞，增強防護能力

1.安全監測預警。《網絡安全法》第五章第五十二條指出，負責關鍵信息基礎設施安全保護工作的部門，應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，并按照規定報送網絡安全監測預警信息。2016 年，教育部正式啟動安全監測預警工作，加強與國家網絡安全職能部門的溝通，建立與專業機構、安全企業等單位的信息共享合作，逐步形成多層次的、覆蓋全行業的安全威脅信息共享機制。采取信息匯聚、核實、通報、限時整改、復核的工作機制。監測預警機制建立一年來，共發現安全威脅近20000 個，修復率達到了 90%。

統計表明，教育行業網絡安全事件，2015 年發生的次數比 2014 年小幅上升，2016 年比 2015 年下降了67%。其中一個重要原因是監測預警機制發揮了很大的作用，特別是 .edu.cn 域名的網絡安全事件下降最多。

2.檢測風險。學校使用的信息系統中有一類是具有教育特色的通用軟件，如：學生管理、教務管理、財務管理系統等。調研發現，直接使用通用型軟件及基于通用型軟件的個性化定制已成為學校開發系統的主要手段。提供這些通用軟件的企業相對集中，加強對通用軟件的安全審查和全面評估十分必要，力爭從源頭上降低安全風險。

補齊等保短板，履行安全保護義務

1.網絡安全等保。舒華介紹說，《網絡安全法》明確提出國家實行網絡安全等級保護制度，在原來的信息安全等級保護制度基礎上進一步完善，上升到了法律層面，使網絡安全等級保護進入 2.0 時代。網絡安全等級保護包括定級、備案、測評、整改四個步驟。2015 年，教育部和公安部聯合印發了《關于全面推進教育行業信息安全等級保護工作的通知》，截至目前，還有一些單位和學校沒有完成等級保護定級備案工作。“6月1日《網絡安全法》將正式實施，現在不做是違規，將來就是違法。”舒華說。

2.測評和整改。每個信息系統在完成定級備案保護后，都應按照要求定期開展等級測評和整改工作。定級備案完成并不說明網絡就安全了，只有通過測評整改才能更好地保證系統和網絡的安全。

規范安全管理，提升治理水平

1.數據安全。保障信息系統和網絡的安全，其根本目的是要保障數據的安全。教育行業有大量的師生信息，涉及個人隱私，保障數據安全任務艱巨。教育部正在制定《教育部教育數據管理辦法》，規范數據的采集、傳輸、存儲和開放共享。各單位應根據本單位實際，制定相應管理辦法，加強數據保護工作，防止個人隱私信息泄露。

2.關鍵信息基礎設施。關鍵信息基礎設施是在網絡安全等級保護制定的基礎上對信息基礎設施實行重點保護。目前，各單位都在研究確定關鍵信息基礎設施的保護范圍。對教育行業來說，重要的信息基礎設施應包括網絡基礎設施，涉及到考試、招生、學籍、資助等教育核心業務的信息系統，全國聯網的信息系統，存儲大量師生數據的信息系統。各地各校應認真梳理，明確本單位的重要信息基礎設施。

3.應急響應。《網絡安全法》明確負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網絡安全事件應急預案，并定期組織演練。教育部正在按照要求研究制定應急預案，各單位也應制定本單位的應急預案，出現安全事件及時響應和快速處置。

舒華介紹，從今年開始，教育部將加強對地方、學校的網絡安全工作的監督檢查，把網絡安全納入校園和周邊綜合治理框架下進行考評，并制定了評價指標，主要包括網絡安全通報機制、網絡安全責任制、等級保護定級備案工作、網絡安全威脅通報工作、重要時期網絡安全保障工作、網絡安全事件處置等六個方面。

另外，她提到，并不是發現的漏洞越多就減分，而是發現漏洞卻沒有及時補漏才減分，也并非發生了安全事件就減分，而是發生了安全事件卻不在規定時間內處置就減分。“這樣的考核是對管理的考核，因為安全是防不勝防的，但管理到位可以將安全事件造成的損失控制到最低。” 舒華說。

教育部對教育行業網絡信息安全的工作要求

1提高思想認識，加強組織領導

認真學習貫徹《中華人民共和國網絡安全法》

將工作納入重要議事日程予以部署

明確主管領導、牽頭部門和責任人

提供必要工作保障

2加強協調配合，形成工作合力

與網絡安全職能部門溝通配合

探索與專業機構、企業建立合作機制

3加強監督檢查，完善通報機制

教育信息化月報通報進展情況

納入校園及周邊治安綜合治理工作考核評價

納入學校安全生產大檢查、開學檢查等

4開展宣傳教育，提升安全意識

面向網絡安全管理人員和技術人員開展專題培訓

利用新生入學教育、網絡安全宣傳周等契機

提高師生網絡安全意識和素養