數字化轉型背景下教育系統網絡安全研究

摘" "要：網絡安全牽一發而動全身，沒有網絡安全就沒有國家安全。當前，我國正在實施教育數字化戰略行動，工作推進要求之一便是“安全運行”、構建可持續的網絡安全防護體系。介紹教育數字化戰略行動的相關背景，論述保障教育網絡安全的重要意義，針對學校網絡安全保障體系的構建和完善，從網絡安全管理、網絡安全技術、網絡安全運維三方面提出對策建議，具體包括：統籌網絡安全頂層設計、完善數據安全制度、強化網絡安全教育、建好網絡安全管理體系；補全網絡安全技術短板、提高主動防御能力，重點聚焦保護、檢測以及響應能力，積極采納零信任架構、啞終端網絡安全、身份管理控制、密碼服務、網絡安全態勢感知、托管式安全運營服務等技術解決方案，建好網絡安全技術體系；建設網絡安全運行隊伍、增強攻防實戰能力、建好網絡安全運維體系等。教育系統要持續強化教育網絡安全保障體系建設，不斷增強維護教育網絡安全能力，提高教育網絡安全治理水平，筑牢教育網絡安全屏障。

關鍵詞：教育數字化；網絡安全；數據安全；教育系統；網絡安全保障體系

中圖分類號：G434" " " " "文獻標志碼：A" " " " "文章編號：1673-8454（2024）02-0035-13

DOI：10.3969/j.issn.1673-8454.2024.02.004

作者簡介：魏順平，中央民族大學教育學院教授，博士（北京 100081）；邵云龍，通訊作者，教育部教育管理信息中心工程師（北京 100816）；楊德全，北京理工大學網絡信息技術中心助理研究員，博士（北京 100081）

基金項目：國家自然科學基金2022年面上項目“教育信息化戰略對民族地區義務教育優質均衡的影響研究”（編號：72274234）

一、引言

黨的二十大報告提出，推進教育數字化。[1]這是在數字中國、數字經濟建設背景下對發展數字教育提出的新要求、作出的新部署，數字教育是“數字中國”的一個重要組成部分?！督逃?022年工作要點》明確提出，實施教育數字化戰略行動。[2]2022年7月，教育部部長懷進鵬在為教育部直屬機關全體黨員干部講授專題黨課教育時指出，要圍繞數字中國建設，以更為長遠的眼光，加快實施教育數字化戰略行動，打造教育的中國范式，提升高質量開放與合作的能力。[3]國家教育數字化戰略行動以“聯結為先、內容為本、合作為要”（Connection， Content， Cooperation）的3C戰略思路，科學構建國家智慧教育公共服務平臺體系、全面提升優質資源服務供給能力、強化智慧教育平臺技術支撐保障、積極推動國際數字教育交流合作，將數字資源的靜態勢能轉化為教育改革的強大動能，積極探索智慧教育新理念、新理論、新路徑、新實踐，助力實現更加公平、更高質量的教育。

2022年2月，懷進鵬主持教育部黨組理論學習中心組集體學習暨教育信息化首場輔導報告會，提出要牢牢把握“方法重于技術、組織制度創新重于技術創新”的工作理念，按照“應用為王、服務至上、示范引領、安全運行”的工作要求和思路一體化推進建設與應用，要以標準安全運行保障為支撐，筑牢數據安全底線，探索創造富有中國特色的教育數字化治理標準，構建可持續的數據安全防護體系。[4]這充分說明網絡安全保障對推進教育數字化戰略的重要意義。

二、保障教育網絡安全的緣由

在黨的二十大報告中，“安全”出現91次，“國家安全”出現29次，有專章“十一、推進國家安全體系和能力現代化，堅決維護國家安全和社會穩定”闡述安全工作，并指出“強化經濟、重大基礎設施、金融、網絡、數據、生物、資源、核、太空、海洋等安全保障體系建設”，這里專門提到“網絡安全保障體系建設”。

網絡安全牽一發而動全身，深刻影響政治、經濟、文化、社會、軍事等各個領域的安全。沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。有學者認為，網絡安全問題已成為影響經濟發展的主陣地、影響政治安全的敲門磚，以及影響軍事安全的殺手锏。[5]2020年以來新冠疫情所致遠程辦公和云端遷移潮，在各國及各行各業對遠程工作、網上學習、網絡服務依賴逐步擴大的影響下，為網絡攻擊開辟新的途徑。在日益不穩定的全球網絡安全格局中，大規模、有針對性的網絡攻擊大幅增加，數據泄露、勒索軟件、安全漏洞、網絡釣魚、人為錯誤操作問題和事件急劇上升，對公眾民生和社會治理穩定帶來巨大影響。

我們已經實現第一個百年奮斗目標，在中華大地上全面建成小康社會，歷史性地解決絕對貧困問題，正意氣風發向全面建成社會主義現代化強國的第二個百年奮斗目標邁進。展望2035年，我國將建成文化強國、教育強國、人才強國、體育強國、健康中國，國民素質和社會文明程度達到新高度，國家文化軟實力顯著增強。在建設教育強國的進程中，我們必須統籌發展和安全、統籌教育信息化和網絡安全，為建設高質量教育體系提供網絡安全保障。

我國政府和教育系統高度重視教育數字化和網絡安全，把信息化、數字化作為建設高質量教育體系的關鍵領域。我國是一個教育大國，截止到2022年底，全國共有各級各類學校51.85萬所，各級各類學歷教育在校生2.93億人，專任教師1，880.36萬人。[6]在實現從教育大國向教育強國跨越的偉大進程中，教育信息化發揮基礎性和帶動性作用。“十三五”以來，教育信息化工作得到黨中央、國務院的高度重視，教育部加強統籌部署，截止到2020年底，各級各類學校實現網絡接入率接近100%，超過95%的中小學擁有多媒體教室，超過65%的學校實現所有教室接入數字教育資源，開通網絡學習空間的學生、教師，分別占全體學生和教師數量的47.3%、66.4%以上，超過78%的中小學教師利用信息技術開展教學活動。全國2，000多所高校已全部通過校園網接入高速互聯網，90%以上的高校校園網主干帶寬達到千兆級及以上水平，雙一流高校校園網帶寬平均達到13Gbps，其中63%的高校實現IPv6接入，網絡環境成為高等學校教學、管理服務、科研活動平臺支撐的關鍵設施。教育信息化關鍵工程如“三通兩平臺”各項目標任務圓滿完成，“八大行動”全面推進，教育部以建設國家智慧教育公共服務平臺為抓手，加快推進教育數字化轉型和智能升級，我國教育數字化事業呈現出應用深化不斷加速、創新案例競相涌現、治理能力顯著提升的良好局面。教育數字化建設同時給教育系統帶來巨大的信息資產，具體表現為硬件設備多、信息系統多和數據資源多，這些信息資產背后則是對應的安全隱患。

教育部擁有12個國家關鍵信息基礎設施，存儲數以億計的敏感個人信息。教育系統的網絡安全關系廣大師生家長的切身利益，甚至關系社會穩定和國家安全。然而，廣大師生的網絡安全意識教育未得到普遍重視，關鍵教育教學網絡與信息系統安全內部漏洞、外部威脅廣泛存在，網絡安全防護能力仍有短板：教育數字化覆蓋人口多，容易形成意識形態問題；教育領域信息系統多，容易帶來系統攻擊和被篡改；教育領域數據資源多，容易造成數據泄露。教育系統網絡安全形勢嚴峻，安全事件不斷出現，涉及數據主權、內容安全、個人信息、網課爆破、網頁篡改等。例如，考上大學的高中生因個人信息泄露、電信精準詐騙導致死亡，考試機構因受攻擊而無法提供服務，大批量學生數據在暗網上販賣，中學教師疑因上網課時遭受“網絡爆破”后在家中猝死等。因此，我們一方面要大力推進教育數字化，為加快發展面向每個人、適合每個人、更加開放靈活的教育體系賦能；另一方面要不斷加強教育機構網絡安全工作，以保衛教育數字化成果，保障教育教學、管理、公共服務體系穩定運行。

習近平總書記在中央網絡安全和信息化領導小組第一次會議上的講話中指出，沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。[7]網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施。做好網絡安全和信息化工作，要處理好安全和發展的關系，做到協調一致、齊頭并進，以安全保發展、以發展促安全，努力建久安之勢、成長治之業。宋瑞娟（2021）認為應從機制、戰略、產業、技術、觀念五個層面構建網絡安全治理能力的提升路徑，具體包括促進多方協同合作、推動大數據戰略發展、建立網絡安全產業體系、注重科技創新和應用、加強網絡安全意識的培養等。[8]有學者基于《2021地平線報告（信息安全版）》得出我國高校應對信息安全挑戰的有益啟示：加快頂層框架設計，完善職能部門權責；利用技術制約效應，建立自評自測體系；探索校企聯防機制，嚴守數據安全紅線；普及技術倫理教育，踐行信息安防行為。[9]

基于上述要求和觀點，本文提出我國教育系統及各級各類學校需構建和完善網絡安全保障體系。網絡安全保障體系包括管理體系、技術體系、運維體系等三大部分，如圖1所示。其中，安全管理體系包括安全規劃、安全制度建設、安全評估、安全審計、應急響應、安全培訓等方面，安全技術體系包括監測與識別、安全防護、審計與恢復等方面，安全運維體系包括運維制度建設、運維人員管理、安全監控、安全預警、安全響應、應急演練、重要保障時期值守等方面。

三、 保障教育網絡安全的對策建議

鑒于保障教育網絡安全意義重大，下面從建好網絡安全管理體系、網絡安全技術體系、網絡安全運維體系三方面提出對策建議，具體包括統籌網絡安全頂層設計、完善數據安全制度、強化網絡安全教育，補全網絡安全技術短板、提高主動防御能力，建設網絡安全運行隊伍、增強攻防實戰能力。

（一）網絡安全管理體系建設持續完善

網絡安全管理是體系框架的上層基礎，對網絡安全保障至關重要，從網絡安全政策、標準、人員、意識、職責等方面保證網絡安全運行的順利進行。這里重點論述三方面的內容，即統籌網絡安全頂層設計、加快跟進數據安全法的實施細節、不斷強化面向廣大師生的網絡安全教育。

1.在信息化建設中統籌網絡安全頂層設計

加強頂層設計，明確網絡安全目標。網絡安全工作是“一把手”工程，各院校應嚴格按照《黨委（黨組）網絡安全工作責任制實施辦法》由“一把手”牽頭，落實好“黨管網絡”。校園網絡和企業網絡有明顯的區別，教育系統的特殊性決定其網絡安全管理的目標有別于其它行業，各院校應充分識別單位內部與外部存在的網絡安全風險，如重要科研數據、學生個人信息、辦公網絡、通信鏈路等存在的安全風險。圍繞重要的保護對象制定網絡安全目標，開展網絡安全管理工作，構建完善的網絡安全管理體系。建立由院校主要領導參與的網絡安全組織機構，定期組織網絡安全溝通協調會議，以信息部門為網絡安全工作開展的核心部門，積極推動網絡安全各項工作開展，落實各相關部門網絡安全職責，針對網絡安全日常工作和重大事項形成常態化的匯報機制，使院校主要領導了解網絡安全開展的必要性及其為校園網絡安全穩定運行帶來的積極作用，從而推動網絡安全工作的順利開展。

明確網絡安全職責分工。明確網絡安全職能部門及負責人崗位，建立有效制度文件說明。設立系統管理員、網絡管理員、安全管理員、數據管理員等崗位，定義各個工作崗位的職責，做到專崗專用，尤其是安全管理員不得兼任。形成一定數量的管理員規模，關鍵技術崗位設立A、B崗，網絡安全工作落實到每個細節。建議合理劃分管理員權限系統：系統管理員具有系統監控、網絡配置、系統管理等權限，審計管理員具有系統監控、應用分析、權限配置等權限，安全管理員具有系統監控、應用分析、數據管理（除配置日志、系統日志）、安全策略配置等權限。

建立可操作的安全規范。結合日常運維的場景，完善網絡安全管理制度，覆蓋巡檢管理、變更管理、配置管理、漏洞管理、事件管理等多方面的操作規程。加強與安全廠商、專業運維公司的合作與交流，在交付驗收時要求服務商提供系統安全運維操作手冊、設備操作手冊、日常維護操作手冊等規范文件。

加大網絡安全經費投入。安全工作不能僅靠制度和設計，還需要落地。落地就是在人、財、物等方面進行有效保障。近年來，我國在網絡安全領域的投入占信息化總體投入的比例較低，且各學校每年投入波動較大，尤其是在人員和管理提升方面的投入嚴重不足，導致網絡安全、數據安全等工作無法持續改進。建議教育機構根據自身情況設定每年網絡安全、數據安全投入閾值（建議不低于每年信息化投入的5%），有力保障硬件、軟件、服務等方面的持續優化提升，降低各單位安全穩定運行風險。

2.持續加強數據安全管理和師生個人信息保護

目前，我國高校信息安全領域也面臨諸多風險與挑戰，如數據采集過程中的合法性和真實合理性問題、數據存儲和共享過程中的泄露問題，以及數據分析與應用中的價值倫理取向問題等。[10]教育系統可從以下四個方面加強數據安全管理和師生個人信息保護工作。

加強數據安全制度建設。教育行政部門和學校應制定本單位的數據安全管理辦法，規范數據分類分級，明確數據安全防護措施。將數據泄露、破壞等數據安全事件納入本單位網絡安全事件應急預案中，明確處置措施。結合教育系統實際，組織制定并適時修訂數據開發利用技術和數據安全相關標準規范。開展數據安全能力評估，推動數據治理標準化、制度化、規范化。

做好數據資產梳理，建立數據共享平臺，以利用促安全。統籌發展和安全，堅持以數據開發利用和事業發展促進數據安全，以數據安全保障數據開發利用和事業發展。明確數據資產梳理、數據分級分類，以及最小權限策略落實等有效治理原則，落實數據流轉過程的全生命周期的追蹤，在數據產生、數據傳輸、數據存儲、數據銷毀等方面嚴格落實《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等相關規定，促進數據的安全有效使用。數據分類標準要考慮數據本身價值、數據敏感性、數據的危險程度等因素，全面分類管理，嚴格把控關鍵從業人員的職業能力門檻。

提升數據安全防護水平。教育行政部門和學校應嚴格遵從數據安全和個人信息保護相關法律法規明確的防護要求，按照網絡安全等級保護要求落實數據安全保障措施，提升防入侵、防泄漏、防濫用、防竊取能力。加強對數據安全工作的經費支持，保障數據分級分類、安全評估、安全防護等重點任務開展。支持優先使用自主可控的軟硬件設備和密碼技術，保障教育系統數據安全。鼓勵利用大數據、區塊鏈、人工智能、可信計算、聯邦學習、差分隱私技術等新技術新應用，提升數據安全保障水平。從數據完整性、數據保密性、數據備份和恢復三個技術層面加強對數據的安全防護。

健全個人信息保護制度，嚴格保護敏感個人信息。教育行政部門和學校應提高個人信息保護意識，充分尊重師生、家長的知情權和決定權；收集處理個人信息應以顯著方式、清晰易懂的語言展示收集處理原則，并經個人信息主體同意后方可實施；利用個人信息進行自動化決策，應當保證決策的透明度和處理結果的公平合理；存儲傳輸個人信息應采取加密措施，公開個人信息應采取去標識化處理；對不滿十四周歲的兒童信息實施特殊保障，在采集、使用、共享、發布時要有更加嚴格的要求。種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬號、個人行蹤等信息屬于敏感個人信息；收集處理敏感個人信息應對必要性、科學性、倫理性進行論證；實施時應取得個人信息主體的單獨同意；鼓勵基于人口庫等權威數據源，以“用而不存”的方式處理敏感個人信息。

3.不斷強化面向廣大師生的網絡安全教育

加強高校網絡安全教育事關國家網絡安全防線，事關國家意識形態安全，事關高校立德樹人根本任務，具有重要意義，然而，當前高校網絡安全教育所面臨的困境具體表現為邊緣化、形式化和碎片化。[11]

對標國家安全教育對“網絡安全”的要求，強化教育系統用戶的網絡安全意識教育，引導廣大師生自覺維護國家在網絡空間的主權、安全和發展利益，促進師生理性認識網絡空間，合理合法利用網絡，依法上網、文明上網、安全上網，自覺保護個人權益和國家利益。學校應積極組織豐富多彩的網絡安全進校園活動，包括依托網絡媒體普及網絡安全知識，開展系列網絡安全講座和展出活動，舉辦網絡安全沙龍、網絡安全作品展、網絡安全教育主題班會，通過各級團學組織深入學生宿舍、教室等場所進行網絡安全知識普及宣傳，組織青年志愿者深入師生生活園區宣講網絡安全知識，邀請公安系統、安全企業等單位專家現身說法，普及網絡安全知識，結合近期熱點涉網案件對師生進行警示教育，借助微信公眾號推出網絡安全教育專欄，與師生分享預防網絡詐騙技能，等等。對學生開展課程教育或者是開設專門的課程，將網絡安全納入學校教育教學內容，例如，增加學生各種數據隱私保護意識提升和權利維護的有效途徑，將與安全性、隱私權相關的主題，以及倫理學融入人工智能、機器學習、計算機科學、數據科學的教學內容中，并注重因材施教，具體措施包括通過學校慕課、電子課堂、網絡教學平臺等，以視頻課程、PPT等方式為學生提供網絡安全知識與技能教學服務，鼓勵廣大學生積極踐行網絡安全保護。[12]

（二）網絡安全技術體系迭代升級

網絡安全技術提供網絡安全運行需要的基礎服務和基礎設施的及時支持。先進完善的網絡安全技術可以極大提高網絡安全運作的有效性，從而達到網絡安全保障體系的目標，實現整個生命周期的風險防范和控制。較為經典的網絡安全技術體系模型是美國國家標準與技術研究院（National Institute of Standards and Technology， NIST）提出的IPDRR模型[13]，該模型包括識別（Identify）、保護（Protect）、檢測（Detect）、響應（Response）和恢復（Recovery）五大能力，如圖2所示。其中，識別功能包括資產管理、業務環境、治理、風險評估、風險管理策略、供應鏈風險管理等；保護功能涵蓋開發和實施適當的保障措施，以及保護關鍵基礎架構的許多技術和物理安全控制；檢測功能實施向組織發出網絡攻擊警報的措施；響應功能可確保對網絡攻擊和其他網絡安全事件做出適當的響應；恢復功能包括恢復計劃改進和通信。

針對學校網絡安全的常見技術短板，結合當前網絡安全的最新技術，重點聚焦保護、檢測以及響應能力，具體包括零信任架構、啞終端網絡安全、身份管理控制、密碼服務、網絡安全態勢感知、托管式安全運營服務等技術解決方案。

1.零信任網絡安全認證架構

隨著學校信息化和智慧校園建設的持續推進，學校對內和對外的教學、科研和管理的業務系統豐富多樣，C/S業務逐步減少，B/S、APP、H5等業務逐漸增多。為了校園各項業務的順利開展，學校不僅需要滿足師生在校內辦公和訪問的需求，還需要實現師生在校外可遠程進行辦公、教學和科研。與此同時，由于需要接入校園業務進行訪問的用戶人員類型不同、權限不一、設備終端多樣、接入地點隨機變化，以及網絡環境差異大等因素的影響，傳統的VPN/WEB VPN等解決方式在安全防護方面存在較大的隱患，例如，業務系統對外暴露面過大、弱密碼、訪問權限固化，以及接入點多樣缺乏動態行為管控等，從而導致部分院校內網被攻破、數據外泄、系統被破壞等嚴重后果。

應對這一挑戰，“零信任”架構應運而生。該架構的核心邏輯是統籌身份鑒別、訪問控制和流量監控三個要素，以身份為基礎構建的訪問控制體系，訪問主體客體之間的聯系嚴格遵循最小權限原則，實現更高級別的網絡安全防御體系。在滿足業務安全性防護的基礎上做到訪問和管理的便捷性，結合當前國內外最新的安全建設理念和架構實踐應用，可通過基于零信任的理念和SDP（Software Defined Perimeter，軟件定義邊界）架構設計校園接入的整體體系。具有一定代表性的面向“遠程訪問全過程”的安全風險管控體系如圖3所示。

2.啞終端網絡安全

啞終端（dumb terminal），又稱字符終端，其只有輸入輸出字符的功能，沒有處理器或硬盤，通過串行接口聯接主機，一切工作都要交給主機來做。當前，學校擁有大量的啞終端設備，如攝像頭、觸摸屏、LED大屏等，這些設備存在較大的安全隱患。啞終端網絡安全改變傳統的外掛安全的思路，將安全能力內置在網絡設備，通過網絡與安全的協同實現啞終端仿冒私接等威脅檢測，通過主動探測和被動采集功能對終端進行資產識別協同控制面完成資產管理，通過采集流量特征并進行統計與控制面共同完成資產異常檢測，通過授權策略、強制下線、ACL配置、端口shutdown、MAC黑名單等方式對異常終端進行隔離或阻斷，通過啞終端網絡行為分析進行異常檢測。具有一定代表性的啞終端整體方案架構如圖4所示。

3.身份識別和訪問管理

隨著學校IT基礎設施及數據中心設備越來越多，網絡設備、操作系統、中間件、重要應用系統等登錄賬號共享情況比較普遍，甚至還包括離校教師、運維人員，通常一個賬號多人共同使用，導致發生安全事件后難以定責。且靜態口令容易被獲取和暴力破解。一般數據中心的賬號密碼是由IT運維人員或者開發人員手工創建的，為了能夠應對緊急情況，口令強度通常設置較低。通常情況下組織會通過堡壘機對運維賬號進行管理，通過VPN打通組織內外網訪問，但是堡壘機和VPN本身也是使用不安全的口令認證，因此存在一定的認證風險。

身份識別和訪問管理（Identity and Access Management， IAM）是一個可有效控制人或物等不同類型用戶訪問行為和權限的管理系統，能夠有效控制什么人或物體在什么時間有權限訪問哪些資源。具有代表性方案提出的整合后的身份識別和訪問管理包括訪問和策略服務、用戶服務、身份服務、合規服務、數據服務等，并將其組合到整體的邏輯層中，具體包含數字身份自動化管理、身份數據同步、統一認證及訪問控制策略管理、授權管理、自適應智能融合認證、訪問行為審計、權限互斥審閱、合規管理，以及確保實時預警和有效防范的風險管理機制等核心能力，其中較為核心的功能模塊是統一身份管理系統。統一身份管理系統為學校提供統一用戶管理，實現師生信息與賬號的集中存儲、閉環管理，實現身份全生命周期管理，為管理員和個人用戶提供不同權限的管理視圖，通過數據同步服務、連接器實現與應用系統的集成，實現人員數據、組織數據到身份管理系統的同步，以及與接入系統的賬號同步，其架構如圖5所示。

4.密碼服務

當前，教育信息化系統中依舊有不少用戶使用“賬號+口令”的方式進行登錄，存在用戶信息假冒、截獲的風險，需采用密碼技術保證應用系統用戶身份的真實性；在數據機密性方面，教育信息化系統中存儲有大量學籍、學生健康、招生考試數據、畢業論文數據、家長、學校、科研管理成果、關鍵業務數據等敏感隱私信息，存在被竊取和篡改的風險，必須采用密碼應用保證數據的機密性；在完整性方面，教育信息化系統，如OA系統、科研管理系統、教務系統、財務系統、資產管理系統等，存在重要業務數據、審計數據、配置數據、視頻數據、用戶信息等，需采用密碼技術保證重要數據在傳輸和存儲過程中的完整性；在抗抵賴性方面，教育信息化系統中存在大量學生成績、學籍、畢業證、學位證、榮譽證書等敏感的關鍵數據，需采用密碼技術提供數據原發證據和數據接收證據，實現數據原發行為的不可否認性和數據接收行為的不可否認性。

數字認證旨在為教育行業提供好用、好管、規范、安全的數據密碼服務體系，使安全與業務在技術上低耦合，但又能在服務上融合，提供輕量級改造應用的服務模式，有效防護教育信息化涉及的主體用戶安全、數據安全、資源安全，實現密碼服務業務化建設、場景化應用，滿足教育行業密碼技術融合應用創新、密碼能力融入業務流程、密碼服務構筑數字安全屏障。教育行業數據安全密碼服務體系架構如圖6所示。

5.網絡安全態勢感知

網絡安全態勢感知是在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示，并據此預測未來的網絡安全發展趨勢。針對教育行業的網絡安全痛點，一些機構提出網絡安全態勢感知SaaS化服務，該服務以多樣化靈活的方式賦能教育行業，逐步提高教育行業的網絡空間安全能力覆蓋度，降低安全運營成本，提高網絡安全效益，保障教育行業用戶的網絡空間安全。具有一定代表性的教育網絡安全態勢感知平臺架構如圖7所示。

教育網絡安全態勢感知平臺是一種集信息匯聚、態勢感知、預警通報、協同處置、協調指揮等功能為一體的大數據監測環境；是基于教育全域數據，集業務管理、監測預警、應急處置、指揮調度為一體的網絡安全態勢感知平臺。其將自己的網絡安全監測納入教育部的網絡空間安全綜合治理體系，參與體系大聯動，并在本級教育行業體系中發揮行業中樞作用：橫向實現與本級黨政機關和事業單位間網絡安全信息共享、網絡安全事件協同處置；縱向實現各層級教育系統平臺間數據交互和業務聯動，構建教育系統網絡安全協調指揮體系。

6.托管式安全運營服務

在學校安全方面，尤其是高等院校中，在安全管理上存在內部組織機構多、IT資產多、校內人員多的特點：①組織機構多。二級教學、實驗、行政單位眾多。②IT資產多。在學校特別是高校中，普遍存在網站資產數百個、服務器資產數千臺、終端數十萬個這種資產規模。③人員多。超過5萬人的高校接近20個，大部分本科院校人數超過2萬人。一旦發生安全事件，如何快速定位資產歸屬、聯系資產負責人、解決安全事件形成閉環，面臨巨大的挑戰。通過托管式運營服務，從資產測繪、資產和組織管理入手，進行周期性漏洞和脆弱性分析、持續性威脅監測、觸發式威脅處置與應急響應，可以更系統地解決學校面臨的信息安全問題，實現學校信息安全的閉環管理。

托管式安全運營服務（Managed Security Service， MSS）是消除網絡安全工作開展受限、專業性門檻過高的重要手段。托管式安全運營服務提供商針對客戶所面臨的IT資產數量多、安全設備使用難、安全人員不充足、攻防實戰水平弱等各種現實問題，通過將各類安全設備、安全管理與服務流程、具備攻防能力的安全人員有機結合起來，以資產為核心，以消除安全威脅、處理安全事件為目的，以結果為導向，幫助安全建設單位解決從合規到實戰的問題。托管式安全運營服務團隊借助專業技術工具，如流量分析、態勢感知、主機安全、漏洞掃描等工具，以標準化管理流程集中研判、快速預警、統一指揮、緊急處置、追查反制等策略和措施，實現事前預警、事中監控、事后響應，快速規范化解決安全問題，力求安全問題閉環管理，持續迭代提升和輸出整體安全能力，最大可能地保障業務安全運行。具有一定代表性的托管式安全運營服務架構如圖8所示。

（三）網絡安全運維體系不斷增強

網絡安全運維基于風險管理理念的日常運作模式及其概念性流程，是網絡安全保障體系的核心，貫穿網絡安全始終；也是網絡安全管理機制和技術機制在日常運作中的實現，涉及運維流程和運維管理。較為完備的網絡安全運維體系應以信息資產管理為核心，包括安全運維監控中心、安全運維告警中心、安全運維事件響應中心，以及安全運維審核評估中心等部門。網絡安全運維體系內容龐雜，這里重點論述網絡安全運行隊伍建設、網絡安全攻防演練兩方面的內容。

1.網絡安全運行隊伍建設

網絡安全是“一把手”責任，網絡安全工作必須通過人去完成落實，要實現網絡安全的目標就必須建立一支高素質的安全管理隊伍，這支隊伍作為網絡安全管理或者技術的專家，必須具備對應的知識和技能，必須能夠較深刻地理解安全事件，并給出處理建議進而做出處置工作。建議要大力度激勵專職人員，從制度、經費以及晉升通道上給予適當的傾斜。

保障網絡安全定崗人員編制與專業資格培訓。從制度上保證專職安全從業人員的編制數量和崗位職責，確保有足夠的人員專職從事安全相關工作。教育系統網絡安全從業人員大部分具有較強的學習能力，通過圖書以及在線資源等方式自學是提升人才自身安全素質的重要環節。此外，從業人員應通過網絡安全培訓課程考核，目前網絡安全培訓課程推薦ECSP（Cyber Security Professional for Education Industry，教育系統網絡安全保障專業人員培訓）以及CISP（Certified Information Security Professional，注冊信息安全專業人員）認證體系。將安全認證作為崗位的前置條件，大多數從業者通過技術培訓后能在制度和實踐上形成較為完善的安全體系架構知識體系，從而有利于校園網整體安全防御水平以及安全事件監測溯源能力的提升。對網絡安全從業人員應給予培訓經費、培訓時間支持，設置專項課題。全面增強ECSP、CISP等資格證書的覆蓋范圍，在制度上保證培訓時間、培訓經費的投入。

建立有效的考核與激勵機制。安全工作歸根到底還是對人的管理，除了建立嚴格的制度外，還要對執行情況進行科學、有效的考核。制定有效靈活的考核體系，制定可以量化的考核指標，不應簡單地以安全事件發生率作為唯一要素，部分安全事件預防的基礎常規工作也應量化為考核指標，如安全資格證書取得人數、安全培訓繼續教育學時、安全宣傳次數等指標?？砂丛露?、半年度、年度以及重要時期等作為考核周期，以考核結果作為獎懲依據。

拓展信息化與網絡人員發展空間。規范網絡安全管理機構的設置，明確專職網絡安全生產管理人員的配備標準以及晉升空間。對部分應用導向的研究領域，申請專項課題供安全從業人員開展研究工作。全面考量網絡安全和信息化的工作特色，在職稱評聘方面予以必要細化乃至傾斜，增強專家型人才、領軍型人才的培育。

2.常態化開展網絡安全攻防演練

網絡安全攻防演練，是以不限制手段、路徑，進行獲取權限并攻陷指定靶機為目的實戰攻防演練。通過真實網絡中的攻防演練，可以全面評估目標所在網絡的整體安全防護能力，檢驗防守方安全監測、防護，以及應急響應機制、措施的有效性，鍛煉應急響應隊伍，提升安全事件處置能力。教育部高度重視教育系統網絡安全攻防演練工作。2018年以來，教育部連續4年參加公安部組織的“護網”攻防演習，目標系統均未被攻破。2020年以來，教育部連續3年組織教育系統網絡安全攻防演習，均取得良好效果，攻防演習已經成為提升網絡對抗能力、排查安全隱患的重要形式。

教育系統網絡安全攻防演練的重要價值體現在：①發現教育系統潛在的安全威脅。通過模擬入侵來驗證教育系統內部信息資產是否存在安全風險，集中發現各學校信息系統存在的安全漏洞和風險隱患問題，排查網絡安全隱患。②提升教育系統網絡安全團隊能力。攻防演練中，防守方通過教育系統內多部門協同作戰，演練大規模攻擊情況下的防護流程及運營狀態，提升應急處置效率和實戰能力。③強化師生網絡安全意識。通過攻防演練，檢驗師生在面對網絡安全攻擊時的警惕性和安全防護能力，預防風險事件的發生。

教育系統應建立常態化工作機制，經常性開展安全演練，通過多層次、多角度、多樣化方案設計，實現以演促改、以演促管、以演促建的工作目標。做好教育系統網絡安全攻防演練：首先，要制定好網絡安全攻防演練方案，包括確立攻防演練目的、明確攻防演練目標、組建攻防演練團隊等；其次，要做好組織實施工作，包括啟動階段、備戰階段、臨戰階段、實戰階段、保障階段等，需要系統化規劃設計、統籌組織和部署執行，通過搭建演習平臺，實現“全程監測、全程錄屏、全程審計”；最后，針對發現的問題，整改落實要做到位，確保演練取得良好效果。

四、小結

黨的二十大報告提出“辦好人民滿意的教育”“加快建設高質量教育體系”。教育部部長懷進鵬在多個場合提出“深入實施國家教育數字化戰略行動”“以高水平的教育信息化引領教育現代化”“推動數字教育、促進教育現代化、實現教育強國”?？梢?，教育數字化和教育信息化對教育現代化、教育強國具有重要價值，這樣更加凸顯教育網絡安全的重要性。教育網絡安全是國家教育數字化戰略得以順利推進的重要前提和重要保障。我們要持續強化教育網絡安全保障體系建設，不斷增強維護教育網絡安全能力，提高教育網絡安全治理水平，筑牢教育網絡安全屏障，推進教育數字化轉型，在全面建設社會主義現代化國家新征程中奮勇前進。

參考文獻：

[1]習近平.高舉中國特色社會主義偉大旗幟 為全面建設社會主義現代化國家而團結奮斗[N].人民日報，2022-10-26（001）.

[2]教育部.教育部2022年工作要點[EB/OL]. （2022-02-08）[2023-06-28]. http：//www.moe.gov.cn/jyb_sjzl/moe_164/202202/t20220208_597666.html.

[3]教育部.走好第一方陣 為實現中華民族偉大復興貢獻教育力量[EB/OL]. （2021-02-03）[2023-06-28]. http：//www.moe.gov.cn/jyb_xwfb/gzdt_gzdt/moe_1485/202207/t20220707_ 644253.html.

[4]教育部.教育部舉行黨組理論學習中心組集體學習暨教育信息化首場輔導報告會[EB/OL]. （2022-02-21）[2023-06-28]. http：//www.moe.gov.cn/jyb_xwfb/gzdt_gzdt/moe_1485/202202/t20220221_600942.html.

[5]趙若云，武杰.對新時代網絡安全的系統思考[J].系統科學學報，2021，29（1）：51-56，72.

[6]教育部.2022年全國教育事業發展統計公報[EB/OL].（2023-07-05）[2023-11-01]. http：//www.moe.gov.cn/jyb_sjzl/sjzl_fztjgb/202307/t20230705_1067278.html.

[7]新華社.中央網絡安全和信息化領導小組第一次會議召開[EB/OL]. （2014-02-27）[2023-06-28].https：//www.gov.cn/ldhd/2014-02/27/content_2625036.htm.

[8]宋瑞娟.大數據時代我國網絡安全治理：特征、挑戰及應對[J].中州學刊，2021（11）：162-167.

[9][10][12]李艷，陳新亞，孫丹，等.從“透明人”到“踐行者”：高校信息安全面臨的挑戰與應對——《2021地平線報告（信息安全版）》之啟示[J].遠程教育雜志，2021，39（3）：11-19.

[11]蔣燕玲.新時代高校網絡安全教育的意義、困境與路徑[J].中國高等教育，2020（20）：59-61.

[13]National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity Version 1.0[EB/OL]. （2014-02-14）[2023-06-28]. https：//www.nist.gov/system/files/documents/cyberframework/cybersecurity-framework-021214.pdf.

Research on Network Security of Education System from the Perspective

of Digital Transformation

Shunping WEI1， Yunlong SHAO2， Dequan YANG3

（1.College of Education， Minzu University of China， Beijing 100081;

2.Education Management Information Center， Ministry of Education， Beijing 100816;

3.IT Department， Beijing Institute of Technology，" Beijing 100081）

Abstract： Network security affects the whole body. Without network security， there would be no national security. Currently， China is implementing a digital education strategy， and one of the requirements for advancing the work is to “operate safely” and to build a sustainable network security protection system. The article introduces the relevant background of the digital education strategy action， discusses the important significance of ensuring education network security， and proposes countermeasures and suggestions for the construction and improvement of the school network security guarantee system from three aspects： network security management， network security technology， and network security operation and maintenance. Specifically， it includes： Coordinating the top-level design of network security， improving data security systems， and strengthening network security education， and establishing a sound network security management system; Completing the shortcomings of network security technology， improving proactive defense capabilities， focusing on protection， detection， and response capabilities， actively adopting zero trust architecture， dumb terminal network security， identity management and control， password services， network security situational awareness， hosting security operation services and other technical solutions， and establishing a good network security technology system; Building a network security operation team， enhancing offensive and defensive combat capabilities， and establishing a good network security operation and maintenance system. The education system should continue to strengthen the construction of the education network security guarantee system， continuously enhance the ability to maintain education network security， improve the level of education network security governance， and build a solid barrier for education network security.

Keywords： Education digitization; Network security; Data security; Education system; Network security guarantee system

編輯：王天鵬" "校對：王曉明