新形势下教育机关网络安全问题及对策研究
2022-05-05田永健
摘 要:教育信息化是实现教育现代化的核心推动力。在教育信息化的发展过程中,教育机关信息系统面临着病毒攻击、个人隐私信息泄露、个人信息被篡改、黑客入侵电脑黑屏等多种网络安全问题。这些安全隐患日益严峻,已成为实现教育现代化的关键挑战。文章从教育机关网络安全问题和研究现状切入,分析新形势下影响教育机关网络和信息安全的关键因素。在此基础上,基于关键因素和发展形势需要提出如下建议:以法律意识为引领,树立安全新标杆;以“网络安全等级保护2.0”国家标准为切入点,落实主动防护;以安全运营为保障,巩固安全发展;以人才供给为重点,推动长效发展;以共建合作为突破,提升对抗能力。
关键词:教育机关;网络安全;数据安全;教育信息化
中图分类号:TP393 文献标志码:A 文章编号:1673-8454(2022)02-0037-06
教育信息化是实现教育现代化的关键途径。《中国教育现代化2035》将“加快信息化时代教育变革”列为十大战略任务之一,进一步明确了推进教育信息化的重要性和紧迫性。教育信息化建设已经成为贯彻落实党中央、国务院决策部署,实现教育强国的重要抓手之一。各级教育機关作为推进教育现代化的行政领导机构,是教育行业信息网络关键节点和数据信息资源的汇聚核心,在教育行业网络和信息安全领域的地位十分重要。
近年来,随着5G、云计算、大数据、物联网、人工智能、区块链、量子通信等新兴技术的快速发展,信息泄露、病毒、木马、漏洞、网络攻击等网络安全问题也呈现出新形态,严重威胁教育行业信息资源、信息系统的安全。本文以教育机关网络安全为关注点,尝试从问题入手,探究新时期做好教育机关网络安全工作的有效举措。
一、研究概述
(一)教育机关网络安全的概念
本文中的教育机关是指各级教育行政管理部门及其直属单位。教育机关网络安全可以理解为保护教育机关信息应用系统、信息资源、人员信息、物理环境、网络系统、计算存储系统等,保证信息的完整性、可用性、保密性等特性不被破坏[1]。
(二)教育机关网络安全建设的重要性
一是落实党中央决策部署、教育部工作要求的紧迫需要。党和国家高度重视网络与信息安全工作,2014年成立中央网络安全和信息化领导小组,习近平总书记担任组长[2]。2016年11月,中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议表决通过了《中华人民共和国网络安全法》(以下简称《网络安全法》)。《网络安全法》有助于维护网络空间主权、国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。为贯彻落实党中央的决策部署,教育部成立了网络安全和信息化领导小组,先后出台《教育行业信息系统安全等级保护定级工作指南(试行)》等系列文件,要求切实加强教育行业的网络与信息安全建设。综上,在新形势下,进一步加强教育机关网络与信息安全研究和建设,是推进教育信息化、实现教育现代化的必要条件,也是网络强国、科技兴国战略的重要体现之一。
二是维护国家安全和公民切身利益的必然要求。教育行业体系庞大、人员众多。教育部2021年8月发布的《2020年全国教育事业发展统计公报》显示,全国共有各级各类学校53.71万所,各级各类学历教育在校生2.89亿人,专任教师1792.97万人。由于教育行业信息系统多、数据量大,如果数据泄露、遗失,会给国家和社会造成不可估量的损失。因此,维护教育机关网络安全是保障国家安全和维护公民利益的必然要求。
三是支撑教育机关工作正常运转的重要保障。信息技术已经成为教育机关日常履职的重要手段,如对外政务服务、内部办公系统、内部管理保障系统等。教育机关是支撑我国未来发展的核心和关键单位,掌握的信息也十分关键,包括公民的教育程度、学生的性格特征和发展潜力等,这些信息如果被不法分子获取并加以利用,很可能产生不良影响。另外,黑客攻击、计算机病毒入侵会带来网络带宽被占用、计算机内存被无端消耗,导致工作效率急剧下降,严重影响日常工作的开展。因此,网络安全建设是教育信息化发展的重要任务,也是维护教育机关各项工作正常运转的关键。
二、教育机关网络安全问题和研究现状
(一)存在的问题
1.恶意攻击依然突出
教育是《网络安全法》定义的关键基础设施行业,需要在网络安全等级保护制度的基础上实行重点保护[1]。教育行业信息系统常面临严重的外部环境的入侵,通常有物理入侵、系统入侵、远程入侵等方式,其中恶意软件、木马、蠕虫病毒的入侵表现非常活跃,给教育行业信息系统安全带来极大隐患。深信服公司发布的《2020年网络安全态势洞察报告》显示,2020 年针对教育行业的恶意攻击持续保持在较高水平,并在该年10 月达到峰值1.5亿次;整体上的攻击数呈上升趋势,年攻击总数达到了 13.4 亿次。
2.网络安全突发事件应急处理能力薄弱
网络安全事件往往都是突发的而且时间极短,如果没有应急处理能力,其影响和危害将是巨大的。部分教育机关缺乏科学的应急处置预案及应急保障体系,网络安全关口前移的意识还不够。例如,2017年在全球爆发的“永恒之蓝”勒索病毒案件,是典型的突发病毒事件,我国有29372家机构及组织的数十万台机器被感染,其中有4341家为教育科研机构,是感染的重灾区。
3.部分教育机关工作人员网络安全意识有待加强
教育信息在很大程度上涉及用户隐私,如果发生数据被窃,不仅不利于相关工作人员,而且影响教育机关的权威性,还会在一定程度上损害国家的利益,因此网络安全工作极其重要。在教育机关的日常工作中,可能存在如下问题:一是有些教育机关工作人员网络安全意识不强,对网络安全防护的重视程度不足,警觉性不高。二是忽略对信息系统账号及密码的管理,存在数字证书外借他人的情况。三是行业内部信息不慎外传。四是不规范使用移动存储介质等。这些问题带来了巨大的风险和隐患[1]。
4.教育机关专业网络安全人才存在盲区
“人的因素”被作为“RSAC 2020”全球网络安全大会的主题。同样,据美国《华尔街日报》报道,70%的企业担心内部人员威胁,而传统的安全技术和措施难以有效减轻这种网络威胁。教育机关网絡安全人才方面存在的问题表现为:一是缺乏基于网络安全开展管理、运维工作的人才,在系统操作、系统维护过程中难以完成专业操作,而外部人士的远程支撑往往即时性不够,导致信息系统面临安全威胁。二是未聘请安全顾问或第三方安全维护机构。对于内部缺乏专业安全人才的教育机关,可以通过聘请安全顾问或第三方运维机构为系统提供安全保障,但实际上,很少有教育机关聘请安全顾问或第三方安全维护机构。此外,由于缺乏专业安全人才,教育机关信息系统在进行等级保护建设运维过程中缺乏权威指导,难以实现等级保护标准的系统安全防护能力。
5.教育安全资金投入不足
国际数据公司(IDC)统计数据显示,近年来,我国网络安全市场占IT市场的比重仅为1.87%,低于全球3.74%的平均水平,与美国政府的20.4%相差甚远,难以安全支撑数字化发展大趋势。在教育行业也存在同样的“重应用、轻安全”问题。资金不足严重制约教育行业安全防护能力的提升,在系统建设时存在安全防护设备不够、设备性能配置不足的问题,在系统运维过程中面临软硬件设备维护、升级、更换资金不充足的问题。
6.新兴技术应用带来新的网络安全问题
5G、IPv6、移动端应用是最近几年很热门的技术。5G扩大了网络安全边界,便捷程度提高,但同时也导致线上、线下安全问题增多,新型基础设施安全防御难度增大。IPv6具有地址资源丰富、精准对应、信息溯源等特点,地址之间传输数据经过加密,不易被窃听,但是同时存在多方面问题,比如潜在受攻击的载体数量增加等。IPv6网络安全协议相关漏洞的历史经验较少,缺乏适当的漏洞解决方案。教育类App应用广泛,但也存在违规收集使用个人信息和安全漏洞、未备案管理等突出问题,一直是政策关注的重点。2021年7月,北京市教育委员会、北京市委网络安全和信息化委员会办公室和北京市公安局三部门联合发布《关于规范教育类App安全威胁整改工作的公告》,为App的开发企业敲响警钟。
(二)研究现状
近年来,一些学者对教育机关网络安全作了研究。郑厦君以福建省教育数据中心为例,研究省级教育数据中心安全运维技术体系建设[3];温志勇探讨了校园信息化建设存在的主要安全问题,从完善基础设施、加强网络防护、健全管理体系、提高安全意识等方面提出了建议[4];袁飞等从校园网络基础设施交换机入手,探索底层设备的安全防护[5];陈平等基于STRIDE威胁模型,提出了教育云系统安全防护架构,为教育云计算的安全问题提供数据支撑和安全策略参考[6]。目前针对教育机关网络安全的研究较少。一些学者主要针对某个特定的因素开展研究,如校园信息化安全防护、底层设备安全防护、教育云防护等,研究方向比较“零散”。
因此,本文分析了目前我国教育机关网络安全存在的主要问题和研究现状,探索新形势下教育机关网络安全建设的发展方向,并提出具有针对性的对策建议,以期为相关工作人员提供借鉴。
三、教育机关网络安全新形势分析
教育机关网络安全建设具有良好的基础。一是教育机关具有职能优势。教育机关坚持党的领导,是有纪律的政治机关,承担着教育改革与发展战略,以及推动教育事业发展的职责。保证教育机关网络安全就是对国家和人民负责。教育机关从国家和人民的长远利益出发,充分发挥职能优势,积极推进网络安全建设,是“必选项”,而非“备选项”。二是教育机关网络安全建设已具有一定的资源优势。教育信息化建设是把信息技术手段有效应用于教学管理与教学科研,注重教育信息资源的开发和利用[7]。教育部网络安全和信息化领导小组办公室印发的《2019年教育信息化和网络安全工作总结》提出了完成的主要工作,包括:推进商用密码应用安全性评估工作,完成了第一批教育信息化试点密评项目;完成了教育部内各司局33个信息系统(网站)的等级保护测评工作;加强教育系统网站安全监测与预警通报,2019年度通报并处置安全威胁1万多个;完成国家相关部门组织实施的网络安全攻防演习。三是《网络安全法》等法律法规的相继出台,对教育机关网络安全的发展有着很大的推动作用。
(一)安全相关法律法规相继出台
《网络安全法》《关键信息基础设施安全保护条例》《中华人民共和国数据安全法》(以下简称《数据安全法》)等相继出台,为教育信息化、电子政务等涉及国计民生、公共利益领域的网络安全建设提供了法律法规根据。《网络安全法》提出国家实行网络安全等级保护制度,自2017年6月1日起施行。《数据安全法》自2021年9月1日起施行。《数据安全法》“第六条”明确提出:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。以上法律法规实现了教育数据安全监管的有法可依,完善了教育主管部门网络空间安全治理的法律体系。《关键信息基础设施安全保护条例》自2021年9月1日起施行,提出保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
(二)各级教育机关网络安全政策体系不断完善
随着教育信息化的快速发展,教育部相继印发《教育行业网络安全综合治理行动方案》《教育信息化2.0行动计划》《2021年教育信息化和网络安全工作要点》等文件。同时,教育机关网络安全政策体系也在不断完善,安全度大幅提高。正在组织研制的《教育信息化中长期发展规划(2021—2035年)》和《教育信息化“十四五”规划》将对教育机关信息化以及网络安全建设提出新要求和新方向。另外,自教育部印发《教育信息化2.0行动计划》以来,北京市、江苏省等多个省市相继出台配套文件,切实推进教育信息化的网络安全规划、建设等工作。
(三)信息安全保护技术不断发展
区块链、数字水印、数字身份模型等信息安全保护技术可以为教育机关网络安全提供新的解决方案。区块链融合加密算法、共识机制、点对点传输等计算机技术,采用分布式数据存储架构,从而实现对数据信息的安全傳输、安全访问、安全存储和安全共享等,具有不可更改、不可伪造、公开透明等安全特性[8][9]。数字水印是一种基于内容、非密码机制的计算机信息隐藏技术,利用数字载体所嵌入的数字水印来确认隐秘信息或载体等是否被篡改,具有隐蔽性、鲁棒性、抗篡改性、安全性、低错误率等特性。数字身份模型通过网络、相关设备等查询和识别的公共秘钥,有助于大幅提高数字社会和数字经济的效率,增加可信度[10]。
(四)持续活跃的行业投融资将孵化更为优质的网络安全供应商
据前瞻产业研究院整理数据,2020年,我国网络安全行业共有投资事件40起,投资总金额约44亿元人民币。从投资轮次分布来看,以B轮投资为主,共有13个,占比为32.5%。从细分类型来看,服务类型的网络安全企业获得融资的数量最多,共有35个,占比为87.5%,另外几个是先进制造、金融、区块链企业。从地域分布来看,北京的网络安全行业投资热度最高,共有20个投融资事件,占比50%;其次是江苏省和广东省,各有5件投融资事件,各占12.5%[11]。
四、教育机关网络安全对策建议
基于上述问题和发展形势需要,针对教育机关网络安全的发展,提出如下建议:
(一)以法律意识为引领,树立安全新标杆
《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》是我国网络安全领域遵循的基本法律法规,也是教育机关网络安全工作需要遵守的基线、指南。教育机关工作人员要认真组织学习网络安全相关法律法规,在日常工作中增强网络安全意识,将信息化规划、建设、运行全流程同步对标网络安全相关法律法规要求。同时,要严格落实网络与信息安全责任制,增强信息化工程主要责任人的网络安全法律意识,实行“一把手负责制”,明确主要负责人,进一步保障网络安全的“人财物”投入。
(二)以“网络安全等级保护2.0”国家标准为切入点,落实主动防护
“网络安全等级保护2.0”(以下简称“等级保护2.0”)国家标准于2019年12月1日正式实施。“等级保护2.0”在广度上覆盖了云计算、移动互联、物联网、工业控制和大数据等对象的安全防护[12];在深度上更加突出全方位、主动、整体系统性的防护,为各行业尤其是教育机关提出了基本要求、指引以及落实检查点。教育机关在网络安全法律准绳之下,应以“等级保护2.0”为切入点,主动从技术和管理两方面落实安全防护,实现教育机关的关键信息基础设施安全、移动App安全、重要数据安全、个人信息安全以及工控系统安全等,不仅满足法律法规要求,同时满足公安机关、网信机关、审计机关等相关单位的合规要求。
(三)以安全运营为保障,巩固安全发展
按照《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等有关法律法规的规定,根据“等级保护2.0”要求,落实安全防护,进行安全管理。同时,为了进一步巩固网络安全的发展,建议构建安全运营体系,弥补日常安全运维工作中的不足。通过不断投入、不断改进、不断复盘优化,来清晰地了解网络安全当前存在的不足和风险,将教育机关信息系统日常运行的安全风险降低至可接受的程度。通过构建安全运营体系,实现教育机关安全防护能力不断螺旋式上升,助力教育信息化有效、长效、高效发展。从具体内容来说,教育机关的安全运营体系可以从应急演练、综治考核、风险评估、渗透测试、基线核查、应急响应、安全培训、现场检查、监督问责等多方面来实现。
(四)以人才供给为重点,推动长效发展
千秋基业,人才为本。网络安全从初期的测评,到中期整体防护、渗透测试、合规等,再到主动防御、态势感知、攻防对抗等安全手段,甚至到云安全、大数据安全、工控安全、物联网安全和移动安全,其技术快速更新、不断迭代。而无论是网络安全相关法律法规、政策、规划等的制定者,还是从事安全防护的管理人员或者技术人员,都需要不断迭代自身的网络安全知识体系和安全防护技能。
网络安全全流程人才供给是保障教育机关信息化长效发展的重点。为强化人才供给,实现网络安全长效发展,可通过“学院建设+职业教育+在线网络安全学院+宣传教育”等多种模式结合的方式保障人才供给。首先,一方面加强学科教育以及网络安全理论知识的学习,建设网络安全学院并设立网络空间安全一级学科;另一方面强化网络安全职业教育,要求考取网络安全相关的职业技能等级证书,同时通过网络安全大赛的方式强化安全防护实战。其次,构建在线网络安全学院,通过互联网在线培训平台提供网络安全课程学习渠道。最后,普及网络安全常识,加强网络安全宣传教育。
(五)以共建合作为突破,提升对抗能力
突破教育机关信息化建设内部局限,加强技术交流。首先,加强与横向单位之间的交流,吸取其他单位安全建设方面的经验、教训。其次,加强与主流厂商之间的技术交流,了解最新的安全漏洞,积极应对最新病毒等安全问题。最后,要与网络安全相关的研究机构加强技术交流和合作,共同探索安全领域相关的前沿问题。
参考文献:
[1]周媛.公安机关信息安全问题的SWOT-AHP分析及对策研究[J].信息安全研究,2021,7(2):190-196.
[2]苏春海.加强教育网络与信息安全 推进教育信息化与现代化[J].基础教育参考,2017(4):5-8.
[3]郑厦君.省级教育数据中心安全运维技术体系建设研究——以福建省教育数据中心为例[J].中国教育信息化,2016(19):5-10.
[4]温志勇.探析校园信息化建设的安全问题及解决对策[J].现代信息科技,2020,4(1):147-149.
[5]袁飞,曹进.高校教育信息化工作的安全策略探索与研究[J].考试周刊,2018(68):20-21.
[6]陈平,双锴,皇甫大鹏.基于STRIDE威胁模型的教育云安全风险评估研究[J].中国教育信息化,2017(5):15-19.
[7]杭永宝,徐红兵.在教育改革发展中充分发挥工会作用[J].中国教工,2020(10):2.
[8]焦迪,梁智.基于区块链的政务信息资源共享交换安全防护研究[J].网络安全技术与应用,2019(6):111-112.
[9]刘天成,陈智罡,宋新霞.基于区块链技术的药品溯源系统研究与应用[J].浙江万里学院学报,2021,34(2):78-85.
[10]李俊,柴海新.数字身份安全治理研究[J].信息安全研究,2021,7(7):598-605.
[11]前瞻产业研究院.2020年中国网络安全行业投融资事件汇总及分析[EB/OL].[2021-05-21].https://baijiahao.baidu.com/s?id=1699427933432834227&wfr=spider&for=pc.
[12]马力,祝国邦,陆磊.《网络安全等级保护基本要求》(GB/T 22239-2019)标准解读[J].信息网络安全,2019(2):77-84.
作者简介:
田永健,内蒙古自治区大数据中心信息技术服务九部部长,中学高级教师,邮箱:E-mail:tianyj10@163.com。
Abstract: The development of educational informatization is the core driving-force of educational modernization. However, during the process of the development of educational informatization, the information system of educational institutions is challenged by a variety of network security problems such as virus attack, personal privacy information disclosure, personal information tampering, and hacker intrusion into the computer black screen etc. These security risks become more serious, and have evolved into the key challenge of educational modernization. This paper analyzes the key factors that affect the network and information security of educational institutions under the new circumstance from the aspect of network security and research status of educational institutions. Based on this, this paper proposes five targeted suggestions, they are, strengthening legal awareness, implementing equal protection 2.0, strengthening safe operation, supplementing talent supply, and promoting co-construction and cooperation.
Keywords: Educational institutions; Network security; Data security; Educational informatization
編辑:王晓明 校对:李晓萍
