等保2.0标准下高校网络安全七大注意事项
时间:2019-09-16
在6月13-14日举行的2019北京高校信息化工作论坛上,教育部教育管理信息中心网络安全处处长邵云龙结合自身实际工作,对等保2.0的具体内容以及它对高校网络安全提出的更高要求进行了阐述和说明。
三个1/3决定了网络安全的重要性
党的十九大报告指出,建设教育强国是中华民族伟大复兴的基础工程,必须把教育事业放在优先位置,深化教育改革,加快教育现代化,办好人民满意的教育。
十九大以后,教育信息化进入了新的发展阶段。去年4月,教育部正式印发了《教育信息化2.0行动计划》,提出了到2022年基本实现"三全两高一大"的发展目标,要在1.0阶段"三通两平台"的基础上,全面提升教育信息化发展水平,使中国教育信息化步入世界先进行列,发挥全球引领作用,以教育信息化全面推动教育现代化,开启智能时代教育的新征程。
而在这个过程中,网络安全工作贯穿整个教育信息化建设的始终,是需要持之以恒,常抓不懈的关键性支撑工作。
网络安全的重要性是与三个1/3分不开的,即教育及教育相关人口占全国人口的1/3;各类教育行业在册的信息系统占了全国将近1/3;2016年、2017年,教育行业发生的网络安全事件占全国安全事件1/3。
我们面临的安全事件主要涉及数据泄漏、数据篡改、网站瘫痪、页面篡改等四个方面。最近重点之一是对教育APP的治理,在走访时发现有个别学校针对学生包括校内新闻、吃饭、洗澡,院系选课各式各样的40余个APP同时使用,建议学校尽量整合成一个,至少是一个入口,杜绝多口径分散式管理。可以预见,未来会对教育APP有更高的门槛以及更严格的要求。
等保2.0时代的网络安全工作
2017年正式实施的《网络安全法》将网络安全正式带入了法治时代,这也就意味着,履行网络安全等级保护成为网络运营者的基本义务,假如信息系统没有定级备案、没有测评整改,都属于违法运维,从教育系统以及高校违反网络安全法的处理情况来看都是非常严格的,需要引起各高校信息化部门的高度重视。
《网络安全法》其中很重要的一方面就是网络安全等级保护制度。1994年,国务院147号令提出"计算机信息系统全面实行信息安全等级保护","等保"这个提法正式出现,随着近年来云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保2.0标准应运而生。
相比1.0,网络安全等级保护2.0与网络安全法保持一致,《网络安全法》明确规定"国家实行网络安全等级保护制度",等保2.0也与时俱进的将原标准的"信息系统安全等级保护"改为"网络安全等级保护",并且覆盖全社会、全行业和全对象,这个"网络"是大的网络概念,基础网络、信息系统、移动互联网、云计算、物联网、工控等都包含在其中。相关标准将在今年12月1日正式实施,未来还将有相关标准和规定发布,需要我们及时关注。对于高校信息化部门来说,最重要的还是虚拟化、云平台、私有云以及未来的移动应用安全管控问题。
等保2.0要求从分层防护向综合防控、集中防护的思想转变。其主要技术思想方向可归结为:第一,"一个中心,三重防护"的体系框架。一个中心是指"安全管理中心"。安全管理中心不是某一个平台,某一个系统,而是把安全管理,安全监测、安全审计等各类的设备和应用平台集中管控的体现。三重防护是指"安全通信环境"、"安全区域边界"和"安全计算环境";第二,可信计算。基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,一旦检测到可信性收到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。第三,通用+扩展要求。将云计算、移动互联、物联网、工业控制系统等列入标准规范。在通用要求的基础上叠加相关扩展要求。
具体到测评过程,应该注意以下几个方面,一是测评要求和测评内容增加,等保2.0中虽然表面测评项有所减少,实际上原网络、主机、应用层面的要求均合并至安全计算环境,实际测评对象并未减少,且网络层面扩充为"安全通信网络与安全区域边界",增加了安全管理中心的要求;二是新标准进一步要求加强问题分析以及渗透性验证测试。三是新标准的测评结论由之前的"符合、基本符合、不符合"三项变为优(90分)、良(80分)、中(70分)、差(70分以下)四项量化比较成绩,汇总形成教育系统测评得分统计和分析并通报给有关部门。
建立网络安全长效机制确保万无一失
近期教育系统网络安全重点工作是:
1建立网络安全责任制
切实加强党对网信工作的领导;建立网络安全工作考核机制,将网络安全工作纳入领导干部考核;建立网络安全问责机制,确立了六条问责条款。
2加快教育系统网络安全标准规范研究与编制
研究制定数据安全相关管理办法、关键信息基础设施识别认定指南和网络安全通报机制管理办法等。
3推进监测通报机制建设
与相关学会、机构加强合作,建立网络安全漏洞和威胁共享机制;更新教育系统网络安全工作管理平台,完善信息系统资产管理、实现网络安全监测预警通报自动化,提高教育系统整体安全防护联动处置效率。
4落实监督检查工作
一是推进网络安全纳入综治考核,二是开展网络安全现场检查,三是加强网络安全通报,四是对网络安全涉事单位和责任人进行监督问责。
5加强网络安全的宣传教育、人才培养
尽快开展一流网络安全学院建设、网络安全一级学科设立,在网络安全宣传周期间让网络安全意识进校园、进教材,进头脑。
6部署落实上半年重要时期网络安全保障工作
教育部印发《关于做好2019年上半年重要时期网络安全保障工作的通知》,集中部署重要时期网络安全保障工作,提出了加强网络安全保障工作的组织部署、按需调整重要时期网络防护策略、健全监测预警通报机制、做好网络安全应急响应工作、落实网络安全"零报告"制度等工作要求。
7开展教育APP专项监测工作
组织开展校园APP专项调研,采取抽样调查问卷和网络爬虫相结合的方式对各级各类学校和教育行政部门的APP进行调研。在此基础上,对教育行政部门和学校主管的298个教育APP进行网络安全监测。监测共发现安全威胁3091个。已将相关安全威胁通报至相关单位,并要求涉事单位进行限期整改。目前,相关安全威胁修复率已达60%以上。
对高校网络安全工作的建议
1加强学习,提升网信工作能力
首先是学习网络强国战略思想和关于网信工作的一系列重要论述,这是做好网信工作的首要政治任务和根本措施保障。其次是学习最新的网信理论知识和技术成果,与教育战线需求相结合。再次是学习兄弟单位乃至其他国家的先进经验和成功做法。四是总结以往的工作经验和教训,自己向自己学习,这要成为网信工作的基本"算法"。
2加强网络安全责任制落实
按照相关要求和量化的考核评分办法,落实网络安全和信息化领导小组和网信办的具体职责、任务。党委(党组)要定期研究部署网络安全工作,分管负责同志至少每季度召开一次会议听取网络安全工作汇报,每年要制定网信领导小组年度工作要点或者网络安全年度工作要点。
3落实网络安全等级保护制度
全面完成信息系统网络安全等级保护定级备案,定期开展网络安全等级测评(三级系统每年一次,二级系统每两年一次)和安全整改。按照2.0标准,对照落实相关要求。
4加强网络安全教育培训
对于单位在职全体人员,要开展全面网络安全意识培训,培训时间要满足要求;对于单位信息化管理人员和技术人员,要开展网络安全素养培训,培训时间要满足相关要求;对于系统运维和安全技术人员,要组织参加专业技术培训,获得相关资质证书,全面提升网络安全防范技能和水平。
5提升数据安全防护能力
要做好数据治理,推进一数一源,制定本单位数据安全管理办法,规范采集、传输、管理和使用。全面采用密码技术,包括加密、签名等,加强重要数据安全保障。
6开展安全监测和应急演练
日常安全威胁监测要通过配备工具或者购买服务的方式进行,对系统运行安全状态进行实时监测,能够第一时间发现问题。落实《教育系统网络安全应急预案》要求,参照制定/修订本单位的预案和具体信息系统的应急预案,定期开展应急演练。有条件的单位开展攻防实战演习。
7落实重要时期安全保障
首先要提高安全意识,加强统筹部署,安全工作是一项政治性很强的工作,关键时间节点要有不同的措施,确保"万无一失"。其次,优化信息系统/网站服务,区分持续访问、工作时间访问、限制访问、关停等策略。第三,落实"零报告"和7×24小时值守制度。第四,做好监测预警和应急管理,发现问题马上改,发生事件马上报。