等保2.0標(biāo)準(zhǔn)下高校網(wǎng)絡(luò)安全七大注意事項(xiàng)
作者:天磊咨詢
發(fā)表日期:2020-09-23
來(lái)源:天磊咨詢
教育部教育管理信息中心網(wǎng)絡(luò)安全處處長(zhǎng)蘇云龍解釋并說(shuō)明了自己的實(shí)際工作、對(duì)等保障2.0的具體內(nèi)容以及對(duì)高校網(wǎng)絡(luò)安全的高要求。
在6月13-14日舉行的2019年北京高校信息化工作論壇上,教育部教育管理信息中心網(wǎng)絡(luò)安全處處長(zhǎng)蘇云龍結(jié)合自己的實(shí)際工作,說(shuō)明并說(shuō)明了對(duì)等保障2.0的具體內(nèi)容和對(duì)高校網(wǎng)絡(luò)安全的更高要求。
三分之一決定網(wǎng)絡(luò)安全重要性的黨的第十九大報(bào)告指出,建設(shè)教育強(qiáng)國(guó)是中華民族偉大復(fù)興的基礎(chǔ)工程,要把教育事業(yè)放在優(yōu)先地位,深化教育改革,加快教育現(xiàn)代化,做好人民滿意的教育。
網(wǎng)絡(luò)安全的重要性與三分之一的教育和教育相關(guān)人口占全國(guó)人口的三分之一,各種教育行業(yè)財(cái)權(quán)的信息系統(tǒng)占全國(guó)人口的近三分之一。2016年和2017年教育行業(yè)發(fā)生的網(wǎng)絡(luò)安全事件占全國(guó)安全事件的三分之一。
我們面臨的安全事件主要涉及數(shù)據(jù)泄漏、數(shù)據(jù)篡改、網(wǎng)站癱瘓、頁(yè)面篡改等四個(gè)方面。最近的重點(diǎn)之一是教育應(yīng)用程序的統(tǒng)治。訪問(wèn)時(shí)發(fā)現(xiàn),個(gè)別學(xué)校同時(shí)使用校內(nèi)新聞、吃飯、洗澡、聽(tīng)課等多種40多個(gè)應(yīng)用程序,鼓勵(lì)學(xué)校盡可能整合為一個(gè)。建議至少作為一個(gè)入口,杜絕多口徑分散管理。預(yù)計(jì)未來(lái)對(duì)教育應(yīng)用程序會(huì)有較高的門(mén)檻和更嚴(yán)格的要求。
登博2.0時(shí)代的網(wǎng)絡(luò)安全工作于2017年正式實(shí)施,《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)安全正式進(jìn)入法治時(shí)代。這意味著執(zhí)行網(wǎng)絡(luò)安全級(jí)別保護(hù),履行成為網(wǎng)絡(luò)運(yùn)營(yíng)者的基本義務(wù)。信息系統(tǒng)不分級(jí),不評(píng)價(jià)整改,屬于違法運(yùn)營(yíng)層面。從教育系統(tǒng)和高校違反網(wǎng)絡(luò)安全法的處理情況來(lái)看,非常嚴(yán)格,因此應(yīng)引起各高校信息化部門(mén)的高度重視。
登博2.0要求從階層保護(hù)向綜合預(yù)防、集中保護(hù)轉(zhuǎn)變思想。其主要技術(shù)思想的方向可以歸結(jié)為:
第一,“中心,三重保護(hù)系統(tǒng)框架。一個(gè)中心的意思是“安全管理中心”。安全管理中心不是平臺(tái)、系統(tǒng),而是集中控制安全管理、安全監(jiān)測(cè)、安全審計(jì)等各種設(shè)備和應(yīng)用平臺(tái)的體現(xiàn)。三級(jí)保護(hù)是指“安全通信環(huán)境”、“安全區(qū)域邊界”和“安全計(jì)算環(huán)境”
第二,可靠的計(jì)算。基于可信根,對(duì)計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)、應(yīng)用程序等進(jìn)行可信驗(yàn)證,并在應(yīng)用程序的主要執(zhí)行階段進(jìn)行動(dòng)態(tài)可信驗(yàn)證。可靠性受損時(shí)發(fā)送警報(bào)。將驗(yàn)證結(jié)果形成審核記錄發(fā)送到安全管理中心。第三,通用擴(kuò)展要求。將云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等納入標(biāo)準(zhǔn)規(guī)范。基于共同要求,嵌套相關(guān)擴(kuò)展要求。
具體的評(píng)估過(guò)程在2.0中減少了表面評(píng)估項(xiàng)目,包括評(píng)估要求和評(píng)估內(nèi)容增加,但實(shí)際上,原始網(wǎng)絡(luò)、主機(jī)、應(yīng)用程序級(jí)別的要求都集成到了安全計(jì)算環(huán)境中,實(shí)際評(píng)估對(duì)象沒(méi)有減少,網(wǎng)絡(luò)級(jí)別擴(kuò)大到了“安全通信網(wǎng)絡(luò)和安全領(lǐng)域邊界”,提高了安全管理中心的要求。第二,新標(biāo)準(zhǔn)要求進(jìn)一步加強(qiáng)問(wèn)題分析和滲透性驗(yàn)證測(cè)試。三、新標(biāo)準(zhǔn)的評(píng)價(jià)結(jié)論綜合以前的遵守、基本遵守、不遵守“三項(xiàng)優(yōu)秀(90分)、良好(80分)、中(70分)、差異(70分以下)四項(xiàng)量化比較成績(jī),綜合教育系統(tǒng)評(píng)價(jià)分?jǐn)?shù)統(tǒng)計(jì)和分析,通知相關(guān)部門(mén)。
為了建立網(wǎng)絡(luò)安全的長(zhǎng)期機(jī)制,確保萬(wàn)無(wú)一失,最近教育系統(tǒng)網(wǎng)絡(luò)安全的重點(diǎn)如下。
1、建立網(wǎng)絡(luò)安全責(zé)任體系
切實(shí)加強(qiáng)黨對(duì)網(wǎng)絡(luò)安全工作的領(lǐng)導(dǎo),建立網(wǎng)絡(luò)安全工作評(píng)價(jià)機(jī)制,將網(wǎng)絡(luò)安全工作納入領(lǐng)導(dǎo)干部評(píng)價(jià),建立網(wǎng)絡(luò)安全責(zé)任機(jī)制,確立6項(xiàng)責(zé)任條款。
2、加快教育系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的研究和準(zhǔn)備
研究開(kāi)發(fā)數(shù)據(jù)安全相關(guān)管理方法、主要信息基礎(chǔ)設(shè)施識(shí)別指南、網(wǎng)絡(luò)安全通知機(jī)制管理方法等。
3、促進(jìn)建立監(jiān)測(cè)和通報(bào)機(jī)制
加強(qiáng)與相關(guān)學(xué)會(huì)、機(jī)構(gòu)的合作,建立網(wǎng)絡(luò)安全漏洞和威脅共享機(jī)制,更新教育系統(tǒng)網(wǎng)絡(luò)安全任務(wù)管理平臺(tái),完善信息系統(tǒng)資產(chǎn)管理,自動(dòng)化網(wǎng)絡(luò)安全監(jiān)控警報(bào)通知,提高教育系統(tǒng)整體安全保護(hù)聯(lián)動(dòng)處理效率
4、監(jiān)督檢查工作的實(shí)施
第一,對(duì)網(wǎng)絡(luò)安全進(jìn)行綜合評(píng)估,第二,進(jìn)行網(wǎng)絡(luò)安全現(xiàn)場(chǎng)檢查,第三,加強(qiáng)網(wǎng)絡(luò)安全簡(jiǎn)報(bào),第四,對(duì)網(wǎng)絡(luò)安全相關(guān)機(jī)構(gòu)和負(fù)責(zé)人履行監(jiān)督責(zé)任。
5、網(wǎng)絡(luò)安全宣傳教育,加強(qiáng)人力教育
盡快建設(shè)一流的網(wǎng)絡(luò)安全大學(xué),建立網(wǎng)絡(luò)安全一級(jí)學(xué)科,使網(wǎng)絡(luò)安全宣傳周內(nèi)的網(wǎng)絡(luò)安全意識(shí)進(jìn)入校園、教材、頭腦。
6、上半年實(shí)施網(wǎng)絡(luò)安全工作的重要時(shí)期
教育部印發(fā)《關(guān)于做好2019年上半年重要時(shí)期網(wǎng)絡(luò)安全保障工作的通知》,集中部署關(guān)鍵時(shí)期的網(wǎng)絡(luò)安全工作,提出加強(qiáng)網(wǎng)絡(luò)安全工作的組織部署,必要時(shí)調(diào)整關(guān)鍵時(shí)期的網(wǎng)絡(luò)保護(hù)戰(zhàn)略,建立健全監(jiān)測(cè)預(yù)警通知機(jī)制,開(kāi)展網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作,實(shí)施網(wǎng)絡(luò)安全零報(bào)告系統(tǒng)等業(yè)務(wù)要求。
7、進(jìn)行教育APP特別監(jiān)測(cè)
工作組織進(jìn)行校園APP專業(yè)調(diào)查,并以抽樣問(wèn)卷和網(wǎng)絡(luò)爬蟲(chóng)相結(jié)合的方式調(diào)查各級(jí)學(xué)校和教育行政部門(mén)的APP。在此基礎(chǔ)上,對(duì)教育行政部門(mén)和學(xué)校主管的298個(gè)教育應(yīng)用程序進(jìn)行網(wǎng)絡(luò)安全監(jiān)控。共發(fā)現(xiàn)3091個(gè)安全威脅。將相關(guān)安全威脅通知相關(guān)機(jī)關(guān),并要求相關(guān)機(jī)關(guān)限期整改。目前,相關(guān)安全威脅恢復(fù)率達(dá)到60%以上。
關(guān)于高校網(wǎng)絡(luò)安全的建議
1、加強(qiáng)學(xué)習(xí),提高網(wǎng)信工作能力
1、學(xué)習(xí)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略思想和關(guān)于網(wǎng)信工作的一系列重要論述,是做好網(wǎng)信工作的主要政治任務(wù)和根本措施保障。其次,學(xué)習(xí)最新的網(wǎng)絡(luò)申論理論知識(shí)和技術(shù)成果,與教育戰(zhàn)線的需求相結(jié)合。再次學(xué)習(xí)兄弟單位或其他國(guó)家的先進(jìn)經(jīng)驗(yàn)和成功事例。第四,總結(jié)過(guò)去的工作經(jīng)驗(yàn)和教訓(xùn),自己學(xué)習(xí),應(yīng)該成為網(wǎng)信工作的基本“算法”。
2、加強(qiáng)網(wǎng)絡(luò)安全責(zé)任體系的實(shí)施
根據(jù)相關(guān)要求和量化的評(píng)價(jià)評(píng)分方法,執(zhí)行網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組及網(wǎng)絡(luò)身份的具體責(zé)任和任務(wù)。黨委(黨組)要定期研究網(wǎng)絡(luò)安全部署,負(fù)責(zé)同志至少每季度召開(kāi)一次會(huì)議,聽(tīng)取網(wǎng)絡(luò)安全工作報(bào)告,每年制定網(wǎng)信指導(dǎo)小組年度工作點(diǎn)或網(wǎng)絡(luò)安全年度工作點(diǎn)。
3、實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)體系
全面完成信息系統(tǒng)網(wǎng)絡(luò)安全級(jí)別保護(hù)等級(jí)記錄,定期進(jìn)行網(wǎng)絡(luò)安全級(jí)別評(píng)估(三級(jí)系統(tǒng)一年一次,二級(jí)系統(tǒng)每?jī)赡暌淮?和安全修改。按照2.0標(biāo)準(zhǔn)對(duì)照?qǐng)?zhí)行相關(guān)要求。
4、加強(qiáng)網(wǎng)絡(luò)安全教育和培訓(xùn)
對(duì)在單位工作的全體人員進(jìn)行全面的網(wǎng)絡(luò)安全意識(shí)培訓(xùn),培訓(xùn)時(shí)間要滿足要求。單位信息化管理人員及技術(shù)人員應(yīng)進(jìn)行網(wǎng)絡(luò)安全素養(yǎng)教育,培訓(xùn)時(shí)間應(yīng)滿足相關(guān)要求。對(duì)系統(tǒng)運(yùn)輸和安全技術(shù)人員,應(yīng)組織專業(yè)技術(shù)培訓(xùn),取得相關(guān)資格證書(shū),全面提高網(wǎng)絡(luò)安全預(yù)防技術(shù)和水平。
5、提高數(shù)據(jù)安全保護(hù)
要做好數(shù)據(jù)管理,推進(jìn)一個(gè)來(lái)源,制定本單位的數(shù)據(jù)安全管理方法,規(guī)范收集、傳輸、管理和使用。全面使用密碼技術(shù),包括加密、簽名等,加強(qiáng)重要數(shù)據(jù)安全。
6、進(jìn)行安全監(jiān)測(cè)和應(yīng)急演習(xí)
日常安全威脅監(jiān)控需要通過(guò)購(gòu)買(mǎi)工具或服務(wù)實(shí)時(shí)監(jiān)控系統(tǒng)操作安全狀態(tài),以便立即發(fā)現(xiàn)問(wèn)題。履行《教育系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》要求,參照開(kāi)發(fā)/修訂單位的預(yù)案和具體信息系統(tǒng)的應(yīng)急預(yù)案,定期進(jìn)行應(yīng)急演習(xí)。有條件的單位開(kāi)展攻防實(shí)戰(zhàn)訓(xùn)練。
7、重要期間安全保障的實(shí)施
首先要提高安全意識(shí),加強(qiáng)整體部署。安全工作是政治性強(qiáng)的工作,重要的時(shí)間節(jié)點(diǎn)應(yīng)采取其他措施,確保“萬(wàn)無(wú)一失的安全”。其次,優(yōu)化信息系統(tǒng)/web服務(wù),區(qū)分持續(xù)訪問(wèn)、工作時(shí)間訪問(wèn)、訪問(wèn)限制、關(guān)機(jī)等政策。第三,實(shí)行“零報(bào)告”和724小時(shí)工作制度。第四,做好監(jiān)視警報(bào)和應(yīng)急管理,問(wèn)題立即改變,發(fā)生事件時(shí)立即報(bào)警。
收藏
取消收藏
400-668-6638