等保2.0標準下高校網絡安全七大注意事項
作者:天磊咨詢
發表日期:2020-09-23
來源:天磊咨詢
教育部教育管理信息中心網絡安全處處長蘇云龍解釋并說明了自己的實際工作、對等保障2.0的具體內容以及對高校網絡安全的高要求。
在6月13-14日舉行的2019年北京高校信息化工作論壇上,教育部教育管理信息中心網絡安全處處長蘇云龍結合自己的實際工作,說明并說明了對等保障2.0的具體內容和對高校網絡安全的更高要求。
三分之一決定網絡安全重要性的黨的第十九大報告指出,建設教育強國是中華民族偉大復興的基礎工程,要把教育事業放在優先地位,深化教育改革,加快教育現代化,做好人民滿意的教育。
網絡安全的重要性與三分之一的教育和教育相關人口占全國人口的三分之一,各種教育行業財權的信息系統占全國人口的近三分之一。2016年和2017年教育行業發生的網絡安全事件占全國安全事件的三分之一。
我們面臨的安全事件主要涉及數據泄漏、數據篡改、網站癱瘓、頁面篡改等四個方面。最近的重點之一是教育應用程序的統治。訪問時發現,個別學校同時使用校內新聞、吃飯、洗澡、聽課等多種40多個應用程序,鼓勵學校盡可能整合為一個。建議至少作為一個入口,杜絕多口徑分散管理。預計未來對教育應用程序會有較高的門檻和更嚴格的要求。
登博2.0時代的網絡安全工作于2017年正式實施,《網絡安全法》將網絡安全正式進入法治時代。這意味著執行網絡安全級別保護,履行成為網絡運營者的基本義務。信息系統不分級,不評價整改,屬于違法運營層面。從教育系統和高校違反網絡安全法的處理情況來看,非常嚴格,因此應引起各高校信息化部門的高度重視。
登博2.0要求從階層保護向綜合預防、集中保護轉變思想。其主要技術思想的方向可以歸結為:
第一,“中心,三重保護系統框架。一個中心的意思是“安全管理中心”。安全管理中心不是平臺、系統,而是集中控制安全管理、安全監測、安全審計等各種設備和應用平臺的體現。三級保護是指“安全通信環境”、“安全區域邊界”和“安全計算環境”
第二,可靠的計算。基于可信根,對計算設備的系統引導程序、系統程序、重要配置參數、應用程序等進行可信驗證,并在應用程序的主要執行階段進行動態可信驗證。可靠性受損時發送警報。將驗證結果形成審核記錄發送到安全管理中心。第三,通用擴展要求。將云計算、移動互聯、物聯網、工業控制系統等納入標準規范。基于共同要求,嵌套相關擴展要求。
具體的評估過程在2.0中減少了表面評估項目,包括評估要求和評估內容增加,但實際上,原始網絡、主機、應用程序級別的要求都集成到了安全計算環境中,實際評估對象沒有減少,網絡級別擴大到了“安全通信網絡和安全領域邊界”,提高了安全管理中心的要求。第二,新標準要求進一步加強問題分析和滲透性驗證測試。三、新標準的評價結論綜合以前的遵守、基本遵守、不遵守“三項優秀(90分)、良好(80分)、中(70分)、差異(70分以下)四項量化比較成績,綜合教育系統評價分數統計和分析,通知相關部門。
為了建立網絡安全的長期機制,確保萬無一失,最近教育系統網絡安全的重點如下。
1、建立網絡安全責任體系
切實加強黨對網絡安全工作的領導,建立網絡安全工作評價機制,將網絡安全工作納入領導干部評價,建立網絡安全責任機制,確立6項責任條款。
2、加快教育系統網絡安全標準的研究和準備
研究開發數據安全相關管理方法、主要信息基礎設施識別指南、網絡安全通知機制管理方法等。
3、促進建立監測和通報機制
加強與相關學會、機構的合作,建立網絡安全漏洞和威脅共享機制,更新教育系統網絡安全任務管理平臺,完善信息系統資產管理,自動化網絡安全監控警報通知,提高教育系統整體安全保護聯動處理效率
4、監督檢查工作的實施
第一,對網絡安全進行綜合評估,第二,進行網絡安全現場檢查,第三,加強網絡安全簡報,第四,對網絡安全相關機構和負責人履行監督責任。
5、網絡安全宣傳教育,加強人力教育
盡快建設一流的網絡安全大學,建立網絡安全一級學科,使網絡安全宣傳周內的網絡安全意識進入校園、教材、頭腦。
6、上半年實施網絡安全工作的重要時期
教育部印發《關于做好2019年上半年重要時期網絡安全保障工作的通知》,集中部署關鍵時期的網絡安全工作,提出加強網絡安全工作的組織部署,必要時調整關鍵時期的網絡保護戰略,建立健全監測預警通知機制,開展網絡安全應急響應工作,實施網絡安全零報告系統等業務要求。
7、進行教育APP特別監測
工作組織進行校園APP專業調查,并以抽樣問卷和網絡爬蟲相結合的方式調查各級學校和教育行政部門的APP。在此基礎上,對教育行政部門和學校主管的298個教育應用程序進行網絡安全監控。共發現3091個安全威脅。將相關安全威脅通知相關機關,并要求相關機關限期整改。目前,相關安全威脅恢復率達到60%以上。
關于高校網絡安全的建議
1、加強學習,提高網信工作能力
1、學習網絡強國戰略思想和關于網信工作的一系列重要論述,是做好網信工作的主要政治任務和根本措施保障。其次,學習最新的網絡申論理論知識和技術成果,與教育戰線的需求相結合。再次學習兄弟單位或其他國家的先進經驗和成功事例。第四,總結過去的工作經驗和教訓,自己學習,應該成為網信工作的基本“算法”。
2、加強網絡安全責任體系的實施
根據相關要求和量化的評價評分方法,執行網絡安全和信息化領導小組及網絡身份的具體責任和任務。黨委(黨組)要定期研究網絡安全部署,負責同志至少每季度召開一次會議,聽取網絡安全工作報告,每年制定網信指導小組年度工作點或網絡安全年度工作點。
3、實施網絡安全等級保護體系
全面完成信息系統網絡安全級別保護等級記錄,定期進行網絡安全級別評估(三級系統一年一次,二級系統每兩年一次)和安全修改。按照2.0標準對照執行相關要求。
4、加強網絡安全教育和培訓
對在單位工作的全體人員進行全面的網絡安全意識培訓,培訓時間要滿足要求。單位信息化管理人員及技術人員應進行網絡安全素養教育,培訓時間應滿足相關要求。對系統運輸和安全技術人員,應組織專業技術培訓,取得相關資格證書,全面提高網絡安全預防技術和水平。
5、提高數據安全保護
要做好數據管理,推進一個來源,制定本單位的數據安全管理方法,規范收集、傳輸、管理和使用。全面使用密碼技術,包括加密、簽名等,加強重要數據安全。
6、進行安全監測和應急演習
日常安全威脅監控需要通過購買工具或服務實時監控系統操作安全狀態,以便立即發現問題。履行《教育系統網絡安全應急預案》要求,參照開發/修訂單位的預案和具體信息系統的應急預案,定期進行應急演習。有條件的單位開展攻防實戰訓練。
7、重要期間安全保障的實施
首先要提高安全意識,加強整體部署。安全工作是政治性強的工作,重要的時間節點應采取其他措施,確保“萬無一失的安全”。其次,優化信息系統/web服務,區分持續訪問、工作時間訪問、訪問限制、關機等政策。第三,實行“零報告”和724小時工作制度。第四,做好監視警報和應急管理,問題立即改變,發生事件時立即報警。
收藏
取消收藏
400-668-6638