查看原文
其他

“新安全”提升教育系统网络安全防控能力

姜开达、吴芳 中国教育网络 2022-11-22

在教育部等六部门于2021年7月印发的《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》(以下简称《意见》)中,提出建设可信安全新型基础设施,有效感知网络安全威胁,过滤网络不良信息,提升信息化供应链水平,强化在线教育监管,保障广大师生的切身利益。

网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。

现在很多信息化基础设施面向广大师生服务、存储大量个人敏感数据,这类基础设施一旦出了安全问题,后果会极为严重。

要形成科学的网络安全观,强化责任担当,积极主动作为,把命运牢牢掌握在自己手中。

可信安全新型基础设施具有四个方向,以下几个近期可重点关注:

一是增强感知能力。

维护网络安全,首先要知道风险在哪里,完成闭环的早期发现、精准研判和积极处置。

二是保障绿色上网。

增加青少年保护功能,自动识别、过滤不良网站和信息,从严限制广告,预防网络沉迷的同时,引导安全和合理地使用网络。

三是健全应用监管。

新技术、新应用进校园,面临新机遇、新挑战,要加强审核备案,引导健康发展。将教育信息化第三方供应链全面纳入事前事中事后监管体系,从源头安全抓起。

增强感知能力

17. 增强感知能力。完善教育系统信息资产数据库,掌握信息系统(网站)情况,绘制网络空间资产地图。基于教育专网开展网络流量监测,及时监测安全威胁、发现攻击行为。建立教育系统应急指挥网络,提升安全事件发现、应急报告、协同处置、追踪溯源等能力。汇聚安全威胁和情报信息,利用人工智能、大数据技术进行分析研判,形成趋势报告。

《意见》第17条

习近平总书记在网络安全和信息化工作座谈会上指出,维护网络安全,没有意识到风险是最大的风险。

首先要知道风险在哪里,是什么样的风险,什么时候发生风险,“聪者听于无声,明者见于未形”,感知网络态势是最基础的工作。

要全面加强网络安全检查,完善教育系统信息资产数据库,掌握信息系统(网站)情况,摸清家底,认清风险,找出漏洞,通报结果,督促整改。

网络安全态势感知应具备全天候、全方位能力,网络安全攻击事件随时都有可能发生,需要实现7×24小时不间断感知,第一时间发现威胁,第一时间做出研判并开展处置。

要提升更加积极主动的态势感知能力,掌握攻防博弈的主动权,不能“谁进来了不知道、是敌是友不知道、干了什么不知道”。

对各级各类网络,要进行网络流量监测,及时监测安全威胁、发现攻击行为、开展通报预警。

各地要建立教育系统应急指挥网络,发挥行业优势,依托高校技术力量,结合网络安全人才培养,积极组建自己的网络安全队伍,开展网络安全攻防演练等技术交流活动,检验各地网络安全防护技术水平,发现网络安全薄弱环节,考察并提升各单位网络安全事件监测预警、应急报告、协同处置、追踪溯源等能力。

网络安全监测产生了海量的安全告警事件和各类良莠不齐的威胁情报信息,如此规模的数据已难以用传统的方式进行有效分析挖掘。

大量原始安全数据所蕴含的价值密度很低,只有将其中真正有用的信息提炼出来才能充分发挥数据的价值。

将安全分析结果可视化呈现,能够最为直观地让用户看到大数据分析的结果,例如各种现实中的网络攻击、恶意代码传播、存在漏洞的主机等。

利用人工智能、大数据技术辅助专家经验进行分析研判,研究自动化异常发现的算法,降低人工分析干预程度,指导我们的安全工作是大势所趋。

保障绿色上网

18.保障绿色上网。在教育专网主干网和校园网互联网出口建设网络访问防火墙,自动识别、过滤不良网站和信息。在中小学生个人学习终端增加青少年保护功能,保护学生视力健康,预防青少年网络沉迷。支持开发适用于中小学生使用的安全浏览器等软件和教育学习平台,从严限制广告,杜绝不良信息,保障学生绿色上网。

《意见》第18条

教育部和中央网信办、公安部等部门持续组织开展“净网”、“清朗”、“护苗”行动,对影响未成年人健康成长的不良网络文化、低俗有害信息和沉迷网络游戏、涉少年儿童教育App乱象等问题进行集中整治,规范网络游戏应用商店管理,查处传播淫秽色情、暴力恐怖等网络出版物的境内外网站和存在传播违法违规信息、过度商业营销等不良行为及违背教育教学规律等内容的教育App,营造有利于中小学生健康成长的网络环境,消除“网络负能量”,凝聚“网络正能量”。

在中小学生个人学习终端增加青少年保护功能,预防青少年网络沉迷的同时,也应不断加强教育引导,提高中小学生网络素养和网络安全意识,引导学生远离有害信息,安全和合理地使用网络,帮助和指导家长履行好监护责任,为青少年营造一个风清气正的网络空间。

要支持开发适用于中小学生使用的安全浏览器等软件和教育学习平台,在提供高速、便捷、绿色、安全的网络服务同时,采取有效积极措施,自动识别、过滤不良网站和信息,从严限制广告,保障青少年绿色上网。

推动可信应用

19. 推动可信应用。促进信息技术应用创新,提升供应链安全水平。有序推动数据中心、信息系统和办公终端的国产化改造,推进国产正版软件使用。推动建设教育系统密码基础设施和支撑平台,建立完善全国统一的身份认证体系,推动移动终端的多因子认证。利用国产商用密码技术推动数据传输和存储加密,提升数据保障能力。

《意见》第19条

提升教育行业软硬件供应链安全水平,要规范信息系统开发管理,明确开发企业安全要求,对教育软硬件产品开展安全评估,鼓励发现通用系统漏洞,推进整改修复。

促进信息技术应用创新,要鼓励优先使用具有自主核心技术以及安全性达到要求的国内产品,鼓励有条件的高校率先开展试点,有序推动数据中心、信息系统和办公终端的国产化改造,培养青年用户使用习惯,推进和鼓励使用国产正版软件。

《中华人民共和国数据安全法》已经发布,利用国产商用密码技术推动数据传输和存储加密,新建信息系统(网站)应优先使用国产商用密码技术。

全面加强数据安全管理,建立覆盖数据采集、传输存储、使用处理、开放共享的数据全生命周期管理制度,数据收集“最小够用”,数据查看“最小授权”,数据存储“最短周期”,数据共享“用而不存”,规范采集使用个人信息的行为,重点保护广大师生和家长,特别是未成年人的个人隐私信息。

健全应用监管

20. 健全应用监管。提升教育移动互联网应用程序、教育软件、在线教育平台和新型数字终端等监管的信息化支撑能力,推动新技术、新应用进校园审核备案。会同网信、公安部门开展人工智能算法备案、检查和评估。建立完善教育信息化相关企业信用记录,通过大数据分析各类应用存在的安全风险隐患,为事中事后监管提供支持。

《意见》第20条

在落实教育App备案制度的基础上,运用大数据和信用手段,落实《教育移动互联网应用程序投诉举报处置工作流程》,加强教育App的事中事后监管,切实保障广大师生的合法权益。

新技术、新应用进校园,带来新机遇、新挑战,要加强审核备案,引导其在教育领域健康发展。将教育信息化第三方供应链纳入工作范畴,规范信息系统开发管理,明确开发企业落实好供应链安全要求,建立健全供应链安全保障机制,从源头安全抓起,加强事前事中事后监管。

算法是互联网运作的基础,是大数据、人工智能、云计算等一切网络活动的内部规则。要充分认识算法在智能时代的重要意义,加强对算法的备案和审查,特别是要加强算法技术和伦理安全的监管。

建立完善教育信息化相关企业信用记录,使用大数据、人工智能等新技术分析各类应用存在的安全风险隐患,增强教育系统信息资产数据库,形成常态化快速通报机制,促进信息化相关企业主动提升安全意识,增强自身安全建设投入,切实承担其应尽的义务和责任。

作者:姜开达、吴芳(上海交通大学信息化推进办公室 )

责编:高明

投稿、转载或合作,请联系:eduinfo@cernet.com

往期推荐

● 建设教育专网!教育部等六部门发文部署教育新型基础设施建设

● 四大重点!高校网络安全体系如何构建?

为“新安全”点赞~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存