等保2.0标准下高校网络安全七大注意事项
作者:天磊咨询
发表日期:2020-09-23
来源:天磊咨询
教育部教育管理信息中心网络安全处处长苏云龙解释并说明了自己的实际工作、对等保障2.0的具体内容以及对高校网络安全的高要求。
在6月13-14日举行的2019年北京高校信息化工作论坛上,教育部教育管理信息中心网络安全处处长苏云龙结合自己的实际工作,说明并说明了对等保障2.0的具体内容和对高校网络安全的更高要求。
三分之一决定网络安全重要性的党的第十九大报告指出,建设教育强国是中华民族伟大复兴的基础工程,要把教育事业放在优先地位,深化教育改革,加快教育现代化,做好人民满意的教育。
网络安全的重要性与三分之一的教育和教育相关人口占全国人口的三分之一,各种教育行业财权的信息系统占全国人口的近三分之一。2016年和2017年教育行业发生的网络安全事件占全国安全事件的三分之一。
我们面临的安全事件主要涉及数据泄漏、数据篡改、网站瘫痪、页面篡改等四个方面。最近的重点之一是教育应用程序的统治。访问时发现,个别学校同时使用校内新闻、吃饭、洗澡、听课等多种40多个应用程序,鼓励学校尽可能整合为一个。建议至少作为一个入口,杜绝多口径分散管理。预计未来对教育应用程序会有较高的门槛和更严格的要求。
登博2.0时代的网络安全工作于2017年正式实施,《网络安全法》将网络安全正式进入法治时代。这意味着执行网络安全级别保护,履行成为网络运营者的基本义务。信息系统不分级,不评价整改,属于违法运营层面。从教育系统和高校违反网络安全法的处理情况来看,非常严格,因此应引起各高校信息化部门的高度重视。
登博2.0要求从阶层保护向综合预防、集中保护转变思想。其主要技术思想的方向可以归结为:
第一,“中心,三重保护系统框架。一个中心的意思是“安全管理中心”。安全管理中心不是平台、系统,而是集中控制安全管理、安全监测、安全审计等各种设备和应用平台的体现。三级保护是指“安全通信环境”、“安全区域边界”和“安全计算环境”
第二,可靠的计算。基于可信根,对计算设备的系统引导程序、系统程序、重要配置参数、应用程序等进行可信验证,并在应用程序的主要执行阶段进行动态可信验证。可靠性受损时发送警报。将验证结果形成审核记录发送到安全管理中心。第三,通用扩展要求。将云计算、移动互联、物联网、工业控制系统等纳入标准规范。基于共同要求,嵌套相关扩展要求。
具体的评估过程在2.0中减少了表面评估项目,包括评估要求和评估内容增加,但实际上,原始网络、主机、应用程序级别的要求都集成到了安全计算环境中,实际评估对象没有减少,网络级别扩大到了“安全通信网络和安全领域边界”,提高了安全管理中心的要求。第二,新标准要求进一步加强问题分析和渗透性验证测试。三、新标准的评价结论综合以前的遵守、基本遵守、不遵守“三项优秀(90分)、良好(80分)、中(70分)、差异(70分以下)四项量化比较成绩,综合教育系统评价分数统计和分析,通知相关部门。
为了建立网络安全的长期机制,确保万无一失,最近教育系统网络安全的重点如下。
1、建立网络安全责任体系
切实加强党对网络安全工作的领导,建立网络安全工作评价机制,将网络安全工作纳入领导干部评价,建立网络安全责任机制,确立6项责任条款。
2、加快教育系统网络安全标准的研究和准备
研究开发数据安全相关管理方法、主要信息基础设施识别指南、网络安全通知机制管理方法等。
3、促进建立监测和通报机制
加强与相关学会、机构的合作,建立网络安全漏洞和威胁共享机制,更新教育系统网络安全任务管理平台,完善信息系统资产管理,自动化网络安全监控警报通知,提高教育系统整体安全保护联动处理效率
4、监督检查工作的实施
第一,对网络安全进行综合评估,第二,进行网络安全现场检查,第三,加强网络安全简报,第四,对网络安全相关机构和负责人履行监督责任。
5、网络安全宣传教育,加强人力教育
尽快建设一流的网络安全大学,建立网络安全一级学科,使网络安全宣传周内的网络安全意识进入校园、教材、头脑。
6、上半年实施网络安全工作的重要时期
教育部印发《关于做好2019年上半年重要时期网络安全保障工作的通知》,集中部署关键时期的网络安全工作,提出加强网络安全工作的组织部署,必要时调整关键时期的网络保护战略,建立健全监测预警通知机制,开展网络安全应急响应工作,实施网络安全零报告系统等业务要求。
7、进行教育APP特别监测
工作组织进行校园APP专业调查,并以抽样问卷和网络爬虫相结合的方式调查各级学校和教育行政部门的APP。在此基础上,对教育行政部门和学校主管的298个教育应用程序进行网络安全监控。共发现3091个安全威胁。将相关安全威胁通知相关机关,并要求相关机关限期整改。目前,相关安全威胁恢复率达到60%以上。
关于高校网络安全的建议
1、加强学习,提高网信工作能力
1、学习网络强国战略思想和关于网信工作的一系列重要论述,是做好网信工作的主要政治任务和根本措施保障。其次,学习最新的网络申论理论知识和技术成果,与教育战线的需求相结合。再次学习兄弟单位或其他国家的先进经验和成功事例。第四,总结过去的工作经验和教训,自己学习,应该成为网信工作的基本“算法”。
2、加强网络安全责任体系的实施
根据相关要求和量化的评价评分方法,执行网络安全和信息化领导小组及网络身份的具体责任和任务。党委(党组)要定期研究网络安全部署,负责同志至少每季度召开一次会议,听取网络安全工作报告,每年制定网信指导小组年度工作点或网络安全年度工作点。
3、实施网络安全等级保护体系
全面完成信息系统网络安全级别保护等级记录,定期进行网络安全级别评估(三级系统一年一次,二级系统每两年一次)和安全修改。按照2.0标准对照执行相关要求。
4、加强网络安全教育和培训
对在单位工作的全体人员进行全面的网络安全意识培训,培训时间要满足要求。单位信息化管理人员及技术人员应进行网络安全素养教育,培训时间应满足相关要求。对系统运输和安全技术人员,应组织专业技术培训,取得相关资格证书,全面提高网络安全预防技术和水平。
5、提高数据安全保护
要做好数据管理,推进一个来源,制定本单位的数据安全管理方法,规范收集、传输、管理和使用。全面使用密码技术,包括加密、签名等,加强重要数据安全。
6、进行安全监测和应急演习
日常安全威胁监控需要通过购买工具或服务实时监控系统操作安全状态,以便立即发现问题。履行《教育系统网络安全应急预案》要求,参照开发/修订单位的预案和具体信息系统的应急预案,定期进行应急演习。有条件的单位开展攻防实战训练。
7、重要期间安全保障的实施
首先要提高安全意识,加强整体部署。安全工作是政治性强的工作,重要的时间节点应采取其他措施,确保“万无一失的安全”。其次,优化信息系统/web服务,区分持续访问、工作时间访问、访问限制、关机等政策。第三,实行“零报告”和724小时工作制度。第四,做好监视警报和应急管理,问题立即改变,发生事件时立即报警。
收藏
取消收藏