2021年5月14日,由《中国教育信息化》杂志社主办,中南大学承办,深信服科技股份有限公司协办的“教育网络安全运营”专题研讨会在湖南长沙召开。会议邀请到百余名教育行业信息化专家出席。《中国教育信息化》杂志社社长刘义、中南大学信息与网络中心主任王新平到会致辞。教育部教育管理信息中心安全处处长邵云龙、湖南省教育厅信息中心规划部部长许鞍铭、中南大学信息与网络中心副主任陈军、东华理工大学网络与信息中心副主任李卫东、深信服安全BG CTO郝轶、深信服安全托管服务业务副总经理李焕波、深信服数据安全产品线总经理李玉亮等嘉宾出席会议并做主题发言。
教育部科学技术与信息化司2021年工作要点强调,增强教育系统网络安全保障能力,做好建党100周年等重要时期网络安全保障工作,健全网络安全责任制,加强关键信息基础设施保护,健全网络安全监测通报机制,提升网络安全态势感知能力,提升数据安全特别是个人信息保护能力。开展教育系统网络安全攻防演习,提高重大事件应急处置能力,维护广大师生的切身利益。按照上述文件精神,研讨会围绕教育系统网络安全运营中的三大问题展开深入研讨。
一、教育信息化发展的不同阶段分别需要怎样的网络安全能力;
二、如何聚焦当下并兼顾长远做好教育系统网络安全建设;
三、数据安全当前面临的主要问题和解决方案。
加强教育信息化宣传,促进技术与运营深度融合
《中国教育信息化》杂志社社长刘义在致辞中表示,杂志社将聚焦教育信息化相关的重点、难点、热点问题,对应用成果案例和优秀解决方案进行多维度、立体化、一站式宣传和推广。
中南大学信息与网络中心主任王新平在致辞中指出,“教育网络安全运营”会议是为了促进高校信息技术与网络安全运营的深度融合,提升教育系统网络安全保障能力,从而更好地推动教育信息化的快速发展。我们希望,会议针对校园环境下的网络安全管理和运营充分交流经验,分享建设成果,相互学习,共同提高,取得实效。
做好“三化六防”,构建三大体系
“教育信息化的高速发展,使网络安全防护面临巨大挑战”,教育部教育管理信息中心网络安全处处长邵云龙指出:“随着国家陆续出台一系列网络安全政策,网络安全建设的当务之急是做好‘三化六防’,即重在落实‘实战化、体系化、常态化’的等级保护新理念,践行‘动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控’的新举措,构建国家网络安全综合防控体系,提升国家网络安全综合防御能力和水平。”
通过对当前教育网络安全态势的分析,湖南省教育厅信息中心规划部部长许鞍铭认为,“十四五”网络安全工作的核心是要构建好三大体系,即教育网络安全“角色控制、零信任”技术保障体系、教育网络安全“内生安全”管理体系以及“基础自主、动态服务”数据安全防护体系。
树立安全观、落实责任制、讲求方法论——高校网络安全建设探索
信息资产不清、责任不明、数据孤岛、网络安全事件频发等问题在教育系统中普遍存在,针对上述问题,中南大学信息与网络中心副主任陈军分享了学校网络安全有关工作做法。
制度保障体系:依据网络安全法、等保制度体系以及教育部要求,开展网络安全的制度建设,专业技术人员队伍建设,流程化处置机制建设以及宣传教育和培训。构建覆盖学校、学院、机关及直附属单位、个人的四级网络安全管理和协同体系,形成统筹协调有力、部门协同高效,上下联动顺畅的网络安全工作机制;
技术保障体系:整合学校现有网络安全资源,规划统一的安全运营平台,实现学校网络安全的治理、防控、监测、预警、通报、整改、应急处置以及安全态势感知,为安全管理工作提供平台级支撑。
机制保障体系:通过不同角色的处置流程建设,重点保护重要信息资产、重要数据及个人信息,及时消除安全隐患和风险,避免事件扩散。在流程管理层面,建立资产梳理、入侵检查、安全评估、安全加固的资产管理流程;在技术服务层面,学校购买了深信服整套安全运营保障服务,包括学校网络安全的治理、防控、监测、预警、通报、整改以及安全态势感知等服务,为学校网络安全管理工作提供平台级支撑;在应急响应层面,建立网络安全事件应急响应流程,第一时间完成紧急事件和重大事件的通报、处置、整改与复核。
未来三年,中南大学将对现有信息化基础设施、平台、系统等信息资产进行梳理、整合、重构,全面推进“五个一”工程,即有线无线一张网、应用支撑一平台、办事服务一站式、数据业务一体化和网安保障一体系,做到强基础、筑平台、保安全、守标准,夯实信息化基础。
东华理工大学网络与信息中心副主任李卫东介绍,学校与深信服合作搭建了涵盖安全管理、态势感知、安全服务等维度的安全运营平台,构建了集防御、监测、响应于一体的主动防御体系,提升了东华理工大学持续监测、快速响应的网络安全治理能力。此外,为进一步落实《网络安全法》等法律法规和政策要求,提升安全保障能力,东华理工大学提出了安全合规、全流程闭环、纵深防御的网络安全工作思路。
破除三大障碍,补齐四种能力,深信服助力高校网络安全建设
深信服安全托管服务业务副总经理李焕波认为,高校热点安全问题解决不好的共性根因在于三个关键障碍和四种能力缺失。即安全人员不足、安全技术缺乏融合、安全管理机制不完善三大关键障碍,以及高校事件管理能力、资产管理能力、脆弱性管理能力、威胁管理能力的缺失。
为此,深信服提出聚焦高校网络安全建设全生命周期的安全运营中心构建模式,即在“人机共智、安服赋能、持续运营”的高校网络安全建设新理念基础上,搭建“运营组件+运营平台+运营专家+运营机制”的最小化安全运营体系,助力众多知名高校构建持续有效的网络安全环境。
数据安全治理需遵循“四个原则”
深信服安全BG CTO郝轶认为,“十四五”规划纲要描绘了未来五年智慧校园的发展蓝图,“高校信息化发展也正进入数字化转型的关键阶段,而高校数据资产底数不清,数据信息保护意识不够,数据使用效率低等问题却成为高校数据治理的掣肘。”
邵云龙处长强调,维护数据安全和促进数据开发利用应当并重,数据安全治理首先要规范数据生命周期管理,要遵循数据收集最小够用原则、数据查看最小授权原则、数据存储最短周期原则、数据共享用而不存原则;同时,坚持一数一源,建立数据分类分级制度,并采用不同的保护措施,着重保障个人信息安全。
深信服数据安全产品线总经理李玉亮表示,数据安全治理的本质不仅仅是保护好数据,最终目的在于释放数据价值。深信服科技提出“构建以智能数据分类分级为核心的数据安全治理”的体系框架。该框架通过分类分级、风险监测、存储安全、使用安全、流转安全等技术支撑手段,为用户提供了“数据可知、风险可视、安全可控、问题可溯”四大核心数据安全能力,实现数据全生命周期的安全保护,最大化释放数据价值。
聚焦当下 展望未来
当前,教育信息化已经迈入2.0时代,新时代迎来了新的机遇,同时也带来了新的挑战。网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障。此次专题研讨会不仅分析了目前教育信息化发展中存在的突出网络安全问题,而且深入探讨了网络安全防护的对策,为教育系统网络安全运营提供了新思路、新成果、新实践。在今后的工作中,我们将持续加强技术的创新,完善体制的建设,保障教育系统网络安全可管可控,促进教育信息化的健康发展。