当前位置:苍梧新闻网 > 网络 > 正文

邵云龙:等保2.0对高皇冠娱乐城校网络安全提出新要求

2019-07-09 11:08

三个1/3决定了网络安全重要性

  党的十九大以后,教育信息化进入了新的发展阶段。去年4月,教育部正式印发了《教育信息化2.0行动计划》,提出了到2022年基本实现“三全两高一大”的发展目标,要在1.0阶段“三通两平台”的基础上,全面提升教育信息化发展水平,使中国教育信息化步入世界先进行列,发挥全球引领作用,以教育信息化全面推动教育现代化,开启智能时代教育的新征程。

  在这个过程中,网络安全工作贯穿整个教育信息化建设的始终,是需要持之以恒、常抓不懈的关键性支撑工作。

  网络安全的重要性是与三个1/3分不开的,即教育及教育相关人口占全国人口的1/3;各类教育行业在册的信息系统占了全国将近1/3;2016年、2017 年,教育行业发生的网络安全事件占全国安全事件1/3。

  更直观的数据包括:第一,涉及人员多。目前教育机构60万个,专职教师1800万人,各类各级学生超过3.5亿人。第二,系统数量多。当前教育系统网站超过20万个,edu.cn的系统网站11万个,涉及超过百万人数据的系统超过500个。第三,掌握数据多。政务数据资源数量超过10000条,教师数据超过4000万,累计学生数据超过5亿。

  我们面临的安全事件主要涉及数据泄漏、数据篡改、网站瘫痪、页面篡改等四个方面。最近重点之一是对教育APP 的治理,在走访时发现有个别学校针对学生有包括校内新闻、吃饭、洗澡、院系选课等各式各样的40余个APP同时使用,建议学校尽量整合成一个,至少是一个入口,杜绝多口径分散式管理。

等保2.0时代的网络安全工作

  2017年正式实施的《网络安全法》将网络安全正式带入了法治时代,这也就意味着,履行网络安全等级保护成为网络运营者的基本义务,假如信息系统没有定级备案、没有测评整改,都属于违法运维,从教育系统以及高校违反网络安全法的处理情况来看都是非常严格的,需要引起各高校信息化部门的高度重视。

  《网络安全法》其中很重要的一方面就是网络安全等级保护制度。1994年,国务院147号令提出“计算机信息系统全面实行信息安全等级保护”,“等保”这个提法正式出现,随着近年来云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保2.0标准应运而生。2019年5月13日,公安部发布《网络安全等级保护基本要求》(GB/T22239-2019)、《网络安全等级保护安全设计技术要求》(GB/T25070-2019)、《网络安全等级保护测评要求》(GB/T28448-2019)。

  相比1.0,网络安全等级保护2.0与网络安全法保持一致,《中华人民共和国网络安全法》明确规定“国家实行网络安全等级保护制度”,等保2.0也与时俱进地将原标准的“信息系统安全等级保护”改为“网络安全等级保护”,并且覆盖全社会、全行业和全对象,这个“网络”是大的网络概念,基础网络、信息系统、移动互联网、云计算、物联网、工控等都包含在其中。

  等保2.0要求从分层防护向综合防控、集中防护的思想转变。其主要技术思想方向可归结为:第一,“一个中心,三重防护”的体系框架。三重防护是指“安全通信环境”、“安全区域边界”和“安全计算环境”;一个中心是指“安全管理中心”。安全管理中心不是某一个平台,某一个系统,而是把安全管理、安全监测、安全审计等各类的设备和应用平台集中管控的体现。第二,可信计算。基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,一旦检测到可信性受到破坏就进行报警,并将验证结果形成审计记录送至安全管理中心。第三,通用+ 扩展要求。将云计算、移动互联、物联网、工业控制系统等列入标准规范。在通用要求的基础上叠加相关扩展要求。

  具体到测评过程,应该注意以下几个方面,一是测评要求和测评内容增加,等保2.0中虽然表面测评项有所减少,实际上原网络、主机、应用层面的要求均合并至安全计算环境,实际测评对象并未减少,且网络层面扩充为“安全通信网络与安全区域边界”,增加了安全管理中心的要求;二是新标准进一步要求加强问题分析以及渗透性验证测试。三是新标准的测评结论由之前的“符合、基本符合、不符合”三项变为优(90分)、良(80 分)、中(70分)、差(70分以下)四项量化比较成绩,汇总形成教育系统测评得分统计和分析,并通报给有关部门。

建立长效机制确保万无一失

  近期教育系统网络安全重点工作是:

最近关注

热点内容