随着教育部等六部门《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》的颁布,广西壮族自治区教育系统各级部门不断加大教育新基建的投入。据不完全统计,广西教育系统目前拥有网站和各类应用系统6000余个、中小学信息化终端70万台,教育信息化程度大幅度提升,教育信息化发展迅速。然而,由于人才队伍、保障能力建设未能与信息化建设及时同步,为此带来的网络安全问题也越来越突出。因此,广西壮族自治区教育厅(以下简称“自治区教育厅”)围绕提升广西教育系统网络安全工作能力和水平,立足构建“三化六防”网络安全体系的工作目标,积极推进“五个一”工程,构建广西教育系统网络安全防控体系。
近年来,自治区教育厅以教育系统网络安全工作能力为抓手,积极突破“五个一”,构建广西教育系统网络安全防控体系,即建设广西教育系统网络安全工作管理平台(简称网安工作平台)、成立教育信息化和网络安全技术工作组(简称信安工作组)、创建广西教育系统网络安全监测中心(简称网安监测中心)、建立教育系统网络安全常态化监测机制、构建网络安全工作考核体系。各部分之间的关系如图1所示。
图1 广西教育系统网络安全防控体系
建设网安工作平台 成立信安工作组
为进一步实现教育系统网络安全工作的统一管理,自治区教育厅于2019年开始进行网安工作平台建设。平台对接网络安全态势管理系统、网络安全责任制考核系统、教育信息化终端应用管理系统、教育系统漏洞报告系统等多个网络安全子系统,全面汇聚网安数据和资源,实现研判、处置、考核一体化。
通过平台建设,一是全面梳理了省区市信息系统(网站),落实资产问题责任,实现监管联动;二是全面实现了网站的漏洞监测、木马监测、篡改监测、可用性监测与关键字监测,全面掌握网站的安全态势,提高网站的安全防护能力;三是全面实现了网络安全事件第一时间通报处置、网络安全监管执法工作信息化和数据化,以App、短信等构建网络安全可视化感知、预警、通报、处置工作流闭环。
为充分发挥技术专家在网络安全管理和应急响应等方面的支撑作用,自治区教育厅于2021年成立信安工作组。工作组在教育厅教育信息化管理处领导下,依据相关法律法规、标准规范和有关文件要求,为全区教育信息化和网络安全工作提供决策建议、技术支持和专业咨询,开展网络安全评估、监测、培训和应急响应等相关工作。自成立以来,工作组在网络安全演练、网安平台建设、安全事件处置、网络安全培训、数据治理工作等方面发挥了巨大的作用,取得的成果见表1。
表1 信安工作组工作成效
创建网安监测中心 建立常态化监测机制
为进一步推动教育系统网络安全工作专业化,实现对广西壮族自治区网络安全的主动监测预警,变被动防护为主动防护,自治区教育厅于2021年7月依托广西科技大学创建网安监测中心。中心从监测预警、风险评估、技术研究、技术服务、人才培养、应急支撑等方面开展工作。目前,中心有专职研究人员20余人,其中教授1人,副教授(副研究员)7人,博士5人。自创建以来,中心在资产地图测绘、网络安全预警、网络技术服务、网络安全演练、关键时期防控、安全技术研究等方面,取得了丰硕的成果,具体内容见表2。
表1 中心工作成效
信安工作组和网安监测中心作为广西教育系统网络安全防控体系中重要的技术支撑力量,在自治区教育厅教育信息化管理处的领导下,互相支撑、互为补充。其中,网安监测中心为信安工作组提供资源支持,信安工作组为网安监测中心提供人力组员支持,二者关系如图2所示。
图2 信安工作组与网安监测中心关系示意
自治区教育厅以贯彻落实网络安全等级保护制度为基础,以保护教育系统信息基础设施和数据安全为重点,全时普遍监测和重点专项监测相结合,实施网络安全监测预警工作,快速发现网络安全隐患。规范和建立网络安全常态化监测预警工作流程、安全监测预警及整改处置流程、网络安全风险预警流程、对外联络沟通流程等机制体制,持续发现问题,促进全区教育系统网络安全防护能力和水平提升,防范重大网络安全事件发生,为全区教育信息化发展保驾护航。
构建多维、动态的工作考核体系
为进一步取得网络安全建设成效,自治区教育厅以考核促发展,建立了多维、动态考核体系,具体举措包括:一是举办网络安全演练工作,既可以发现学校信息系统本身存在的安全漏洞、学校网络安全技术防护体系方面的问题、学校网络安全管理体制机制上的问题,又能以实战的方式考核各单位技防工作成果;二是推进网络安全责任制考核,全面考核教育系统各单位网络安全综合工作成果;三是将网络安全常态化监测预警各方面工作结果纳入到网络安全考评指标中,实现指标体系与工作数据体系的动态联结;四是推进岗位标准建设,全面执行持证上岗,开展多轮次、多层次的培训和交流工作。
面向未来,为了深入贯彻落实习近平总书记系列重要讲话精神和总体国家安全观,不断推进教育系统网络安全体系建设。自治区教育厅具体考量如下。
第一,将继续依托“一小组、一中心”,持续建好、用好广西教育技术网络安全工作管理平台,完善教育系统网络安全工作标准,用好网络安全演练、网络安全责任制考核两个抓手,不断完善网络安全常态化监测预警工作机制。
第二,开展教育系统资产测绘工作,获取用户指纹信息形成用户画像,实现重大风险精准预警。
第三,研发全区教育系统网络安全风险评估大数据平台,构建单位网络安全综合能力画像。
基金项目:广西教育科学“十四五”规划2022年度委托重点课题《数字化转型新形势下的教育系统网络安全防御体系构建与创新实践研究》(2022AA19)。
来源:《中国教育网络》2023年11月刊
作者:谭可久1、魏莹莹2、王欢3、彭勇3(作者1单位为河池学院网络中心,作者2单位为广西教育厅信息化处,作者3单位为广西科技大学广西教育系统网络安全监测中心)
责编:陈永杰
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。