论文部分内容阅读
随着国家政策引导以及移动互联网、5G、大数据中心等技术应用,教育行业信息化工程及在线教育平台迅速发展起来,智慧校园、远程教育、网络云课堂等方式受到广大师生群体认可。白皮书聚焦我国教育行业网络安全问题,从机构、人员、系统、应用等切入点对网络安全总体形势进行了分析并针对性提出安全保障建议。从国家、地方层面对教育信息化时代的网络安全政策要求进行简要阐述;并对当前教育行业的网络安全总体形势进行分析。
教育行业网络安全发展环境
我国稳步推进
教育信息化事业发展
教育信息化工程在教育领域运用现代信息技术,促进教育改革与发展,具备数字化、网络化、智能化、多媒体化等技术特征,以及开放、共享、交互、协作等教学特点。自1993年美国提出建设“国家信息基础设施”(信息高速公路计划)以来,世界各国纷纷探索教育信息化发展路径,我国的教育信息化事业也取得长足进展。
2010年7月,中共中央国务院印发《国家中长期教育改革和发展规划纲要(2010—2020年)》,提出教育发展战略目标,研究教育信息化建设可持续发展策略。
2012年3月,教育部印发《教育信息化十年发展规划(2011—2020年)》,提出以教育信息化带动教育现代化,把教育信息化摆在支撑引领教育现代化的战略地位。
2016年6月,教育部印發《教育信息化“十三五”规划》,提出在2020年基本形成具有国际先进水平、信息技术与教育融合创新发展的中国特色教育信息化发展路子。
2018年4月,教育部印发《教育信息化2.0行动计划》,积极推进“互联网 教育”发展,加快教育现代化和教育强国建设。
2019年2月,中共中央国务院印发《中国教育现代化2035》,提出加快信息化时代教育变革,建设智能化校园。
2020年以来,教育部已启动《教育信息化中长期发展规划(2021—2035)》和《教育信息化“十四五”规划》编制工作。
新时代,党中央、国务院高度重视教育信息化事业发展。自2015年起《国务院关于积极推进“互联网 ”行动的指导意见》已提出探索新型教育服务供给方式,探索网络化教育新模式。习近平总书记指出,实施“互联网 教育”,促进基本公共服务均等化。李克强总理在2019年政府工作报告中指出,发展“互联网 教育”,促进优质资源共享,发展更加公平更有质量的教育。当前教育信息化已成为改变传统教育模式、深化教育改革的重要内容。
国家规划出台
教育信息化网络安全政策
没有信息化就没有现代化,没有网络安全就没有教育安全,在教育信息化工程稳步前进的同时,国家教育主管部门在《中华人民共和国网络安全法》的基本法规基础上陆续出台一系列信息化安全建设与管理的政策法规,不断夯实教育行业网络安全保障体系。
2017年4月,教育部印发《教育行业网络安全综合治理行动方案》,指出教育行业仍存在网络安全责任不落实、管理不规范、安全隐患修复不及时、监测预警和应急响应能力不足、网络安全事件时有发生等问题。教育部针对性开展了网络安全综合治理行动,包括治理网站乱象、强化主体责任、全面监测网络安全威胁、检测应用软件安全风险、补齐等保短板、加快完成定级备案、有序推进测评整改、加强关键信息基础设施规范管理、健全网络安全事件应急响应机制等。
2018年4月,教育部印发《教育信息化2.0行动计划》,指出要建立网络安全和信息化统筹协调的领导体制,完善网络安全监督考核机制,以《中华人民共和国网络安全法》等法律法规为纲,全面提高教育系统网络安全防护能力,全面落实网络安全等级保护制度,深入开展网络安全监测预警,做好关键信息基础设施保障,重点保障数据和信息安全,强化隐私保护。
在此基础上,教育部于2018、2019、2020年连续部署“教育信息化和网络安全工作要点”,将网络安全工作与教育信息化并列提出,重点关注网络安全保障工作。在《2020年教育信息化和网络安全工作要点》中指出,要不断完善教育网络安全支撑体系,网络安全人才培养能力和质量全面提升,教育系统网络安全防护水平不断提高,组织开展教育系统关键信息基础设施认定和检查。
2019年11月,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局根据《关于开展App违法违规收集使用个人信息专项治理的公告》联合制定了《App违法违规收集使用个人信息行为认定方法》,为App违法违规收集使用个人信息行为的认定提供了参考;2019年11月,教育部办公厅印发《教育移动互联网应用程序备案管理办法》,做出现有教育移动应用的备案工作计划。
国家对教育行业网络安全高度重视,无论是教育机构、基层教育机构信息化建设,还是当前发展火热的“互联网 教育”“教育大数据”“在线教育平台”,国家出台的基础性法律、指导性政策、规范性标准无不强调做好教育行业的网络安全工作。
各地贯彻落实
教育信息化网络安全部署
自教育部印发《教育信息化2.0行动计划》以来,各省市纷纷做出行动部署,切实推进教育信息化进程中的网络安全保障工作。
2019年3月,黑龙江省教育厅印发《省教育厅关于进一步加强全省教育系统招生考试网络与信息安全工作的意见》,指出要建立健全网络与信息安全工作组织体系、管理规章和责任制度;落实国家信息安全等级保护制度;有效防范、控制和抵御信息安全风险;增强安全预警、应急处置和灾难恢复能力;形成与教育信息化发展相适应的、完备的网络与信息安全保障体系。
2019年6月,江苏省教育厅印发《江苏教育信息化2.0行动计划》,指出要推进“互联网 教育”大平台建设,探索互联网 教育服务模式。在云计算、大数据、物联网、人工智能等新一代信息技术深度融入教育全过程中,对教育信息化网络安全提出新要求。一是健全完善网络安全制度体系,要建立健全网络安全应急响应机制和应急预案,建立健全网络安全监测预警和通报制度,全面落实网络安全等级保护制度。二是健全完善网络安全技术防护体系,要配备软硬件设备设施和专业化队伍,建立技防与人防相结合的综合防护体系,构建可信、可控、可查的网络环境,有效防范和抵御网络安全风险。 2019年8月,山东省教育厅印发了《山东省教育信息化2.0行动计划(2019—2022)》,文件指出要探索5G技术在无线校园建设中的推广应用,推进IPv6规模部署和应用,使教育信息化应用分批次向云迁移。
自2020年以来,河北、吉林、广西、重庆、四川、陕西等多地印发了2020年教育信息化与网络安全工作要点。综合来看,多个省份在推进教育信息化2.0行动计划过程中,严格贯彻教育部部署,从教育信息化网络安全的工作管理制度、安全应急保障体系、网络安全应急预案、落实网络安全等级保护制度、建立健全教育网络安全监测预警体系、加强对重点教育网站的监测、开展网络安全专项教育和培训等方面做出了部署。
教育行业网络安全总体形势
教育信息化网络系统已成为当前建设教育强国的重要载体,为管理部门、学校、教师、学生及家长的使用提供了巨大便利。教育行业信息化应用系统每天产生并长期保存大量数据,包括教育资源、科研成果、师生信息、教学素材、国家教学资助信息等,因此网络安全防护工作与数据保护治理工作至关重要。目前教育行业网络安全形势严峻,高校校园网络、培训机构业务系统受到常态化网络探测与攻击,并在开学、招聘、重大事件等时段会加剧,主要风险点包括网络安全隐患普遍、校园网风险众多、外部环境攻击严重、内部环境漏洞增多、教育DDoS攻击频发、信息泄露事件不断、App风险突出等。
网络安全隐患普遍
随着互联网、移动互联网技术与传统教育行业深度融合,教育行业网络环境普遍存在安全隐患。教育行业信息系统具备网络、数据、用户规模庞大的特征,使得网络安全隐患分布广泛且监管防护难度增大。一是教育行业涉及人员众多,全国范围内教育机构有近59万个,专职教师1800万人,整体教育行业各级各类学生超过3.5亿人;二是教育信息系统数量多,教育系统网站超过20万个,edu.cn域名的网站有近11万个,涉及超过100万人数据的系统达500多个;三是教育信息数据量大,教育行业政务数据资源数量达10624条,教师数据超过4000万条,累计学生数据超过5亿条。因此,教育行业信息系统特点可以总结为信息系统多、业务类型宽、用户规模大、遍布地域广、软件类型杂、数据信息量大、信息价值高、用户信息化知识水平参差不齐、网络安全意识不强、管理制度执行难等,所有特征都是教育行业网络安全隐患普遍的诱发因素。
校园网络风险众多
高等院校的校园网络和企业网络存在一定差异,因此网络风险及攻击面表现形式也有所区别。
一是校园网内网络病毒、木马程序蔓延迅速。高校校园网是普及宽带网络较早的基础设施,因此已经实现普遍的千兆/万兆宽带在园区主干互联。校园网的用户群体比较密集,局域网内部用户规模庞大,一般都是集中的教学区、学生住宿区、职工住宅区等,而高带宽和大用户量导致网络病毒、木马程序蔓延迅速,网络对严重的安全隐患表现出高敏锐性。
二是校园网信息化运维难度大,管理流程复杂,风险管控和责任界定较难。高校无法像企业一样向每个员工落实网络安全防护职责,学生针对私人电脑进行的所有操作(例如U盘混用、不明网页浏览、不安全链接访问、木马病毒邮件查收等)都存在个人设备感染病毒后影响整个网络的风险。校园中设备购置和管理情况非常复杂,除学校机房、教学设备、实验机房设备等由学校统一管理之外,学生和教师群体的个人设备无法由学校统一管控。一般高校的在校学生都在几万人左右,学生使用自己购买的设备(笔记本电脑、移动终端等)并自我维护,这直接导致校园网络具备非常广的受攻击面,学生和设备众多,大家网络安全意识和防护水平各不相同,并且发生网络安全事件后安全责任难以分清。
三是校园网用户群體网络活跃度高,木马病毒传播来源广。在开放环境下,高校学生乐衷于尝试网络新技术,因此会有更大概率面临新技术带来的安全威胁。尤其各大高校计算机、软件工程、网络安全等相关专业的学生会研究各类木马病毒,亲身实验各类攻击技术,用个人电脑模拟攻击目标或者攻击靶场进行攻防实验,处理不当则可能对整个校园的网络造成影响和破坏。部分学生受好奇心驱使或者因科研需求,主动开发一些高危代码、制造漏洞、编制木马程序等,因而网络风险较高。
四是高校在网络安全防护方面投入有限,导致安全防护设备成为短板。高校是非营利事业单位,无法像商业公司一样大规模进行信息化建设与网络安全维护投入,因此高校存在一定程度的维护管理投入不足、网络安全技术手段不足、网络安全制度体系不足、网络安全意识淡薄等问题。
外部环境攻击严重
信息系统外部环境威胁是指由系统安全区域边界之外引入的网络风险,如外部黑客等发起的拒绝服务攻击、端口扫描、木马后门、强力攻击、IP碎片攻击、蠕虫病毒等。目前,教育行业网络面临严重的外部网络攻击,恶意软件表现非常活跃。深信服安全云脑检测到的2019年活跃的恶意程序拦截量为181.07亿次,在教育行业系统中挖矿类恶意软件感染占比最多(占54.61%),其次为远程控制木马(占20.65%)及蠕虫病毒(占15.15%)。
随着数字货币价值不断攀升,盗取用户计算机处理器的计算能力进行挖矿成为网络世界主要的威胁之一。从挖矿病毒、木马攻击的行业分布来看,黑客倾向于攻击企业、政府、教育行业。
内部环境漏洞增多
信息系统内部环境威胁是指由系统安全区域边界以内引入的网络风险,如系统漏洞、网站脆弱性、管理制度缺失、安全运维能力不足等。目前,教育行业大量信息系统存在安全漏洞隐患。在《2017年教育行业网络安全报告》中将教育行业细分为8个领域,每个领域抽样约100家机构,包括重点高校、职业培训、儿童早教、兴趣教育、出国留学、语言学习、教育信息化、综合服务
教育行业网络安全发展环境
我国稳步推进
教育信息化事业发展
教育信息化工程在教育领域运用现代信息技术,促进教育改革与发展,具备数字化、网络化、智能化、多媒体化等技术特征,以及开放、共享、交互、协作等教学特点。自1993年美国提出建设“国家信息基础设施”(信息高速公路计划)以来,世界各国纷纷探索教育信息化发展路径,我国的教育信息化事业也取得长足进展。
2010年7月,中共中央国务院印发《国家中长期教育改革和发展规划纲要(2010—2020年)》,提出教育发展战略目标,研究教育信息化建设可持续发展策略。
2012年3月,教育部印发《教育信息化十年发展规划(2011—2020年)》,提出以教育信息化带动教育现代化,把教育信息化摆在支撑引领教育现代化的战略地位。
2016年6月,教育部印發《教育信息化“十三五”规划》,提出在2020年基本形成具有国际先进水平、信息技术与教育融合创新发展的中国特色教育信息化发展路子。
2018年4月,教育部印发《教育信息化2.0行动计划》,积极推进“互联网 教育”发展,加快教育现代化和教育强国建设。
2019年2月,中共中央国务院印发《中国教育现代化2035》,提出加快信息化时代教育变革,建设智能化校园。
2020年以来,教育部已启动《教育信息化中长期发展规划(2021—2035)》和《教育信息化“十四五”规划》编制工作。
新时代,党中央、国务院高度重视教育信息化事业发展。自2015年起《国务院关于积极推进“互联网 ”行动的指导意见》已提出探索新型教育服务供给方式,探索网络化教育新模式。习近平总书记指出,实施“互联网 教育”,促进基本公共服务均等化。李克强总理在2019年政府工作报告中指出,发展“互联网 教育”,促进优质资源共享,发展更加公平更有质量的教育。当前教育信息化已成为改变传统教育模式、深化教育改革的重要内容。
国家规划出台
教育信息化网络安全政策
没有信息化就没有现代化,没有网络安全就没有教育安全,在教育信息化工程稳步前进的同时,国家教育主管部门在《中华人民共和国网络安全法》的基本法规基础上陆续出台一系列信息化安全建设与管理的政策法规,不断夯实教育行业网络安全保障体系。
2017年4月,教育部印发《教育行业网络安全综合治理行动方案》,指出教育行业仍存在网络安全责任不落实、管理不规范、安全隐患修复不及时、监测预警和应急响应能力不足、网络安全事件时有发生等问题。教育部针对性开展了网络安全综合治理行动,包括治理网站乱象、强化主体责任、全面监测网络安全威胁、检测应用软件安全风险、补齐等保短板、加快完成定级备案、有序推进测评整改、加强关键信息基础设施规范管理、健全网络安全事件应急响应机制等。
2018年4月,教育部印发《教育信息化2.0行动计划》,指出要建立网络安全和信息化统筹协调的领导体制,完善网络安全监督考核机制,以《中华人民共和国网络安全法》等法律法规为纲,全面提高教育系统网络安全防护能力,全面落实网络安全等级保护制度,深入开展网络安全监测预警,做好关键信息基础设施保障,重点保障数据和信息安全,强化隐私保护。
在此基础上,教育部于2018、2019、2020年连续部署“教育信息化和网络安全工作要点”,将网络安全工作与教育信息化并列提出,重点关注网络安全保障工作。在《2020年教育信息化和网络安全工作要点》中指出,要不断完善教育网络安全支撑体系,网络安全人才培养能力和质量全面提升,教育系统网络安全防护水平不断提高,组织开展教育系统关键信息基础设施认定和检查。
2019年11月,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局根据《关于开展App违法违规收集使用个人信息专项治理的公告》联合制定了《App违法违规收集使用个人信息行为认定方法》,为App违法违规收集使用个人信息行为的认定提供了参考;2019年11月,教育部办公厅印发《教育移动互联网应用程序备案管理办法》,做出现有教育移动应用的备案工作计划。
国家对教育行业网络安全高度重视,无论是教育机构、基层教育机构信息化建设,还是当前发展火热的“互联网 教育”“教育大数据”“在线教育平台”,国家出台的基础性法律、指导性政策、规范性标准无不强调做好教育行业的网络安全工作。
各地贯彻落实
教育信息化网络安全部署
自教育部印发《教育信息化2.0行动计划》以来,各省市纷纷做出行动部署,切实推进教育信息化进程中的网络安全保障工作。
2019年3月,黑龙江省教育厅印发《省教育厅关于进一步加强全省教育系统招生考试网络与信息安全工作的意见》,指出要建立健全网络与信息安全工作组织体系、管理规章和责任制度;落实国家信息安全等级保护制度;有效防范、控制和抵御信息安全风险;增强安全预警、应急处置和灾难恢复能力;形成与教育信息化发展相适应的、完备的网络与信息安全保障体系。
2019年6月,江苏省教育厅印发《江苏教育信息化2.0行动计划》,指出要推进“互联网 教育”大平台建设,探索互联网 教育服务模式。在云计算、大数据、物联网、人工智能等新一代信息技术深度融入教育全过程中,对教育信息化网络安全提出新要求。一是健全完善网络安全制度体系,要建立健全网络安全应急响应机制和应急预案,建立健全网络安全监测预警和通报制度,全面落实网络安全等级保护制度。二是健全完善网络安全技术防护体系,要配备软硬件设备设施和专业化队伍,建立技防与人防相结合的综合防护体系,构建可信、可控、可查的网络环境,有效防范和抵御网络安全风险。 2019年8月,山东省教育厅印发了《山东省教育信息化2.0行动计划(2019—2022)》,文件指出要探索5G技术在无线校园建设中的推广应用,推进IPv6规模部署和应用,使教育信息化应用分批次向云迁移。
自2020年以来,河北、吉林、广西、重庆、四川、陕西等多地印发了2020年教育信息化与网络安全工作要点。综合来看,多个省份在推进教育信息化2.0行动计划过程中,严格贯彻教育部部署,从教育信息化网络安全的工作管理制度、安全应急保障体系、网络安全应急预案、落实网络安全等级保护制度、建立健全教育网络安全监测预警体系、加强对重点教育网站的监测、开展网络安全专项教育和培训等方面做出了部署。
教育行业网络安全总体形势
教育信息化网络系统已成为当前建设教育强国的重要载体,为管理部门、学校、教师、学生及家长的使用提供了巨大便利。教育行业信息化应用系统每天产生并长期保存大量数据,包括教育资源、科研成果、师生信息、教学素材、国家教学资助信息等,因此网络安全防护工作与数据保护治理工作至关重要。目前教育行业网络安全形势严峻,高校校园网络、培训机构业务系统受到常态化网络探测与攻击,并在开学、招聘、重大事件等时段会加剧,主要风险点包括网络安全隐患普遍、校园网风险众多、外部环境攻击严重、内部环境漏洞增多、教育DDoS攻击频发、信息泄露事件不断、App风险突出等。
网络安全隐患普遍
随着互联网、移动互联网技术与传统教育行业深度融合,教育行业网络环境普遍存在安全隐患。教育行业信息系统具备网络、数据、用户规模庞大的特征,使得网络安全隐患分布广泛且监管防护难度增大。一是教育行业涉及人员众多,全国范围内教育机构有近59万个,专职教师1800万人,整体教育行业各级各类学生超过3.5亿人;二是教育信息系统数量多,教育系统网站超过20万个,edu.cn域名的网站有近11万个,涉及超过100万人数据的系统达500多个;三是教育信息数据量大,教育行业政务数据资源数量达10624条,教师数据超过4000万条,累计学生数据超过5亿条。因此,教育行业信息系统特点可以总结为信息系统多、业务类型宽、用户规模大、遍布地域广、软件类型杂、数据信息量大、信息价值高、用户信息化知识水平参差不齐、网络安全意识不强、管理制度执行难等,所有特征都是教育行业网络安全隐患普遍的诱发因素。
校园网络风险众多
高等院校的校园网络和企业网络存在一定差异,因此网络风险及攻击面表现形式也有所区别。
一是校园网内网络病毒、木马程序蔓延迅速。高校校园网是普及宽带网络较早的基础设施,因此已经实现普遍的千兆/万兆宽带在园区主干互联。校园网的用户群体比较密集,局域网内部用户规模庞大,一般都是集中的教学区、学生住宿区、职工住宅区等,而高带宽和大用户量导致网络病毒、木马程序蔓延迅速,网络对严重的安全隐患表现出高敏锐性。
二是校园网信息化运维难度大,管理流程复杂,风险管控和责任界定较难。高校无法像企业一样向每个员工落实网络安全防护职责,学生针对私人电脑进行的所有操作(例如U盘混用、不明网页浏览、不安全链接访问、木马病毒邮件查收等)都存在个人设备感染病毒后影响整个网络的风险。校园中设备购置和管理情况非常复杂,除学校机房、教学设备、实验机房设备等由学校统一管理之外,学生和教师群体的个人设备无法由学校统一管控。一般高校的在校学生都在几万人左右,学生使用自己购买的设备(笔记本电脑、移动终端等)并自我维护,这直接导致校园网络具备非常广的受攻击面,学生和设备众多,大家网络安全意识和防护水平各不相同,并且发生网络安全事件后安全责任难以分清。
三是校园网用户群體网络活跃度高,木马病毒传播来源广。在开放环境下,高校学生乐衷于尝试网络新技术,因此会有更大概率面临新技术带来的安全威胁。尤其各大高校计算机、软件工程、网络安全等相关专业的学生会研究各类木马病毒,亲身实验各类攻击技术,用个人电脑模拟攻击目标或者攻击靶场进行攻防实验,处理不当则可能对整个校园的网络造成影响和破坏。部分学生受好奇心驱使或者因科研需求,主动开发一些高危代码、制造漏洞、编制木马程序等,因而网络风险较高。
四是高校在网络安全防护方面投入有限,导致安全防护设备成为短板。高校是非营利事业单位,无法像商业公司一样大规模进行信息化建设与网络安全维护投入,因此高校存在一定程度的维护管理投入不足、网络安全技术手段不足、网络安全制度体系不足、网络安全意识淡薄等问题。
外部环境攻击严重
信息系统外部环境威胁是指由系统安全区域边界之外引入的网络风险,如外部黑客等发起的拒绝服务攻击、端口扫描、木马后门、强力攻击、IP碎片攻击、蠕虫病毒等。目前,教育行业网络面临严重的外部网络攻击,恶意软件表现非常活跃。深信服安全云脑检测到的2019年活跃的恶意程序拦截量为181.07亿次,在教育行业系统中挖矿类恶意软件感染占比最多(占54.61%),其次为远程控制木马(占20.65%)及蠕虫病毒(占15.15%)。
随着数字货币价值不断攀升,盗取用户计算机处理器的计算能力进行挖矿成为网络世界主要的威胁之一。从挖矿病毒、木马攻击的行业分布来看,黑客倾向于攻击企业、政府、教育行业。
内部环境漏洞增多
信息系统内部环境威胁是指由系统安全区域边界以内引入的网络风险,如系统漏洞、网站脆弱性、管理制度缺失、安全运维能力不足等。目前,教育行业大量信息系统存在安全漏洞隐患。在《2017年教育行业网络安全报告》中将教育行业细分为8个领域,每个领域抽样约100家机构,包括重点高校、职业培训、儿童早教、兴趣教育、出国留学、语言学习、教育信息化、综合服务