20171222日,“ISC中国行”第十一站暨千人计划专家研讨会在杭州西子湖畔举行,来自浙江的网络安全行业相关专家探讨了电子政务云、政务数据集中背景下所面临的网络安全挑战,同时分享了各种在信息化建设、网络安全建设、网络安全管理和网络安全人才培养方面的实践经验和各自的思考。

会上,浙江省教育技术中心网络技术部主任於晓东就教育行业目前主要安全威胁和综合治理进行了分享和剖析。当前教育行业主要面临境外黑客攻击、师生信息窃取、恶意软件泛滥等威胁,安全问题日益凸显,安全问题已成为制约信息化进一步发展的一大瓶颈。2017年,浙江全省开展了网络安全综合治理行动,以“治乱、堵漏、补短、规范”四个目标为指引,取得了不错的成效。他还对治理行动存在的问题进行了分享。

以下为於晓东的分享内容,安全内参编辑。

 

浙江省教育厅教育技术中心网络技术部於晓东主任

教育行业面临三大网络安全威胁

教育行业量大面广,全省中小学校有近6千所,加上幼儿园、高校等,数量庞大,管理难度大。随着教育信息化的推进,网络信息技术和教育教学融合越来越深入、应用越来越广泛,网络安全问题也日益凸显。

面临众多的网络安全的威胁:一是境外黑客的攻击越来越多,越来越频繁,教育行业特别是高校成为攻击的主要目标;二是针对学生、教师信息窃取的行为也是越来越多,特别是招考信息的窃取;三是恶意程序的泛滥。

网络安全综合治理:治乱、堵漏、补短、规范

2017年,网络安全工作任务重、压力大,特别是十九大期间的网络安全保障,教育部很重视,在全国教育行业开展了网络安全综合治理行动。我们也按照教育部要求在全省开展了此项行动,四个目标:治乱、堵漏、补短、规范。

治乱,治理网站乱象。大家知道教育行业很大,机构网站很多,特别是高校二级院系网站特别多,要对网络安全进行治理,首先就是清楚家底。因此,我们建了信息资产平台,对教育行业所有面向互联网的网站服务系统进行摸底排查,对违规网站进行清理,对所有的网站落实安全责任制。

堵漏,要求各级教育部门都要建立起风险监督机制,对于所管辖学校网站、机构网站进行风险检测,发现漏洞要及时进行处置跟踪,核实核验,最后整改,堵塞安全漏洞。

补短,在全省全面启动等级保护工作,要求做到应保尽保,补齐等保短板,并与公安部门联合开展等保工作检查。

规范,规范网络管理行为,比如在今年的“最多跑一次”工作中,数据归集方面出台了《浙江省教育数据管理办法》来规范整个教育行业数据的采集、运维、共享、使用等管理行为。

网络安全困惑:手段、机制与人才

1、如何更有效地发现风险?

我们建立了一系列制度,包括漏洞扫描、查找漏洞、排查风险等,建立周检制度,每周委托服务商比如360来做漏洞扫描,然后责成开发商对所存在的风险进行整改,再有服务商进行核实验证。

但是每个礼拜同样有大量的漏洞出来,有大量的风险点,这项工作如何做到更加有效?比如某些风险点今天这个系统里有,明天另外一个系统同样有,是否有更加智能化的手段去解决,不至于让我们长期陷在事务性工作里。

2、如何评估损失?

被黑客入侵了,我的损失如何来评估?比如说黑客入侵了,安全厂商过来帮我们来查找问题并做应急处置,但是数据到底有没有被拿走,没有准确的定论。这个方面要有一套机制,用什么技术手段能够帮我们来评估分析,我到底损失了什么,损失多少。

3、如何解决安全人才短缺问题?

讲到人员队伍,大家都说高校如何去培养、自己机构如何去培养。我觉得不仅是如何培养的问题,还有一个发展环境的问题。像我们这样的行政、事业单位,薪酬体系能不能够适应高水平的安全人员?能不能留得住?

现在网络安全不再是简简单单的设备堆砌,更重要的是人的问题。任何安全问题最终需要人去解决,一个高素质的人,是我们保障网络安全最重要的一个因素。习总书记的419讲话中,指出要建立适应网信特点的人事制度、薪酬制度。这个方面应该有所突破,要让这部分人进得来、留得住。

 

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。