教育行业网络安全白皮书
(2020年)
2020年9月
目录
前言........................................... - 1 -
一、教育行业网络安全发展环境 ...................... - 3 -
1.1.我国稳步推进教育信息化事业发展 (3)
1.2.国家规划出台教育信息化网络安全政策 (4)
1.3.各地贯彻落实教育信息化网络安全部署 (6)
二、教育行业网络安全总体形势 ...................... - 8 -
2.1.网络安全隐患普遍 (8)
2.2.校园网络风险众多 (9)
2.3.外部环境攻击严重 (10)
2.4.内部环境漏洞增多 (11)
2.5.教育DD O S攻击频发 (13)
2.6.信息泄露事件高发 (15)
2.7.A PP网络风险突出 (15)
三、教育行业网络安全问题分析 ..................... - 17 -
3.1.网络安全重视力度不足 (17)
3.2.等级保护落实情况不佳 (18)
3.3.安全风险管控手段落后 (22)
3.4.网络安全管理监督缺位 (24)
3.5.在线教育防护能力薄弱 (25)
四、教育行业网络安全保障建议 ..................... - 27 -
4.1.切实做好基础设施安全防护 (27)
4.2.持续推进三重防护安全建设 (28)
4.2.1.建设安全通信网络....................... - 28 -
4.2.2.建设安全区域边界....................... - 29 -
4.2.3.建设安全计算环境....................... - 29 -
4.3.重点提升信息泄露防护能力 (31)
4.3.1.提升数据安全保护技术能力............... - 31 -
4.3.2.健全数据安全保护制度体系............... - 32 -
4.3.3.增强数据安全保护思想意识............... - 32 -
4.4.全面建设安全管理监督体系 (33)
4.4.1.建立应急响应预案机制................... - 33 -
4.4.2.完善信息安全管理体系................... - 33 -
4.4.3.加强网络安全人员管理................... - 34 -
4.5.全面开展在线教育系统等保测评 (34)
4.6.引导规范教育A PP合规性备案 (35)
五、教育行业网络安全等级保护2.0推进 ............. - 37 -
前言
百年大计,教育为本。教育行业是我国最大的民生行业之一,教育事业发展是国家兴旺的不竭动力,推进教育行业信息化建设具备重要意义。2012年以来我国大力开展教育信息化建设,2018年4月教育部印发《教育信息化2.0行动计划》,2019年政府工作报告中指出发展“互联网+教育”。随着国家政策引导以及移动互联网、5G、大数据中心等技术应用,教育行业信息化工程及在线教育平台迅速发展起来,智慧校园、远程教育、网络云课堂等方式受到广大师生群体认可。
教育行业机构多、系统多、数据多、影响面广,伴随信息化发展,教育信息系统面临着网络攻击、数据/个人信息泄露、勒索病毒入侵等网络风险,因此全面推进传统教育、在线教育、教育App的网络安全保障工作,提升教育行业整体安全防护水平至关重要。
本白皮书聚焦我国教育行业网络安全问题,从机构、人员、系统、应用等切入点对网络安全总体形势进行了分析并针对性提出安全保障建议。首先,从国家、地方层面对教育信息化时代的网络安全政策要求进行简要阐述;其次,对当前教育行业的网络安全总体形势进行分析;然后,对教育行业网络安全存在的风险原因进行了研究;最后,提出教育行业网络安全防护能力提升的相关建议。
中国软件评测中心(工业和信息化部软件与集成电路促进中
心),简称中国软件评测中心,是直属于工业和信息化部的一类科研事业单位。中心长期服务和支撑国家部委、地方政府以及电信和互联网、教育、卫生、广电、交通、能源、银行、证券、保险、航空等各大行业,业务范围覆盖全国31个省、自治区、直辖市,业务网络覆盖全国500多个城市,构建了基于第三方服务的科技产业链。
网络空间安全测评工程技术中心是中国软件评测中心核心业务板块,致力于信息系统运行的网络安全防护,支撑政府主管部门履行网络安全相关社会管理和公共服务职能,主营信息安全风险评估、网络安全等级保护测评、关键信息基础设施保护评估、数据安全能力和合规性评估等网络信息安全相关业务。
一.
教育行业网络安全发展环境
1.1.我国稳步推进教育信息化事业发展
教育信息化工程在教育领域运用现代信息技术,促进教育改革与发展,具备数字化、网络化、智能化、多媒体化等技术特征,以及开放、共享、交互、协作等教学特点。自1993年美国提出建设“国家信息基础设施”(信息高速公路计划)以来,世界各国纷纷探索教育信息化发展路径,我国的教育信息化事业也取得长足进展。
2010年7月,中共中央国务院印发《国家中长期教育改革和发展规划纲要(2010—2020年)》,提出教育发展战略目标,研究教育信息化建设可持续发展策略。
2012年3月,教育部印发《教育信息化十年发展规划(2011-2020年)》,提出以教育信息化带动教育现代化,把教育信息化摆在支撑引领教育现代化的战略地位。
2016年6月,教育部印发《教育信息化“十三五”规划》,提出在2020年基本形成具有国际先进水平、信息技术与教育融合创新发展的中国特色教育信息化发展路子。
2018年4月,教育部印发《教育信息化2.0行动计划》,积极推进“互联网+教育”发展,加快教育现代化和教育强国建设。
2019年2月,中共中央国务院印发《中国教育现代化2035》,提出加快信息化时代教育变革,建设智能化校园。
2020年以来,教育部已启动《教育信息化中长期发展规划
(2021-2035)》和《教育信息化“十四五”规划》编制工作。
新时代,党中央、国务院高度重视教育信息化事业发展。自2015年起《国务院关于积极推进“互联网+”行动的指导意见》已提出探索新型教育服务供给方式,探索网络化教育新模式。习近平总书记指出,实施“互联网+教育”,促进基本公共服务均等化。李克强总理在2019年政府工作报告中指出,发展“互联网+教育”,促进优质资源共享,发展更加公平更有质量的教育。当前教育信息化已成为改变传统教育模式、深化教育改革的重要内容。
1.2.国家规划出台教育信息化网络安全政策
没有信息化就没有现代化,没有网络安全就没有教育安全,在教育信息化工程稳步前进的同时,国家教育主管部门在《中华人民共和国网络安全法》的基本法规基础上陆续出台一系列信息化安全建设与管理的政策法规,不断夯实教育行业网络安全保障体系。
2017年4月,教育部印发《教育行业网络安全综合治理行动方案》,指出教育行业仍存在网络安全责任不落实、管理不规范、安全隐患修复不及时、监测预警和应急响应能力不足、网络安全事件时有发生等问题。教育部针对性开展了网络安全综合治理行动,包括治理网站乱象、强化主体责任、全面监测网络安全威胁、检测应用软件安全风险、补齐等保短板、加快完成定级备案、有序推进测评整改、加强关键信息基础设施规范管理、健全网络安全事件应急响应机制等。
2018年4月,教育部印发《教育信息化2.0行动计划》,指
出要建立网络安全和信息化统筹协调的领导体制,完善网络安全监督考核机制,以《中华人民共和国网络安全法》等法律法规为纲,全面提高教育系统网络安全防护能力,全面落实网络安全等级保护制度,深入开展网络安全监测预警,做好关键信息基础设施保障,重点保障数据和信息安全,强化隐私保护。
在此基础上,教育部于2018、2019、2020年连续部署“教育信息化和网络安全工作要点”,将网络安全工作与教育信息化并列提出,重点关注网络安全保障工作。在《2020年教育信息化和网络安全工作要点》中指出,要不断完善教育网络安全支撑体系,网络安全人才培养能力和质量全面提升,教育系统网络安全防护水平不断提高,组织开展教育系统关键信息基础设施认定和检查。
2019年11月,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局根据《关于开展App违法违规收集使用个人信息专项治理的公告》联合制定了《App违法违规收集使用个人信息行为认定方法》,为App违法违规收集使用个人信息行为的认定提供了参考;2019年11月,教育部办公厅印发《教育移动互联网应用程序备案管理办法》,做出现有教育移动应用的备案工作计划。
国家对教育行业网络安全高度重视,无论是教育机构、基层教育机构信息化建设,还是当前发展火热的“互联网+教育”“教育大数据”“在线教育平台”,国家出台的基础性法律、指导性政策、规范性标准无不强调做好教育行业的网络安全工作。
1.3.各地贯彻落实教育信息化网络安全部署
自教育部印发《教育信息化2.0行动计划》以来,各省市纷纷做出行动部署,切实推进教育信息化进程中的网络安全保障工作。
2019年3月,黑龙江省教育厅印发《省教育厅关于进一步加强全省教育系统招生考试网络与信息安全工作的意见》,指出要建立健全网络与信息安全工作组织体系、管理规章和责任制度;落实国家信息安全等级保护制度;有效防范、控制和抵御信息安全风险;增强安全预警、应急处置和灾难恢复能力;形成与教育信息化发展相适应的、完备的网络与信息安全保障体系。
2019年6月,江苏省教育厅印发《江苏教育信息化2.0行动计划》,指出要推进“互联网+教育”大平台建设,探索互联网+教育服务模式。在云计算、大数据、物联网、人工智能等新一代信息技术深度融入教育全过程中,对教育信息化网络安全提出新要求。一是健全完善网络安全制度体系,要建立健全网络安全应急响应机制和应急预案,建立健全网络安全监测预警和通报制度,全面落实网络安全等级保护制度。二是健全完善网络安全技术防护体系,要配备软硬件设备设施和专业化队伍,建立技防与人防相结合的综合防护体系,构建可信、可控、可查的网络环境,有效防范和抵御网络安全风险。
2019年8月,山东省教育厅印发了《山东省教育信息化2.0行动计划(2019—2022)》,文件指出要探索5G技术在无线校园建设中的推广应用,推进IPv6规模部署和应用,使教育信息
化应用分批次向云迁移。
自2020年以来,河北、吉林、广西、重庆、四川、陕西等多地印发了2020年教育信息化与网络安全工作要点。综合来看,多个省份在推进教育信息化2.0行动计划过程中,严格贯彻教育部部署,从教育信息化网络安全的工作管理制度、安全应急保障体系、网络安全应急预案、落实网络安全等级保护制度、建立健全教育网络安全监测预警体系、加强对重点教育网站的监测、开展网络安全专项教育和培训等方面做出了部署。
二.
教育行业网络安全总体形势
教育信息化网络系统已成为当前建设教育强国的重要载体,为管理部门、学校、教师、学生及家长的使用提供了巨大便利。教育行业信息化应用系统每天产生并长期保存大量数据,包括教育资源、科研成果、师生信息、教学素材、国家教学资助信息等,因此网络安全防护工作与数据保护治理工作至关重要。目前教育行业网络安全形势严峻,高校校园网络、培训机构业务系统受到常态化网络探测与攻击,并在开学、招聘、重大事件等时段会加剧,主要风险点包括网络安全隐患普遍、校园网风险众多、外部环境攻击严重、内部环境漏洞增多、教育DDoS攻击频发、信息泄露事件不断、App风险突出等。
2.1.网络安全隐患普遍
随着互联网、移动互联网技术与传统教育行业深度融合,教育行业网络环境普遍存在安全隐患。教育行业信息系统具备网络、数据、用户规模庞大的特征,使得网络安全隐患分布广泛且监管防护难度增大。一是教育行业涉及人员众多,全国范围内教育机构有近59万个,专职教师1800万人,整体教育行业各级各类学生超过3.5亿人;二是教育信息系统数量多,教育系统网站超过20万个,https://www.doczj.com/doc/a54962414.html,域名的网站有近11万个,涉及超过100万人数据的系统达500多个;三是教育信息数据量大,教育行业政务数据资源数量达10624条,教师数据超过4000万条,累计学生数据超过5亿条。因此,教育行业信息系统特点可以总结为信息系