文|

隨著信息化的不斷發(fā)展，信息安全上升到關(guān)系社會穩(wěn)定、經(jīng)濟(jì)發(fā)展和公民權(quán)益的地位，成為國家安全的重要組成部分。

習(xí)總書記提出，“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實施”?？梢?，信息化和網(wǎng)絡(luò)安全同等重要，我們在信息化發(fā)展中，建設(shè)信息系統(tǒng)時，應(yīng)認(rèn)識到信息系統(tǒng)可用性與安全性同等重要，不能只重視可用性而忽略安全性。

一、教育行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及隱患

信息化建設(shè)發(fā)展至今，成果喜人，尤其是近年來教育信息化發(fā)展迅速。2012年9月5日，劉延?xùn)|（時任國務(wù)委員）在全國教育信息化工作電視電話會議上提出：“十二五”期間，要以建設(shè)好“三通兩平臺”為抓手，也就是“寬帶網(wǎng)絡(luò)校校通、優(yōu)質(zhì)資源班班通、網(wǎng)絡(luò)學(xué)習(xí)空間人人通”，建設(shè)教育資源公共服務(wù)平臺和教育管理公共服務(wù)平臺。之后，各級教育主管部門逐漸建成自己的門戶網(wǎng)站，進(jìn)行教育業(yè)務(wù)辦理、共享教學(xué)資源等。目前，許多學(xué)校及教學(xué)機構(gòu)都自建了教務(wù)管理系統(tǒng)等。

各級各類教育類網(wǎng)站、信息系統(tǒng)的建設(shè)運行，在方便了教育行業(yè)的同時，也存在著極大的網(wǎng)絡(luò)安全隱患。其中影響比較大的有三大類：第一類是統(tǒng)計類系統(tǒng)平臺，存有大量的個人信息，尤其是學(xué)生管理類和教師管理類信息系統(tǒng)，系統(tǒng)內(nèi)存有學(xué)生和教師的戶口、家庭住址、銀行卡號等個人隱私信息，數(shù)據(jù)的安全極為重要；第二類是教育資源類網(wǎng)站，此類網(wǎng)站供大量學(xué)生瀏覽教學(xué)資源，傳播廣泛，是不法黑客攻擊并篡改的首要對象；第三類是教育政務(wù)辦理類系統(tǒng)，各級各類教育管理部門政務(wù)辦理類系統(tǒng)涉及學(xué)生中考、高考、學(xué)業(yè)水平測試、崗位招聘考試等，此類系統(tǒng)遭到攻擊，將嚴(yán)重影響社會秩序。

二、常見的網(wǎng)絡(luò)安全誤區(qū)

目前,仍有相關(guān)網(wǎng)站及系統(tǒng)的管理、維護(hù)、使用人員對網(wǎng)絡(luò)安全問題認(rèn)識不足。常見的網(wǎng)絡(luò)安全誤區(qū)有以下幾種：

1.先建系統(tǒng)，后做安全，將網(wǎng)絡(luò)安全部署工作安排在信息系統(tǒng)建成或投入使用之后。

其實，網(wǎng)絡(luò)安全是由內(nèi)而外的，對于已經(jīng)建成的系統(tǒng)所做的安全措施，只能對系統(tǒng)的外圍進(jìn)行安全防護(hù)，一旦外部安全防護(hù)被攻破，內(nèi)部環(huán)境將不堪一擊。因此，應(yīng)在系統(tǒng)開發(fā)環(huán)節(jié)就做好安全建設(shè)，網(wǎng)絡(luò)安全與信息系統(tǒng)的生命周期并存，部署在其開發(fā)、運行、廢棄的各個環(huán)節(jié)。

2.網(wǎng)絡(luò)安全是技術(shù)人員的主要職責(zé)，與系統(tǒng)管理人員和系統(tǒng)使用人員無關(guān)。

經(jīng)由多個網(wǎng)絡(luò)安全技術(shù)公司統(tǒng)計與分析，一套網(wǎng)絡(luò)系統(tǒng)，安全薄弱的環(huán)節(jié)大多存在于系統(tǒng)使用人員操作和訪問系統(tǒng)的個人PC端存在安全隱患，而非系統(tǒng)本身。歷年來全球重大網(wǎng)絡(luò)安全事故，90%源自管理制度問題和人員操作不當(dāng)導(dǎo)致。

3.存有僥幸心理，認(rèn)為網(wǎng)絡(luò)安全問題離自己很遙遠(yuǎn)。

目前我國面臨的網(wǎng)絡(luò)威脅日趨嚴(yán)重，近日被曝出的一個反政府黑客組織，其技術(shù)人員有一萬人以上，并且十分活躍，平均每三日攻陷一個政府網(wǎng)站。同時，我們還面臨著源自海外的諸多網(wǎng)絡(luò)安全威脅，網(wǎng)絡(luò)安全與我們每一個人息息相關(guān)。

三、教育行業(yè)應(yīng)對網(wǎng)絡(luò)安全威脅的基本防護(hù)策略

網(wǎng)絡(luò)安全固然重要，但人們并非束手無策。由于網(wǎng)絡(luò)信息系統(tǒng)及網(wǎng)站面向大眾、服務(wù)大眾，所以，我們不能要求每一個有關(guān)人員具備高超的網(wǎng)絡(luò)安全技術(shù)。尤其是教育行業(yè)，其服務(wù)對象有貧困地區(qū)的教師與學(xué)生，更無法對其有嚴(yán)格的網(wǎng)絡(luò)安全技術(shù)要求。其實，網(wǎng)絡(luò)安全問題的基礎(chǔ)預(yù)防與處理并不復(fù)雜，以近期大面積爆發(fā)的針對Windows系統(tǒng)的WannCry勒索病毒為例，其防護(hù)措施僅有兩大項：一是開啟Windows自帶的防火墻功能，將相應(yīng)端口設(shè)為“拒絕被訪問”；二是下載現(xiàn)有的相應(yīng)系統(tǒng)漏洞補丁，做漏洞補丁安裝。這兩類處理方法一般計算機使用者參照網(wǎng)上教程都可自行完成。由此可見，網(wǎng)絡(luò)安全的基本保障策略并不復(fù)雜，所以對于網(wǎng)絡(luò)安全保障，各教育行業(yè)的網(wǎng)站做好以下幾點，便可減少80%的網(wǎng)絡(luò)安全風(fēng)險，保障信息系統(tǒng)和網(wǎng)站的可用性與安全性并行。

1.建立信息安全管理體系，明確職責(zé)劃分，制定安全制度。

做好網(wǎng)絡(luò)安全工作，應(yīng)將安全管理體系化、常態(tài)化，并明確網(wǎng)站及信息系統(tǒng)的安全職責(zé)劃分。首先，應(yīng)當(dāng)確立主管人員，堅持“誰主管誰負(fù)責(zé)，誰運營誰負(fù)責(zé)”的原則。只有主管人員對信息安全足夠重視，明確提出安全要求，表現(xiàn)出足夠的重視和支持，組織中其他人員才會認(rèn)識到信息安全的重要性，并在工作中遵守相關(guān)的要求。

對于技術(shù)人員，至少要分清系統(tǒng)管理員、系統(tǒng)技術(shù)負(fù)責(zé)人和安全技術(shù)負(fù)責(zé)人三大基本類別。系統(tǒng)管理員要對網(wǎng)站或系統(tǒng)各個環(huán)節(jié)都有所了解，對所有工作人員進(jìn)行安排和進(jìn)度督促，但不進(jìn)行具體操作；系統(tǒng)技術(shù)負(fù)責(zé)人僅負(fù)責(zé)網(wǎng)站或系統(tǒng)的運維工作；安全技術(shù)負(fù)責(zé)人僅負(fù)責(zé)網(wǎng)絡(luò)安全類工作。三類負(fù)責(zé)人職責(zé)明確，工作內(nèi)容不得交叉，互相制約，更不能出現(xiàn)一人負(fù)責(zé)兩類或兩類以上工作。

此為技術(shù)工作最基本要素，可根據(jù)網(wǎng)站及系統(tǒng)的重要程度進(jìn)行更細(xì)化的職責(zé)劃分，如系統(tǒng)技術(shù)負(fù)責(zé)人可細(xì)分硬件、軟件、安裝、備份、維護(hù)、升級等，安全技術(shù)負(fù)責(zé)人可細(xì)分為內(nèi)部安全、外部安全、身份認(rèn)證管理、密保管理等。

對系統(tǒng)使用人員，也應(yīng)當(dāng)有相應(yīng)的安全要求，最基本的有定期修改各自用戶的弱口令，口令命名應(yīng)含有大寫字母、小寫字母、符號、數(shù)字等兩種以上要素；登錄系統(tǒng)個人端PC機本機應(yīng)當(dāng)具有最基本的安全策略，如開啟系統(tǒng)自帶的防火墻、裝有漏洞升級軟件并定期進(jìn)行漏洞升級等。重要系統(tǒng)和網(wǎng)站可規(guī)定對用戶有更高級的要求，專門配備用于登錄系統(tǒng)的個人PC機、專用網(wǎng)絡(luò)環(huán)境等。

2.做好定級備案工作，定期進(jìn)行信息安全等級保護(hù)自查評估。

各關(guān)鍵網(wǎng)站和信息系統(tǒng)應(yīng)在當(dāng)?shù)毓簿謧浒福⒂晒膊繒嘘P(guān)部門制定安全等級。

公安機關(guān)對計算機信息系統(tǒng)安全保護(hù)工作行使下列監(jiān)督職權(quán)：一是監(jiān)督、檢查、指導(dǎo)計算機信息安全保護(hù)工作；二是查處危害計算機信息系統(tǒng)安全的違法犯罪案件；三是履行計算機信息系統(tǒng)安全保護(hù)工作的其他監(jiān)督職責(zé)。因此，做好定級備案工作，是網(wǎng)站及系統(tǒng)的最基本保障。

而定期進(jìn)行信息安全等級保護(hù)自查評估，可以定期排查網(wǎng)站及系統(tǒng)安全隱患，確保系統(tǒng)對未知的安全威脅有相應(yīng)的防護(hù)能力。

3.做好應(yīng)急預(yù)案及演練，接受相應(yīng)安全風(fēng)險。

網(wǎng)絡(luò)安全威脅是不可避免的，現(xiàn)有的安全防護(hù)策略是被動的，從技術(shù)層面來講，安全防護(hù)等級越高，意味著攻擊者攻陷該網(wǎng)站的時間周期越長，而我省教育系統(tǒng)內(nèi)網(wǎng)站及系統(tǒng)以二級安全居多，所以，我們應(yīng)當(dāng)正視網(wǎng)絡(luò)安全風(fēng)險，做好相應(yīng)的應(yīng)急演練并接受高等級的不可避的安全風(fēng)險。

接受風(fēng)險，并做好應(yīng)急預(yù)案和演練，是為確保在遇到不可抗因素和高級網(wǎng)絡(luò)安全風(fēng)險來臨之時將風(fēng)險損失降至最低。