朱华山:在全省教育行业网络与信息 安全突发事件应急演练活动上的讲话

作者:云南教育网  浏览量:1159  发布时间:2017-12-21  

在全省教育行业网络与信息

安全突发事件应急演练活动上的讲话

省教育厅副厅长  朱华山

2017年12月19日

同志们:

大家下午好。今天我们在这里举行全省教育行业网络与信息安全突发事件应急演练活动,主要任务是建立健全全省教育行业网络与信息安全运行应急工作机制,检验网络与信息安全综合应急预案和业务技术专项应急预案的有效性,验证相关部门和学校应对网络与信息安全突发事件的组织指挥能力和应急处置能力。

刚才,省委网信办、省公安厅、省通信管理局的同志讲得很好,分析了当前互联网发展的新情况、新动向,介绍了信息化发展的新技术、新趋势,也对全省教育行业网络和信息化建设工作提出了很好的意见和建议,听了很受启发。他们的发言,体现了务实的态度、创新的精神、强烈的责任感,也体现了在互联网领域较高的理论和实践水平,对我们加强和改进此项工作很有帮助,大家一定要认真归纳好、总结好、落实好。在此,我谨代表省委高校工委、省教育厅对省委网信办、省公安厅、省通信管理局等单位长期以来对教育行业网络与信息安全工作的帮助和指导表示衷心的感谢。

下面,我谈几点意见,同大家交流。

一、全面总结网络安全工作的做法和成效

(一)加强领导,建立“一把手”责任制。2017年3月,云南省教育厅成立了以周荣厅长为组长、8位厅领导为副组长、20个部门主要负责人为成员的网络安全和信息化领导小组,为统筹协调教育行业网络安全和信息化重大问题,研究制定教育行业网络安全和信息化发展战略、宏观规划和重大决策,组织实施教育行业网络安全和信息化基础设施建设和管理等工作提供了组织保障。各级教育行政部门和部分学校也相继成立了以主要领导为组长的教育网络安全和信息化工作领导小组,统筹推进本地区、本学校的教育网络安全和信息化建设工作。

(二)认真学习,深刻理解领会法规精神。《中华人民共和国网络安全法》颁布实施以后,省委高校工委、省教育厅、各级教育行政部门和各类学校高度重视,分别多次召开专题会议,对习近平总书记在网络安全和信息化工作座谈会上的重要讲话精神、国家和省委省政府颁布的以网络安全为主线的有关法律法规进行了系统学习和讨论。通过学习,深刻认识到网络和信息安全关乎国家安全、社会稳定和人民群众的切身利益,进一步提高了教育战线同志的政治站位和思想站位,进一步增强了对学习好、理解好、贯彻好《网络安全法》等法律法规的责任感、紧迫性和使命感。

(三)建章立制,不断加强规章制度建设。为全面贯彻落实公安部、教育部等国家部委和省委、省政府对教育行业网络与信息安全工作的要求,省教育厅联合省委网络办、省公安厅等有关省级部门先后印发了《云南省教育系统党委(党组)网络意识形态工作责任制实施细则》、《云南省教育厅关于印发全省教育行业网络与信息安全应急预案(试行)的通知》、《云南省教育行业信息安全等级保护工作实施规范》、《关于进一步规范和加强教育网站管理的通知》、《云南省教育厅关于印发全省教育行业数据管理实施细则的通知》等配套性文件,将网络与信息安全管理办法、软硬件措施、舆情管理等作为高等学校、职业院校智慧校园建设的重要内容,从源头上弥补了全省教育行业网络和信息安全工作不足和漏洞。

(四)广泛动员,增强网络安全防范意识。5月11日,由省委高校工委、省委网信办联合主办了2017年全省高校网络安全工作座谈会,对全国全省高校思想政治工作会议、全国网信办主任会议和全省网络宣传工作会议等精神进行了学习传达,对各高校网络安全工作的先进经验进行了交流。5月24日,召开了由高校分管网络信息安全工作的领导和技术部门主要负责人、省属中小学校、幼儿园负责人参加主会场的2017年全省教育系统网络信息安全工作视频会议,总结了全省教育行业网络和信息安全工作取得的成效,系统地分析了面临的新形势,安排部署了网络和信息安全工作。会上还邀请有关专家对法律法规进行了解读。

(五)强化管理,规范网站标识与发布管理工作。从2016年8月开始,面向厅机关各部处室、直属事业单位转发了《中共云南省委机构编制办公室关于进一步做好加挂网站标识工作的通知》,完成厅门户网站 “党章党规进课堂专题栏目”、“行政审批中介服务”“政府网站曝光台”“国务院信息”“省政府信息”等多个专题栏目的建设,更新、完善了门户网站中单位组织结构、机构概况、主要职责等内容,清理子网站空链接600余条,保障了政府网站加挂网站标识的相关工作。

(六)全面清理,落实网络安全等级保护制度。按照公安部和教育部整体工作部署要求,省教育厅、省公安厅印发《云南省教育行业信息安全等级保护工作实施规范的通知》等文件,建立了与省公安厅形成长期合作的工作机制,构建了教育行业网络安全工作评审专家库。同时,筹措170万元网络安全等级保护工作经费,对教育行业各单位所报送的系统自主定级情况准确性、合理性进行一致性审核。目前,已完成677个教育行业信息系统的一致性审核和厅内36个在用信息系统的定级备案、测评工作。

(七)多方合作,及时修补网络信息安全漏洞。采用定期巡检、安全漏洞扫描等方法对网络和信息关键基础数据管理系统实施24小时监控。9月22日,参与省通信管理局等部门开展的网络安全演练工作。协助相关学校和部门对教育部、省公安厅、省委网信办等相关部门所监测到的系统威胁或漏洞进行修复,目前已修复647个。另外,依托云南师范大学成立云南高校网络舆情研究中心,形成云南教育信息中心、云南大学网络中心、云南高校网络舆情研究中心3个校园网络舆情监测中心,聘请有关专家作为网络评论员,学习和借鉴省外学校“易班”建设工作经验,为加强和规范教育系统微信、微博等新兴媒体的建设和管理奠定了良好的基础。

(八)重点保障,服务党的十九大网络安全工作。根据教育部、省委省政府有关精神,将服务保障党的十九大作为全省教育系统各单位首要的政治任务,印发了《云南省教育厅关于做好服务保障党的十九大网络安全工作的通知》,对全省教育行业信息系统(网站)普查、“僵尸”信息系统(网站)清理、网站域名和IP地址管理等工作进行了安排部署,明确了网络安全工作的重点任务,明晰了工作的进度表、路线图,健全了网络安全值守制度和应急处置机制,切实提升网络安全工作人员的政治思想意识和工作责任心,确保网络安全技术方案详实可行,责任分工完善到位,实施设备运行正常。在大家的共同努力下,会议期间未出现较大网络和信息安全异常事件。

(九)容灾备份,建立网络信息安全预警监测机制。省教育厅已建立业务系统安全防护体系“云南教育安全云”,关键业务系统使用“安全云”进行实名制VPN登录,特别是针对存有大量个人信息的系统进行访问控制、数据加密、安全审计、责任认定等系列措施,有效保障数据信息的传输安全。省教育厅现有的4个互联网出口均安装有防火墙、IPS(入侵监测系统)、Web应用防火墙、堡垒主机、SSL-VPN、漏洞扫描系统等网络安全设备,58台物理服务器使用VMware进行虚拟化部署,统一接入防火墙并定期进行漏洞扫描。厅门户信息和公文交换系统分别采用每日备份和每2日备份数据的方式,确保数据传输和存储安全。

二、客观分析网络安全工作的困难和问题

(一)安全意识淡薄,责任意识不强。大部分教育行业单位均根据《云南省教育行业信息安全等级保护工作实施规范》等要求,按照“谁主管,谁负责、谁建设,谁负责、谁运维,谁负责、谁使用,谁负责”的原则开展工作,设有专门部门和人员岗位负责日常事务。但也有少部分单位仍然未落实网络安全责任制,仍然抱有一丝侥幸心理,仍然未对网络与信息安全工作做出相应部署,仍然未将网络信息安全工作纳为常态化工作管理,部分单位甚至在收到网络与信息安全威胁通报后公文不流转、事件不通报、漏洞不修复,甚至采取弄虚作假等手段,等等问题的出现,是造成教育行业网络与信息安全事件高发的主要因素之一。

(二)用网“陋习”频现,信息处置失范。随着便捷化网络和信息系统数量急剧上升,应用范围基本实现全方位覆盖,广大师生共用帐号、系统登录弱口令等“陋习”在应用过程中时有出现,极易造成信息泄露和网站被黑等安全突发事件。由于教育行业具有点多面广的特点,学校多数网络和信息系统内都储存有单位组织和个人隐私信息,部分学校在数据采集、传输、应用、存储和维护等工作中缺乏安全意识,未对敏感信息进行加密处理,数据库系统也未对数据进行加密存储,等等失范行为在未按期对系统进行漏洞扫描、补丁升级的情况下,所产生的系统漏洞极易被不法分子利用,极易造成学校和广大师生隐私信息泄露。

(三)组织保障不力,宣传培训滞后。网络与信息安全工作是一项常态化的重要工作,其对整个教育事业发展的保障水平高与不高,与各单位所投入的人力、物力、财力、制度有极大的关系。部分单位至今仍未履行《中华人民共和国网络安全法》等有关法律法规职责,缺少必要的经费投入、缺失必要的部门和岗位、缺漏必要的规章制度、缺乏必要的宣传培训,导致其所属网络与信息系统必须完成的定级、备案、测评、整改等工作进展缓慢;导致遇到安全威胁问题时无能力、无人员、无规范处置,留下重大安全隐患;导致部分师生员工缺乏安全意识,依法保护自身安全能力较弱,等等问题都是教育行业网络与信息安全管控的高风险点。

2017年,共接到来自教育部、省通信管理局等部门通报的以SQL注入、后门漏洞、弱口令、数据泄露等类型为主的信息系统漏洞风险655个。纵观全年全省教育行业网络与信息安全专项工作,绝大多数教育行政部门和学校能按照国家和省规定的时间、规定的要求开展相关工作。特别是党的十九大会议召开期间,在人员少、任务重、时间紧、基础差的情况下,发扬连续作战、甘于奉献的精神,较好地服务和保障了会议顺利闭幕。但是,鉴于种种原因,至今还有极少数单位未完成漏洞风险的整改和国家教育信息资产管理平台信息的填报工作。

三、大力推进网络安全工作的措施和方法

第一,要树立正确的教育网络与信息安全观。党的十八大以来,习近平总书记以宏阔视野和战略思维,高瞻远瞩地提出了网络强国战略思想,就如何认识、运用、发展、管理互联网等提出了一系列战略性、前瞻性、创造性观点。十九大报告中提出“加强互联网内容建设,建立网络综合治理体系,营造清朗的网络空间”“善于运用互联网技术和信息化手段开展工作”等系统论述,为教育行业网络和信息化指明了方向。因此,树立教育网络与信息安全观,核心是“正确”。 “网络安全与信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。一方面,互联网可以成为推动教育公平、提升教育质量的利器,让受教育者在共享互联网发展成果上有更多获得感;另一方面,少数人对教育事业发展成果视而不见,利用非法手段在网络或信息系统中或恶意破坏、或造谣生事、或恶意诋毁、或侵犯隐私,等等行为严重污染着教育网络空间。要想让网络这把“双刃剑”成为一把利教、利民之剑,就要以习近平同志网络强国战略思想为引领,以国家网络安全有关法律法规和政策标准为核心,将网络信息安全与教育教学之间实现大融合、大发展,真正把教育网络建设成为具有整体性、动态性、开放性的惠民之网、利民之网。

第二,要强化教育行业网络与信息安全组织保障能力。各州市教育局和各学校的主要负责人是网络与信息安全工作的第一责任人,要进一步提高思想认识,凝聚共识,切实增强推进网络与信息安全工作的责任感和紧迫感。要高度重视本地区、本单位的网络与信息安全工作,通过举行专题办公会专题研究和部署本地区、本学校网络与信息安全工作,组织制定本地区、本单位网络与信息安全工作方案,细化时间表和路线图,切实保障经费、机构和人员投入,确保领导到位、责任到位、人员到位、经费到位和措施到位。省教育厅将于2018年会同有关部门重点检查或抽查法律法规、规章制度、重点文件的落实情况,网络安全重点工作部署落实情况和关键信息基础设施的防护情况。

第三,要加速形成全天候全方位感知网络安全态势。网络与信息安全突发事件深刻地警示我们:没有意识到危险其实是最大的危险,没有意识到风险其实是最大的风险。维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。感知网络与信息安全态势是最基本、最基础的工作。因此,各级教育行政部门和各级各类学校要全面加强系统内部网络与信息安全排查,摸清家底,认清风险,找出漏洞,共享信息,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,尽最大可能地把握和捕捉本地区、本学校网络与信息安全风险发生的规律、动向、趋势。要建立与网信、公安、通信等部门安全信息共享机制,把他们所掌握的大量有关教育行业网络与信息安全的情报利用起来,多途径、多维度、多点面地构建网络与信息安全防护网。

第四,要加快构建关键信息基础设施安全保障体系。教育领域的关键信息基础设施是社会事业发展的神经中枢之一,是全省网络与信息安全的重中之重,也是最可能遭到重点攻击的目标。网络与信息安全具有很强的隐蔽性,一个漏洞、后门、暗链等隐藏几年发现不了都是有可能的,如果缺乏相应的安全保障体系,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,或许遇到某些敏感时点或某一事件时就显现出来,将会导致个人隐私侵犯、教学秩序紊乱、管理系统瘫痪等恶性问题。在实际工作中,构建关键信息基础设施安全保障体系正是预防和杜绝 “物理隔离”防线被跨网入侵,信息系统内容被恶意篡改,学生家长信息被窃取泄露的最有效手段,我们必须深入研究,严格按照国家和省委省政府的有关规定,继续加强与省委网信办、省公安厅、省通信管理局等部门的沟通和协调,全力做好全省教育行业网络和信息系统的一致性审核、定级备案、测评和整改等工作。

第五,要加强网络与信息安全综合治理体系建设。网络安全的本质在对抗,对抗的本质在攻防两端能力较量。要全面贯彻落实网络安全责任制,制定网络安全标准,明确保护对象、保护层级、保护措施。一是要制定网络安全应急预案,明确应急处置流程和权限,建立安全事件分级响应,跨部门协同处置的工作机制。二是要建立重大网络安全事件报告制度,确定事件报送范围、规范报告格式、建立报送流程、明确报送时间。在关键节点实行24小时值守和“零事件”报告制度,做到处置迅速、报告及时。三是要建立监测预警制度,应定期开展本地区、本学校、本部门的网络安全监测活动,对安全问题做到尽早发现、提前防范、及时补救。

同志们!教育网络安全与信息化工作是“十三五”时期的重头戏。希望同志们在面对复杂严峻的网络安全形势时,时刻保持清醒的头脑,采取切实有效的措施,齐抓共管,为维护教育行业网络与信息安全,建设网络强国做出更大的贡献。

最后预祝本次演练取得圆满成功,预祝大家新年快乐!

谢谢!


相关文章