教育行业网络安全的重要性及防护.doc

教育行业网络安全的重要性及防护 作者：李翔宇 来源：《山西教育·管理》 2017年第10期 随着信息化的不断发展，信息安全上升到关系社会稳定、经济发展和公民权益的地位，成为国家安全的重要组成部分。 习总书记提出，“网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施”。可见，信息化和网络安全同等重要，我们在信息化发展中，建设信息系统时，应认识到信息系统可用性与安全性同等重要，不能只重视可用性而忽略安全性。 一、教育行业网络安全现状及隐患 信息化建设发展至今，成果喜人，尤其是近年来教育信息化发展迅速。2012 年9 月5 日，刘延东（时任国务委员）在全国教育信息化工作电视电话会议上提出：“十二五”期间，要以建设好“三通两平台”为抓手，也就是“宽带网络校校通、优质资源班班通、网络学习空间人人通”，建设教育资源公共服务平台和教育管理公共服务平台。之后，各级教育主管部门逐渐建成自己的门户网站，进行教育业务办理、共享教学资源等。目前，许多学校及教学机构都自建了教务管理系统等。 各级各类教育类网站、信息系统的建设运行，在方便了教育行业的同时，也存在着极大的网络安全隐患。其中影响比较大的有三大类：第一类是统计类系统平台，存有大量的个人信息，尤其是学生管理类和教师管理类信息系统，系统内存有学生和教师的户口、家庭住址、银行卡号等个人隐私信息，数据的安全极为重要；第二类是教育资源类网站，此类网站供大量学生浏览教学资源，传播广泛，是不法黑客攻击并篡改的首要对象；第三类是教育政务办理类系统，各级各类教育管理部门政务办理类系统涉及学生中考、高考、学业水平测试、岗位招聘考试等，此类系统遭到攻击，将严重影响社会秩序。 二、常见的网络安全误区 目前, 仍有相关网站及系统的管理、维护、使用人员对网络安全问题认识不足。常见的网络安全误区有以下几种： 1. 先建系统，后做安全，将网络安全部署工作安排在信息系统建成或投入使用之后。 其实，网络安全是由内而外的，对于已经建成的系统所做的安全措施，只能对系统的外围进行安全防护，一旦外部安全防护被攻破，内部环境将不堪一击。因此，应在系统开发环节就做好安全建设，网络安全与信息系统的生命周期并存，部署在其开发、运行、废弃的各个环节。 2. 网络安全是技术人员的主要职责，与系统管理人员和系统使用人员无关。 经由多个网络安全技术公司统计与分析，一套网络系统，安全薄弱的环节大多存在于系统使用人员操作和访问系统的个人PC 端存在安全隐患，而非系统本身。历年来全球重大网络安全事故，90%源自管理制度问题和人员操作不当导致。 3. 存有侥幸心理，认为网络安全问题离自己很遥远。 目前我国面临的网络威胁日趋严重，近日被曝出的一个反政府黑客组织，其技术人员有一万人以上，并且十分活跃，平均每三日攻陷一个政府网站。同时，我们还面临着源自海外的诸多网络安全威胁，网络安全与我们每一个人息息相关。 三、教育行业应对网络安全威胁的基本防护策略 网络安全固然重要，但人们并非束手无策。由于网络信息系统及网站面向大众、服务大众，所以，我们不能要求每一个有关人员具备高超的网络安全技术。尤其是教育行业，其服务对象有贫困地区的教师与学生，更无法对其有严格的网络安全技术要求。其实，网络安全问题的基础预防与处理并不复杂，以近期大面积爆发的针对Windows 系统的WannCry 勒索病毒为例，其防护措施仅有两大项：一是开启Win原dows 自带的防火墙功能，将相应端口设为“拒绝被访问”；二是下载现有的相应系统漏洞补丁，做漏洞补丁安装。这两类处理方法一般计算机使用者参照网上教程都可自行完成。由此可见，网络安全的基本保障策略并不复杂，所以对于网络安全保障，各教育行业的网站做好以下几点，便可减少80%的网络安全风险，保障信息系统和网站的可用性与安全性并行。 1. 建立信息安全管理体系，明确职责划分，制定安全制度。 做好网络安全工作，应将安全管理体系化、常态化，并明确网站及信息系统的安全职责划分。首先，应当确立主管人员，坚持“谁主管谁负责，谁运营谁负责”的原则。只有主管人员对信息安全足够重视，明确提出安全要求，表现出足够的重视和支持，组织中其他人员才会认识到信息安全的重要性，并在工作中遵守相关的要求。 对于技术人员，至少要分清系统管理员、系统技术负责人和安全技术负责人三大基本类别。系统管理员要对网站或系统各个环节都有所了解，对所有工作人员进行安排和进度督促，但不进行具体操作；系统技术负责人仅负责网站或系统的运维工作；安全技术负责人仅负责网络安全类工作。三类负责人职责明确，工作内容不得交叉，互相制约，更不能出