高校网络安全建设:信息化发展历程与教育部安全规划解析
大学是基础研究的主要力量,也是主要科学和技术突破的来源,并且是国家战略科学和技术力量以及国家创新系统的重要组成部分。自从中国共产党第18大国会大会以来,高校迅速提高了他们的创新能力,重大成就继续出现,机构和机制改革已经加深,成为了可持续社会发展的强大驱动力,并已成为一种强大的驱动力对创新国家建设的重要贡献。在数字时代,大学信息系统极大地保证并促进了教学,科学研究,管理和外汇活动的发展,但是其中生成的大量数据,包括教育资源,科学研究结果,教师认可信息,教材和国家教学资金。信息等,隐藏巨大的网络安全风险。在这方面,我们需要首先整理以下内容:
1。大学信息发展的历史
2。教育部针对高校网络安全的安全建筑计划
3。负责大学和大学的网络安全建设和管理的主体
这种共享将重点放在上述内容上,以帮助您了解大学面临的网络安全挑战,不应遗漏!
大学信息发展的历史
我国大学的信息化发展始于2000年左右。在早期,它主要集中于信息基础设施,然后转向“信息技术和教育和教学的深刻整合”,并开始建立“三方”和“两平台”,即宽带在线学校。连接,高质量的资源类别和在线学习空间,建立了一个用于教育资源的公共服务平台和一个用于教育管理的公共服务平台。这个阶段也称为教育信息的1.0时代。
2018年,教育部发布了“教育信息2.0行动计划”,提议“三个完工,两个高点和一个专业”,即,教学申请涵盖所有教师,学习申请涵盖所有适当年龄的学生,数字校园建设涵盖所有学校和信息应用级别,教师和学生的信息素养通常得到了改善,建造一个大型的“互联网 +教育”平台标志着我国教育信息的正式进入新的2.0 ERA。如图所示:
大学和大学的网络安全开发
另一方面,随着学院和大学的信息的快速发展以及信息技术的广泛应用,大学的网络安全也面临着巨大的威胁。教育信息是国家信息化的重要组成部分。教育行业的网络和信息安全工作与教育信息的稳定发展以及教育的改革和发展有关。因此,自2017年以来,教育部一直在各种规划或指导文件中。强调网络安全的重要性:
2017年,“教育行业的网络安全行动”:高校在教育行业中采取全面的网络安全治理行动,其主要内容控制网站混乱,填补安全漏洞,填补空白以及标准化安全性管理,并全面改善教育。行业网络安全水平。
2019年,“教育信息和网络安全工作的关键点”:将网络文明和网络安全教育纳入学校教育内容;建立标准化的一般软件安全评估机制;进行网络安全检查。
在2021年,“科学技术与信息技术部工作的关键点”:增强教育和科学网络的网络安全监控功能,改善网络安全监控和通知机制;在教育系统中进行网络安全进攻和防御练习; “教育信息技术2.0行动计划”:全面改善教育系统网络安全保护功能,进行深入网络安全监控和预警,并提高网络安全状况的认识水平; “指导有关促进新的教育基础设施建设以建立高质量教育支持系统的意见”:到2025年,基本上构成了结构优化,密集和高效,安全可靠的新的新教育基础设施系统。
2022年,“ 2022年的关键工作点”:加深信息技术与教育与教学的整合和创新;建立一个审查系统,以将教育信息产品和服务进入校园。
其中,有必要专注于2021年的两个文件 - “教育信息2.0行动计划”和“指导有关促进新的教育基础设施建设以建立高质量教育支持系统的意见”,以下称为“ 2.0”行动计划和“指导”。
2.0行动计划提出,我们应该将网络安全法律和其他法律法规作为基础,实施网络安全级别保护系统,并为关键信息基础架构提供良好的保证,进行深入的网络安全监控和预警,预警,预警,提高网络安全状况的意识水平,并全面改善教育系统具有保护网络安全保护的能力,并有效地保护教师和学生的利益。
该指南清楚地定义了网络安全部分的要求:
1。资产安全性
加强国家骨干网络,省和市政教育网络与学校校园网络之间的联系,并实现网络地址,域名和用户的统一管理;增强感知能力,改善教育系统的信息资产数据库,并掌握信息系统(网站)。
2。安全保护
建立一个科学研究合作平台,以支持跨学科,学校和地区的合作创新;基于教育网络进行网络流量监控,以及时监控安全威胁并检测攻击;为教育系统建立紧急命令网络,以改善安全事件发现和紧急报告,协作处置,可追溯性和其他功能。
3。应用程序安全
促进信息技术应用中的创新并提高软件供应链的安全水平;改善应用程序监督 - 改善有关监督的信息支持功能,例如教育移动互联网应用程序,教育软件,在线教育平台和新的数字终端,并将新技术和新应用程序推广到校园审查和归档。
大学安全学科
上面提到了教育部关于高校安全发展的计划和建议。那么,在特定的大学和大学中实施安全学科时,谁应该承担责任?
基于每所大学的组织结构分析,通常在学校下方的学校有一个专门负责网络安全和信息化的部门,不同的大学也具有不同的标题 - “信息中心”,“网络和信息中心”,和“网络管理中心”。 “等等。以下简称,它被共同称为“信息中心”。其下属通常还设有全面的办公室(协调管理),网络通信部门(基础架构),信息和系统部门(计划管理),校园卡中心,科学研究中心等(不同的大学都有不同的头衔)。
学院和大学安全建设的现状
https://img0.baidu.com/it/u=3147703258,3424934776&fm=253&fmt=JPEG&app=120&f=JPEG?w=889&h=500
以上海为例,其网络安全构建的当前状态可以分为三个维度:
1。资产安全性
随着信息系统和网站数量的迅速增长,信息部门的人力有限,缺乏相应的管理部门。因此,它只能关注核心业务资产,导致资产管理疲软,这主要依赖于年度资产审查,安全检查和其他服务。
2。安全保护
信息系统的安全保护主要根据安全要求(例如,主页网站,录取和就业管理,电子邮件信息和其他系统是第三级要求,设备和采购管理和财务管理系统是第二级要求)。保护共同安全风险的保护能力。
3。安全管理
它具有常规的安全管理系统和规格,例如数据安全管理方法,开发和部署以及操作和维护规则,身份认证访问标准,计算机室服务器管理法规等,但仍缺乏相应的方面安全监控,风险评估,威胁处理和其他专业。标准化和人员主要依赖安全服务。
大学网络安全挑战
总而言之,再加上大学工业中mo吟技术的积累和积累,该部门简要总结了大学在网络安全方面可能面临的安全挑战:
1。信息资产快速增长带来的控制压力
随着教育信息的迅速发展和流行病的影响,大学教育的信息化过程一直在加速,从最早的滑动教学到电视投影到在线教学和远程教学。信息技术的引入大大提高了教学质量,但与此同时,这些信息资产的大规模增加也带来了许多安全问题。
2。在动荡的国际情况下的大学网络安全
自从19日大流行以来,所有国家的经济发展受到影响,小国和俄罗斯 - 乌克兰战争的破产也使国际境地变得越来越僵化,网络安全领域也处于风暴中。根据Check Point的安全报告,与2020年相比,全球企业和机构的网络攻击在2021年增长了50%,而教育和研究部门成为最困难的地区,平均每周1,605次攻击。
3。软件供应链带来的安全挑战
我国的大多数大学和大学的信息系统都是由第三方软件公司开发的。供应链链路很复杂,结构很复杂,它们很容易受到供应链流动过程中各种节点和各种链接的安全性的威胁。 Log4J在2021年初,4月,7月和年底以及一系列开源库漏洞的不良影响揭示了软件供应链中固有的重大风险。
4。大学很难跟上信息化的速度
与其他在建立网络安全部门专门设立网络安全部门的行业不同,大多数大学都将时间和精力投入到教育和教学上,从而使网络安全的才能和能力稀缺。一些大学甚至将信息教师作为网络安全经理。随着各种安全风险以及该国对大学安全和稳定的要求,如何提高安全保护能力已成为大学必须面对和解决的问题。
那么,企业和组织的安全从业人员和安全领导者应该如何应对这些挑战?
在大学和大学中建立网络安全思想的四个步骤
在Mo'an技术大学建立网络安全治理框架的想法分为四个步骤,如下图所示:
学院和大学IT资产治理的第一步
帮助大学弄清可能受到攻击的资产的暴露,在各个方面发现当前的所有IT资产,并进行正常的安全监控。建议从以下各个方面进行操作:
1。复制资产曝光
所谓的接触可以简单地理解为易于攻击的弱点,例如由内部学术事务系统开放的开放大学网站,港口和服务,以便大学安全经营者可以知道自己的弱点。
2。完全资产发现
根据现有的大学资产列表,找到未注册或应关闭或放弃但仍然活跃的其他“僵尸”资产。
3。全天安全检查
将上述资产接触,定期进行定期安全检查,并协助大学安全操作员找到特定的风险资产,关闭或加强安全性。
第二步是主动深入安全防御
近年来,学院和大学的网络安全事件不时发生,今年西北理工大学遭受的国家黑客事件是一个重要警告。此外,随着教育体系的网络安全进攻和防御练习变得正常,主要大学即将提高网络安全防御能力。
https://img0.baidu.com/it/u=3480774892,1316650795&fm=253&fmt=JPEG&app=120&f=JPEG?w=1065&h=500
高校的安全建设仍然由传统主导。什么是传统的安全保护?也就是说,要确保所有资产都是100%安全且没有盲点,但这几乎是不可能实现的,因此它需要改变想法。安全保护是从网络方面和外部视角进行的,主动的深入安全防御是基于发现前,过程中的可追溯性和分析后的逻辑。
在2016年,mo吟技术领导着提出主动欺骗和防御的概念,将被动变成活跃的,在攻击者必要的道路上建立陷阱,使攻击目标感到困惑,感知和追踪攻击行为,并最终阻止攻击以确保学术攻击以确保学术事务系统。安全,具体措施如下:
01
基于真实的学术系统,伪造一对一的仿真系统,并安排攻击者可以侦察和收集信息的误导性数据信息,或使用技术手段,例如探针,错误的IP和网页来混淆攻击目标并引起攻击目标攻击者落入陷阱(仿真系统)。
02此过程中的可追溯性
当攻击者进入错误的学术系统,窃取数据信息,位置病毒特洛伊木马等时,将记录所有行为轨迹。
03事后分析
陷入陷阱的攻击者可以观察和收集数据,或直接攻击并阻止攻击。同时,他们可以将一系列攻击行为结合起来,以追踪起点,甚至可以反向控制对手的主机,并将其提交给公共安全,作为未来安全施工的重要凭据。 。
此外,这种主动的防御系统不仅可以保护大学和大学学术事务系统的安全,而且在此基础上进一步与mo吟技术合作:共同创建一个属于大学本身的进攻性,防御性和防御性和对抗训练室。
04补充说明:主动欺骗防御的构建不是放弃传统的安全保护系统,而是与1+1> 2的关系。前者负责诱捕和拖延,而后者则负责处理,相互补充和必不可少。
步骤3:软件供应链安全治理
主动欺诈防御的建设主要针对学术事务系统的外部保护。根据CNVD脆弱性平台的国家信息安全脆弱性共享平台提供的数据,在流行病的影响和大学和大学信息的快速发展下,近年来的安全漏洞主要集中在应用程序或Web应用程序本身。
但是,对于高校而言,他们自己的大多数学术事务系统都是从第三方开发人员那里购买的,或者是招募外部开发人员进行现场开发的,因此很难从根本上管理系统安全。
在这里,我们需要介绍“软件供应链安全”的概念:
软件供应链安全可以理解为在整个软件生产过程中编码过程,工具,设备,供应商和最终交付渠道所面临的安全问题。
简而言之,软件供应链的业务流程可以分为三个方面:开发,交付和应用。尽管大学通常缺乏发展能力,但它们可以从交付阶段开始以管理安全:
1。优化采购规格
在采购过程中添加软件供应链安全性的要求,或将软件供应链条款添加到竞标,合同,审核和其他文件中,要求开发人员保证已交付的学术事务系统的安全性。
2。提前解决安全要求
除了关注采购和合同阶段外,大学还可以在开发之前向开发人员提出相应的业务系统的安全需求(此处可以由mo吟技术安全咨询专家提供干预和指导)。例如:当用户登录系统时,为了防止受攻击的人爆炸密码和猜测,登录功能需要一个安全函数,该安全函数需要一定时间才能在输入验证代码或输入后输入错误的密码错误的密码几次。
3。软件供应商管理系统
将软件自己的安全性包括在供应商的入围或评估标准中并过滤制造商可以在一定程度上确保软件交付功能和系统安全性。
步骤4:介绍专业安全服务
大学不同于金融和网络安全开发处于最前沿的互联网等行业。许多大学没有特殊的网络安全职位,其安全能力严重不足。教育部还说:“鼓励高等教育机构和基本电信公司提供服务质量。监视,建立面向用户的服务质量评估机制,并提高校园网络服务水平。鼓励高等教育机构引入外部资源通过购买社会服务以提供高质量和低成本的网络服务保证。”
大学和大学需要具有丰富工作经验的专业和技术人员,出色的安全设备日志分析和场景建模功能以及安全事件紧急响应以及操作和维护能力,以为他们提供细致,全面的安全服务,以弥补他们缺乏人力和技术。信息不足,安全操作和维护不足。为此,您可以参考mo吟技术的大学安全服务系统:
页:
[1]