今年5月,，教育部科技司信息化處調(diào)研員舒華在“2017年教育信息化創(chuàng)新論壇”中對(duì)教育部正在實(shí)施的《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)方案》進(jìn)行了解讀。她將此次行動(dòng)歸納為八個(gè)字：治亂,、堵漏,、補(bǔ)短、規(guī)范,。她提到,，之所以選擇這些內(nèi)容重點(diǎn)推進(jìn)源于問(wèn)題導(dǎo)向。

《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)方案》目標(biāo)是提升安全水平,，增強(qiáng)防護(hù)能力,，有效防范風(fēng)險(xiǎn),，保障運(yùn)行和數(shù)據(jù)安全。原則是：問(wèn)題導(dǎo)向,、突出重點(diǎn),、完善機(jī)制，狠抓落實(shí),。實(shí)施范圍是各級(jí)教育行政部門及其直屬單位高等學(xué)校,。

《方案》主要有四大項(xiàng)主要任務(wù)。每一項(xiàng)工作任務(wù)對(duì)應(yīng)不同的工作重點(diǎn),，總共10項(xiàng)：

1.治理網(wǎng)站亂象,，強(qiáng)化主體責(zé)任——統(tǒng)一標(biāo)識(shí)，信息發(fā)布,，域名清理,；2.堵塞安全漏洞，增強(qiáng)防護(hù)能力——監(jiān)測(cè)預(yù)警,，檢測(cè)風(fēng)險(xiǎn),；3.補(bǔ)齊等保短板，履行安全保護(hù)義務(wù)——定級(jí)備案,，測(cè)評(píng)整改,；4.規(guī)范安全管理，提升治理水平——數(shù)據(jù)管理,，關(guān)鍵設(shè)施,，應(yīng)急響應(yīng)。教育部將之歸納為八個(gè)字：治亂,、堵漏,、補(bǔ)短、規(guī)范,。

1、統(tǒng)一標(biāo)識(shí),。

中央機(jī)構(gòu)編制委員會(huì)于2014年出臺(tái)“關(guān)于做好黨政機(jī)關(guān)網(wǎng)站開(kāi)辦審核、資格復(fù)核和網(wǎng)站標(biāo)識(shí)管理工作”的通知,，要求相關(guān)機(jī)構(gòu)建立黨政機(jī)關(guān)網(wǎng)站標(biāo)識(shí)制度,。目前，各級(jí)教育行政部門和直屬單位還未全部落實(shí)掛標(biāo)工作,，此次行動(dòng)要推動(dòng)這些單位掛標(biāo),。

2、信息發(fā)布管理,。

《網(wǎng)絡(luò)安全法》明確個(gè)人信息是指電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,，包括但不限于自然人姓名,、出生日期、身份證號(hào)碼,、個(gè)人生物識(shí)別信息,、住址、電話號(hào)碼等,。學(xué)校作為網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)認(rèn)真審核數(shù)據(jù)的發(fā)布,，不得將涉及個(gè)人隱私的數(shù)據(jù)直接發(fā)布在網(wǎng)上，采取技術(shù)措施和其他必要措施保護(hù)個(gè)人信息,。

3,、網(wǎng)站域名清理。

隨著教育信息化的發(fā)展,，各級(jí)各類學(xué)校逐漸建立學(xué)校自己的門戶網(wǎng)站,。但據(jù)調(diào)查顯示，學(xué)校門戶網(wǎng)站域名用.cn域名的相對(duì)較少,?！耙恍W(xué)校的門戶網(wǎng)站域名用的是如.me、.cc等五花八門的域名,，不僅影響中國(guó)學(xué)校開(kāi)展國(guó)際交流合作的形象,，而且也難以開(kāi)展安全監(jiān)測(cè)，需要研究如何加強(qiáng)管理,?！笔嫒A表示。

1,、安全監(jiān)測(cè)預(yù)警。

《網(wǎng)絡(luò)安全法》第五章第五十二條指出,，負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門,，應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,，并按照規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息,。2016年，教育部正式啟動(dòng)安全監(jiān)測(cè)預(yù)警工作,，加強(qiáng)與國(guó)家網(wǎng)絡(luò)安全職能部門的溝通,，建立與專業(yè)機(jī)構(gòu)、安全企業(yè)等單位的信息共享合作,，逐步形成多層次的,、覆蓋全行業(yè)的安全威脅信息共享機(jī)制。采取信息匯聚,、核實(shí),、通報(bào),、限時(shí)整改、復(fù)核的工作機(jī)制,。監(jiān)測(cè)預(yù)警機(jī)制建立一年來(lái),，共發(fā)現(xiàn)安全威脅近20000個(gè)，修復(fù)率達(dá)到了90%,。

統(tǒng)計(jì)表明,，教育行業(yè)網(wǎng)絡(luò)安全事件，2015年發(fā)生的次數(shù)比2014年小幅上升,，2016年比2015年下降了67%,。其中一個(gè)重要原因是監(jiān)測(cè)預(yù)警機(jī)制發(fā)揮了很大的作用，特別是.edu.cn域名的網(wǎng)絡(luò)安全事件下降最多,。

2,、檢測(cè)風(fēng)險(xiǎn)。

學(xué)校使用的信息系統(tǒng)中有一類是具有教育特色的通用軟件,，如：學(xué)生管理,、教務(wù)管理、財(cái)務(wù)管理系統(tǒng)等,。調(diào)研發(fā)現(xiàn),，直接使用通用型軟件及基于通用型軟件的個(gè)性化定制已成為學(xué)校開(kāi)發(fā)系統(tǒng)的主要手段。提供這些通用軟件的企業(yè)相對(duì)集中,，加強(qiáng)對(duì)通用軟件的安全審查和全面評(píng)估十分必要,，力爭(zhēng)從源頭上降低安全風(fēng)險(xiǎn)。

1,、網(wǎng)絡(luò)安全等保。

舒華介紹說(shuō),，《網(wǎng)絡(luò)安全法》明確提出國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,，在原來(lái)的信息安全等級(jí)保護(hù)制度基礎(chǔ)上進(jìn)一步完善，上升到了法律層面,，使網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入2.0時(shí)代,。網(wǎng)絡(luò)安全等級(jí)保護(hù)包括定級(jí)、備案,、測(cè)評(píng),、整改四個(gè)步驟。2015年,，教育部和公安部聯(lián)合印發(fā)了《關(guān)于全面推進(jìn)教育行業(yè)信息安全等級(jí)保護(hù)工作的通知》，截至目前,，還有一些單位和學(xué)校沒(méi)有完成等級(jí)保護(hù)定級(jí)備案工作,。

2,、測(cè)評(píng)和整改。

每個(gè)信息系統(tǒng)在完成定級(jí)備案保護(hù)后,，都應(yīng)按照要求定期開(kāi)展等級(jí)測(cè)評(píng)和整改工作,。定級(jí)備案完成并不說(shuō)明網(wǎng)絡(luò)就安全了，只有通過(guò)測(cè)評(píng)整改才能更好地保證系統(tǒng)和網(wǎng)絡(luò)的安全,。

1、數(shù)據(jù)安全,。

保障信息系統(tǒng)和網(wǎng)絡(luò)的安全,，其根本目的是要保障數(shù)據(jù)的安全。教育行業(yè)有大量的師生信息,，涉及個(gè)人隱私,，保障數(shù)據(jù)安全任務(wù)艱巨。教育部正在制定《教育部教育數(shù)據(jù)管理辦法》,，規(guī)范數(shù)據(jù)的采集,、傳輸、存儲(chǔ)和開(kāi)放共享,。各單位應(yīng)根據(jù)本單位實(shí)際,，制定相應(yīng)管理辦法，加強(qiáng)數(shù)據(jù)保護(hù)工作,，防止個(gè)人隱私信息泄露,。

2、關(guān)鍵信息基礎(chǔ)設(shè)施,。

關(guān)鍵信息基礎(chǔ)設(shè)施是在網(wǎng)絡(luò)安全等級(jí)保護(hù)制定的基礎(chǔ)上對(duì)信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù),。目前，各單位都在研究確定關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)范圍,。對(duì)教育行業(yè)來(lái)說(shuō),，重要的信息基礎(chǔ)設(shè)施應(yīng)包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施，涉及到考試,、招生,、學(xué)籍、資助等教育核心業(yè)務(wù)的信息系統(tǒng),，全國(guó)聯(lián)網(wǎng)的信息系統(tǒng),，存儲(chǔ)大量師生數(shù)據(jù)的信息系統(tǒng)。各地各校應(yīng)認(rèn)真梳理,，明確本單位的重要信息基礎(chǔ)設(shè)施,。

3、應(yīng)急響應(yīng)。

《網(wǎng)絡(luò)安全法》明確負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門應(yīng)當(dāng)制定本行業(yè),、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,，并定期組織演練。教育部正在按照要求研究制定應(yīng)急預(yù)案,，各單位也應(yīng)制定本單位的應(yīng)急預(yù)案,，出現(xiàn)安全事件及時(shí)響應(yīng)和快速處置。

舒華介紹,，從今年開(kāi)始,，教育部將加強(qiáng)對(duì)地方、學(xué)校的網(wǎng)絡(luò)安全工作的監(jiān)督檢查,，把網(wǎng)絡(luò)安全納入校園和周邊綜合治理框架下進(jìn)行考評(píng),，并制定了評(píng)價(jià)指標(biāo)，主要包括網(wǎng)絡(luò)安全通報(bào)機(jī)制,、網(wǎng)絡(luò)安全責(zé)任制,、等級(jí)保護(hù)定級(jí)備案工作、網(wǎng)絡(luò)安全威脅通報(bào)工作,、重要時(shí)期網(wǎng)絡(luò)安全保障工作,、網(wǎng)絡(luò)安全事件處置等六個(gè)方面。

另外,，她提到,，并不是發(fā)現(xiàn)的漏洞越多就減分，而是發(fā)現(xiàn)漏洞卻沒(méi)有及時(shí)補(bǔ)漏才減分,，也并非發(fā)生了安全事件就減分,，而是發(fā)生了安全事件卻不在規(guī)定時(shí)間內(nèi)處置就減分?！斑@樣的考核是對(duì)管理的考核,，因?yàn)榘踩欠啦粍俜赖模芾淼轿豢梢詫踩录斐傻膿p失控制到最低,?！笔嫒A說(shuō)。