加強教育網絡與信息安全推進教育信息化與現代化

編者按：為推動教育信息化安全、健康、穩定地發展，2016年12月，江蘇省教育廳、公安廳、經信委聯合開展了全省教育網絡與信息安全培訓，會上江蘇省教育廳副廳長蘇春海就教育網絡與信息安全工作的重要性和緊迫性、如何增強相關工作的合力、科學謀劃教育網絡與信息安全的工作發展路徑等做了專題報告。由于其對全國教育系統的網絡安全工作同樣具有參考價值和指導意義，本刊對報告內容進行了刊登。

一、充分認識加快推進教育網絡與

信息安全工作的重要性和緊迫性

當今社會，信息技術發展日新月異，移動互聯網、物聯網、云計算、大數據等技術日漸成熟，信息化對人類的生產、生活乃至學習方式、思維方式等都已產生巨大影響，也為教育改革發展注入了新的活力，帶來了新的機遇。同時，隨著信息技術發展的突飛猛進，網絡與信息安全問題日益突出，教育系統信息泄露、黑客攻擊等事件也時有發生，給學校、師生及家長帶來了極大的安全隱患，教育行業網絡與信息安全面臨著前所未有的困難和挑戰。面對新形勢、新要求，我們要立足全局、著眼長遠，深刻認識加快推進教育網絡與信息安全工作的重要意義，進一步增強做好這項工作的緊迫感、責任感和使命感。

1.做好教育網絡與信息安全工作是主動適應網絡安全發展態勢的迫切需要?！熬W絡安全問題已是全球性問題?！痹诓痪们皠倓傞]幕的第三屆世界互聯網大會上，這一觀點得到了與會嘉賓的廣泛贊同。當前，國際社會網絡與信息安全事件頻發，表明網絡安全問題已是世界各國面臨的共同問題，網絡威脅無國界。放眼國內，2016年央視315晚會曝光的公共WIFI安全存在漏洞，不法分子可獲取登錄用戶手機中的個人隱私信息，山東準大學生電信詐騙案，某大學教師被冒充的公檢執法人員騙走個人財產等，都在提醒我們要時刻關注網絡安全。就教育系統內部來說，江蘇省教育系統網絡與信息安全問題比較嚴重，在全國排名靠前，這與江蘇省教育網絡發達、網站眾多有關，同時也說明了江蘇省對教育網絡與信息安全工作重視不夠、制度建設不到位、防護力度不大、水平不高。教育部、省公安廳、網信辦等部門發來的網絡安全事件通報也表明，一些教育行政部門、學校網站存在各種安全漏洞，更有嚴重者，個別學校網站被黑客攻擊，網站主頁被張貼反動言論，造成了嚴重的負面影響。日益嚴峻的網絡安全形勢，要求我們以時不我待的緊迫感和責任感，加快推進教育行業網絡與信息安全工作，增強抵御網絡安全風險的防范能力。

2.做好教育網絡與信息安全工作是落實中央決策部署、部省工作要求的迫切需要。黨和國家高度重視網絡與信息安全工作，成立了中央網絡安全與信息化領導小組，習近平總書記親自擔任組長，并且在領導小組第一次會議上就提出“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”的戰略論斷。2016年4月19日，習總書記在網絡安全和信息化工作座談會上強調，網絡安全和信息化是相輔相成的，安全是發展的前提，發展是安全的保障，安全和發展要同步推進，要樹立正確的網絡安全觀，加快構建關鍵基礎設施安全保障體系，全天候、全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力。同年11月7日，十二屆全國人大常委會第二十四次會議表決通過了《中華人民共和國網絡安全法》，真正實現了“網絡不是法外之地”的治理要求，為網絡安全治理撐開了法律保護傘。教育部高度重視網絡和信息安全工作，成立了教育部網絡安全和信息化領導小組，并在第一次全體會議上就專題研究了保障信息安全問題，先后出臺了《教育行業信息系統安全等級保護定級工作指南（試行）》等系列文件，要求切實加強教育行業的網絡與信息安全建設。江蘇省委、省政府堅持將網絡與信息安全工作納入經濟社會信息化發展全局中統一謀劃、統籌推進，出臺了《省政府關于大力推進信息化發展和切實保障信息安全的實施意見》，要求建立健全信息安全保障體系。我們必須深刻領會國家法律和部、省重要文件要求，把思想和行動統一到相關決策部署上來，推動教育網絡與信息安全工作邁上新臺階。

3.做好教育網絡與信息安全工作是加快推動教育信息化、率先實現教育現代化的迫切需要。網絡安全和信息化是一體之兩翼、驅動之雙輪，發展教育信息化，就必須重視教育行業的網絡與信息安全建設，因為這是教育信息化發展的前提和保障。隨著教育信息化建設的持續深入推進，信息系統、門戶網站、數據中心越建越多，信息技術與教育教學和管理的融合應用越來越廣泛，所涉及到的基礎數據量越來越大，網絡與信息安全責任也越來越重。加快推進教育網絡與信息安全建設，通過完善網絡與信息安全防護設備和軟件，建立多層次網絡與信息安全技術防護體系和數據容災機制，全面落實信息系統安全等級保護制度，可以為云計算、物聯網、移動互聯網等新一代信息技術在教育中的運用提供強有力的支撐，為廣大師生、學校及教育行政部門的基礎數據提供全天候、全方位的安全保障。我們教育行政部門的管理者必須進一步明確對網絡與信息安全的責任，推動網絡安全與信息化協調發展，保障和促進教育信息化持續、健康、有序發展，為率先實現教育現代化奠定堅實的基礎。

二、科學謀劃教育網絡與信息安全工作發展路徑

當前及今后一段時期，全省教育系統網絡與信息安全工作的總體要求是按照“一條思路，兩個原則”即“摸清家底、落實責任、強化抓手”的工作思路，“統一規劃，防護與建設相結合”的原則及“科學把握，技術與制度相結合”的原則，建立與教育信息化發展相適應的、完備的網絡與信息安全保障體系，支撐教育現代化事業持續健康發展。

1.明晰發展思路，樹立教育網絡與信息安全工作新標桿。觀念決定思路，思路決定出路，科學的發展思路是做好一切工作的先導。推進教育網絡與信息安全建設，必須堅持摸清家底、落實責任、強化抓手的工作思路。要摸清家底，底數清才能方向明，這是做好網絡安全防護工作的前提。我們要搞清楚目前到底有多少系統，哪些是一般系統，哪些是關鍵信息基礎設施，摸底數據的全面性和準確性直接影響到網絡安全技術防護的部署安排。要落實責任，按照“誰主管誰負責、誰運行誰負責、誰使用誰負責”和“屬地化管理”的原則，嚴格落實網絡與信息安全責任制，強化主要責任人是第一責任人的意識。要實現分級管理，層層落實責任，省教育廳負責統籌指導全省教育系統包括高校的網絡與信息安全工作，各市教育局負責本地區教育部門和學校的網絡與信息安全工作。強化抓手，就是要抓住重點，集中發力，實現突破。我們要以關鍵信息基礎設施檢查、安全等級保護工作為抓手，通過以查促管、以查促防、以查促改、以查促建，整體提升教育網絡與信息安全工作建設水平。

2.明確基本原則，推動教育網絡與信息安全協調發展。要堅持統一規劃，防護與建設相結合的原則，在信息化建設過程中，網絡與信息安全要同步規劃、同步建設、同步實施，實現內容和技術并舉、管理和技術并重，避免出現“重建設輕管理，重發展輕安全”的現象。要堅持科學把握，技術與制度相結合的原則，我們不僅要完善網絡與信息安全防護設備和軟件，加強網絡與信息安全核心技術的研發和使用，還要嚴格執行網絡與信息安全法律法規、政策和標準規范，嚴格遵循國家、省制定的各類教育信息化管理制度，對全省教育網絡與信息系統安全防護采取符合我省實際要求的準入制度，嚴格要求管理、技術、人員崗位和操作實施流程。同時要兼顧效果優先及投入產出效益最大化，做到技術與制度相互補充，能通過制度達到的防護水平就無需通過采購設備來做技術防護，有效遏制不計成本的采購，提高經費使用效益。

3.抓住重點工作，確保教育網絡與信息安全工作落到實處。抓住重點工作，才能做到有的放矢。我們要以重點工作為突破口，帶動教育網絡與信息安全整體水平的提升。根據國家及省里的工作要求，并結合教育實際，當前及今后一段時期，我們將從以下六個方面著手開展工作。一是深入開展關鍵信息基礎設施檢查工作，全面掌握關鍵信息基礎設施數量、分布、主要功能、運行環境、運維方式等，提升關鍵信息基礎設施防護能力。二是開展信息系統安全等級保護工作，推進信息系統安全等級保護制度的落實，開展信息系統的定級、備案、測評整改工作。協調教育部、省公安廳推進省級教育網絡安全等級保護測評工作站建設。三是推進教育系統數字證書（CA）試點建設。開展CA重點用戶安全認證工作，加快部署CA系統。四是開展網絡安全日常監測與專項檢查，加強對重要信息系統、關鍵數據資源進行常態化監測和檢查，做好“兩會”、高考等重要時期網絡安全保障工作。五是依托教育城域網建設全省教育專網，實現全省各類信息報送、重要信息系統運行都在專網內進行；推進各級教育網群建設，打破“信息孤島”，實現信息系統分級部署、集中管理。六是組織開展網絡與信息安全培訓，舉辦全省各級各類學校學生網絡安全知識競賽，全面增強教育系統人員、廣大學生網絡安全意識，提高抵御網絡風險的防護能力。

三、切實增強推進教育網絡與

信息安全工作的合力

當前，教育信息化工作已經進入了深化應用、融合創新的發展時期，越來越廣泛、越來越深入的應用必然會對網絡與信息安全工作提出新的更高的要求，應該說我們肩上的擔子更重、責任更大。我們要進一步明確職責、狠抓落實、勇于擔當、主動作為，切實加大教育網絡與信息安全工作的推進力度，確保為教育信息化持續健康發展提供堅強的安全壁壘，為率先實現教育現代化作出應有的貢獻。為此，應落實以下四點要求。

1.領導高度重視，層層落實責任。網絡安全問題首先是認識的問題，認識不到位，工作自然做不好。目前有一些教育行政部門、學校領導對于網絡與信息安全工作沒有給予足夠重視，出了不少問題，甚至出了問題還不當回事。做好網絡與信息安全工作，首先領導要高度重視，要建立健全網絡與信息安全組織領導體系。江蘇省教育廳即將把教育信息化工作領導小組更名為教育網絡安全與信息化領導小組，由廳長、書記兩個一把手任組長，副廳長任副組長，進一步強化主要領導對教育網絡與信息安全工作的領導責任。各地也要加快建立黨政一把手負責的網絡與信息安全工作領導機構，由主要負責人擔任網絡與信息安全工作的第一責任人。在單位內部，進一步明確職能機構及專門管理人員專門負責網絡與信息安全工作，對本單位網絡與信息安全工作實施統籌管理，要求相關職能部門和技術支持機構做到安全到人、責任到崗，強化網絡安全責任，建立責任追究制度，形成追責、補救機制。

2.建立工作機制，規范工作流程。完善的工作機制是網絡與信息安全工作持續健康發展的重要保障。要建立健全網絡與信息安全應急處置機制，制訂網絡與信息安全工作應急預案，明確應急處置流程和權限，配備專業的應急處置技術支持隊伍，開展對專業人員的應急預案培訓和演練，進一步優化應急設備和軟硬件環境，提高網絡與信息安全應急處置能力。要建立重大網絡與信息安全事件處置和報告制度，進一步規范報送范圍、統一報送流程、明確報送時間、落實事件處置緊急措施。要建立網絡與信息安全工作月報制度，各地各單位要按照流程及時上報網絡與信息安全工作情況、信息系統運行狀況和網絡信息事件處置情況，省教育廳將對全省網絡與信息安全工作情況進行定期通報。要建立健全管理協調機制，與各級公安部門、網信部門、通信管理部門進行橫向協調，省市縣校實現縱向銜接，建立跨部門、跨地區的協調和事件處理機制，完善網絡安全工作的組織保障。

3.加大經費投入，打造人才隊伍。各地要加大網絡與信息安全經費投入力度，建立穩定的網絡與信息安全經費投入機制，將安全建設和運維經費納入年度財政預算，設立網絡與信息安全專項經費，明確網絡與信息安全專項經費占教育信息化經費的支出比例，對網絡與信息安全設施建設、安全防護能力建設及日常的網絡安全維護工作予以重點支持。要合理安排和使用經費，提高經費使用效益。要強化人才隊伍建設，各地要加快制定網絡與信息安全的培訓規劃，積極開展網絡與信息安全專項培訓，建立網絡與信息安全專業人員崗前培訓和繼續教育互為補充的培訓制度，逐步實行網絡與信息安全專業技術人員持證上崗。要面向不同群體，開展針對領導干部、管理人員、技術人員、師生的不同層次的培訓，將網絡與信息安全意識和政治意識、責任意識、保密意識結合起來，提高全體人員的網絡與信息安全防范意識，網絡安全意識要從小抓起，從娃娃抓起，讓信息一代網絡“原住民”從小就具備網絡安全常識和網絡安全防范能力，培養規范、合法的網絡行為。

4.強化督查考核，推動工作落實。各地要制定并完善網絡與信息安全檢查、評價考核辦法，建立隱患排查治理機制。省教育廳每年至少組織一次全省網絡與信息安全工作大檢查，各地要結合本地本單位實際，認真開展網絡與信息安全工作自查，對檢查中發現的隱患必須及時整改，檢查結果和整改結果要上報省教育廳備案。省教育廳將把各地網絡與信息安全工作情況納入年度考核，建立積分排名制度，對工作得力的單位給予表彰，對工作不力的單位進行通報。要建立網絡泄密舉報制度和獎懲制度，充分調動社會各界和廣大群眾的監督作用。

加快教育信息化建設，率先實現教育現代化是時代賦予我們的重任，也是我們義不容辭的職責。教育網絡與信息安全是發展教育信息化的“生命線”，事關教育事業改革發展的大局。需要我們齊心協力、攻堅克難、勇于擔當，把教育網絡與信息安全工作擺在重要的位置，時刻保持安全警鐘長鳴，切實推進教育網絡與信息安全建設，為加快教育信息化建設、率先實現教育現代化，建設“強富美高”的新江蘇作出新的更大的貢獻。

（責任編輯 郭向和）