数字化转型背景下教育系统网络安全研究―中国教育信息化网ICTEDU

关键词：教育数字化；网络安全；数据安全；教育系统；网络安全保障体系

中图分类号：G434

文献标志码：A

作者简介：魏顺平，中央民族大学教育学院教授，博士(北京100081);邵云龙，通讯作者，教育部教育管理信息中心工程师(北京100816);杨德全，北京理工大学网络信息技术中心助理研究员，博士(北京100081)

基金项目：国家自然科学基金2022年面上项目“教育信息化战略对民族地区义务教育优质均衡的影响研究”(编号：72274234)

一、引言

2022年2月，怀进鹏主持教育部党组理论学习中心组集体学习暨教育信息化首场辅导报告会，提出要牢牢把握“方法重于技术、组织制度创新重于技术创新”的工作理念，按照“应用为王、服务至上、示范引领、安全运行”的工作要求和思路一体化推进建设与应用，要以标准安全运行保障为支撑，筑牢数据安全底线，探索创造富有中国特色的教育数字化治理标准，构建可持续的数据安全防护体系。[4]这充分说明网络安全保障对推进教育数字化战略的重要意义。

二、保障教育网络安全的缘由

在党的二十大报告中，“安全”出现91次，“国家安全”出现29次，有专章“十一、推进国家安全体系和能力现代化，坚决维护国家安全和社会稳定”阐述安全工作，并指出“强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”，这里专门提到“网络安全保障体系建设”。

网络安全牵一发而动全身，深刻影响政治、经济、文化、社会、军事等各个领域的安全。没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。有学者认为，网络安全问题已成为影响经济发展的主阵地、影响政治安全的敲门砖，以及影响军事安全的杀手锏。[5]2020年以来新冠疫情所致远程办公和云端迁移潮，在各国及各行各业对远程工作、网上学习、网络服务依赖逐步扩大的影响下，为网络攻击开辟新的途径。在日益不稳定的全球网络安全格局中，大规模、有针对性的网络攻击大幅增加，数据泄露、勒索软件、安全漏洞、网络钓鱼、人为错误操作问题和事件急剧上升，对公众民生和社会治理稳定带来巨大影响。

我们已经实现第一个百年奋斗目标，在中华大地上全面建成小康社会，历史性地解决绝对贫困问题，正意气风发向全面建成社会主义现代化强国的第二个百年奋斗目标迈进。展望2035年，我国将建成文化强国、教育强国、人才强国、体育强国、健康中国，国民素质和社会文明程度达到新高度，国家文化软实力显著增强。在建设教育强国的进程中，我们必须统筹发展和安全、统筹教育信息化和网络安全，为建设高质量教育体系提供网络安全保障。

教育部拥有12个国家关键信息基础设施，存储数以亿计的敏感个人信息。教育系统的网络安全关系广大师生家长的切身利益，甚至关系社会稳定和国家安全。然而，广大师生的网络安全意识教育未得到普遍重视，关键教育教学网络与信息系统安全内部漏洞、外部威胁广泛存在，网络安全防护能力仍有短板：教育数字化覆盖人口多，容易形成意识形态问题;教育领域信息系统多，容易带来系统攻击和被篡改;教育领域数据资源多，容易造成数据泄露。教育系统网络安全形势严峻，安全事件不断出现，涉及数据主权、内容安全、个人信息、网课爆破、网页篡改等。例如，考上大学的高中生因个人信息泄露、电信精准诈骗导致死亡，考试机构因受攻击而无法提供服务，大批量学生数据在暗网上贩卖，中学教师疑因上网课时遭受“网络爆破”后在家中猝死等。因此，我们一方面要大力推进教育数字化，为加快发展面向每个人、适合每个人、更加开放灵活的教育体系赋能;另一方面要不断加强教育机构网络安全工作，以保卫教育数字化成果，保障教育教学、管理、公共服务体系稳定运行。

习近平总书记在中央网络安全和信息化领导小组第一次会议上的讲话中指出，没有网络安全就没有国家安全，没有信息化就没有现代化。[7]网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作，要处理好安全和发展的关系，做到协调一致、齐头并进，以安全保发展、以发展促安全，努力建久安之势、成长治之业。宋瑞娟(2021)认为应从机制、战略、产业、技术、观念五个层面构建网络安全治理能力的提升路径，具体包括促进多方协同合作、推动大数据战略发展、建立网络安全产业体系、注重科技创新和应用、加强网络安全意识的培养等。[8]有学者基于《2021地平线报告(信息安全版)》得出我国高校应对信息安全挑战的有益启示：加快顶层框架设计，完善职能部门权责;利用技术制约效应，建立自评自测体系;探索校企联防机制，严守数据安全红线;普及技术伦理教育，践行信息安防行为。[9]

基于上述要求和观点，本文提出我国教育系统及各级各类学校需构建和完善网络安全保障体系。网络安全保障体系包括管理体系、技术体系、运维体系等三大部分，如图1所示。其中，安全管理体系包括安全规划、安全制度建设、安全评估、安全审计、应急响应、安全培训等方面，安全技术体系包括监测与识别、安全防护、审计与恢复等方面，安全运维体系包括运维制度建设、运维人员管理、安全监控、安全预警、安全响应、应急演练、重要保障时期值守等方面。

图1网络安全保障体系框架

三、保障教育网络安全的对策建议

鉴于保障教育网络安全意义重大，下面从建好网络安全管理体系、网络安全技术体系、网络安全运维体系三方面提出对策建议，具体包括统筹网络安全顶层设计、完善数据安全制度、强化网络安全教育，补全网络安全技术短板、提高主动防御能力，建设网络安全运行队伍、增强攻防实战能力。

(一)网络安全管理体系建设持续完善

网络安全管理是体系框架的上层基础，对网络安全保障至关重要，从网络安全政策、标准、人员、意识、职责等方面保证网络安全运行的顺利进行。这里重点论述三方面的内容，即统筹网络安全顶层设计、加快跟进数据安全法的实施细节、不断强化面向广大师生的网络安全教育。

1.在信息化建设中统筹网络安全顶层设计

明确网络安全职责分工。明确网络安全职能部门及负责人岗位，建立有效制度文件说明。设立系统管理员、网络管理员、安全管理员、数据管理员等岗位，定义各个工作岗位的职责，做到专岗专用，尤其是安全管理员不得兼任。形成一定数量的管理员规模，关键技术岗位设立A、B岗，网络安全工作落实到每个细节。建议合理划分管理员权限系统：系统管理员具有系统监控、网络配置、系统管理等权限，审计管理员具有系统监控、应用分析、权限配置等权限，安全管理员具有系统监控、应用分析、数据管理(除配置日志、系统日志)、安全策略配置等权限。

建立可操作的安全规范。结合日常运维的场景，完善网络安全管理制度，覆盖巡检管理、变更管理、配置管理、漏洞管理、事件管理等多方面的操作规程。加强与安全厂商、专业运维公司的合作与交流，在交付验收时要求服务商提供系统安全运维操作手册、设备操作手册、日常维护操作手册等规范文件。

加大网络安全经费投入。安全工作不能仅靠制度和设计，还需要落地。落地就是在人、财、物等方面进行有效保障。近年来，我国在网络安全领域的投入占信息化总体投入的比例较低，且各学校每年投入波动较大，尤其是在人员和管理提升方面的投入严重不足，导致网络安全、数据安全等工作无法持续改进。建议教育机构根据自身情况设定每年网络安全、数据安全投入阈值(建议不低于每年信息化投入的5%)，有力保障硬件、软件、服务等方面的持续优化提升，降低各单位安全稳定运行风险。

2.持续加强数据安全管理和师生个人信息保护

目前，我国高校信息安全领域也面临诸多风险与挑战，如数据采集过程中的合法性和真实合理性问题、数据存储和共享过程中的泄露问题，以及数据分析与应用中的价值伦理取向问题等。[10]教育系统可从以下四个方面加强数据安全管理和师生个人信息保护工作。

健全个人信息保护制度，严格保护敏感个人信息。教育行政部门和学校应提高个人信息保护意识，充分尊重师生、家长的知情权和决定权;收集处理个人信息应以显著方式、清晰易懂的语言展示收集处理原则，并经个人信息主体同意后方可实施;利用个人信息进行自动化决策，应当保证决策的透明度和处理结果的公平合理;存储传输个人信息应采取加密措施，公开个人信息应采取去标识化处理;对不满十四周岁的儿童信息实施特殊保障，在采集、使用、共享、发布时要有更加严格的要求。种族、民族、宗教信仰、个人生物特征、医疗健康、金融账号、个人行踪等信息属于敏感个人信息;收集处理敏感个人信息应对必要性、科学性、伦理性进行论证;实施时应取得个人信息主体的单独同意;鼓励基于人口库等权威数据源，以“用而不存”的方式处理敏感个人信息。

3.不断强化面向广大师生的网络安全教育

加强高校网络安全教育事关国家网络安全防线，事关国家意识形态安全，事关高校立德树人根本任务，具有重要意义，然而，当前高校网络安全教育所面临的困境具体表现为边缘化、形式化和碎片化。[11]

(二)网络安全技术体系迭代升级

网络安全技术提供网络安全运行需要的基础服务和基础设施的及时支持。先进完善的网络安全技术可以极大提高网络安全运作的有效性，从而达到网络安全保障体系的目标，实现整个生命周期的风险防范和控制。较为经典的网络安全技术体系模型是美国国家标准与技术研究院(NationalInstituteofStandardsandTechnology,NIST)提出的IPDRR模型[13]，该模型包括识别(Identify)、保护(Protect)、检测(Detect)、响应(Response)和恢复(Recovery)五大能力，如图2所示。其中，识别功能包括资产管理、业务环境、治理、风险评估、风险管理策略、供应链风险管理等;保护功能涵盖开发和实施适当的保障措施，以及保护关键基础架构的许多技术和物理安全控制;检测功能实施向组织发出网络攻击警报的措施;响应功能可确保对网络攻击和其他网络安全事件做出适当的响应;恢复功能包括恢复计划改进和通信。

图2IPDRR模型

针对学校网络安全的常见技术短板，结合当前网络安全的最新技术，重点聚焦保护、检测以及响应能力，具体包括零信任架构、哑终端网络安全、身份管理控制、密码服务、网络安全态势感知、托管式安全运营服务等技术解决方案。

1.零信任网络安全认证架构

随着学校信息化和智慧校园建设的持续推进，学校对内和对外的教学、科研和管理的业务系统丰富多样，C/S业务逐步减少，B/S、APP、H5等业务逐渐增多。为了校园各项业务的顺利开展，学校不仅需要满足师生在校内办公和访问的需求，还需要实现师生在校外可远程进行办公、教学和科研。与此同时，由于需要接入校园业务进行访问的用户人员类型不同、权限不一、设备终端多样、接入地点随机变化，以及网络环境差异大等因素的影响，传统的VPN/WEBVPN等解决方式在安全防护方面存在较大的隐患，例如，业务系统对外暴露面过大、弱密码、访问权限固化，以及接入点多样缺乏动态行为管控等，从而导致部分院校内网被攻破、数据外泄、系统被破坏等严重后果。

应对这一挑战，“零信任”架构应运而生。该架构的核心逻辑是统筹身份鉴别、访问控制和流量监控三个要素，以身份为基础构建的访问控制体系，访问主体客体之间的联系严格遵循最小权限原则，实现更高级别的网络安全防御体系。在满足业务安全性防护的基础上做到访问和管理的便捷性，结合当前国内外最新的安全建设理念和架构实践应用，可通过基于零信任的理念和SDP(SoftwareDefinedPerimeter，软件定义边界)架构设计校园接入的整体体系。具有一定代表性的面向“远程访问全过程”的安全风险管控体系如图3所示。

图3面向“远程访问全过程”的安全风险管控体系

2.哑终端网络安全

图4哑终端解决方案

3.身份识别和访问管理

图5统一身份管理功能架构

4.密码服务

数字认证旨在为教育行业提供好用、好管、规范、安全的数据密码服务体系，使安全与业务在技术上低耦合，但又能在服务上融合，提供轻量级改造应用的服务模式，有效防护教育信息化涉及的主体用户安全、数据安全、资源安全，实现密码服务业务化建设、场景化应用，满足教育行业密码技术融合应用创新、密码能力融入业务流程、密码服务构筑数字安全屏障。教育行业数据安全密码服务体系架构如图6所示。

图6教育行业数据安全密码服务体系

5.网络安全态势感知

网络安全态势感知是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示，并据此预测未来的网络安全发展趋势。针对教育行业的网络安全痛点，一些机构提出网络安全态势感知SaaS化服务，该服务以多样化灵活的方式赋能教育行业，逐步提高教育行业的网络空间安全能力覆盖度，降低安全运营成本，提高网络安全效益，保障教育行业用户的网络空间安全。具有一定代表性的教育网络安全态势感知平台架构如图7所示。

图7安全态势感知平台架构

教育网络安全态势感知平台是一种集信息汇聚、态势感知、预警通报、协同处置、协调指挥等功能为一体的大数据监测环境;是基于教育全域数据，集业务管理、监测预警、应急处置、指挥调度为一体的网络安全态势感知平台。其将自己的网络安全监测纳入教育部的网络空间安全综合治理体系，参与体系大联动，并在本级教育行业体系中发挥行业中枢作用：横向实现与本级党政机关和事业单位间网络安全信息共享、网络安全事件协同处置;纵向实现各层级教育系统平台间数据交互和业务联动，构建教育系统网络安全协调指挥体系。

6.托管式安全运营服务

在学校安全方面，尤其是高等院校中，在安全管理上存在内部组织机构多、IT资产多、校内人员多的特点：①组织机构多。二级教学、实验、行政单位众多。②IT资产多。在学校特别是高校中，普遍存在网站资产数百个、服务器资产数千台、终端数十万个这种资产规模。③人员多。超过5万人的高校接近20个，大部分本科院校人数超过2万人。一旦发生安全事件，如何快速定位资产归属、联系资产负责人、解决安全事件形成闭环，面临巨大的挑战。通过托管式运营服务，从资产测绘、资产和组织管理入手，进行周期性漏洞和脆弱性分析、持续性威胁监测、触发式威胁处置与应急响应，可以更系统地解决学校面临的信息安全问题，实现学校信息安全的闭环管理。

托管式安全运营服务(ManagedSecurityService,MSS)是消除网络安全工作开展受限、专业性门槛过高的重要手段。托管式安全运营服务提供商针对客户所面临的IT资产数量多、安全设备使用难、安全人员不充足、攻防实战水平弱等各种现实问题，通过将各类安全设备、安全管理与服务流程、具备攻防能力的安全人员有机结合起来，以资产为核心，以消除安全威胁、处理安全事件为目的，以结果为导向，帮助安全建设单位解决从合规到实战的问题。托管式安全运营服务团队借助专业技术工具，如流量分析、态势感知、主机安全、漏洞扫描等工具，以标准化管理流程集中研判、快速预警、统一指挥、紧急处置、追查反制等策略和措施，实现事前预警、事中监控、事后响应，快速规范化解决安全问题，力求安全问题闭环管理，持续迭代提升和输出整体安全能力，最大可能地保障业务安全运行。具有一定代表性的托管式安全运营服务架构如图8所示。

图8托管式安全运营服务

(三)网络安全运维体系不断增强

网络安全运维基于风险管理理念的日常运作模式及其概念性流程，是网络安全保障体系的核心，贯穿网络安全始终;也是网络安全管理机制和技术机制在日常运作中的实现，涉及运维流程和运维管理。较为完备的网络安全运维体系应以信息资产管理为核心，包括安全运维监控中心、安全运维告警中心、安全运维事件响应中心，以及安全运维审核评估中心等部门。网络安全运维体系内容庞杂，这里重点论述网络安全运行队伍建设、网络安全攻防演练两方面的内容。

1.网络安全运行队伍建设

网络安全是“一把手”责任，网络安全工作必须通过人去完成落实，要实现网络安全的目标就必须建立一支高素质的安全管理队伍，这支队伍作为网络安全管理或者技术的专家，必须具备对应的知识和技能，必须能够较深刻地理解安全事件，并给出处理建议进而做出处置工作。建议要大力度激励专职人员，从制度、经费以及晋升通道上给予适当的倾斜。

建立有效的考核与激励机制。安全工作归根到底还是对人的管理，除了建立严格的制度外，还要对执行情况进行科学、有效的考核。制定有效灵活的考核体系，制定可以量化的考核指标，不应简单地以安全事件发生率作为唯一要素，部分安全事件预防的基础常规工作也应量化为考核指标，如安全资格证书取得人数、安全培训继续教育学时、安全宣传次数等指标。可按月度、半年度、年度以及重要时期等作为考核周期，以考核结果作为奖惩依据。

拓展信息化与网络人员发展空间。规范网络安全管理机构的设置，明确专职网络安全生产管理人员的配备标准以及晋升空间。对部分应用导向的研究领域，申请专项课题供安全从业人员开展研究工作。全面考量网络安全和信息化的工作特色，在职称评聘方面予以必要细化乃至倾斜，增强专家型人才、领军型人才的培育。

2.常态化开展网络安全攻防演练

网络安全攻防演练，是以不限制手段、路径，进行获取权限并攻陷指定靶机为目的实战攻防演练。通过真实网络中的攻防演练，可以全面评估目标所在网络的整体安全防护能力，检验防守方安全监测、防护，以及应急响应机制、措施的有效性，锻炼应急响应队伍，提升安全事件处置能力。教育部高度重视教育系统网络安全攻防演练工作。2018年以来，教育部连续4年参加公安部组织的“护网”攻防演习，目标系统均未被攻破。2020年以来，教育部连续3年组织教育系统网络安全攻防演习，均取得良好效果，攻防演习已经成为提升网络对抗能力、排查安全隐患的重要形式。

教育系统网络安全攻防演练的重要价值体现在：①发现教育系统潜在的安全威胁。通过模拟入侵来验证教育系统内部信息资产是否存在安全风险，集中发现各学校信息系统存在的安全漏洞和风险隐患问题，排查网络安全隐患。②提升教育系统网络安全团队能力。攻防演练中，防守方通过教育系统内多部门协同作战，演练大规模攻击情况下的防护流程及运营状态，提升应急处置效率和实战能力。③强化师生网络安全意识。通过攻防演练，检验师生在面对网络安全攻击时的警惕性和安全防护能力，预防风险事件的发生。

教育系统应建立常态化工作机制，经常性开展安全演练，通过多层次、多角度、多样化方案设计，实现以演促改、以演促管、以演促建的工作目标。做好教育系统网络安全攻防演练：首先，要制定好网络安全攻防演练方案，包括确立攻防演练目的、明确攻防演练目标、组建攻防演练团队等;其次，要做好组织实施工作，包括启动阶段、备战阶段、临战阶段、实战阶段、保障阶段等，需要系统化规划设计、统筹组织和部署执行，通过搭建演习平台，实现“全程监测、全程录屏、全程审计”;最后，针对发现的问题，整改落实要做到位，确保演练取得良好效果。

四、小结

党的二十大报告提出“办好人民满意的教育”“加快建设高质量教育体系”。教育部部长怀进鹏在多个场合提出“深入实施国家教育数字化战略行动”“以高水平的教育信息化引领教育现代化”“推动数字教育、促进教育现代化、实现教育强国”。可见，教育数字化和教育信息化对教育现代化、教育强国具有重要价值，这样更加凸显教育网络安全的重要性。教育网络安全是国家教育数字化战略得以顺利推进的重要前提和重要保障。我们要持续强化教育网络安全保障体系建设，不断增强维护教育网络安全能力，提高教育网络安全治理水平，筑牢教育网络安全屏障，推进教育数字化转型，在全面建设社会主义现代化国家新征程中奋勇前进。

参考文献：

[1]习近平.高举中国特色社会主义伟大旗帜为全面建设社会主义现代化国家而团结奋斗[N].人民日报,2022-10-26(001).

[5]赵若云,武杰.对新时代网络安全的系统思考[J].系统科学学报,2021,29(1):51-56,72.

[8]宋瑞娟.大数据时代我国网络安全治理:特征、挑战及应对[J].中州学刊,2021(11):162-167.

[9][10][12]李艳,陈新亚,孙丹,等.从“透明人”到“践行者”:高校信息安全面临的挑战与应对——《2021地平线报告(信息安全版)》之启示[J].远程教育杂志,2021,39(3):11-19.

[11]蒋燕玲.新时代高校网络安全教育的意义、困境与路径[J].中国高等教育,2020(20):59-61.

ResearchonNetworkSecurityofEducationSystemfromthePerspective

ofDigitalTransformation

ShunpingWEI1,YunlongSHAO2,DequanYANG3

(1.CollegeofEducation,MinzuUniversityofChina,Beijing100081;

2.EducationManagementInformationCenter,MinistryofEducation,Beijing100816;

3.ITDepartment,BeijingInstituteofTechnology,Beijing100081)

Keywords:Educationdigitization;Networksecurity;Datasecurity;Educationsystem;Networksecurityguaranteesystem