加强教育网络与信息安全推进教育信息化与现代化

编者按：为推动教育信息化安全、健康、稳定地发展，2016年12月，江苏省教育厅、公安厅、经信委联合开展了全省教育网络与信息安全培训，会上江苏省教育厅副厅长苏春海就教育网络与信息安全工作的重要性和紧迫性、如何增强相关工作的合力、科学谋划教育网络与信息安全的工作发展路径等做了专题报告。由于其对全国教育系统的网络安全工作同样具有参考价值和指导意义，本刊对报告内容进行了刊登。

一、充分认识加快推进教育网络与

信息安全工作的重要性和紧迫性

当今社会，信息技术发展日新月异，移动互联网、物联网、云计算、大数据等技术日渐成熟，信息化对人类的生产、生活乃至学习方式、思维方式等都已产生巨大影响，也为教育改革发展注入了新的活力，带来了新的机遇。同时，随着信息技术发展的突飞猛进，网络与信息安全问题日益突出，教育系统信息泄露、黑客攻击等事件也时有发生，给学校、师生及家长带来了极大的安全隐患，教育行业网络与信息安全面临着前所未有的困难和挑战。面对新形势、新要求，我们要立足全局、着眼长远，深刻认识加快推进教育网络与信息安全工作的重要意义，进一步增强做好这项工作的紧迫感、责任感和使命感。

1.做好教育网络与信息安全工作是主动适应网络安全发展态势的迫切需要。“网络安全问题已是全球性问题。”在不久前刚刚闭幕的第三届世界互联网大会上，这一观点得到了与会嘉宾的广泛赞同。当前，国际社会网络与信息安全事件频发，表明网络安全问题已是世界各国面临的共同问题，网络威胁无国界。放眼国内，2016年央视315晚会曝光的公共WIFI安全存在漏洞，不法分子可获取登录用户手机中的个人隐私信息，山东准大学生电信诈骗案，某大学教师被冒充的公检执法人员骗走个人财产等，都在提醒我们要时刻关注网络安全。就教育系统内部来说，江苏省教育系统网络与信息安全问题比较严重，在全国排名靠前，这与江苏省教育网络发达、网站众多有关，同时也说明了江苏省对教育网络与信息安全工作重视不够、制度建设不到位、防护力度不大、水平不高。教育部、省公安厅、网信办等部门发来的网络安全事件通报也表明，一些教育行政部门、学校网站存在各种安全漏洞，更有严重者，个别学校网站被黑客攻击，网站主页被张贴反动言论，造成了严重的负面影响。日益严峻的网络安全形势，要求我们以时不我待的紧迫感和责任感，加快推进教育行业网络与信息安全工作，增强抵御网络安全风险的防范能力。

2.做好教育网络与信息安全工作是落实中央决策部署、部省工作要求的迫切需要。党和国家高度重视网络与信息安全工作，成立了中央网络安全与信息化领导小组，习近平总书记亲自担任组长，并且在领导小组第一次会议上就提出“没有网络安全就没有国家安全，没有信息化就没有现代化”的战略论断。2016年4月19日，习总书记在网络安全和信息化工作座谈会上强调，网络安全和信息化是相辅相成的，安全是发展的前提，发展是安全的保障，安全和发展要同步推进，要树立正确的网络安全观，加快构建关键基础设施安全保障体系，全天候、全方位感知网络安全态势，增强网络安全防御能力和威慑能力。同年11月7日，十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》，真正实现了“网络不是法外之地”的治理要求，为网络安全治理撑开了法律保护伞。教育部高度重视网络和信息安全工作，成立了教育部网络安全和信息化领导小组，并在第一次全体会议上就专题研究了保障信息安全问题，先后出台了《教育行业信息系统安全等级保护定级工作指南（试行）》等系列文件，要求切实加强教育行业的网络与信息安全建设。江苏省委、省政府坚持将网络与信息安全工作纳入经济社会信息化发展全局中统一谋划、统筹推进，出台了《省政府关于大力推进信息化发展和切实保障信息安全的实施意见》，要求建立健全信息安全保障体系。我们必须深刻领会国家法律和部、省重要文件要求，把思想和行动统一到相关决策部署上来，推动教育网络与信息安全工作迈上新台阶。

3.做好教育网络与信息安全工作是加快推动教育信息化、率先实现教育现代化的迫切需要。网络安全和信息化是一体之两翼、驱动之双轮，发展教育信息化，就必须重视教育行业的网络与信息安全建设，因为这是教育信息化发展的前提和保障。随着教育信息化建设的持续深入推进，信息系统、门户网站、数据中心越建越多，信息技术与教育教学和管理的融合应用越来越广泛，所涉及到的基础数据量越来越大，网络与信息安全责任也越来越重。加快推进教育网络与信息安全建设，通过完善网络与信息安全防护设备和软件，建立多层次网络与信息安全技术防护体系和数据容灾机制，全面落实信息系统安全等级保护制度，可以为云计算、物联网、移动互联网等新一代信息技术在教育中的运用提供强有力的支撑，为广大师生、学校及教育行政部门的基础数据提供全天候、全方位的安全保障。我们教育行政部门的管理者必须进一步明确对网络与信息安全的责任，推动网络安全与信息化协调发展，保障和促进教育信息化持续、健康、有序发展，为率先实现教育现代化奠定坚实的基础。

二、科学谋划教育网络与信息安全工作发展路径

当前及今后一段时期，全省教育系统网络与信息安全工作的总体要求是按照“一条思路，两个原则”即“摸清家底、落实责任、强化抓手”的工作思路，“统一规划，防护与建设相结合”的原则及“科学把握，技术与制度相结合”的原则，建立与教育信息化发展相适应的、完备的网络与信息安全保障体系，支撑教育现代化事业持续健康发展。

1.明晰发展思路，树立教育网络与信息安全工作新标杆。观念决定思路，思路決定出路，科学的发展思路是做好一切工作的先导。推进教育网络与信息安全建设，必须坚持摸清家底、落实责任、强化抓手的工作思路。要摸清家底，底数清才能方向明，这是做好网络安全防护工作的前提。我们要搞清楚目前到底有多少系统，哪些是一般系统，哪些是关键信息基础设施，摸底数据的全面性和准确性直接影响到网络安全技术防护的部署安排。要落实责任，按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”和“属地化管理”的原则，严格落实网络与信息安全责任制，强化主要责任人是第一责任人的意识。要实现分级管理，层层落实责任，省教育厅负责统筹指导全省教育系统包括高校的网络与信息安全工作，各市教育局负责本地区教育部门和学校的网络与信息安全工作。强化抓手，就是要抓住重点，集中发力，实现突破。我们要以关键信息基础设施检查、安全等级保护工作为抓手，通过以查促管、以查促防、以查促改、以查促建，整体提升教育网络与信息安全工作建设水平。

2.明确基本原则，推动教育网络与信息安全协调发展。要坚持统一规划，防护与建设相结合的原则，在信息化建设过程中，网络与信息安全要同步规划、同步建设、同步实施，实现内容和技术并举、管理和技术并重，避免出现“重建设轻管理，重发展轻安全”的现象。要坚持科学把握，技术与制度相结合的原则，我们不仅要完善网络与信息安全防护设备和软件，加强网络与信息安全核心技术的研发和使用，还要严格执行网络与信息安全法律法规、政策和标准规范，严格遵循国家、省制定的各类教育信息化管理制度，对全省教育网络与信息系统安全防护采取符合我省实际要求的准入制度，严格要求管理、技术、人员岗位和操作实施流程。同时要兼顾效果优先及投入产出效益最大化，做到技术与制度相互补充，能通过制度达到的防护水平就无需通过采购设备来做技术防护，有效遏制不计成本的采购，提高经费使用效益。

3.抓住重点工作，确保教育网络与信息安全工作落到实处。抓住重点工作，才能做到有的放矢。我们要以重点工作为突破口，带动教育网络与信息安全整体水平的提升。根据国家及省里的工作要求，并结合教育实际，当前及今后一段时期，我们将从以下六个方面着手开展工作。一是深入开展关键信息基础设施检查工作，全面掌握关键信息基础设施数量、分布、主要功能、运行环境、运维方式等，提升关键信息基础设施防护能力。二是开展信息系统安全等级保护工作，推进信息系统安全等级保护制度的落实，开展信息系统的定级、备案、测评整改工作。协调教育部、省公安厅推进省级教育网络安全等级保护测评工作站建设。三是推进教育系统数字证书（CA）试点建设。开展CA重点用户安全认证工作，加快部署CA系统。四是开展网络安全日常监测与专项检查，加强对重要信息系统、关键数据资源进行常态化监测和检查，做好“两会”、高考等重要时期网络安全保障工作。五是依托教育城域网建设全省教育专网，实现全省各类信息报送、重要信息系统运行都在专网内进行；推进各级教育网群建设，打破“信息孤岛”，实现信息系统分级部署、集中管理。六是组织开展网络与信息安全培训，举办全省各级各类学校学生网络安全知识竞赛，全面增强教育系统人员、广大学生网络安全意识，提高抵御网络风险的防护能力。

三、切实增强推进教育网络与

信息安全工作的合力

当前，教育信息化工作已经进入了深化应用、融合创新的发展时期，越来越广泛、越来越深入的应用必然会对网络与信息安全工作提出新的更高的要求，应该说我们肩上的担子更重、责任更大。我们要进一步明确职责、狠抓落实、勇于担当、主动作为，切实加大教育网络与信息安全工作的推进力度，确保为教育信息化持续健康发展提供坚强的安全壁垒，为率先实现教育现代化作出应有的贡献。为此，应落实以下四点要求。

1.领导高度重视，层层落实责任。网络安全问题首先是认识的问题，认识不到位，工作自然做不好。目前有一些教育行政部门、学校领导对于网络与信息安全工作没有给予足够重视，出了不少问题，甚至出了问题还不当回事。做好网络与信息安全工作，首先领导要高度重视，要建立健全网络与信息安全组织领导体系。江苏省教育廳即将把教育信息化工作领导小组更名为教育网络安全与信息化领导小组，由厅长、书记两个一把手任组长，副厅长任副组长，进一步强化主要领导对教育网络与信息安全工作的领导责任。各地也要加快建立党政一把手负责的网络与信息安全工作领导机构，由主要负责人担任网络与信息安全工作的第一责任人。在单位内部，进一步明确职能机构及专门管理人员专门负责网络与信息安全工作，对本单位网络与信息安全工作实施统筹管理，要求相关职能部门和技术支持机构做到安全到人、责任到岗，强化网络安全责任，建立责任追究制度，形成追责、补救机制。

2.建立工作机制，规范工作流程。完善的工作机制是网络与信息安全工作持续健康发展的重要保障。要建立健全网络与信息安全应急处置机制，制订网络与信息安全工作应急预案，明确应急处置流程和权限，配备专业的应急处置技术支持队伍，开展对专业人员的应急预案培训和演练，进一步优化应急设备和软硬件环境，提高网络与信息安全应急处置能力。要建立重大网络与信息安全事件处置和报告制度，进一步规范报送范围、统一报送流程、明确报送时间、落实事件处置紧急措施。要建立网络与信息安全工作月报制度，各地各单位要按照流程及时上报网络与信息安全工作情况、信息系统运行状况和网络信息事件处置情况，省教育厅将对全省网络与信息安全工作情况进行定期通报。要建立健全管理协调机制，与各级公安部门、网信部门、通信管理部门进行横向协调，省市县校实现纵向衔接，建立跨部门、跨地区的协调和事件处理机制，完善网络安全工作的组织保障。

3.加大经费投入，打造人才队伍。各地要加大网络与信息安全经费投入力度，建立稳定的网络与信息安全经费投入机制，将安全建设和运维经费纳入年度财政预算，设立网络与信息安全专项经费，明确网络与信息安全专项经费占教育信息化经费的支出比例，对网络与信息安全设施建设、安全防护能力建设及日常的网络安全维护工作予以重点支持。要合理安排和使用经费，提高经费使用效益。要强化人才队伍建设，各地要加快制定网络与信息安全的培训规划，积极开展网络与信息安全专项培训，建立网络与信息安全专业人员岗前培训和继续教育互为补充的培训制度，逐步实行网络与信息安全专业技术人员持证上岗。要面向不同群体，开展针对领导干部、管理人员、技术人员、师生的不同层次的培训，将网络与信息安全意识和政治意识、责任意识、保密意识结合起来，提高全体人员的网络与信息安全防范意识，网络安全意识要从小抓起，从娃娃抓起，让信息一代网络“原住民”从小就具备网络安全常识和网络安全防范能力，培养规范、合法的网络行为。

4.强化督查考核，推动工作落实。各地要制定并完善网络与信息安全检查、评价考核办法，建立隐患排查治理机制。省教育厅每年至少组织一次全省网络与信息安全工作大检查，各地要结合本地本单位实际，认真开展网络与信息安全工作自查，对检查中发现的隐患必须及时整改，检查结果和整改结果要上报省教育厅备案。省教育厅将把各地网络与信息安全工作情况纳入年度考核，建立积分排名制度，对工作得力的单位给予表彰，对工作不力的单位进行通报。要建立网络泄密举报制度和奖惩制度，充分调动社会各界和广大群众的监督作用。

加快教育信息化建设，率先实现教育现代化是时代赋予我们的重任，也是我们义不容辞的职责。教育网络与信息安全是发展教育信息化的“生命线”，事关教育事业改革发展的大局。需要我们齐心协力、攻坚克难、勇于担当，把教育网络与信息安全工作摆在重要的位置，时刻保持安全警钟长鸣，切实推进教育网络与信息安全建设，为加快教育信息化建设、率先实现教育现代化，建设“强富美高”的新江苏作出新的更大的贡献。

（责任编辑 郭向和）