某某省教育行业网络安全调研报告.docx

《某某省教育行业网络安全调研报告.docx》由会员分享，可在线阅读，更多相关《某某省教育行业网络安全调研报告.docx（33页珍藏版）》请在第一文库网上搜索。

1、某某省教育行业网络安全调研报告2023年7月目录1 前言32 教育行业网络安全发展环境42.1 教育信息化发展现状42.2 教育信息化网络安全政策52.3 我省贯彻落实教育信息化网络安全情况73 我省教育行业网络安全总体形势93.1 网络攻击不断升级93.2 新业态引发新的网络安全风险103.3 新兴技术面临的安全风险日益严峻124 我省教育行业网络安全现状分析154.1 互联网侧信息系统漏洞增多154.2 等级保护工作落实情况不佳174.3 网络安全监测预警覆盖面不全204.4 网络安全资金投入不足234.5 网络安全人才短缺245 加强我省教育行业网络安全保障建议255.1 建立健全网络与

2、信息安全组织领导体系255.2 全面落实网络安全等级保护制度255.3 持续开展教育系统网络安全监测预警，完善通报机制建设265.4 重点提升数据安全保护能力275.4.1 提升数据泄露防护能力.275.4.2 健全数据安全保护制度体系295.4.3 增强数据安全保护思想意识.295.5 加强网络与信息安全队伍建设和人员培训305.6 加强宣传教育，提高师生网络安全防范能力305.7 加大资金投入、加强督促检查315.8 加快教育行业网络与信息安全标准规范建设321前言百年大计，教育为本。教育行业是我国最大的民生行业之一，教育事业发展是国家兴旺的不竭动力，推进教育行业信息化建设具备重要意义。2

3、012年以来我国大力开展教育信息化建设，2018年4月教育部印发教育信息化2.0行动计划，2019年政府工作报告中指出发展“互联网+教育二随着国家政策引导以及移动互联网、5G、大数据中心等技术应用，教育行业信息化工程及在线教育平台迅速发展起来，智慧校园、远程教育、网络云课堂等方式受到广大师生群体认可。教育行业机构多、系统多、数据多、影响面广，伴随信息化发展，教育信息系统面临着网络攻击、数据/个人信息泄露等网络风险，因此全面推进传统教育、在线教育、教育APP的网络安全保障工作，提升教育行业整体安全防护水平至关重要。本报告聚焦某某省教育行业网络安全问题，从机构、人员、系统、应用等切入点对网络安全总

4、体形势进行了分析并针对性提出安全保障建议。首先，从国家层面及我省对教育信息化时代的网络安全政策要求进行简要阐述；其次，对当前我省教育行业的网络安全总体形势进行分析；然后，对我省教育行业网络安全存在的风险原因进行了研究；最后，对我省教育行业网络安全防护能力提升的相关建议。2教育行业网络安全发展环境2.1 教育信息化发展现状2010年7月，中共中央、国务院印发了国家中长期教育改革和发展规划纲要(2010-2023年)，首次提出信息技术对教育发展具有革命性影响，我国教育信息化拉开序幕。2012年3月，教育部印发教育信息化十年发展规划(2011-2023年)，教育信息化工作正式开启。2016年6月，教

5、育部印发教育信息化“十三五”规划，提出在2023年基本形成具有国际先进水平、信息技术与教育融合创新发展的中国特色教育信息化发展路子。2018年4月，教育部印发教育信息化2.0行动计划，积极推进“互联网+教育”发展，加快教育现代化和教育强国建设。2019年2月，中共中央国务院印发中国教育现代化2035，提出加快信息化时代教育变革，建设智能化校园。2023年以来，教育部已启动教育信息化中长期发展规划(2023-2035)和教育信息化“十四五”规划编制工作。时至今日，我国教育信息化建设走到2.0阶段，从教育信息化技术、平台、场景的搭建走向应用的普及，致力于信息技术与教育模式的深度融合与创新;从“三通

6、两平台”的搭建，走向“三全两高一大”的基本目标，呈现出应用深化不断加速、创新案例竞相涌现、治理能力显著提升的良好局面。教育信息化已由起步应用阶段进入融合创新阶段，对促进教育公平、提高教育质量、支撑推进教育现代化的作用日益凸显。2.2 教育信息化网络安全政策随着信息化的快速发展和信息技术的广泛应用，网络安全面临的威胁持续加大，教育信息化是国家信息化重要组成部分，教育行业网络与信息安全工作关系着教育信息化的稳步推进和教育事业的改革发展。没有信息化就没有现代化，没有网络安全就没有教育安全。在教育信息化工程稳步前进的同时，国家教育主管部门在中华人民共和国网络安全法的基本法规基础上陆续出台一系列信息化安

7、全建设与管理的政策法规，不断夯实教育行业网络安全保障体系。2017年4月，教育部印发教育行业网络安全综合治理行动方案，指出教育行业仍存在网络安全责任不落实、管理不规范、安全隐患修复不及时、监测预警和应急响应能力不足、网络安全事件时有发生等问题。教育部针对性开展了网络安全综合治理行动，包括治理网站乱象、强化主体责任、全面监测网络安全威胁、检测应用软件安全风险、补齐等保短板、加快完成定级备案、有序推进测评整改、加强关键信息基础设施规范管理、健全网络安全事件应急响应机制等。2018年4月，教育部印发教育信息化2.0行动计划，指出要建立网络安全和信息化统筹协调的领导体制，完善网络安全监督考核机制，以中

8、华人民共和国网络安全法等法律法规为纲，全面提高教育系统网络安全防护能力，全面落实网络安全等级保护制度，深入开展网络安全监测预警，做好关键信息基础设施保障，重点保障数据和信息安全，强化隐私保护。在此基础上，教育部于2018、2019、2023年连续部署“教育信息化和网络安全工作要点”，将网络安全工作与教育信息化并列提出，重点关注网络安全保障工作。在2023年教育信息化和网络安全工作要点中指出，要不断完善教育网络安全支撑体系，网络安全人才培养能力和质量全面提升，教育系统网络安全防护水平不断提高，组织开展教育系统关键信息基础设施认定和检查。2019年11月，国家互联网信息办公室、工业和信息化部、公安

9、部、市场监管总局根据关于开展App违法违规收集使用个人信息专项治理的公告联合制定了App违法违规收集使用个人信息行为认定方法，为App违法违规收集使用个人信息行为的认定提供了参考;2019年11月，教育部办公厅印发教育移动互联网应用程序备案管理办法，做出现有教育移动应用的备案工作计划。国家对教育行业网络安全高度重视，无论是教育机构、基层教育机构信息化建设，还是当前发展火热的“互联网+教育建教育大数据”“在线教育平台”，国家出台的基础性法律、指导性政策、规范性标准无不强调做好教育行业的网络安全工作Q2.3 我省贯彻落实教育信息化网络安全情况某某省教育厅历来重视教育信息化和网络安全保障工作。早在2

10、002年，某某省教育厅就联合某某省公安厅印发关于做好全省校园网络安全保护工作有关事项的通知，指出要建立健全安全管理组织,严格备案制度，严格落实安全管理制度；定期举办校园网络系统安全管理人员培训班，对网络安全管理人员进行技能培训，实施持证上岗制度。之后陆续印发关于进一步加强我省校园互联网上网服务场所和校园网站安全管理工作的通知、关于进一步加强我省教育行业网络与信息安全工作的通知、关于切实做好我省教育行业信息安全等级保护工作的通知、关于开展教育移动互联网应用程序备案工作的通知、某某省教育厅办公室关于印发2019年教育信息化与网络安全工作要点的通知及某某省教育厅办公室关于印发2023年教育信息化与网

11、络安全工作要点的通知等各类通知，明确指出要严格贯彻落实教育部部署，从教育信息化网络安全的工作管理制度、安全应急保障体系、网络安全应急预案、落实网络安全等级保护制度、建立健全教育网络安全监测预警体系、加强对重点教育网站的监测、开展网络安全专项教育和培训等方面做出了部署2017年2月，教育部办公厅印发关于印发2017年教育信息化工作要点的通知（教技厅（2017）2号），要求增强网络安全监测预警和应急响应能力，健全教育行业信息系统名录，通过大数据的方式研究教育行业网络安全形势，探索建立教育行业态势感知工作机制；进一步加强信息系统（网站）安全监测，加强与网络安全职能部门、专业机构、高校组织和企业的合作

12、，形成安全威胁信息共享机制，通过实时通报、限期整改、跟踪核查，确保安全威胁修复。同年4月，教育部办公厅印发关于全面推进政务公开工作的实施意见（教技厅（2017）3号）要求“建立健全政务舆情收集、研判、处置和回应机制，全面监测舆情，加强研判处置，提升回应效果”。某某省教育厅2023年工作要点重点指出，健全完善网络安全预警监测平台功能，开展教育系统网络安全攻防演练和关键信息基础设施认定评估。3我省教育行业网络安全总体形势教育信息化已成为当前我省建设教育强省的重要载体，教育信息化为我省教育管理部门、各类学校、教师、学生及家长提供了巨大便利。我省各类教育信息化应用系统每天产生并长期保存大量数据，包括教

13、育资源、科研成果、师生信息、教学素材、国家教学资助信息等，因此网络安全防护工作与数据保护治理工作至关重要。3.1 网络攻击不断升级首先，随着国际局势渐趋复杂，有组织的、出于政治目的发起的网络攻击行动持续高发。近年来，针对我国发起的APT攻击事件持续曝光，攻击规模和烈度逐年递增，攻击目标涉及国计民生的重要部门和行业。此外，常在敏感时间节点发起有针对性的攻击渗透以最大程度博取政治利益。在当前全球贸易疲弱、经济下行压力持续的背景下,国际间摩擦将从经贸领域逐渐扩散至更多领域，网络攻击作为以小博大的非常规手段将受到各方面势力的高度关注，有组织网络攻击的规模性、破坏性恐将急剧上升。其次，监测技术不成熟。我

14、省教育行业对APT等新型安全威胁的监测技术不成熟，即便监测到这种威胁，由于缺少回溯手段，也难以找出攻击源头。新冠肺炎疫情防控下的远程办公、远程教育需求明显增多，虚拟专用网络(VPN)成为远程办公人员接入单位网络的主要技术手段之一。在此背景下，部分APT组织通过控制VPN服务器，将恶意文件伪装成VPN客户端升级包下发给使用这些VPN服务器的重要单位。经监测发现，东亚区域APT组织以及“海莲花”、“响尾蛇”组织隐蔽控制我国某重点高校主机，持续窃取了多份文件。最后，黑客具有逐利属性，哪里有利益就往哪里去。当全社会都开始重视在线教育，海量高质量数据涌入在线教育机构时，黑客也会将重点攻击目标转向在线教育

15、机构。据权威安全实验室披露，高危漏洞频出的ThinkPHP、Struts2.RDP成为黑客攻击在线教育行业的突破口,境内外皆有针对教育行业的Nday漏洞攻击。常见的攻击手段，如通过发起DDOS攻击导致业务瘫痪，从而进行巨额勒索；植入挖矿恶意程序，导致企业即使已经做了系统扩容后仍遇到业务卡顿现象;数据泄露导致业务发展规划被窃取、经营负面信息被披露、客户被竞争对手挖走等后果。更有甚者，通过恶意修改网站代码等方式，投放不良广告、暗链、恶意文件等等，导致教育行业声誉受损。3.2 新业态引发新的网络安全风险2023年突如其来的新冠疫情促使远程办公、远程教育快速发展，这也为黑客实施网络攻击创造了更多条件。攻击者通常会利用勒索软件、DDOS攻击、钓鱼邮件、系统漏洞等方式实施入侵，而我省多数教育机构的系统都比较陈旧，难以抵御相应攻击。远程教育涉及节点众多，应用环境复杂，包括网络接入环境、终端设备、数据存储、云平台、可信认证、密码强度等，若存在薄弱环节，可能引发远程教育业态中的系统运行安全、网络边界安全、数据安全等方面的风险。网络安全研究机构研究显示，2023上半年针对在线教育资源的分布式拒绝服务(DDoS)攻击的数量是去年同期的三倍多。美国联邦调查局(FB1)等三部门联合发布警报称，2023年9月针对K-12学校的勒索攻击比例高达57%。由此可见，教育行业的网络安全形势依旧不容乐