正文

教育单位,我们应该从哪些方面来做好​应对网络安全检查的工作呢?

admin
admin V管理员 /0 评论 /51 阅读
0704
此篇文章发布距今已超过77天,您需要注意文章的内容或图片是否可用!

2022年10月16习近平总书记做的二十大报告中,有91次提到了“安全”,1次提到了“加强个人信息保护”,29次提到“国家安全”。而国家安全包含了网络安全。

在这样的时代背景下,教育行业也同步出台了多项信息化建设规划,如《教育信息化 2.0 行动计划》,里面提到要构建“互联网+教育”的新模式,并且要全面提高教育系统网络安全防护能力。全面落实网络安全等级保护制度,深入开展网络安全监测预警,提高网络安全态势感知水平。做好关键信息基础设施保障,重点保障数据和信息安全,强化隐私保护,建立严密保护、逐层开放、有序共享的良性机制,切实维护好广大师生的切身利益。

具体到地方,如《上海市教育信息化“十四五”规划》明确提出到2025年,上海市教育信息化要达到新的发展水平,形成具有上海特色的教育信息化发展模式。在这个具有特色的信息化发展目标下,需要加强教育信息系统的网络安全管理,确保教育数据安全和学生个人信息保护

《教育系统网络安全事件应急预案》(教技〔2018〕8号)是由中国教育部制定的一项规范性文件,旨在加强教育系统网络安全管理,提高应对网络安全事件的能力,建立了事件分类、预防措施、监测预警、应急响应、应急处置、事后处理、培训与演练等机制。

《上海市教育委员会关于做好 2024 年上海市教育数字化  转型工作的通知》中对教育数据治理提出了明确要求,并要求强化网络安全基础保障。构建“上海市教育系统网络安全管理中心”,建立常态化网络安全攻防演练培训考评工作机制,做好教育系统网络安全日常管理、常态监控、漏洞监测、通报整改、安全宣传和教育培训等工作。

在这样的背景下,网络安全抽检工作会更为密集的开展,通过检查掌握网站、平台、生产系统的风险和防护状况,推动网络安全服务保障工作落实。


一般的检查要求有这些方面:

网络安全管理责任:评估机构是否明确网络安全管理责任,以及责任落实情况。

网络安全管理制度:检查网络安全管理制度的建立和执行情况。

设施安全运行:审查网络安全设施的运行状态,确保设施安全、有效。

网络安全事件应急响应:评估网络安全事件的应急响应机制和实际操作情况。

网络安全评估:检查网络安全评估的落实情况,包括定期的安全评估和风险管理。

产品和服务安全:审查机构使用的产品和服务的安全性,确保没有安全隐患。

技术检查方法:采用访谈、台账检查和问卷调查等多种方式进行综合评估。

信息系统漏洞扫描与分析:对选中单位的信息系统(包括门户网站)进行全面的漏洞扫描。对发现的高中危漏洞进行深入分析,并提供验证过程或相关证明材料。

报告与建议:基于检查和分析结果,编制详细的网络安全检查报告,提出改进建议和解决方案。

作为教育单位,我们应该从哪些方面来做好应对工作呢?在此把思路简单说一下。

一、机制要完善

首先要落实网络和数据安全责任制,有工作责任人和责任部门,有制度规范网络安全工作职责、流程和要求。

组织架构清晰,职责明确,比如,有领导小组和工作小组,各自负责什么工作。

有工作计划、预算和执行情况监督要求,有数据佐证。

二、制度要完善

制度要能合规,就是满足法律和规章制度要求,比如等保要求和数据安全法的要求。(这点稍微有点宽泛,这里就不说了,后面专门讲讲等保的制度要求)

三、网络安全防护工作要落实

光是有表面的机制和制度,如果没有监督落实,也只是花架子。

防护工作,首先要梳理好资产,然后要做好脆弱性管理工作,也就是把制度落到实处吧。

常规的安全工作和安全要求有没有记录证明做了。等保通保有没有做。有没有高危漏洞还没有修复的。

我把想到的比较常检查的工作要求罗列一些点:

1、人员安全教育培训记录;

2、漏扫和修复报告;

3、等保测评信息记录;

4、代码上线前评审记录;

5、信息资产清单;

6、保密协议签订记录;

7、应急预案和演练记录;

8、数据有分级分类系统并能登录上去看到实际分类情况;

9、现场漏扫渗透,没有特别多未修复的问题;

10、小程序、APP等收集个人信息,有没有签订隐私保密等协议;

11、其他(读者可以留言补充)

其实,最好的办法,我觉得是在机制、组织、职责、制度、工作计划基础上,踏踏实实的把每年重点的计划工作做好(比如把等保尽可能认真完成,而不是请个第三方把制度就包圆儿了,只要没有太多漏洞、刚需的一些安全设备勉强运行也就算做好了)。然后第二年把重点工作当成常规工作维护好,再攻破下一年的重点工作,这样也许可以摆脱脚痛医脚的状态。

(个人思路,仅供参考)。

THE END

ps,我建了一个信息安全专业人员的微信群,我们可以在里面聊一些安全专业主题,聊一些职场沟通合作主题。也可以互相问一些问题,互相分享一些可以公开的材料,一起学习。

另外,这个群我们每个人都是群管理,可以在里面做些主题分享、讨论问题、读一点专业内容或者线下做一些主题聚会。

期待我们链接起来。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om