智慧教育平台安全建设 “四步走”
智慧教育是指,在云计算、大数据、物联网等新技术日益广泛应用的背景下,通过对教育信息化资源的有效整合和交互共享,以教学科研为中心,以人才培养为目标,优化和提升高校教学、管理和服务的水平,最终实现提供开放、个性化的教学科研环境和便利舒适的生活育人环境,为国家战略及时培养和输送人才。
在智慧教育飞速发展的同时也带来了各种各样的问题,信息安全首当其冲。
智慧教育基于云计算平台建设,平台承载了实时信息公开、新闻宣传、在线互动、教学科研、交易支付等业务,如报考系统、学籍查询、证书查询、校园一卡通等重要系统,存储着大量的学生和教职员工个人信息数据。
海量的用户数据、广泛应用的教育系统等,也成为了黑客的“必争之地”。如,利用丰富的计算和网络资源进行挖矿赚取利润、在校园网站挂载黑链和黑页劫持权重流量、甚至植入木马后门长期潜伏,伺机窃取有价值的数据资源。教育系统也一直是政治类黑客组织重点关注的目标,在重大活动期间入侵并篡改网站,实现其政治目的。
因此,现阶段如何切实保障智慧教育的平台稳定、可靠、持续化的为教学、教务、科研和后勤提供服务,已经成为学校面临的重大挑战。
同时,《国家中长期教育改革和发展规划纲要(2010-2020)》、《教育信息化十年发展规划(2011-2020)》、《教育信息化“十三五”规划》、《教育信息化2.0行动计划》等有关政策密集出台,也对信息化安全提出了明确要求,如全面提高教育系统网络安全防护能力、落实网络安全等级保护制度、深入开展网络安全监测预警、提高网络安全态势感知水平、做好关键信息基础设施保障、重点保障数据和信息安全。
智慧教育发展进程中,监管和风险并存,教育行业该如何做好网络安全建设?
针对于智慧教育的特点,2024新奥门资料结合多年在教育行业的实践经验,提出了智慧教育平台安全建设的“四步法”。
第一步:资产管理能力建设
1、对智慧教育的平台所组成的信息资产进行识别及管理是信息安全工作的基础,通过网络资产探测、指纹识别、管理单位识别,开发运维管理人员管理,对信息资产进行清点和资产管理流程梳理重构,治理资产管理混乱的乱象,实现资产全生命周期管理。
2、利用监测技术对信息资产进行全天候全方位的安全监测,结合威胁情报开展安全威胁通报预警,并利用完善的管理流程和制度对处置情况进行追踪,实现安全威胁处置的闭环。
第二步:安全防护能力建设
1、落实等保2.0对信息系统的安全保护要求,遵循等级保护“一个中心、三重防护”的安全防护理念,建设主动防御体系。设计有效的安全防护检测体系,构建“三重防护”体系。
2、构建安全管理中心,实现统一的安全管理、审计管理、系统管理,通过以满足安全物理环境、安全计算环境、安全区域边界、安全通信网络、安全管理中心五个方面基本技术要求进行基础设施安全保障技术体系建设。
第三步:安全运营能力建设
1、采用大数据与人工智能技术,以“安全数据大脑”平台为数据支撑中心,通过预测、防御、检测、响应四个维度,以持续监控和分析为核心,利用机器学习、复杂统计分析或预测算法等技术进行安全建模和高级分析对智慧教育平台环境进行针对性模型构建,形成符合业务的告警,并结合人与机器的能力进行安全事件分析决策,定义标准工作流,自动化驱动事件响应,持续完善自适应安全架构体系。
2、能够快速、准确的取证调查和威胁追溯,定位单个事件在渗透和攻击链中的所处阶段,结合溯源分析,进一步形成完整的证据链,还原攻击过程。通过还原攻击过程,全面评估损失和安全风险,制定完善的应对方案。
3、协调人员处置安全事件,通过安全运营团队的有效组织,最终打造“安全、可信、合规”的安全运营体系。
第四步:数据安全治理能力建设
1、建立智慧教育平台数据资产和信息系统的安全管理规范,明确安全管理目标和安全原则,明确数据资产和信息系统的登记制度,定义数据资产和信息系统的管理者和所应承担的职责。
2、明确各类业务数据在采集、传输、存储、处理、交换和销毁各个业务场景下的保障要素,以合规为基线,以业务流程为导向,结合标准规范制度,建立完善的数据生命周期的安全保障和监管措施。
3、构建数据资产清单,包含数据的总体分类、资源标签、权限层级等,并依据数据主体分级要求建立相应的标记策略、访问控制、数据加解密、数据脱敏等安全机制和管控措施。
实现智慧教育平台资产的全面掌控
通过实时监测、通报预警、追踪管理实现安全闭环,大大降低资产所面临的安全风险,辅助考评考核办法,有效推动安全建设良性循环。
构建智慧教育平台纵深安全防御体系
依据等保2.0和信息保障技术框架,根据信息系统的业务特性及应用重点,采用层次化与区域化相结合的安全防护体系设计方法,实现多层次的、纵深的安全防御体系来保障智慧教育平台的安全。
提升主动安全防御
通过人工智能、机器学习及大数据建模分析并结合专业的安全服务团队来解决异常攻击、非常规性安全威胁,主动探测安全威胁,并进行安全防范,提高安全防御机制,防患于未然。
平台业务数据全生命周期保护
以合规为基线,以业务流程为导向,结合标准规范制度,建立完善的基于智慧教育平台业务数据生命周期的安全保障和监管措施,实现从“基于威胁的被动保护”向“基于风险的主动防控”转变。