■扬州市电化教育馆 卜忠飞

随着教育信息化2.0时代的到来，各地各校都不断加大智慧教育软硬件的建设投入。据不完全统计，中小学校目前使用及建设的各类信息系统已超过30个，涉及人事、财务、后勤、管理、教学、教研、培训等校园工作的各个方面，各类信息系统的安全建设与管理时不我待。

目前，基础教育系统网络安全建设还存在以下问题。首先，网络安全建设的主体不明确。学校都知道网络安全非常重要，但具体到某件事，常常厘不清责任主体，如安全组织、安全制度、安全培训、安全意识、安全硬件、安全软件、安全演练等悉数交给某个部门或者某位计算机老师负责，制约了网络安全工作的健康有序开展。其次，网络安全建设的内容不具体。如学校缺少必需的组织架构、必配的软硬件、必要的安全备案、必做的测试演练、必有的保密协议等内容，无法做到网络安全工作面面俱到。再次，网络安全建设的监管不到位。网络安全建设是长期持续的，网络安全的监管离不开完整的工作体系，不仅需要人防、物防，更要技防、制防。最后，网络安全建设的考核难落实。配套的、科学合理的考核既能展现相关工作人员的工作成效，又可以进行有效地监督。

近期，随着《网络安全法》《数据安全法》《个人信息保护法》的陆续推出，基础教育系统网络安全建设规范与管理提升已迫在眉睫。

基础教育系统的网络安全建设需分层管控。一般可分为五个层面：一是基础硬件层，各单位要对各类信息化设备登记造册，进行标签数字化管理，了解关键设备的软件版本和应用规则库的有效期，杜绝可疑或无关设备接入单位的内部网络；二是网络传输层，各单位要根据网络规模按国家标准配置相应档次的防火墙、堡垒机、入侵检测等安全设备，做到安全可控、可追溯；三是基础软件层，要配齐配足正版的系统、软件等，及时更新补丁、封闭无关端口、关闭无效应用；四是应用程序层，各单位要督促程序开发商及时更新系统版本，补全应用程序漏洞，定期开展安全扫描，确保提供的程序系统安全可靠；五是业务管理层，各单位要全面梳理各类信息系统，同时建章立制，规范管理，做到“谁主管谁负责、谁运营谁负责、谁使用谁负责”。

基础教育系统的网络安全管理需定职开展。学校管理人员应统管五个层面，要出台管理办法和考核要求；学校师生员工应做好个人防护和规范应用；学校网络管理员应及时排查问题故障和开展安全演练；学校外包服务技术人员应定期开展安全检查，提供安全报告，提出整改方案；学校网络接入运营商应确保基础设施和网络链路安全、高速、稳定、可靠；学校的程序开发商应确保提供的程序系统无漏洞、无后门、无故障。

基础教育系统的网络安全规范需严守规矩。一是要做好公安部门的信息与网络安全等级保护，要全面梳理单位现有的信息系统，并根据要求定期开展定级备案测评整改工作；二是要做好网信部门的风险评估测评，要及时优化调整网络安全策略，对安全设备、安全事件和安全演练等业务进行分层、分类、分级处置，与安全技术人员签订保密协议，定期开展网络安全培训等；三是要按照本系统本单位网络安全与信息化领导小组工作要求，定期开展各类网络安全培训、测练、活动等，及时升级安全设备的病毒库，更新信息系统的安全补丁。