随着教育信息化迅速发展，针对教育行业的黑客攻击越来越多，呈现出专业化和规模化趋势。教育行业沦为挖矿病毒、勒索软件、数据泄露的重灾区。美国高等教育信息化协会已经连续19年发布《地平线报告》，是全球教育科技发展的一个风向标。2022年2月首次发布信息安全版《地平线报告》，突显了信息安全在在线教育中日益重要的地位。早在新冠肺炎疫情流行之前，隐私和安全问题就被列为美国高等教育信息化协会年度高等教育十大信息技术问题榜首。而在疫情期间，居家办公和线上学习模式的普遍应用，也将信息安全风险升到了历史新高。

据深信服《2021上半年勒索病毒趋势报告》和《2020年网络安全态势洞察报告》分别显示，勒索病毒在教育系统感染比例达到44%，数据泄露占比高达84.51%，皆创历史新高。值得注意的是，挖矿病毒在攻击目标选择上，也瞄准了规模庞大、算力较强和疏于防范的教育大数据平台、云平台进行针对性攻击。2020年1月，印度最大的在线教育平台Unacademy发生数据泄露事件，暴露了大约1100万用户的个人信息。2020年4月，我国数千名大学生的信息被冒用进行个税申报。目前在线教育系统成为信息侵权的重灾区。

首先，在线教育实施单位的软件及安全系统建设不是一步到位，造成网络安全体系顶层设计缺失。限于资金预算不足或政策性安全投入，会阶段性地增加不同用途的安全设备，由于缺乏联动机制，最后便形成安全设备的“简单堆砌”。尤其是高校在线教育系统具有软硬件综合集成、覆盖面积广、结构复杂等特征，潜在风险点多，面临较高的内外部风险。

其次，在线教育系统运维保障不健全。一是在线教育机构不重视运维，对计算机软硬件技术建设使用生命周期的认识不到位，“重建设，轻维护”的意识普遍存在，导致系统软硬件技术的升级、更新、维护缺乏资金保障，形成新的安全漏洞；二是外包服务不规范，系统运行维护方面没有形成完善的管理体制，导致在系统后期出现相关信息安全问题时，不能及时快速地进行修复解决，增加了在线教育系统的安全风险；三是在线教育应急管理体系不健全，大部分在线教育机构没有建立应急管理实施方案及完善的组织架构来应对突发性信息安全事件。由于我国目前缺乏在线教育方面相关明确的法律条例和应急管理标准，由在线教育机构自主掌控，导致应急预案不完善、管理流于形式。

信息安全是一个系统工程，三分靠技术，七分靠管理。长期以来信息安全被习惯归于技术范畴，对管理的重视程度不够，导致信息安全管理体系存在诸多不足。虽然国家不断出台旨在提升我国网络信息安全水平的诸多相关法律法规，但在具体实施过程中，由于相关单位管理制度不健全，执行力度不够，监督管理机制不完善等诸多原因，导致网络信息安全管理存在较大的漏洞。

按照信息系统等级保护标准的要求，根据重要程度和业务处理的不同，围绕“事前、事中、事后”一体的全生命周期防御方案，对校园网络进行划分，针对不同区域采取不同的安全策略和部署，分别部署防火墙、过滤网关、入侵防御、EDR、脆弱性扫描与管理系统、备份一体机等安全设备。配置安全管理平台，对安全设备和软件进行统一管理，管理人员能够对安全设备和各种资源进行统一管理、集中审计，从技术上保障各项安全措施的实施效果。部署数据安全态势感知平台，对校内大融合数据中心内海量数据进行分类分级，完善访问控制规则，同时增补各个安全节点，实现数据审计、访问控制、脱敏和加密。

在系统日常运行中，首先，通过身份认证技术来保证用户的正常操作。系统为教职员工和校外学习用户分别建立用户数据库，对用户权限和访问模式等进行集中分级管理，简化系统流程，提升管理效率。其次，使用下一代防火墙技术进行网络的访问控制，同时通过DMZ区的设置，保护校方对外服务器的安全；部署WEB防火墙，防止网页防篡改，进行网站页面内容的保护，防止非授权人员随意篡改内容，增强网站的安全性。第三，应用入侵检测技术，结合协议异常检测、状态检测、关联分析形成的检测引擎，实时拦截数据流量中各种类型的恶意攻击流量，把攻击防御在单位网络之外。

网络安全防护不仅需要技术措施，还必须依赖相应的安全管理制度。制定完善的管理规章制度，对于确保网络安全、可靠的运行具有重要作用。学校先后发布一系列网络安全管理办法，建立健全信息安全管理机制，保障系统安全稳定运行。

制定《网络安全工作责任制实施办法》，成立网络安全与信息化领导小组，统筹制定网络安全和信息化发展战略、规划和重大政策，研究解决网络安全和信息化发展的重大问题。学校党委统一领导网络安全工作，党委主要负责人为学校网络安全第一责任人，校长负同等责任，分管校领导为直接责任人，下设多个功能机构，落实工作细节。

制定《信息化数据资源暂行管理办法》，加强信息化数据资源的统一管理和质量控制，推动数据资源科学配置和有效利用，提高信息化条件下学校治理能力和公共服务水平。

颁布《网络安全监测、信息通报与处置办法的通知》，全面提高学校网络安全隐患预警、防范和应急处理能力，及时做好相应的安全防范措施，减少网络安全事件带来的损失和影响。

此外还制定发布了《网络使用管理规定(暂行)》《网络信息应急处置预案（暂行）》《网络安全检测与计算机病毒防治管理规定（暂行）》《校园网站登记备案制度（暂行）》等网络使用管理及信息安全相关制度。在网站运营管理中，制定信息发布管理流程等。通过系统的管理规定，落实责任到人，规范化操作，全面保障各项安全工作落实到位。

在线培训服务平台在运营过程中，严格按照学校要求，落实各项规定，在平台日常运营、信息发布、学习组织、后台管理、应急处理等方面制定平台的工作流程，落实工作责任制，按照流程规范化操作，保障平台安定有序的运行。

信息安全是在线培训系统开发的第一要素，信息安全须融入到系统的开发建设中。该系统在开发之初就邀请技术专家及使用部门进行全面论证，从软件架构、实施细节到系统安全保障技术等多角度来满足信息安全的需求。在软件建设阶段，研究确定软件进度计划、软件开发技术及功能实现、软件安全防护措施等要素，及时处理软件开发中存在的问题并进行完善，提升软件开发质量，保障软件开发安装计划的顺利进行，减少平台系统建设过程中可能存在的安全问题。

在平台系统中使用信息加密技术，通过精细化算法对软件程序运行中所产生的数据流通问题进行堆叠化处理，尽最大可能防止黑客攻击和病毒入侵等安全风险。使用加密技术对网络传输、线路加密、网络接口和存储系统等进行处理，保障系统运行安全，同时保证有完善且无法篡改的日志记录，在保障数据安全的同时具有完整的审计记录。

在线培训服务平台系统使用过程中，工作人员要定期维护，以保证系统正常运行，并使得在线培训服务平台的各项功能及效果满足信息安全环境的发展需求。平台系统维护人员需要定期检测软件的各项性能，关注系统日志报告，及时掌握软件的使用情况，处理系统异常问题，并记录成册。定期请信息中心进行评测。如果软件部分功能不能满足功能或安全需求，需要软件开发人员对软件进行必要的更改和修复。学院相关负责部门应定期进行系统运营情况检查，并根据检查情况提出整改意见。

在软件使用过程中，需要格外重视软件运营情况。关注日志报告，及时处理异常问题；定期对软件进行漏洞扫描，并及时修补漏洞、排除潜在威胁，必要时对软件升级以适应现有技术革新。

提升在线培训服务主体的安全防范意识是提升平台安全性的重要部分。参与主体需要提高信息安全的敏感度，并正确认识信息安全的重要性。落实参与者的安全意识需要教育在先，预防在前。一方面，平台提供信息安全课程公开课并积极引导学员学习，学习《民法典》《个人信息保护法》等有关个人信息保护的法律法规，强化个人信息安全法律意识，切实提高对信息安全问题的认识。学员通过法律素养的提升，培养自身的法治意识，以实现对自身行为的良好约束。另一方面，学员通过积极学习个人信息安全的防护技巧，如在使用平台时不随意在平台发布个人信息、不点击不明链接、不随意在其他系统注册身份信息等，避免自身隐私信息泄露，全方位提升个人信息安全保护能力，做到防患于未然。