武騰+宋好好

摘 要：隨著教育行業(yè)信息化建設(shè)的高速發(fā)展，信息安全問(wèn)題屢見不鮮。教育行業(yè)信息系統(tǒng)一直是等級(jí)保護(hù)工作的重點(diǎn)測(cè)評(píng)對(duì)象。論文通過(guò)對(duì)上海市多所學(xué)校的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)工作中發(fā)現(xiàn)的問(wèn)題進(jìn)行風(fēng)險(xiǎn)分析，并結(jié)合網(wǎng)絡(luò)安全法的相關(guān)要求，提出如何推進(jìn)相關(guān)工作的建議。

關(guān)鍵詞：教育行業(yè)；信息系統(tǒng)；等級(jí)保護(hù)；網(wǎng)絡(luò)安全法

中圖分類號(hào)： TP393 文獻(xiàn)標(biāo)識(shí)碼：A

Research on the Classified Protection of Information System in Education Industry

Wu Teng， Song Hao-hao

（The Third Research Institute of Ministry of Public security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： With the rapid development of information technology in education industry， information security problems emerge in an endless stream. The information system of education industry has always been the focus object of grade protection. This article analyzed the problems found in the classified protection evaluation of the information system of many schools in Shanghai， combined with the relevant requirements of internet security act， and put forward proposals for advancing related work.

Key words： Education Industry； Information System； Classified Protection； Internet Security Act

1 引言

各高校、高職、中專、中小學(xué)等教育行業(yè)信息系統(tǒng)既包含用于校園資訊介紹、招生信息發(fā)布的門戶網(wǎng)站系統(tǒng)，還包括后臺(tái)管理系統(tǒng)、圖書館管理系統(tǒng)、學(xué)籍管理系統(tǒng)、網(wǎng)上辦公系統(tǒng)等與教研活動(dòng)安排和信息管理的系統(tǒng)。近年來(lái)，發(fā)生的多次網(wǎng)絡(luò)攻擊事件表明，教育行業(yè)信息系統(tǒng)的安全依然是安全薄弱點(diǎn)，如何確保教育行業(yè)信息系統(tǒng)的安全成了迫切解決的問(wèn)題。

自2009年開始，教育部辦公廳多次發(fā)文，要求全國(guó)教育行業(yè)按照國(guó)家信息安全等級(jí)保護(hù)制度的要求，做好教育系統(tǒng)網(wǎng)絡(luò)信息安全保障工作。2017年5月5日，教育部科技司印發(fā)《關(guān)于加快推進(jìn)信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案工作的通知》，再次將教育行業(yè)等級(jí)保護(hù)工作提上日程。目前，教育行業(yè)各單位積極按照國(guó)家等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)實(shí)施信息系統(tǒng)安全建設(shè)整改和等級(jí)測(cè)評(píng)，信息系統(tǒng)的安全防護(hù)能力得到了一定提升，但在測(cè)評(píng)過(guò)程中發(fā)現(xiàn)了一些普遍存在的安全問(wèn)題。2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的正式實(shí)施，對(duì)信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)工作提出了新的要求。本文將對(duì)上海市多所高校、高職、中專、中小學(xué)的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)工作中發(fā)現(xiàn)的問(wèn)題進(jìn)行分析，并結(jié)合網(wǎng)絡(luò)安全法的相關(guān)要求，提出相應(yīng)的對(duì)策。

自2017年6月1日起施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱：網(wǎng)絡(luò)安全法）中，第三章網(wǎng)絡(luò)運(yùn)行安全第二十二條、第四章網(wǎng)絡(luò)信息安全第四十一條、第四十二條、第四十四條、第四十五條等對(duì)個(gè)人信息保護(hù)的基本原則和要求進(jìn)行了闡述，并規(guī)定了相應(yīng)法律責(zé)任。這些表明了國(guó)家致力于加強(qiáng)對(duì)個(gè)人信息保護(hù)的堅(jiān)決態(tài)度。從而保障網(wǎng)絡(luò)信息依法有序的自由流通，保護(hù)公民的個(gè)人信息安全，以防止公民的個(gè)人信息被泄露、被竊取和被非法使用。在教育行業(yè)信息系統(tǒng)中，后臺(tái)管理系統(tǒng)、圖書館管理系統(tǒng)、學(xué)籍管理系統(tǒng)、網(wǎng)上辦公系統(tǒng)等系統(tǒng)，存在網(wǎng)絡(luò)信息尤其是老師與學(xué)生的個(gè)人信息的流通，如何保證老師與學(xué)生的個(gè)人信息會(huì)在交互過(guò)程中不會(huì)被篡改、被截取、被破壞，是對(duì)教育行業(yè)信息系統(tǒng)在技術(shù)體系的挑戰(zhàn)。

網(wǎng)絡(luò)安全法對(duì)監(jiān)測(cè)預(yù)警與應(yīng)急處置措施專門列出一章作出規(guī)定，指出將建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度，建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并定期演練。明確了發(fā)生網(wǎng)絡(luò)安全事件時(shí)，需要采取的措施。在信息安全等級(jí)保護(hù)工作中，信息系統(tǒng)安全等級(jí)保護(hù)基本要求管理要求部分指出應(yīng)制定應(yīng)急預(yù)案，并要求定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)和演練，一旦發(fā)生安全事件，系統(tǒng)相關(guān)人員可以掌握適當(dāng)?shù)膽?yīng)急措施，使損失降到最低。教育行業(yè)信息系統(tǒng)的服務(wù)范圍甚廣，當(dāng)業(yè)務(wù)信息受到破壞時(shí)，不但會(huì)對(duì)學(xué)校的外在形象造成損害，同時(shí)虛假信息可能會(huì)造成學(xué)生、教師的利益受損，嚴(yán)重時(shí)可能危及訪問(wèn)該平臺(tái)上所運(yùn)行網(wǎng)站的公眾利益，所以應(yīng)急預(yù)案的培訓(xùn)和演練至關(guān)重要。

2 系統(tǒng)風(fēng)險(xiǎn)分析

信息系統(tǒng)的安全一方面要依賴于完善的管理制度體系[1]，覆蓋安全管理制度、機(jī)構(gòu)、人員安全、系統(tǒng)建設(shè)和運(yùn)維管理五個(gè)方面，要做到“有法可依、有章可循”，并且在相應(yīng)的管理制度規(guī)定下充分執(zhí)行。另一方面離不開以基礎(chǔ)網(wǎng)絡(luò)建設(shè)、服務(wù)器安全、應(yīng)用系統(tǒng)安全和數(shù)據(jù)安全為核心組成部分的技術(shù)安全體系[2-4]。

截止2017年第二季度，對(duì)上海市多所學(xué)校的信息系統(tǒng)進(jìn)行等保三級(jí)和等保二級(jí)測(cè)評(píng)，以及依據(jù)滬公通字[2015]65號(hào)《上海市黨政機(jī)關(guān)、事業(yè)單位和國(guó)有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項(xiàng)整治行動(dòng)方案》對(duì)上海市教育行業(yè)進(jìn)行互聯(lián)網(wǎng)網(wǎng)站安全專項(xiàng)一級(jí)檢查，其中包括普通中學(xué)門戶網(wǎng)站系統(tǒng)、小學(xué)門戶網(wǎng)站系統(tǒng)等，按照等保一級(jí)的要求進(jìn)行測(cè)評(píng)。從以上網(wǎng)站系統(tǒng)的測(cè)評(píng)結(jié)果看來(lái)，存在的系統(tǒng)分析問(wèn)題涉及到幾方面。endprint

2.1 管理體系缺失

在管理制度體系方面，大部分學(xué)校在管理制度制定與執(zhí)行、系統(tǒng)測(cè)試驗(yàn)收、安全技能培訓(xùn)和考核、應(yīng)急預(yù)案培訓(xùn)與演練等方面等存在一定缺失。

安全保護(hù)等級(jí)第一級(jí)和部分安全保護(hù)等級(jí)第二級(jí)的學(xué)校，其信息系統(tǒng)以第三方完全托管形式進(jìn)行管理，由學(xué)校信息學(xué)科老師兼職負(fù)責(zé)與第三方托管單位進(jìn)行業(yè)務(wù)對(duì)接，向第三方租用網(wǎng)絡(luò)和服務(wù)器空間或是購(gòu)買網(wǎng)站安全服務(wù)的方式進(jìn)行部署，日常管理維護(hù)都是由第三方進(jìn)行負(fù)責(zé)。大部分安全保護(hù)等級(jí)第二級(jí)的學(xué)校，其信息系統(tǒng)以半托管形式進(jìn)行管理，由本校信息科的老師兼職和第三方運(yùn)維單位共同負(fù)責(zé)。由于學(xué)校的信息科老師是兼職負(fù)責(zé)，所有信息系統(tǒng)的網(wǎng)絡(luò)、軟件硬件、線路的維護(hù)以第三方運(yùn)維單位為主要負(fù)責(zé)方。安全保護(hù)等級(jí)第三級(jí)的學(xué)校，其信息系統(tǒng)大多采用自管的方式進(jìn)行管理，學(xué)校配備專職人員對(duì)信息系統(tǒng)進(jìn)行維護(hù)管理，并選定符合國(guó)家有關(guān)規(guī)定的安全服務(wù)進(jìn)行安全運(yùn)維服務(wù)。部分學(xué)校在托管方和外包方的管理方面不夠投入，通常僅采取與托管方簽訂相關(guān)服務(wù)協(xié)議的形式來(lái)進(jìn)行控制，并沒有相關(guān)管理制度對(duì)托管方進(jìn)行約束。

在系統(tǒng)測(cè)試驗(yàn)收方面，未對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收，源代碼審查、惡意代碼檢測(cè)，無(wú)法及時(shí)發(fā)現(xiàn)系統(tǒng)安全方面存在的問(wèn)題，無(wú)法及時(shí)采取補(bǔ)救措施。

在安全技能培訓(xùn)和考核方面，未定期對(duì)各崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核，可能導(dǎo)致人員安全技能及安全認(rèn)知不足，不符合崗位要求。

在應(yīng)急預(yù)案培訓(xùn)與演練方面，未對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)和演練，一旦發(fā)生安全事件，可能存在系統(tǒng)相關(guān)人員尚未了解及掌握適當(dāng)?shù)膽?yīng)急措施，損失補(bǔ)救時(shí)間。

2.2 技術(shù)安全風(fēng)險(xiǎn)

在技術(shù)安全體系方面，在基礎(chǔ)網(wǎng)絡(luò)建設(shè)中大部分學(xué)校采用硬件防火墻設(shè)備配合防病毒軟件的方式對(duì)服務(wù)器系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行防護(hù)，缺少漏洞掃描、入侵檢測(cè)和數(shù)據(jù)備份等設(shè)備。

在服務(wù)器安全方面，系統(tǒng)默認(rèn)賬戶未重命名，攻擊者可以省略猜測(cè)用戶名步驟，直接破解密碼；未設(shè)置升級(jí)服務(wù)器為服務(wù)器系統(tǒng)補(bǔ)丁進(jìn)行統(tǒng)一升級(jí)，驗(yàn)證測(cè)試發(fā)現(xiàn)部分主機(jī)存在安全漏洞，漏洞不能及時(shí)得到修復(fù)而被攻擊者利用。

在應(yīng)用系統(tǒng)安全方面，應(yīng)用系統(tǒng)未采用校驗(yàn)碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性，若網(wǎng)絡(luò)傳輸數(shù)據(jù)被破壞，造成重要數(shù)據(jù)丟失或者損壞，從而給應(yīng)用系統(tǒng)帶來(lái)安全隱患；缺少軟件容錯(cuò)機(jī)制，可能引起網(wǎng)站被篡改或服務(wù)器被攻破的高風(fēng)險(xiǎn)漏洞。

在數(shù)據(jù)安全方面，未提供鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中的完整性檢測(cè)功能，若網(wǎng)絡(luò)傳輸數(shù)據(jù)遭到破壞，可能造成重要數(shù)據(jù)丟失或者損壞，給應(yīng)用系統(tǒng)帶來(lái)安全隱患；關(guān)鍵節(jié)點(diǎn)網(wǎng)絡(luò)設(shè)備未采用雙冗余設(shè)計(jì)，存在單點(diǎn)故障，一旦網(wǎng)絡(luò)設(shè)備損壞，可能導(dǎo)致系統(tǒng)服務(wù)中斷甚至無(wú)法恢復(fù)。

3 安全防護(hù)措施建議

3.1完善管理體系

在管理制度體系方面，采用第三方托管的學(xué)校要在托管方和外包方的管理方面加大力度，制定與托管方和外包方相關(guān)的管理制度，內(nèi)容涵蓋托管方和外包方的權(quán)限劃分，系統(tǒng)的內(nèi)容管理，用戶權(quán)限、賬號(hào)和密碼，應(yīng)用系統(tǒng)管理和維護(hù)，系統(tǒng)變更等方面。管理制度制定后的執(zhí)行是安全防護(hù)的關(guān)鍵點(diǎn)，制度落實(shí)后的相關(guān)執(zhí)行記錄要注意保存，以便追溯責(zé)任。

在系統(tǒng)測(cè)試驗(yàn)收方面，建議對(duì)系統(tǒng)軟件進(jìn)行源代碼審查、惡意代碼檢測(cè)，并組織進(jìn)行安全性測(cè)試驗(yàn)收；在安全技能培訓(xùn)和考核方面，建議定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核，明確考核周期，并保留每一次培訓(xùn)、考核的記錄。

在應(yīng)急預(yù)案培訓(xùn)與演練方面，建議對(duì)系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案培訓(xùn)應(yīng)至少每年舉辦一次，定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練周期。

3.2 加強(qiáng)技術(shù)安全體系

在技術(shù)安全體系方面，信息系統(tǒng)安全運(yùn)行的前提條件是穩(wěn)定的基礎(chǔ)網(wǎng)絡(luò)環(huán)境。信息系統(tǒng)的應(yīng)用中信息訪問(wèn)所占的比例很大，無(wú)限制的用戶訪問(wèn)量給網(wǎng)絡(luò)帶來(lái)巨大壓力。因此在基礎(chǔ)網(wǎng)絡(luò)建設(shè)的第一步，就是根據(jù)網(wǎng)絡(luò)組成部分的職能進(jìn)行區(qū)域劃分，并根據(jù)各節(jié)點(diǎn)業(yè)務(wù)的重要程度，對(duì)其帶寬進(jìn)行分配并設(shè)置訪問(wèn)控制策略。在網(wǎng)絡(luò)設(shè)備啟用雙鏈路，進(jìn)行負(fù)載均衡配置，并加入互聯(lián)網(wǎng)防火墻、WAF、入侵檢測(cè)等設(shè)備以加固基礎(chǔ)網(wǎng)絡(luò)。本著這些原則建議采用安全保護(hù)架構(gòu)進(jìn)行網(wǎng)絡(luò)建設(shè)，網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

安全保護(hù)架構(gòu)網(wǎng)絡(luò)劃分為可信交換區(qū)、DMZ和運(yùn)維區(qū)三個(gè)區(qū)域。核心交換區(qū)通過(guò)電信網(wǎng)和教育網(wǎng)兩條鏈路外聯(lián)，經(jīng)過(guò)負(fù)載均衡設(shè)備連接到互聯(lián)網(wǎng)防火墻，然后接入到核心交換機(jī)，核心交互區(qū)部署入侵檢測(cè)系統(tǒng)，運(yùn)維區(qū)接入到核心交換區(qū)的核心交換機(jī)上，應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器部署在DMZ區(qū)，經(jīng)過(guò)匯聚交換機(jī)和WAF連接到核心交換區(qū)的互聯(lián)網(wǎng)防火墻上。

在服務(wù)器安全方面，根據(jù)等級(jí)保護(hù)主機(jī)安全的要求，對(duì)服務(wù)器主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)、運(yùn)維終端等的系統(tǒng)默認(rèn)賬號(hào)進(jìn)行重命名，并且設(shè)置密碼策略和超時(shí)退出策略；對(duì)服務(wù)器主機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)開啟安全審計(jì)策略，設(shè)置升級(jí)服務(wù)器為服務(wù)器系統(tǒng)補(bǔ)丁進(jìn)行統(tǒng)一升級(jí)，及時(shí)修補(bǔ)系統(tǒng)存在的安全漏洞。

在應(yīng)用系統(tǒng)安全方面，除對(duì)應(yīng)用系統(tǒng)設(shè)計(jì)過(guò)程中進(jìn)行注意，采用校驗(yàn)碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性，從而降低網(wǎng)絡(luò)通信過(guò)程中的數(shù)據(jù)丟失或損壞的概率；通過(guò)在網(wǎng)絡(luò)中部署Web應(yīng)用防火墻，以防止來(lái)自網(wǎng)絡(luò)中的SQL注入、跨站腳本、遠(yuǎn)程代碼執(zhí)行等應(yīng)用層攻擊，部署網(wǎng)頁(yè)防篡改系統(tǒng)以防信息系統(tǒng)受到非授權(quán)的修改、增加或刪除。缺少軟件容錯(cuò)機(jī)制，可能引起網(wǎng)站被篡改或服務(wù)器被攻破的高風(fēng)險(xiǎn)漏洞。同時(shí)，定期對(duì)網(wǎng)站做滲透性測(cè)試，以及時(shí)發(fā)現(xiàn)其潛在的安全漏洞并進(jìn)行整改。

在數(shù)據(jù)安全方面，依據(jù)等級(jí)保護(hù)的要求，對(duì)關(guān)鍵節(jié)點(diǎn)的網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余采用雙冗余設(shè)計(jì)，提高系統(tǒng)的可用性和服務(wù)的持續(xù)性。定期對(duì)信息系統(tǒng)的數(shù)據(jù)、網(wǎng)絡(luò)設(shè)備的配置數(shù)據(jù)等進(jìn)行備份，并且定期對(duì)數(shù)據(jù)的完整性以及備份的可用性做檢查。

4 結(jié)束語(yǔ)

目前，教育行業(yè)信息化建設(shè)正處于發(fā)展的關(guān)鍵時(shí)期，對(duì)于教育行業(yè)信息安全等級(jí)保護(hù)工作來(lái)說(shuō)既是挑戰(zhàn)也是機(jī)會(huì)。教育行業(yè)信息系統(tǒng)作為教育行業(yè)信息化建設(shè)的“臉面”，更是重中之重，只有根據(jù)教育行業(yè)各種安全管理的要求，建立完整的適應(yīng)性安全管理體系，實(shí)現(xiàn)管理制度體系和技術(shù)安全體系的整合，不斷解決在等保測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的安全問(wèn)題，才能增強(qiáng)迅猛發(fā)展的信息安全威脅的抵抗力。

項(xiàng)目基金：

上海市科學(xué)技術(shù)委員會(huì)2015年度“科技創(chuàng)新行動(dòng)計(jì)劃”高新技術(shù)領(lǐng)域項(xiàng)目—移動(dòng)智能終端安全關(guān)鍵技術(shù)研究及應(yīng)用示范（項(xiàng)目編號(hào)：15511103000）。

參考文獻(xiàn)

[1] 公通字[2007]43號(hào).信息安全等級(jí)保護(hù)管理辦法[S].

[2] GB/T 22239-2008.信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

[3] GB/T 22081-2008.信息安全管理實(shí)用規(guī)則[S].

[4] GB/T 22080-2008.信息安全管理體系要求[S].endprint