李諍 王松杰 彭文麗

【摘 要】區(qū)域網(wǎng)絡管理者在教育城域網(wǎng)內(nèi)處于網(wǎng)絡管理的核心位置，如何解決教育城域網(wǎng)的網(wǎng)絡應用的安全問題成為區(qū)域網(wǎng)絡管理者所考慮的重點內(nèi)容。本文闡述了如何通過網(wǎng)絡應用登記平臺的建設和使用、網(wǎng)絡結(jié)構(gòu)改造、防火墻策略設置以及漏洞掃描的執(zhí)行，建立起“自查—整改”的工作機制，從而提高教育城域網(wǎng)的網(wǎng)絡安全管理水平。

【關(guān)鍵詞】網(wǎng)絡安全;網(wǎng)絡安全管理;網(wǎng)絡應用登記;信息系統(tǒng)安全

信息技術(shù)的運用已深入到教育工作的各個層面，隨著教育信息化的迅速發(fā)展，網(wǎng)絡安全面臨的威脅也持續(xù)增大?！吨腥A人民共和國網(wǎng)絡安全法》于2017年6月1日正式實施[1]，這部法律的正式生效對完善教育系統(tǒng)網(wǎng)絡與信息安全保障體系提出了更高的要求，全面提升網(wǎng)絡與信息安全防護能力和水平，保障區(qū)域教育網(wǎng)絡安全成為新時期的挑戰(zhàn)。昌平區(qū)教育城域網(wǎng)接入校超過一百所，區(qū)域網(wǎng)絡安全由昌平區(qū)教育網(wǎng)絡和信息中心統(tǒng)一進行管理

網(wǎng)絡安全管理實踐

為提高區(qū)域網(wǎng)絡安全管理水平，區(qū)域網(wǎng)絡管理者通過建設網(wǎng)絡應用登記平臺對散落于各學校的各類網(wǎng)絡應用系統(tǒng)進行信息的收集和統(tǒng)一的管理，定期對這些網(wǎng)絡應用系統(tǒng)進行漏洞掃描，各學校應用系統(tǒng)管理員根據(jù)掃描結(jié)果進行整改，進而形成了區(qū)域網(wǎng)絡應用安全管理的“自查—整改”的工作機制。

1.ICP備案和等級保護備案

《非經(jīng)營性互聯(lián)網(wǎng)信息服務備案管理辦法》（信息產(chǎn)業(yè)部第33號）指出，在中華人民共和國境內(nèi)提供非經(jīng)營性互聯(lián)網(wǎng)信息服務，應當依法履行備案手續(xù)，未經(jīng)備案，不得在中華人民共和國境內(nèi)從事非經(jīng)營性互聯(lián)網(wǎng)信息服務[2]。由于教育系統(tǒng)內(nèi)所有單位、學校均為非經(jīng)營性，所建設網(wǎng)站均為公益性，所以系統(tǒng)內(nèi)所有網(wǎng)站均適用于本管理辦法，此處所說的備案手續(xù)為ICP（Internet Content Provider）備案。需要指出的是，據(jù)《辦法》中第五條所示，其所稱在中華人民共和國境內(nèi)提供非經(jīng)營性互聯(lián)網(wǎng)信息服務，是指通過互聯(lián)網(wǎng)域名IP地址訪問的網(wǎng)站。這表明，國家從2005年起的相當一段時期，僅對各類網(wǎng)站做出了ICP備案規(guī)定，而對其他的網(wǎng)絡應用如FTP、手機APP、視頻監(jiān)控系統(tǒng)等未做出具體備案規(guī)定。

《信息安全等級保護管理辦法》（公通字[2007]43號）中對信息系統(tǒng)的安全保護管理做出了一系列具體而嚴格的規(guī)定。第十五條更是明確指出已運營（運行）或新建的第二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關(guān)辦理備案手續(xù)[3]。須注意，這里并未強調(diào)信息系統(tǒng)必須聯(lián)網(wǎng)，雖然其他條目中提到了“聯(lián)網(wǎng)運行”等關(guān)鍵詞，但未將“聯(lián)網(wǎng)運行”作為本辦法所涉及信息系統(tǒng)的必要條件，因此，本管理辦法適用范圍涵蓋了所有信息系統(tǒng)，甚至包括未聯(lián)網(wǎng)運行的系統(tǒng)，其涉及范圍較大，不局限于網(wǎng)站。

2.建設網(wǎng)絡應用登記平臺的意義

在上述兩套備案體系的基礎上，區(qū)域網(wǎng)絡管理者為了更加有效地管理本區(qū)域所屬單位的各類網(wǎng)絡應用，提出了“網(wǎng)絡應用”的概念并有效實施了網(wǎng)絡應用登記平臺。網(wǎng)絡應用，既包含網(wǎng)站，又包含運行在互聯(lián)網(wǎng)上的其他系統(tǒng)，如FTP、APP、服務端程序、監(jiān)控系統(tǒng)等，同時又強調(diào)了所需要登記的系統(tǒng)必須運行在網(wǎng)絡當中，兼顧了所管理系統(tǒng)的全面性與網(wǎng)絡聯(lián)通性，對國家當前所采取的兩種備案制度做了區(qū)域性的補充，區(qū)域網(wǎng)絡應用的管理更加具有可控性和針對性。

網(wǎng)絡應用登記平臺的便利性也是顯而易見的，以往需要收集各類系統(tǒng)的詳細信息時，多采用下發(fā)電子表格的形式，區(qū)域所屬各學校接到電子表格后填寫諸如網(wǎng)站名稱、網(wǎng)站域名、IP地址、端口等幾十項信息，然后通過電子郵件或者各種通訊工具發(fā)送給收集者。收集人員通過對這些表格的整理、整合，形成一個比較大的信息庫，有些部門還需要蓋章上交紙質(zhì)表格。這種傳統(tǒng)的信息收集方式在目前的日常管理中經(jīng)常采用，人力物力消耗非常大。這種傳統(tǒng)電子表格的收集管理模式在應對大量經(jīng)常性可變信息方面會顯得嚴重吃力，比如收集五百份以上的表格并進行整理，這五百份以上表格的內(nèi)容有10%會經(jīng)常變動，傳統(tǒng)收集方式就會顯得力不從心。因此，區(qū)域網(wǎng)絡管理者在收集管理大量經(jīng)常性可變信息的情況下，應采取建設信息管理系統(tǒng)的方式，網(wǎng)絡應用登記平臺就是在這種情況下產(chǎn)生的信息管理系統(tǒng)。

3.網(wǎng)絡應用登記平臺的建設與實施

網(wǎng)絡應用登記平臺的建設過程并不復雜，但在實施推進過程中需要做些把控。首先定義好需要收集的信息，如使用單位名稱、法人代表、系統(tǒng)負責人、聯(lián)系方式、承建單位、網(wǎng)絡應用名稱、服務器是否在教育網(wǎng)內(nèi)、是否開通公網(wǎng)訪問端口、網(wǎng)絡應用類型、網(wǎng)絡應用IP地址、網(wǎng)絡應用端口數(shù)量和端口號、網(wǎng)站域名、網(wǎng)站ICP備案號、是否已進行等級保護備案、等級保護級別、等級保護證書編號等。接下來與應用開發(fā)人員確定好開發(fā)方案和期限，由于本系統(tǒng)邏輯功能較為單一，平臺開發(fā)期限較短，開發(fā)好后也能迅速進入試用與迭代階段。

在系統(tǒng)實施階段，需在便利性和功能性中做些取舍，在實現(xiàn)功能的基礎上適當追求便利即可，不計成本地追求便利而忽視功能的迅速實現(xiàn)會影響信息系統(tǒng)的實施進度，從而導致推進不力。從實際的推進過程看，網(wǎng)絡應用登記平臺的開發(fā)和實施都非常順利，各學校通過此平臺為本校系統(tǒng)申請互聯(lián)網(wǎng)服務權(quán)限時，將所申請IP和端口等信息錄入到平臺中，區(qū)級管理員進行審核，通過審核的系統(tǒng)獲得對教育城域網(wǎng)外部服務的權(quán)限。開放公網(wǎng)訪問權(quán)限的操作通過設置防火墻策略完成。平臺內(nèi)目前記錄了部署在城域網(wǎng)內(nèi)所有的網(wǎng)絡應用，并可以進行分類，所開放公網(wǎng)訪問權(quán)限的系統(tǒng)IP和端口信息與防火墻配置的白名單一致，這些信息可以隨時進行調(diào)整，大幅節(jié)省了網(wǎng)絡應用的安全管理成本。

4.漏洞掃描報告和“自查—整改”工作機制的建立

區(qū)域網(wǎng)絡管理者根據(jù)網(wǎng)絡應用登記平臺中所登記的IP和端口信息，定期進行漏洞掃描自查。漏掃設備可以發(fā)現(xiàn)多種漏洞，自動生成漏洞掃描報告，報告中對每一個漏洞的性質(zhì)和修補方法做出詳細的說明，將漏洞按照種類歸類排名，以餅圖或柱狀圖的形式加以分析，從而為漏洞修復者提供參考依據(jù)。

區(qū)域網(wǎng)絡管理者將掃描報告下發(fā)后，各學校必須在規(guī)定時間內(nèi)完成整改。隨著網(wǎng)絡安全環(huán)境的日益嚴峻，漏洞掃描和報告下發(fā)的頻率也隨之提高，我區(qū)針對網(wǎng)絡應用的掃描頻率已由原來的每月一次提升至每月兩次。

通過本項工作的落實，區(qū)域網(wǎng)絡安全管理已經(jīng)形成了可以分為四個步驟的“自查—整改”工作機制。第一，通過網(wǎng)絡應用登記查看學校所登記應用的IP及端口;第二，在防火墻中進行具體的IP和端口的設置，形成放行的白名單;第三，對所上報IP進行漏洞掃描，形成掃描報告;第四，學校根據(jù)掃描結(jié)果和整改通知限期完成整改，未按期完成整改的應用會被關(guān)停。

5.網(wǎng)絡結(jié)構(gòu)改造和防火墻策略

若有效實行基于網(wǎng)絡應用登記平臺的安全管理制度，必須依賴于易于管理的網(wǎng)絡結(jié)構(gòu)，如果區(qū)域網(wǎng)絡管理者不清楚各學校的網(wǎng)絡結(jié)構(gòu)和IP地址信息，是無法實現(xiàn)網(wǎng)絡應用登記制度的。在這種情況下，區(qū)域網(wǎng)絡管理者須進行城域網(wǎng)的網(wǎng)絡結(jié)構(gòu)改造，對網(wǎng)絡結(jié)構(gòu)進行梳理和調(diào)整，為各學校重新劃分公網(wǎng)地址，消除大量公網(wǎng)地址暴露在互聯(lián)網(wǎng)上的安全隱患。改造后的網(wǎng)絡結(jié)構(gòu)清晰，各學校重新獲得公網(wǎng)地址，每所學校公網(wǎng)地址128個，私網(wǎng)地址32768個，在此基礎上，規(guī)定公網(wǎng)地址對外服務需進行網(wǎng)絡應用登記。

區(qū)域網(wǎng)絡管理者在教育城域網(wǎng)總出口和各學校的網(wǎng)絡出口均設置萬兆防火墻[4]，總出口防火墻配置策略為從外到內(nèi)端口全部阻斷，各單位出口防火墻管理權(quán)限收回，策略亦為從外到內(nèi)端口全部阻斷。如需開放對外服務權(quán)限，需進行網(wǎng)絡應用登記，區(qū)域網(wǎng)絡管理者在區(qū)、校兩級防火墻中均設置白名單后，網(wǎng)絡應用才可以從教育網(wǎng)外部訪問。重點時期，區(qū)域教育管理部門根據(jù)實際情況，在防火墻中配置更加嚴格的策略，限制教育網(wǎng)外部訪問權(quán)限，以預防各類網(wǎng)絡安全事件的發(fā)生。

結(jié)語和展望

本文通過介紹網(wǎng)絡應用登記平臺的建設和使用過程，以及相應的網(wǎng)絡結(jié)構(gòu)改造和防火墻策略設置等方案的落實，闡述了在區(qū)域中存在諸多網(wǎng)絡應用的情況下如何進行有效管理的方法，可作為有效應對復雜多變網(wǎng)絡安全問題的一種方法作為參考[5]。除做到本文中闡述的管理方法外，還可以輔助以其他設備和手段進行安全防護，如可在城域網(wǎng)出口部署DDOS監(jiān)測和清洗設備、僵木蠕監(jiān)控系統(tǒng)等，重大活動時期可為重要網(wǎng)站部署網(wǎng)頁防篡改系統(tǒng)，在“深度學習”和“大數(shù)據(jù)”快速發(fā)展的今日，可以期望更多智能化的設備或系統(tǒng)用于教育城域網(wǎng)絡，進一步提升區(qū)域網(wǎng)絡安全防護能力。

中華人民共和國主席令. 中華人民共和國網(wǎng)絡安全法[Z]. 2016-11-7.

中華人民共和國信息產(chǎn)業(yè)部.非經(jīng)營性互聯(lián)網(wǎng)信息服務備案管理辦法[Z].2005-2-8.

中華人民共和國公安部. 信息安全等級保護管理辦法[Z]. 2007-6-22.

李賡曦，姚健，牛晨. 基于等級保護制度的校園網(wǎng)絡安全建設實踐[J]. 信息安全與技術(shù)，2016（4）.

龍衛(wèi)球. 我國網(wǎng)絡安全管制的基礎、架構(gòu)與限定問題[J]. 暨南學報（哲學社會科學版），2017（5）.