彭楚風(fēng) 呂建富

摘要：隨著教育信息化的快速發(fā)展，大量教育信息系統(tǒng)迅速上線，網(wǎng)絡(luò)安全問題不容小覷。本文通過對(duì)攻防演習(xí)工作中發(fā)現(xiàn)的網(wǎng)絡(luò)安全問題進(jìn)行風(fēng)險(xiǎn)分析，并結(jié)合網(wǎng)絡(luò)安全法的相關(guān)要求，提出了如何做好網(wǎng)絡(luò)安全防護(hù)的建議。

關(guān)鍵詞：教育信息化;風(fēng)險(xiǎn)分析;安全防護(hù)措施

中圖分類號(hào)：G434? 文獻(xiàn)標(biāo)識(shí)碼：A? 論文編號(hào)：1674-2117（2021）15-0097-04

● 引言

隨著移動(dòng)互聯(lián)網(wǎng)、云計(jì)算和大數(shù)據(jù)為特征的新一輪信息技術(shù)的發(fā)展，我國(guó)教育信息化已進(jìn)入融合應(yīng)用向創(chuàng)新發(fā)展轉(zhuǎn)型的2.0階段。[1]網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也進(jìn)一步向現(xiàn)實(shí)世界滲透，為教育行業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全保障工作帶來諸多挑戰(zhàn)，如何確保教育行業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全成為迫切解決的問題。

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》及《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等法律法規(guī)要求，國(guó)家級(jí)的攻防演練已經(jīng)成為檢驗(yàn)網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)的重要手段。[2]攻防演練通常是在真實(shí)網(wǎng)絡(luò)環(huán)境下對(duì)參演單位目標(biāo)系統(tǒng)進(jìn)行全程可控、可審計(jì)的實(shí)戰(zhàn)攻擊，擬通過演練檢驗(yàn)參演單位的安全防護(hù)和應(yīng)急處置能力，提高網(wǎng)絡(luò)安全的綜合防控能力。[3]近幾年，我國(guó)較大規(guī)模的攻防演習(xí)主要包括公安機(jī)關(guān)組織的針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻防演習(xí)、各部委組織的對(duì)各省和直屬單位重要系統(tǒng)的攻防演習(xí)以及大型企業(yè)組織對(duì)下屬單位重要系統(tǒng)的攻防演習(xí)。

本文將對(duì)中央電化教育館的信息系統(tǒng)參加2020年教育部攻防演習(xí)工作中發(fā)現(xiàn)的問題進(jìn)行分析，結(jié)合網(wǎng)絡(luò)安全法的相關(guān)要求，總結(jié)教育行業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)特點(diǎn)，并提出相應(yīng)的安全防護(hù)措施。

● 信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

按照信息系統(tǒng)主管單位的不同，教育行業(yè)信息系統(tǒng)分為“教育行政部門及其直屬事業(yè)單位信息系統(tǒng)”和“學(xué)校信息系統(tǒng)”兩類。2018年的教育數(shù)據(jù)統(tǒng)計(jì)顯示，教育行業(yè)信息系統(tǒng)平臺(tái)網(wǎng)站主要有涉及用戶人員多、系統(tǒng)數(shù)量多、數(shù)據(jù)多三個(gè)特點(diǎn)[4]，這對(duì)網(wǎng)絡(luò)安全保障能力提出了更高的要求，在完善管理體系，保障應(yīng)用安全、數(shù)據(jù)安全、業(yè)務(wù)連續(xù)性等方面將面臨更大的挑戰(zhàn)。

網(wǎng)絡(luò)安全的保障主要體現(xiàn)在兩個(gè)方面：第一是健全和落實(shí)安全管理體系，其中包括安全管理制度、機(jī)構(gòu)、人員安全、系統(tǒng)建設(shè)和運(yùn)維管理五個(gè)方面;第二是搭建以基礎(chǔ)網(wǎng)絡(luò)建設(shè)、服務(wù)器安全、應(yīng)用系統(tǒng)安全和數(shù)據(jù)安全為核心組成部分的技術(shù)安全體系。[5]

結(jié)合筆者所在單位參加2020年教育部攻防演習(xí)的工作情況，筆者認(rèn)為教育行業(yè)信息系統(tǒng)存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要涉及以下幾個(gè)方面。

1.管理安全風(fēng)險(xiǎn)

目前，網(wǎng)絡(luò)安全管理的工作主要在管理制度、安全人才培養(yǎng)、安全培訓(xùn)三個(gè)方面存在不足。

在管理制度方面，雖然隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的實(shí)施，各企事業(yè)單位、學(xué)校等網(wǎng)絡(luò)安全管理制度不斷完善，但在安全運(yùn)維管理的規(guī)范性方面仍存在不足，如對(duì)軟硬件資產(chǎn)的梳理不夠清晰，掌握不夠全面，影響應(yīng)急措施的實(shí)施;由于歷史原因，信息系統(tǒng)越來越多，架構(gòu)復(fù)雜不一，早期建設(shè)的部分信息系統(tǒng)的安全管理存在漏洞，如開發(fā)時(shí)安全性考慮不足，存在無人維護(hù)的信息系統(tǒng)，造成了極大的安全隱患;域名管理體系不夠完善，存在不使用的域名未及時(shí)注銷的情況，存在鏈接不法網(wǎng)站的風(fēng)險(xiǎn)。部分核心開發(fā)、運(yùn)維人員的重要數(shù)據(jù)保密性管理不足，保存在可連外網(wǎng)的設(shè)備上，存在泄露的風(fēng)險(xiǎn)。

在安全人才培養(yǎng)方面，我國(guó)目前網(wǎng)絡(luò)安全人才形勢(shì)嚴(yán)峻，從業(yè)人員普遍在知識(shí)儲(chǔ)備、技能等方面存在短板，因此完善網(wǎng)絡(luò)安全人才培養(yǎng)體系成為重中之重。但目前各企事業(yè)單位、學(xué)校對(duì)第三方安全服務(wù)商過于依賴，自身的安全運(yùn)維技術(shù)力量薄弱，特別是專業(yè)安全人員儲(chǔ)備匱乏，關(guān)鍵性技術(shù)崗位人力單薄。

在安全培訓(xùn)方面，對(duì)在崗工作人員的網(wǎng)絡(luò)安全技能及安全認(rèn)知的培訓(xùn)不夠全面和體系化，在處理應(yīng)急事件的過程中難免有疏漏。

2.技術(shù)安全風(fēng)險(xiǎn)

隨著教育行業(yè)信息系統(tǒng)的數(shù)量越來越多、規(guī)模越來越大，在基礎(chǔ)設(shè)備、應(yīng)用安全和數(shù)據(jù)安全方面的風(fēng)險(xiǎn)問題應(yīng)該引起重視。

在基礎(chǔ)設(shè)備方面，部分硬件設(shè)備過于老舊，超過服務(wù)年限，不支持基礎(chǔ)軟件向高版本升級(jí);網(wǎng)絡(luò)安全設(shè)備不足，如缺少雙因子動(dòng)態(tài)認(rèn)證、主機(jī)防護(hù)產(chǎn)品、SSL證書解密設(shè)備等。

在應(yīng)用安全方面，大部分信息系統(tǒng)在設(shè)計(jì)和開發(fā)過程中對(duì)網(wǎng)絡(luò)安全方面考慮不足，如用戶權(quán)限劃分不明確，導(dǎo)致系統(tǒng)中存在越權(quán)漏洞;對(duì)系統(tǒng)登錄口令復(fù)雜的限制不嚴(yán)格，系統(tǒng)中存在弱口令賬戶;對(duì)用戶輸入的內(nèi)容過濾不嚴(yán)格，可能存在SQL注入及XSS漏洞等;部分操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等基礎(chǔ)軟件版本較低，無法進(jìn)行漏洞修復(fù)。

在數(shù)據(jù)安全方面，隨著傳統(tǒng)網(wǎng)絡(luò)安全問題數(shù)據(jù)化，新型數(shù)據(jù)安全問題不斷涌現(xiàn)，在數(shù)據(jù)收集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)分析等過程中存在隱患。教育類的業(yè)務(wù)數(shù)據(jù)存儲(chǔ)量大，數(shù)據(jù)類型多，進(jìn)行數(shù)據(jù)治理工作則非常重要。在數(shù)據(jù)收集階段，數(shù)據(jù)分類分級(jí)既是數(shù)據(jù)治理的基礎(chǔ)，也是開展數(shù)據(jù)安全工作的前提，存在數(shù)據(jù)安全分級(jí)不匹配從而導(dǎo)致高敏感數(shù)據(jù)保護(hù)不足的風(fēng)險(xiǎn);在數(shù)據(jù)存儲(chǔ)階段，對(duì)于關(guān)鍵的業(yè)務(wù)系統(tǒng)如教務(wù)、一卡通等應(yīng)用系統(tǒng)，若遭遇機(jī)房火災(zāi)、斷電、網(wǎng)絡(luò)入侵、勒索病毒攻擊等可能導(dǎo)致數(shù)據(jù)丟失和業(yè)務(wù)中斷的危險(xiǎn)事件的發(fā)生;在數(shù)據(jù)分析階段，如在利用大數(shù)據(jù)技術(shù)進(jìn)行數(shù)據(jù)分析的時(shí)候，在制定個(gè)性化學(xué)習(xí)方案時(shí)，就需要獲取大量學(xué)生的敏感信息，存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

● 信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施

攻防演習(xí)工作結(jié)束以后，針對(duì)暴露的網(wǎng)絡(luò)安全問題進(jìn)行分析，筆者在管理體系和技術(shù)兩個(gè)方面提出了以下網(wǎng)絡(luò)安全防護(hù)措施。

1.管理體系措施

在管理制度方面，依據(jù)《教育信息化“十三五”規(guī)劃》和《教育信息化2.0行動(dòng)計(jì)劃》的指示，應(yīng)該建立統(tǒng)一的安全部署策略，明確運(yùn)維人員和第三方運(yùn)維方遵守網(wǎng)絡(luò)設(shè)備、系統(tǒng)安全配置要點(diǎn)等要求，如杜絕弱口令、關(guān)閉不必要的服務(wù)和端口、開啟系統(tǒng)日志等;不斷完善信息系統(tǒng)名錄表登記制度，定期排查存在管理疏漏的信息系統(tǒng)，明確第三方托管系統(tǒng)的安全職責(zé)和權(quán)限劃分，及時(shí)處理停用、轉(zhuǎn)移等陳舊系統(tǒng)的安全問題;不斷完善安全運(yùn)維管理制度，對(duì)日常操作建立操作規(guī)程，根據(jù)工作需要為核心開發(fā)、運(yùn)維、安全人員配置專用安全電腦;建立信息系統(tǒng)安全自查制度，定期進(jìn)行系統(tǒng)滲透測(cè)試、代碼檢測(cè)、漏洞掃描等;形成規(guī)范的備份管理機(jī)制，內(nèi)容包括備份方式、備份頻度、備份保存期等。

在安全人才培養(yǎng)面，加強(qiáng)安全隊(duì)伍建設(shè)與資金投入，強(qiáng)化相關(guān)人員關(guān)于安全技術(shù)、安全管理的培訓(xùn)力度，完善網(wǎng)絡(luò)安全人才培養(yǎng)體系，增進(jìn)與企業(yè)的安全技術(shù)交流，協(xié)同創(chuàng)新。

在安全培訓(xùn)方面，定期對(duì)在崗人員進(jìn)行系統(tǒng)化的安全知識(shí)培訓(xùn)，并通過應(yīng)急演練進(jìn)行安全知識(shí)考核，提升全員的安全防護(hù)意識(shí)。

2.技術(shù)安全措施

在網(wǎng)絡(luò)安全技術(shù)體系方面，基礎(chǔ)網(wǎng)絡(luò)環(huán)境的安全保障是信息系統(tǒng)運(yùn)行的重要前提。在基礎(chǔ)網(wǎng)絡(luò)建設(shè)過程中，需要根據(jù)信息的業(yè)務(wù)功能、特點(diǎn)及各業(yè)務(wù)系統(tǒng)的安全需求進(jìn)行區(qū)域劃分，并根據(jù)業(yè)務(wù)節(jié)點(diǎn)重要程度，通過主、備形式部署流量控制器，對(duì)上網(wǎng)流量進(jìn)行有效的控制，以保證帶寬的使用要求。在網(wǎng)絡(luò)設(shè)備上啟用雙鏈路，并加入互聯(lián)網(wǎng)防火墻、WAF、防DDOS設(shè)備等以加固基礎(chǔ)網(wǎng)絡(luò)。筆者建議網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)如右圖所示。

網(wǎng)絡(luò)安全架構(gòu)劃分為互聯(lián)網(wǎng)接入?yún)^(qū)、核心交換區(qū)、數(shù)據(jù)備份區(qū)、安全管理區(qū)、服務(wù)器區(qū)（數(shù)據(jù)庫(kù)區(qū)、虛擬化區(qū)）、云服務(wù)器區(qū)6個(gè)區(qū)域?；ヂ?lián)網(wǎng)接入?yún)^(qū)通過移動(dòng)網(wǎng)和教育網(wǎng)兩條鏈路外聯(lián)，經(jīng)過路由設(shè)備、安全設(shè)備連接到互聯(lián)網(wǎng)防火墻，然后接入到核心交換機(jī)，核心交換區(qū)部署智能流量管理系統(tǒng)和應(yīng)用層防火墻，服務(wù)器區(qū)、數(shù)據(jù)備份區(qū)、安全管理區(qū)、云服務(wù)區(qū)接入到核心交換區(qū)的核心交換機(jī)上，虛擬化區(qū)和數(shù)據(jù)庫(kù)區(qū)部署在服務(wù)器區(qū)，經(jīng)過匯聚交換機(jī)和WAF防火墻連接到核心交換區(qū)的防火墻上。

在服務(wù)器安全方面，服務(wù)器承載著企業(yè)的關(guān)鍵業(yè)務(wù)應(yīng)用，需重點(diǎn)關(guān)注、重點(diǎn)防護(hù)。首先對(duì)服務(wù)器定期檢查，及時(shí)更換使用年限到期的服務(wù)器;對(duì)服務(wù)器進(jìn)行深入的威脅排查以及安全加固工作，包括病毒、后門、Webshell的掃描刪除、補(bǔ)丁更新、基線檢查與配置等內(nèi)容;對(duì)服務(wù)器的基本信息進(jìn)行全面的收集和管理，如端口、服務(wù)、應(yīng)用、賬戶等，在這些信息的基礎(chǔ)上，還需與主機(jī)安全加固產(chǎn)品結(jié)合，基于微隔離技術(shù)、HIPS技術(shù)、Webshell攔截技術(shù)等，對(duì)核心服務(wù)器做好精細(xì)化防護(hù)。最后，將上述內(nèi)容統(tǒng)一做好詳細(xì)記錄，集中、安全存儲(chǔ)與管理，供分析和溯源使用。

在應(yīng)用安全方面，應(yīng)加強(qiáng)對(duì)信息系統(tǒng)的需求、設(shè)計(jì)、編碼、測(cè)試以及運(yùn)行、廢棄等生命周期的每一個(gè)階段的安全防護(hù)。在系統(tǒng)需求分析階段就開始考慮軟件的安全需求，制訂開發(fā)安全編碼規(guī)范，引入開發(fā)安全框架，對(duì)SQL注入、CSS攻擊、跨站腳本攻擊、掛馬、緩沖區(qū)溢出等常見的安全漏洞進(jìn)行預(yù)防和監(jiān)測(cè);在系統(tǒng)驗(yàn)收階段，委托第三方評(píng)測(cè)機(jī)構(gòu)對(duì)系統(tǒng)源代碼進(jìn)行審計(jì)，并留存審計(jì)報(bào)告;在系統(tǒng)運(yùn)行階段，部署網(wǎng)頁(yè)防篡改產(chǎn)品，監(jiān)控系統(tǒng)受攻擊情況，然后及時(shí)調(diào)整阻斷策略，防止網(wǎng)頁(yè)被篡改;在系統(tǒng)運(yùn)維階段，對(duì)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行監(jiān)測(cè)和報(bào)警，并保存記錄，同時(shí)定期對(duì)系統(tǒng)進(jìn)行滲透性測(cè)試和漏洞整改。

在數(shù)據(jù)安全方面，根據(jù)業(yè)務(wù)功能需求劃分用戶的角色，不同角色訪問不同的功能模塊，提供安全審計(jì)功能，對(duì)系統(tǒng)后臺(tái)操作、用戶登錄登出、失敗登錄、系統(tǒng)訪問日志等行為進(jìn)行記錄;對(duì)重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)，采用經(jīng)國(guó)家密碼主管部門認(rèn)可的密碼技術(shù)，防止重要數(shù)據(jù)在存儲(chǔ)過程中泄露;利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地，實(shí)現(xiàn)異地?cái)?shù)據(jù)異地備份，保證業(yè)務(wù)的連續(xù)性;用戶鑒別信息在認(rèn)證結(jié)束后自動(dòng)清除，只允許系統(tǒng)采集必要的個(gè)人信息。

● 結(jié)束語

在后疫情時(shí)代，教育信息化程度越高，面臨的安全風(fēng)險(xiǎn)就越高，網(wǎng)絡(luò)安全的保障工作就至關(guān)重要。為了保障教育系統(tǒng)的安全通暢運(yùn)行，需要不斷完善安全管理體系，增強(qiáng)安全技術(shù)防護(hù)能力，加大網(wǎng)絡(luò)安全人才培養(yǎng)力度，關(guān)注網(wǎng)絡(luò)攻擊態(tài)勢(shì)，為教育信息化的高速發(fā)展提供強(qiáng)有力的安全支撐。

參考文獻(xiàn)：

[1]陳麗，李波，郭玉娟.等.“互聯(lián)網(wǎng)+”時(shí)代我國(guó)基礎(chǔ)教育信息化的新趨勢(shì)和新方向[J].電化教育研究，2017，038（05）：5-12.

[2]吳云坤.網(wǎng)絡(luò)安全演習(xí)探索與實(shí)踐[J].中國(guó)信息安全，2019（01）：39-42.

[3]劉陽.網(wǎng)絡(luò)安全攻防演練的部署與方案設(shè)計(jì)[J].信息安全與技術(shù)，2017（10）：88-90.

[4]潘潤(rùn)凱.教育系統(tǒng)網(wǎng)絡(luò)安全政策解讀[R].教育系統(tǒng)網(wǎng)絡(luò)安全專題研討班培訓(xùn)材料，2018.

[5]武騰，宋好好.教育行業(yè)信息系統(tǒng)等級(jí)保護(hù)研究[J].網(wǎng)絡(luò)空間安全，2017，8（12）：8-12.