武騰+宋好好

摘 要：隨著教育行業(yè)信息化建設的高速發(fā)展，信息安全問題屢見不鮮。教育行業(yè)信息系統(tǒng)一直是等級保護工作的重點測評對象。論文通過對上海市多所學校的信息系統(tǒng)進行等級保護測評工作中發(fā)現(xiàn)的問題進行風險分析，并結(jié)合網(wǎng)絡安全法的相關要求，提出如何推進相關工作的建議。

關鍵詞：教育行業(yè)；信息系統(tǒng)；等級保護；網(wǎng)絡安全法

中圖分類號： TP393 文獻標識碼：A

Research on the Classified Protection of Information System in Education Industry

Wu Teng， Song Hao-hao

（The Third Research Institute of Ministry of Public security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： With the rapid development of information technology in education industry， information security problems emerge in an endless stream. The information system of education industry has always been the focus object of grade protection. This article analyzed the problems found in the classified protection evaluation of the information system of many schools in Shanghai， combined with the relevant requirements of internet security act， and put forward proposals for advancing related work.

Key words： Education Industry； Information System； Classified Protection； Internet Security Act

1 引言

各高校、高職、中專、中小學等教育行業(yè)信息系統(tǒng)既包含用于校園資訊介紹、招生信息發(fā)布的門戶網(wǎng)站系統(tǒng)，還包括后臺管理系統(tǒng)、圖書館管理系統(tǒng)、學籍管理系統(tǒng)、網(wǎng)上辦公系統(tǒng)等與教研活動安排和信息管理的系統(tǒng)。近年來，發(fā)生的多次網(wǎng)絡攻擊事件表明，教育行業(yè)信息系統(tǒng)的安全依然是安全薄弱點，如何確保教育行業(yè)信息系統(tǒng)的安全成了迫切解決的問題。

自2009年開始，教育部辦公廳多次發(fā)文，要求全國教育行業(yè)按照國家信息安全等級保護制度的要求，做好教育系統(tǒng)網(wǎng)絡信息安全保障工作。2017年5月5日，教育部科技司印發(fā)《關于加快推進信息系統(tǒng)網(wǎng)絡安全等級保護定級備案工作的通知》，再次將教育行業(yè)等級保護工作提上日程。目前，教育行業(yè)各單位積極按照國家等級保護有關管理規(guī)范和技術標準實施信息系統(tǒng)安全建設整改和等級測評，信息系統(tǒng)的安全防護能力得到了一定提升，但在測評過程中發(fā)現(xiàn)了一些普遍存在的安全問題。2017年6月1日，《中華人民共和國網(wǎng)絡安全法》的正式實施，對信息系統(tǒng)等級保護測評工作提出了新的要求。本文將對上海市多所高校、高職、中專、中小學的信息系統(tǒng)進行等級保護測評工作中發(fā)現(xiàn)的問題進行分析，并結(jié)合網(wǎng)絡安全法的相關要求，提出相應的對策。

自2017年6月1日起施行的《中華人民共和國網(wǎng)絡安全法》（以下簡稱：網(wǎng)絡安全法）中，第三章網(wǎng)絡運行安全第二十二條、第四章網(wǎng)絡信息安全第四十一條、第四十二條、第四十四條、第四十五條等對個人信息保護的基本原則和要求進行了闡述，并規(guī)定了相應法律責任。這些表明了國家致力于加強對個人信息保護的堅決態(tài)度。從而保障網(wǎng)絡信息依法有序的自由流通，保護公民的個人信息安全，以防止公民的個人信息被泄露、被竊取和被非法使用。在教育行業(yè)信息系統(tǒng)中，后臺管理系統(tǒng)、圖書館管理系統(tǒng)、學籍管理系統(tǒng)、網(wǎng)上辦公系統(tǒng)等系統(tǒng)，存在網(wǎng)絡信息尤其是老師與學生的個人信息的流通，如何保證老師與學生的個人信息會在交互過程中不會被篡改、被截取、被破壞，是對教育行業(yè)信息系統(tǒng)在技術體系的挑戰(zhàn)。

網(wǎng)絡安全法對監(jiān)測預警與應急處置措施專門列出一章作出規(guī)定，指出將建立網(wǎng)絡安全監(jiān)測預警和信息通報制度，建立網(wǎng)絡安全風險評估和應急工作機制，制定網(wǎng)絡安全事件應急預案并定期演練。明確了發(fā)生網(wǎng)絡安全事件時，需要采取的措施。在信息安全等級保護工作中，信息系統(tǒng)安全等級保護基本要求管理要求部分指出應制定應急預案，并要求定期對系統(tǒng)相關的人員進行應急預案培訓和演練，一旦發(fā)生安全事件，系統(tǒng)相關人員可以掌握適當?shù)膽贝胧箵p失降到最低。教育行業(yè)信息系統(tǒng)的服務范圍甚廣，當業(yè)務信息受到破壞時，不但會對學校的外在形象造成損害，同時虛假信息可能會造成學生、教師的利益受損，嚴重時可能危及訪問該平臺上所運行網(wǎng)站的公眾利益，所以應急預案的培訓和演練至關重要。

2 系統(tǒng)風險分析

信息系統(tǒng)的安全一方面要依賴于完善的管理制度體系[1]，覆蓋安全管理制度、機構(gòu)、人員安全、系統(tǒng)建設和運維管理五個方面，要做到“有法可依、有章可循”，并且在相應的管理制度規(guī)定下充分執(zhí)行。另一方面離不開以基礎網(wǎng)絡建設、服務器安全、應用系統(tǒng)安全和數(shù)據(jù)安全為核心組成部分的技術安全體系[2-4]。

截止2017年第二季度，對上海市多所學校的信息系統(tǒng)進行等保三級和等保二級測評，以及依據(jù)滬公通字[2015]65號《上海市黨政機關、事業(yè)單位和國有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項整治行動方案》對上海市教育行業(yè)進行互聯(lián)網(wǎng)網(wǎng)站安全專項一級檢查，其中包括普通中學門戶網(wǎng)站系統(tǒng)、小學門戶網(wǎng)站系統(tǒng)等，按照等保一級的要求進行測評。從以上網(wǎng)站系統(tǒng)的測評結(jié)果看來，存在的系統(tǒng)分析問題涉及到幾方面。endprint

2.1 管理體系缺失

在管理制度體系方面，大部分學校在管理制度制定與執(zhí)行、系統(tǒng)測試驗收、安全技能培訓和考核、應急預案培訓與演練等方面等存在一定缺失。

安全保護等級第一級和部分安全保護等級第二級的學校，其信息系統(tǒng)以第三方完全托管形式進行管理，由學校信息學科老師兼職負責與第三方托管單位進行業(yè)務對接，向第三方租用網(wǎng)絡和服務器空間或是購買網(wǎng)站安全服務的方式進行部署，日常管理維護都是由第三方進行負責。大部分安全保護等級第二級的學校，其信息系統(tǒng)以半托管形式進行管理，由本校信息科的老師兼職和第三方運維單位共同負責。由于學校的信息科老師是兼職負責，所有信息系統(tǒng)的網(wǎng)絡、軟件硬件、線路的維護以第三方運維單位為主要負責方。安全保護等級第三級的學校，其信息系統(tǒng)大多采用自管的方式進行管理，學校配備專職人員對信息系統(tǒng)進行維護管理，并選定符合國家有關規(guī)定的安全服務進行安全運維服務。部分學校在托管方和外包方的管理方面不夠投入，通常僅采取與托管方簽訂相關服務協(xié)議的形式來進行控制，并沒有相關管理制度對托管方進行約束。

在系統(tǒng)測試驗收方面，未對系統(tǒng)進行安全性測試驗收，源代碼審查、惡意代碼檢測，無法及時發(fā)現(xiàn)系統(tǒng)安全方面存在的問題，無法及時采取補救措施。

在安全技能培訓和考核方面，未定期對各崗位的人員進行安全技能及安全認知的考核，可能導致人員安全技能及安全認知不足，不符合崗位要求。

在應急預案培訓與演練方面，未對系統(tǒng)相關的人員進行應急預案培訓和演練，一旦發(fā)生安全事件，可能存在系統(tǒng)相關人員尚未了解及掌握適當?shù)膽贝胧瑩p失補救時間。

2.2 技術安全風險

在技術安全體系方面，在基礎網(wǎng)絡建設中大部分學校采用硬件防火墻設備配合防病毒軟件的方式對服務器系統(tǒng)和應用系統(tǒng)進行防護，缺少漏洞掃描、入侵檢測和數(shù)據(jù)備份等設備。

在服務器安全方面，系統(tǒng)默認賬戶未重命名，攻擊者可以省略猜測用戶名步驟，直接破解密碼；未設置升級服務器為服務器系統(tǒng)補丁進行統(tǒng)一升級，驗證測試發(fā)現(xiàn)部分主機存在安全漏洞，漏洞不能及時得到修復而被攻擊者利用。

在應用系統(tǒng)安全方面，應用系統(tǒng)未采用校驗碼技術保證通信過程中數(shù)據(jù)的完整性，若網(wǎng)絡傳輸數(shù)據(jù)被破壞，造成重要數(shù)據(jù)丟失或者損壞，從而給應用系統(tǒng)帶來安全隱患；缺少軟件容錯機制，可能引起網(wǎng)站被篡改或服務器被攻破的高風險漏洞。

在數(shù)據(jù)安全方面，未提供鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中的完整性檢測功能，若網(wǎng)絡傳輸數(shù)據(jù)遭到破壞，可能造成重要數(shù)據(jù)丟失或者損壞，給應用系統(tǒng)帶來安全隱患；關鍵節(jié)點網(wǎng)絡設備未采用雙冗余設計，存在單點故障，一旦網(wǎng)絡設備損壞，可能導致系統(tǒng)服務中斷甚至無法恢復。

3 安全防護措施建議

3.1完善管理體系

在管理制度體系方面，采用第三方托管的學校要在托管方和外包方的管理方面加大力度，制定與托管方和外包方相關的管理制度，內(nèi)容涵蓋托管方和外包方的權(quán)限劃分，系統(tǒng)的內(nèi)容管理，用戶權(quán)限、賬號和密碼，應用系統(tǒng)管理和維護，系統(tǒng)變更等方面。管理制度制定后的執(zhí)行是安全防護的關鍵點，制度落實后的相關執(zhí)行記錄要注意保存，以便追溯責任。

在系統(tǒng)測試驗收方面，建議對系統(tǒng)軟件進行源代碼審查、惡意代碼檢測，并組織進行安全性測試驗收；在安全技能培訓和考核方面，建議定期對各個崗位的人員進行安全技能及安全認知的考核，明確考核周期，并保留每一次培訓、考核的記錄。

在應急預案培訓與演練方面，建議對系統(tǒng)相關人員進行應急預案培訓，應急預案培訓應至少每年舉辦一次，定期對應急預案進行演練，根據(jù)不同的應急恢復內(nèi)容，確定演練周期。

3.2 加強技術安全體系

在技術安全體系方面，信息系統(tǒng)安全運行的前提條件是穩(wěn)定的基礎網(wǎng)絡環(huán)境。信息系統(tǒng)的應用中信息訪問所占的比例很大，無限制的用戶訪問量給網(wǎng)絡帶來巨大壓力。因此在基礎網(wǎng)絡建設的第一步，就是根據(jù)網(wǎng)絡組成部分的職能進行區(qū)域劃分，并根據(jù)各節(jié)點業(yè)務的重要程度，對其帶寬進行分配并設置訪問控制策略。在網(wǎng)絡設備啟用雙鏈路，進行負載均衡配置，并加入互聯(lián)網(wǎng)防火墻、WAF、入侵檢測等設備以加固基礎網(wǎng)絡。本著這些原則建議采用安全保護架構(gòu)進行網(wǎng)絡建設，網(wǎng)絡拓撲圖如圖1所示。

安全保護架構(gòu)網(wǎng)絡劃分為可信交換區(qū)、DMZ和運維區(qū)三個區(qū)域。核心交換區(qū)通過電信網(wǎng)和教育網(wǎng)兩條鏈路外聯(lián)，經(jīng)過負載均衡設備連接到互聯(lián)網(wǎng)防火墻，然后接入到核心交換機，核心交互區(qū)部署入侵檢測系統(tǒng)，運維區(qū)接入到核心交換區(qū)的核心交換機上，應用服務器和數(shù)據(jù)庫服務器部署在DMZ區(qū)，經(jīng)過匯聚交換機和WAF連接到核心交換區(qū)的互聯(lián)網(wǎng)防火墻上。

在服務器安全方面，根據(jù)等級保護主機安全的要求，對服務器主機操作系統(tǒng)、數(shù)據(jù)庫、運維終端等的系統(tǒng)默認賬號進行重命名，并且設置密碼策略和超時退出策略；對服務器主機操作系統(tǒng)和數(shù)據(jù)庫開啟安全審計策略，設置升級服務器為服務器系統(tǒng)補丁進行統(tǒng)一升級，及時修補系統(tǒng)存在的安全漏洞。

在應用系統(tǒng)安全方面，除對應用系統(tǒng)設計過程中進行注意，采用校驗碼技術保證通信過程中數(shù)據(jù)的完整性，從而降低網(wǎng)絡通信過程中的數(shù)據(jù)丟失或損壞的概率；通過在網(wǎng)絡中部署Web應用防火墻，以防止來自網(wǎng)絡中的SQL注入、跨站腳本、遠程代碼執(zhí)行等應用層攻擊，部署網(wǎng)頁防篡改系統(tǒng)以防信息系統(tǒng)受到非授權(quán)的修改、增加或刪除。缺少軟件容錯機制，可能引起網(wǎng)站被篡改或服務器被攻破的高風險漏洞。同時，定期對網(wǎng)站做滲透性測試，以及時發(fā)現(xiàn)其潛在的安全漏洞并進行整改。

在數(shù)據(jù)安全方面，依據(jù)等級保護的要求，對關鍵節(jié)點的網(wǎng)絡設備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余采用雙冗余設計，提高系統(tǒng)的可用性和服務的持續(xù)性。定期對信息系統(tǒng)的數(shù)據(jù)、網(wǎng)絡設備的配置數(shù)據(jù)等進行備份，并且定期對數(shù)據(jù)的完整性以及備份的可用性做檢查。

4 結(jié)束語

目前，教育行業(yè)信息化建設正處于發(fā)展的關鍵時期，對于教育行業(yè)信息安全等級保護工作來說既是挑戰(zhàn)也是機會。教育行業(yè)信息系統(tǒng)作為教育行業(yè)信息化建設的“臉面”，更是重中之重，只有根據(jù)教育行業(yè)各種安全管理的要求，建立完整的適應性安全管理體系，實現(xiàn)管理制度體系和技術安全體系的整合，不斷解決在等保測評過程中發(fā)現(xiàn)的安全問題，才能增強迅猛發(fā)展的信息安全威脅的抵抗力。

項目基金：

上海市科學技術委員會2015年度“科技創(chuàng)新行動計劃”高新技術領域項目—移動智能終端安全關鍵技術研究及應用示范（項目編號：15511103000）。

參考文獻

[1] 公通字[2007]43號.信息安全等級保護管理辦法[S].

[2] GB/T 22239-2008.信息系統(tǒng)安全等級保護基本要求[S].

[3] GB/T 22081-2008.信息安全管理實用規(guī)則[S].

[4] GB/T 22080-2008.信息安全管理體系要求[S].endprint