李賡曦　姚健　牛晨

【 摘 要 】 北京市昌平區(qū)教師進(jìn)修學(xué)校承擔(dān)昌平區(qū)普教系統(tǒng)及教研、中小學(xué)干部教師培訓(xùn)、現(xiàn)代教育信息技術(shù)開發(fā)和傳播工作，其網(wǎng)絡(luò)和信息系統(tǒng)的安全穩(wěn)定運行對師生的意義重大。文章基于等級保護(hù)制度要求，闡述了北京市昌平區(qū)教師進(jìn)修學(xué)校在網(wǎng)絡(luò)安全建設(shè)中的實踐經(jīng)驗。

【 關(guān)鍵詞 】 信息安全；等級保護(hù)；學(xué)校

【 Abstract 】 Beijing Changping Teachers Training School bear the Changping District general education research and scientific research， primary and secondary school teachers training， modern education information technology development and dissemination。The safe and stable operation of the network and information system significance of the teachers and students of major. Based on the classified protection， this paper expounds the practical experience of the construction of network security in our school.

【 Keywords 】 information security； classified protection； school

1 引言

2012年6月，國務(wù)院發(fā)布《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)〔2012〕23號），強調(diào)推進(jìn)信息化發(fā)展和保障信息安全對調(diào)整經(jīng)濟結(jié)構(gòu)、轉(zhuǎn)變發(fā)展、保障和改善民生、維護(hù)國家安全具有重要意義，明確指出健全安全防護(hù)和管理，保障重點領(lǐng)域信息安全以及加快能力建設(shè)，提升網(wǎng)絡(luò)與信息安全保障水平為后期的工作重點。同時，為進(jìn)一步加強教育行業(yè)信息安全工作，教育部辦公廳2014年印發(fā)了《教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南（試行）》的通知（教技廳函〔2014〕74號），用于指導(dǎo)和規(guī)范教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作。

黨中央、國務(wù)院、教育部以及北京市有關(guān)信息化、信息安全的指示和要求十分具體且符合實際，對做好北京市昌平區(qū)教師進(jìn)修學(xué)校信息化建設(shè)、切實保障信息安全有很強的指導(dǎo)意義。北京市昌平區(qū)教師進(jìn)修學(xué)校近幾年對教育信息化的投入比重逐步加大，經(jīng)過多年來的發(fā)展，已經(jīng)在基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)、資源應(yīng)用等方面取得了一定成績，學(xué)校網(wǎng)絡(luò)和信息中心已經(jīng)成為全區(qū)教育城域網(wǎng)絡(luò)的匯聚中心，全區(qū)優(yōu)質(zhì)教學(xué)資源的匯聚和共享中心，全區(qū)音視頻資源的存儲中心，全區(qū)信息網(wǎng)絡(luò)安全控制中心，全區(qū)應(yīng)用系統(tǒng)平臺管理中心等。為了貫徹落實國家信息安全等級保護(hù)制度，規(guī)范和落實全國教育行業(yè)信息安全等級保護(hù)工作，學(xué)校在校園網(wǎng)絡(luò)安全建設(shè)方面按照等級保護(hù)的相關(guān)要求，完善了安全保障體系，提高了對信息系統(tǒng)安全防御能力。

2 信息化發(fā)展和安全防護(hù)的關(guān)系

在中央網(wǎng)信辦第一次會議中，黨中央領(lǐng)導(dǎo)提出了“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實施。做好網(wǎng)絡(luò)安全和信息化工作，要處理好安全和發(fā)展的關(guān)系，做到協(xié)調(diào)一致、齊頭并進(jìn)，以安全保發(fā)展、以發(fā)展促安全，努力建久安之勢、成長治之業(yè)?！?/p>

隨著學(xué)校多年來信息化程度的不斷提高，現(xiàn)代化教育業(yè)務(wù)發(fā)展對信息系統(tǒng)的依賴程度也不斷增加，網(wǎng)上信息的價值也逐漸增大，隨之而來的信息安全問題也日漸凸顯。昌平進(jìn)修學(xué)校網(wǎng)絡(luò)和信息中心匯集了全區(qū)教師、學(xué)生的檔案資料、考試信息、優(yōu)秀教學(xué)資料等敏感和重要信息，對系統(tǒng)的安全性要求較高，一旦系統(tǒng)遭受攻擊，或發(fā)生大規(guī)模病毒爆發(fā)、設(shè)備損壞等安全事件，就有可能導(dǎo)致系統(tǒng)無法提供正常服務(wù)、數(shù)據(jù)信息損壞甚至業(yè)務(wù)敏感信息遭泄漏，將嚴(yán)重侵害單位和教師、學(xué)生等個人利益，同時也對昌平區(qū)教委的聲譽帶來極大的負(fù)面影響。因此，通過校園網(wǎng)絡(luò)安全建設(shè)，可以降低學(xué)校信息系統(tǒng)安全風(fēng)險，提升信息系統(tǒng)安全服務(wù)水平和加強安全管理能力，發(fā)揮行業(yè)信息化帶動作用，構(gòu)建安全、可信的信息系統(tǒng)運營環(huán)境，提升信息系統(tǒng)安全綜合防護(hù)能力和風(fēng)險處置能力。

3 校園網(wǎng)絡(luò)安全建設(shè)實踐

為了建立安全、穩(wěn)定、規(guī)范的網(wǎng)絡(luò)安全保障體系，學(xué)校通過邀請專業(yè)的第三方安全公司，協(xié)助完善網(wǎng)絡(luò)區(qū)域邊界防護(hù)、入侵防御、安全審計等措施，實現(xiàn)學(xué)校信息系統(tǒng)數(shù)據(jù)的安全性保護(hù)，滿足業(yè)務(wù)發(fā)展需要的同時，滿足為學(xué)校信息系統(tǒng)通過信息系統(tǒng)安全等級保護(hù)測評的網(wǎng)絡(luò)安全要求。

3.1 摸清差距，明確網(wǎng)絡(luò)安全改進(jìn)目標(biāo)

根據(jù)教育部要求，北京市昌平區(qū)教師進(jìn)修學(xué)校信息系統(tǒng)應(yīng)按照國家信息安全等級保護(hù)工作規(guī)范和《信息系統(tǒng)安全等級保護(hù)基本要求》等國家標(biāo)準(zhǔn)進(jìn)行建設(shè)，通過對照檢查，分析判斷目前網(wǎng)絡(luò)安全保護(hù)措施與等級保護(hù)標(biāo)準(zhǔn)二級要求之間的差距，為后續(xù)保護(hù)體系設(shè)計工作提供依據(jù)。

3.1.1技術(shù)差距檢測

通過采用安全掃描、手動檢查、問卷調(diào)查、人工問詢等方式，對網(wǎng)絡(luò)與安全設(shè)備、網(wǎng)絡(luò)架構(gòu)進(jìn)行網(wǎng)絡(luò)安全符合性檢查，主要包含結(jié)構(gòu)安全與網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等方面。發(fā)現(xiàn)學(xué)校網(wǎng)絡(luò)邊界缺少必要的安全防護(hù)和檢測設(shè)備，安全域的劃分不夠精細(xì)，網(wǎng)絡(luò)設(shè)備的安全配置方面也存在不足。

3.1.2管理差距檢測

通過訪談和檢查的形式評估安全管理制度的制定、發(fā)布、評審和修訂等情況，安全管理機構(gòu)的組成和工作組織情況，并對人員安全控制、系統(tǒng)建設(shè)管理過程和系統(tǒng)運維中的安全控制情況進(jìn)行分析。發(fā)現(xiàn)學(xué)校安全管理體系文件不完善，包括未制定設(shè)備管理規(guī)范、授權(quán)和審批管理規(guī)范和防病毒管理規(guī)范等制度，對網(wǎng)絡(luò)建設(shè)和運維的全過程安全控制措施也存在不足的情況。

3.2 完善安全管理制度，落實安全工作保障機制

以等級保護(hù)差距分析結(jié)果為依據(jù)，按照等級保護(hù)標(biāo)準(zhǔn)要求，制定安全管理框架，明確管理方針、策略，以及相應(yīng)的規(guī)定、操作規(guī)程、業(yè)務(wù)流程和記錄表單，建立信息安全管理體系。

3.2.1構(gòu)建具有本校特色的信息安全管理框架

結(jié)合學(xué)校實際情況，建立信息安全工作總體方針、安全策略，以方針策略為依據(jù)建立配套的安全管理制度及流程規(guī)范，涵蓋日常運維管理、安全管理、系統(tǒng)開發(fā)建設(shè)等方面的內(nèi)容，由專門的組織機構(gòu)負(fù)責(zé)管理制度的制訂、發(fā)布和貫徹落實。定期對制度進(jìn)行評審和修訂，確保安全管理制度的適用性。

3.2.2構(gòu)架信息系統(tǒng)全生命周期的安全管理體系

為了實現(xiàn)信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個生命周期，分別從工程實施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付運行等三方面考慮，具體包括系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務(wù)商選擇等方面，并做到日常運行期間的安全監(jiān)測、漏洞發(fā)現(xiàn)和安全加固等，實現(xiàn)信息系統(tǒng)安全持續(xù)優(yōu)化。

3.2.3完成應(yīng)急保障措施

通過制定綜合應(yīng)急預(yù)案和各類專項應(yīng)急預(yù)案，定期組織應(yīng)急演練，明確信息安全事件的處置原則，熟練掌握并持續(xù)優(yōu)化處置流程，不斷增強對于信息安全事件處理的水平。

3.3 開展技術(shù)整改，提高應(yīng)對風(fēng)險的水平

技術(shù)的持續(xù)發(fā)展對信息安全帶來了新的挑戰(zhàn)，學(xué)校網(wǎng)絡(luò)建設(shè)前期重點關(guān)注互聯(lián)互通和基礎(chǔ)網(wǎng)絡(luò)建設(shè)，在安全防護(hù)方面存在比較大的短板，通過此次網(wǎng)絡(luò)安全建設(shè)實踐，落實控制技術(shù)，降低了安全風(fēng)險。

3.3.1提高網(wǎng)絡(luò)防護(hù)和檢測能力

在互聯(lián)網(wǎng)邊界了萬兆防火墻，實現(xiàn)了內(nèi)外網(wǎng)的隔離，保障內(nèi)網(wǎng)的相對安全。在城域網(wǎng)核心交換機部署入侵檢測和網(wǎng)絡(luò)審計設(shè)備，實現(xiàn)了外網(wǎng)入侵行為的發(fā)現(xiàn)和對內(nèi)部網(wǎng)絡(luò)各種操作的記錄，保障了對網(wǎng)絡(luò)入侵行為的監(jiān)測，做到早發(fā)現(xiàn)，早處置。在網(wǎng)站應(yīng)用前部署一臺Web防火墻，實現(xiàn)了針對HTTP協(xié)議攻擊的深層次防御，提高了網(wǎng)站系統(tǒng)的安全防護(hù)能力。

3.3.2實現(xiàn)運維實名審計

通過劃分安全管理域，部署一臺堡壘主機和一臺數(shù)字簽名驗證系統(tǒng)，可以實現(xiàn)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的實名登錄，同時詳細(xì)記錄實名用戶登錄設(shè)備的詳細(xì)操作，提高了事中監(jiān)控和事后追查審計的能力。

3.4 開展備案和測評工作，落實等級保護(hù)工作

在完成管理和技術(shù)整改后，為信息系統(tǒng)技術(shù)防范、安全管理、運維保障提供了必要的基礎(chǔ)條件，我校也對自身信息系統(tǒng)情況進(jìn)行了詳細(xì)梳理，逐步落實等級保護(hù)相關(guān)工作要求。

3.4.1落實信息系統(tǒng)定級備案工作

通過對未定級的信息系統(tǒng)進(jìn)行調(diào)研，按照《教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南（試行）》的要求，了解信息系統(tǒng)的服務(wù)對象、服務(wù)范圍、基本的功能用途，依賴的軟硬件資產(chǎn)等，確定信息系統(tǒng)業(yè)務(wù)信息的安全級別和系統(tǒng)服務(wù)級別，進(jìn)而確定信息系統(tǒng)的安全級別，編寫《信息安全等級保護(hù)定級報告》和《信息安全等級保護(hù)備案表》，并向公安機關(guān)進(jìn)行備案。

3.4.2邀請測評機構(gòu)，開展信息安全等級測評

通過邀請具備相應(yīng)信息安全等級保護(hù)測評資質(zhì)的機構(gòu)對學(xué)校信息系統(tǒng)開展等級測評，并產(chǎn)生測評結(jié)果報告，來確認(rèn)檢測對象確認(rèn)是否符合相應(yīng)等級要求。經(jīng)測評，定級的信息系統(tǒng)達(dá)到安全保護(hù)等級要求，并滿足系統(tǒng)自身安全保護(hù)需求，最終通過等級測評，使信息系統(tǒng)滿足國家等級保護(hù)基本要求。

4 結(jié)束語

實踐證明，信息安全保障體系建設(shè)是一項涵蓋體制、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品、服務(wù)等諸要素的復(fù)雜的系統(tǒng)工程，是一個長期性的專業(yè)的細(xì)致的任務(wù)，它需要以信息技術(shù)為基礎(chǔ)，以信息安全專業(yè)技術(shù)和技能為支撐，持續(xù)投入大量的人力和物力。今后，學(xué)校在信息系統(tǒng)建設(shè)和運行過程中，將逐步實現(xiàn)區(qū)域防護(hù)和縱深防御，持續(xù)提升安全管理能力，并通過第三方專業(yè)安全服務(wù)機構(gòu)來落實日常安全運維和應(yīng)急保障工作，持續(xù)提升學(xué)校信息系統(tǒng)的安全防護(hù)能力，構(gòu)建更加完備的信息安全保障體系。

參考文獻(xiàn)

[1] 《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)〔2012〕23號）.

[2] 《關(guān)于印發(fā)北京市開展信息安全等級保護(hù)安全整改工作實施方案的通知》（京公網(wǎng)安字[2010]1179號）.

[3] 教育部辦公廳.關(guān)于印發(fā)《教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南（試行）》的通知 （教技廳函〔2014〕74號）.

[4] 《信息安全技術(shù)-信息系統(tǒng)安全等級保護(hù)實施指南》（GB/T 25058-2010）.

[5] 陳華智，張聞，張華磊.網(wǎng)絡(luò)安全等級保護(hù)實施方案的設(shè)計及應(yīng)用實踐[J].浙江電力，2011年第3期.

[6] 梁藝軍.中國人民大學(xué)：信息安全等級保護(hù)下的校園網(wǎng)絡(luò)安全建設(shè)[J].中國網(wǎng)絡(luò)教育，2015年第1期.

作者簡介：

李賡曦（1980-），男，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：計算機網(wǎng)絡(luò)應(yīng)用、項目管理。

姚?。?980-），男，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：計算計網(wǎng)絡(luò)應(yīng)用。

牛晨（1990-），男，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：計算機網(wǎng)絡(luò)應(yīng)用。