基于网络安全滑动标尺的教育考试网络安全体系构建探析

刘 惠

（安徽省教育招生考试院网络信息中心，合肥 230011）

1 引言

信息技术快速渗透社会的各行各业，改变着社会运行模式，教育考试也不例外，考试业务系统从计算机登分到网上报名、网上评卷、网上录取再向人工智能辅助学习与评测不断延伸，基础架构也从传统架构向云计算演变。

在整个教育考试业态发生革命性变革，对信息系统的依赖度越来越高的同时，网络安全形势却不容乐观。根据国家互联网应急中心发布的《2017年我国互联网网络安全态势综述》显示，2017年我国约有2万个网站被篡改，较2016年增长20%，其中被篡改的政府网站较2016年增长32.3%；此外国家信息安全漏洞共享平台（CNDV）所收录的安全漏洞数量持续走高，2017年较2016年增长了47.4%；勒索恶意程序攻击事件数量大幅增长[1]。

随着《中华人民共和国网络安全法》的颁布，各级考试机构基本都以“业务安全+等保合规”为目标，不同程度建设了相应的安全防护体系，对信息系统起到了一定的防护作用。但在网络安全工作评价方面，普遍缺乏有效的评估机制，如何科学、全面的对网络安全防护体系进行客观的评价，促进教育考试信息化领域安全防护能力提升，值得深入研究。

2 教育考试信息化安全建设存在的问题

教育考试考生人数多，数据量大，社会影响面广，受关注程度高，因此各项考试业务系统安全性要求非常高，特别是高厉害性考试业务系统的安全稳定运行事关考试的公平公正和社会稳定。各级教育考试机构历来都很重视信息系统的安全工作，基本都已经完成了等保定级备案及测评工作，形成了相对全面的安全技术和管理体系。但在实际工作中，各级教育考试机构的安全建设重点大多是合规驱动的硬件盒子采购，除等保测评外，缺少其他更有效的安全能力评估手段。教育考试机构现阶段安全工作建设的困局，主要集中在以下几点：

2.1 重设备部署轻架构安全

目前，各级教育考试机构仍把安全设备部署作为安全防护体系建设的主要抓手，对信息系统自身的架构安全缺乏重视，传统的网络安全设备三大件仍是采购主要对象，处于“架构安全”建设阶段。

2.2 重硬件采购轻安全运维

各级教育考试机构花费大量的资金购买硬件设备，设备的部署调试需要专业的人才，而各级教育考试机构普遍缺乏专业的网络安全人员，导致了很多安全设备无法真正的发挥出应有的价值，在发生安全事件时也无法进行快速定位及应急响应。

2.3 重合规缺有效安全能力评估措施

等级保护政策在《网络安全法》正式颁布执行后已经成为网络安全工作的规定动作，教育考试机构常认为通过等保测评后，安全工作就可以高枕无忧和万事大吉了。殊不知网络安全是一个动态、对抗的过程、如果仅以通过等保测评满足合规要求来推动安全建设，就会出现“只见树木不见森林”狭隘安全观。同时，由于缺少对安全能力或安全建设成熟度的客观评价，会出现安全能力缺失，未来规划存在重复建设的风险。

针对上述问题，各级教育考试机构迫切需要引入新思路、新技术和新方案来对现有安全防护体系进行改造，应更好的应对新形势下的网络安全威胁。

3 网络安全滑动标尺模型

美国系统网络安全协会（SANS）的RobertM.Lee 于2015年提出了网络安全滑动标尺模型的概念，该模型将组织的信息安全能力分为五个阶段，分别是架构安全、被动防御、积极防御、威胁情报和进攻反制，其模型如图一所示：

图1 网络安全滑动标尺模型

该模型建立了一个分类框架，把网络安全相关的各类工作如行动措施，资源投入都纳入这个框架中整体考虑，并对各类工作进行了详细的描述，从模型可以看出，组织整体信息安全能力的提升是一个非割裂的连续过程，模型中用于属于各个类别的措施与属于相邻类别的措施之间是相互关联的，不是割裂的，本质上界线也没有那么清晰。标尺左侧的安全能力是右侧的安全能力的基础和依赖，从左至右，安全能力不断演进，整体防护能力实现叠加，协同联动成整体的安全能力。

了解互相关联的这几个网络安全阶段后，组织和个人可更好地理解资源投资的目标和影响，构建安全能力成熟度模型，按阶段划分网络攻击从而进行根本原因分析，助力防御方的发展。

该模型很好的解决了传统安全模型无法对安全能力根据建设阶段进行安全能力成熟度评价问题。每一阶段的安全能力都可以在模型上体现出来，随着安全能力从架构安全到进攻反制过程中的不断演进，安全能力成熟度也随之提升。解决“淘汰演进”过程中安全能力建设目标迷失，无法应对新形势下新的安全风险困扰，从更系统化的“叠加演进”视角考虑网络安全体系建设。

4 教育考试网络安全体系构建

当前，我国教育考试领域的网络安全建设整体水平偏低，等保合规仍是网络安全建设的重要抓手，多数教育考试机构的网络安全建设以等保为重点目标展开，技术手段还是以传统的边界隔离、特征库匹配检测为主，对比网络安全滑动标尺模型，安全能力多数处于第一阶段和第二阶段，距离第三阶段积极防御还存在着不少的差距。

基于教育考试业务应用系统的特点和教育考试领域的网络安全建设实际情况出发，结合网络安全滑动标尺模型，从架构安全、被动防御、积极防御、威胁情报和进攻反制五个阶段探析构建教育考试领域网络安全体系（见图2）。

图2 教育考试领域网络安全体系

4.1 第一阶段：架构安全；行动目标：科学规划、强身健体

架构安全是指用安全的思维规划、构建和维护系统。架构安全阶段的目的并非是防御攻击者，而是要满足正常运营环境和紧急运营环境的需求。网络安全滑动标尺模型把架构安全建设放在标尺的最左边，通过完成架构安全建设，能够基本解决基础层面的安全问题，在此之上再开展其他方面的网络安全建设。架构安全本身并非防御措施，但合理的架构会促进安全，此阶段工作也可以认为是信息系统自身进行强身健体，不依赖外部安全硬件设备来完成。[2]此阶段工作主要建设内容包括安全域划分、系统安全加固、补丁管理和应用内建安全等方面，上述内容在等保合规建设已经基本涉及，但由于教育考试应用系统普遍存在上线周期长，资源需求变化大，部署时间要求严格等特点，应用系统本身或多或少存在着安全隐患，因此教育招生考试机构需要重点考虑应用内建安全能力建设，包括应用代码问题、应用自身安全功能等方面。

应用内建安全能力由于需要应用开发厂商内置，因此应用内建安全很少被重视，常常被选择性忽略，而应用内建安全恰恰是“源头之水”。因此，针对架构安全中的应用内建安全问题，在软件上线前应对内建安全能力进行充分评估并对严重及高危问题进行修复。把安全能力内嵌到应用中，而不是建设完成之后外在修补，这样可以从本质上提高安全保障能力。

4.2 第二阶段：被动防御；行动目标：构筑工事、纵深防御

架构安全本身并非防御措施，无论架构有多完善，攻击者一旦找到机会便会绕过架构，发动攻击，因此在架构安全的上层，构建被动防御系统非常必要。被动防御即在架构中添加提供持续威胁防护和洞察，而无需持续人工干预的系统[3]，如在架构安全的基础上，部署防火墙、反恶意软件系统、入侵检测系统、防病毒系统等无需持续人工干预的传统安全系统，以减少威胁，提升安全能力，让系统具备基本的检测和防御能力，该阶段仅仅靠安全设备提供可持续的威胁防护及威胁漏洞察力。

教育考试机构的等保合规建设即包括架构安全和被动防御建设阶段。被动防御阶段的主要建设内容是构建纵深防御体系，通过部署防火墙、网闸、入侵检测、抗Dos 攻击等传统安全硬件设备组成，达到基础对抗、收缩攻击面、消耗攻击机资源、迟滞攻击的目的。上述内容在等保合规建设已经基本涉及，在此，仍需要重点强调如何收缩攻击面的问题。众所周知，系统安全有个最基本的最小特权原则，是指为网络中每个主体分配与所完成工作所必须的最小权限，分配最少的权限，可以有效降低信息系统暴露在网络中的安全风险，让攻击者的攻击面大大减少。关闭不必要的服务、断开不必要的网络线路、禁止停用的用户、关闭远程维护端口等都属于收缩攻击面的有效手段。

教育考试业务系统主要随着各项考试的时间节点开展，资源调度频繁，由于不同考试的考生人数不尽相同，不同的时间节点，不同的考试业务系统所需要的资源需求也不同。在各项考试业务系统频繁上下线的维护工作中，更应该按照最小特权原则对相关风险进行排查，以有效收缩攻击面，不给攻击者以可乘之机，让教育考试机构更专注的建立起具有针对性的纵深防御系统。

4.3 第三阶段：主动防御；行动目标：全面检测、快速响应

教育考试机构网络安全体系构建在完成了从“安全架构”、到“被动防御”建设后、将进入到“积极防御”阶段。第一阶段“安全架构”是网络的根基，其确保网络结构的坚固，第二阶段“被动防御”则是消耗攻击资源、提升攻击成本的有效途径，而第三阶段“积极防御”是对“被动防护”能力的补充，用于对抗更为复杂的高级威胁。

在军事领域，“主动防御”指采用有限的进攻行动和反击，将敌人赶出被争夺的区域或位置。相对应在网络安全领域，“主动防御”被定义为：安全人员监控、响应网络内部威胁、从中汲取经验并将知识应用其中的过程。这句话中的“网络内部”很重要，对应于“被争夺的区域或位置”，说明了“反击”只发生在防御区内，安全人员不会在攻击者所在的网络或系统中对攻击者发动进攻，不是“黑回去”。

积极防御阶段将安全运维人员引入，强调人员的参与，对所防御范围内的威胁进行性持续监控，主动进行分析检测、应对；包括从外部的攻击手段和手法进行学习。该阶段的核心能力为在人员参与情况下开展检测和响应工作。前两个阶段，教育机构基本都能够做到，对于这第三阶段“主动防御”，目前普遍存在安全人员缺位的问题，而此阶段又是巩固纵深防线的积极手段，对网络安全能力成熟度的提升非常重要，针对实际情况，也可以考虑借助专业机构的力量来做。

4.4 第四阶段：威胁情报；行动目标：获取情报、准确预警

威胁情报是继架构安全、被动防御、积极防御后更为高阶的网络安全方法，在网络安全领域，情报定义为：收集数据、处理和利用数据获取信息并进行评估的过程。而威胁情报是一种特定类型的情报，为防护方提供攻击者、攻击者在防护方环境中的行为、攻击能力以及攻击策略、技术与过程等相关信息，目的是了解攻击者，以便更准确地识别攻击者，更有效地响应攻击活动。第四阶段的“威胁情报”，讨论的不是使用威胁情报，而是输出威胁情报的过程，输出威胁情报是一种情报行为，而使用威胁情报则是主动防御中的一个角色。在威胁情报阶段，通过各种工具和系统收集各种安全数据、借助机器学习，进行建模及大数据处理，开展攻击行为的自学习和自识别，进行攻击画像、标签等活动，最后由安全分析师分析、输出威胁情报评估结果以供内部决策或行动。威胁情报可以对攻击者进行溯源、定位、画像，实现在整个安全事件处置过程中，不仅能够“知己”而且能够“知彼”。威胁情报能有效增强现有架构安全、被动防御、积极防御体系的防御能力。此过程除了依赖工具和系统，更是对安全分析师的专业性要求非常高，大多数的组织包括教育考试机构，很难单独依靠自己的力量实现该阶段的工作，借助各专业的威胁情报中心力量不失为较为务实而可行的解决方案，为主动防御阶段采取更加合理有效的措施提供有力的威胁情报支持，进一步巩固网络安全。

4.5 第五阶段：进攻反制；行动目标：进攻反制、先发制人

指利用法律及攻击自卫反击等技术对攻击者进行反制威慑。一般用于国家级或军事组织机构间的对抗，对于教育考试领域来说此阶段投入巨大，难用上，投资回报率极低，因此本文将不对此阶段进行探讨。

5 结束语

网络安全滑动标尺模型能够很好地指引教育考试机构开展安全防护体系建设工作，该模型不仅指明了每一阶段的建设目标更给出了具体建设内容，具有很强的实践性和可操作性。按照网络安全滑动标尺模型构建组织的安全体系，不仅能较客观的评价组织安全能力的成熟度，更能实现安全能力成熟度的叠加演进。