教育行业信息系统 网络安全风险分析与安全防护措施研究

彭楚风 吕建富

摘要：随着教育信息化的快速发展，大量教育信息系统迅速上线，网络安全问题不容小觑。本文通过对攻防演习工作中发现的网络安全问题进行风险分析，并结合网络安全法的相关要求，提出了如何做好网络安全防护的建议。

关键词：教育信息化;风险分析;安全防护措施

中图分类号：G434  文献标识码：A  论文编号：1674-2117（2021）15-0097-04

● 引言

随着移动互联网、云计算和大数据为特征的新一轮信息技术的发展，我国教育信息化已进入融合应用向创新发展转型的2.0阶段。[1]网络攻击等网络安全风险也进一步向现实世界渗透，为教育行业信息系统的网络安全保障工作带来诸多挑战，如何确保教育行业信息系统的网络安全成为迫切解决的问题。

根据《中华人民共和国网络安全法》及《国家网络安全事件应急预案》等法律法规要求，国家级的攻防演练已经成为检验网络强国建设的重要手段。[2]攻防演练通常是在真实网络环境下对参演单位目标系统进行全程可控、可审计的实战攻击，拟通过演练检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。[3]近几年，我国较大规模的攻防演习主要包括公安机关组织的针对关键信息基础设施的攻防演习、各部委组织的对各省和直属单位重要系统的攻防演习以及大型企业组织对下属单位重要系统的攻防演习。

本文将对中央电化教育馆的信息系统参加2020年教育部攻防演习工作中发现的问题进行分析，结合网络安全法的相关要求，总结教育行业信息系统网络安全风险特点，并提出相应的安全防护措施。

● 信息系统网络安全风险分析

按照信息系统主管单位的不同，教育行业信息系统分为“教育行政部门及其直属事业单位信息系统”和“学校信息系统”两类。2018年的教育数据统计显示，教育行业信息系统平台网站主要有涉及用户人员多、系统数量多、数据多三个特点[4]，这对网络安全保障能力提出了更高的要求，在完善管理体系，保障应用安全、数据安全、业务连续性等方面将面临更大的挑战。

网络安全的保障主要体现在两个方面：第一是健全和落实安全管理体系，其中包括安全管理制度、机构、人员安全、系统建设和运维管理五个方面;第二是搭建以基础网络建设、服务器安全、应用系统安全和数据安全为核心组成部分的技术安全体系。[5]

结合笔者所在单位参加2020年教育部攻防演习的工作情况，笔者认为教育行业信息系统存在的网络安全风险主要涉及以下几个方面。

1.管理安全风险

目前，网络安全管理的工作主要在管理制度、安全人才培养、安全培训三个方面存在不足。

在管理制度方面，虽然随着《中华人民共和国网络安全法》的实施，各企事业单位、学校等网络安全管理制度不断完善，但在安全运维管理的规范性方面仍存在不足，如对软硬件资产的梳理不够清晰，掌握不够全面，影响应急措施的实施;由于历史原因，信息系统越来越多，架构复杂不一，早期建设的部分信息系统的安全管理存在漏洞，如开发时安全性考虑不足，存在无人维护的信息系统，造成了极大的安全隐患;域名管理体系不够完善，存在不使用的域名未及时注销的情况，存在链接不法网站的风险。部分核心开发、运维人员的重要数据保密性管理不足，保存在可连外网的设备上，存在泄露的风险。

在安全人才培养方面，我国目前网络安全人才形势严峻，从业人员普遍在知识储备、技能等方面存在短板，因此完善网络安全人才培养体系成为重中之重。但目前各企事业单位、学校对第三方安全服务商过于依赖，自身的安全运维技术力量薄弱，特别是专业安全人员储备匮乏，关键性技术岗位人力单薄。

在安全培训方面，对在岗工作人员的网络安全技能及安全认知的培训不够全面和体系化，在處理应急事件的过程中难免有疏漏。

2.技术安全风险

随着教育行业信息系统的数量越来越多、规模越来越大，在基础设备、应用安全和数据安全方面的风险问题应该引起重视。

在基础设备方面，部分硬件设备过于老旧，超过服务年限，不支持基础软件向高版本升级;网络安全设备不足，如缺少双因子动态认证、主机防护产品、SSL证书解密设备等。

在应用安全方面，大部分信息系统在设计和开发过程中对网络安全方面考虑不足，如用户权限划分不明确，导致系统中存在越权漏洞;对系统登录口令复杂的限制不严格，系统中存在弱口令账户;对用户输入的内容过滤不严格，可能存在SQL注入及XSS漏洞等;部分操作系统、数据库、中间件等基础软件版本较低，无法进行漏洞修复。

在数据安全方面，随着传统网络安全问题数据化，新型数据安全问题不断涌现，在数据收集、数据存储、数据分析等过程中存在隐患。教育类的业务数据存储量大，数据类型多，进行数据治理工作则非常重要。在数据收集阶段，数据分类分级既是数据治理的基础，也是开展数据安全工作的前提，存在数据安全分级不匹配从而导致高敏感数据保护不足的风险;在数据存储阶段，对于关键的业务系统如教务、一卡通等应用系统，若遭遇机房火灾、断电、网络入侵、勒索病毒攻击等可能导致数据丢失和业务中断的危险事件的发生;在数据分析阶段，如在利用大数据技术进行数据分析的时候，在制定个性化学习方案时，就需要获取大量学生的敏感信息，存在数据泄露的风险。

● 信息系统网络安全防护措施

攻防演习工作结束以后，针对暴露的网络安全问题进行分析，笔者在管理体系和技术两个方面提出了以下网络安全防护措施。

1.管理体系措施

在管理制度方面，依据《教育信息化“十三五”规划》和《教育信息化2.0行动计划》的指示，应该建立统一的安全部署策略，明确运维人员和第三方运维方遵守网络设备、系统安全配置要点等要求，如杜绝弱口令、关闭不必要的服务和端口、开启系统日志等;不断完善信息系统名录表登记制度，定期排查存在管理疏漏的信息系统，明确第三方托管系统的安全职责和权限划分，及时处理停用、转移等陈旧系统的安全问题;不断完善安全运维管理制度，对日常操作建立操作规程，根据工作需要为核心开发、运维、安全人员配置专用安全电脑;建立信息系统安全自查制度，定期进行系统渗透测试、代码检测、漏洞扫描等;形成规范的备份管理机制，内容包括备份方式、备份频度、备份保存期等。

在安全人才培养面，加强安全队伍建设与资金投入，强化相关人员关于安全技术、安全管理的培训力度，完善网络安全人才培养体系，增进与企业的安全技术交流，协同创新。

在安全培训方面，定期对在岗人员进行系统化的安全知识培训，并通过应急演练进行安全知识考核，提升全员的安全防护意识。

2.技术安全措施

在网络安全技术体系方面，基础网络环境的安全保障是信息系统运行的重要前提。在基础网络建设过程中，需要根据信息的业务功能、特点及各业务系统的安全需求进行区域划分，并根据业务节点重要程度，通过主、备形式部署流量控制器，对上网流量进行有效的控制，以保证带宽的使用要求。在网络设备上启用双链路，并加入互联网防火墙、WAF、防DDOS设备等以加固基础网络。笔者建议网络拓扑设计如右图所示。

网络安全架构划分为互联网接入区、核心交换区、数据备份区、安全管理区、服务器区（数据库区、虚拟化区）、云服务器区6个区域。互联网接入区通过移动网和教育网两条链路外联，经过路由设备、安全设备连接到互联网防火墙，然后接入到核心交换机，核心交换区部署智能流量管理系统和应用层防火墙，服务器区、数据备份区、安全管理区、云服务区接入到核心交换区的核心交换机上，虚拟化区和数据库区部署在服务器区，经过汇聚交换机和WAF防火墙连接到核心交换区的防火墙上。

在服务器安全方面，服务器承载着企业的关键业务应用，需重点关注、重点防护。首先对服务器定期检查，及时更换使用年限到期的服务器;对服务器进行深入的威胁排查以及安全加固工作，包括病毒、后门、Webshell的扫描删除、补丁更新、基线检查与配置等内容;对服务器的基本信息进行全面的收集和管理，如端口、服务、应用、账户等，在这些信息的基础上，还需与主机安全加固产品结合，基于微隔离技术、HIPS技术、Webshell拦截技术等，对核心服务器做好精细化防护。最后，将上述内容统一做好详细记录，集中、安全存储与管理，供分析和溯源使用。

在应用安全方面，应加强对信息系统的需求、设计、编码、测试以及运行、废弃等生命周期的每一个阶段的安全防护。在系统需求分析阶段就开始考虑软件的安全需求，制订开发安全编码规范，引入开发安全框架，对SQL注入、CSS攻击、跨站脚本攻击、挂马、缓冲区溢出等常见的安全漏洞进行预防和监测;在系统验收阶段，委托第三方评测机构对系统源代码进行审计，并留存审计报告;在系统运行阶段，部署网页防篡改产品，监控系统受攻击情况，然后及时调整阻断策略，防止网页被篡改;在系统运维阶段，对网络设备的运行狀况、网络流量、用户行为等进行监测和报警，并保存记录，同时定期对系统进行渗透性测试和漏洞整改。

在数据安全方面，根据业务功能需求划分用户的角色，不同角色访问不同的功能模块，提供安全审计功能，对系统后台操作、用户登录登出、失败登录、系统访问日志等行为进行记录;对重要数据进行加密存储，采用经国家密码主管部门认可的密码技术，防止重要数据在存储过程中泄露;利用通信网络将关键数据定时批量传送至备用场地，实现异地数据异地备份，保证业务的连续性;用户鉴别信息在认证结束后自动清除，只允许系统采集必要的个人信息。

● 结束语

在后疫情时代，教育信息化程度越高，面临的安全风险就越高，网络安全的保障工作就至关重要。为了保障教育系统的安全通畅运行，需要不断完善安全管理体系，增强安全技术防护能力，加大网络安全人才培养力度，关注网络攻击态势，为教育信息化的高速发展提供强有力的安全支撑。

参考文献：

[1]陈丽，李波，郭玉娟.等.“互联网+”时代我国基础教育信息化的新趋势和新方向[J].电化教育研究，2017，038（05）：5-12.

[2]吴云坤.网络安全演习探索与实践[J].中国信息安全，2019（01）：39-42.

[3]刘阳.网络安全攻防演练的部署与方案设计[J].信息安全与技术，2017（10）：88-90.

[4]潘润凯.教育系统网络安全政策解读[R].教育系统网络安全专题研讨班培训材料，2018.

[5]武腾，宋好好.教育行业信息系统等级保护研究[J].网络空间安全，2017，8（12）：8-12.