金玉 施劲
【摘 要】随着教育信息化2.0时代的到来,教育系统网络信息资产数量越来越多、数据规模越来越大,网络安全风险也越来越高,加快构建高质量江苏教育系统网络安全监管体系,成为当前工作亟待落实的课题。江苏省教育系统网络安全监管体系基于“平台+服务”的模式构建,旨在依托平台加强网络信息资产和网络安全事件两个全生命周期管理,将配套制度融入平台的流程设计中,真正提升全省教育系统网络安全治理能力,夯实教育高质量发展的安全底座。
【关键词】网络信息资产;安全威胁;全生命周期管理;监管体系
【中图分类号】TP393 【文献标志码】A 【文章编号】1005-6009(2022)12-0007-05
【作者简介】1.金玉,江苏省电化教育馆(南京,210013)副馆长,高级教师,主要研究方向为教育系统网络安全管理;2.施劲,江苏省电化教育馆(南京,210013)信息管理部副主任,助理工程师,主要研究方向为教育系统网络安全管理。
网络安全事关教育改革发展稳定大局,事关广大师生切身利益。长期以来,江苏教育系统网络信息资产数量多、分布广,数据规模大、价值高,网络安全形势严峻,高质量网络安全监管体系亟待构建。我们坚持以问题为导向,架梁立柱,以压实网络安全工作责任为核心目标,采用“平台+服务”模式,轻量级部署江苏省教育网络和信息安全通报平台;依托平台紧抓网络信息资产和安全事件全生命周期管理,建立网络安全联络员制度、通报制度、网络威胁情报共享制度等,实现全省教育系统资产摸排全部覆盖、威胁情报全域感知、通报处置全程管理、防护能力全面提升。
一、江苏教育系统网络安全管理中存在的主要问题
(一)资产家底不清
2018年以前,江苏教育系统虽已出台关于各单位网络信息资产备案的管理规定,但实际施行效果并不理想。由于缺乏對网络信息资产进行自主嗅探和智能识别的能力,很多教育单位即使未认真落实网络信息资产备案、未及时更新工作要求,也难以被发现。全省教育系统网络信息资产备案更新不及时、不准确,导致网络信息资产底数难以摸清。
(二)处置流程不畅
由于缺乏技术支撑,很多涉事单位对本单位网站或信息系统面临的安全威胁毫无感知能力,有些单位在网络信息资产被入侵后不能及时有效地处理问题。作为全省教育系统网络安全监管负责单位,江苏省电化教育馆(以下简称省电教馆)因为缺乏有效的技术手段,对涉事单位网络安全威胁和事件处置结果无法进行及时有效跟踪,难以形成对网络安全威胁和事件的全周期管理。
(三)安全意识薄弱
在江苏省教育网络和信息安全通报平台建成以前,我们主要通过纸质文件方式开展网络安全威胁和事件通报工作。相关单位网络安全意识薄弱,在接到通报以后不能给予足够的重视,不处置问题就直接关闭网站或信息系统,过一段时间再直接打开或让信息系统“带病”运行,造成网络安全问题屡屡复现。
上述三个问题具有普遍性,单纯依靠行政管理手段已无法解决,我们采用“平台+服务”的模式,逐步探索建立集资产发现管理、漏洞监测预警、通报闭环处置、威胁情报共享、安全态势感知、安全工作考核等一体化的多功能管理平台,结合制度建设,构建全省高质量教育系统网络安全监管体系。
二、江苏教育系统网络安全监管体系的构建
(一)建设总体思路
江苏教育系统网络安全监管体系从制度管理和技术管理两个维度进行构建。我们建立健全一系列管理制度:出台全省教育系统网络安全责任制实施细则,明确各单位主要负责人为网络安全第一责任人;制定并完善网络安全责任制考核评价办法,连续三年开展网络安全工作考核,积极推动将考核结果纳入省政府对设区市政府履行教育职责和高校年度综合考核的内容清单中;建立网络安全联络员机制和通报制度,压紧压实各级网络安全责任。技术管理维度原本是短板,我们坚持以问题为导向,抓住网络信息资产、网络威胁和安全事件两个关键点,建设网络安全多功能综合管理平台。平台按照如下原则进行科学设计。
1.先进可靠性。
为确保系统的功能性和高可靠度,平台基于先进的微服务架构,当系统内部某个微服务出现故障时,自动进行相关业务熔断处理。采用LVS+Nginx+API网关的多层均衡架构,保证平台的高可用性和高吞吐量。采用minio对象分布式存储,进行数据冗余设计。
2.内生安全性。
为确保系统和数据的安全可靠,平台从多个层面加强安全防护,网络访问对话使用https协议加密,身份认证使用强制口令复杂度规则和双因子认证,关键敏感数据采用加密存储及多层过滤器、拦截器等技术。
3.可扩展性。
为确保能够应对远期必然性的负载增长和偶然性的系统过载状况,平台采用数据库横向扩展、分布式存储、负载均衡等技术手段。平台集成了mycat中间件,必要时可对底层mysql做横向扩展,以支持未来数据量过大的场景。平台采用容器化编排,基于外部负载均衡和内部负载均衡要求,可进行各个微服务的动态伸缩。
4.良好兼容性。
平台须与教育部相关网络安全工作平台无缝对接,实现组织架构信息和资产信息与教育部教育行业信息资产管理平台(GEDB)信息对接,得以从教育部通报平台同步安全漏洞和安全事件等信息数据。
(二)平台整体架构
平台将江苏教育系统网络安全监管划分为事前、事中、事后三个阶段。事前阶段主要包括网络信息资产梳理、管理基础数据维护、安全威胁情报归集等,事中阶段主要包括网络安全事件的预警、检查、处置、通报等,事后阶段主要包括执行反馈、总结报告、制定规范标准等。平台架构设计如图1所示。
(三)平台功能模块
江苏省教育网络和信息安全通报平台提供资产管理与探测服务、安全威胁通报管理服务、安全态势感知和可视化服务、通知公告发布服务、安全预警资讯推送服务、重要时期报平安管理服务、网络安全责任制考核管理服务等功能。
1.资产自主发现。
平台具备对教育信息资产基础数据的收集与持续更新功能,服务范围为全省教育系统的网络信息资产,便于开展全省教育系统网络信息资产摸底工作。资产管理主要采集如下基础数据:域名、IP地址及归属、Web首页及其页面内资源、设备指纹检测、Web容器、脚本语言、前后端开发框架等,实现从资产申报、审批、上线、维护到下线全周期管理。
平台通过基于响应协议指纹的网络资产探测技术,主动探测全省教育系统互联网信息资产,将探测结果通过接口与第三方平台(教育部GEDB平台)数据进行自动比对,筛选出不在已知清单内的信息资产并由各单位进行确认,最后将经确认的信息资产同步导入教育部GEDB平台。以上方式可以实现全省教育系统网络信息资产主动发现和动态更新,确保主管单位及时掌握网络信息资产底数。
资产自主发现功能主要利用高速网络扫描技术,其优点在于:不用完成三次握手,只发送第一个SYN,而后RST取消连接,这种无状态保持的设计,可能会因网络原因丢失约2%的数据,但极大地减少了状态记录的开销,有效提升了扫描效率。使用了基于素数域原根或加密算法的地址生成策略,增加了相邻扫描地址的随机性,减少了扫描对同一IP地址段内目标网络的压力,不仅实现了高效的资源利用,而且扫描行为也较隐蔽,减少了网络安全监管活动对目标单位信息系统和网站正常运行的影响。
2.风险监测预警。
通过平台新建监测任务,可添加监测域名,设置漏洞、暗链和后门等监测内容,同时支持单次和周期任务,还可以自定义扫描策略。监测完成之后,审核人员可在监测任务列表中对监测结果进行审核。
3.通报处置管理。
通过审核的安全威胁和安全事件推送至通报管理模块后,会根据平台登记的组织架构和人员信息进行智能匹配,以点对点方式自动通报给对应的责任单位或上级主管单位。通报同时支持平台、短信和电子邮件三种提醒方式,确保联系人及时查收。
通报下发之后,平台会对每一起通报进行全程跟踪,并将通报处置状态实时显示在平台上。监管工作人员能够方便地了解每一起通报处置进度并及时进行督办,确保所有安全威胁和安全事件通报被及时、完全修复,形成管理闭环。平台通报功能使得网络安全监管更加便捷、精准、高效,有效降低网络安全漏洞复现发生率。
4.威胁情报共享。
我們结合网络安全责任考核,鼓励市县教育行政部门和高校加强网络安全自主监测力度,在确保安全的前提下共享网络安全威胁信息。各单位通过平台提交威胁信息后,省教育厅组织开展核查验证,并对各单位共享威胁信息的情况进行统计分析,相关情况作为年度考核加分重要参考。同时依托平台建设江苏教育系统网络安全风险情报库,引导各单位自主发现网络安全漏洞风险,建立健全威胁情报共享机制,有效提升全省教育系统网络安全态势感知能力。
5.安全工作考核。
平台除提供对通报处置、漏洞复现、情报共享等客观数据的统计分析功能外,还支持对申报材料和问卷表反馈数据的自动统计。我们可通过创建考核任务、设定考核类型、确定考核指标、分配不同权重等方式,实现对各单位网络安全工作的自动化综合考评。
除此之外,平台还提供每年重要时期报平安功能,可进行多方数据接入关联、多维数据挖掘统计的网络安全态势分析和展示。
三、网络安全监管工作的实践与思考
(一)工作进展与成效
我们充分利用“大数据+人工智能”的先进技术,采用“平台+服务”的模式,依托江苏省教育网络和信息安全通报平台强化监管,构建全省教育系统高质量网络安全监管体系,促进全省教育系统网络安全防护能力提升。
1.教育系统网络安全监测基本实现全覆盖。
江苏教育系统自2018年起开展网络安全监测试点工作,当年监测对象800个。2019年监测对象在固定监测7000个信息系统(含网站)的基础上,每季度轮询监测一批(2000个)信息系统(含网站),基本实现活跃信息系统(含网站)监测覆盖。2020年起,监测对象范围进一步扩大,基本实现对全省教育网络信息资产库中所有资产监测的全覆盖。
2.教育系统网络安全形势总体向好。
平台建成后,全省教育系统平均单个信息资产被监测发现存在安全威胁的比例逐年下降,从20%降至14%。全省教育系统安全威胁自主发现能力稳步提升。3年内,对网络安全威胁和事件平均自主发现比例达82.6%。网络安全事件复现数量明显下降,2019年复现事件超过80起,2020、2021连续两年不足20起。
3.网络安全考核成绩良好、成效明显。
2019 —2021年,省教育厅连续三年在教育部、省委网信办组织的网络安全责任制考核中名列前茅。全省教育系统网络安全责任制考核通过平台开展,考核数据更加客观,流程更加规范,地方教育局、高校、事业单位等各类考核对象年度考核平均得分较上一年均有所提高。
(二)思考与展望
伴随着江苏省教育网络和信息安全通报平台的建设,我们对做好网络安全工作进行了深入的思考。
1.要深入理解网络安全和信息化之间的关系。
习近平总书记强调,网络安全和信息化是相辅相成的,它们是一体之两翼、驱动之双轮的关系,安全是发展的前提,发展是安全的保障。教育系统开展网络安全监管工作,为的是创造安全的网络空间环境,更好地为教育信息化保驾护航。而做好网络安全监管工作也离不开信息化手段的支撑和保障。
2.要学会用技术思路解决管理问题。
我们发现具备强大功能的综合性工作平台可以化解工作中的痛点和难点,尤其是那些仅靠管理手段解决不了的问题,要善于用好技术手段。比如信息资产梳理采用人工填表上报的工作方式不仅统计效率低、数据时效性差,还加重了基层单位的工作负担。网络安全通报平台具备了信息资产自动探测发现功能,配以相适应的管理流程,使得多年来的难题迎刃而解。
同样典型的还有口令管理问题。从实践效果看,通过强制检测口令复杂度、增加短信验证码等方式,能够对此进行有效管理。虚拟货币“挖矿”整治、访问非法网站管控和溯源等问题的解决,也可以充分利用技术思路。
功能强大的综合性平台使得考核工作有据可依。一方面,对各单位应履行而未履行的网络安全义务,通过平台可以确保扣分理由充分。另一方面,对所倡导的行为设定合理的加分规则,比如引导各单位积极共享威胁情报,建立网络安全风险情报库,健全威胁情报共享机制,促使被监管单位主动开展相关工作,有利于充分释放数据效能,提升全省教育系统网络安全态势整体感知能力。
3.要把监管工作方式从“提要求”转变为“做服务”。
综合性网络平台提供了全省教育系统整体统筹推进工作的条件,利于转变监管工作方式,将“提要求”变成“做服务”。如被监管单位只要做好资产确认及在指导下修复漏洞即可,网络安全工作难度降低,效率提升,有利于形成上下齐心的局面,促使全省教育系统网络安全整体情况向好发展。
在监管工作不断收获成效的过程中,平台本身积累了大量宝贵的原始数据,这是将来实现教育网络安全治理工作更上一层楼的重要基础。数据作为新型生产要素,只有流动、分享、加工处理才能创造价值。下一步,在确保数据安全的前提下,我们将积极探索利用人工智能、大数据技术深入挖掘平台积累数据所蕴藏的价值,利用数据对全省教育网络安全工作情况进行精准“画像”,加强数据研究,对存在问题及其原因进行深入剖析,提升相关资源配置效率,进一步优化网络安全监管体系结构。
3771501908220