多层次构建安全可信的教育信息网
——以北京市西城区教育信息网为例

孙安 赵鸿都 毛茂 耿佳 北京市西城区现代教育信息技术中心

随着近两年大范围的网络攻击、挖矿木马和勒索病毒事件频频发生，网络安全防护形势日趋严峻。在落实《加快推进西城区教育现代化实施方案（2018—2022年）》的行动中，笔者所在地区以《网络安全法》及《网络安全等级保护基本要求》为抓手，采用“积极防御、综合治理”的安全战略方针，构建了多层次网络安全防护体系，不断提高对恶意攻击、非法入侵行为的预防和应急响应能力，以确保教育管理、教学和服务等信息应用系统安全，并不断加强防范危害网络行为的能力和不良信息监管的力度，防止暴力色情等有害信息对校园文化产生侵害。

●网络概况

北京市西城区教育信息网承载了西城区教育系统绝大部分信息化应用，涉及学校门户网站、数字校园、文件服务等众多系统，其中包含“幼升小”和“小升初”入学排位查询系统、西城区中小学在线学习平台、幼儿园学生信息系统等业务系统。同时，西城区还是北京市上机考试数据网络传输试点区，从2019年上半年开始，高考听力考试结果均采用加密网络传输方式和北京市考试院系统连通。每年除普教系统的中考、高考、合格性考试、学业水平考试以外，西城区还承担了自学考试、研究生考试、公务员考试、司法考试等各类资格证书的考试。建有考试远程巡查监考系统，形成对涉考人员及试卷答卷全过程监控网络，考务信息和考试信息均在西城区教育信息网上与其他应用共享传输通道。

●以网络安全制度为纲安全用网

在西城区教育信息网网络安全制度建设上，相关部门相继制订了《网络互联安全管理办法》《网络安全应急响应流程》《安全监控及审计管理办法》《安全事件处理流程》和《病毒防护管理办法》等制度，并要求接入西城区教育信息网的各学校的网络安全第一责任人签订《网络安全承诺书》，定期举行网络安全事件应急演练，以网络安全制度为纲，责任落实到人。这样，一旦出现网络安全事件，可以快速定位到问题环节甚至具体人员身上，以便快速应急处置，最小化降低事件带来的损失和影响。

●教育信息网络安全架构设计

首先，按照“积极防御、综合治理”的安全战略方针，针对链路层安全，西城区教育信息网在南北两个互联网出口边界分别部署了两台防火墙、两台抗DDOS攻击设备和两台IPS设备，同在在旁路部署了安全审计设备、上网行为管理设备（如图1）。一方面，学校端均采用私网地址，最大程度地避免学校终端暴露在互联网上，通过主干路防火墙高性能的NAT转发功能联入互联网，满足大流量信息承载的需求。另一方面，设置安全策略，关闭22、3389和445等易受攻击的端口，最大限度地减少非法扫描和恶意攻击。在防火墙后端串行抗DDoS流量清洗设备，进而限制常见的DDoS流量型攻击，如syn flood、icmp flood、udp flood等，同时支持识别Smurf、Ping of Death等多种异常报文攻击。在抗DDoS设备后端部署的入侵预防系统IPS能够将网络中大部分关键应用识别出来，并通过配置每个用户最大连接数的策略，及时识别攻击程序或有害代码，有效控制和防范黑客攻击，保证内网安全。

图1 网络安全拓扑图

其次，在核心交换区旁路部署的上网行为管理和安全审计分析系统，实时监控审计，完成身份确认、合规准入、内容留存审计和结果分析等功能；针对敏感关键字设置过滤，并支持主动报警；具有URL数据库，确保分类准确无遗漏，可以精确识别各种互联网应用，对主流网络游戏和涉黄涉赌网站进行识别和告警。同时，上网行为管理设备对上网行为逐条审计记录，对每一个IP地址的访问时间、NAT地址转换对照、IP行为进行记录（如微信、微博、QQ、邮件等常用社交工具内容记录），进而通过QQ号码、上网URL、微博号等线索查到对应的上网电脑终端或上网用户具体情况和发布的信息内容，对不良信息和不当言论进行追踪溯源。

再次，由于数据中心承载了学校大量的信息化应用，提供对外数据服务，很多应用要求信息系统达到等级保护二级。因此，在数据中心服务器集群前端部署了七层防火墙和网站应用防护系统WAF，在七层防火墙上开启Web应用必要的端口，其他端口一律禁止，同时，内外网防火墙配合可以灵活实现教育网内网资源不出互联网，而需要对互联网发布信息的网站不受影响。另外，WAF设备能提供基于应用层的安全防护功能，可实时检测包括溢出攻击、webshell攻击、数据库的SQL注入和中间件的漏洞攻击等各种网络攻击威胁，并对发现的安全威胁进行告警，且有效阻断利用这些漏洞形成的攻击报文。

最后，专业黑客通过社会工程学、摆渡机跳板、非法外连等多种因素都能轻松突破专网的边界防护。只要一台终端设备失陷，攻击者借助系统漏洞等传播手段，就可能威胁全网安全。目前，虽然已在网络中部署了大量的安全设备，但仍然会有部分威胁绕过所有防护直达学校内部和数据中心，对重要数据资产造成泄露、损坏或篡改。在这种形势下，终端检测与响应技术（EDR）是解决问题的不二之选。如下页图2所示，通过在云主机中部署安全探针，对每个虚拟主机进行实时安全防护。探针采用主动防御和横向对比模式，对系统内每一个活动的可执行文件的行为状态进行分析和对比，对非正常行为实时拦截，将可疑文件删除隔离，进而摆脱了传统防病毒软件静态特征库对比带来的系统开销，以及新型APT高级攻击对静态特征库免疫的弊端。

另外，终端检测探针的安全基线检查功能不但涵盖Windows和Linux平台，还支持账号与口令检查、密码生存周期检查、远程登录检查、网络与服务检查、日志审计检查、防火墙检查、系统安全配置检查等功能。同时，针对重要应用建立白名单机制，凡是不在白名单里的程序一律禁止执行。例如，图3为拦截白名单之外的高危命令，在启用微隔离安全防护策略后，不仅能详细记录关联主机、时间、协议、源/目的IP、端口、出/入站方向和防护动作，还能展示出与此关联的主机进程，以及进程的详细路径的安全分析情况，并能对此进程文件做进一步的处理操作，对整个网络安全事件做到快捷闭环管理。

图3 拦截白名单之外的高危命令

●提升网管教师的信息安全素养

所有信息化系统的管理和安全策略的执行都需要网管教师严格按照网络安全规范操作，其安全意识是所有网络安全架构中要求最高的一环，也是最容易被忽视的地方。因此，培养网管教师树立网络安全意识，提升网络安全攻防实战能力，是一项持续性、系统性的工作。为打造一支技术过硬的网管教师队伍，笔者所在单位每学年定期组织对学校网管教师进行培训，设计开发了“数字化校园网络与信息安全认识提升”系列课程，主要从网络安全防范实践、系统安全防范实践、应用安全防范实践、安全合规落地实践四个方面来提升学校网管教师的安全防护意识和能力。

●网络安全面临的新挑战及应对思路

西城教育信息网基础架构大量引入云计算、移动计算等新技术，内外网络物理边界日趋模糊。大规模采用移动终端进行教学和办公活动，开放性的服务界面扩大了网络暴露面。面对网络教学的常态化，内部业务数据被转储在个人移动设备上，成为可被传播、利用以及共享的电子信息，教师和学生个人数据与教育数据不分离，教育数据加密不完善，部分数据存在明文存储现象，个人设备中又安装众多存在未知风险的应用，大多数校级移动应用通过单点登录“一次授权，长期使用”。在新技术冲击下，防御面急剧膨胀，内外部网络边界交错，且边界防护节点难以有效定位。

基于目前移动网和数据网的交叉混合使用，笔者提出采用“零信任”架构的网络安全思想来应对，其核心思想是“从来不信任，始终在校验”。它默认不信任内外部任何人和行为，遵循“先认证用户和设备，后访问业务”的原则，以数字身份为中心进行访问控制，采用最小化授权、多维度安全评估手段保护业务和服务的暴露面，可大幅提高应对网络安全威胁的能力。目前，“零信任”架构是网络安全领域较前沿的技术领域，通过身份可信、终端可信、通道可信、访问可信的网络安全新架构，有效帮助教育信息网重塑安全边界。

●总结

经过专家论证和多次应急处置网络安全事件的实践，西城区教育信息网综合软硬一体多层次网络安全防护方案和高素质的网管员队伍，已具备了较强的网络安全防护能力。配合不断完善的制度建设和安全管理实践，多年来未发生严重的网络安全事故，在教育部“教育行业信息技术工作管理平台安全监测预警子系统”中，西城区教育信息网取得网络安全满分的成绩（如图4）。

图4 教育部教育行业信息技术工作管理平台安全监测预警子系统