区域网络安全管理体系建设的实践研究

2024-11-20 00:00李诤朱向彤孙晋美王松杰
中小学信息技术教育 2024年11期

【摘 要】网络安全在今天的重要性不言而喻。本文全面阐述了区域教育系统网络安全管理体系的建设要点,包括制定并动态调整安全管理制度、采用先进安全防护技术,以及强化网络运营者与使用者的保障措施,旨在构建一个适应复杂网络安全环境的稳固体系,确保教育应用平台与系统的长期安全稳定。

【关键词】区域网络安全;管理体系;建设实践

【中图分类号】G434 【文献标志码】B

【论文编号】1671-7384(2024)011-036-02

当前,网络安全面临的挑战越来越大,因此,制定好网络安全制度并严格执行是必须重视的工作。我国从2017年正式发布《网络安全法》以来,七年里,《数据安全法》《个人信息保护法》等各项相关法律法规相继出台,各项规章制度逐步完善,国家网络安全管理框架已经基本形成。虽然各项法律法规逐渐落实到区域教育领域,但建立区域教育系统网络管理体系,仍然需要从具体的管理工作出发,其中涉及区域网络安全管理制度建设、网络安全防护技术建设、网络安全管理保障措施等。本文将区域网络安全实践作为研究对象,阐述区域网络安全管理体系建设的要点。

区域网络安全制度建设的基本要求

在等级保护2.0制度框架下,安全管理制度建设是安全管理要求中的一项重要内容[1]。在第三级安全要求中明确指出,管理制度应对安全管理活动中的各类管理内容建立安全管理制度;应对管理人员或操作人员执行的日常管理操作建立操作规程;应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。由此看来,制度建设不仅应作为安全管理要求中的一项内容,还应作为整个管理体系的基础。我们认为,区域安全制度建设应满足以下几项基本要求。

1.区域网络安全制度是对国家法律、制度的具化

从网络运营者视角出发,制度建设应满足国家网络安全法、数据安全法、个人信息保护法等各项法律法规的基本要求[2],并匹配市、区、校联动机制。制度建设应保持与国家法律、制度的一致性,不能与国家法律制度产生矛盾。在满足各项法律法规的基础上,区域安全制度建设还应重点考虑网络安全等级保护制度。

2.区域网络安全制度建设应适合实际情况

区域网络安全管理者需考虑本区域网络结构、网络设备、网络应用的特点进行制度建设。每个特定区域的城域网接入学校数量各不相同,网络设备性能有所差别,网络应用所涉及的业务不尽相同,敏感数据量级、数据交换量、终端用户数量也有很大区别。同时,等级保护制度要求定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订,因此,制度建设应与本区域的实际情况相匹配。

3.区域网络安全制度建设是动态而非静态建设

根据等级保护第三级系统的管理制度制定和发布要求,区域网络安全制度的建设应指定或授权专门的部门或人员负责,安全管理制度应通过正式、有效的方式发布,并进行版本控制。这意味着管理制度需定期进行动态更新。从控制过程看,具体的版本应具备至少两种控制方式:第一,在发现制度的不合理性和不适应性时,及时进行小范围制度修订。第二,定期进行制度梳理,进行较大范围的制度版本修订。

区域网络安全防护的技术建设

1.以满足等级保护基本要求为目标

最新国家标准《信息安全技术网络安全等级保护基本要求》对各等级系统安全技术的要求有明确描述,涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五大分类。满足这些技术要求,需要配备相应的安全环境、管理设备和软件技术,如安全区域边界的访问控制,就需配备硬件防火墙进行不同安全域之间的隔离阻断。以第三级安全为例,涉及技术方面的第四层指标多达96项,安全防护技术要求体系完整,在等级保护测评中,要以满足等级保护基本要求为目标,同时应注意不同级别的安全要求,不能一刀切,以免给学校工作带来不利影响。

2.态势感知、云监测的有效运用

态势感知能够实时对网络中的流量进行监控与分析,区分正常流量和可疑流量,结合威胁情报、规则引擎、文件虚拟执行、机器学习等技术,对事件进行研判和回溯,采用可视化技术清晰展示网络中的威胁,展示每日的告警详情。运维人员可以根据告警详情,判断是否为攻击事件,及时处理相关安全隐患。云监测服务周期性地提供安全漏洞检测,自动更新检测规则,全面、快捷识别网站存在的最新漏洞,针对资产进行全面扫描,将扫描出的信息,通过分析模型及海量样本库加权判断,可检测出网站是否被仿冒、网页是否被挂木马、网页是否被篡改等安全威胁,加上能及时告警,问题可得到快速处理。通过部署以上服务,区域网络整体环境可得到净化,安全性显著提升。

3.网络应用登记和漏洞扫描

“网络应用登记”是区域网络应用资产管理平台,各学校按照要求在线登记应用、网站、IP、端口等详细情况,不断更新“网络应用登记”电子信息台账。管理者根据台账中的信息开通相关策略,清理“双非网站”和“僵尸网站”等网络应用。安全漏洞是导致网络安全问题存在的主要因素[3],根据电子信息台账,管理者每月对系统主机进行漏洞扫描,及时发现漏洞。漏洞扫描系统在完成评估过程后,会生成详细报告,报告内容包括漏洞名称、漏洞的严重程度、建议的修复措施等。这份报告作为进行安全修复和加固的依据,安全运维人员结合教育行业SRC平台进行分析,可综合判断漏洞来源信息。相关系统负责人员需按时根据建议及时修复高危漏洞,从而采取有效措施,降低安全风险,提高系统的防御能力,降低被网络攻击的概率。

区域网络安全管理保障措施建设

区域网络安全管理者应充分认识到制度落实和技术防护任务的艰巨性,从运营者角度和使用者角度,均需采取行之有效的保障措施。

1.网络运营者角度的保障措施

区级网络运营者需提升网络安全整体规划能力,做好中长期网络安全顶层设计,设置年、季、月度目标,加强执行力,制定每周安全工作指标;加强技术能力研究,提升技术保障水平,采用领先的技术服务,保障网络安全基础设施、软件、服务、人力、应急响应与恢复等资金预算投入;采用市、区、校三级联络员联动机制,定期进行应急演练。网络运营者要加强数据安全管理,不断深化对数据法治治理体系建设的认识,完善数据治理体制机制,自上而下全面推进数据治理实际工作[4]。重要保护时期应加强应急值守,严格落实零报告制度。

2.使用者角度的保障措施

从个人视角出发,我们可依托宣传周、培训、讲座等宣传途径,提升广大师生网络安全意识和网络安全技术能力;可开展网络安全意识培训,培训内容纳入教师信息素养提升培训计划中,作为每位教师必须参加的培训课程;可定期发布安全案例,让更多教师、学生懂得保护自己;可经常性提供网络安全技术提示,推行密码管理、办公防病毒等技术防御措施,下发安全提示材料至各学校,确保文件发送到每位教师和学生手中,提升师生网络安全技能,以实践促师生信息素养的提升[5]。

注:本文系北京市昌平区教育网络安全管理实践研究课题(课题立项号:BENIC2021140002)研究成果

参考文献

李帅. 基于等级保护2.0标准的企业网络安全管理体系建设[J]. 中国新通信,2023,25(4): 99-101.

李经,赵亚哲,董玥秀. 基于法治维度探讨网络运营者网络安全管理制度[J]. 网络安全技术与应用,2024(2): 132-134.

朱斌勇. 数字化转型背景下高校网络安全保障措施研究[J]. 网络安全技术与应用,2024(2): 70-72.

左晓栋. 我国数据安全法治治理体系建设的回顾与展望[J]. 国家治理,2023(23): 32-37.

程欣. 区域一体化网络安全防护体系建设实践[J]. 实验教学与仪器,2023,40(2): 118-120.