寇思佳 王琎
摘? ?要:隨著教育在智能環(huán)境下的不斷發(fā)展以及教育信息化2.0行動(dòng)計(jì)劃的頒布,“互聯(lián)網(wǎng)+教育”的模式也在持續(xù)推進(jìn),信息系統(tǒng)平臺(tái)網(wǎng)站在教育行業(yè)的作用更加重要。然而,信息系統(tǒng)平臺(tái)網(wǎng)站在提供便利性的同時(shí),也面臨著越來越嚴(yán)峻的網(wǎng)絡(luò)安全問題。信息系統(tǒng)安全等級(jí)保護(hù)需要從不同的角度進(jìn)行思考,并落實(shí)具體的保護(hù)措施,將信息系統(tǒng)安全作為重點(diǎn)工作,全面落實(shí)等級(jí)保護(hù),實(shí)現(xiàn)安全與便捷的合理平衡,保證等級(jí)保護(hù)工作得到持續(xù)進(jìn)行,從而實(shí)現(xiàn)全面的網(wǎng)絡(luò)安全。文章針對(duì)教育行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行了較全面的分析,并結(jié)合信息系統(tǒng)安全等級(jí)保護(hù)制度深入探究風(fēng)險(xiǎn)的根源,提出了具有高度可行性的網(wǎng)絡(luò)安全架構(gòu)解決方案,實(shí)現(xiàn)了具有可持續(xù)性的網(wǎng)絡(luò)安全。
關(guān)鍵詞:教育行業(yè);信息系統(tǒng)安全等級(jí)保護(hù)制度;網(wǎng)絡(luò)安全法
中圖分類號(hào):T-013/-017? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼:A
Research and analysis of network security situation of education system under the protection of information system security level
Kou Sijia1, Wang Jin2
(1. National Center for Educational Technology, Beijing 100031;
2.Insititute of Cyberspace Security, CCID, Beijing 100048)
Abstract: With the continuous development of education in the intelligent environment and the promulgation of the Education Informatization 2.0 Action Plan, the “Internet + Education” model is also continuing to advance. The role of the Information System Platform website in the education industry is even more critical. However, the Information System Platform website is also facing increasingly serious network security issues while providing convenience. The information system of security level protection needs to be considered from the different aspects, before implementing specific protection action by focusing on the information system security of level protection and comprehensively implementing for achieving a reasonable balance between safety and convenience and ensuring that level protection work is continued thereby achieving comprehensive network security. This paper analyses the network security risks of the education industry with the combinations of the protection system of network security level to explore the root causes of risks deeply for the propose of a highly available network security architecture. The solution is to achieve sustainable network security.
Key words: education industry; information system security level protection system; network security law
1 引言
從20世紀(jì)90年代開始,我國的信息系統(tǒng)安全等級(jí)保護(hù)制度(以下簡(jiǎn)稱等保制度)已經(jīng)作為在定級(jí)、建設(shè)、測(cè)評(píng)和管理等方面的相關(guān)制度。2017年6月1日,作為我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全的基礎(chǔ)性法律—《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)開始實(shí)施,這對(duì)深化網(wǎng)絡(luò)安全等級(jí)保護(hù)制度具有重大意義[20]。
作為我國信息系統(tǒng)安全建設(shè)的重要組成部分,教育行業(yè)信息化程度也在不斷發(fā)展,根據(jù)《網(wǎng)絡(luò)安全法》和等保制度的要求,持續(xù)不斷地深入完善信息系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維中的各個(gè)薄弱環(huán)節(jié),有效保護(hù)信息系統(tǒng),提升信息系統(tǒng)防御能力,加強(qiáng)教育行業(yè)網(wǎng)絡(luò)安全建設(shè)已刻不容緩。
教育部高度重視教育行業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全保障?;窘⒘私逃到y(tǒng)網(wǎng)絡(luò)領(lǐng)導(dǎo)的領(lǐng)導(dǎo)體系,網(wǎng)絡(luò)安全宣傳和教育充滿活力,網(wǎng)絡(luò)安全人才培養(yǎng)以及學(xué)科建設(shè)的能力得到提高,網(wǎng)絡(luò)安全防護(hù)能力得到顯著提升[21]。其中,教育信息系統(tǒng)安全等級(jí)保護(hù)工作由教育部和公安部聯(lián)合推動(dòng),以此進(jìn)一步建立信息共享的工作機(jī)制,啟動(dòng)實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警,建立網(wǎng)絡(luò)安全長(zhǎng)效監(jiān)督機(jī)制。雖然信息系統(tǒng)安全的各方面工作已在穩(wěn)步推進(jìn),但是隨著新技術(shù)和新安全威脅的不斷出現(xiàn),如何全面落實(shí)法律法規(guī)要求,并根據(jù)各信息系統(tǒng)自身特點(diǎn),建立個(gè)性化的安全體系,積極、有效、靈活地應(yīng)對(duì)新威脅,已是無法回避的話題。
本文從教育行業(yè)信息化安全建設(shè)的實(shí)際出發(fā),以中央電化教育館信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目為例,分析了行業(yè)內(nèi)信息化安全建設(shè)的現(xiàn)狀,總結(jié)了信息系統(tǒng)安全等級(jí)保護(hù)制度的作用和目的,從信息系統(tǒng)安全構(gòu)架的角度,呈現(xiàn)了在信息系統(tǒng)中安全體系建設(shè)的核心問題,并提出了解決問題的相關(guān)措施。同時(shí),依據(jù)即將頒布的“網(wǎng)絡(luò)安全和信息系統(tǒng)等級(jí)保護(hù)2.0”,對(duì)未來教育行業(yè)信息系統(tǒng)防護(hù)的影響作出了分析,最后對(duì)教育行業(yè)信息系統(tǒng)安全發(fā)展方向提出了自己的分析與建議。
2 文獻(xiàn)研究
根據(jù)2018年最新教育數(shù)據(jù)統(tǒng)計(jì),教育行業(yè)信息系統(tǒng)平臺(tái)網(wǎng)站主要有三個(gè)“多”的特點(diǎn):一是涉及用戶人員多,其中教育機(jī)構(gòu)59萬個(gè),專職教師1800萬人,各級(jí)各類的學(xué)生達(dá)到3.5億人,約占全國總?cè)丝诘娜种籟1];二是系統(tǒng)數(shù)量多,其中教育系統(tǒng)網(wǎng)站超過20萬個(gè),網(wǎng)站域名以“.edu.cn”結(jié)尾的系統(tǒng)網(wǎng)站11萬個(gè),涉及超過100萬人數(shù)據(jù)的系統(tǒng)超過500個(gè)[1];三是掌握數(shù)據(jù)多,政務(wù)數(shù)據(jù)資源數(shù)量達(dá)10624條,教師數(shù)據(jù)超過4000萬條,累計(jì)學(xué)生數(shù)據(jù)超過5億人[1]。
由教育信息系統(tǒng)的“三多”可見,教育行業(yè)網(wǎng)絡(luò)安全應(yīng)該引起教育從業(yè)人員全面的重視。根據(jù)其網(wǎng)絡(luò)安全特點(diǎn)與形勢(shì),主要面臨的安全威脅包括數(shù)據(jù)泄露、網(wǎng)站癱瘓以及頁面篡改。教育行業(yè)也面臨著各種安全隱患,諸如系統(tǒng)資料被竊密、信息系統(tǒng)安全防護(hù)是否健全、信息管理制度是否完善、信息安全技術(shù)的應(yīng)用是否得到適當(dāng)防護(hù)等各個(gè)環(huán)節(jié),可能會(huì)影響信息系統(tǒng)的安全性。信息系統(tǒng)需要定期進(jìn)行保護(hù)水平評(píng)定的原因可歸納為七點(diǎn):
(1)用戶密度高,安全意識(shí)薄弱。信息系統(tǒng)終端用戶不注重系統(tǒng)的安全防護(hù),導(dǎo)致個(gè)人終端安全問題的產(chǎn)生,如病毒、木馬等安全事件也時(shí)有發(fā)生。
(2)教育行業(yè)具有豐富的科研資源,建設(shè)的各種服務(wù)系統(tǒng)內(nèi)容繁多,環(huán)節(jié)復(fù)雜,并通過互聯(lián)網(wǎng)提供服務(wù),從而成為互聯(lián)網(wǎng)探測(cè)和攻擊的目標(biāo)。
(3)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,涵蓋面廣。教育行業(yè)內(nèi)建立有各種獨(dú)立的專網(wǎng),相互之間安全管理邊界不清晰,導(dǎo)致管理模糊。由于信息化建設(shè)的進(jìn)步和各種應(yīng)用業(yè)務(wù)系統(tǒng)的多樣化,內(nèi)部網(wǎng)經(jīng)常存在以一卡通財(cái)務(wù)系統(tǒng)和校園安全監(jiān)控系統(tǒng)作為代表的各種獨(dú)立的應(yīng)用系統(tǒng)物理網(wǎng)絡(luò)專網(wǎng)。隨著數(shù)字化校園建設(shè)的不斷深入,數(shù)據(jù)中心需要從原本獨(dú)立的專網(wǎng)中提取相關(guān)的業(yè)務(wù)數(shù)據(jù),由于數(shù)據(jù)的隱私性和數(shù)據(jù)源的高敏感性提高了對(duì)網(wǎng)絡(luò)安全的要求,如何解決校園網(wǎng)和業(yè)務(wù)專網(wǎng)連接的邊界安全,成為校園網(wǎng)內(nèi)部安全的新問題[2]。
(4)部分信息系統(tǒng)發(fā)生安全問題,產(chǎn)生巨大影響。2016年8月21日,某高考考生因個(gè)人信息被泄露,不法分子利用實(shí)施電信詐騙,被騙走上大學(xué)的費(fèi)用9900元,最終導(dǎo)致心臟驟停,不幸離世[3]。2018年6月24日晚22時(shí),黑龍江招生考試院網(wǎng)絡(luò)被惡意攻擊,考生無法登錄網(wǎng)站,最終該招生考試院?jiǎn)?dòng)了應(yīng)急預(yù)案才恢復(fù)成績(jī)查詢網(wǎng)站運(yùn)轉(zhuǎn)。由此可見,信息系統(tǒng)若發(fā)生網(wǎng)絡(luò)安全問題,將可能帶來不可估量的影響與損失。
(5)教育行業(yè)技術(shù)團(tuán)隊(duì)建設(shè)不夠完善,開發(fā)人員流動(dòng)性大,代碼安全難以維護(hù)。教育行業(yè)的信息系統(tǒng)建設(shè)大部分是與第三方公司合作完成,第三方公司負(fù)責(zé)技術(shù)上的開發(fā)與維護(hù),而第三方公司開發(fā)人員流動(dòng)大,代碼安全性得不到保護(hù)。
(6)領(lǐng)導(dǎo)體系建設(shè)待完善,需進(jìn)一步明確責(zé)任。
(7)安全體系建設(shè)資金投入有限,需要發(fā)揮最大效益。
3 等級(jí)保護(hù)的目的與意義
網(wǎng)絡(luò)安全等級(jí)保護(hù)系統(tǒng)作為信息系統(tǒng)分類和保護(hù)的國家標(biāo)準(zhǔn),是教育行業(yè)開展網(wǎng)絡(luò)安全體系建設(shè)的重要依據(jù)。在改進(jìn)內(nèi)部網(wǎng)絡(luò)安全管理體系,提高網(wǎng)絡(luò)安全建設(shè)整體水平,增強(qiáng)網(wǎng)絡(luò)安全防護(hù)體系的完整性、健全性和可靠性方面,具有重要意義[4]。
首先,實(shí)施等保要求應(yīng)滿足《網(wǎng)絡(luò)安全法》和等保制度的規(guī)定,是網(wǎng)絡(luò)安全工作的基礎(chǔ)。另一方面,實(shí)施等級(jí)保護(hù)要求可使信息系統(tǒng)保護(hù)更加全面、高效。實(shí)施等級(jí)保護(hù),在信息系統(tǒng)的整個(gè)生命周期中,通過安全管理和安全技術(shù)等措施的同步規(guī)劃、實(shí)施和利用,可以有效地抵御網(wǎng)絡(luò)攻擊,將危害和損失降到最低。等級(jí)保護(hù)通過對(duì)信息系統(tǒng)進(jìn)行分級(jí)分類,實(shí)現(xiàn)重點(diǎn)系統(tǒng)重點(diǎn)保護(hù),大幅度地提高了人力、物力、財(cái)力等有限資源的作用。隨著《網(wǎng)絡(luò)安全法》的實(shí)施,等級(jí)保護(hù)標(biāo)準(zhǔn)不斷完善,涉及面也會(huì)更廣(包括云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)等),這將大大減少等級(jí)保護(hù)工作中的知識(shí)和領(lǐng)域盲區(qū),使等保工作開展得更加全面、高效[24]。
4 架構(gòu)建設(shè)建議
結(jié)合等級(jí)保護(hù)以及中央電化教育館等級(jí)保護(hù)測(cè)評(píng)方案,從安全架構(gòu)角度,提出信息系統(tǒng)安全建議。安全架構(gòu)的設(shè)計(jì)要符合等保的要求,此設(shè)計(jì)架構(gòu)也應(yīng)是等保落地實(shí)施的產(chǎn)物。從教育行業(yè)信息系統(tǒng)安全的管理架構(gòu)和技術(shù)架構(gòu),持之以恒地狠抓落實(shí)網(wǎng)絡(luò)安全工作,是在等保要求下日常消除安全隱患的有效方法,從而保證信息系統(tǒng)安全等級(jí)保護(hù)的順利落實(shí)。
4.1 管理體系架構(gòu)
依據(jù)《網(wǎng)絡(luò)安全和信息化工作要點(diǎn)》《教育信息化十三五規(guī)劃》和《教育信息化2.0行動(dòng)計(jì)劃》的指示,要對(duì)重點(diǎn)任務(wù)做分工,定期監(jiān)督執(zhí)行情況,不斷優(yōu)化網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警通報(bào)工作,重要時(shí)期進(jìn)行安全保障工作,關(guān)鍵節(jié)點(diǎn)優(yōu)化網(wǎng)站訪問策略,做好應(yīng)急管理。
在外包管理方面,要加大管理力度,制定相關(guān)的管理制度,包括雙方的責(zé)任和權(quán)限劃分、系統(tǒng)的配置變更管理、日志審計(jì)等方面。管理制度的落實(shí)和執(zhí)行是關(guān)鍵,相關(guān)行為記錄應(yīng)被完整保存。
在測(cè)試驗(yàn)收方面,應(yīng)進(jìn)行源代碼審查、安全漏洞檢測(cè)。
在培訓(xùn)和考核方面,應(yīng)定期對(duì)崗位人員進(jìn)行相關(guān)安全技術(shù)和安全意識(shí)的考核,并保留每一次培訓(xùn)、考核的記錄[13]。
在應(yīng)急培訓(xùn)與演練方面,應(yīng)每年最少組織一次應(yīng)急培訓(xùn),并定期進(jìn)行應(yīng)急演練[13]。
4.2 技術(shù)體系架構(gòu)
技術(shù)體系架構(gòu)層級(jí)如圖1所示。
在用戶層面,等級(jí)保護(hù)中強(qiáng)調(diào)了需要實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)用戶的身份認(rèn)證、網(wǎng)絡(luò)行為管理和審計(jì)等規(guī)范化管理。為了規(guī)范用戶管理,滿足等保制度的要求,網(wǎng)絡(luò)準(zhǔn)入和上網(wǎng)行為管理系統(tǒng)需要關(guān)聯(lián)人事系統(tǒng)、教務(wù)系統(tǒng)等權(quán)威數(shù)據(jù)源,正確核對(duì)用戶身份信息,建立基于用戶信息、MAC地址、源IP地址、目的IP地址、網(wǎng)絡(luò)行為和時(shí)間等多維度的日志系統(tǒng)。
在網(wǎng)絡(luò)層面,網(wǎng)絡(luò)區(qū)域可劃分為互聯(lián)網(wǎng)接入?yún)^(qū)、對(duì)外服務(wù)區(qū)、對(duì)內(nèi)服務(wù)區(qū)、開發(fā)測(cè)試區(qū)、安全管理區(qū)和辦公區(qū)等,安全區(qū)域內(nèi)還可以根據(jù)業(yè)務(wù)系統(tǒng)的分級(jí)和分類,進(jìn)一步劃分次級(jí)安全區(qū)。同時(shí),需要合理分配網(wǎng)絡(luò)帶寬,區(qū)域間設(shè)置訪問控制策略。避免網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)鏈路存在單點(diǎn)問題,實(shí)現(xiàn)負(fù)載均衡機(jī)制,并部署網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)防病毒、Web應(yīng)用防火墻、入侵檢測(cè)系統(tǒng)等安全設(shè)備。
在系統(tǒng)管理層面,根據(jù)等級(jí)保護(hù)主機(jī)安全的要求,對(duì)服務(wù)器主機(jī)操作系統(tǒng)、中間件、數(shù)據(jù)庫、管理終端設(shè)備等進(jìn)行安全加固,強(qiáng)化密碼安全策略,實(shí)施操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)庫等安全審計(jì)策略,實(shí)施統(tǒng)一的終端防病毒和補(bǔ)丁升級(jí)機(jī)制。
在應(yīng)用服務(wù)層面,采用穩(wěn)定安全可靠的開發(fā)架構(gòu),用加密技術(shù)保證通信安全和保護(hù)數(shù)據(jù)完整性,避免數(shù)據(jù)泄露和被惡意篡改等安全事件的發(fā)生。采用的開發(fā)框架要能有效應(yīng)對(duì)SQL注入、跨站腳本攻擊、跨站請(qǐng)求偽造、遠(yuǎn)程代碼執(zhí)行、信息泄露等攻擊行為,部署網(wǎng)頁防篡改系統(tǒng)以防非法篡改事件的發(fā)生。保持定期對(duì)網(wǎng)站進(jìn)行安全漏洞掃描,或不定期邀請(qǐng)第三方進(jìn)行網(wǎng)絡(luò)安全滲透測(cè)試的頻率,以便及時(shí)發(fā)現(xiàn)潛在的安全漏洞并進(jìn)行修復(fù)[25]。
在數(shù)據(jù)層面,制定合理的備份計(jì)劃,定期對(duì)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)以及設(shè)備配置數(shù)據(jù)等進(jìn)行備份,并核對(duì)數(shù)據(jù)的完整性和可用性。部署數(shù)據(jù)防泄漏系統(tǒng),對(duì)重要數(shù)據(jù)進(jìn)行識(shí)別和標(biāo)識(shí),監(jiān)控?cái)?shù)據(jù)的流動(dòng)范圍,避免流出可信安全區(qū)域。
5 等級(jí)保護(hù)2.0對(duì)系統(tǒng)安全的影響
《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(以下簡(jiǎn)稱等級(jí)保護(hù)2.0)是依據(jù)《網(wǎng)絡(luò)安全法》中的法律條文,對(duì)原來的《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(以下簡(jiǎn)稱等級(jí)保護(hù)1.0)進(jìn)行修改的安全標(biāo)準(zhǔn)。隨著移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)的興起,對(duì)等級(jí)保護(hù)提出了更高的要求,形成新的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求標(biāo)準(zhǔn),新標(biāo)準(zhǔn)針對(duì)共性安全保護(hù)需求提出安全通用要求[18]。針對(duì)教育行業(yè)信息系統(tǒng),包括新增的云計(jì)算應(yīng)用場(chǎng)景、大數(shù)據(jù)應(yīng)用場(chǎng)景以及移動(dòng)互聯(lián)應(yīng)用場(chǎng)景在內(nèi)的安全需求,也需要不斷增強(qiáng)。
5.1 云計(jì)算應(yīng)用場(chǎng)景的安全需求
云計(jì)算技術(shù)從服務(wù)角度分為IaaS(基礎(chǔ)設(shè)施即服務(wù))、PaaS(平臺(tái)即服務(wù))和SaaS(軟件即服務(wù))三個(gè)方面,等級(jí)保護(hù)云計(jì)算部分重點(diǎn)考慮主要集中在基礎(chǔ)設(shè)施和虛擬層以及相關(guān)組件的安全[18]。教育云是指面向教育行業(yè)的行業(yè)云,將教育資源以公開或者半公開的方式,向行業(yè)內(nèi)部或相關(guān)組織和公眾提供有償或無償服務(wù)的云平臺(tái)。作為公共服務(wù)平臺(tái)的教育云,通常包括面向服務(wù)的學(xué)科教研網(wǎng)、教學(xué)博客、教育即時(shí)通訊、教育共享資源庫、教研培訓(xùn)服務(wù)平臺(tái)、學(xué)生學(xué)習(xí)服務(wù)平臺(tái)、教育電子政務(wù)平臺(tái)、社區(qū)教育服務(wù)平臺(tái)等一系列應(yīng)用[19]。云教育的綜合服務(wù)模式按照增值空間以及服務(wù)平臺(tái)類型,如圖2所示。
針對(duì)教育信息系統(tǒng)的公有云、私有云和混合云,安全等級(jí)保護(hù)在保護(hù)資源以及信息方面顯得尤為重要。通過構(gòu)架在存儲(chǔ)、網(wǎng)絡(luò)、服務(wù)器等基礎(chǔ)硬件資源和單機(jī)操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)管理軟件的云平臺(tái)管理系統(tǒng),云操作系統(tǒng)在提升教育云的服務(wù)質(zhì)量上面具有重要意義[19]。等級(jí)保護(hù)2.0云計(jì)算部分重點(diǎn)考慮基礎(chǔ)設(shè)施和虛擬層以及相關(guān)組件的安全[18]。
5.2 大數(shù)據(jù)應(yīng)用場(chǎng)景的安全需求
大數(shù)據(jù)具有體量大、種類多、速度快和真實(shí)性的特點(diǎn),教育行業(yè)的大數(shù)據(jù)涉及到教學(xué)、管理、教研以及培訓(xùn)等方面的數(shù)據(jù)。隨著教育大數(shù)據(jù)應(yīng)用價(jià)值的凸顯,教育行業(yè)將對(duì)大數(shù)據(jù)進(jìn)行不斷地采集和分析,其中包括信息系統(tǒng)平臺(tái)上的數(shù)據(jù)以及用戶個(gè)人信息,因此大數(shù)據(jù)應(yīng)用場(chǎng)景安全顯得尤為重要。在等級(jí)保護(hù)2.0大數(shù)據(jù)安全方面,重點(diǎn)考慮數(shù)據(jù)安全、基礎(chǔ)設(shè)施以及數(shù)據(jù)相關(guān)功能組件安全[18]。其中,對(duì)于物理環(huán)境安全,教育行業(yè)等級(jí)保護(hù)的重點(diǎn)在基礎(chǔ)設(shè)施建設(shè)上面的物理安全以及數(shù)據(jù)跨境傳輸?shù)膯栴};針對(duì)數(shù)據(jù)流量安全,重點(diǎn)在信息系統(tǒng)流量控制以及數(shù)據(jù)分離問題;對(duì)于計(jì)算環(huán)境安全,重點(diǎn)在身份鑒別、應(yīng)用鑒別、對(duì)外服務(wù)以及數(shù)據(jù)安全相關(guān)安全方面,等級(jí)保護(hù)做了相關(guān)的要求[18]。具體登記保護(hù)要求要點(diǎn)如圖3所示。
5.3? 移動(dòng)互聯(lián)應(yīng)用場(chǎng)景的安全需求
移動(dòng)終端、移動(dòng)應(yīng)用和無線網(wǎng)絡(luò)構(gòu)成移動(dòng)互聯(lián)的典型結(jié)構(gòu),移動(dòng)互聯(lián)主要針對(duì)移動(dòng)終端通過無線信道接入的應(yīng)用場(chǎng)景[18]。教育行業(yè)的移動(dòng)互聯(lián)應(yīng)用場(chǎng)景主要表現(xiàn)在課堂上的電子白板教學(xué)和iPad教學(xué)等移動(dòng)終端,通過無線網(wǎng)絡(luò)輔助教學(xué)的場(chǎng)景。教學(xué)設(shè)備通過無線網(wǎng)絡(luò)連接網(wǎng)絡(luò)設(shè)備,無線接入網(wǎng)關(guān)通過訪問控制策略限制移動(dòng)終端的訪問行為,后臺(tái)的移動(dòng)終端管理系統(tǒng)負(fù)責(zé)對(duì)移動(dòng)終端的管理[18]。如圖4所示,等級(jí)保護(hù)2.0重點(diǎn)考慮在移動(dòng)終端以及無線接入網(wǎng)關(guān)方面相關(guān)的安全問題,其中針對(duì)物理環(huán)境安全,新等級(jí)保護(hù)重點(diǎn)應(yīng)當(dāng)在移動(dòng)終端和無線接入網(wǎng)關(guān)的物理安全問題;對(duì)于區(qū)域邊界安全,新等級(jí)保護(hù)重點(diǎn)應(yīng)當(dāng)在邊界防護(hù)、訪問控制以及入侵檢測(cè)方面;對(duì)于計(jì)算環(huán)境安全,新等級(jí)保護(hù)重點(diǎn)應(yīng)當(dāng)在移動(dòng)終端管控和移動(dòng)應(yīng)用管控方面[18]。
6 發(fā)展方向分析與建議
6.1 注重個(gè)人信息保護(hù)
當(dāng)今社會(huì)正處于大數(shù)據(jù)和“互聯(lián)網(wǎng)+”時(shí)代,隨著教育系統(tǒng)海量信息的生成,個(gè)人信息從不同層面被采集、處理、利用與傳遞[14]。在整個(gè)數(shù)據(jù)生命周期中,信息系統(tǒng)進(jìn)行數(shù)據(jù)采集、數(shù)據(jù)集成與融合、數(shù)據(jù)分析與存檔,與此同時(shí)無限度的信息挖掘、信息濫用、信息侵權(quán)行為時(shí)有發(fā)生[14]。網(wǎng)絡(luò)病毒和黑客對(duì)信息安全造成威脅,破壞信息數(shù)據(jù);教育系統(tǒng)獲取用戶信息的開放性,導(dǎo)致教育信息系統(tǒng)的用戶個(gè)人信息面臨著被不法分子掌控以及利用威脅的情況,部分用戶甚至被電信精準(zhǔn)詐騙,造成財(cái)產(chǎn)上的損失,嚴(yán)重的可能危害用戶生命,造成社會(huì)動(dòng)蕩;網(wǎng)絡(luò)攻擊者通過系統(tǒng)內(nèi)存儲(chǔ)的個(gè)人信息,不同的存儲(chǔ)方式會(huì)導(dǎo)致信息資源被攻擊,從而造成信息數(shù)據(jù)保護(hù)薄弱[15]。
面對(duì)此種情況,教育部開展數(shù)據(jù)安全專項(xiàng)治理行動(dòng),面向教育系統(tǒng)開啟專項(xiàng)監(jiān)測(cè)。依據(jù)2018年《數(shù)據(jù)安全治理白皮書》的數(shù)據(jù)安全治理方針,以“讓數(shù)據(jù)使用更安全”為目標(biāo)來構(gòu)建安全體系架構(gòu)[15]。數(shù)據(jù)安全治理建設(shè)主要包含幾個(gè)方面:組織構(gòu)建、資產(chǎn)梳理、策略制定、過程控制、行為審核以及持續(xù)改善[15]。通過數(shù)據(jù)人員組織、數(shù)據(jù)安全方面的技術(shù)支撐以及數(shù)據(jù)安全使用策略和流程三大框架滿足數(shù)據(jù)安全保護(hù)、敏感數(shù)據(jù)管理和合規(guī)性的目標(biāo)[15]。通過大數(shù)據(jù)分析,提高個(gè)人信息保護(hù)的針對(duì)性,確保服務(wù)器上的數(shù)據(jù)安全。同時(shí),通過軟件檢測(cè)評(píng)估,定期對(duì)信息系統(tǒng)進(jìn)行滲透測(cè)試,對(duì)重要信息進(jìn)行一定的存儲(chǔ)保護(hù)。具體數(shù)據(jù)安全治理理念如圖5所示。
與此同時(shí),需要培養(yǎng)信息系統(tǒng)用戶的信息管理意識(shí),采用正確的方式使用網(wǎng)絡(luò),保證信息系統(tǒng)安全性能,確保個(gè)人信息的保密性[16]。同時(shí),在使用計(jì)算機(jī)注冊(cè)登錄的過程中,需要開啟網(wǎng)絡(luò)安全保護(hù)軟件(如360安全衛(wèi)士、電腦管家等),防止用戶個(gè)人信息被泄露[16]。
6.2 完善信息系統(tǒng)安全通報(bào)機(jī)制
信息系統(tǒng)安全通報(bào)不是單一的,必須形成一個(gè)安全鏈,這條安全鏈由三個(gè)部分組成,分別是教育行政部門、學(xué)校和企業(yè)。教育部及其直屬單位等教育行政部門要進(jìn)行定期的經(jīng)驗(yàn)交流與分析,共同參與信息系統(tǒng)安全政策的制定,進(jìn)一步明確信息系統(tǒng)安全的標(biāo)準(zhǔn)規(guī)范。學(xué)校聯(lián)合企業(yè)要注重信息系統(tǒng)安全隊(duì)伍的培養(yǎng),培養(yǎng)并鼓勵(lì)人才多進(jìn)行技術(shù)和管理上的創(chuàng)新,為信息系統(tǒng)安全提供一定的技術(shù)支持。
若出現(xiàn)安全問題,教育部以及安全技術(shù)團(tuán)隊(duì)進(jìn)行通報(bào)跟蹤,部屬機(jī)構(gòu)、高校、各地教育廳以及各地教育廳的安全技術(shù)團(tuán)隊(duì)對(duì)通報(bào)進(jìn)行轉(zhuǎn)發(fā)跟蹤、自主監(jiān)管,地方院校收到轉(zhuǎn)發(fā)通報(bào)進(jìn)行處理,地市教育局將安全事件轉(zhuǎn)發(fā)到區(qū)縣教育局處理,由具體負(fù)責(zé)處置單位的上一級(jí)單位履行監(jiān)督匯報(bào)責(zé)任。實(shí)現(xiàn)對(duì)信息系統(tǒng)安全事件的監(jiān)管、通報(bào)、跟蹤和督促,真正做到信息系統(tǒng)安全管理到基層。
6.3. 加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)
教育行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施是指提供重要網(wǎng)絡(luò)信息服務(wù)的信息系統(tǒng),并且這些信息系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故,會(huì)影響教育行業(yè)部分職能的正常運(yùn)行。更有甚者,會(huì)對(duì)國家政治、經(jīng)濟(jì)、社會(huì)以及公民財(cái)產(chǎn)等造成重大損失。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)把等保制度作為基礎(chǔ),《網(wǎng)絡(luò)安全法》通過增加對(duì)網(wǎng)絡(luò)攻擊行為、非法侵入、網(wǎng)絡(luò)干擾和破壞等擾亂關(guān)鍵信息基礎(chǔ)設(shè)施行為的懲戒措施,以及增加關(guān)鍵信息基礎(chǔ)設(shè)施的范圍,來對(duì)信息系統(tǒng)的網(wǎng)絡(luò)安全進(jìn)行管控[16]。
針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施容易出現(xiàn)的網(wǎng)絡(luò)安全問題,教育部在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面主要進(jìn)行了規(guī)劃、指南和評(píng)估。通過確定關(guān)鍵信息基礎(chǔ)設(shè)施的范圍,確定保護(hù)控制的對(duì)象,提出安全防護(hù)升級(jí)計(jì)劃,作為關(guān)鍵性基礎(chǔ)設(shè)施的保護(hù)規(guī)劃;通過明確識(shí)別標(biāo)準(zhǔn)和流程,明確備案制度和管理制度,作為關(guān)鍵基礎(chǔ)設(shè)施的識(shí)別指南;用遠(yuǎn)程檢測(cè)、現(xiàn)場(chǎng)檢查等方式進(jìn)行安全評(píng)估,并且在技術(shù)層面做一定的規(guī)劃。通過網(wǎng)站入侵檢測(cè)系統(tǒng)、惡意代碼綜合檢測(cè)系統(tǒng)(鏡像)、網(wǎng)絡(luò)流量異常分析大數(shù)據(jù)挖掘系統(tǒng)、日志大數(shù)據(jù)分析挖掘系統(tǒng)、郵件監(jiān)測(cè)系統(tǒng)、大數(shù)據(jù)威脅態(tài)勢(shì)感知系統(tǒng)等一系列安全監(jiān)測(cè)系統(tǒng),構(gòu)建大數(shù)據(jù)威脅態(tài)勢(shì)感知體系,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行防護(hù)。采用終端防病毒產(chǎn)品,對(duì)腳本級(jí)惡意代碼進(jìn)行查殺,對(duì)流氓捆綁進(jìn)行精準(zhǔn)攔截;通過高頻白名單、誤報(bào)云控制體系、后臺(tái)誤報(bào)發(fā)現(xiàn)系統(tǒng)來控制誤報(bào)攻擊的情況,做到查殺速度快和高性能文件存儲(chǔ)。
7 結(jié)束語
隨著教育信息化的發(fā)展,行業(yè)內(nèi)使用信息系統(tǒng)用戶數(shù)量和重要信息系統(tǒng)的數(shù)量也在不斷增加,更突顯了信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的重要性。加強(qiáng)制度建設(shè),守住法律底線,對(duì)信息系統(tǒng)進(jìn)行統(tǒng)一集中管理,進(jìn)而防止網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊、非法獲取倒賣個(gè)人信息、侵犯知識(shí)產(chǎn)權(quán)等損害信息系統(tǒng)用戶權(quán)益的行為發(fā)生。信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)是國家發(fā)展大勢(shì)所趨,教育行業(yè)的網(wǎng)絡(luò)安全問題值得社會(huì)關(guān)注。
參考文獻(xiàn)
[1] 潘潤凱.教育系統(tǒng)網(wǎng)絡(luò)安全政策解讀[R].教育系統(tǒng)網(wǎng)絡(luò)安全專題研討班培訓(xùn)材料,2018.
[2] 何磊.信息安全等級(jí)保護(hù)背景下校園網(wǎng)安全體系建設(shè)初探[J].電腦知識(shí)與技術(shù),2016,12(21):26-27.
[3] 溫凱.全國人大代表陳偉才:自制展板談打防電信詐騙,“愿天下無騙”[J].中國防偽報(bào)道,2017(03):37-38.
[4] 胡江.網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)及案例剖析[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014,17(13):165+167.
[5] 張帥. 基于.NET的信息系統(tǒng)安全評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].貴州師范大學(xué),2016.
[6] 馬遙,黃俊強(qiáng).信息安全管理體系與等級(jí)保護(hù)管理要求[J].信息技術(shù),2012,36(06):140-142.
[7] 廖其耀.基于風(fēng)險(xiǎn)分析的信息系統(tǒng)等級(jí)測(cè)評(píng)[J].科技與創(chuàng)新,2017(09):128-129.
[8] 林煒.利用滲透測(cè)試進(jìn)行安全評(píng)估及效果檢查[J].華南金融電腦,2009,17(06):9-10.
[9] 吳松澤. 基于Web安全的滲透測(cè)試技術(shù)研究[D].哈爾濱師范大學(xué),2015.
[10] 黃禧亮.信息安全等級(jí)保護(hù)要求下中小學(xué)教育網(wǎng)站安全防護(hù)研究[J].廣西廣播電視大學(xué)學(xué)報(bào),2016,27(01):35-38.
[11] 姜可.信息系統(tǒng)安全等級(jí)保護(hù)實(shí)踐與思考[J].信息與電腦(理論版),2017(19):171-172.
[12] 孟慶寶.信息系統(tǒng)等級(jí)保護(hù)的建設(shè)思路與途徑[J].教育現(xiàn)代化,2017,4(38):344-345.
[13] 武騰,宋好好.教育行業(yè)信息系統(tǒng)等級(jí)保護(hù)研究[J].網(wǎng)絡(luò)空間安全,2017,8(12):8-12.
[14] 李媛. 大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)研究[D].西南政法大學(xué),2016.
[15] 數(shù)據(jù)安全治理白皮書概要版[J].網(wǎng)絡(luò)安全和信息化,2018(07):22-26.
[16] 朱天元.大數(shù)據(jù)時(shí)代信息安全的防范措施[J].信息與電腦(理論版),2018(21):212-213.
[17] 顧偉.關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的國際接軌與中國特色—《網(wǎng)絡(luò)安全法》亮點(diǎn)解讀[J].信息安全與通信保密,2016(11):48-53.
[18] 任婷,于城.從新技術(shù)角度談等級(jí)保護(hù)2.0[J].信息通信技術(shù),2018,12(06):12-17.
[19] 祝智庭,楊志和. 云技術(shù)給中國教育信息化帶來的機(jī)遇與挑戰(zhàn)[J]. 中國電化教育,2012(10):1-6.
[20] 敖翔.基于等保標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全保障體系模型研究[J].數(shù)字與縮微影像,2018(01):43-46.
[21] 加快融合創(chuàng)新發(fā)展 讓教育信息化2.0變?yōu)楝F(xiàn)實(shí)—2018年全國教育信息化工作會(huì)議召開[J].電化教育研究,2018,39(06):1.
[22] 楊志和. 教育資源云服務(wù)本體與技術(shù)規(guī)范研究[D].華東師范大學(xué),2012.
[23] 《網(wǎng)絡(luò)安全法》和云等??蚣芟缕髽I(yè)如何為安全掌舵[EB/OL]. http://finance.jrj.com.cn/2017/03/29000022241693.shtml.
[24] 王建華.信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)現(xiàn)狀及其在網(wǎng)絡(luò)安全法作用下的發(fā)展[J].中國金融電腦,2018(03):72-74.
[25] 網(wǎng)站信息安全防護(hù)措施怎么做[EB/OL]. https://www.szweb.cn/knowledge/9335.html
作者簡(jiǎn)介:
寇思佳(1992-),女,漢族,黑龍江大慶人,曼徹斯特大學(xué),碩士,中央電化教育館,研究實(shí)習(xí)員;主要研究方向和關(guān)注領(lǐng)域:網(wǎng)絡(luò)安全、教育信息化。
王琎(1989-),男,漢族,北京人,北京交通大學(xué),碩士;主要研究方向和關(guān)注領(lǐng)域:電子認(rèn)證、密碼學(xué)、網(wǎng)絡(luò)可信身份、嵌入式安全、項(xiàng)目管理。