黃禧亮

（廣西壯族自治區(qū)電化教育館，廣西　南寧　530022）

?

信息安全等級(jí)保護(hù)要求下中小學(xué)教育網(wǎng)站安全防護(hù)研究

黃禧亮

（廣西壯族自治區(qū)電化教育館，廣西南寧530022）

［摘要］信息時(shí)代步伐的加快，教育網(wǎng)站在師生的學(xué)習(xí)生活中扮演著越來越重要的角色，然而教育網(wǎng)站在為師生提供方便的同時(shí)也面臨著越來越嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)。文章分析了國(guó)內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀，在對(duì)我區(qū)教育網(wǎng)站調(diào)研的基礎(chǔ)上，結(jié)合信息安全等級(jí)保護(hù)制度，提出了針對(duì)我區(qū)中小學(xué)教育網(wǎng)站的安全防護(hù)方案。

［關(guān)鍵詞］信息安全等級(jí)保護(hù)；中小學(xué)；教育網(wǎng)站

一、研究背景

隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，計(jì)算機(jī)技術(shù)的快速普及，教育信息化正邁向步入“數(shù)字校園”時(shí)代。各級(jí)教育機(jī)構(gòu)在教育信息系統(tǒng)上的投入也在逐年增加。隨著應(yīng)用的深入，教育網(wǎng)站及教育管理信息系統(tǒng)已由原先的信息發(fā)布、形象展示平臺(tái)向擁有遠(yuǎn)程教育、資源共享、教學(xué)研究等多功能的綜合性應(yīng)用平臺(tái)轉(zhuǎn)變。在這種條件下，教育網(wǎng)站越來越多地采集、處理和存放與大眾息息相關(guān)的敏感數(shù)據(jù)，這也使它們?cè)絹碓蕉嗟爻蔀椴环ǚ肿樱ê诳停┑墓魧?duì)象。在“中國(guó)教育和科研計(jì)算機(jī)網(wǎng)緊急響應(yīng)組”（CCERT）在其發(fā)布的《2014年上半年教育網(wǎng)安全運(yùn)行匯總》中明確指出，“針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊數(shù)量正在增多，利用基礎(chǔ)網(wǎng)絡(luò)設(shè)施發(fā)起的攻擊數(shù)量也在增多，網(wǎng)站安全依然是各大院校的安全薄弱點(diǎn)，除二級(jí)院系的主頁外，各類校內(nèi)業(yè)務(wù)系統(tǒng)也正在頻繁地被攻擊”，由此可見整體網(wǎng)絡(luò)的安全形勢(shì)并不樂觀。如何確保教育網(wǎng)站的安全成了不容逃避的問題。

二、網(wǎng)絡(luò)安全研究分析

（一）我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀

根據(jù)2015年4月，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）發(fā)布的《2014年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》顯示，在2014年我國(guó)互聯(lián)網(wǎng)的威脅主要來自以下幾個(gè)方面：

1、木馬僵尸網(wǎng)絡(luò)，雖然經(jīng)過國(guó)家的治理和控制，該類型威脅已經(jīng)有所下降，但是來自國(guó)外的此類威脅卻不降反長(zhǎng)，依然不能掉以輕心。

2、拒絕服務(wù)攻擊，傳統(tǒng)拒絕服務(wù)攻擊主要依托木馬僵尸網(wǎng)絡(luò)，通過控制大量主機(jī)或服務(wù)器對(duì)受害目標(biāo)發(fā)起攻擊，近年來，拒絕服務(wù)攻擊的方式和手段不斷發(fā)展變化，呈現(xiàn)出以下特點(diǎn)：一是頻繁發(fā)生且流量規(guī)模大；二是攻擊方式復(fù)雜多樣。三是攻擊包來源以境外為主。

3、安全漏洞，涉及重要行業(yè)和政府部門的高危漏洞事件增多，所產(chǎn)生威脅逐漸向傳統(tǒng)領(lǐng)域演進(jìn)。

4、網(wǎng)絡(luò)數(shù)據(jù)泄漏，網(wǎng)站數(shù)據(jù)和個(gè)人信息數(shù)據(jù)泄漏事件仍處于高發(fā)態(tài)勢(shì)。

5、網(wǎng)站攻擊，“匿名者”等黑客組織對(duì)我國(guó)政府部門和重要企事業(yè)單位網(wǎng)站的攻擊依然頻繁，出現(xiàn)了向網(wǎng)站中植入釣魚頁面、針對(duì)性地實(shí)施拒絕服務(wù)攻擊、竊取網(wǎng)站數(shù)據(jù)等情況。

（二）我區(qū)教育網(wǎng)站安全現(xiàn)狀

依據(jù)2014年教育統(tǒng)計(jì)數(shù)據(jù)，我區(qū)義務(wù)教育階段普通小學(xué)（不含教學(xué)點(diǎn)）12946所，普通初中1843所，普通高中445所，中等職業(yè)學(xué)校262所，高等院校33所，高職高專37所，合計(jì)15566所。

結(jié)合“廣西壯族自治區(qū)教育信息化工作進(jìn)展系統(tǒng)”的最新數(shù)據(jù)顯示，以上學(xué)校中有11539所學(xué)校接入了互聯(lián)網(wǎng)，接入率74.1％；其中小學(xué)階段有9227所學(xué)校接入互聯(lián)網(wǎng)，接入率為71.3％；初中階段有1516所學(xué)校接入互聯(lián)網(wǎng)，接入率為82.3％；而高中361所學(xué)校接入互聯(lián)網(wǎng)，接入率81.1％；中等職業(yè)學(xué)校有196所學(xué)校接入互聯(lián)網(wǎng)，接入率74.8％;高校、高職、高專的接入率都達(dá)到100％?？梢娢覅^(qū)大部分學(xué)校已具有建設(shè)、使用教育網(wǎng)站和教育管理系統(tǒng)的需求，網(wǎng)絡(luò)信息化在學(xué)校教學(xué)和教育管理方面已發(fā)揮著巨大作用。

根據(jù)統(tǒng)計(jì)，2010年至2015年我區(qū)已有409個(gè)教育網(wǎng)站進(jìn)行了教育網(wǎng)站前置審核備案。

通過對(duì)前置審核數(shù)據(jù)的分析，409個(gè)教育網(wǎng)站安全情況存在以下特點(diǎn)：

1、超過半數(shù)的教育網(wǎng)站以向第三方租用網(wǎng)絡(luò)和服務(wù)器空間、購買網(wǎng)站安全服務(wù)的方式進(jìn)行網(wǎng)站部署。409所教育單位中有266所學(xué)校采用托管的方式。

采用網(wǎng)站托管的教育網(wǎng)站和教育管理系統(tǒng)中，以小學(xué)、初中所占比例很大，其次分別是中職和部分高校教育網(wǎng)站，而教育管理機(jī)構(gòu)也有一部分教育管理系統(tǒng)委托第三方托管（見圖1）。

2、采用自建自管的方式部署管理教育網(wǎng)站的教育單位，在安全技術(shù)上的投入還是不夠充分。

通過對(duì)各教育網(wǎng)站和教育管理系統(tǒng)提交的備案材料進(jìn)行分析，發(fā)現(xiàn)大部分自管網(wǎng)站的學(xué)校和教育管理單位，采用硬件防火墻設(shè)備配合防病毒軟件的方式對(duì)服務(wù)器系統(tǒng)和網(wǎng)站進(jìn)行防護(hù)，很少配備專業(yè)的漏洞掃描、入侵檢測(cè)、日志審計(jì)和數(shù)據(jù)備份等設(shè)備。部分學(xué)校在機(jī)房配套設(shè)施建設(shè)上投入較少，尤其冗余電源、防火、防塵、散熱等方面配備不夠充分。

圖1　教育網(wǎng)站托管情況分布圖

3、教育網(wǎng)站的管理單位都制定了相應(yīng)的網(wǎng)站管理制度。但管理內(nèi)容大都側(cè)重在網(wǎng)站內(nèi)容發(fā)布、用戶密碼管理、數(shù)據(jù)備份和網(wǎng)站內(nèi)容保密等方面。對(duì)于網(wǎng)站測(cè)試升級(jí)、日常檢測(cè)、服務(wù)器端口權(quán)限設(shè)置和服務(wù)器安全升級(jí)等內(nèi)容的關(guān)注度不高。

（三）我區(qū)教育網(wǎng)站安全分析

互聯(lián)網(wǎng)是最重要、最普遍的信息系統(tǒng)入口，針對(duì)網(wǎng)站的攻擊仍然是黑客主要攻擊方式。根據(jù)CNCERT發(fā)布的2014年網(wǎng)絡(luò)數(shù)據(jù)顯示，互聯(lián)網(wǎng)黑客地下產(chǎn)業(yè)仍然較為活躍，針對(duì)中國(guó)互聯(lián)網(wǎng)站的篡改、后門攻擊事件數(shù)量呈現(xiàn)逐年上升趨勢(shì)，其中政府網(wǎng)站是重要的攻擊目標(biāo)。教育網(wǎng)站和教育管理系統(tǒng)，作為兼具公益性、政府性、服務(wù)性的網(wǎng)站成為了不法份子關(guān)注的焦點(diǎn)。

而近年來信息系統(tǒng)漏洞特別是高危漏洞呈現(xiàn)逐年遞增趨勢(shì)，這給了黑客發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊或針對(duì)重要價(jià)值目標(biāo)發(fā)起攻擊的便利條件。一旦受到侵襲，教育管理系統(tǒng)所承載的數(shù)據(jù)機(jī)密性、服務(wù)可用性、信息完整性受到嚴(yán)重的威脅。所以教育管理系統(tǒng)作為信息的采集者、管理者和使用者，需要受到重點(diǎn)防護(hù)。

然而，在對(duì)教育網(wǎng)站和教育管理系統(tǒng)的進(jìn)行安全防護(hù)不能、也不可能一味追求“廣而全”、“大而全”，尤其是廣大中小學(xué)應(yīng)該在綜合考慮網(wǎng)站使用情況、經(jīng)費(fèi)、技術(shù)和人員等客觀條件之后再選擇合適的防護(hù)方案。

（四）等級(jí)保護(hù)簡(jiǎn)述

信息安全等級(jí)保護(hù)是指：對(duì)信息系統(tǒng)分等級(jí)進(jìn)行安全保護(hù)和監(jiān)管；對(duì)信息安全產(chǎn)品的使用實(shí)行分等級(jí)管理；信息安全事件實(shí)行分等級(jí)響應(yīng)、處置的制度。簡(jiǎn)單而言，就是將全國(guó)的信息系統(tǒng)（包括網(wǎng)絡(luò)）按照重要性和受破壞后的危害性分成五個(gè)安全保護(hù)等級(jí)（從第一級(jí)到第五級(jí)逐級(jí)增高），定級(jí)后第二級(jí)以上系統(tǒng)到公安機(jī)關(guān)備案，公安機(jī)關(guān)審核合格后頒發(fā)備案證明；各單位各部門根據(jù)系統(tǒng)等級(jí)按照國(guó)家標(biāo)準(zhǔn)進(jìn)行安全建設(shè)整改，聘請(qǐng)測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測(cè)評(píng)；公安機(jī)關(guān)定期開展監(jiān)督、檢查、指導(dǎo)的制度。

根據(jù)我國(guó)已經(jīng)出臺(tái)的《信息安全技術(shù)——信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，等級(jí)保護(hù)制度的實(shí)施需要管理方面措施，同時(shí)也需要有技術(shù)方面的支持。我國(guó)等級(jí)保護(hù)的核心是分級(jí)建設(shè)，分級(jí)管理，分級(jí)監(jiān)督（見表1）。

表1　安全等級(jí)表

大多數(shù)教育網(wǎng)站和教育管理系統(tǒng)（尤其中小學(xué)）針對(duì)的用戶基本都是特定人群，社會(huì)影響范圍不廣，可以將網(wǎng)站安全等級(jí)定在一級(jí)、二級(jí)。

三、中小學(xué)教育網(wǎng)站安全防護(hù)方案

（一）采用托管方式

根據(jù)等級(jí)保護(hù)要求，網(wǎng)站安全防護(hù)由管理和技術(shù)兩個(gè)方面組成，管理指的是管理制度，技術(shù)指的是安全設(shè)備和安全防護(hù)技術(shù)。廣大中小學(xué)由于缺少專項(xiàng)經(jīng)費(fèi)、技術(shù)和人員的情況下，可將教育網(wǎng)站的托管在第三方數(shù)據(jù)中心，利用第三方的技術(shù)優(yōu)勢(shì)，實(shí)現(xiàn)技術(shù)上的安全防護(hù)。為了保證能夠落實(shí)網(wǎng)站的安全防護(hù)，在選擇第三方委托管理機(jī)構(gòu)的時(shí)候，必須將教育網(wǎng)站的等級(jí)保護(hù)需求作為重要考察指標(biāo)。

在管理制度上，采用第三方托管的方式雖然硬件設(shè)備的維護(hù)不需要教育機(jī)構(gòu)負(fù)責(zé)，但是在系統(tǒng)內(nèi)容的發(fā)布、用戶賬號(hào)密碼的管理、系統(tǒng)數(shù)據(jù)的維護(hù)、系統(tǒng)技術(shù)更新等方面都離不開管理制度的保障，因此在采用托管方式管理教育網(wǎng)站和教育管理系統(tǒng)時(shí)，制定并落實(shí)管理制度是安全防護(hù)的關(guān)鍵點(diǎn)。

（二）采用自管方式

采用自管方式的學(xué)校大都擁有自己的數(shù)據(jù)機(jī)房或者數(shù)據(jù)中心，由于經(jīng)費(fèi)限制，大部分自管的中小學(xué)網(wǎng)站都是部署在數(shù)據(jù)機(jī)房之中，經(jīng)過調(diào)查了解，很多中小學(xué)的數(shù)據(jù)機(jī)房除了承載著教育網(wǎng)站的部署，還經(jīng)常承擔(dān)著學(xué)生信息技術(shù)培訓(xùn)、教師備課等功能，網(wǎng)絡(luò)環(huán)境相當(dāng)復(fù)雜。在綜合考慮了以上情況后，本著精簡(jiǎn)高效、可管可控的原則，結(jié)合安全等級(jí)保護(hù)要求提出以下建議：

1、物理安全

數(shù)據(jù)機(jī)房的位置選擇必須考慮到防風(fēng)、防潮、防雨和防雷能力。并且要做好防火措施，在條件允許的情況下可以選擇安裝自動(dòng)消防系統(tǒng)，如果條件欠缺至少要在機(jī)房入口、樓梯拐角等關(guān)鍵位置安全滅火器材。

為了防范盜竊和惡意破壞，安放服務(wù)器和安全設(shè)備的房間需要配備有效的防盜器材，例如防盜門窗、門禁系統(tǒng)等等。在布置供電線路和網(wǎng)絡(luò)線路時(shí)也應(yīng)盡量隱蔽。

廣西中小學(xué)的數(shù)據(jù)機(jī)房在防潮方面一向缺少有效的手段，為了能減輕潮氣對(duì)設(shè)備的侵害，建議在室內(nèi)配備一臺(tái)具有抽濕功能的空調(diào)設(shè)備以保障設(shè)備的正常運(yùn)轉(zhuǎn)。另外根據(jù)等級(jí)保護(hù)要求，數(shù)據(jù)機(jī)房的物理安全還包括電力供應(yīng)和電磁防護(hù)兩項(xiàng)，所以在供電線路上還需配有穩(wěn)壓器和過電防護(hù)設(shè)備，在資金寬裕的情況下還可以配置能夠短期供電的備用電源。

2、網(wǎng)絡(luò)安全

教育網(wǎng)站的安全運(yùn)行依托于穩(wěn)定的網(wǎng)絡(luò)環(huán)境。在中小學(xué)的網(wǎng)絡(luò)應(yīng)用中資源共享、文件傳輸所占的比例很大，無限制的端對(duì)端的訪問給網(wǎng)絡(luò)安全帶來很大的壓力。因此在網(wǎng)絡(luò)安全防護(hù)的第一步就是根據(jù)網(wǎng)絡(luò)各部分職能、任務(wù)劃分不同的網(wǎng)段，并為各個(gè)網(wǎng)段分配IP地址段。接著根據(jù)各網(wǎng)段業(yè)務(wù)的重要性進(jìn)行帶寬分配和訪問控制設(shè)置。等級(jí)安全保護(hù)的核心是網(wǎng)站應(yīng)用的防護(hù)，在設(shè)置訪問控制時(shí)建議只保留開通網(wǎng)站必要的端口。

由于中小學(xué)網(wǎng)絡(luò)承載的功能較多，使用人員情況復(fù)雜，尤其是在學(xué)生使用網(wǎng)絡(luò)的時(shí)候，很多非法操作會(huì)出現(xiàn)，為了避免這些行為對(duì)整個(gè)網(wǎng)絡(luò)造成不利影響，可以使用上網(wǎng)行為審計(jì)設(shè)備對(duì)網(wǎng)絡(luò)內(nèi)的操作進(jìn)行審計(jì)監(jiān)督，提前預(yù)防危險(xiǎn)的發(fā)生。

總體而言，中小學(xué)網(wǎng)絡(luò)中雖然設(shè)備不多，但是使用者能力參差不齊，容易被不法分子劫持，沒有了安全的網(wǎng)絡(luò)基礎(chǔ)，教育網(wǎng)站也很難獨(dú)善其身，因此網(wǎng)絡(luò)安全要在立足于全網(wǎng)的基礎(chǔ)上對(duì)重點(diǎn)網(wǎng)段進(jìn)行防護(hù)，在經(jīng)濟(jì)條件有限的情況下可以考慮使用“下一代防火墻”進(jìn)行邊界防護(hù)。由于“下一代防火墻”整合有多種功能，可以偵測(cè)、查殺來自外部的安全威脅，所以即便其整體運(yùn)算性能并不高，但是對(duì)于中小學(xué)這種輕量級(jí)網(wǎng)絡(luò)防護(hù)還是比較合適的。

3、主機(jī)安全

主機(jī)安全主要指的是教育網(wǎng)站服務(wù)器的安全防護(hù)。主機(jī)安全防護(hù)可以從身份鑒別、訪問控制、入侵防范、惡意代碼防范等幾個(gè)方面入手。

身份鑒別是基礎(chǔ)要求，只有合法的賬號(hào)才能登陸主機(jī)系統(tǒng)。訪問控制是要求對(duì)每個(gè)管理員用戶劃分權(quán)限，無論是系統(tǒng)管理員還是數(shù)據(jù)庫管理員，不同的管理員賬號(hào)所能登錄的設(shè)備、執(zhí)行的操作、管理的內(nèi)容都應(yīng)有嚴(yán)格的界定。入侵防范和惡意代碼防范要求管理員做好主機(jī)漏洞掃描和服務(wù)器入侵檢測(cè)，目前很多中小學(xué)教育網(wǎng)站的管理員以安裝防病毒軟件的方式滿足該要求，然而除此之外，網(wǎng)站管理員還需要對(duì)服務(wù)器設(shè)備的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)資源的運(yùn)行情況進(jìn)行監(jiān)控，以便出現(xiàn)異常情況時(shí)能夠及時(shí)處置。

4、應(yīng)用安全

應(yīng)用安全指的是教育網(wǎng)站自身的安全防護(hù)。網(wǎng)站直接面對(duì)著最終用戶，它的穩(wěn)定與否決定著用戶的體驗(yàn)效果，同時(shí)它也是外來威脅入侵的一個(gè)主要途徑。所以在網(wǎng)站防護(hù)時(shí)除了要做到對(duì)用戶訪問權(quán)限做限制、提高網(wǎng)站的容錯(cuò)性能外，還需要在網(wǎng)站通信安全、數(shù)據(jù)的完整性、訪問日志等方面下功夫。條件允許的情況下可以對(duì)網(wǎng)站做滲透攻擊測(cè)試，排除網(wǎng)站潛在的安全漏洞。

5、數(shù)據(jù)安全

隨著教育網(wǎng)站應(yīng)用的增多，服務(wù)器上存儲(chǔ)著大量的信息數(shù)據(jù)，為了避免數(shù)據(jù)損壞給網(wǎng)站損失，數(shù)據(jù)安全不容小視。結(jié)合等級(jí)保護(hù)要求，中小學(xué)網(wǎng)站應(yīng)該定時(shí)對(duì)網(wǎng)站數(shù)據(jù)作備份，并且定期對(duì)數(shù)據(jù)的完整性、備份的可用性做檢查。

以上五點(diǎn)是自管網(wǎng)站安全防護(hù)的基本要點(diǎn)，在滿足以上要求的基礎(chǔ)上配合合理的管理制度可以有效地防范外來攻擊。

四、小結(jié)

我區(qū)中小學(xué)的教育網(wǎng)站安全一直被大家所忽視，由于客觀條件的限制，中小學(xué)自建自管的網(wǎng)站容易成為不法分子攻擊的對(duì)象。在有限的條件下最大提升教育網(wǎng)站的安全防護(hù)性能，信息安全等級(jí)保護(hù)給了一個(gè)合理的指導(dǎo)。目前我國(guó)已有不少安全技術(shù)廠家開發(fā)出了適用于中小學(xué)的輕量級(jí)安全產(chǎn)品，“下一代防火墻”就是其中的典型。另外，安全防護(hù)技術(shù)固然重要，但是缺少制度的保障，再好的防護(hù)設(shè)備也是形同虛設(shè)，所以只有兩者兼?zhèn)洳拍苓_(dá)到理想的防護(hù)效果。

［參考文獻(xiàn)］

［1］GBT 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求［S］．

［2］GBT 25070-2010信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求［S］．

［3］廣西壯族自治區(qū)教育廳編.2013年廣西教育事業(yè)數(shù)據(jù)分析［M］.桂林：廣西師范大學(xué)出版社，2014.

［4］國(guó)家互聯(lián)網(wǎng)應(yīng)急中心.中國(guó)互聯(lián)網(wǎng)站發(fā)展?fàn)顩r及其安全報(bào)告(簡(jiǎn)版)（2014）[R] .2014．

［5］全國(guó)教育信息化工作進(jìn)展信息系統(tǒng)[DB/OL] .http://mis.cbern.com.cn，2014-09-15．

［責(zé)任編輯張宜］

［作者簡(jiǎn)介］黃禧亮，廣西電化教育館技術(shù)部技術(shù)員，注冊(cè)信息安全員，研究方向：信息化安全防護(hù)。

［收稿日期］2015-11-03

［中圖分類號(hào)］G434

［文獻(xiàn)標(biāo)識(shí)碼］A

［文章編號(hào)］1008-7656（2016）01-0035-04