金玉 施勁

【摘 要】隨著教育信息化2.0時代的到來，教育系統(tǒng)網(wǎng)絡(luò)信息資產(chǎn)數(shù)量越來越多、數(shù)據(jù)規(guī)模越來越大，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也越來越高，加快構(gòu)建高質(zhì)量江蘇教育系統(tǒng)網(wǎng)絡(luò)安全監(jiān)管體系，成為當(dāng)前工作亟待落實(shí)的課題。江蘇省教育系統(tǒng)網(wǎng)絡(luò)安全監(jiān)管體系基于“平臺+服務(wù)”的模式構(gòu)建，旨在依托平臺加強(qiáng)網(wǎng)絡(luò)信息資產(chǎn)和網(wǎng)絡(luò)安全事件兩個全生命周期管理，將配套制度融入平臺的流程設(shè)計(jì)中，真正提升全省教育系統(tǒng)網(wǎng)絡(luò)安全治理能力，夯實(shí)教育高質(zhì)量發(fā)展的安全底座。

【關(guān)鍵詞】網(wǎng)絡(luò)信息資產(chǎn);安全威脅;全生命周期管理;監(jiān)管體系

【中圖分類號】TP393? 【文獻(xiàn)標(biāo)志碼】A? 【文章編號】1005-6009（2022）12-0007-05

【作者簡介】1.金玉，江蘇省電化教育館（南京，210013）副館長，高級教師，主要研究方向?yàn)榻逃到y(tǒng)網(wǎng)絡(luò)安全管理;2.施勁，江蘇省電化教育館（南京，210013）信息管理部副主任，助理工程師，主要研究方向?yàn)榻逃到y(tǒng)網(wǎng)絡(luò)安全管理。

網(wǎng)絡(luò)安全事關(guān)教育改革發(fā)展穩(wěn)定大局，事關(guān)廣大師生切身利益。長期以來，江蘇教育系統(tǒng)網(wǎng)絡(luò)信息資產(chǎn)數(shù)量多、分布廣，數(shù)據(jù)規(guī)模大、價值高，網(wǎng)絡(luò)安全形勢嚴(yán)峻，高質(zhì)量網(wǎng)絡(luò)安全監(jiān)管體系亟待構(gòu)建。我們堅(jiān)持以問題為導(dǎo)向，架梁立柱，以壓實(shí)網(wǎng)絡(luò)安全工作責(zé)任為核心目標(biāo)，采用“平臺+服務(wù)”模式，輕量級部署江蘇省教育網(wǎng)絡(luò)和信息安全通報(bào)平臺;依托平臺緊抓網(wǎng)絡(luò)信息資產(chǎn)和安全事件全生命周期管理，建立網(wǎng)絡(luò)安全聯(lián)絡(luò)員制度、通報(bào)制度、網(wǎng)絡(luò)威脅情報(bào)共享制度等，實(shí)現(xiàn)全省教育系統(tǒng)資產(chǎn)摸排全部覆蓋、威脅情報(bào)全域感知、通報(bào)處置全程管理、防護(hù)能力全面提升。

一、江蘇教育系統(tǒng)網(wǎng)絡(luò)安全管理中存在的主要問題

（一）資產(chǎn)家底不清

2018年以前，江蘇教育系統(tǒng)雖已出臺關(guān)于各單位網(wǎng)絡(luò)信息資產(chǎn)備案的管理規(guī)定，但實(shí)際施行效果并不理想。由于缺乏對網(wǎng)絡(luò)信息資產(chǎn)進(jìn)行自主嗅探和智能識別的能力，很多教育單位即使未認(rèn)真落實(shí)網(wǎng)絡(luò)信息資產(chǎn)備案、未及時更新工作要求，也難以被發(fā)現(xiàn)。全省教育系統(tǒng)網(wǎng)絡(luò)信息資產(chǎn)備案更新不及時、不準(zhǔn)確，導(dǎo)致網(wǎng)絡(luò)信息資產(chǎn)底數(shù)難以摸清。

（二）處置流程不暢

由于缺乏技術(shù)支撐，很多涉事單位對本單位網(wǎng)站或信息系統(tǒng)面臨的安全威脅毫無感知能力，有些單位在網(wǎng)絡(luò)信息資產(chǎn)被入侵后不能及時有效地處理問題。作為全省教育系統(tǒng)網(wǎng)絡(luò)安全監(jiān)管負(fù)責(zé)單位，江蘇省電化教育館（以下簡稱省電教館）因?yàn)槿狈τ行У募夹g(shù)手段，對涉事單位網(wǎng)絡(luò)安全威脅和事件處置結(jié)果無法進(jìn)行及時有效跟蹤，難以形成對網(wǎng)絡(luò)安全威脅和事件的全周期管理。

（三）安全意識薄弱

在江蘇省教育網(wǎng)絡(luò)和信息安全通報(bào)平臺建成以前，我們主要通過紙質(zhì)文件方式開展網(wǎng)絡(luò)安全威脅和事件通報(bào)工作。相關(guān)單位網(wǎng)絡(luò)安全意識薄弱，在接到通報(bào)以后不能給予足夠的重視，不處置問題就直接關(guān)閉網(wǎng)站或信息系統(tǒng)，過一段時間再直接打開或讓信息系統(tǒng)“帶病”運(yùn)行，造成網(wǎng)絡(luò)安全問題屢屢復(fù)現(xiàn)。

上述三個問題具有普遍性，單純依靠行政管理手段已無法解決，我們采用“平臺+服務(wù)”的模式，逐步探索建立集資產(chǎn)發(fā)現(xiàn)管理、漏洞監(jiān)測預(yù)警、通報(bào)閉環(huán)處置、威脅情報(bào)共享、安全態(tài)勢感知、安全工作考核等一體化的多功能管理平臺，結(jié)合制度建設(shè)，構(gòu)建全省高質(zhì)量教育系統(tǒng)網(wǎng)絡(luò)安全監(jiān)管體系。

二、江蘇教育系統(tǒng)網(wǎng)絡(luò)安全監(jiān)管體系的構(gòu)建

（一）建設(shè)總體思路

江蘇教育系統(tǒng)網(wǎng)絡(luò)安全監(jiān)管體系從制度管理和技術(shù)管理兩個維度進(jìn)行構(gòu)建。我們建立健全一系列管理制度：出臺全省教育系統(tǒng)網(wǎng)絡(luò)安全責(zé)任制實(shí)施細(xì)則，明確各單位主要負(fù)責(zé)人為網(wǎng)絡(luò)安全第一責(zé)任人;制定并完善網(wǎng)絡(luò)安全責(zé)任制考核評價辦法，連續(xù)三年開展網(wǎng)絡(luò)安全工作考核，積極推動將考核結(jié)果納入省政府對設(shè)區(qū)市政府履行教育職責(zé)和高校年度綜合考核的內(nèi)容清單中;建立網(wǎng)絡(luò)安全聯(lián)絡(luò)員機(jī)制和通報(bào)制度，壓緊壓實(shí)各級網(wǎng)絡(luò)安全責(zé)任。技術(shù)管理維度原本是短板，我們堅(jiān)持以問題為導(dǎo)向，抓住網(wǎng)絡(luò)信息資產(chǎn)、網(wǎng)絡(luò)威脅和安全事件兩個關(guān)鍵點(diǎn)，建設(shè)網(wǎng)絡(luò)安全多功能綜合管理平臺。平臺按照如下原則進(jìn)行科學(xué)設(shè)計(jì)。

1.先進(jìn)可靠性。

為確保系統(tǒng)的功能性和高可靠度，平臺基于先進(jìn)的微服務(wù)架構(gòu)，當(dāng)系統(tǒng)內(nèi)部某個微服務(wù)出現(xiàn)故障時，自動進(jìn)行相關(guān)業(yè)務(wù)熔斷處理。采用LVS+Nginx+API網(wǎng)關(guān)的多層均衡架構(gòu)，保證平臺的高可用性和高吞吐量。采用minio對象分布式存儲，進(jìn)行數(shù)據(jù)冗余設(shè)計(jì)。

2.內(nèi)生安全性。

為確保系統(tǒng)和數(shù)據(jù)的安全可靠，平臺從多個層面加強(qiáng)安全防護(hù)，網(wǎng)絡(luò)訪問對話使用https協(xié)議加密，身份認(rèn)證使用強(qiáng)制口令復(fù)雜度規(guī)則和雙因子認(rèn)證，關(guān)鍵敏感數(shù)據(jù)采用加密存儲及多層過濾器、攔截器等技術(shù)。

3.可擴(kuò)展性。

為確保能夠應(yīng)對遠(yuǎn)期必然性的負(fù)載增長和偶然性的系統(tǒng)過載狀況，平臺采用數(shù)據(jù)庫橫向擴(kuò)展、分布式存儲、負(fù)載均衡等技術(shù)手段。平臺集成了mycat中間件，必要時可對底層mysql做橫向擴(kuò)展，以支持未來數(shù)據(jù)量過大的場景。平臺采用容器化編排，基于外部負(fù)載均衡和內(nèi)部負(fù)載均衡要求，可進(jìn)行各個微服務(wù)的動態(tài)伸縮。

4.良好兼容性。

平臺須與教育部相關(guān)網(wǎng)絡(luò)安全工作平臺無縫對接，實(shí)現(xiàn)組織架構(gòu)信息和資產(chǎn)信息與教育部教育行業(yè)信息資產(chǎn)管理平臺（GEDB）信息對接，得以從教育部通報(bào)平臺同步安全漏洞和安全事件等信息數(shù)據(jù)。

（二）平臺整體架構(gòu)

平臺將江蘇教育系統(tǒng)網(wǎng)絡(luò)安全監(jiān)管劃分為事前、事中、事后三個階段。事前階段主要包括網(wǎng)絡(luò)信息資產(chǎn)梳理、管理基礎(chǔ)數(shù)據(jù)維護(hù)、安全威脅情報(bào)歸集等，事中階段主要包括網(wǎng)絡(luò)安全事件的預(yù)警、檢查、處置、通報(bào)等，事后階段主要包括執(zhí)行反饋、總結(jié)報(bào)告、制定規(guī)范標(biāo)準(zhǔn)等。平臺架構(gòu)設(shè)計(jì)如圖1所示。

（三）平臺功能模塊

江蘇省教育網(wǎng)絡(luò)和信息安全通報(bào)平臺提供資產(chǎn)管理與探測服務(wù)、安全威脅通報(bào)管理服務(wù)、安全態(tài)勢感知和可視化服務(wù)、通知公告發(fā)布服務(wù)、安全預(yù)警資訊推送服務(wù)、重要時期報(bào)平安管理服務(wù)、網(wǎng)絡(luò)安全責(zé)任制考核管理服務(wù)等功能。

1.資產(chǎn)自主發(fā)現(xiàn)。

平臺具備對教育信息資產(chǎn)基礎(chǔ)數(shù)據(jù)的收集與持續(xù)更新功能，服務(wù)范圍為全省教育系統(tǒng)的網(wǎng)絡(luò)信息資產(chǎn)，便于開展全省教育系統(tǒng)網(wǎng)絡(luò)信息資產(chǎn)摸底工作。資產(chǎn)管理主要采集如下基礎(chǔ)數(shù)據(jù)：域名、IP地址及歸屬、Web首頁及其頁面內(nèi)資源、設(shè)備指紋檢測、Web容器、腳本語言、前后端開發(fā)框架等，實(shí)現(xiàn)從資產(chǎn)申報(bào)、審批、上線、維護(hù)到下線全周期管理。

平臺通過基于響應(yīng)協(xié)議指紋的網(wǎng)絡(luò)資產(chǎn)探測技術(shù)，主動探測全省教育系統(tǒng)互聯(lián)網(wǎng)信息資產(chǎn)，將探測結(jié)果通過接口與第三方平臺（教育部GEDB平臺）數(shù)據(jù)進(jìn)行自動比對，篩選出不在已知清單內(nèi)的信息資產(chǎn)并由各單位進(jìn)行確認(rèn)，最后將經(jīng)確認(rèn)的信息資產(chǎn)同步導(dǎo)入教育部GEDB平臺。以上方式可以實(shí)現(xiàn)全省教育系統(tǒng)網(wǎng)絡(luò)信息資產(chǎn)主動發(fā)現(xiàn)和動態(tài)更新，確保主管單位及時掌握網(wǎng)絡(luò)信息資產(chǎn)底數(shù)。

資產(chǎn)自主發(fā)現(xiàn)功能主要利用高速網(wǎng)絡(luò)掃描技術(shù)，其優(yōu)點(diǎn)在于：不用完成三次握手，只發(fā)送第一個SYN，而后RST取消連接，這種無狀態(tài)保持的設(shè)計(jì)，可能會因網(wǎng)絡(luò)原因丟失約2%的數(shù)據(jù)，但極大地減少了狀態(tài)記錄的開銷，有效提升了掃描效率。使用了基于素?cái)?shù)域原根或加密算法的地址生成策略，增加了相鄰掃描地址的隨機(jī)性，減少了掃描對同一IP地址段內(nèi)目標(biāo)網(wǎng)絡(luò)的壓力，不僅實(shí)現(xiàn)了高效的資源利用，而且掃描行為也較隱蔽，減少了網(wǎng)絡(luò)安全監(jiān)管活動對目標(biāo)單位信息系統(tǒng)和網(wǎng)站正常運(yùn)行的影響。

2.風(fēng)險(xiǎn)監(jiān)測預(yù)警。

通過平臺新建監(jiān)測任務(wù)，可添加監(jiān)測域名，設(shè)置漏洞、暗鏈和后門等監(jiān)測內(nèi)容，同時支持單次和周期任務(wù)，還可以自定義掃描策略。監(jiān)測完成之后，審核人員可在監(jiān)測任務(wù)列表中對監(jiān)測結(jié)果進(jìn)行審核。

3.通報(bào)處置管理。

通過審核的安全威脅和安全事件推送至通報(bào)管理模塊后，會根據(jù)平臺登記的組織架構(gòu)和人員信息進(jìn)行智能匹配，以點(diǎn)對點(diǎn)方式自動通報(bào)給對應(yīng)的責(zé)任單位或上級主管單位。通報(bào)同時支持平臺、短信和電子郵件三種提醒方式，確保聯(lián)系人及時查收。

通報(bào)下發(fā)之后，平臺會對每一起通報(bào)進(jìn)行全程跟蹤，并將通報(bào)處置狀態(tài)實(shí)時顯示在平臺上。監(jiān)管工作人員能夠方便地了解每一起通報(bào)處置進(jìn)度并及時進(jìn)行督辦，確保所有安全威脅和安全事件通報(bào)被及時、完全修復(fù)，形成管理閉環(huán)。平臺通報(bào)功能使得網(wǎng)絡(luò)安全監(jiān)管更加便捷、精準(zhǔn)、高效，有效降低網(wǎng)絡(luò)安全漏洞復(fù)現(xiàn)發(fā)生率。

4.威脅情報(bào)共享。

我們結(jié)合網(wǎng)絡(luò)安全責(zé)任考核，鼓勵市縣教育行政部門和高校加強(qiáng)網(wǎng)絡(luò)安全自主監(jiān)測力度，在確保安全的前提下共享網(wǎng)絡(luò)安全威脅信息。各單位通過平臺提交威脅信息后，省教育廳組織開展核查驗(yàn)證，并對各單位共享威脅信息的情況進(jìn)行統(tǒng)計(jì)分析，相關(guān)情況作為年度考核加分重要參考。同時依托平臺建設(shè)江蘇教育系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)情報(bào)庫，引導(dǎo)各單位自主發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞風(fēng)險(xiǎn)，建立健全威脅情報(bào)共享機(jī)制，有效提升全省教育系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知能力。

5.安全工作考核。

平臺除提供對通報(bào)處置、漏洞復(fù)現(xiàn)、情報(bào)共享等客觀數(shù)據(jù)的統(tǒng)計(jì)分析功能外，還支持對申報(bào)材料和問卷表反饋數(shù)據(jù)的自動統(tǒng)計(jì)。我們可通過創(chuàng)建考核任務(wù)、設(shè)定考核類型、確定考核指標(biāo)、分配不同權(quán)重等方式，實(shí)現(xiàn)對各單位網(wǎng)絡(luò)安全工作的自動化綜合考評。

除此之外，平臺還提供每年重要時期報(bào)平安功能，可進(jìn)行多方數(shù)據(jù)接入關(guān)聯(lián)、多維數(shù)據(jù)挖掘統(tǒng)計(jì)的網(wǎng)絡(luò)安全態(tài)勢分析和展示。

三、網(wǎng)絡(luò)安全監(jiān)管工作的實(shí)踐與思考

（一）工作進(jìn)展與成效

我們充分利用“大數(shù)據(jù)+人工智能”的先進(jìn)技術(shù)，采用“平臺+服務(wù)”的模式，依托江蘇省教育網(wǎng)絡(luò)和信息安全通報(bào)平臺強(qiáng)化監(jiān)管，構(gòu)建全省教育系統(tǒng)高質(zhì)量網(wǎng)絡(luò)安全監(jiān)管體系，促進(jìn)全省教育系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力提升。

1.教育系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測基本實(shí)現(xiàn)全覆蓋。

江蘇教育系統(tǒng)自2018年起開展網(wǎng)絡(luò)安全監(jiān)測試點(diǎn)工作，當(dāng)年監(jiān)測對象800個。2019年監(jiān)測對象在固定監(jiān)測7000個信息系統(tǒng)（含網(wǎng)站）的基礎(chǔ)上，每季度輪詢監(jiān)測一批（2000個）信息系統(tǒng)（含網(wǎng)站），基本實(shí)現(xiàn)活躍信息系統(tǒng)（含網(wǎng)站）監(jiān)測覆蓋。2020年起，監(jiān)測對象范圍進(jìn)一步擴(kuò)大，基本實(shí)現(xiàn)對全省教育網(wǎng)絡(luò)信息資產(chǎn)庫中所有資產(chǎn)監(jiān)測的全覆蓋。

2.教育系統(tǒng)網(wǎng)絡(luò)安全形勢總體向好。

平臺建成后，全省教育系統(tǒng)平均單個信息資產(chǎn)被監(jiān)測發(fā)現(xiàn)存在安全威脅的比例逐年下降，從20%降至14%。全省教育系統(tǒng)安全威脅自主發(fā)現(xiàn)能力穩(wěn)步提升。3年內(nèi)，對網(wǎng)絡(luò)安全威脅和事件平均自主發(fā)現(xiàn)比例達(dá)82.6%。網(wǎng)絡(luò)安全事件復(fù)現(xiàn)數(shù)量明顯下降，2019年復(fù)現(xiàn)事件超過80起，2020、2021連續(xù)兩年不足20起。

3.網(wǎng)絡(luò)安全考核成績良好、成效明顯。

2019 —2021年，省教育廳連續(xù)三年在教育部、省委網(wǎng)信辦組織的網(wǎng)絡(luò)安全責(zé)任制考核中名列前茅。全省教育系統(tǒng)網(wǎng)絡(luò)安全責(zé)任制考核通過平臺開展，考核數(shù)據(jù)更加客觀，流程更加規(guī)范，地方教育局、高校、事業(yè)單位等各類考核對象年度考核平均得分較上一年均有所提高。

（二）思考與展望

伴隨著江蘇省教育網(wǎng)絡(luò)和信息安全通報(bào)平臺的建設(shè)，我們對做好網(wǎng)絡(luò)安全工作進(jìn)行了深入的思考。

1.要深入理解網(wǎng)絡(luò)安全和信息化之間的關(guān)系。

習(xí)近平總書記強(qiáng)調(diào)，網(wǎng)絡(luò)安全和信息化是相輔相成的，它們是一體之兩翼、驅(qū)動之雙輪的關(guān)系，安全是發(fā)展的前提，發(fā)展是安全的保障。教育系統(tǒng)開展網(wǎng)絡(luò)安全監(jiān)管工作，為的是創(chuàng)造安全的網(wǎng)絡(luò)空間環(huán)境，更好地為教育信息化保駕護(hù)航。而做好網(wǎng)絡(luò)安全監(jiān)管工作也離不開信息化手段的支撐和保障。

2.要學(xué)會用技術(shù)思路解決管理問題。

我們發(fā)現(xiàn)具備強(qiáng)大功能的綜合性工作平臺可以化解工作中的痛點(diǎn)和難點(diǎn)，尤其是那些僅靠管理手段解決不了的問題，要善于用好技術(shù)手段。比如信息資產(chǎn)梳理采用人工填表上報(bào)的工作方式不僅統(tǒng)計(jì)效率低、數(shù)據(jù)時效性差，還加重了基層單位的工作負(fù)擔(dān)。網(wǎng)絡(luò)安全通報(bào)平臺具備了信息資產(chǎn)自動探測發(fā)現(xiàn)功能，配以相適應(yīng)的管理流程，使得多年來的難題迎刃而解。

同樣典型的還有口令管理問題。從實(shí)踐效果看，通過強(qiáng)制檢測口令復(fù)雜度、增加短信驗(yàn)證碼等方式，能夠?qū)Υ诉M(jìn)行有效管理。虛擬貨幣“挖礦”整治、訪問非法網(wǎng)站管控和溯源等問題的解決，也可以充分利用技術(shù)思路。

功能強(qiáng)大的綜合性平臺使得考核工作有據(jù)可依。一方面，對各單位應(yīng)履行而未履行的網(wǎng)絡(luò)安全義務(wù)，通過平臺可以確?？鄯掷碛沙浞?。另一方面，對所倡導(dǎo)的行為設(shè)定合理的加分規(guī)則，比如引導(dǎo)各單位積極共享威脅情報(bào)，建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)情報(bào)庫，健全威脅情報(bào)共享機(jī)制，促使被監(jiān)管單位主動開展相關(guān)工作，有利于充分釋放數(shù)據(jù)效能，提升全省教育系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢整體感知能力。

3.要把監(jiān)管工作方式從“提要求”轉(zhuǎn)變?yōu)椤白龇?wù)”。

綜合性網(wǎng)絡(luò)平臺提供了全省教育系統(tǒng)整體統(tǒng)籌推進(jìn)工作的條件，利于轉(zhuǎn)變監(jiān)管工作方式，將“提要求”變成“做服務(wù)”。如被監(jiān)管單位只要做好資產(chǎn)確認(rèn)及在指導(dǎo)下修復(fù)漏洞即可，網(wǎng)絡(luò)安全工作難度降低，效率提升，有利于形成上下齊心的局面，促使全省教育系統(tǒng)網(wǎng)絡(luò)安全整體情況向好發(fā)展。

在監(jiān)管工作不斷收獲成效的過程中，平臺本身積累了大量寶貴的原始數(shù)據(jù)，這是將來實(shí)現(xiàn)教育網(wǎng)絡(luò)安全治理工作更上一層樓的重要基礎(chǔ)。數(shù)據(jù)作為新型生產(chǎn)要素，只有流動、分享、加工處理才能創(chuàng)造價值。下一步，在確保數(shù)據(jù)安全的前提下，我們將積極探索利用人工智能、大數(shù)據(jù)技術(shù)深入挖掘平臺積累數(shù)據(jù)所蘊(yùn)藏的價值，利用數(shù)據(jù)對全省教育網(wǎng)絡(luò)安全工作情況進(jìn)行精準(zhǔn)“畫像”，加強(qiáng)數(shù)據(jù)研究，對存在問題及其原因進(jìn)行深入剖析，提升相關(guān)資源配置效率，進(jìn)一步優(yōu)化網(wǎng)絡(luò)安全監(jiān)管體系結(jié)構(gòu)。

3771501908220