皇甫繹達(dá) 曹海榕

【摘 要】在推進(jìn)教育信息化高質(zhì)量發(fā)展的過(guò)程中，蘇州市貫徹信息化項(xiàng)目與網(wǎng)絡(luò)安全“同步規(guī)劃、同步建設(shè)、同步使用”的原則，從網(wǎng)絡(luò)安全建設(shè)與管理相關(guān)要素出發(fā)，通過(guò)減少系統(tǒng)弱點(diǎn)信息泄露、加強(qiáng)信息資產(chǎn)管控和預(yù)警監(jiān)測(cè)、推動(dòng)教育城域網(wǎng)網(wǎng)絡(luò)基座提檔升級(jí)等舉措，逐步形成具有本地特色的市級(jí)教育系統(tǒng)網(wǎng)絡(luò)安全模式。

【關(guān)鍵詞】市級(jí)教育系統(tǒng);教育信息化;網(wǎng)絡(luò)安全體系

【中圖分類(lèi)號(hào)】TP393? 【文獻(xiàn)標(biāo)志碼】A? 【文章編號(hào)】1005-6009（2022）12-0012-04

【作者簡(jiǎn)介】1.皇甫繹達(dá)，蘇州市電化教育館（江蘇蘇州，215004）網(wǎng)運(yùn)中心副主任，工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)工程;2.曹海榕，蘇州市電化教育館（江蘇蘇州，215004）副館長(zhǎng)，高級(jí)工程師，主要研究方向?yàn)檐浖こ獭?/p>

蘇州市教育信息化工作起步早、發(fā)展快，目前全市教育系統(tǒng)互聯(lián)網(wǎng)資產(chǎn)數(shù)量已逾1600個(gè)。與此同時(shí)，近年來(lái)蘇州市教育系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)漏洞通報(bào)數(shù)量也一直居高不下，網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，成為制約蘇州市教育信息化工作進(jìn)一步提檔升級(jí)的瓶頸。為此，蘇州市教育局高度重視，由教育網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組分析網(wǎng)絡(luò)安全問(wèn)題根源，研究應(yīng)對(duì)策略，統(tǒng)籌協(xié)調(diào)全市教育系統(tǒng)網(wǎng)絡(luò)安全和信息化工作，取得明顯成效。

一、蘇州市教育系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀分析

對(duì)江蘇省教育廳、蘇州市委網(wǎng)信辦2020年度通報(bào)的蘇州市教育系統(tǒng)網(wǎng)絡(luò)安全漏洞和事件梳理分析后，發(fā)現(xiàn)我市教育系統(tǒng)網(wǎng)絡(luò)安全管理主要存在以下問(wèn)題。

（一）網(wǎng)絡(luò)安全責(zé)任意識(shí)薄弱

教育系統(tǒng)網(wǎng)絡(luò)安全人才整體較為匱乏。區(qū)域間、學(xué)校間網(wǎng)絡(luò)安全技術(shù)與管理水平差異大，未形成專(zhuān)業(yè)網(wǎng)絡(luò)安全隊(duì)伍。學(xué)校網(wǎng)絡(luò)安全工作人員基本為兼職教師，對(duì)承建企業(yè)的依賴性高，有的學(xué)校甚至將所有系統(tǒng)管理權(quán)限悉數(shù)交給承建企業(yè)技術(shù)人員。與此同時(shí)，學(xué)校網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、業(yè)務(wù)管理人員的網(wǎng)絡(luò)安全、數(shù)據(jù)安全意識(shí)不足，弱密碼、信息泄露事件頻發(fā)，網(wǎng)絡(luò)安全責(zé)任未壓實(shí)，存在較大的安全風(fēng)險(xiǎn)。

（二）網(wǎng)管團(tuán)隊(duì)業(yè)務(wù)能力不足

在日常運(yùn)維過(guò)程中，部分學(xué)校網(wǎng)絡(luò)安全工作僅著眼于邊界防護(hù)，疏于內(nèi)網(wǎng)安全防護(hù)。不少學(xué)校采用DHCP實(shí)現(xiàn)動(dòng)態(tài)地址分配，且未采用上網(wǎng)認(rèn)證，一旦病毒、挖礦木馬在校園網(wǎng)內(nèi)大肆傳播，很難做到問(wèn)題的迅速定位和及時(shí)有效處置;個(gè)別學(xué)校未在教師終端安裝惡意程序防護(hù)軟件，讓惡意軟件的傳播有機(jī)可乘。

（三）信息資產(chǎn)管控力度不大

一是信息資產(chǎn)集成度不高。基層學(xué)校信息系統(tǒng)小、散、亂，同一學(xué)校系統(tǒng)間數(shù)據(jù)割裂現(xiàn)象較為嚴(yán)重，系統(tǒng)整合度不高，承建單位技術(shù)水平參差不齊，代碼漏洞較多。各區(qū)縣教育信息化機(jī)構(gòu)采用網(wǎng)站集群方式實(shí)現(xiàn)對(duì)本地學(xué)校網(wǎng)站統(tǒng)一納管的占比不到50%。

二是信息資產(chǎn)外網(wǎng)暴露面過(guò)大。學(xué)校信息系統(tǒng)與學(xué)校網(wǎng)站一般都開(kāi)放外網(wǎng)訪問(wèn)，個(gè)別學(xué)校甚至將數(shù)據(jù)庫(kù)服務(wù)器直接暴露在外網(wǎng)，軟件代碼漏洞風(fēng)險(xiǎn)較大。

三是信息資產(chǎn)過(guò)程管理制度缺失。大部分學(xué)校未建立信息資產(chǎn)過(guò)程管理制度，很多停用的信息資產(chǎn)并未進(jìn)入資產(chǎn)銷(xiāo)毀流程。特別是系統(tǒng)經(jīng)手人員調(diào)動(dòng)后，對(duì)于部分前期已建系統(tǒng)未履行交接手續(xù)，出現(xiàn)很多游離于網(wǎng)絡(luò)管理視野之外的“失效資產(chǎn)”“失控資產(chǎn)”“失陷資產(chǎn)”，存在一定的潛在風(fēng)險(xiǎn)。

（四）應(yīng)急預(yù)案實(shí)效性不強(qiáng)

各基層學(xué)校雖已普遍制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，但極少有學(xué)校對(duì)應(yīng)急預(yù)案的科學(xué)性、合理性進(jìn)行論證分析、實(shí)踐檢驗(yàn)。個(gè)別學(xué)校在出現(xiàn)網(wǎng)絡(luò)安全事件后才發(fā)現(xiàn)所制定的應(yīng)急預(yù)案流程設(shè)計(jì)不合理、可操作性不強(qiáng);各類(lèi)學(xué)校普遍存在應(yīng)急預(yù)案制定后即束之高閣的現(xiàn)象，應(yīng)急預(yù)案實(shí)效性不強(qiáng)。

二、蘇州市教育系統(tǒng)網(wǎng)絡(luò)安全工作整改思路

根據(jù)應(yīng)急演練中入侵者的攻擊路徑（偵察—初步入侵—植入后門(mén)—橫向移動(dòng)—達(dá)成目的），我們初步確定網(wǎng)絡(luò)安全體系的構(gòu)建思路為：

一是要減少系統(tǒng)弱點(diǎn)信息泄露，防范撒網(wǎng)式偵察，讓入侵者“篩不到”有價(jià)值的信息?？赡苄孤兜娜觞c(diǎn)信息主要包括系統(tǒng)漏洞信息和與系統(tǒng)配置、用戶賬號(hào)密碼相關(guān)的情報(bào)信息等。

二是要減少對(duì)外發(fā)布的系統(tǒng)漏洞，增強(qiáng)風(fēng)險(xiǎn)隱患的主動(dòng)發(fā)現(xiàn)能力，讓入侵者“攻不進(jìn)”。

三是要加強(qiáng)內(nèi)網(wǎng)防護(hù)，防止立體化滲透，讓入侵者即便單點(diǎn)攻破，也“打不通”內(nèi)網(wǎng)其他系統(tǒng)。

四是要加強(qiáng)重要系統(tǒng)對(duì)攻擊行為的感知，讓入侵者“拿不到”核心資產(chǎn)重要數(shù)據(jù)。

五是要落實(shí)敏感信息加密保護(hù)要求，入侵者即便非法獲取了關(guān)鍵數(shù)據(jù)，也因難以解密而“看不懂”。

與此同時(shí)，還需要通過(guò)技術(shù)提檔升級(jí)、組建專(zhuān)業(yè)團(tuán)隊(duì)集中運(yùn)維等措施，切實(shí)降低基層學(xué)校網(wǎng)絡(luò)管理難度;需要通過(guò)網(wǎng)絡(luò)安全攻防演練，提前發(fā)現(xiàn)安全策略中存在的問(wèn)題與缺陷，實(shí)現(xiàn)安全策略科學(xué)合理、隱患通報(bào)數(shù)大幅下降、風(fēng)險(xiǎn)漏洞處置及時(shí)有效的管理目標(biāo)。

三、蘇州市教育系統(tǒng)加強(qiáng)網(wǎng)絡(luò)安全管理的實(shí)施舉措

（一）加強(qiáng)責(zé)任落實(shí)和宣傳培訓(xùn)，有效減少系統(tǒng)弱點(diǎn)信息泄露

在信息化應(yīng)用高度普及的今天，學(xué)校各業(yè)務(wù)部門(mén)、所有師生都是信息的使用者和生產(chǎn)者。因此，防范信息泄露風(fēng)險(xiǎn)需要采取有效手段，壓實(shí)網(wǎng)絡(luò)安全責(zé)任，開(kāi)展廣泛宣傳培訓(xùn)，增強(qiáng)廣大師生網(wǎng)絡(luò)安全防范意識(shí)，形成群防機(jī)制，才能取得實(shí)效。

1.完善管理體系。

蘇州市教育局制定并出臺(tái)網(wǎng)絡(luò)安全責(zé)任制考核實(shí)施辦法，明晰各區(qū)縣和學(xué)校網(wǎng)絡(luò)安全責(zé)任制考核要點(diǎn)，保障網(wǎng)絡(luò)安全主體責(zé)任和監(jiān)督責(zé)任的落實(shí);每年制定《全市教育系統(tǒng)信息化與網(wǎng)絡(luò)安全工作要點(diǎn)》，明確常態(tài)化進(jìn)行網(wǎng)絡(luò)安全檢查、深入開(kāi)展網(wǎng)絡(luò)安全宣傳培訓(xùn)等工作任務(wù);出臺(tái)《蘇州市教育信息系統(tǒng)日常監(jiān)測(cè)制度》《蘇州市教育系統(tǒng)網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》等具體管理制度，規(guī)范網(wǎng)絡(luò)安全工作流程和方法。蘇州市教育網(wǎng)信工作領(lǐng)導(dǎo)小組與各區(qū)縣、各直屬單位逐級(jí)簽訂網(wǎng)絡(luò)安全責(zé)任書(shū)，層層責(zé)任落實(shí)、壓力傳導(dǎo)，使全市教育系統(tǒng)各級(jí)網(wǎng)絡(luò)安全管理人員提高了政治站位和重視程度。通過(guò)推進(jìn)組織機(jī)構(gòu)建設(shè)、制度建設(shè)、責(zé)任落實(shí)，市、區(qū)、校三級(jí)縱向銜接、橫向協(xié)調(diào)的網(wǎng)絡(luò)安全工作組織管理體系正式形成。

2.組織網(wǎng)絡(luò)安全“校園日”系列活動(dòng)。

蘇州市教育局每年年初制定《蘇州市網(wǎng)絡(luò)安全校園日活動(dòng)實(shí)施方案》，部署網(wǎng)絡(luò)安全宣傳工作。在網(wǎng)絡(luò)安全宣傳周，各校深入宣傳貫徹習(xí)近平總書(shū)記關(guān)于網(wǎng)絡(luò)強(qiáng)國(guó)的重要思想，宣傳相關(guān)配套法律法規(guī);充分利用學(xué)校LED、板報(bào)、校園廣播、校園電視臺(tái)、展板、班會(huì)、黨務(wù)會(huì)議、社區(qū)宣講、家校互動(dòng)、微信公眾號(hào)、企業(yè)微信等方式營(yíng)造宣傳氛圍;組織師生收看江蘇省教育廳網(wǎng)絡(luò)安全校園日啟動(dòng)儀式;開(kāi)展國(guó)旗下網(wǎng)絡(luò)安全講話、校園日有獎(jiǎng)問(wèn)答、網(wǎng)絡(luò)安全主題班會(huì)、網(wǎng)絡(luò)安全宣傳黑板報(bào)評(píng)比、網(wǎng)絡(luò)安全主題短視頻比賽等活動(dòng)。通過(guò)各種形式的深入宣傳，普及網(wǎng)絡(luò)安全知識(shí)，提升全體師生網(wǎng)絡(luò)安全意識(shí)和防護(hù)技能。蘇州市電化教育館（以下簡(jiǎn)稱市電教館）選取部分學(xué)校制作了網(wǎng)絡(luò)安全校園日專(zhuān)題采訪節(jié)目，并通過(guò)市內(nèi)電視、地鐵、公交、教育局大屏等渠道播出，提升宣傳效果。

3.開(kāi)展“網(wǎng)絡(luò)安全師”培訓(xùn)。

蘇州市教育局制訂學(xué)?！熬W(wǎng)絡(luò)安全師”的培養(yǎng)計(jì)劃，將其作為全國(guó)智慧教育示范區(qū)創(chuàng)建內(nèi)容的重要組成部分，構(gòu)建適應(yīng)未來(lái)教育信息化發(fā)展需要的網(wǎng)絡(luò)安全人才隊(duì)伍。市電教館結(jié)合年度培訓(xùn)計(jì)劃，面向各單位信息化分管領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理員、一線教師，通過(guò)線上線下相融合的方式持續(xù)組織開(kāi)展各級(jí)各類(lèi)網(wǎng)絡(luò)安全培訓(xùn)。培訓(xùn)內(nèi)容包括信息安全、應(yīng)急響應(yīng)操作規(guī)范、網(wǎng)絡(luò)安全法解讀等，全面提高教育系統(tǒng)各單位網(wǎng)絡(luò)安全的意識(shí)和能力。2021年全市各地區(qū)網(wǎng)絡(luò)安全師培訓(xùn)人數(shù)有980人。

（二）加強(qiáng)信息資產(chǎn)管控，有效減少系統(tǒng)漏洞

1.推行信息資產(chǎn)全生命周期管理。

市電教館以開(kāi)展重要時(shí)段網(wǎng)絡(luò)安全保障專(zhuān)項(xiàng)行動(dòng)為抓手，排查梳理全市教育系統(tǒng)資產(chǎn)，關(guān)閉并注銷(xiāo)“雙非”“僵尸”風(fēng)險(xiǎn)隱患網(wǎng)站等;通過(guò)落實(shí)責(zé)任制考核要求，配合資產(chǎn)探針、人工核查等手段，指導(dǎo)和幫助學(xué)校逐步建立信息資產(chǎn)全生命周期檔案，規(guī)范信息系統(tǒng)、IP地址、域名等互聯(lián)網(wǎng)資產(chǎn)的采購(gòu)、上線、運(yùn)維、銷(xiāo)毀等各環(huán)節(jié)管理，建立健全有效的常態(tài)化數(shù)據(jù)更新機(jī)制，支撐網(wǎng)絡(luò)安全日常管理和形勢(shì)分析研判，切實(shí)解決蘇州市教育系統(tǒng)互聯(lián)網(wǎng)基礎(chǔ)資產(chǎn)“底數(shù)不清”的問(wèn)題。

2.縮小信息資產(chǎn)的外網(wǎng)暴露面。

針對(duì)僅向教師、學(xué)校管理者開(kāi)放的校級(jí)應(yīng)用系統(tǒng)，責(zé)成相關(guān)單位按期切換至教育城域網(wǎng)內(nèi)部訪問(wèn)，同時(shí)開(kāi)通外網(wǎng)訪問(wèn)VPN通道，縮小應(yīng)用系統(tǒng)的暴露面，降低系統(tǒng)遭受外部攻擊的風(fēng)險(xiǎn)。

3.逐步推進(jìn)敏感信息加密保護(hù)。

依據(jù)《密碼法》相關(guān)要求，全面梳理教育系統(tǒng)信息資產(chǎn)中承載的各類(lèi)敏感信息。根據(jù)信息系統(tǒng)的重要性、密碼保護(hù)緊迫程度，列出敏感信息加密保護(hù)需求清單，排定加密保護(hù)整改優(yōu)先級(jí)，申請(qǐng)專(zhuān)項(xiàng)經(jīng)費(fèi)，力求通過(guò)兩年時(shí)間逐一完成落實(shí)整改、清單核銷(xiāo)。

4.加強(qiáng)重要信息資產(chǎn)防護(hù)。

對(duì)訪問(wèn)承載重要信息系統(tǒng)服務(wù)器的用戶、地址、策略和工具進(jìn)行有效管控。運(yùn)維人員采用“VPN+堡壘機(jī)”的方式單點(diǎn)登錄服務(wù)器，通過(guò)口令、U盾等多因素認(rèn)證的方式維護(hù)服務(wù)器;對(duì)系統(tǒng)賬號(hào)等進(jìn)行訪問(wèn)控制，對(duì)超過(guò)安全策略之外的語(yǔ)句和高危操作進(jìn)行有效阻斷;所有操作記錄和視頻都保存在服務(wù)器本地和日志服務(wù)器中，以備查證，做到“事前阻斷，事中審計(jì)，事后可追溯”。

（三）加強(qiáng)預(yù)警監(jiān)測(cè)，增強(qiáng)風(fēng)險(xiǎn)隱患的主動(dòng)發(fā)現(xiàn)能力

1.應(yīng)用態(tài)勢(shì)感知平臺(tái)進(jìn)行常規(guī)管理。

蘇州市教育局于2018年部署態(tài)勢(shì)感知平臺(tái)，經(jīng)多次系統(tǒng)升級(jí)，目前已通過(guò)與其他安全設(shè)備（如IDS/防火墻、日志大數(shù)據(jù)平臺(tái)等）的聯(lián)動(dòng)，構(gòu)建閉環(huán)處置流程，提升了網(wǎng)絡(luò)安全的整體監(jiān)測(cè)響應(yīng)能力。自態(tài)勢(shì)感知平臺(tái)運(yùn)行以來(lái)，監(jiān)測(cè)推送風(fēng)險(xiǎn)地址5萬(wàn)個(gè)，阻斷高危IP地址400個(gè)（其中境外地址300個(gè)），督促基層學(xué)校整改網(wǎng)絡(luò)隱患120起，實(shí)現(xiàn)“事態(tài)可評(píng)估”“趨勢(shì)可預(yù)測(cè)”“風(fēng)險(xiǎn)可感應(yīng)”和“行為可管控”。

2.開(kāi)展網(wǎng)絡(luò)安全攻防演練集中檢測(cè)。

蘇州市教育局聯(lián)合市委網(wǎng)信辦、市公安局，定期開(kāi)展網(wǎng)絡(luò)安全攻防演練，通過(guò)模擬黑客的真實(shí)攻擊行為，發(fā)現(xiàn)網(wǎng)站、信息系統(tǒng)、網(wǎng)站集群中存在的隱患和漏洞，測(cè)試各單位安全策略的有效性及應(yīng)急處置能力，提升發(fā)現(xiàn)問(wèn)題、整改完善、加強(qiáng)防護(hù)的綜合維護(hù)水平。在“蘇州教育網(wǎng)安2021網(wǎng)絡(luò)安全應(yīng)急演練”中，技術(shù)團(tuán)隊(duì)共掃描全市716個(gè)教育單位的1317個(gè)在網(wǎng)應(yīng)用系統(tǒng)，重點(diǎn)測(cè)試市教育局各處室、直屬學(xué)校、單位179個(gè)信息系統(tǒng)，隨機(jī)抽查下屬市（區(qū)）應(yīng)用系統(tǒng)800余個(gè)，共發(fā)現(xiàn)問(wèn)題單位85個(gè)，突破率11.85%。隨后，市電教館組織專(zhuān)業(yè)團(tuán)隊(duì)逐一走訪檢出問(wèn)題和漏洞的區(qū)域和學(xué)校，督促完成整改，指導(dǎo)完善方案。

（四）全面加強(qiáng)信息資產(chǎn)集成，推動(dòng)教育城域網(wǎng)網(wǎng)絡(luò)基座提檔升級(jí)

積極推進(jìn)網(wǎng)站集群建設(shè)與集中運(yùn)維管理，解決學(xué)校網(wǎng)站代碼漏洞頻出問(wèn)題。以創(chuàng)建全國(guó)智慧教育示范區(qū)大平臺(tái)建設(shè)為契機(jī)，整合全市各區(qū)縣、各校、各單位應(yīng)用系統(tǒng)，逐步采取以區(qū)域統(tǒng)一建設(shè)、各校共享使用為目標(biāo)的校級(jí)應(yīng)用系統(tǒng)建設(shè)模式，切實(shí)解決應(yīng)用分散、數(shù)據(jù)割裂、數(shù)據(jù)安全缺少保障的問(wèn)題。運(yùn)用SDN技術(shù)重構(gòu)教育城域網(wǎng)網(wǎng)絡(luò)基座，加快蘇州市教育云網(wǎng)升級(jí)改造，實(shí)現(xiàn)底層網(wǎng)絡(luò)硬件資源池化，提高教育云網(wǎng)資源靈活調(diào)度，做到云網(wǎng)融合、網(wǎng)隨人動(dòng)、策略隨行，為教育系統(tǒng)每一位用戶提供專(zhuān)屬的網(wǎng)絡(luò)策略和服務(wù)，滿足日益嚴(yán)格的數(shù)據(jù)安全與個(gè)人信息保護(hù)需求，全面優(yōu)化和提升教育城域網(wǎng)的安全組網(wǎng)和服務(wù)能力，有效解決基層學(xué)校內(nèi)網(wǎng)防護(hù)薄弱問(wèn)題。蘇州市教育城域網(wǎng)SDN改造完成后，可實(shí)現(xiàn)學(xué)校新增設(shè)備網(wǎng)絡(luò)配置策略的自動(dòng)下發(fā)，有效解決基層學(xué)校網(wǎng)管專(zhuān)業(yè)技術(shù)能力不足問(wèn)題。

網(wǎng)絡(luò)安全是系統(tǒng)工程，涉及思想觀念、人員配備、資金投入、制度執(zhí)行、技術(shù)保障、監(jiān)督問(wèn)責(zé)等諸多環(huán)節(jié)，僅靠單個(gè)職能部門(mén)無(wú)法有效實(shí)施，必須統(tǒng)一領(lǐng)導(dǎo)、協(xié)調(diào)各方、形成合力，才能形成政府引導(dǎo)、需求引領(lǐng)、市場(chǎng)主導(dǎo)的良性生態(tài)，才能真正落實(shí)教育系統(tǒng)網(wǎng)絡(luò)安全職責(zé)，全面優(yōu)化教育系統(tǒng)網(wǎng)絡(luò)環(huán)境。經(jīng)過(guò)幾年來(lái)的努力，蘇州市教育系統(tǒng)網(wǎng)絡(luò)安全整體形勢(shì)明顯好轉(zhuǎn)，成功保障了“停課不停學(xué)”期間、重要安保任務(wù)開(kāi)展期間全市教育系統(tǒng)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，在近年省、市網(wǎng)絡(luò)安全責(zé)任制考核中取得了較好的成績(jī)。

3929501908296