■ 武漢市教育科學(xué)研究院 譚小花 陳義軍 彭 康

網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪。隨著教育信息化的快速發(fā)展和廣泛應(yīng)用，教育系統(tǒng)面臨的網(wǎng)絡(luò)安全問題日益突出，教育系統(tǒng)遭受的網(wǎng)絡(luò)攻擊以及信息系統(tǒng)網(wǎng)站漏洞通報(bào)數(shù)量也持續(xù)增加。截至2021年10月下旬，根據(jù)我市教育系統(tǒng)預(yù)警監(jiān)測(cè)系統(tǒng)數(shù)據(jù)統(tǒng)計(jì)，2021年共通報(bào)81起信息系統(tǒng)網(wǎng)站漏洞。中小學(xué)校作為教育系統(tǒng)初等教育、中等教育學(xué)校的主要組成部分，網(wǎng)絡(luò)安全問題也比較突出，部分學(xué)校因網(wǎng)絡(luò)安全問題被迫關(guān)閉信息系統(tǒng)網(wǎng)站，嚴(yán)重阻礙了學(xué)校教育信息化發(fā)展。

一、問題分析

中小學(xué)校在信息化建設(shè)過程中，網(wǎng)絡(luò)信息資產(chǎn)越來越多，網(wǎng)絡(luò)安全問題也日益突出，主要表現(xiàn)在四個(gè)方面：一是網(wǎng)絡(luò)信息資產(chǎn)自身面臨風(fēng)險(xiǎn)；二是網(wǎng)絡(luò)安全意識(shí)有待提升；三是網(wǎng)絡(luò)安全管理有待加強(qiáng)；四是網(wǎng)絡(luò)安全技術(shù)防護(hù)有待完善。

1.網(wǎng)絡(luò)信息資產(chǎn)面臨較多風(fēng)險(xiǎn)

信息化建設(shè)進(jìn)程中，中小學(xué)校的網(wǎng)絡(luò)信息資產(chǎn)從基礎(chǔ)網(wǎng)絡(luò)擴(kuò)大到信息系統(tǒng)網(wǎng)站，無論是基礎(chǔ)網(wǎng)絡(luò)還是信息系統(tǒng)網(wǎng)站自身面臨較多風(fēng)險(xiǎn)?；A(chǔ)網(wǎng)絡(luò)一方面面臨來自互聯(lián)網(wǎng)的黑客入侵、拒絕服務(wù)攻擊、APT高級(jí)持續(xù)攻擊、惡意文件、非授權(quán)接入等網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)，另一方面又有校園內(nèi)部不規(guī)范、無管控、獵奇的上網(wǎng)行為習(xí)慣帶來的終端安全風(fēng)險(xiǎn)；信息系統(tǒng)網(wǎng)站因?yàn)榻⒅醯闹貞?yīng)用輕安全以及web服務(wù)軟件的漏洞，自身存在較多安全漏洞，除此之外還有SQL注入等應(yīng)用攻擊及頁面篡改等風(fēng)險(xiǎn)。

2.網(wǎng)絡(luò)安全意識(shí)有待提升

中小學(xué)校整體網(wǎng)絡(luò)安全意識(shí)不足。一是學(xué)校領(lǐng)導(dǎo)不夠重視網(wǎng)絡(luò)安全工作，各項(xiàng)網(wǎng)絡(luò)安全保障工作無法在學(xué)校有效地推進(jìn)；二是普通老師認(rèn)為網(wǎng)絡(luò)安全與自己無關(guān)，缺乏網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)，不能做到合規(guī)、安全地用網(wǎng)。

3.網(wǎng)絡(luò)安全管理有待加強(qiáng)

中小學(xué)校在網(wǎng)絡(luò)安全機(jī)構(gòu)、制度、人員、建設(shè)及運(yùn)維管理上都有待加強(qiáng)。據(jù)2019年不完全統(tǒng)計(jì)，我市部分中小學(xué)校無專崗專人負(fù)責(zé)網(wǎng)絡(luò)安全工作，大部分學(xué)校信息系統(tǒng)網(wǎng)站由第三方公司運(yùn)維但缺少運(yùn)維管理制度，其他相關(guān)制度約35%的學(xué)校未建立網(wǎng)絡(luò)安全制度，部分學(xué)校雖建有制度但存在不完善，針對(duì)性不夠，可行性不強(qiáng)的問題。

4.網(wǎng)絡(luò)安全技術(shù)防護(hù)有待完善

中小學(xué)校網(wǎng)絡(luò)安全技術(shù)防護(hù)存在不足。我市中小學(xué)校中約20%左右的學(xué)校未部署任何網(wǎng)絡(luò)安全防護(hù)設(shè)備，部分學(xué)校雖然部署了設(shè)備，但也存在防護(hù)設(shè)備單一、老舊及安全防護(hù)規(guī)則庫長(zhǎng)期未升級(jí)的情況。

二、改進(jìn)建議

面對(duì)居高不下的網(wǎng)絡(luò)攻擊以及學(xué)校網(wǎng)絡(luò)安全問題較多的實(shí)際情況，要從意識(shí)、管理、技術(shù)、規(guī)定動(dòng)作四個(gè)方面著手，筑牢中小學(xué)校網(wǎng)絡(luò)安全防線。

1.強(qiáng)化網(wǎng)絡(luò)安全意識(shí)

首先，要對(duì)學(xué)校領(lǐng)導(dǎo)進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)，明確網(wǎng)絡(luò)安全責(zé)任和保護(hù)義務(wù)，提高認(rèn)識(shí)。按照《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》，領(lǐng)導(dǎo)班子主要負(fù)責(zé)人是第一責(zé)任人，主管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)班子成員是直接責(zé)任人。根據(jù)《網(wǎng)絡(luò)安全法》，學(xué)校應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，若未履行義務(wù)且造成網(wǎng)絡(luò)安全后果的，依法對(duì)學(xué)校及直接負(fù)責(zé)的主管人員追究法律責(zé)任。其次，要對(duì)普通老師開展網(wǎng)絡(luò)安全意識(shí)培訓(xùn)及網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)培訓(xùn)，明確網(wǎng)絡(luò)安全與中小學(xué)校每個(gè)人都是密切相關(guān)的。網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民。老師作為人民的一份子，可能是網(wǎng)絡(luò)隱患的帶來者，也有著自覺維護(hù)學(xué)校網(wǎng)絡(luò)安全的責(zé)任和義務(wù)。

2.加強(qiáng)網(wǎng)絡(luò)安全管理

《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南》（試行）對(duì)中小學(xué)信息系統(tǒng)網(wǎng)站等級(jí)保護(hù)建議定為一級(jí)，學(xué)校實(shí)際定級(jí)時(shí)，根據(jù)信息系統(tǒng)網(wǎng)站的重要性定為一級(jí)及以上。按照《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中規(guī)定的管理要求，落實(shí)學(xué)校機(jī)構(gòu)、人員、制度、建設(shè)及運(yùn)維管理。一是設(shè)置專崗專人負(fù)責(zé)校園網(wǎng)絡(luò)安全，并進(jìn)行崗位技能培訓(xùn)；二是對(duì)學(xué)校日常涉及到的網(wǎng)絡(luò)安全管理活動(dòng)建立網(wǎng)絡(luò)安全管理制度，例如崗位和人員管理制度、資產(chǎn)和設(shè)備管理制度、備份和恢復(fù)管理制度、應(yīng)急處置預(yù)案等；三是加強(qiáng)信息化項(xiàng)目建設(shè)管理。信息化建設(shè)項(xiàng)目同網(wǎng)絡(luò)安全同步規(guī)劃、同步建設(shè)、同步運(yùn)行，項(xiàng)目驗(yàn)收時(shí)要進(jìn)行安全性測(cè)試驗(yàn)收；四是做好運(yùn)維管理，具體包括設(shè)備維護(hù)管理、漏洞風(fēng)險(xiǎn)管理、惡意代碼防范管理、備份與恢復(fù)管理、安全事件處置等。

3.完善網(wǎng)絡(luò)安全技術(shù)防護(hù)

針對(duì)中小學(xué)校資產(chǎn)狀況及面臨的主要風(fēng)險(xiǎn)，分類對(duì)中小學(xué)校安全提供最小化防護(hù)建議。

對(duì)沒有信息系統(tǒng)網(wǎng)站只有基礎(chǔ)網(wǎng)絡(luò)的中小學(xué)校，加強(qiáng)邊界安全防護(hù)和終端安全防護(hù)。一是部署下一代防火墻實(shí)現(xiàn)安全域隔離、網(wǎng)絡(luò)地址轉(zhuǎn)換和基礎(chǔ)的流量控制、ISP負(fù)載均衡和VPN等；二是部署上網(wǎng)行為管理實(shí)現(xiàn)校園網(wǎng)用戶實(shí)名訪問互聯(lián)網(wǎng)及校內(nèi)應(yīng)用的上網(wǎng)行為審計(jì)與管控、在線聊天管控、上網(wǎng)泄密管控以及上網(wǎng)流量管控等。

針對(duì)有信息系統(tǒng)網(wǎng)站的中小學(xué)校，加強(qiáng)基礎(chǔ)網(wǎng)絡(luò)防護(hù)的同時(shí)重點(diǎn)關(guān)注信息系統(tǒng)網(wǎng)站的安全。一是部署下一代防火墻和上網(wǎng)行為管理保障邊界及終端安全；二是部署WAF，阻斷SQL注入、跨站腳本等應(yīng)用層攻擊；三是部署防篡改保護(hù)網(wǎng)頁不被非法訪問和篡改；四是按照等級(jí)保護(hù)日志留存六個(gè)月的要求，部署日志審計(jì)。對(duì)于信息系統(tǒng)網(wǎng)站未部署在本地的學(xué)校，通過購買服務(wù)方式，實(shí)現(xiàn)對(duì)信息系統(tǒng)網(wǎng)站的相關(guān)技術(shù)防護(hù)。

4.落實(shí)網(wǎng)絡(luò)安全規(guī)定動(dòng)作

《網(wǎng)絡(luò)安全法》法律責(zé)任條款中規(guī)定：未履行相關(guān)保護(hù)義務(wù)，將被追究相應(yīng)的法律責(zé)任。因此，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)是《網(wǎng)絡(luò)安全法》的基本要求，保護(hù)義務(wù)中除上文提到的管理制度、技術(shù)防護(hù)、日志留存等外，還包括網(wǎng)絡(luò)安全規(guī)定動(dòng)作：一是做好及配合做好監(jiān)測(cè)工作。一方面將學(xué)校所屬信息資產(chǎn)及時(shí)上報(bào)給上級(jí)網(wǎng)絡(luò)安全管理部門，納入上級(jí)預(yù)警監(jiān)測(cè)系統(tǒng)；另一方面加強(qiáng)對(duì)本校資產(chǎn)的自我監(jiān)測(cè)，可以通過購買專業(yè)網(wǎng)絡(luò)安全公司服務(wù)，也可以使用appscan、burpsuite等工具自我檢測(cè)。但無論是哪一種方式，對(duì)掃描監(jiān)測(cè)發(fā)現(xiàn)的漏洞一定要第一時(shí)間進(jìn)行整改，盡早消除風(fēng)險(xiǎn)隱患。二是開展應(yīng)急演練，確保發(fā)生真正的網(wǎng)絡(luò)安全事件時(shí)，能夠第一時(shí)間進(jìn)行應(yīng)急響應(yīng)及處置。三是開展自查整改工作。學(xué)校每年至少要開展一次網(wǎng)絡(luò)安全自查工作，可以以網(wǎng)安部署的督查檢查工作為契機(jī)，通過自查發(fā)現(xiàn)本校的網(wǎng)絡(luò)安全工作存在的問題，能夠整改的立刻整改，不能立刻整改的建立整改計(jì)劃及方案，逐步完善學(xué)校網(wǎng)絡(luò)安全。