王廣平 周學(xué)和 木合塔爾·沙地克 李東亮 王命全

摘? ?要：網(wǎng)絡(luò)安全和信息化是事關(guān)國(guó)家安全和發(fā)展、廣大人民群眾工作生活的重大戰(zhàn)略問題。近年來(lái)，我國(guó)相繼出臺(tái)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、“網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0” 等相關(guān)法律法規(guī)及標(biāo)準(zhǔn)，對(duì)各行業(yè)的網(wǎng)絡(luò)安全提出了嚴(yán)格要求。文章結(jié)合新疆教育行政四級(jí)專網(wǎng)的實(shí)際狀況，根據(jù)“網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0”的基本要求，按照分域保護(hù)、訪問控制、身份認(rèn)證、惡意代碼防范、入侵檢測(cè)、數(shù)據(jù)安全、終端安全、管理審計(jì)、風(fēng)險(xiǎn)預(yù)警、集中統(tǒng)一安全管理等，從技術(shù)和管理兩個(gè)層面構(gòu)建了一套基于新疆教育行政四級(jí)專網(wǎng)“可信、可控、可管”的網(wǎng)絡(luò)安全防護(hù)管理體系，以有效防范、控制和抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障數(shù)據(jù)、系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)的安全，增強(qiáng)網(wǎng)絡(luò)安全預(yù)警，提高新疆教育系統(tǒng)整體網(wǎng)絡(luò)安全的防護(hù)水平。

關(guān)鍵詞：四級(jí)專網(wǎng);等保2.0;數(shù)據(jù)安全;網(wǎng)絡(luò)安全;防護(hù)體系

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)志碼：B? ? ? ? ? 文章編號(hào)：1673-8454（2022）10-0077-07

教育專網(wǎng)是教育信息化的重要基礎(chǔ)設(shè)施，是推動(dòng)實(shí)現(xiàn)《教育信息化2.0行動(dòng)計(jì)劃》發(fā)展目標(biāo)的基本保障條件。教育專網(wǎng)采取分級(jí)投入方式，在提升現(xiàn)有中國(guó)教育和科研計(jì)算機(jī)網(wǎng)（China Education and Research Network，簡(jiǎn)稱CERNET）網(wǎng)絡(luò)資源的基礎(chǔ)上[1]，充分利用國(guó)家公共通信資源，建設(shè)國(guó)家主干網(wǎng)、?。ㄊ校┙逃W(wǎng)和學(xué)校接入網(wǎng)三級(jí)結(jié)構(gòu)教育專網(wǎng)，支撐各類創(chuàng)新型教學(xué)的常態(tài)化應(yīng)用，推動(dòng)優(yōu)質(zhì)教育資源開放共享，縮小區(qū)域、城鄉(xiāng)、校際之間的差距，實(shí)現(xiàn)更加公平的教育，全面助力教育強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)進(jìn)程。

目前，新疆教育行政四級(jí)專網(wǎng)實(shí)現(xiàn)了全區(qū)14個(gè)地州、93個(gè)縣市教育局、4655所中小學(xué)校、5家直屬單位的網(wǎng)絡(luò)接入。全區(qū)37所高等院校和單位通過(guò)專線接入方式聯(lián)接到中國(guó)教育和科研計(jì)算機(jī)網(wǎng)新疆區(qū)域節(jié)點(diǎn)，其網(wǎng)絡(luò)主節(jié)點(diǎn)帶寬10G。依據(jù)建設(shè)國(guó)家教育專網(wǎng)的規(guī)劃，已具備構(gòu)建國(guó)家教育專網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)。本研究基于新疆教育行政四級(jí)專網(wǎng)，參照“網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0”等相關(guān)法律法規(guī)及標(biāo)準(zhǔn)[2]，從技術(shù)和管理兩個(gè)層面健全和完善了新疆教育行政四級(jí)專網(wǎng)安全防護(hù)體系，積極探索該體系的建設(shè)方式。

一、網(wǎng)絡(luò)安全現(xiàn)狀

近年來(lái)，新疆全區(qū)各級(jí)教育行政部門和學(xué)校普遍構(gòu)建了網(wǎng)絡(luò)安全防護(hù)體系，完善了網(wǎng)絡(luò)安全工作機(jī)制，網(wǎng)絡(luò)安全在全區(qū)教育系統(tǒng)的重視程度前所未有，但也面臨著越來(lái)越嚴(yán)峻的網(wǎng)絡(luò)安全問題。據(jù)《新疆維吾爾自治區(qū)基礎(chǔ)教育信息化發(fā)展報(bào)告（2020）》顯示，新疆全區(qū)基礎(chǔ)教育階段完成信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的學(xué)校比例為45.85%，建立網(wǎng)絡(luò)與信息安全技術(shù)防護(hù)體系的學(xué)校比例為35.89%，制定網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案的學(xué)校比例為56.20%，開展網(wǎng)絡(luò)安全專題培訓(xùn)的學(xué)校比例為71.74%。當(dāng)前，新疆全區(qū)教育系統(tǒng)普遍存在安全漏洞、弱口令、敏感信息泄露、暗鏈、后門等網(wǎng)絡(luò)安全隱患，根據(jù)教育部教育系統(tǒng)網(wǎng)絡(luò)安全工作管理平臺(tái)等對(duì)新疆全區(qū)網(wǎng)絡(luò)安全的監(jiān)測(cè)數(shù)據(jù)顯示，2021年度新疆全區(qū)教育系統(tǒng)共通報(bào)網(wǎng)絡(luò)安全隱患204起，涉及全區(qū)教育系統(tǒng)53家單位，主要集中在高等院校。

二、產(chǎn)生風(fēng)險(xiǎn)的主要原因分析

產(chǎn)生網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的原因主要如下：一是用戶安全意識(shí)薄弱。信息系統(tǒng)終端用戶不注重終端系統(tǒng)的安全防護(hù)[3]，導(dǎo)致個(gè)人終端安全問題頻發(fā)。此外，網(wǎng)絡(luò)安全管理人員業(yè)務(wù)能力不強(qiáng)、運(yùn)維過(guò)程中產(chǎn)生人為操作失誤是造成信息泄露事件的主要原因之一。二是專網(wǎng)內(nèi)各類信息資源安全防護(hù)措施不健全，大量敏感數(shù)據(jù)（個(gè)人信息）以明文形式存儲(chǔ)在數(shù)據(jù)庫(kù)系統(tǒng)中[4]，數(shù)據(jù)庫(kù)防護(hù)薄弱，增加了數(shù)據(jù)安全風(fēng)險(xiǎn)。三是網(wǎng)絡(luò)重點(diǎn)區(qū)域防護(hù)措施不強(qiáng)，安全邊界管理不清晰，網(wǎng)絡(luò)各區(qū)域邊界還缺少安全防護(hù)設(shè)備和相應(yīng)安全訪問控制策略。四是監(jiān)控手段不足，導(dǎo)致數(shù)據(jù)非法調(diào)用、越權(quán)使用[4]，教育信息泄露風(fēng)險(xiǎn)難以管控。五是網(wǎng)絡(luò)安全工作責(zé)任制落實(shí)不到位，亟需開展等級(jí)保護(hù)測(cè)評(píng)和系統(tǒng)安全加固。六是教育系統(tǒng)技術(shù)專職隊(duì)伍建設(shè)不夠完善，專職人員培訓(xùn)和管理機(jī)制不健全。

三、教育專網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)研究

針對(duì)上述問題，如何進(jìn)一步完善新疆教育行政四級(jí)專網(wǎng)網(wǎng)絡(luò)安全防護(hù)技術(shù)措施，解決專網(wǎng)現(xiàn)實(shí)存在的安全風(fēng)險(xiǎn)隱患，提升網(wǎng)絡(luò)安全保護(hù)能力和管理能力，形成一套動(dòng)態(tài)的可持續(xù)的主動(dòng)防御體系，滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)技術(shù)要求[5]，成為本研究重點(diǎn)關(guān)注的內(nèi)容。

網(wǎng)絡(luò)安全防護(hù)體系建設(shè)的基本原則主要為：等級(jí)保護(hù)原則、體系化原則、多重保護(hù)原則、最小授權(quán)原則、安全服務(wù)原則等。

（一）構(gòu)建安全技術(shù)體系

按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度“一個(gè)中心，三重防護(hù)”[6]的要求和安全建設(shè)理念，加強(qiáng)網(wǎng)絡(luò)三重防護(hù)建設(shè)。

1.安全通信網(wǎng)絡(luò)

按照分域保護(hù)，將網(wǎng)絡(luò)從結(jié)構(gòu)上分為不同的安全區(qū)域[7]，各個(gè)安全區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、應(yīng)用系統(tǒng)形成單獨(dú)的環(huán)境，各個(gè)安全區(qū)域之間形成邊界，從保護(hù)邊界、通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行分區(qū)控制、分等級(jí)控制，管理層次分明，局部的變動(dòng)不影響上層或全局配置。

（1）安全劃分子網(wǎng)

新疆教育行政四級(jí)專網(wǎng)劃分為安全管理區(qū)域、服務(wù)器區(qū)域、核心交換區(qū)域、網(wǎng)絡(luò)出口區(qū)域、辦公接入?yún)^(qū)、專網(wǎng)接入?yún)^(qū)等子網(wǎng)。安全域劃分之后，再通過(guò)虛擬局域網(wǎng)（VLAN）劃分，將不同用戶群劃分在不同VLAN，可以控制網(wǎng)段大小、用戶訪問權(quán)限，隔離安全隱患。在新疆維吾爾自治區(qū)教育廳數(shù)據(jù)中心網(wǎng)絡(luò)出口區(qū)與四級(jí)專網(wǎng)間部署防火墻進(jìn)行隔離。通過(guò)將不同網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)系統(tǒng)劃分在不同的安全域，可以實(shí)現(xiàn)分域分等級(jí)保護(hù)，針對(duì)不同安全域部署不同的安全策略。不同安全域之間通過(guò)網(wǎng)絡(luò)安全邊界來(lái)實(shí)現(xiàn)有效隔離和有選擇性的通信，保護(hù)重要網(wǎng)段。

根據(jù)對(duì)不同安全域的安全要求，將安全域劃分為三個(gè)等級(jí)：業(yè)務(wù)服務(wù)區(qū)域、安全管理區(qū)域?yàn)樽罡甙踩?辦公區(qū)域?yàn)橹屑?jí)安全域;教育四級(jí)接入域?yàn)榈图?jí)安全域。不同網(wǎng)絡(luò)區(qū)域采取不同的訪問控制策略，一般對(duì)高安全域進(jìn)行最佳保護(hù)，防止低級(jí)別安全域的用戶對(duì)其進(jìn)行泄漏、篡改、破壞等的攻擊，高級(jí)別安全域中的資源不能由非授權(quán)的低級(jí)別安全域用戶使用、修改、破壞。

（2）用戶分級(jí)

新疆教育行政四級(jí)專網(wǎng)從教育廳本級(jí)向下可分為二級(jí)各地（州、市）級(jí)、三級(jí)縣（市、區(qū)）級(jí)和四級(jí)各類學(xué)校，通過(guò)分層分級(jí)逐層收斂的方式搭建整個(gè)全區(qū)的新疆教育專網(wǎng)。網(wǎng)絡(luò)地址采用靜態(tài)IP地址劃分，IP地址的管理實(shí)行三個(gè)“統(tǒng)一”：統(tǒng)一規(guī)劃、統(tǒng)一分配、統(tǒng)一管理辦法。地州級(jí)教育系統(tǒng)、縣市級(jí)教育系統(tǒng)、中小學(xué)校級(jí)等各級(jí)網(wǎng)絡(luò)據(jù)此規(guī)范管理和使用固定IP地址、劃分VLAN，并與MAC地址綁定，可以有效規(guī)避非法用戶的接入，從網(wǎng)絡(luò)層進(jìn)行安全保護(hù)。

2.安全區(qū)域邊界

（1）邊界防護(hù)

在新疆教育行政四級(jí)專網(wǎng)各區(qū)域邊界部署訪問控制設(shè)備，保證跨越邊界的訪問和數(shù)據(jù)流通過(guò)邊界防護(hù)設(shè)備提供的受控接口進(jìn)行通信，安全子網(wǎng)區(qū)域配置邊界防火墻和入侵防御系統(tǒng)（IPS）進(jìn)行網(wǎng)絡(luò)區(qū)域的隔離，對(duì)異常流量進(jìn)行檢測(cè)和阻斷。防火墻是網(wǎng)絡(luò)層的核心防護(hù)措施，它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口級(jí)的訪問控制。開啟防病毒模塊，實(shí)施網(wǎng)絡(luò)層惡意代碼的安全防護(hù)，防止惡意代碼在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)的擴(kuò)散，實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制和邏輯隔離，防止非授權(quán)訪問。

（2）訪問控制

在新疆教育行政四級(jí)專網(wǎng)核心交換機(jī)上配置端口級(jí)訪問控制列表策略，對(duì)重要網(wǎng)段及設(shè)備進(jìn)行IP與MAC地址綁定。訪問控制主要包括服務(wù)器區(qū)域訪問控制、用戶網(wǎng)絡(luò)準(zhǔn)入、CERNET網(wǎng)訪問控制。

①服務(wù)器區(qū)域訪問控制。在核心交換機(jī)上部署訪問控制列表（ACL）策略，配置服務(wù)器區(qū)域防火墻、入侵防御系統(tǒng)安全策略，實(shí)現(xiàn)服務(wù)器區(qū)安全訪問。②用戶網(wǎng)絡(luò)準(zhǔn)入。網(wǎng)絡(luò)準(zhǔn)入主要為內(nèi)部用戶提供全方位的身份認(rèn)證、安全審計(jì)、行為管理、安全隔離，防止非法用戶接入;通過(guò)端口綁定，防止IP地址欺騙;配置動(dòng)態(tài)ARP防護(hù)，防止ARP病毒;配置DHCP欺騙防護(hù)，防止DHCP病毒，最大程度地降低用戶接入層對(duì)整個(gè)網(wǎng)絡(luò)造成的威脅。③CERNET網(wǎng)訪問控制。新疆教育行政四級(jí)專網(wǎng)出口部署分布式拒絕服務(wù)攻擊（DDoS）監(jiān)測(cè)及流量清洗設(shè)備、流量分析設(shè)備以及入侵檢測(cè)設(shè)備，防止CERNET網(wǎng)對(duì)內(nèi)網(wǎng)的網(wǎng)絡(luò)攻擊行為，在防火墻上實(shí)施基本的訪問控制策略，在防火墻配置會(huì)話監(jiān)控策略、會(huì)話限制策略、日志審計(jì)策略等。

3.安全計(jì)算環(huán)境

（1）身份鑒別

對(duì)新疆教育行政四級(jí)專網(wǎng)用戶進(jìn)行身份鑒別是保障網(wǎng)絡(luò)安全的重要措施，統(tǒng)一用戶身份認(rèn)證采用CA+SSLVPN，通過(guò)統(tǒng)一的身份認(rèn)證入口進(jìn)行認(rèn)證。按最小授權(quán)原則，用戶在登錄系統(tǒng)時(shí)需相應(yīng)的身份驗(yàn)證并通過(guò)加密算法和數(shù)字簽名算法對(duì)用戶的身份驗(yàn)證[8]及傳輸進(jìn)行加密。

根據(jù)信息業(yè)務(wù)系統(tǒng)級(jí)別不同，采用的認(rèn)證方式不同，每個(gè)應(yīng)用系統(tǒng)都有自己的賬戶體系，管理員可以在統(tǒng)一身份認(rèn)證與權(quán)限管理系統(tǒng)中配置某個(gè)用戶在系統(tǒng)中對(duì)若干賬戶的訪問權(quán)限。教育安全認(rèn)證體系，主要包括CA系統(tǒng)、CA門戶系統(tǒng)、LDAP部署和證書受理點(diǎn)。部署電子簽章系統(tǒng)，實(shí)現(xiàn)電子簽章業(yè)務(wù)基礎(chǔ)環(huán)境、日常服務(wù)支持，為RA系統(tǒng)提供運(yùn)行維護(hù)與保障。管理員用戶按分級(jí)分權(quán)，通過(guò)運(yùn)維堡壘機(jī)或采用數(shù)字證書雙因子認(rèn)證實(shí)現(xiàn)身份鑒別，登錄運(yùn)維系統(tǒng)。業(yè)務(wù)操作用戶采用分級(jí)分權(quán)，采用雙因素身份鑒別方式登錄，阻止沒有權(quán)限的用戶對(duì)終端機(jī)或信息系統(tǒng)進(jìn)行訪問。一般用戶采用用戶名+密碼方式或直接登錄，權(quán)限主要是瀏覽和查閱。

（2）入侵防范

新疆教育行政四級(jí)專網(wǎng)信息系統(tǒng)服務(wù)區(qū)最重要的防護(hù)措施是入侵防范，信息系統(tǒng)在提供服務(wù)的時(shí)候，非常容易受到外部潛在的危險(xiǎn)攻擊。為了解決這些入侵攻擊，在服務(wù)區(qū)域邊界部署入侵防御系統(tǒng)，入侵防范主要由兩部分組成，包括入侵防御系統(tǒng)和入侵檢測(cè)系統(tǒng)（IDS）。Web應(yīng)用防火墻（WAF）安全網(wǎng)關(guān)，服務(wù)集群則通過(guò)服務(wù)器交換機(jī)連接到入侵防御系統(tǒng)，為對(duì)外服務(wù)區(qū)域提供雙重防護(hù)。在核心交換區(qū)域部署入侵檢測(cè)系統(tǒng)對(duì)入侵行為進(jìn)行檢測(cè)，入侵防御系統(tǒng)在發(fā)現(xiàn)網(wǎng)絡(luò)攻擊時(shí)自動(dòng)采取阻止措施，保障新疆教育行政四級(jí)專網(wǎng)信息系統(tǒng)安全。

（3）惡意代碼防范

通過(guò)防病毒系統(tǒng)和漏洞掃描系統(tǒng)來(lái)實(shí)現(xiàn)安全防護(hù)，實(shí)施“層層設(shè)防、集中控制、以防為主、防殺結(jié)合”的策略，建立專網(wǎng)的防病毒體系。

（4）安全審計(jì)

通過(guò)在新疆教育行政四級(jí)專網(wǎng)部署安全審計(jì)系統(tǒng)來(lái)進(jìn)行審計(jì)，將安全審計(jì)設(shè)備直接連接到核心交換機(jī)，部署全局安全審計(jì)策略，該策略覆蓋到用戶和網(wǎng)絡(luò)資產(chǎn)，發(fā)生安全事件時(shí)，完備的審計(jì)記錄是攻擊源追溯與系統(tǒng)修復(fù)的重要途徑。對(duì)用戶行為的審計(jì)，重點(diǎn)關(guān)注用戶登錄退出、修改口令、修改用戶權(quán)限等事件;對(duì)運(yùn)維管理人員的審計(jì)，重點(diǎn)關(guān)注登錄安全設(shè)備（防火墻、入侵系統(tǒng)）、訪問網(wǎng)絡(luò)設(shè)備（交換機(jī)）、登錄服務(wù)器等行為。通過(guò)堡壘機(jī)對(duì)安全設(shè)備提供統(tǒng)一登錄管理，集中實(shí)現(xiàn)雙因素認(rèn)證、用戶權(quán)限分配、安全審計(jì)功能。

（5）數(shù)據(jù)安全

新疆維吾爾自治區(qū)教育廳掌握著全區(qū)各級(jí)各類學(xué)校學(xué)生、教師、家長(zhǎng)等個(gè)人信息，保障數(shù)據(jù)安全是安全防護(hù)體系的重中之重，理應(yīng)通過(guò)采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

為解決各應(yīng)用系統(tǒng)對(duì)其重要數(shù)據(jù)進(jìn)行傳輸和存儲(chǔ)統(tǒng)一加密，保證重要數(shù)據(jù)的機(jī)密性、完整性、使用人員的身份鑒別、操作行為的不可否認(rèn)性等安全需求，在業(yè)務(wù)服務(wù)區(qū)域部署密碼安全服務(wù)平臺(tái)，使用國(guó)家標(biāo)準(zhǔn)密碼算法實(shí)現(xiàn)對(duì)用戶名和口令及應(yīng)用系統(tǒng)重要數(shù)據(jù)的數(shù)據(jù)加密、解密、數(shù)字簽名、驗(yàn)證簽名、密鑰管理、訪問控制、密碼統(tǒng)一管理等密碼安全服務(wù)，避免信息泄露。密碼服務(wù)平臺(tái)采用主密鑰、工作密鑰機(jī)制，支持符合國(guó)家密碼管理局要求的主流密碼算法（包括對(duì)稱密碼算法、非對(duì)稱密碼算法、雜湊函數(shù)密碼算法等）。為各信息系統(tǒng)提供統(tǒng)一的密碼運(yùn)算和密鑰管理服務(wù)，以及統(tǒng)一的設(shè)備管理和平臺(tái)監(jiān)控功能，為各級(jí)應(yīng)用系統(tǒng)的數(shù)據(jù)安全提供統(tǒng)一的安全策略，實(shí)現(xiàn)數(shù)據(jù)的安全存儲(chǔ)、內(nèi)外網(wǎng)數(shù)據(jù)的安全交換。在數(shù)據(jù)備份與恢復(fù)方面，日常備份操作由備份系統(tǒng)自動(dòng)完成，由備份服務(wù)器統(tǒng)一管理。部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)行數(shù)據(jù)庫(kù)安全審計(jì)。

（6）終端安全

全區(qū)教育系統(tǒng)終端客戶端主機(jī)，分布在廳本級(jí)、地（州）、縣（市、區(qū)）教育部門和學(xué)校等各級(jí)單位。終端安全共分為四個(gè)級(jí)別：省級(jí)用戶安全、地州級(jí)用戶安全、縣市級(jí)用戶安全、學(xué)校用戶（含高校、中職、中小學(xué)等）安全。終端安全是自上而下、相互聯(lián)系的，對(duì)終端用戶實(shí)施授權(quán)與認(rèn)證管理，實(shí)現(xiàn)終端用戶的權(quán)限控制。終端操作綁定固定的主機(jī)，安裝防病毒軟件由專人負(fù)責(zé)。

4.安全管理中心

安全管理中心內(nèi)的管理系統(tǒng)應(yīng)符合“三權(quán)分立”權(quán)限管理，對(duì)系統(tǒng)管理、審計(jì)管理和安全管理[9]的管理主體、權(quán)限控制和管控過(guò)程提出明確要求。安全管理中心內(nèi)的管理系統(tǒng)應(yīng)具備對(duì)系統(tǒng)管理員、安全管理員、審計(jì)管理員的身份鑒別、命令、操作控制、審計(jì)等功能。

（1）系統(tǒng)管理。系統(tǒng)管理員是唯一對(duì)系統(tǒng)資源和運(yùn)行配置的主體，避免其他用戶對(duì)系統(tǒng)資源和運(yùn)行配置管控。

（2）安全管理。安全管理員作為系統(tǒng)安全參數(shù)設(shè)定、主客體標(biāo)記、授權(quán)和可信驗(yàn)證策略配置的唯一主體，統(tǒng)一管理主機(jī)訪問權(quán)限、網(wǎng)絡(luò)訪問權(quán)限、應(yīng)用訪問權(quán)限，配置可信驗(yàn)證策略，維護(hù)策略庫(kù)，具有對(duì)安全參數(shù)設(shè)置、授權(quán)和驗(yàn)收等獨(dú)立管控權(quán)限。

（3）審計(jì)管理。審計(jì)管理員作為審計(jì)記錄分析和管控的唯一主體，具有對(duì)審計(jì)策略、審計(jì)記錄等獨(dú)立管控權(quán)限。

（4）集中管控。在新疆教育行政四級(jí)專網(wǎng)網(wǎng)絡(luò)架構(gòu)中劃分安全管理區(qū)域，對(duì)網(wǎng)絡(luò)中的路由器、交換機(jī)、防火墻、其他網(wǎng)絡(luò)和安全設(shè)備、終端接入控制系統(tǒng)、安全感知平臺(tái)、日志審計(jì)系統(tǒng)、網(wǎng)絡(luò)版防病毒軟件、運(yùn)維安全管理系統(tǒng)、基線核查系統(tǒng)等與分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行集中管控。

（二）構(gòu)建安全管理體系

安全管理體系是落實(shí)安全的重要環(huán)節(jié)，技管并重“三分技術(shù)，七分管理”，技術(shù)和產(chǎn)品是基礎(chǔ)，安全管理是關(guān)鍵。技術(shù)層面通過(guò)部署相應(yīng)的安全產(chǎn)品或技術(shù)手段實(shí)現(xiàn)，管理則需要健全的安全管理組織機(jī)構(gòu)、嚴(yán)格的安全管理制度、技能培訓(xùn)以及考核手段來(lái)實(shí)現(xiàn)。

1.安全管理制度

為保證新疆教育行政四級(jí)專網(wǎng)業(yè)務(wù)信息系統(tǒng)長(zhǎng)期穩(wěn)定運(yùn)行以及業(yè)務(wù)數(shù)據(jù)的安全性，結(jié)合各信息系統(tǒng)的特點(diǎn)，規(guī)范安全管理制度，通過(guò)制定嚴(yán)格的權(quán)限管理、操作流程、運(yùn)行方式、操作范圍等，指導(dǎo)網(wǎng)絡(luò)安全管理工作的具體落實(shí)，在實(shí)踐中不斷完善各項(xiàng)制度，定期對(duì)安全管理制度進(jìn)行評(píng)審和修訂，安全的管理制度可以在很大程度上防止由于人為因素導(dǎo)致的安全性問題。

2.安全管理機(jī)構(gòu)

新疆維吾爾自治區(qū)教育廳成立了自治區(qū)教育系統(tǒng)網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，負(fù)責(zé)全區(qū)教育系統(tǒng)網(wǎng)絡(luò)安全和信息化管理。自治區(qū)教育管理信息中心具體承擔(dān)網(wǎng)絡(luò)安全相關(guān)工作，建立符合新疆教育行政四級(jí)專網(wǎng)的安全管理體系，明確安全管理各個(gè)崗位工作職責(zé)。

3.安全管理人員

制定人員錄用、人員離職等相關(guān)安全管理制度并保障有效落實(shí)，制定外部人員訪問管理制度并嚴(yán)格控制外部人員的訪問管理，對(duì)各類人員進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn)和考核。

4.安全建設(shè)管理

建立完善的網(wǎng)絡(luò)安全管理制度體系和過(guò)程控制安全機(jī)制，為系統(tǒng)全生命周期的信息安全提供管理安全保障，主要涉及等級(jí)保護(hù)的定級(jí)、備案、等級(jí)測(cè)評(píng)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、服務(wù)供應(yīng)商管理等。

5.安全運(yùn)維管理

建立和完善網(wǎng)絡(luò)系統(tǒng)安全漏洞日常掃描、檢測(cè)評(píng)估和安全加固機(jī)制，加強(qiáng)對(duì)現(xiàn)有業(yè)務(wù)信息系統(tǒng)、安全設(shè)備的日常監(jiān)控巡檢，通過(guò)安全巡檢、安全滲透測(cè)試、漏洞掃描等多種手段對(duì)新疆教育行政四級(jí)專網(wǎng)接入的各級(jí)教育部門和學(xué)校的系統(tǒng)進(jìn)行技術(shù)檢查。加強(qiáng)安全運(yùn)維專業(yè)技術(shù)團(tuán)隊(duì)建設(shè)，培養(yǎng)安全運(yùn)維專職人員，組織網(wǎng)絡(luò)安全事件應(yīng)急演練，明確網(wǎng)絡(luò)安全事件處置流程。由第三方公司負(fù)責(zé)開發(fā)與維護(hù)的系統(tǒng)，要求嚴(yán)格落實(shí)網(wǎng)絡(luò)安全防護(hù)措施。

（三）落實(shí)等級(jí)測(cè)評(píng)，進(jìn)行安全加固

網(wǎng)絡(luò)安全等級(jí)保護(hù)是保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施、保障網(wǎng)絡(luò)安全的重要措施，是信息系統(tǒng)分類和保護(hù)的國(guó)家標(biāo)準(zhǔn)，是教育行業(yè)開展網(wǎng)絡(luò)安全體系建設(shè)的重要依據(jù)，在改進(jìn)內(nèi)部網(wǎng)絡(luò)安全管理體系，提高網(wǎng)絡(luò)安全建設(shè)整體水平，增強(qiáng)網(wǎng)絡(luò)安全防護(hù)體系的完整性、健全性和可靠性方面，具有重要意義。

以新疆教育行政四級(jí)專網(wǎng)應(yīng)用系統(tǒng)——新疆教育協(xié)同辦公系統(tǒng)為例，通過(guò)等級(jí)保護(hù)測(cè)評(píng)[10]對(duì)信息系統(tǒng)安全防護(hù)體系能力進(jìn)行分析和確認(rèn)，發(fā)現(xiàn)信息系統(tǒng)存在的安全隱患及時(shí)改進(jìn)，有效提升整體安全防護(hù)水平。該系統(tǒng)安全保護(hù)等級(jí)為第三級(jí)，采用通用服務(wù)器、統(tǒng)信UOS操作系統(tǒng)、神通數(shù)據(jù)庫(kù)、東方通中間件等部署。系統(tǒng)后端采用JavaEE，并基于spring+struts2+Jdbc+Hibernate的B/S架構(gòu)，可直接用瀏覽器訪問。前端采用jQuery+ajax+ freemarker+json語(yǔ)言，增強(qiáng)代碼級(jí)防護(hù)。同時(shí)，基于不同的業(yè)務(wù)，根據(jù)數(shù)據(jù)的特性，采用Memcached和Redis兩種緩存機(jī)制，增強(qiáng)系統(tǒng)穩(wěn)定性。

通過(guò)開展網(wǎng)絡(luò)安全等級(jí)保護(hù)（第三級(jí)）等級(jí)測(cè)評(píng)，查找系統(tǒng)中存在的隱患和不符合項(xiàng)，并進(jìn)行整改完成相關(guān)安全加固，等級(jí)測(cè)評(píng)主要存在的問題如下：

1.重要數(shù)據(jù)傳輸?shù)臋C(jī)密性問題

系統(tǒng)采用超文本傳輸協(xié)議（HTTP），沒有加密措施。整改措施：利用Nginx生成自簽名的泛域名OpenSSL證書，將域名中的HTTP優(yōu)化為HTTPS加密傳輸協(xié)議，增強(qiáng)數(shù)據(jù)傳輸安全。還需使用國(guó)密SSL替換OpenSSL證書。

2.身份鑒別問題

系統(tǒng)采用賬號(hào)+口令方式登錄，缺少身份認(rèn)證。整改措施：對(duì)接證書認(rèn)證網(wǎng)關(guān)，增加UKey認(rèn)證登錄功能。在UKey中寫入個(gè)人信息并賦予唯一PIN碼，完成UKey簽發(fā)。在客戶端安裝驅(qū)動(dòng)，同時(shí)在瀏覽器導(dǎo)入根證書，確保客戶端UKey運(yùn)行環(huán)境正常。登錄時(shí)，輸入PIN碼進(jìn)行UKey與系統(tǒng)數(shù)據(jù)庫(kù)用戶數(shù)據(jù)的驗(yàn)證，驗(yàn)證成功可登錄。

3.重要數(shù)據(jù)存儲(chǔ)的機(jī)密性問題

登錄口令的加密算法未采用國(guó)密算法，關(guān)鍵基礎(chǔ)信息未進(jìn)行加密存儲(chǔ)。整改措施：增加加密機(jī)，采用SM2算法對(duì)關(guān)鍵性數(shù)據(jù)和用戶登錄口令進(jìn)行加密、解密。

4.重要信息資源安全標(biāo)記的完整性問題

缺少數(shù)據(jù)完整性保護(hù)。整改措施：增加公文管理的電子簽章功能，完成在線蓋章操作，確保公文的有效性和完整性。

（四）構(gòu)建態(tài)勢(shì)感知平臺(tái)

在等級(jí)保護(hù)2.0中，安全管理中心要求具備集中管控能力，要求“應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析”。作為安全管理中心，在核心交換區(qū)域部署某態(tài)勢(shì)感知產(chǎn)品，并部署相應(yīng)的安全探針設(shè)備，態(tài)勢(shì)感知平臺(tái)集安全態(tài)勢(shì)感知與預(yù)警、威脅檢測(cè)與響應(yīng)、漏洞發(fā)現(xiàn)與管理、日志收集與審計(jì)等全面的安全管理能力于一體，支持軟硬一體化，具有持續(xù)的基于異常的安全動(dòng)態(tài)檢測(cè)與響應(yīng)能力、數(shù)據(jù)整合能力、資產(chǎn)管理能力、安全分析能力、響應(yīng)處置能力和態(tài)勢(shì)感知能力。態(tài)勢(shì)感知提供綜合態(tài)勢(shì)感知分析，主要有網(wǎng)絡(luò)入侵、異常流量、僵木蠕、網(wǎng)站安全、系統(tǒng)漏洞等態(tài)勢(shì)感知。[11]

將新疆教育行政四級(jí)專網(wǎng)網(wǎng)絡(luò)安全設(shè)備統(tǒng)一接入到態(tài)勢(shì)感知平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)采集、分析、響應(yīng)、呈現(xiàn)配套其他安全產(chǎn)品。態(tài)勢(shì)感知平臺(tái)通過(guò)攻擊日志接入、行為分析、攻擊識(shí)別、預(yù)判、推理挖掘、研判等流程，實(shí)現(xiàn)從日志到事件到攻擊活動(dòng)，從態(tài)勢(shì)感知到?jīng)Q策響應(yīng)再到聯(lián)動(dòng)處置的流程閉環(huán)。

態(tài)勢(shì)感知融合了安全運(yùn)營(yíng)服務(wù)，提供多種診斷工具，可以通過(guò)頁(yè)面抓包支持基礎(chǔ)檢測(cè)、專項(xiàng)檢測(cè)、信息采集、日志檢測(cè)等，實(shí)現(xiàn)事前監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估、漏洞修復(fù)、情報(bào)預(yù)警;事中安全分析、防御處置;事后響應(yīng)處置、取證溯源、安全復(fù)測(cè)、事件報(bào)告等，幫助運(yùn)維人員提高工作效率。依托于態(tài)勢(shì)感知平臺(tái)，通過(guò)持續(xù)監(jiān)測(cè)的方式，可以7×24小時(shí)不間斷地持續(xù)監(jiān)測(cè)新疆教育行政四級(jí)專網(wǎng)網(wǎng)絡(luò)安全狀態(tài)，最大力度地控制和降低安全隱患和風(fēng)險(xiǎn)，實(shí)現(xiàn)可持續(xù)的主動(dòng)防御，改變被動(dòng)防護(hù)的局面。

四、結(jié)語(yǔ)

參照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 相關(guān)標(biāo)準(zhǔn)，通過(guò)落實(shí)網(wǎng)絡(luò)安全保護(hù)技術(shù)和管理措施，落實(shí)等級(jí)保護(hù)測(cè)評(píng)，構(gòu)建態(tài)勢(shì)感知平臺(tái)，通過(guò)預(yù)測(cè)、監(jiān)測(cè)、協(xié)同、防御、響應(yīng)[12]、溯源網(wǎng)絡(luò)安全隱患，提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控能力，提高對(duì)新疆教育行政四級(jí)專網(wǎng)信息系統(tǒng)、網(wǎng)站、應(yīng)用的監(jiān)測(cè)和預(yù)警能力，推進(jìn)形成制防、人防、技防、物防相結(jié)合的新疆教育行政四級(jí)專網(wǎng)網(wǎng)絡(luò)安全管理體系，構(gòu)筑可信、可控、可管、可用的新疆教育行政四級(jí)專網(wǎng)，達(dá)到國(guó)家等級(jí)保護(hù)和教育行業(yè)等級(jí)保護(hù)相關(guān)要求。

參考文獻(xiàn)：

[1]中國(guó)教育和科研計(jì)算網(wǎng).雷朝滋：關(guān)于教育專網(wǎng)建設(shè)的四點(diǎn)思考[EB/OL].（2021-10-14）[2021-12-6].https：//www.edu.cn/info/zhuan_jia_zhuan_lan/lcz/202110/t20211014_2163916. shtml.

[2]夏冰，王沛棟，鄭秋生，等.網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0[M].北京：電子工業(yè)出版社，2017：77-180.

[3]寇思佳，王琎.信息系統(tǒng)安全等級(jí)保護(hù)下教育系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)研究與分析[J].網(wǎng)絡(luò)空間安全，2019（5）：56-63.

[4]中國(guó)軟件評(píng)測(cè)中心·網(wǎng)絡(luò)空間安全測(cè)評(píng)工程技術(shù)中心.教育行業(yè)網(wǎng)絡(luò)安全白皮書（2020年）[R/OL].（2020-09-12）[2021-12-4].https：//www.sohu.com/a/418058926_653604.

[5]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2019.

[6]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).GB/T 25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2019.

[7]聶君，李燕，何揚(yáng)軍.企業(yè)安全建設(shè)指南：金融行業(yè)安全架構(gòu)與技術(shù)實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2019：192-220.

[8]楊齊成，王錦，胡北辰.數(shù)字證書在網(wǎng)絡(luò)安全中的應(yīng)用分析[J/OL].江漢大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，45（3）：278-282 [2021-12-6].https：//www.zhangqiaokeyan.com/academic-journal-cn_journal-jianghan-university-natural-science-edition_thesis/0201249879937.html.

[9]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).GB/T 36958-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2019.

[10]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).GB/T 28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2019.

[11]微言曉意.自適應(yīng)安全框架（ASA）在網(wǎng)絡(luò)安全2.0新防御體系中的應(yīng)用[EB/OL].（2020-08-02）[2021-08-01].https：//www.likecs.com/show-164394.html.

[12]綠盟科技.綠盟安全管理平臺(tái)ESP-H產(chǎn)品白皮書[R/OL].（2019-12-12）[2021-12-01].https：//www.nsfocus.com.cn/html/2019/209_1230/96.html.

作者簡(jiǎn)介：

王廣平，高級(jí)工程師，本科，主要研究方向?yàn)榫W(wǎng)絡(luò)規(guī)劃和網(wǎng)絡(luò)安全，郵箱：425827040@qq.com;

周學(xué)和，副主任，正高級(jí)教師，主要研究方向?yàn)橹行W(xué)教育信息化管理和應(yīng)用，郵箱：1328994740@qq.com;

木合塔爾·沙地克，副館（臺(tái)）長(zhǎng)，博士，主要研究方向?yàn)榇髷?shù)據(jù)分析與可視化、Web應(yīng)用開發(fā)、網(wǎng)絡(luò)安全等，郵箱：muhtar_xjedu@163.com;

李東亮，科長(zhǎng)，高級(jí)工程師，碩士，主要研究方向?yàn)榻逃畔⒒途W(wǎng)絡(luò)安全， 郵箱：372175811@qq.com;

王命全，科長(zhǎng)，高級(jí)工程師，碩士，主要研究方向?yàn)榻逃龜?shù)據(jù)統(tǒng)計(jì)、分析， 郵箱：1299895833@qq.com。

Research on the Construction of Internal Security Protection System based

on Xinjiang Education Administration Four-level Private Network

Guangping WANG1， Xuehe ZHOU1， Muhetaer SHADIKE2， Dongliang LI1， Mingquan WANG1

（1.Education Management Information Center of Xinjiang Uygur Autonomous Region， Urumqi Xinjiang? 830049;

2.Audio Visual Education Center of Xinjiang Uygur Autonomous Region，Urumqi Xinjiang 830002）

Abstract： Network security and informatization are major strategic issues concerning the national security and development as well as the work and life of the people. In recent years， China has successively issued relevant laws， regulations and set up standards such as the Network Security Law of the Peoples Republic of China， the Data Security Law of the Peoples Republic of China， the Regulations on the Security Protection of Key Information Infrastructure， and the Network Security Level Protection 2.0， which propose requirements for the network security of various industries. Combining with the actual state of Xinjiang education administration four-level private network， this paper follows the basic requirements of “the network security level protection 2.0”， focuses on the sub domain protection， access control， identity authentication， malicious code prevention， intrusion detection， data security， terminal security， management audit， risk early warning， centralized and unified security management， etc. It mainly starts from the aspects of technology and management， and builds a set of “trusted， controllable and manageable” network security protection management system within Xinjiang education administration four-level private network. The purpose is to effectively prevent， control and resist network security risks， ensure security in data， system， application and network， enhance network security early warning， and improve the overall network security protection level of Xinjiang education system.

Keywords： Four-level private network; Network security level protection 2.0; Data security; Network security; Protection system

編輯：李曉萍? ?校對(duì)：王天鵬