信息系统安全等级保护下教育系统网络安全态势研究与分析

寇思佳 王琎

摘   要：随着教育在智能环境下的不断发展以及教育信息化2.0行动计划的颁布，“互联网+教育”的模式也在持续推进，信息系统平台网站在教育行业的作用更加重要。然而，信息系统平台网站在提供便利性的同时，也面临着越来越严峻的网络安全问题。信息系统安全等级保护需要从不同的角度进行思考，并落实具体的保护措施，将信息系统安全作为重点工作，全面落实等级保护，实现安全与便捷的合理平衡，保证等级保护工作得到持续进行，从而实现全面的网络安全。文章针对教育行业网络安全风险进行了较全面的分析，并结合信息系统安全等级保护制度深入探究风险的根源，提出了具有高度可行性的网络安全架构解决方案，实现了具有可持续性的网络安全。

关键词：教育行业;信息系统安全等级保护制度;网络安全法

中图分类号：T-013/-017          文献标识码：A

Research and analysis of network security situation of education system under the protection of information system security level

Kou Sijia1， Wang Jin2

（1. National Center for Educational Technology， Beijing 100031;

2.Insititute of Cyberspace Security， CCID， Beijing 100048）

Abstract： With the continuous development of education in the intelligent environment and the promulgation of the Education Informatization 2.0 Action Plan， the “Internet + Education” model is also continuing to advance. The role of the Information System Platform website in the education industry is even more critical. However， the Information System Platform website is also facing increasingly serious network security issues while providing convenience. The information system of security level protection needs to be considered from the different aspects， before implementing specific protection action by focusing on the information system security of level protection and comprehensively implementing for achieving a reasonable balance between safety and convenience and ensuring that level protection work is continued thereby achieving comprehensive network security. This paper analyses the network security risks of the education industry with the combinations of the protection system of network security level to explore the root causes of risks deeply for the propose of a highly available network security architecture. The solution is to achieve sustainable network security.

Key words： education industry; information system security level protection system; network security law

1 引言

從20世纪90年代开始，我国的信息系统安全等级保护制度（以下简称等保制度）已经作为在定级、建设、测评和管理等方面的相关制度。2017年6月1日，作为我国第一部全面规范网络空间安全的基础性法律—《中华人民共和国网络安全法》（以下简称《网络安全法》）开始实施，这对深化网络安全等级保护制度具有重大意义[20]。

作为我国信息系统安全建设的重要组成部分，教育行业信息化程度也在不断发展，根据《网络安全法》和等保制度的要求，持续不断地深入完善信息系统设计、建设和运维中的各个薄弱环节，有效保护信息系统，提升信息系统防御能力，加强教育行业网络安全建设已刻不容缓。

教育部高度重视教育行业信息系统网络安全保障。基本建立了教育系统网络领导的领导体系，网络安全宣传和教育充满活力，网络安全人才培养以及学科建设的能力得到提高，网络安全防护能力得到显著提升[21]。其中，教育信息系统安全等级保护工作由教育部和公安部联合推动，以此进一步建立信息共享的工作机制，启动实施网络安全监测预警，建立网络安全长效监督机制。虽然信息系统安全的各方面工作已在稳步推进，但是随着新技术和新安全威胁的不断出现，如何全面落实法律法规要求，并根据各信息系统自身特点，建立个性化的安全体系，积极、有效、灵活地应对新威胁，已是无法回避的话题。

本文从教育行业信息化安全建设的实际出发，以中央电化教育馆信息系统安全等级保护测评项目为例，分析了行业内信息化安全建设的现状，总结了信息系统安全等级保护制度的作用和目的，从信息系统安全构架的角度，呈现了在信息系统中安全体系建设的核心问题，并提出了解决问题的相关措施。同时，依据即将颁布的“网络安全和信息系统等级保护2.0”，对未来教育行业信息系统防护的影响作出了分析，最后对教育行业信息系统安全发展方向提出了自己的分析与建议。

2 文献研究

根据2018年最新教育数据统计，教育行业信息系统平台网站主要有三个“多”的特点：一是涉及用户人员多，其中教育机构59万个，专职教师1800万人，各级各类的学生达到3.5亿人，约占全国总人口的三分之一[1];二是系统数量多，其中教育系统网站超过20万个，网站域名以“.edu.cn”结尾的系统网站11万个，涉及超过100万人数据的系统超过500个[1];三是掌握数据多，政务数据资源数量达10624条，教师数据超过4000万条，累计学生数据超过5亿人[1]。

由教育信息系统的“三多”可见，教育行业网络安全应该引起教育从业人员全面的重视。根据其网络安全特点与形势，主要面临的安全威胁包括数据泄露、网站瘫痪以及页面篡改。教育行业也面临着各种安全隐患，诸如系统资料被窃密、信息系统安全防护是否健全、信息管理制度是否完善、信息安全技术的应用是否得到适当防护等各个环节，可能会影响信息系统的安全性。信息系统需要定期进行保护水平评定的原因可归纳为七点：

（1）用户密度高，安全意识薄弱。信息系统终端用户不注重系统的安全防护，导致个人终端安全问题的产生，如病毒、木马等安全事件也时有发生。

（2）教育行业具有丰富的科研资源，建设的各种服务系统内容繁多，环节复杂，并通过互联网提供服务，从而成为互联网探测和攻击的目标。

（3）网络规模不断扩大，涵盖面广。教育行业内建立有各种独立的专网，相互之间安全管理边界不清晰，导致管理模糊。由于信息化建设的进步和各种应用业务系统的多样化，内部网经常存在以一卡通财务系统和校园安全监控系统作为代表的各种独立的应用系统物理网络专网。随着数字化校园建设的不断深入，数据中心需要从原本独立的专网中提取相关的业务数据，由于数据的隐私性和数据源的高敏感性提高了对网络安全的要求，如何解决校园网和业务专网连接的边界安全，成为校园网内部安全的新问题[2]。

（4）部分信息系统发生安全问题，产生巨大影响。2016年8月21日，某高考考生因个人信息被泄露，不法分子利用实施电信诈骗，被骗走上大學的费用9900元，最终导致心脏骤停，不幸离世[3]。2018年6月24日晚22时，黑龙江招生考试院网络被恶意攻击，考生无法登录网站，最终该招生考试院启动了应急预案才恢复成绩查询网站运转。由此可见，信息系统若发生网络安全问题，将可能带来不可估量的影响与损失。

（5）教育行业技术团队建设不够完善，开发人员流动性大，代码安全难以维护。教育行业的信息系统建设大部分是与第三方公司合作完成，第三方公司负责技术上的开发与维护，而第三方公司开发人员流动大，代码安全性得不到保护。

（6）领导体系建设待完善，需进一步明确责任。

（7）安全体系建设资金投入有限，需要发挥最大效益。

3 等级保护的目的与意义

网络安全等级保护系统作为信息系统分类和保护的国家标准，是教育行业开展网络安全体系建设的重要依据。在改进内部网络安全管理体系，提高网络安全建设整体水平，增强网络安全防护体系的完整性、健全性和可靠性方面，具有重要意义[4]。

首先，实施等保要求应满足《网络安全法》和等保制度的规定，是网络安全工作的基础。另一方面，实施等级保护要求可使信息系统保护更加全面、高效。实施等级保护，在信息系统的整个生命周期中，通过安全管理和安全技术等措施的同步规划、实施和利用，可以有效地抵御网络攻击，将危害和损失降到最低。等级保护通过对信息系统进行分级分类，实现重点系统重点保护，大幅度地提高了人力、物力、财力等有限资源的作用。随着《网络安全法》的实施，等级保护标准不断完善，涉及面也会更广（包括云计算、物联网、大数据等），这将大大减少等级保护工作中的知识和领域盲区，使等保工作开展得更加全面、高效[24]。

4 架构建设建议

结合等级保护以及中央电化教育馆等级保护测评方案，从安全架构角度，提出信息系统安全建议。安全架构的设计要符合等保的要求，此设计架构也应是等保落地实施的产物。从教育行业信息系统安全的管理架构和技术架构，持之以恒地狠抓落实网络安全工作，是在等保要求下日常消除安全隐患的有效方法，从而保证信息系统安全等级保护的顺利落实。

4.1 管理体系架构

依据《网络安全和信息化工作要点》《教育信息化十三五规划》和《教育信息化2.0行动计划》的指示，要对重点任务做分工，定期监督执行情况，不断优化网络安全监测预警通报工作，重要时期进行安全保障工作，关键节点优化网站访问策略，做好应急管理。

在外包管理方面，要加大管理力度，制定相关的管理制度，包括双方的责任和权限划分、系统的配置变更管理、日志审计等方面。管理制度的落实和执行是关键，相关行为记录应被完整保存。

在测试验收方面，应进行源代码审查、安全漏洞检测。

在培训和考核方面，应定期对岗位人员进行相关安全技术和安全意识的考核，并保留每一次培训、考核的记录[13]。

在应急培训与演练方面，应每年最少组织一次应急培训，并定期进行应急演练[13]。

4.2 技术体系架构

技术体系架构层级如图1所示。

在用户层面，等级保护中强调了需要实现对内部网络用户的身份认证、网络行为管理和审计等规范化管理。为了规范用户管理，满足等保制度的要求，网络准入和上网行为管理系统需要关联人事系统、教务系统等权威数据源，正确核对用户身份信息，建立基于用户信息、MAC地址、源IP地址、目的IP地址、网络行为和时间等多维度的日志系统。

在网络层面，网络区域可划分为互联网接入区、对外服务区、对内服务区、开发测试区、安全管理区和办公区等，安全区域内还可以根据业务系统的分级和分类，进一步划分次级安全区。同时，需要合理分配网络带宽，区域间设置访问控制策略。避免网络设备和网络链路存在单点问题，实现负载均衡机制，并部署网络防火墙、网络防病毒、Web应用防火墙、入侵检测系统等安全设备。

在系统管理层面，根据等级保护主机安全的要求，对服务器主机操作系统、中间件、数据库、管理终端设备等进行安全加固，强化密码安全策略，实施操作系统、应用软件和数据库等安全审计策略，实施统一的终端防病毒和补丁升级机制。

在应用服务层面，采用稳定安全可靠的开发架构，用加密技术保证通信安全和保护数据完整性，避免数据泄露和被恶意篡改等安全事件的发生。采用的开发框架要能有效应对SQL注入、跨站脚本攻击、跨站请求伪造、远程代码执行、信息泄露等攻击行为，部署网页防篡改系统以防非法篡改事件的发生。保持定期对网站进行安全漏洞扫描，或不定期邀请第三方进行网络安全渗透测试的频率，以便及时发现潜在的安全漏洞并进行修复[25]。

在数据层面，制定合理的备份计划，定期对业务系统的数据以及设备配置数据等进行备份，并核对数据的完整性和可用性。部署数据防泄漏系统，对重要数据进行识别和标识，监控数据的流动范围，避免流出可信安全区域。

5 等级保护2.0对系统安全的影响

《信息安全技术 网络安全等级保护基本要求》（以下简称等级保护2.0）是依据《网络安全法》中的法律条文，对原来的《信息安全技术 信息系统安全等级保护基本要求》（以下简称等级保护1.0）进行修改的安全标准。随着移动互联、云计算、大数据、物联网和工业控制等新技术的兴起，对等级保护提出了更高的要求，形成新的网络安全等级保护基本要求标准，新标准针对共性安全保护需求提出安全通用要求[18]。针对教育行业信息系统，包括新增的云计算应用场景、大数据应用场景以及移动互联应用场景在内的安全需求，也需要不断增强。

5.1 云计算应用场景的安全需求

云计算技术从服务角度分为IaaS（基础设施即服务）、PaaS（平台即服务）和SaaS（软件即服务）三个方面，等级保护云计算部分重点考虑主要集中在基础设施和虚拟层以及相关组件的安全[18]。教育云是指面向教育行业的行业云，将教育资源以公开或者半公开的方式，向行业内部或相关组织和公众提供有偿或无偿服务的云平台。作为公共服务平台的教育云，通常包括面向服务的学科教研网、教学博客、教育即时通讯、教育共享资源库、教研培训服务平台、学生学习服务平台、教育电子政务平台、社区教育服务平台等一系列应用[19]。云教育的综合服务模式按照增值空间以及服务平台类型，如图2所示。

针对教育信息系统的公有云、私有云和混合云，安全等级保护在保护资源以及信息方面显得尤为重要。通过构架在存储、网络、服务器等基础硬件资源和单机操作系统、数据库、中间件等基础管理软件的云平台管理系统，云操作系统在提升教育云的服务质量上面具有重要意义[19]。等级保护2.0云计算部分重点考虑基础设施和虚拟层以及相关组件的安全[18]。

5.2 大数据应用场景的安全需求

大数据具有体量大、种类多、速度快和真实性的特点，教育行业的大数据涉及到教学、管理、教研以及培训等方面的数据。随着教育大数据应用价值的凸显，教育行业将对大数据进行不断地采集和分析，其中包括信息系统平台上的数据以及用户个人信息，因此大数据应用场景安全显得尤为重要。在等级保护2.0大数据安全方面，重点考虑数据安全、基础设施以及数据相关功能组件安全[18]。其中，对于物理环境安全，教育行业等级保护的重点在基础设施建设上面的物理安全以及数据跨境传输的问题;针对数据流量安全，重点在信息系统流量控制以及数据分离问题;对于计算环境安全，重点在身份鉴别、应用鉴别、对外服务以及数据安全相关安全方面，等级保护做了相关的要求[18]。具体登记保护要求要点如图3所示。

5.3  移动互联应用场景的安全需求

移动终端、移动应用和无线网络构成移动互联的典型结构，移动互联主要针对移动终端通过无线信道接入的应用场景[18]。教育行业的移动互联应用场景主要表现在课堂上的电子白板教学和iPad教学等移动终端，通过无线网络辅助教学的场景。教学设备通过无线网络连接网络设备，无线接入网关通过访问控制策略限制移动终端的访问行为，后台的移动终端管理系统负责对移动终端的管理[18]。如图4所示，等级保护2.0重点考虑在移动终端以及无线接入网关方面相关的安全问题，其中针对物理环境安全，新等级保护重点应当在移动终端和无线接入网关的物理安全问题;对于区域边界安全，新等级保护重点应当在边界防护、访问控制以及入侵检测方面;对于计算环境安全，新等级保护重点应当在移动终端管控和移动应用管控方面[18]。

6 发展方向分析与建议

6.1 注重个人信息保护

当今社会正处于大数据和“互联网+”时代，隨着教育系统海量信息的生成，个人信息从不同层面被采集、处理、利用与传递[14]。在整个数据生命周期中，信息系统进行数据采集、数据集成与融合、数据分析与存档，与此同时无限度的信息挖掘、信息滥用、信息侵权行为时有发生[14]。网络病毒和黑客对信息安全造成威胁，破坏信息数据;教育系统获取用户信息的开放性，导致教育信息系统的用户个人信息面临着被不法分子掌控以及利用威胁的情况，部分用户甚至被电信精准诈骗，造成财产上的损失，严重的可能危害用户生命，造成社会动荡;网络攻击者通过系统内存储的个人信息，不同的存储方式会导致信息资源被攻击，从而造成信息数据保护薄弱[15]。

面对此种情况，教育部开展数据安全专项治理行动，面向教育系统开启专项监测。依据2018年《数据安全治理白皮书》的数据安全治理方针，以“让数据使用更安全”为目标来构建安全体系架构[15]。数据安全治理建设主要包含几个方面：组织构建、资产梳理、策略制定、过程控制、行为审核以及持续改善[15]。通过数据人员组织、数据安全方面的技术支撑以及数据安全使用策略和流程三大框架满足数据安全保护、敏感数据管理和合规性的目标[15]。通过大数据分析，提高个人信息保护的针对性，确保服务器上的数据安全。同时，通过软件检测评估，定期对信息系统进行渗透测试，对重要信息进行一定的存储保护。具体数据安全治理理念如图5所示。

与此同时，需要培养信息系统用户的信息管理意识，采用正确的方式使用网络，保证信息系统安全性能，确保个人信息的保密性[16]。同时，在使用计算机注册登录的过程中，需要开启网络安全保护软件（如360安全卫士、电脑管家等），防止用户个人信息被泄露[16]。

6.2 完善信息系统安全通报机制

信息系统安全通报不是单一的，必须形成一个安全链，这条安全链由三个部分组成，分别是教育行政部门、学校和企业。教育部及其直属单位等教育行政部门要进行定期的经验交流与分析，共同参与信息系统安全政策的制定，进一步明确信息系统安全的标准规范。学校联合企业要注重信息系统安全队伍的培养，培养并鼓励人才多进行技术和管理上的创新，为信息系统安全提供一定的技术支持。

若出现安全问题，教育部以及安全技术团队进行通报跟踪，部属机构、高校、各地教育厅以及各地教育厅的安全技术团队对通报进行转发跟踪、自主监管，地方院校收到转发通报进行处理，地市教育局将安全事件转发到区县教育局处理，由具体负责处置单位的上一级单位履行监督汇报责任。实现对信息系统安全事件的监管、通报、跟踪和督促，真正做到信息系统安全管理到基层。

6.3. 加强关键信息基础设施保护

教育行业关键信息基础设施是指提供重要网络信息服务的信息系统，并且这些信息系统一旦发生网络安全事故，会影响教育行业部分职能的正常运行。更有甚者，会对国家政治、经济、社会以及公民财产等造成重大损失。关键信息基础设施保护把等保制度作为基础，《网络安全法》通过增加对网络攻击行为、非法侵入、网络干扰和破坏等扰乱关键信息基础设施行为的惩戒措施，以及增加关键信息基础设施的范围，来对信息系统的网络安全进行管控[16]。

针对关键信息基础设施容易出现的网络安全问题，教育部在关键信息基础设施保护方面主要进行了规划、指南和评估。通过确定关键信息基础设施的范围，确定保护控制的对象，提出安全防护升级计划，作为关键性基础设施的保护规划;通过明确识别标准和流程，明确备案制度和管理制度，作为关键基础设施的识别指南;用远程检测、现场检查等方式进行安全评估，并且在技术层面做一定的规划。通过网站入侵检测系统、恶意代码综合检测系统（镜像）、网络流量异常分析大数据挖掘系统、日志大数据分析挖掘系统、邮件监测系统、大数据威胁态势感知系统等一系列安全监测系统，构建大数据威胁态势感知体系，对关键信息基础设施进行防护。采用终端防病毒产品，对脚本级恶意代码进行查杀，对流氓捆綁进行精准拦截;通过高频白名单、误报云控制体系、后台误报发现系统来控制误报攻击的情况，做到查杀速度快和高性能文件存储。

7 结束语

随着教育信息化的发展，行业内使用信息系统用户数量和重要信息系统的数量也在不断增加，更突显了信息系统等级保护测评的重要性。加强制度建设，守住法律底线，对信息系统进行统一集中管理，进而防止网络入侵、网络攻击、非法获取倒卖个人信息、侵犯知识产权等损害信息系统用户权益的行为发生。信息系统网络安全建设是国家发展大势所趋，教育行业的网络安全问题值得社会关注。

参考文献

[1] 潘润凯.教育系统网络安全政策解读[R].教育系统网络安全专题研讨班培训材料，2018.

[2] 何磊.信息安全等级保护背景下校园网安全体系建设初探[J].电脑知识与技术，2016，12（21）：26-27.

[3] 温凯.全国人大代表陈伟才：自制展板谈打防电信诈骗，“愿天下无骗”[J].中国防伪报道，2017（03）：37-38.

[4] 胡江.网络安全防护体系的建设及案例剖析[J].计算机光盘软件与应用，2014，17（13）：165+167.

[5] 张帅. 基于.NET的信息系统安全评估系统的设计与实现[D].贵州师范大学，2016.

[6] 马遥，黄俊强.信息安全管理体系与等级保护管理要求[J].信息技术，2012，36（06）：140-142.

[7] 廖其耀.基于风险分析的信息系统等级测评[J].科技与创新，2017（09）：128-129.

[8] 林炜.利用渗透测试进行安全评估及效果检查[J].华南金融电脑，2009，17（06）：9-10.

[9] 吴松泽. 基于Web安全的渗透测试技术研究[D].哈尔滨师范大学，2015.

[10] 黄禧亮.信息安全等级保护要求下中小学教育网站安全防护研究[J].广西广播电视大学学报，2016，27（01）：35-38.

[11] 姜可.信息系统安全等级保护实践与思考[J].信息与电脑（理论版），2017（19）：171-172.

[12] 孟庆宝.信息系统等级保护的建设思路与途径[J].教育现代化，2017，4（38）：344-345.

[13] 武腾，宋好好.教育行业信息系统等级保护研究[J].网络空间安全，2017，8（12）：8-12.

[14] 李媛. 大数据时代个人信息保护研究[D].西南政法大学，2016.

[15] 数据安全治理白皮书概要版[J].网络安全和信息化，2018（07）：22-26.

[16] 朱天元.大数据时代信息安全的防范措施[J].信息与电脑（理论版），2018（21）：212-213.

[17] 顾伟.关键信息基础设施保护制度的国际接轨与中国特色—《网络安全法》亮点解读[J].信息安全与通信保密，2016（11）：48-53.

[18] 任婷，于城.从新技术角度谈等级保护2.0[J].信息通信技术，2018，12（06）：12-17.

[19] 祝智庭，杨志和. 云技术给中国教育信息化带来的机遇与挑战[J]. 中国电化教育，2012（10）：1-6.

[20] 敖翔.基于等保标准的网络安全保障体系模型研究[J].数字与缩微影像，2018（01）：43-46.

[21] 加快融合创新发展 让教育信息化2.0变为现实—2018年全国教育信息化工作会议召开[J].电化教育研究，2018，39（06）：1.

[22] 杨志和. 教育资源云服务本体与技术规范研究[D].华东师范大学，2012.

[23] 《网络安全法》和云等保框架下企业如何为安全掌舵[EB/OL]. http：//finance.jrj.com.cn/2017/03/29000022241693.shtml.

[24] 王建华.信息安全等级保护标准现状及其在网络安全法作用下的发展[J].中国金融电脑，2018（03）：72-74.

[25] 网站信息安全防护措施怎么做[EB/OL]. https：//www.szweb.cn/knowledge/9335.html

作者简介：

寇思佳（1992-），女，汉族，黑龙江大庆人，曼彻斯特大学，硕士，中央电化教育馆，研究实习员;主要研究方向和关注领域：网络安全、教育信息化。

王琎（1989-），男，汉族，北京人，北京交通大学，硕士;主要研究方向和关注领域：电子认证、密码学、网络可信身份、嵌入式安全、项目管理。