信息系統(tǒng)安全等級保護下教育系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢研究與分析

寇思佳 王琎

摘? ?要：隨著教育在智能環(huán)境下的不斷發(fā)展以及教育信息化2.0行動計劃的頒布，“互聯(lián)網(wǎng)+教育”的模式也在持續(xù)推進，信息系統(tǒng)平臺網(wǎng)站在教育行業(yè)的作用更加重要。然而，信息系統(tǒng)平臺網(wǎng)站在提供便利性的同時，也面臨著越來越嚴峻的網(wǎng)絡(luò)安全問題。信息系統(tǒng)安全等級保護需要從不同的角度進行思考，并落實具體的保護措施，將信息系統(tǒng)安全作為重點工作，全面落實等級保護，實現(xiàn)安全與便捷的合理平衡，保證等級保護工作得到持續(xù)進行，從而實現(xiàn)全面的網(wǎng)絡(luò)安全。文章針對教育行業(yè)網(wǎng)絡(luò)安全風險進行了較全面的分析，并結(jié)合信息系統(tǒng)安全等級保護制度深入探究風險的根源，提出了具有高度可行性的網(wǎng)絡(luò)安全架構(gòu)解決方案，實現(xiàn)了具有可持續(xù)性的網(wǎng)絡(luò)安全。

關(guān)鍵詞：教育行業(yè);信息系統(tǒng)安全等級保護制度;網(wǎng)絡(luò)安全法

中圖分類號：T-013/-017? ? ? ? ? 文獻標識碼：A

Research and analysis of network security situation of education system under the protection of information system security level

Kou Sijia1， Wang Jin2

（1. National Center for Educational Technology， Beijing 100031;

2.Insititute of Cyberspace Security， CCID， Beijing 100048）

Abstract： With the continuous development of education in the intelligent environment and the promulgation of the Education Informatization 2.0 Action Plan， the “Internet + Education” model is also continuing to advance. The role of the Information System Platform website in the education industry is even more critical. However， the Information System Platform website is also facing increasingly serious network security issues while providing convenience. The information system of security level protection needs to be considered from the different aspects， before implementing specific protection action by focusing on the information system security of level protection and comprehensively implementing for achieving a reasonable balance between safety and convenience and ensuring that level protection work is continued thereby achieving comprehensive network security. This paper analyses the network security risks of the education industry with the combinations of the protection system of network security level to explore the root causes of risks deeply for the propose of a highly available network security architecture. The solution is to achieve sustainable network security.

Key words： education industry; information system security level protection system; network security law

1 引言

從20世紀90年代開始，我國的信息系統(tǒng)安全等級保護制度（以下簡稱等保制度）已經(jīng)作為在定級、建設(shè)、測評和管理等方面的相關(guān)制度。2017年6月1日，作為我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全的基礎(chǔ)性法律—《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）開始實施，這對深化網(wǎng)絡(luò)安全等級保護制度具有重大意義[20]。

作為我國信息系統(tǒng)安全建設(shè)的重要組成部分，教育行業(yè)信息化程度也在不斷發(fā)展，根據(jù)《網(wǎng)絡(luò)安全法》和等保制度的要求，持續(xù)不斷地深入完善信息系統(tǒng)設(shè)計、建設(shè)和運維中的各個薄弱環(huán)節(jié)，有效保護信息系統(tǒng)，提升信息系統(tǒng)防御能力，加強教育行業(yè)網(wǎng)絡(luò)安全建設(shè)已刻不容緩。

教育部高度重視教育行業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全保障。基本建立了教育系統(tǒng)網(wǎng)絡(luò)領(lǐng)導(dǎo)的領(lǐng)導(dǎo)體系，網(wǎng)絡(luò)安全宣傳和教育充滿活力，網(wǎng)絡(luò)安全人才培養(yǎng)以及學(xué)科建設(shè)的能力得到提高，網(wǎng)絡(luò)安全防護能力得到顯著提升[21]。其中，教育信息系統(tǒng)安全等級保護工作由教育部和公安部聯(lián)合推動，以此進一步建立信息共享的工作機制，啟動實施網(wǎng)絡(luò)安全監(jiān)測預(yù)警，建立網(wǎng)絡(luò)安全長效監(jiān)督機制。雖然信息系統(tǒng)安全的各方面工作已在穩(wěn)步推進，但是隨著新技術(shù)和新安全威脅的不斷出現(xiàn)，如何全面落實法律法規(guī)要求，并根據(jù)各信息系統(tǒng)自身特點，建立個性化的安全體系，積極、有效、靈活地應(yīng)對新威脅，已是無法回避的話題。

本文從教育行業(yè)信息化安全建設(shè)的實際出發(fā)，以中央電化教育館信息系統(tǒng)安全等級保護測評項目為例，分析了行業(yè)內(nèi)信息化安全建設(shè)的現(xiàn)狀，總結(jié)了信息系統(tǒng)安全等級保護制度的作用和目的，從信息系統(tǒng)安全構(gòu)架的角度，呈現(xiàn)了在信息系統(tǒng)中安全體系建設(shè)的核心問題，并提出了解決問題的相關(guān)措施。同時，依據(jù)即將頒布的“網(wǎng)絡(luò)安全和信息系統(tǒng)等級保護2.0”，對未來教育行業(yè)信息系統(tǒng)防護的影響作出了分析，最后對教育行業(yè)信息系統(tǒng)安全發(fā)展方向提出了自己的分析與建議。

2 文獻研究

根據(jù)2018年最新教育數(shù)據(jù)統(tǒng)計，教育行業(yè)信息系統(tǒng)平臺網(wǎng)站主要有三個“多”的特點：一是涉及用戶人員多，其中教育機構(gòu)59萬個，專職教師1800萬人，各級各類的學(xué)生達到3.5億人，約占全國總?cè)丝诘娜种籟1];二是系統(tǒng)數(shù)量多，其中教育系統(tǒng)網(wǎng)站超過20萬個，網(wǎng)站域名以“.edu.cn”結(jié)尾的系統(tǒng)網(wǎng)站11萬個，涉及超過100萬人數(shù)據(jù)的系統(tǒng)超過500個[1];三是掌握數(shù)據(jù)多，政務(wù)數(shù)據(jù)資源數(shù)量達10624條，教師數(shù)據(jù)超過4000萬條，累計學(xué)生數(shù)據(jù)超過5億人[1]。

由教育信息系統(tǒng)的“三多”可見，教育行業(yè)網(wǎng)絡(luò)安全應(yīng)該引起教育從業(yè)人員全面的重視。根據(jù)其網(wǎng)絡(luò)安全特點與形勢，主要面臨的安全威脅包括數(shù)據(jù)泄露、網(wǎng)站癱瘓以及頁面篡改。教育行業(yè)也面臨著各種安全隱患，諸如系統(tǒng)資料被竊密、信息系統(tǒng)安全防護是否健全、信息管理制度是否完善、信息安全技術(shù)的應(yīng)用是否得到適當防護等各個環(huán)節(jié)，可能會影響信息系統(tǒng)的安全性。信息系統(tǒng)需要定期進行保護水平評定的原因可歸納為七點：

（1）用戶密度高，安全意識薄弱。信息系統(tǒng)終端用戶不注重系統(tǒng)的安全防護，導(dǎo)致個人終端安全問題的產(chǎn)生，如病毒、木馬等安全事件也時有發(fā)生。

（2）教育行業(yè)具有豐富的科研資源，建設(shè)的各種服務(wù)系統(tǒng)內(nèi)容繁多，環(huán)節(jié)復(fù)雜，并通過互聯(lián)網(wǎng)提供服務(wù)，從而成為互聯(lián)網(wǎng)探測和攻擊的目標。

（3）網(wǎng)絡(luò)規(guī)模不斷擴大，涵蓋面廣。教育行業(yè)內(nèi)建立有各種獨立的專網(wǎng)，相互之間安全管理邊界不清晰，導(dǎo)致管理模糊。由于信息化建設(shè)的進步和各種應(yīng)用業(yè)務(wù)系統(tǒng)的多樣化，內(nèi)部網(wǎng)經(jīng)常存在以一卡通財務(wù)系統(tǒng)和校園安全監(jiān)控系統(tǒng)作為代表的各種獨立的應(yīng)用系統(tǒng)物理網(wǎng)絡(luò)專網(wǎng)。隨著數(shù)字化校園建設(shè)的不斷深入，數(shù)據(jù)中心需要從原本獨立的專網(wǎng)中提取相關(guān)的業(yè)務(wù)數(shù)據(jù)，由于數(shù)據(jù)的隱私性和數(shù)據(jù)源的高敏感性提高了對網(wǎng)絡(luò)安全的要求，如何解決校園網(wǎng)和業(yè)務(wù)專網(wǎng)連接的邊界安全，成為校園網(wǎng)內(nèi)部安全的新問題[2]。

（4）部分信息系統(tǒng)發(fā)生安全問題，產(chǎn)生巨大影響。2016年8月21日，某高考考生因個人信息被泄露，不法分子利用實施電信詐騙，被騙走上大學(xué)的費用9900元，最終導(dǎo)致心臟驟停，不幸離世[3]。2018年6月24日晚22時，黑龍江招生考試院網(wǎng)絡(luò)被惡意攻擊，考生無法登錄網(wǎng)站，最終該招生考試院啟動了應(yīng)急預(yù)案才恢復(fù)成績查詢網(wǎng)站運轉(zhuǎn)。由此可見，信息系統(tǒng)若發(fā)生網(wǎng)絡(luò)安全問題，將可能帶來不可估量的影響與損失。

（5）教育行業(yè)技術(shù)團隊建設(shè)不夠完善，開發(fā)人員流動性大，代碼安全難以維護。教育行業(yè)的信息系統(tǒng)建設(shè)大部分是與第三方公司合作完成，第三方公司負責技術(shù)上的開發(fā)與維護，而第三方公司開發(fā)人員流動大，代碼安全性得不到保護。

（6）領(lǐng)導(dǎo)體系建設(shè)待完善，需進一步明確責任。

（7）安全體系建設(shè)資金投入有限，需要發(fā)揮最大效益。

3 等級保護的目的與意義

網(wǎng)絡(luò)安全等級保護系統(tǒng)作為信息系統(tǒng)分類和保護的國家標準，是教育行業(yè)開展網(wǎng)絡(luò)安全體系建設(shè)的重要依據(jù)。在改進內(nèi)部網(wǎng)絡(luò)安全管理體系，提高網(wǎng)絡(luò)安全建設(shè)整體水平，增強網(wǎng)絡(luò)安全防護體系的完整性、健全性和可靠性方面，具有重要意義[4]。

首先，實施等保要求應(yīng)滿足《網(wǎng)絡(luò)安全法》和等保制度的規(guī)定，是網(wǎng)絡(luò)安全工作的基礎(chǔ)。另一方面，實施等級保護要求可使信息系統(tǒng)保護更加全面、高效。實施等級保護，在信息系統(tǒng)的整個生命周期中，通過安全管理和安全技術(shù)等措施的同步規(guī)劃、實施和利用，可以有效地抵御網(wǎng)絡(luò)攻擊，將危害和損失降到最低。等級保護通過對信息系統(tǒng)進行分級分類，實現(xiàn)重點系統(tǒng)重點保護，大幅度地提高了人力、物力、財力等有限資源的作用。隨著《網(wǎng)絡(luò)安全法》的實施，等級保護標準不斷完善，涉及面也會更廣（包括云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等），這將大大減少等級保護工作中的知識和領(lǐng)域盲區(qū)，使等保工作開展得更加全面、高效[24]。

4 架構(gòu)建設(shè)建議

結(jié)合等級保護以及中央電化教育館等級保護測評方案，從安全架構(gòu)角度，提出信息系統(tǒng)安全建議。安全架構(gòu)的設(shè)計要符合等保的要求，此設(shè)計架構(gòu)也應(yīng)是等保落地實施的產(chǎn)物。從教育行業(yè)信息系統(tǒng)安全的管理架構(gòu)和技術(shù)架構(gòu)，持之以恒地狠抓落實網(wǎng)絡(luò)安全工作，是在等保要求下日常消除安全隱患的有效方法，從而保證信息系統(tǒng)安全等級保護的順利落實。

4.1 管理體系架構(gòu)

依據(jù)《網(wǎng)絡(luò)安全和信息化工作要點》《教育信息化十三五規(guī)劃》和《教育信息化2.0行動計劃》的指示，要對重點任務(wù)做分工，定期監(jiān)督執(zhí)行情況，不斷優(yōu)化網(wǎng)絡(luò)安全監(jiān)測預(yù)警通報工作，重要時期進行安全保障工作，關(guān)鍵節(jié)點優(yōu)化網(wǎng)站訪問策略，做好應(yīng)急管理。

在外包管理方面，要加大管理力度，制定相關(guān)的管理制度，包括雙方的責任和權(quán)限劃分、系統(tǒng)的配置變更管理、日志審計等方面。管理制度的落實和執(zhí)行是關(guān)鍵，相關(guān)行為記錄應(yīng)被完整保存。

在測試驗收方面，應(yīng)進行源代碼審查、安全漏洞檢測。

在培訓(xùn)和考核方面，應(yīng)定期對崗位人員進行相關(guān)安全技術(shù)和安全意識的考核，并保留每一次培訓(xùn)、考核的記錄[13]。

在應(yīng)急培訓(xùn)與演練方面，應(yīng)每年最少組織一次應(yīng)急培訓(xùn)，并定期進行應(yīng)急演練[13]。

4.2 技術(shù)體系架構(gòu)

技術(shù)體系架構(gòu)層級如圖1所示。

在用戶層面，等級保護中強調(diào)了需要實現(xiàn)對內(nèi)部網(wǎng)絡(luò)用戶的身份認證、網(wǎng)絡(luò)行為管理和審計等規(guī)范化管理。為了規(guī)范用戶管理，滿足等保制度的要求，網(wǎng)絡(luò)準入和上網(wǎng)行為管理系統(tǒng)需要關(guān)聯(lián)人事系統(tǒng)、教務(wù)系統(tǒng)等權(quán)威數(shù)據(jù)源，正確核對用戶身份信息，建立基于用戶信息、MAC地址、源IP地址、目的IP地址、網(wǎng)絡(luò)行為和時間等多維度的日志系統(tǒng)。

在網(wǎng)絡(luò)層面，網(wǎng)絡(luò)區(qū)域可劃分為互聯(lián)網(wǎng)接入?yún)^(qū)、對外服務(wù)區(qū)、對內(nèi)服務(wù)區(qū)、開發(fā)測試區(qū)、安全管理區(qū)和辦公區(qū)等，安全區(qū)域內(nèi)還可以根據(jù)業(yè)務(wù)系統(tǒng)的分級和分類，進一步劃分次級安全區(qū)。同時，需要合理分配網(wǎng)絡(luò)帶寬，區(qū)域間設(shè)置訪問控制策略。避免網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)鏈路存在單點問題，實現(xiàn)負載均衡機制，并部署網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)防病毒、Web應(yīng)用防火墻、入侵檢測系統(tǒng)等安全設(shè)備。

在系統(tǒng)管理層面，根據(jù)等級保護主機安全的要求，對服務(wù)器主機操作系統(tǒng)、中間件、數(shù)據(jù)庫、管理終端設(shè)備等進行安全加固，強化密碼安全策略，實施操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)庫等安全審計策略，實施統(tǒng)一的終端防病毒和補丁升級機制。

在應(yīng)用服務(wù)層面，采用穩(wěn)定安全可靠的開發(fā)架構(gòu)，用加密技術(shù)保證通信安全和保護數(shù)據(jù)完整性，避免數(shù)據(jù)泄露和被惡意篡改等安全事件的發(fā)生。采用的開發(fā)框架要能有效應(yīng)對SQL注入、跨站腳本攻擊、跨站請求偽造、遠程代碼執(zhí)行、信息泄露等攻擊行為，部署網(wǎng)頁防篡改系統(tǒng)以防非法篡改事件的發(fā)生。保持定期對網(wǎng)站進行安全漏洞掃描，或不定期邀請第三方進行網(wǎng)絡(luò)安全滲透測試的頻率，以便及時發(fā)現(xiàn)潛在的安全漏洞并進行修復(fù)[25]。

在數(shù)據(jù)層面，制定合理的備份計劃，定期對業(yè)務(wù)系統(tǒng)的數(shù)據(jù)以及設(shè)備配置數(shù)據(jù)等進行備份，并核對數(shù)據(jù)的完整性和可用性。部署數(shù)據(jù)防泄漏系統(tǒng)，對重要數(shù)據(jù)進行識別和標識，監(jiān)控數(shù)據(jù)的流動范圍，避免流出可信安全區(qū)域。

5 等級保護2.0對系統(tǒng)安全的影響

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（以下簡稱等級保護2.0）是依據(jù)《網(wǎng)絡(luò)安全法》中的法律條文，對原來的《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》（以下簡稱等級保護1.0）進行修改的安全標準。隨著移動互聯(lián)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)的興起，對等級保護提出了更高的要求，形成新的網(wǎng)絡(luò)安全等級保護基本要求標準，新標準針對共性安全保護需求提出安全通用要求[18]。針對教育行業(yè)信息系統(tǒng)，包括新增的云計算應(yīng)用場景、大數(shù)據(jù)應(yīng)用場景以及移動互聯(lián)應(yīng)用場景在內(nèi)的安全需求，也需要不斷增強。

5.1 云計算應(yīng)用場景的安全需求

云計算技術(shù)從服務(wù)角度分為IaaS（基礎(chǔ)設(shè)施即服務(wù)）、PaaS（平臺即服務(wù)）和SaaS（軟件即服務(wù)）三個方面，等級保護云計算部分重點考慮主要集中在基礎(chǔ)設(shè)施和虛擬層以及相關(guān)組件的安全[18]。教育云是指面向教育行業(yè)的行業(yè)云，將教育資源以公開或者半公開的方式，向行業(yè)內(nèi)部或相關(guān)組織和公眾提供有償或無償服務(wù)的云平臺。作為公共服務(wù)平臺的教育云，通常包括面向服務(wù)的學(xué)科教研網(wǎng)、教學(xué)博客、教育即時通訊、教育共享資源庫、教研培訓(xùn)服務(wù)平臺、學(xué)生學(xué)習(xí)服務(wù)平臺、教育電子政務(wù)平臺、社區(qū)教育服務(wù)平臺等一系列應(yīng)用[19]。云教育的綜合服務(wù)模式按照增值空間以及服務(wù)平臺類型，如圖2所示。

針對教育信息系統(tǒng)的公有云、私有云和混合云，安全等級保護在保護資源以及信息方面顯得尤為重要。通過構(gòu)架在存儲、網(wǎng)絡(luò)、服務(wù)器等基礎(chǔ)硬件資源和單機操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)管理軟件的云平臺管理系統(tǒng)，云操作系統(tǒng)在提升教育云的服務(wù)質(zhì)量上面具有重要意義[19]。等級保護2.0云計算部分重點考慮基礎(chǔ)設(shè)施和虛擬層以及相關(guān)組件的安全[18]。

5.2 大數(shù)據(jù)應(yīng)用場景的安全需求

大數(shù)據(jù)具有體量大、種類多、速度快和真實性的特點，教育行業(yè)的大數(shù)據(jù)涉及到教學(xué)、管理、教研以及培訓(xùn)等方面的數(shù)據(jù)。隨著教育大數(shù)據(jù)應(yīng)用價值的凸顯，教育行業(yè)將對大數(shù)據(jù)進行不斷地采集和分析，其中包括信息系統(tǒng)平臺上的數(shù)據(jù)以及用戶個人信息，因此大數(shù)據(jù)應(yīng)用場景安全顯得尤為重要。在等級保護2.0大數(shù)據(jù)安全方面，重點考慮數(shù)據(jù)安全、基礎(chǔ)設(shè)施以及數(shù)據(jù)相關(guān)功能組件安全[18]。其中，對于物理環(huán)境安全，教育行業(yè)等級保護的重點在基礎(chǔ)設(shè)施建設(shè)上面的物理安全以及數(shù)據(jù)跨境傳輸?shù)膯栴};針對數(shù)據(jù)流量安全，重點在信息系統(tǒng)流量控制以及數(shù)據(jù)分離問題;對于計算環(huán)境安全，重點在身份鑒別、應(yīng)用鑒別、對外服務(wù)以及數(shù)據(jù)安全相關(guān)安全方面，等級保護做了相關(guān)的要求[18]。具體登記保護要求要點如圖3所示。

5.3? 移動互聯(lián)應(yīng)用場景的安全需求

移動終端、移動應(yīng)用和無線網(wǎng)絡(luò)構(gòu)成移動互聯(lián)的典型結(jié)構(gòu)，移動互聯(lián)主要針對移動終端通過無線信道接入的應(yīng)用場景[18]。教育行業(yè)的移動互聯(lián)應(yīng)用場景主要表現(xiàn)在課堂上的電子白板教學(xué)和iPad教學(xué)等移動終端，通過無線網(wǎng)絡(luò)輔助教學(xué)的場景。教學(xué)設(shè)備通過無線網(wǎng)絡(luò)連接網(wǎng)絡(luò)設(shè)備，無線接入網(wǎng)關(guān)通過訪問控制策略限制移動終端的訪問行為，后臺的移動終端管理系統(tǒng)負責對移動終端的管理[18]。如圖4所示，等級保護2.0重點考慮在移動終端以及無線接入網(wǎng)關(guān)方面相關(guān)的安全問題，其中針對物理環(huán)境安全，新等級保護重點應(yīng)當在移動終端和無線接入網(wǎng)關(guān)的物理安全問題;對于區(qū)域邊界安全，新等級保護重點應(yīng)當在邊界防護、訪問控制以及入侵檢測方面;對于計算環(huán)境安全，新等級保護重點應(yīng)當在移動終端管控和移動應(yīng)用管控方面[18]。

6 發(fā)展方向分析與建議

6.1 注重個人信息保護

當今社會正處于大數(shù)據(jù)和“互聯(lián)網(wǎng)+”時代，隨著教育系統(tǒng)海量信息的生成，個人信息從不同層面被采集、處理、利用與傳遞[14]。在整個數(shù)據(jù)生命周期中，信息系統(tǒng)進行數(shù)據(jù)采集、數(shù)據(jù)集成與融合、數(shù)據(jù)分析與存檔，與此同時無限度的信息挖掘、信息濫用、信息侵權(quán)行為時有發(fā)生[14]。網(wǎng)絡(luò)病毒和黑客對信息安全造成威脅，破壞信息數(shù)據(jù);教育系統(tǒng)獲取用戶信息的開放性，導(dǎo)致教育信息系統(tǒng)的用戶個人信息面臨著被不法分子掌控以及利用威脅的情況，部分用戶甚至被電信精準詐騙，造成財產(chǎn)上的損失，嚴重的可能危害用戶生命，造成社會動蕩;網(wǎng)絡(luò)攻擊者通過系統(tǒng)內(nèi)存儲的個人信息，不同的存儲方式會導(dǎo)致信息資源被攻擊，從而造成信息數(shù)據(jù)保護薄弱[15]。

面對此種情況，教育部開展數(shù)據(jù)安全專項治理行動，面向教育系統(tǒng)開啟專項監(jiān)測。依據(jù)2018年《數(shù)據(jù)安全治理白皮書》的數(shù)據(jù)安全治理方針，以“讓數(shù)據(jù)使用更安全”為目標來構(gòu)建安全體系架構(gòu)[15]。數(shù)據(jù)安全治理建設(shè)主要包含幾個方面：組織構(gòu)建、資產(chǎn)梳理、策略制定、過程控制、行為審核以及持續(xù)改善[15]。通過數(shù)據(jù)人員組織、數(shù)據(jù)安全方面的技術(shù)支撐以及數(shù)據(jù)安全使用策略和流程三大框架滿足數(shù)據(jù)安全保護、敏感數(shù)據(jù)管理和合規(guī)性的目標[15]。通過大數(shù)據(jù)分析，提高個人信息保護的針對性，確保服務(wù)器上的數(shù)據(jù)安全。同時，通過軟件檢測評估，定期對信息系統(tǒng)進行滲透測試，對重要信息進行一定的存儲保護。具體數(shù)據(jù)安全治理理念如圖5所示。

與此同時，需要培養(yǎng)信息系統(tǒng)用戶的信息管理意識，采用正確的方式使用網(wǎng)絡(luò)，保證信息系統(tǒng)安全性能，確保個人信息的保密性[16]。同時，在使用計算機注冊登錄的過程中，需要開啟網(wǎng)絡(luò)安全保護軟件（如360安全衛(wèi)士、電腦管家等），防止用戶個人信息被泄露[16]。

6.2 完善信息系統(tǒng)安全通報機制

信息系統(tǒng)安全通報不是單一的，必須形成一個安全鏈，這條安全鏈由三個部分組成，分別是教育行政部門、學(xué)校和企業(yè)。教育部及其直屬單位等教育行政部門要進行定期的經(jīng)驗交流與分析，共同參與信息系統(tǒng)安全政策的制定，進一步明確信息系統(tǒng)安全的標準規(guī)范。學(xué)校聯(lián)合企業(yè)要注重信息系統(tǒng)安全隊伍的培養(yǎng)，培養(yǎng)并鼓勵人才多進行技術(shù)和管理上的創(chuàng)新，為信息系統(tǒng)安全提供一定的技術(shù)支持。

若出現(xiàn)安全問題，教育部以及安全技術(shù)團隊進行通報跟蹤，部屬機構(gòu)、高校、各地教育廳以及各地教育廳的安全技術(shù)團隊對通報進行轉(zhuǎn)發(fā)跟蹤、自主監(jiān)管，地方院校收到轉(zhuǎn)發(fā)通報進行處理，地市教育局將安全事件轉(zhuǎn)發(fā)到區(qū)縣教育局處理，由具體負責處置單位的上一級單位履行監(jiān)督匯報責任。實現(xiàn)對信息系統(tǒng)安全事件的監(jiān)管、通報、跟蹤和督促，真正做到信息系統(tǒng)安全管理到基層。

6.3. 加強關(guān)鍵信息基礎(chǔ)設(shè)施保護

教育行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施是指提供重要網(wǎng)絡(luò)信息服務(wù)的信息系統(tǒng)，并且這些信息系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故，會影響教育行業(yè)部分職能的正常運行。更有甚者，會對國家政治、經(jīng)濟、社會以及公民財產(chǎn)等造成重大損失。關(guān)鍵信息基礎(chǔ)設(shè)施保護把等保制度作為基礎(chǔ)，《網(wǎng)絡(luò)安全法》通過增加對網(wǎng)絡(luò)攻擊行為、非法侵入、網(wǎng)絡(luò)干擾和破壞等擾亂關(guān)鍵信息基礎(chǔ)設(shè)施行為的懲戒措施，以及增加關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，來對信息系統(tǒng)的網(wǎng)絡(luò)安全進行管控[16]。

針對關(guān)鍵信息基礎(chǔ)設(shè)施容易出現(xiàn)的網(wǎng)絡(luò)安全問題，教育部在關(guān)鍵信息基礎(chǔ)設(shè)施保護方面主要進行了規(guī)劃、指南和評估。通過確定關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，確定保護控制的對象，提出安全防護升級計劃，作為關(guān)鍵性基礎(chǔ)設(shè)施的保護規(guī)劃;通過明確識別標準和流程，明確備案制度和管理制度，作為關(guān)鍵基礎(chǔ)設(shè)施的識別指南;用遠程檢測、現(xiàn)場檢查等方式進行安全評估，并且在技術(shù)層面做一定的規(guī)劃。通過網(wǎng)站入侵檢測系統(tǒng)、惡意代碼綜合檢測系統(tǒng)（鏡像）、網(wǎng)絡(luò)流量異常分析大數(shù)據(jù)挖掘系統(tǒng)、日志大數(shù)據(jù)分析挖掘系統(tǒng)、郵件監(jiān)測系統(tǒng)、大數(shù)據(jù)威脅態(tài)勢感知系統(tǒng)等一系列安全監(jiān)測系統(tǒng)，構(gòu)建大數(shù)據(jù)威脅態(tài)勢感知體系，對關(guān)鍵信息基礎(chǔ)設(shè)施進行防護。采用終端防病毒產(chǎn)品，對腳本級惡意代碼進行查殺，對流氓捆綁進行精準攔截;通過高頻白名單、誤報云控制體系、后臺誤報發(fā)現(xiàn)系統(tǒng)來控制誤報攻擊的情況，做到查殺速度快和高性能文件存儲。

7 結(jié)束語

隨著教育信息化的發(fā)展，行業(yè)內(nèi)使用信息系統(tǒng)用戶數(shù)量和重要信息系統(tǒng)的數(shù)量也在不斷增加，更突顯了信息系統(tǒng)等級保護測評的重要性。加強制度建設(shè)，守住法律底線，對信息系統(tǒng)進行統(tǒng)一集中管理，進而防止網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊、非法獲取倒賣個人信息、侵犯知識產(chǎn)權(quán)等損害信息系統(tǒng)用戶權(quán)益的行為發(fā)生。信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)是國家發(fā)展大勢所趨，教育行業(yè)的網(wǎng)絡(luò)安全問題值得社會關(guān)注。

參考文獻

[1] 潘潤凱.教育系統(tǒng)網(wǎng)絡(luò)安全政策解讀[R].教育系統(tǒng)網(wǎng)絡(luò)安全專題研討班培訓(xùn)材料，2018.

[2] 何磊.信息安全等級保護背景下校園網(wǎng)安全體系建設(shè)初探[J].電腦知識與技術(shù)，2016，12（21）：26-27.

[3] 溫凱.全國人大代表陳偉才：自制展板談打防電信詐騙，“愿天下無騙”[J].中國防偽報道，2017（03）：37-38.

[4] 胡江.網(wǎng)絡(luò)安全防護體系的建設(shè)及案例剖析[J].計算機光盤軟件與應(yīng)用，2014，17（13）：165+167.

[5] 張帥. 基于.NET的信息系統(tǒng)安全評估系統(tǒng)的設(shè)計與實現(xiàn)[D].貴州師范大學(xué)，2016.

[6] 馬遙，黃俊強.信息安全管理體系與等級保護管理要求[J].信息技術(shù)，2012，36（06）：140-142.

[7] 廖其耀.基于風險分析的信息系統(tǒng)等級測評[J].科技與創(chuàng)新，2017（09）：128-129.

[8] 林煒.利用滲透測試進行安全評估及效果檢查[J].華南金融電腦，2009，17（06）：9-10.

[9] 吳松澤. 基于Web安全的滲透測試技術(shù)研究[D].哈爾濱師范大學(xué)，2015.

[10] 黃禧亮.信息安全等級保護要求下中小學(xué)教育網(wǎng)站安全防護研究[J].廣西廣播電視大學(xué)學(xué)報，2016，27（01）：35-38.

[11] 姜可.信息系統(tǒng)安全等級保護實踐與思考[J].信息與電腦（理論版），2017（19）：171-172.

[12] 孟慶寶.信息系統(tǒng)等級保護的建設(shè)思路與途徑[J].教育現(xiàn)代化，2017，4（38）：344-345.

[13] 武騰，宋好好.教育行業(yè)信息系統(tǒng)等級保護研究[J].網(wǎng)絡(luò)空間安全，2017，8（12）：8-12.

[14] 李媛. 大數(shù)據(jù)時代個人信息保護研究[D].西南政法大學(xué)，2016.

[15] 數(shù)據(jù)安全治理白皮書概要版[J].網(wǎng)絡(luò)安全和信息化，2018（07）：22-26.

[16] 朱天元.大數(shù)據(jù)時代信息安全的防范措施[J].信息與電腦（理論版），2018（21）：212-213.

[17] 顧偉.關(guān)鍵信息基礎(chǔ)設(shè)施保護制度的國際接軌與中國特色—《網(wǎng)絡(luò)安全法》亮點解讀[J].信息安全與通信保密，2016（11）：48-53.

[18] 任婷，于城.從新技術(shù)角度談等級保護2.0[J].信息通信技術(shù)，2018，12（06）：12-17.

[19] 祝智庭，楊志和. 云技術(shù)給中國教育信息化帶來的機遇與挑戰(zhàn)[J]. 中國電化教育，2012（10）：1-6.

[20] 敖翔.基于等保標準的網(wǎng)絡(luò)安全保障體系模型研究[J].數(shù)字與縮微影像，2018（01）：43-46.

[21] 加快融合創(chuàng)新發(fā)展 讓教育信息化2.0變?yōu)楝F(xiàn)實—2018年全國教育信息化工作會議召開[J].電化教育研究，2018，39（06）：1.

[22] 楊志和. 教育資源云服務(wù)本體與技術(shù)規(guī)范研究[D].華東師范大學(xué)，2012.

[23] 《網(wǎng)絡(luò)安全法》和云等保框架下企業(yè)如何為安全掌舵[EB/OL]. http：//finance.jrj.com.cn/2017/03/29000022241693.shtml.

[24] 王建華.信息安全等級保護標準現(xiàn)狀及其在網(wǎng)絡(luò)安全法作用下的發(fā)展[J].中國金融電腦，2018（03）：72-74.

[25] 網(wǎng)站信息安全防護措施怎么做[EB/OL]. https：//www.szweb.cn/knowledge/9335.html

作者簡介：

寇思佳（1992-），女，漢族，黑龍江大慶人，曼徹斯特大學(xué)，碩士，中央電化教育館，研究實習(xí)員;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全、教育信息化。

王琎（1989-），男，漢族，北京人，北京交通大學(xué)，碩士;主要研究方向和關(guān)注領(lǐng)域：電子認證、密碼學(xué)、網(wǎng)絡(luò)可信身份、嵌入式安全、項目管理。