區(qū)域內(nèi)校園網(wǎng)絡(luò)信息安全的系統(tǒng)化管理

江蘇省南京市玄武區(qū)教師發(fā)展中心 吳林漢

在計(jì)算機(jī)互聯(lián)網(wǎng)還沒有進(jìn)入校園以前，學(xué)校圍墻之內(nèi)的信息大多都是以紙質(zhì)文檔的形式存放，只需要將資料室的門看好就基本完成了校園信息安全的保障工作。但隨著網(wǎng)絡(luò)和信息的高速發(fā)展，這些原本存在于紙質(zhì)文檔上的資料逐漸進(jìn)入了計(jì)算機(jī)硬盤和校園服務(wù)器之中，并與互聯(lián)網(wǎng)相連。日復(fù)一日年復(fù)一年，這些信息數(shù)據(jù)的數(shù)量越來越大，價(jià)值越來越高，面臨著隨時(shí)可能被入侵的狀況，因此校園網(wǎng)絡(luò)信息安全的防護(hù)工作迫在眉睫。

隨著信息化領(lǐng)導(dǎo)力培訓(xùn)和智慧校園建設(shè)的不斷推進(jìn)，校園網(wǎng)絡(luò)信息安全也越來越受到重視。當(dāng)前，關(guān)鍵基礎(chǔ)設(shè)施跟隨互聯(lián)網(wǎng)的進(jìn)程經(jīng)歷信息通信系統(tǒng)的普及應(yīng)用，各類基礎(chǔ)設(shè)施進(jìn)行運(yùn)行的關(guān)鍵在于其信息系統(tǒng)，攻擊信息系統(tǒng)的方法除了物理層面還有各種類型的網(wǎng)絡(luò)攻擊。不過即使很多人都知道校園網(wǎng)絡(luò)信息安全很重要，卻還是會經(jīng)常發(fā)生數(shù)據(jù)泄露、賬號被盜、頁面篡改等情況，說明校園網(wǎng)絡(luò)信息安全防護(hù)工作沒有落實(shí)到位，網(wǎng)絡(luò)信息安全的管理方式和方法也還存在著問題，信息安全的防護(hù)形勢依舊嚴(yán)峻。

一、教育城域網(wǎng)網(wǎng)絡(luò)信息安全現(xiàn)狀

（一）區(qū)域基礎(chǔ)網(wǎng)絡(luò)建設(shè)

目前我區(qū)校園網(wǎng)絡(luò)基礎(chǔ)建設(shè)已經(jīng)基本完成，中小學(xué)普通教室、專用教室和教師辦公室都是千兆到桌面。每個(gè)學(xué)校都有自己的網(wǎng)絡(luò)中心，并且擁有兩條出口線路：一條是學(xué)校原有的出口網(wǎng)絡(luò)線路，另一條是專用線路與區(qū)教育云數(shù)據(jù)中心互聯(lián)。這樣就基本形成了覆蓋全區(qū)中小學(xué)幼兒園的教育城域網(wǎng)。

（二）信息安全漏洞現(xiàn)狀

2018年江蘇省建立了教育網(wǎng)絡(luò)和信息安全通報(bào)平臺，原本還算是藏著掖著的校園網(wǎng)絡(luò)安全隱患直接被搬到了桌面上，一條條網(wǎng)絡(luò)安全漏洞不停地被通報(bào)：2018年下半年共收到10條漏洞通報(bào)，這些漏洞全部來源于各校的校園門戶網(wǎng)站。2019年收到了多達(dá)54條漏洞情況通報(bào)，其中包含4條管理弱口令漏洞，3個(gè)系統(tǒng)服務(wù)器安全漏洞，3條個(gè)人隱私信息泄露漏洞和1條危害郵件漏洞。除了這11條漏洞，剩下的43條漏洞依然全部來源于各校門戶網(wǎng)站。2020年從各方共計(jì)收到了整整100條漏洞情況通報(bào)，其中弱口令漏洞29條，信息泄露漏洞13條，服務(wù)器系統(tǒng)安全漏洞6條，校園網(wǎng)站漏洞52條。在數(shù)據(jù)面前，網(wǎng)絡(luò)信息安全防護(hù)形勢之嚴(yán)峻真的不是空穴來風(fēng)。要想將區(qū)域網(wǎng)絡(luò)信息安全工作做好就一定需要各中小學(xué)的齊力配合，不過目前各中小學(xué)缺乏專業(yè)的防護(hù)設(shè)備和專業(yè)的操作人員，所以要想依靠學(xué)校自身的力量去做好網(wǎng)絡(luò)信息安全工作幾乎是不可能的。因此找到一套有可行性的區(qū)域網(wǎng)絡(luò)信息安全管理方案就顯得尤為重要。

二、教育城域網(wǎng)網(wǎng)絡(luò)信息安全系統(tǒng)化管理

針對目前的網(wǎng)絡(luò)信息安全現(xiàn)狀，我們可以找到這樣一條系統(tǒng)化管理思路，對存在的重點(diǎn)問題進(jìn)行統(tǒng)一集中處理，簡單問題分散到各校自行處理，其他極少數(shù)問題進(jìn)行針對性處理。

（一）形成良好防護(hù)意識

計(jì)算機(jī)網(wǎng)絡(luò)存在的信息安全問題主要可以概括為計(jì)算機(jī)網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)黑客惡意攻擊和計(jì)算機(jī)系統(tǒng)漏洞。要想做好網(wǎng)絡(luò)信息安全防護(hù)工作，首先要讓各校專門的管理人員形成良好的防護(hù)意識。因此網(wǎng)絡(luò)信息安全管理人員的專業(yè)化培訓(xùn)必不可少。培訓(xùn)可以從信息安全意識培養(yǎng)、信息安全事件分析、信息安全工作盲點(diǎn)等角度著手，對管理人員進(jìn)行全面而有效的培訓(xùn)。這可以幫助他們對學(xué)校網(wǎng)絡(luò)與信息安全工作有一個(gè)全面清晰的認(rèn)識，從而為增強(qiáng)網(wǎng)絡(luò)安全防范意識，提升網(wǎng)絡(luò)管理水平打下堅(jiān)實(shí)的基礎(chǔ)。雖然通過簡單的培訓(xùn)，管理人員可能無法完全解決所有存在的漏洞，但他們會知道如何去做好防護(hù)工作，至少可以避免隱私信息泄露和弱口令這樣簡單漏洞的發(fā)生。這對做好校園網(wǎng)絡(luò)信息安全的保障也能起到至關(guān)重要的作用。

（二）制定可靠應(yīng)急預(yù)案

在校園網(wǎng)絡(luò)信息安全工作中，經(jīng)常會發(fā)生一些突發(fā)狀況，為了應(yīng)對這樣的狀況，我們需要制定出一套切實(shí)可行的應(yīng)急預(yù)案。這樣在出現(xiàn)突發(fā)狀況時(shí)，我們可以根據(jù)應(yīng)急預(yù)案的要求，有條不紊地解決問題。根據(jù)網(wǎng)絡(luò)安全等級保護(hù)2.0制度的要求，除了需要制定相應(yīng)的應(yīng)急預(yù)案外，還需要對應(yīng)急預(yù)案進(jìn)行攻防演練和審查。通過攻防演練可以檢驗(yàn)應(yīng)急預(yù)案的可行性和有效性，對預(yù)案中存在的問題進(jìn)行反饋和調(diào)整，讓應(yīng)急預(yù)案更加合理和完善，也讓應(yīng)急預(yù)案成為一套真正的應(yīng)急問題解決方案。

（三）分區(qū)規(guī)劃網(wǎng)絡(luò)布局

目前我區(qū)已經(jīng)初步建成教育城域網(wǎng)，各校通過專線與區(qū)教育云數(shù)據(jù)中心互聯(lián)，同時(shí)各校的網(wǎng)絡(luò)中心還保留了至少一條原有的出口線路，這樣就可以針對應(yīng)用業(yè)務(wù)的安全等級對相應(yīng)的數(shù)據(jù)流量進(jìn)行區(qū)分管理，避免數(shù)據(jù)的交叉。

例如：網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)連接著全區(qū)所有學(xué)校的監(jiān)控?cái)z像頭，監(jiān)控?cái)?shù)據(jù)流量包含校門、操場、食堂等一級重要區(qū)域的信息，這些信息數(shù)據(jù)有一定的保密要求，不適合通過公網(wǎng)線路傳輸。再例如：每學(xué)期的期中期末測試都需要進(jìn)行網(wǎng)絡(luò)在線閱卷，閱卷信息包含著學(xué)生的個(gè)人信息和考試數(shù)據(jù)信息，這類數(shù)據(jù)信息十分敏感，家長關(guān)注度很高，也不適合通過公網(wǎng)線路進(jìn)行傳輸。像這樣的信息就可以通過專用線路進(jìn)行傳輸，保證數(shù)據(jù)的安全。而學(xué)校里一些其他的即時(shí)通訊和網(wǎng)絡(luò)瀏覽流量，對保密性和安全性的要求不是很高，就可以通過學(xué)校原有的出口帶寬自行傳輸。

（四）添置專業(yè)安全設(shè)備

安全防護(hù)設(shè)備是校園網(wǎng)絡(luò)信息安全的基礎(chǔ)，沒有設(shè)備作為支撐，一切計(jì)劃都是空談。按照“等保2.0”制度中對信息安全防護(hù)的要求，應(yīng)當(dāng)具備網(wǎng)關(guān)、防火墻、入侵檢測和入侵防御、防病毒系統(tǒng)、日志審計(jì)系統(tǒng)、堡壘機(jī)、數(shù)據(jù)備份系統(tǒng)、運(yùn)維管理系統(tǒng)和漏洞掃描設(shè)備等網(wǎng)絡(luò)安全防護(hù)設(shè)備，如果有網(wǎng)站發(fā)布業(yè)務(wù)，還需要配備WEB應(yīng)用防火墻。根據(jù)“等保”級別的不同，對設(shè)備的要求也不同，可以根據(jù)校園具體的應(yīng)用場景和業(yè)務(wù)需求，有針對性地選擇安全防護(hù)設(shè)備。

（五）統(tǒng)一建設(shè)網(wǎng)站集群

從目前網(wǎng)絡(luò)安全的現(xiàn)狀可以看出，最大的隱患和漏洞來源就是各校的門戶網(wǎng)站發(fā)布系統(tǒng)。可以說只要解決了各校的網(wǎng)站發(fā)布問題，就解決了校園網(wǎng)絡(luò)信息安全一半的問題。所以將各校的校園網(wǎng)站進(jìn)行統(tǒng)一集中管理勢在必行。

目前，我們已經(jīng)完成了區(qū)域校園網(wǎng)站集群管理平臺的一期建設(shè)，對13所學(xué)校的校園門戶網(wǎng)站進(jìn)行統(tǒng)一集中管理，對各校網(wǎng)站中原先存在的漏洞進(jìn)行了一次大規(guī)模的修復(fù)，再利用專業(yè)網(wǎng)絡(luò)安全設(shè)備進(jìn)行防護(hù)，基本上能做好網(wǎng)站平臺的安全防護(hù)工作。網(wǎng)站雖然進(jìn)行了集中管理，但并不是說就一勞永逸了。各校網(wǎng)絡(luò)安全管理員還是要加強(qiáng)防范意識，對學(xué)校的賬號信息、發(fā)布內(nèi)容和網(wǎng)站動態(tài)做好嚴(yán)格的監(jiān)管和審查工作。只有這樣才能保證校園網(wǎng)站安全穩(wěn)定地運(yùn)行。

（六）完成相應(yīng)等級保護(hù)

《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定了網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照“等保”制度要求開展工作。其實(shí)等級保護(hù)只是網(wǎng)絡(luò)信息安全的最低標(biāo)準(zhǔn)，我們不能簡單地為了過“等保”而做“等保”。在網(wǎng)絡(luò)安全等級保護(hù)2.0下，可以將物聯(lián)網(wǎng)系統(tǒng)、移動互聯(lián)系統(tǒng)、工控系統(tǒng)、云平臺、大數(shù)據(jù)平臺等納入其中，并將數(shù)據(jù)防護(hù)、安全檢測等列入等級保護(hù)體系當(dāng)中，使其保護(hù)力度加大，有助于實(shí)現(xiàn)全方位的網(wǎng)絡(luò)安全防護(hù)和數(shù)據(jù)安全。通過開展網(wǎng)絡(luò)安全等級保護(hù)測評工作可以幫助我們找到校園網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患，幫助我們改善和提高信息系統(tǒng)的安全防護(hù)能力，降低被攻擊的風(fēng)險(xiǎn)。

根據(jù)“等保2.0”制度，等級保護(hù)總共分為五個(gè)級別，分別是用戶自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級、訪問驗(yàn)證保護(hù)級。至于到底應(yīng)該做第幾級“等保”，則需要根據(jù)校園網(wǎng)絡(luò)信息業(yè)務(wù)開展情況和應(yīng)用需求而定。

三、教育城域網(wǎng)網(wǎng)絡(luò)信息安全管理的未來

校園網(wǎng)絡(luò)信息安全從某種程度上可以說承載著學(xué)校、老師和學(xué)生們的未來。尤其是在當(dāng)前“互聯(lián)網(wǎng)+教育”背景下，國家、省、市區(qū)各級部門都在大力開展智慧校園建設(shè)，大力推進(jìn)人工智能課程實(shí)施，強(qiáng)調(diào)信息技術(shù)與學(xué)科融合發(fā)展。隨著信息和技術(shù)的不斷發(fā)展，這樣的趨勢會越來越明顯，對網(wǎng)絡(luò)傳輸能力、信息處理能力和安全防護(hù)能力的要求也會越來越高。所以校園網(wǎng)絡(luò)信息安全體現(xiàn)的不僅僅是教育的信息化和專業(yè)化，也體現(xiàn)了對所有在校師生信息數(shù)據(jù)的高度重視和人文關(guān)懷。在這樣一個(gè)對校園網(wǎng)絡(luò)信息安全十分重視的時(shí)代，我們更應(yīng)該做好網(wǎng)絡(luò)與信息安全保障工作，讓所有師生都能開心放心地在校園里工作和學(xué)習(xí)。