“平臺+服務”：構建高質量網絡安全監管體系

金玉 施勁

【摘 要】隨著教育信息化2.0時代的到來，教育系統網絡信息資產數量越來越多、數據規模越來越大，網絡安全風險也越來越高，加快構建高質量江蘇教育系統網絡安全監管體系，成為當前工作亟待落實的課題。江蘇省教育系統網絡安全監管體系基于“平臺+服務”的模式構建，旨在依托平臺加強網絡信息資產和網絡安全事件兩個全生命周期管理，將配套制度融入平臺的流程設計中，真正提升全省教育系統網絡安全治理能力，夯實教育高質量發展的安全底座。

【關鍵詞】網絡信息資產;安全威脅;全生命周期管理;監管體系

【中圖分類號】TP393? 【文獻標志碼】A? 【文章編號】1005-6009（2022）12-0007-05

【作者簡介】1.金玉，江蘇省電化教育館（南京，210013）副館長，高級教師，主要研究方向為教育系統網絡安全管理;2.施勁，江蘇省電化教育館（南京，210013）信息管理部副主任，助理工程師，主要研究方向為教育系統網絡安全管理。

網絡安全事關教育改革發展穩定大局，事關廣大師生切身利益。長期以來，江蘇教育系統網絡信息資產數量多、分布廣，數據規模大、價值高，網絡安全形勢嚴峻，高質量網絡安全監管體系亟待構建。我們堅持以問題為導向，架梁立柱，以壓實網絡安全工作責任為核心目標，采用“平臺+服務”模式，輕量級部署江蘇省教育網絡和信息安全通報平臺;依托平臺緊抓網絡信息資產和安全事件全生命周期管理，建立網絡安全聯絡員制度、通報制度、網絡威脅情報共享制度等，實現全省教育系統資產摸排全部覆蓋、威脅情報全域感知、通報處置全程管理、防護能力全面提升。

一、江蘇教育系統網絡安全管理中存在的主要問題

（一）資產家底不清

2018年以前，江蘇教育系統雖已出臺關于各單位網絡信息資產備案的管理規定，但實際施行效果并不理想。由于缺乏對網絡信息資產進行自主嗅探和智能識別的能力，很多教育單位即使未認真落實網絡信息資產備案、未及時更新工作要求，也難以被發現。全省教育系統網絡信息資產備案更新不及時、不準確，導致網絡信息資產底數難以摸清。

（二）處置流程不暢

由于缺乏技術支撐，很多涉事單位對本單位網站或信息系統面臨的安全威脅毫無感知能力，有些單位在網絡信息資產被入侵后不能及時有效地處理問題。作為全省教育系統網絡安全監管負責單位，江蘇省電化教育館（以下簡稱省電教館）因為缺乏有效的技術手段，對涉事單位網絡安全威脅和事件處置結果無法進行及時有效跟蹤，難以形成對網絡安全威脅和事件的全周期管理。

（三）安全意識薄弱

在江蘇省教育網絡和信息安全通報平臺建成以前，我們主要通過紙質文件方式開展網絡安全威脅和事件通報工作。相關單位網絡安全意識薄弱，在接到通報以后不能給予足夠的重視，不處置問題就直接關閉網站或信息系統，過一段時間再直接打開或讓信息系統“帶病”運行，造成網絡安全問題屢屢復現。

上述三個問題具有普遍性，單純依靠行政管理手段已無法解決，我們采用“平臺+服務”的模式，逐步探索建立集資產發現管理、漏洞監測預警、通報閉環處置、威脅情報共享、安全態勢感知、安全工作考核等一體化的多功能管理平臺，結合制度建設，構建全省高質量教育系統網絡安全監管體系。

二、江蘇教育系統網絡安全監管體系的構建

（一）建設總體思路

江蘇教育系統網絡安全監管體系從制度管理和技術管理兩個維度進行構建。我們建立健全一系列管理制度：出臺全省教育系統網絡安全責任制實施細則，明確各單位主要負責人為網絡安全第一責任人;制定并完善網絡安全責任制考核評價辦法，連續三年開展網絡安全工作考核，積極推動將考核結果納入省政府對設區市政府履行教育職責和高校年度綜合考核的內容清單中;建立網絡安全聯絡員機制和通報制度，壓緊壓實各級網絡安全責任。技術管理維度原本是短板，我們堅持以問題為導向，抓住網絡信息資產、網絡威脅和安全事件兩個關鍵點，建設網絡安全多功能綜合管理平臺。平臺按照如下原則進行科學設計。

1.先進可靠性。

為確保系統的功能性和高可靠度，平臺基于先進的微服務架構，當系統內部某個微服務出現故障時，自動進行相關業務熔斷處理。采用LVS+Nginx+API網關的多層均衡架構，保證平臺的高可用性和高吞吐量。采用minio對象分布式存儲，進行數據冗余設計。

2.內生安全性。

為確保系統和數據的安全可靠，平臺從多個層面加強安全防護，網絡訪問對話使用https協議加密，身份認證使用強制口令復雜度規則和雙因子認證，關鍵敏感數據采用加密存儲及多層過濾器、攔截器等技術。

3.可擴展性。

為確保能夠應對遠期必然性的負載增長和偶然性的系統過載狀況，平臺采用數據庫橫向擴展、分布式存儲、負載均衡等技術手段。平臺集成了mycat中間件，必要時可對底層mysql做橫向擴展，以支持未來數據量過大的場景。平臺采用容器化編排，基于外部負載均衡和內部負載均衡要求，可進行各個微服務的動態伸縮。

4.良好兼容性。

平臺須與教育部相關網絡安全工作平臺無縫對接，實現組織架構信息和資產信息與教育部教育行業信息資產管理平臺（GEDB）信息對接，得以從教育部通報平臺同步安全漏洞和安全事件等信息數據。

（二）平臺整體架構

平臺將江蘇教育系統網絡安全監管劃分為事前、事中、事后三個階段。事前階段主要包括網絡信息資產梳理、管理基礎數據維護、安全威脅情報歸集等，事中階段主要包括網絡安全事件的預警、檢查、處置、通報等，事后階段主要包括執行反饋、總結報告、制定規范標準等。平臺架構設計如圖1所示。

（三）平臺功能模塊

江蘇省教育網絡和信息安全通報平臺提供資產管理與探測服務、安全威脅通報管理服務、安全態勢感知和可視化服務、通知公告發布服務、安全預警資訊推送服務、重要時期報平安管理服務、網絡安全責任制考核管理服務等功能。

1.資產自主發現。

平臺具備對教育信息資產基礎數據的收集與持續更新功能，服務范圍為全省教育系統的網絡信息資產，便于開展全省教育系統網絡信息資產摸底工作。資產管理主要采集如下基礎數據：域名、IP地址及歸屬、Web首頁及其頁面內資源、設備指紋檢測、Web容器、腳本語言、前后端開發框架等，實現從資產申報、審批、上線、維護到下線全周期管理。

平臺通過基于響應協議指紋的網絡資產探測技術，主動探測全省教育系統互聯網信息資產，將探測結果通過接口與第三方平臺（教育部GEDB平臺）數據進行自動比對，篩選出不在已知清單內的信息資產并由各單位進行確認，最后將經確認的信息資產同步導入教育部GEDB平臺。以上方式可以實現全省教育系統網絡信息資產主動發現和動態更新，確保主管單位及時掌握網絡信息資產底數。

資產自主發現功能主要利用高速網絡掃描技術，其優點在于：不用完成三次握手，只發送第一個SYN，而后RST取消連接，這種無狀態保持的設計，可能會因網絡原因丟失約2%的數據，但極大地減少了狀態記錄的開銷，有效提升了掃描效率。使用了基于素數域原根或加密算法的地址生成策略，增加了相鄰掃描地址的隨機性，減少了掃描對同一IP地址段內目標網絡的壓力，不僅實現了高效的資源利用，而且掃描行為也較隱蔽，減少了網絡安全監管活動對目標單位信息系統和網站正常運行的影響。

2.風險監測預警。

通過平臺新建監測任務，可添加監測域名，設置漏洞、暗鏈和后門等監測內容，同時支持單次和周期任務，還可以自定義掃描策略。監測完成之后，審核人員可在監測任務列表中對監測結果進行審核。

3.通報處置管理。

通過審核的安全威脅和安全事件推送至通報管理模塊后，會根據平臺登記的組織架構和人員信息進行智能匹配，以點對點方式自動通報給對應的責任單位或上級主管單位。通報同時支持平臺、短信和電子郵件三種提醒方式，確保聯系人及時查收。

通報下發之后，平臺會對每一起通報進行全程跟蹤，并將通報處置狀態實時顯示在平臺上。監管工作人員能夠方便地了解每一起通報處置進度并及時進行督辦，確保所有安全威脅和安全事件通報被及時、完全修復，形成管理閉環。平臺通報功能使得網絡安全監管更加便捷、精準、高效，有效降低網絡安全漏洞復現發生率。

4.威脅情報共享。

我們結合網絡安全責任考核，鼓勵市縣教育行政部門和高校加強網絡安全自主監測力度，在確保安全的前提下共享網絡安全威脅信息。各單位通過平臺提交威脅信息后，省教育廳組織開展核查驗證，并對各單位共享威脅信息的情況進行統計分析，相關情況作為年度考核加分重要參考。同時依托平臺建設江蘇教育系統網絡安全風險情報庫，引導各單位自主發現網絡安全漏洞風險，建立健全威脅情報共享機制，有效提升全省教育系統網絡安全態勢感知能力。

5.安全工作考核。

平臺除提供對通報處置、漏洞復現、情報共享等客觀數據的統計分析功能外，還支持對申報材料和問卷表反饋數據的自動統計。我們可通過創建考核任務、設定考核類型、確定考核指標、分配不同權重等方式，實現對各單位網絡安全工作的自動化綜合考評。

除此之外，平臺還提供每年重要時期報平安功能，可進行多方數據接入關聯、多維數據挖掘統計的網絡安全態勢分析和展示。

三、網絡安全監管工作的實踐與思考

（一）工作進展與成效

我們充分利用“大數據+人工智能”的先進技術，采用“平臺+服務”的模式，依托江蘇省教育網絡和信息安全通報平臺強化監管，構建全省教育系統高質量網絡安全監管體系，促進全省教育系統網絡安全防護能力提升。

1.教育系統網絡安全監測基本實現全覆蓋。

江蘇教育系統自2018年起開展網絡安全監測試點工作，當年監測對象800個。2019年監測對象在固定監測7000個信息系統（含網站）的基礎上，每季度輪詢監測一批（2000個）信息系統（含網站），基本實現活躍信息系統（含網站）監測覆蓋。2020年起，監測對象范圍進一步擴大，基本實現對全省教育網絡信息資產庫中所有資產監測的全覆蓋。

2.教育系統網絡安全形勢總體向好。

平臺建成后，全省教育系統平均單個信息資產被監測發現存在安全威脅的比例逐年下降，從20%降至14%。全省教育系統安全威脅自主發現能力穩步提升。3年內，對網絡安全威脅和事件平均自主發現比例達82.6%。網絡安全事件復現數量明顯下降，2019年復現事件超過80起，2020、2021連續兩年不足20起。

3.網絡安全考核成績良好、成效明顯。

2019 —2021年，省教育廳連續三年在教育部、省委網信辦組織的網絡安全責任制考核中名列前茅。全省教育系統網絡安全責任制考核通過平臺開展，考核數據更加客觀，流程更加規范，地方教育局、高校、事業單位等各類考核對象年度考核平均得分較上一年均有所提高。

（二）思考與展望

伴隨著江蘇省教育網絡和信息安全通報平臺的建設，我們對做好網絡安全工作進行了深入的思考。

1.要深入理解網絡安全和信息化之間的關系。

習近平總書記強調，網絡安全和信息化是相輔相成的，它們是一體之兩翼、驅動之雙輪的關系，安全是發展的前提，發展是安全的保障。教育系統開展網絡安全監管工作，為的是創造安全的網絡空間環境，更好地為教育信息化保駕護航。而做好網絡安全監管工作也離不開信息化手段的支撐和保障。

2.要學會用技術思路解決管理問題。

我們發現具備強大功能的綜合性工作平臺可以化解工作中的痛點和難點，尤其是那些僅靠管理手段解決不了的問題，要善于用好技術手段。比如信息資產梳理采用人工填表上報的工作方式不僅統計效率低、數據時效性差，還加重了基層單位的工作負擔。網絡安全通報平臺具備了信息資產自動探測發現功能，配以相適應的管理流程，使得多年來的難題迎刃而解。

同樣典型的還有口令管理問題。從實踐效果看，通過強制檢測口令復雜度、增加短信驗證碼等方式，能夠對此進行有效管理。虛擬貨幣“挖礦”整治、訪問非法網站管控和溯源等問題的解決，也可以充分利用技術思路。

功能強大的綜合性平臺使得考核工作有據可依。一方面，對各單位應履行而未履行的網絡安全義務，通過平臺可以確?？鄯掷碛沙浞帧Ａ硪环矫妫瑢λ珜У男袨樵O定合理的加分規則，比如引導各單位積極共享威脅情報，建立網絡安全風險情報庫，健全威脅情報共享機制，促使被監管單位主動開展相關工作，有利于充分釋放數據效能，提升全省教育系統網絡安全態勢整體感知能力。

3.要把監管工作方式從“提要求”轉變為“做服務”。

綜合性網絡平臺提供了全省教育系統整體統籌推進工作的條件，利于轉變監管工作方式，將“提要求”變成“做服務”。如被監管單位只要做好資產確認及在指導下修復漏洞即可，網絡安全工作難度降低，效率提升，有利于形成上下齊心的局面，促使全省教育系統網絡安全整體情況向好發展。

在監管工作不斷收獲成效的過程中，平臺本身積累了大量寶貴的原始數據，這是將來實現教育網絡安全治理工作更上一層樓的重要基礎。數據作為新型生產要素，只有流動、分享、加工處理才能創造價值。下一步，在確保數據安全的前提下，我們將積極探索利用人工智能、大數據技術深入挖掘平臺積累數據所蘊藏的價值，利用數據對全省教育網絡安全工作情況進行精準“畫像”，加強數據研究，對存在問題及其原因進行深入剖析，提升相關資源配置效率，進一步優化網絡安全監管體系結構。

3771501908220