中小學校網絡安全問題分析及建議

■ 武漢市教育科學研究院 譚小花 陳義軍 彭 康

網絡安全和信息化是一體之兩翼、驅動之雙輪。隨著教育信息化的快速發展和廣泛應用，教育系統面臨的網絡安全問題日益突出，教育系統遭受的網絡攻擊以及信息系統網站漏洞通報數量也持續增加。截至2021年10月下旬，根據我市教育系統預警監測系統數據統計，2021年共通報81起信息系統網站漏洞。中小學校作為教育系統初等教育、中等教育學校的主要組成部分，網絡安全問題也比較突出，部分學校因網絡安全問題被迫關閉信息系統網站，嚴重阻礙了學校教育信息化發展。

一、問題分析

中小學校在信息化建設過程中，網絡信息資產越來越多，網絡安全問題也日益突出，主要表現在四個方面：一是網絡信息資產自身面臨風險；二是網絡安全意識有待提升；三是網絡安全管理有待加強；四是網絡安全技術防護有待完善。

1.網絡信息資產面臨較多風險

信息化建設進程中，中小學校的網絡信息資產從基礎網絡擴大到信息系統網站，無論是基礎網絡還是信息系統網站自身面臨較多風險。基礎網絡一方面面臨來自互聯網的黑客入侵、拒絕服務攻擊、APT高級持續攻擊、惡意文件、非授權接入等網絡邊界風險，另一方面又有校園內部不規范、無管控、獵奇的上網行為習慣帶來的終端安全風險；信息系統網站因為建立之初的重應用輕安全以及web服務軟件的漏洞，自身存在較多安全漏洞，除此之外還有SQL注入等應用攻擊及頁面篡改等風險。

2.網絡安全意識有待提升

中小學校整體網絡安全意識不足。一是學校領導不夠重視網絡安全工作，各項網絡安全保障工作無法在學校有效地推進；二是普通老師認為網絡安全與自己無關，缺乏網絡安全基礎知識，不能做到合規、安全地用網。

3.網絡安全管理有待加強

中小學校在網絡安全機構、制度、人員、建設及運維管理上都有待加強。據2019年不完全統計，我市部分中小學校無專崗專人負責網絡安全工作，大部分學校信息系統網站由第三方公司運維但缺少運維管理制度，其他相關制度約35%的學校未建立網絡安全制度，部分學校雖建有制度但存在不完善，針對性不夠，可行性不強的問題。

4.網絡安全技術防護有待完善

中小學校網絡安全技術防護存在不足。我市中小學校中約20%左右的學校未部署任何網絡安全防護設備，部分學校雖然部署了設備，但也存在防護設備單一、老舊及安全防護規則庫長期未升級的情況。

二、改進建議

面對居高不下的網絡攻擊以及學校網絡安全問題較多的實際情況，要從意識、管理、技術、規定動作四個方面著手，筑牢中小學校網絡安全防線。

1.強化網絡安全意識

首先，要對學校領導進行網絡安全培訓，明確網絡安全責任和保護義務，提高認識。按照《黨委（黨組）網絡安全工作責任制實施辦法》，領導班子主要負責人是第一責任人，主管網絡安全的領導班子成員是直接責任人。根據《網絡安全法》，學校應當按照網絡安全等級保護制度的要求履行網絡安全保護義務，若未履行義務且造成網絡安全后果的，依法對學校及直接負責的主管人員追究法律責任。其次，要對普通老師開展網絡安全意識培訓及網絡安全基礎知識培訓，明確網絡安全與中小學校每個人都是密切相關的。網絡安全為人民，網絡安全靠人民。老師作為人民的一份子，可能是網絡隱患的帶來者，也有著自覺維護學校網絡安全的責任和義務。

2.加強網絡安全管理

《教育行業信息系統安全等級保護定級工作指南》（試行）對中小學信息系統網站等級保護建議定為一級，學校實際定級時，根據信息系統網站的重要性定為一級及以上。按照《網絡安全等級保護基本要求》中規定的管理要求，落實學校機構、人員、制度、建設及運維管理。一是設置專崗專人負責校園網絡安全，并進行崗位技能培訓；二是對學校日常涉及到的網絡安全管理活動建立網絡安全管理制度，例如崗位和人員管理制度、資產和設備管理制度、備份和恢復管理制度、應急處置預案等；三是加強信息化項目建設管理。信息化建設項目同網絡安全同步規劃、同步建設、同步運行，項目驗收時要進行安全性測試驗收；四是做好運維管理，具體包括設備維護管理、漏洞風險管理、惡意代碼防范管理、備份與恢復管理、安全事件處置等。

3.完善網絡安全技術防護

針對中小學校資產狀況及面臨的主要風險，分類對中小學校安全提供最小化防護建議。

對沒有信息系統網站只有基礎網絡的中小學校，加強邊界安全防護和終端安全防護。一是部署下一代防火墻實現安全域隔離、網絡地址轉換和基礎的流量控制、ISP負載均衡和VPN等；二是部署上網行為管理實現校園網用戶實名訪問互聯網及校內應用的上網行為審計與管控、在線聊天管控、上網泄密管控以及上網流量管控等。

針對有信息系統網站的中小學校，加強基礎網絡防護的同時重點關注信息系統網站的安全。一是部署下一代防火墻和上網行為管理保障邊界及終端安全；二是部署WAF，阻斷SQL注入、跨站腳本等應用層攻擊；三是部署防篡改保護網頁不被非法訪問和篡改；四是按照等級保護日志留存六個月的要求，部署日志審計。對于信息系統網站未部署在本地的學校，通過購買服務方式，實現對信息系統網站的相關技術防護。

4.落實網絡安全規定動作

《網絡安全法》法律責任條款中規定：未履行相關保護義務，將被追究相應的法律責任。因此，履行網絡安全保護義務是《網絡安全法》的基本要求，保護義務中除上文提到的管理制度、技術防護、日志留存等外，還包括網絡安全規定動作：一是做好及配合做好監測工作。一方面將學校所屬信息資產及時上報給上級網絡安全管理部門，納入上級預警監測系統；另一方面加強對本校資產的自我監測，可以通過購買專業網絡安全公司服務，也可以使用appscan、burpsuite等工具自我檢測。但無論是哪一種方式，對掃描監測發現的漏洞一定要第一時間進行整改，盡早消除風險隱患。二是開展應急演練，確保發生真正的網絡安全事件時，能夠第一時間進行應急響應及處置。三是開展自查整改工作。學校每年至少要開展一次網絡安全自查工作，可以以網安部署的督查檢查工作為契機，通過自查發現本校的網絡安全工作存在的問題，能夠整改的立刻整改，不能立刻整改的建立整改計劃及方案，逐步完善學校網絡安全。