新疆教育行政四級專網安全防護體系建設研究

王廣平 周學和 木合塔爾·沙地克 李東亮 王命全

摘? ?要：網絡安全和信息化是事關國家安全和發展、廣大人民群眾工作生活的重大戰略問題。近年來，我國相繼出臺《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《關鍵信息基礎設施安全保護條例》、“網絡安全等級保護2.0” 等相關法律法規及標準，對各行業的網絡安全提出了嚴格要求。文章結合新疆教育行政四級專網的實際狀況，根據“網絡安全等級保護2.0”的基本要求，按照分域保護、訪問控制、身份認證、惡意代碼防范、入侵檢測、數據安全、終端安全、管理審計、風險預警、集中統一安全管理等，從技術和管理兩個層面構建了一套基于新疆教育行政四級專網“可信、可控、可管”的網絡安全防護管理體系，以有效防范、控制和抵御網絡安全風險，保障數據、系統、應用、網絡的安全，增強網絡安全預警，提高新疆教育系統整體網絡安全的防護水平。

關鍵詞：四級專網;等保2.0;數據安全;網絡安全;防護體系

中圖分類號：TP309 文獻標志碼：B? ? ? ? ? 文章編號：1673-8454（2022）10-0077-07

教育專網是教育信息化的重要基礎設施，是推動實現《教育信息化2.0行動計劃》發展目標的基本保障條件。教育專網采取分級投入方式，在提升現有中國教育和科研計算機網（China Education and Research Network，簡稱CERNET）網絡資源的基礎上[1]，充分利用國家公共通信資源，建設國家主干網、省（市）教育網和學校接入網三級結構教育專網，支撐各類創新型教學的常態化應用，推動優質教育資源開放共享，縮小區域、城鄉、校際之間的差距，實現更加公平的教育，全面助力教育強國和網絡強國建設進程。

目前，新疆教育行政四級專網實現了全區14個地州、93個縣市教育局、4655所中小學校、5家直屬單位的網絡接入。全區37所高等院校和單位通過專線接入方式聯接到中國教育和科研計算機網新疆區域節點，其網絡主節點帶寬10G。依據建設國家教育專網的規劃，已具備構建國家教育專網的網絡基礎。本研究基于新疆教育行政四級專網，參照“網絡安全等級保護2.0”等相關法律法規及標準[2]，從技術和管理兩個層面健全和完善了新疆教育行政四級專網安全防護體系，積極探索該體系的建設方式。

一、網絡安全現狀

近年來，新疆全區各級教育行政部門和學校普遍構建了網絡安全防護體系，完善了網絡安全工作機制，網絡安全在全區教育系統的重視程度前所未有，但也面臨著越來越嚴峻的網絡安全問題。據《新疆維吾爾自治區基礎教育信息化發展報告（2020）》顯示，新疆全區基礎教育階段完成信息系統安全等級保護定級工作的學校比例為45.85%，建立網絡與信息安全技術防護體系的學校比例為35.89%，制定網絡與信息安全應急預案的學校比例為56.20%，開展網絡安全專題培訓的學校比例為71.74%。當前，新疆全區教育系統普遍存在安全漏洞、弱口令、敏感信息泄露、暗鏈、后門等網絡安全隱患，根據教育部教育系統網絡安全工作管理平臺等對新疆全區網絡安全的監測數據顯示，2021年度新疆全區教育系統共通報網絡安全隱患204起，涉及全區教育系統53家單位，主要集中在高等院校。

二、產生風險的主要原因分析

產生網絡安全風險的原因主要如下：一是用戶安全意識薄弱。信息系統終端用戶不注重終端系統的安全防護[3]，導致個人終端安全問題頻發。此外，網絡安全管理人員業務能力不強、運維過程中產生人為操作失誤是造成信息泄露事件的主要原因之一。二是專網內各類信息資源安全防護措施不健全，大量敏感數據（個人信息）以明文形式存儲在數據庫系統中[4]，數據庫防護薄弱，增加了數據安全風險。三是網絡重點區域防護措施不強，安全邊界管理不清晰，網絡各區域邊界還缺少安全防護設備和相應安全訪問控制策略。四是監控手段不足，導致數據非法調用、越權使用[4]，教育信息泄露風險難以管控。五是網絡安全工作責任制落實不到位，亟需開展等級保護測評和系統安全加固。六是教育系統技術專職隊伍建設不夠完善，專職人員培訓和管理機制不健全。

三、教育專網網絡安全防護體系建設研究

針對上述問題，如何進一步完善新疆教育行政四級專網網絡安全防護技術措施，解決專網現實存在的安全風險隱患，提升網絡安全保護能力和管理能力，形成一套動態的可持續的主動防御體系，滿足網絡安全等級保護相關技術要求[5]，成為本研究重點關注的內容。

網絡安全防護體系建設的基本原則主要為：等級保護原則、體系化原則、多重保護原則、最小授權原則、安全服務原則等。

（一）構建安全技術體系

按照網絡安全等級保護制度“一個中心，三重防護”[6]的要求和安全建設理念，加強網絡三重防護建設。

1.安全通信網絡

按照分域保護，將網絡從結構上分為不同的安全區域[7]，各個安全區域內部的網絡設備、服務器、終端、應用系統形成單獨的環境，各個安全區域之間形成邊界，從保護邊界、通信網絡基礎設施進行分區控制、分等級控制，管理層次分明，局部的變動不影響上層或全局配置。

（1）安全劃分子網

新疆教育行政四級專網劃分為安全管理區域、服務器區域、核心交換區域、網絡出口區域、辦公接入區、專網接入區等子網。安全域劃分之后，再通過虛擬局域網（VLAN）劃分，將不同用戶群劃分在不同VLAN，可以控制網段大小、用戶訪問權限，隔離安全隱患。在新疆維吾爾自治區教育廳數據中心網絡出口區與四級專網間部署防火墻進行隔離。通過將不同網絡設備和業務系統劃分在不同的安全域，可以實現分域分等級保護，針對不同安全域部署不同的安全策略。不同安全域之間通過網絡安全邊界來實現有效隔離和有選擇性的通信，保護重要網段。

根據對不同安全域的安全要求，將安全域劃分為三個等級：業務服務區域、安全管理區域為最高安全域;辦公區域為中級安全域;教育四級接入域為低級安全域。不同網絡區域采取不同的訪問控制策略，一般對高安全域進行最佳保護，防止低級別安全域的用戶對其進行泄漏、篡改、破壞等的攻擊，高級別安全域中的資源不能由非授權的低級別安全域用戶使用、修改、破壞。

（2）用戶分級

新疆教育行政四級專網從教育廳本級向下可分為二級各地（州、市）級、三級縣（市、區）級和四級各類學校，通過分層分級逐層收斂的方式搭建整個全區的新疆教育專網。網絡地址采用靜態IP地址劃分，IP地址的管理實行三個“統一”：統一規劃、統一分配、統一管理辦法。地州級教育系統、縣市級教育系統、中小學校級等各級網絡據此規范管理和使用固定IP地址、劃分VLAN，并與MAC地址綁定，可以有效規避非法用戶的接入，從網絡層進行安全保護。

2.安全區域邊界

（1）邊界防護

在新疆教育行政四級專網各區域邊界部署訪問控制設備，保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信，安全子網區域配置邊界防火墻和入侵防御系統（IPS）進行網絡區域的隔離，對異常流量進行檢測和阻斷。防火墻是網絡層的核心防護措施，它可以對整個網絡進行網絡區域分割，提供基于IP地址和TCP/IP服務端口級的訪問控制。開啟防病毒模塊，實施網絡層惡意代碼的安全防護，防止惡意代碼在關鍵網絡節點的擴散，實現網絡訪問控制和邏輯隔離，防止非授權訪問。

（2）訪問控制

在新疆教育行政四級專網核心交換機上配置端口級訪問控制列表策略，對重要網段及設備進行IP與MAC地址綁定。訪問控制主要包括服務器區域訪問控制、用戶網絡準入、CERNET網訪問控制。

①服務器區域訪問控制。在核心交換機上部署訪問控制列表（ACL）策略，配置服務器區域防火墻、入侵防御系統安全策略，實現服務器區安全訪問。②用戶網絡準入。網絡準入主要為內部用戶提供全方位的身份認證、安全審計、行為管理、安全隔離，防止非法用戶接入;通過端口綁定，防止IP地址欺騙;配置動態ARP防護，防止ARP病毒;配置DHCP欺騙防護，防止DHCP病毒，最大程度地降低用戶接入層對整個網絡造成的威脅。③CERNET網訪問控制。新疆教育行政四級專網出口部署分布式拒絕服務攻擊（DDoS）監測及流量清洗設備、流量分析設備以及入侵檢測設備，防止CERNET網對內網的網絡攻擊行為，在防火墻上實施基本的訪問控制策略，在防火墻配置會話監控策略、會話限制策略、日志審計策略等。

3.安全計算環境

（1）身份鑒別

對新疆教育行政四級專網用戶進行身份鑒別是保障網絡安全的重要措施，統一用戶身份認證采用CA+SSLVPN，通過統一的身份認證入口進行認證。按最小授權原則，用戶在登錄系統時需相應的身份驗證并通過加密算法和數字簽名算法對用戶的身份驗證[8]及傳輸進行加密。

根據信息業務系統級別不同，采用的認證方式不同，每個應用系統都有自己的賬戶體系，管理員可以在統一身份認證與權限管理系統中配置某個用戶在系統中對若干賬戶的訪問權限。教育安全認證體系，主要包括CA系統、CA門戶系統、LDAP部署和證書受理點。部署電子簽章系統，實現電子簽章業務基礎環境、日常服務支持，為RA系統提供運行維護與保障。管理員用戶按分級分權，通過運維堡壘機或采用數字證書雙因子認證實現身份鑒別，登錄運維系統。業務操作用戶采用分級分權，采用雙因素身份鑒別方式登錄，阻止沒有權限的用戶對終端機或信息系統進行訪問。一般用戶采用用戶名+密碼方式或直接登錄，權限主要是瀏覽和查閱。

（2）入侵防范

新疆教育行政四級專網信息系統服務區最重要的防護措施是入侵防范，信息系統在提供服務的時候，非常容易受到外部潛在的危險攻擊。為了解決這些入侵攻擊，在服務區域邊界部署入侵防御系統，入侵防范主要由兩部分組成，包括入侵防御系統和入侵檢測系統（IDS）。Web應用防火墻（WAF）安全網關，服務集群則通過服務器交換機連接到入侵防御系統，為對外服務區域提供雙重防護。在核心交換區域部署入侵檢測系統對入侵行為進行檢測，入侵防御系統在發現網絡攻擊時自動采取阻止措施，保障新疆教育行政四級專網信息系統安全。

（3）惡意代碼防范

通過防病毒系統和漏洞掃描系統來實現安全防護，實施“層層設防、集中控制、以防為主、防殺結合”的策略，建立專網的防病毒體系。

（4）安全審計

通過在新疆教育行政四級專網部署安全審計系統來進行審計，將安全審計設備直接連接到核心交換機，部署全局安全審計策略，該策略覆蓋到用戶和網絡資產，發生安全事件時，完備的審計記錄是攻擊源追溯與系統修復的重要途徑。對用戶行為的審計，重點關注用戶登錄退出、修改口令、修改用戶權限等事件;對運維管理人員的審計，重點關注登錄安全設備（防火墻、入侵系統）、訪問網絡設備（交換機）、登錄服務器等行為。通過堡壘機對安全設備提供統一登錄管理，集中實現雙因素認證、用戶權限分配、安全審計功能。

（5）數據安全

新疆維吾爾自治區教育廳掌握著全區各級各類學校學生、教師、家長等個人信息，保障數據安全是安全防護體系的重中之重，理應通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

為解決各應用系統對其重要數據進行傳輸和存儲統一加密，保證重要數據的機密性、完整性、使用人員的身份鑒別、操作行為的不可否認性等安全需求，在業務服務區域部署密碼安全服務平臺，使用國家標準密碼算法實現對用戶名和口令及應用系統重要數據的數據加密、解密、數字簽名、驗證簽名、密鑰管理、訪問控制、密碼統一管理等密碼安全服務，避免信息泄露。密碼服務平臺采用主密鑰、工作密鑰機制，支持符合國家密碼管理局要求的主流密碼算法（包括對稱密碼算法、非對稱密碼算法、雜湊函數密碼算法等）。為各信息系統提供統一的密碼運算和密鑰管理服務，以及統一的設備管理和平臺監控功能，為各級應用系統的數據安全提供統一的安全策略，實現數據的安全存儲、內外網數據的安全交換。在數據備份與恢復方面，日常備份操作由備份系統自動完成，由備份服務器統一管理。部署數據庫審計系統進行數據庫安全審計。

（6）終端安全

全區教育系統終端客戶端主機，分布在廳本級、地（州）、縣（市、區）教育部門和學校等各級單位。終端安全共分為四個級別：省級用戶安全、地州級用戶安全、縣市級用戶安全、學校用戶（含高校、中職、中小學等）安全。終端安全是自上而下、相互聯系的，對終端用戶實施授權與認證管理，實現終端用戶的權限控制。終端操作綁定固定的主機，安裝防病毒軟件由專人負責。

4.安全管理中心

安全管理中心內的管理系統應符合“三權分立”權限管理，對系統管理、審計管理和安全管理[9]的管理主體、權限控制和管控過程提出明確要求。安全管理中心內的管理系統應具備對系統管理員、安全管理員、審計管理員的身份鑒別、命令、操作控制、審計等功能。

（1）系統管理。系統管理員是唯一對系統資源和運行配置的主體，避免其他用戶對系統資源和運行配置管控。

（2）安全管理。安全管理員作為系統安全參數設定、主客體標記、授權和可信驗證策略配置的唯一主體，統一管理主機訪問權限、網絡訪問權限、應用訪問權限，配置可信驗證策略，維護策略庫，具有對安全參數設置、授權和驗收等獨立管控權限。

（3）審計管理。審計管理員作為審計記錄分析和管控的唯一主體，具有對審計策略、審計記錄等獨立管控權限。

（4）集中管控。在新疆教育行政四級專網網絡架構中劃分安全管理區域，對網絡中的路由器、交換機、防火墻、其他網絡和安全設備、終端接入控制系統、安全感知平臺、日志審計系統、網絡版防病毒軟件、運維安全管理系統、基線核查系統等與分布在網絡中的安全設備或安全組件進行集中管控。

（二）構建安全管理體系

安全管理體系是落實安全的重要環節，技管并重“三分技術，七分管理”，技術和產品是基礎，安全管理是關鍵。技術層面通過部署相應的安全產品或技術手段實現，管理則需要健全的安全管理組織機構、嚴格的安全管理制度、技能培訓以及考核手段來實現。

1.安全管理制度

為保證新疆教育行政四級專網業務信息系統長期穩定運行以及業務數據的安全性，結合各信息系統的特點，規范安全管理制度，通過制定嚴格的權限管理、操作流程、運行方式、操作范圍等，指導網絡安全管理工作的具體落實，在實踐中不斷完善各項制度，定期對安全管理制度進行評審和修訂，安全的管理制度可以在很大程度上防止由于人為因素導致的安全性問題。

2.安全管理機構

新疆維吾爾自治區教育廳成立了自治區教育系統網絡安全與信息化領導小組，負責全區教育系統網絡安全和信息化管理。自治區教育管理信息中心具體承擔網絡安全相關工作，建立符合新疆教育行政四級專網的安全管理體系，明確安全管理各個崗位工作職責。

3.安全管理人員

制定人員錄用、人員離職等相關安全管理制度并保障有效落實，制定外部人員訪問管理制度并嚴格控制外部人員的訪問管理，對各類人員進行安全意識教育和崗位技能培訓和考核。

4.安全建設管理

建立完善的網絡安全管理制度體系和過程控制安全機制，為系統全生命周期的信息安全提供管理安全保障，主要涉及等級保護的定級、備案、等級測評、安全方案設計、產品采購和使用、服務供應商管理等。

5.安全運維管理

建立和完善網絡系統安全漏洞日常掃描、檢測評估和安全加固機制，加強對現有業務信息系統、安全設備的日常監控巡檢，通過安全巡檢、安全滲透測試、漏洞掃描等多種手段對新疆教育行政四級專網接入的各級教育部門和學校的系統進行技術檢查。加強安全運維專業技術團隊建設，培養安全運維專職人員，組織網絡安全事件應急演練，明確網絡安全事件處置流程。由第三方公司負責開發與維護的系統，要求嚴格落實網絡安全防護措施。

（三）落實等級測評，進行安全加固

網絡安全等級保護是保護關鍵信息基礎設施、保障網絡安全的重要措施，是信息系統分類和保護的國家標準，是教育行業開展網絡安全體系建設的重要依據，在改進內部網絡安全管理體系，提高網絡安全建設整體水平，增強網絡安全防護體系的完整性、健全性和可靠性方面，具有重要意義。

以新疆教育行政四級專網應用系統——新疆教育協同辦公系統為例，通過等級保護測評[10]對信息系統安全防護體系能力進行分析和確認，發現信息系統存在的安全隱患及時改進，有效提升整體安全防護水平。該系統安全保護等級為第三級，采用通用服務器、統信UOS操作系統、神通數據庫、東方通中間件等部署。系統后端采用JavaEE，并基于spring+struts2+Jdbc+Hibernate的B/S架構，可直接用瀏覽器訪問。前端采用jQuery+ajax+ freemarker+json語言，增強代碼級防護。同時，基于不同的業務，根據數據的特性，采用Memcached和Redis兩種緩存機制，增強系統穩定性。

通過開展網絡安全等級保護（第三級）等級測評，查找系統中存在的隱患和不符合項，并進行整改完成相關安全加固，等級測評主要存在的問題如下：

1.重要數據傳輸的機密性問題

系統采用超文本傳輸協議（HTTP），沒有加密措施。整改措施：利用Nginx生成自簽名的泛域名OpenSSL證書，將域名中的HTTP優化為HTTPS加密傳輸協議，增強數據傳輸安全。還需使用國密SSL替換OpenSSL證書。

2.身份鑒別問題

系統采用賬號+口令方式登錄，缺少身份認證。整改措施：對接證書認證網關，增加UKey認證登錄功能。在UKey中寫入個人信息并賦予唯一PIN碼，完成UKey簽發。在客戶端安裝驅動，同時在瀏覽器導入根證書，確保客戶端UKey運行環境正常。登錄時，輸入PIN碼進行UKey與系統數據庫用戶數據的驗證，驗證成功可登錄。

3.重要數據存儲的機密性問題

登錄口令的加密算法未采用國密算法，關鍵基礎信息未進行加密存儲。整改措施：增加加密機，采用SM2算法對關鍵性數據和用戶登錄口令進行加密、解密。

4.重要信息資源安全標記的完整性問題

缺少數據完整性保護。整改措施：增加公文管理的電子簽章功能，完成在線蓋章操作，確保公文的有效性和完整性。

（四）構建態勢感知平臺

在等級保護2.0中，安全管理中心要求具備集中管控能力，要求“應能對網絡中發生的各類安全事件進行識別、報警和分析”。作為安全管理中心，在核心交換區域部署某態勢感知產品，并部署相應的安全探針設備，態勢感知平臺集安全態勢感知與預警、威脅檢測與響應、漏洞發現與管理、日志收集與審計等全面的安全管理能力于一體，支持軟硬一體化，具有持續的基于異常的安全動態檢測與響應能力、數據整合能力、資產管理能力、安全分析能力、響應處置能力和態勢感知能力。態勢感知提供綜合態勢感知分析，主要有網絡入侵、異常流量、僵木蠕、網站安全、系統漏洞等態勢感知。[11]

將新疆教育行政四級專網網絡安全設備統一接入到態勢感知平臺，實現數據采集、分析、響應、呈現配套其他安全產品。態勢感知平臺通過攻擊日志接入、行為分析、攻擊識別、預判、推理挖掘、研判等流程，實現從日志到事件到攻擊活動，從態勢感知到決策響應再到聯動處置的流程閉環。

態勢感知融合了安全運營服務，提供多種診斷工具，可以通過頁面抓包支持基礎檢測、專項檢測、信息采集、日志檢測等，實現事前監測、風險評估、漏洞修復、情報預警;事中安全分析、防御處置;事后響應處置、取證溯源、安全復測、事件報告等，幫助運維人員提高工作效率。依托于態勢感知平臺，通過持續監測的方式，可以7×24小時不間斷地持續監測新疆教育行政四級專網網絡安全狀態，最大力度地控制和降低安全隱患和風險，實現可持續的主動防御，改變被動防護的局面。

四、結語

參照網絡安全等級保護2.0 相關標準，通過落實網絡安全保護技術和管理措施，落實等級保護測評，構建態勢感知平臺，通過預測、監測、協同、防御、響應[12]、溯源網絡安全隱患，提升網絡安全風險管控能力，提高對新疆教育行政四級專網信息系統、網站、應用的監測和預警能力，推進形成制防、人防、技防、物防相結合的新疆教育行政四級專網網絡安全管理體系，構筑可信、可控、可管、可用的新疆教育行政四級專網，達到國家等級保護和教育行業等級保護相關要求。

參考文獻：

[1]中國教育和科研計算網.雷朝滋：關于教育專網建設的四點思考[EB/OL].（2021-10-14）[2021-12-6].https：//www.edu.cn/info/zhuan_jia_zhuan_lan/lcz/202110/t20211014_2163916. shtml.

[2]夏冰，王沛棟，鄭秋生，等.網絡安全法和網絡安全等級保護2.0[M].北京：電子工業出版社，2017：77-180.

[3]寇思佳，王琎.信息系統安全等級保護下教育系統網絡安全態勢研究與分析[J].網絡空間安全，2019（5）：56-63.

[4]中國軟件評測中心·網絡空間安全測評工程技術中心.教育行業網絡安全白皮書（2020年）[R/OL].（2020-09-12）[2021-12-4].https：//www.sohu.com/a/418058926_653604.

[5]全國信息安全標準化技術委員會.GB/T 22239-2019 信息安全技術網絡安全等級保護基本要求[S].北京：中國標準出版社，2019.

[6]全國信息安全標準化技術委員會.GB/T 25070-2019信息安全技術網絡安全等級保護安全設計技術要求[S].北京：中國標準出版社，2019.

[7]聶君，李燕，何揚軍.企業安全建設指南：金融行業安全架構與技術實踐[M].北京：機械工業出版社，2019：192-220.

[8]楊齊成，王錦，胡北辰.數字證書在網絡安全中的應用分析[J/OL].江漢大學學報（自然科學版），2017，45（3）：278-282 [2021-12-6].https：//www.zhangqiaokeyan.com/academic-journal-cn_journal-jianghan-university-natural-science-edition_thesis/0201249879937.html.

[9]全國信息安全標準化技術委員會.GB/T 36958-2018信息安全技術網絡安全等級保護安全管理中心技術要求[S].北京：中國標準出版社，2019.

[10]全國信息安全標準化技術委員會.GB/T 28448-2019信息安全技術網絡安全等級保護測評要求[S].北京：中國標準出版社，2019.

[11]微言曉意.自適應安全框架（ASA）在網絡安全2.0新防御體系中的應用[EB/OL].（2020-08-02）[2021-08-01].https：//www.likecs.com/show-164394.html.

[12]綠盟科技.綠盟安全管理平臺ESP-H產品白皮書[R/OL].（2019-12-12）[2021-12-01].https：//www.nsfocus.com.cn/html/2019/209_1230/96.html.

作者簡介：

王廣平，高級工程師，本科，主要研究方向為網絡規劃和網絡安全，郵箱：425827040@qq.com;

周學和，副主任，正高級教師，主要研究方向為中小學教育信息化管理和應用，郵箱：1328994740@qq.com;

木合塔爾·沙地克，副館（臺）長，博士，主要研究方向為大數據分析與可視化、Web應用開發、網絡安全等，郵箱：muhtar_xjedu@163.com;

李東亮，科長，高級工程師，碩士，主要研究方向為教育信息化和網絡安全， 郵箱：372175811@qq.com;

王命全，科長，高級工程師，碩士，主要研究方向為教育數據統計、分析， 郵箱：1299895833@qq.com。

Research on the Construction of Internal Security Protection System based

on Xinjiang Education Administration Four-level Private Network

Guangping WANG1， Xuehe ZHOU1， Muhetaer SHADIKE2， Dongliang LI1， Mingquan WANG1

（1.Education Management Information Center of Xinjiang Uygur Autonomous Region， Urumqi Xinjiang? 830049;

2.Audio Visual Education Center of Xinjiang Uygur Autonomous Region，Urumqi Xinjiang 830002）

Abstract： Network security and informatization are major strategic issues concerning the national security and development as well as the work and life of the people. In recent years， China has successively issued relevant laws， regulations and set up standards such as the Network Security Law of the Peoples Republic of China， the Data Security Law of the Peoples Republic of China， the Regulations on the Security Protection of Key Information Infrastructure， and the Network Security Level Protection 2.0， which propose requirements for the network security of various industries. Combining with the actual state of Xinjiang education administration four-level private network， this paper follows the basic requirements of “the network security level protection 2.0”， focuses on the sub domain protection， access control， identity authentication， malicious code prevention， intrusion detection， data security， terminal security， management audit， risk early warning， centralized and unified security management， etc. It mainly starts from the aspects of technology and management， and builds a set of “trusted， controllable and manageable” network security protection management system within Xinjiang education administration four-level private network. The purpose is to effectively prevent， control and resist network security risks， ensure security in data， system， application and network， enhance network security early warning， and improve the overall network security protection level of Xinjiang education system.

Keywords： Four-level private network; Network security level protection 2.0; Data security; Network security; Protection system

編輯：李曉萍? ?校對：王天鵬