多層次構建安全可信的教育信息網
——以北京市西城區教育信息網為例

孫安 趙鴻都 毛茂 耿佳 北京市西城區現代教育信息技術中心

隨著近兩年大范圍的網絡攻擊、挖礦木馬和勒索病毒事件頻頻發生，網絡安全防護形勢日趨嚴峻。在落實《加快推進西城區教育現代化實施方案（2018—2022年）》的行動中，筆者所在地區以《網絡安全法》及《網絡安全等級保護基本要求》為抓手，采用“積極防御、綜合治理”的安全戰略方針，構建了多層次網絡安全防護體系，不斷提高對惡意攻擊、非法入侵行為的預防和應急響應能力，以確保教育管理、教學和服務等信息應用系統安全，并不斷加強防范危害網絡行為的能力和不良信息監管的力度，防止暴力色情等有害信息對校園文化產生侵害。

●網絡概況

北京市西城區教育信息網承載了西城區教育系統絕大部分信息化應用，涉及學校門戶網站、數字校園、文件服務等眾多系統，其中包含“幼升小”和“小升初”入學排位查詢系統、西城區中小學在線學習平臺、幼兒園學生信息系統等業務系統。同時，西城區還是北京市上機考試數據網絡傳輸試點區，從2019年上半年開始，高考聽力考試結果均采用加密網絡傳輸方式和北京市考試院系統連通。每年除普教系統的中考、高考、合格性考試、學業水平考試以外，西城區還承擔了自學考試、研究生考試、公務員考試、司法考試等各類資格證書的考試。建有考試遠程巡查監考系統，形成對涉考人員及試卷答卷全過程監控網絡，考務信息和考試信息均在西城區教育信息網上與其他應用共享傳輸通道。

●以網絡安全制度為綱安全用網

在西城區教育信息網網絡安全制度建設上，相關部門相繼制訂了《網絡互聯安全管理辦法》《網絡安全應急響應流程》《安全監控及審計管理辦法》《安全事件處理流程》和《病毒防護管理辦法》等制度，并要求接入西城區教育信息網的各學校的網絡安全第一責任人簽訂《網絡安全承諾書》，定期舉行網絡安全事件應急演練，以網絡安全制度為綱，責任落實到人。這樣，一旦出現網絡安全事件，可以快速定位到問題環節甚至具體人員身上，以便快速應急處置，最小化降低事件帶來的損失和影響。

●教育信息網絡安全架構設計

首先，按照“積極防御、綜合治理”的安全戰略方針，針對鏈路層安全，西城區教育信息網在南北兩個互聯網出口邊界分別部署了兩臺防火墻、兩臺抗DDOS攻擊設備和兩臺IPS設備，同在在旁路部署了安全審計設備、上網行為管理設備（如圖1）。一方面，學校端均采用私網地址，最大程度地避免學校終端暴露在互聯網上，通過主干路防火墻高性能的NAT轉發功能聯入互聯網，滿足大流量信息承載的需求。另一方面，設置安全策略，關閉22、3389和445等易受攻擊的端口，最大限度地減少非法掃描和惡意攻擊。在防火墻后端串行抗DDoS流量清洗設備，進而限制常見的DDoS流量型攻擊，如syn flood、icmp flood、udp flood等，同時支持識別Smurf、Ping of Death等多種異常報文攻擊。在抗DDoS設備后端部署的入侵預防系統IPS能夠將網絡中大部分關鍵應用識別出來，并通過配置每個用戶最大連接數的策略，及時識別攻擊程序或有害代碼，有效控制和防范黑客攻擊，保證內網安全。

圖1 網絡安全拓撲圖

其次，在核心交換區旁路部署的上網行為管理和安全審計分析系統，實時監控審計，完成身份確認、合規準入、內容留存審計和結果分析等功能；針對敏感關鍵字設置過濾，并支持主動報警；具有URL數據庫，確保分類準確無遺漏，可以精確識別各種互聯網應用，對主流網絡游戲和涉黃涉賭網站進行識別和告警。同時，上網行為管理設備對上網行為逐條審計記錄，對每一個IP地址的訪問時間、NAT地址轉換對照、IP行為進行記錄（如微信、微博、QQ、郵件等常用社交工具內容記錄），進而通過QQ號碼、上網URL、微博號等線索查到對應的上網電腦終端或上網用戶具體情況和發布的信息內容，對不良信息和不當言論進行追蹤溯源。

再次，由于數據中心承載了學校大量的信息化應用，提供對外數據服務，很多應用要求信息系統達到等級保護二級。因此，在數據中心服務器集群前端部署了七層防火墻和網站應用防護系統WAF，在七層防火墻上開啟Web應用必要的端口，其他端口一律禁止，同時，內外網防火墻配合可以靈活實現教育網內網資源不出互聯網，而需要對互聯網發布信息的網站不受影響。另外，WAF設備能提供基于應用層的安全防護功能，可實時檢測包括溢出攻擊、webshell攻擊、數據庫的SQL注入和中間件的漏洞攻擊等各種網絡攻擊威脅，并對發現的安全威脅進行告警，且有效阻斷利用這些漏洞形成的攻擊報文。

最后，專業黑客通過社會工程學、擺渡機跳板、非法外連等多種因素都能輕松突破專網的邊界防護。只要一臺終端設備失陷，攻擊者借助系統漏洞等傳播手段，就可能威脅全網安全。目前，雖然已在網絡中部署了大量的安全設備，但仍然會有部分威脅繞過所有防護直達學校內部和數據中心，對重要數據資產造成泄露、損壞或篡改。在這種形勢下，終端檢測與響應技術（EDR）是解決問題的不二之選。如下頁圖2所示，通過在云主機中部署安全探針，對每個虛擬主機進行實時安全防護。探針采用主動防御和橫向對比模式，對系統內每一個活動的可執行文件的行為狀態進行分析和對比，對非正常行為實時攔截，將可疑文件刪除隔離，進而擺脫了傳統防病毒軟件靜態特征庫對比帶來的系統開銷，以及新型APT高級攻擊對靜態特征庫免疫的弊端。

另外，終端檢測探針的安全基線檢查功能不但涵蓋Windows和Linux平臺，還支持賬號與口令檢查、密碼生存周期檢查、遠程登錄檢查、網絡與服務檢查、日志審計檢查、防火墻檢查、系統安全配置檢查等功能。同時，針對重要應用建立白名單機制，凡是不在白名單里的程序一律禁止執行。例如，圖3為攔截白名單之外的高危命令，在啟用微隔離安全防護策略后，不僅能詳細記錄關聯主機、時間、協議、源/目的IP、端口、出/入站方向和防護動作，還能展示出與此關聯的主機進程，以及進程的詳細路徑的安全分析情況，并能對此進程文件做進一步的處理操作，對整個網絡安全事件做到快捷閉環管理。

圖3 攔截白名單之外的高危命令

●提升網管教師的信息安全素養

所有信息化系統的管理和安全策略的執行都需要網管教師嚴格按照網絡安全規范操作，其安全意識是所有網絡安全架構中要求最高的一環，也是最容易被忽視的地方。因此，培養網管教師樹立網絡安全意識，提升網絡安全攻防實戰能力，是一項持續性、系統性的工作。為打造一支技術過硬的網管教師隊伍，筆者所在單位每學年定期組織對學校網管教師進行培訓，設計開發了“數字化校園網絡與信息安全認識提升”系列課程，主要從網絡安全防范實踐、系統安全防范實踐、應用安全防范實踐、安全合規落地實踐四個方面來提升學校網管教師的安全防護意識和能力。

●網絡安全面臨的新挑戰及應對思路

西城教育信息網基礎架構大量引入云計算、移動計算等新技術，內外網絡物理邊界日趨模糊。大規模采用移動終端進行教學和辦公活動，開放性的服務界面擴大了網絡暴露面。面對網絡教學的常態化，內部業務數據被轉儲在個人移動設備上，成為可被傳播、利用以及共享的電子信息，教師和學生個人數據與教育數據不分離，教育數據加密不完善，部分數據存在明文存儲現象，個人設備中又安裝眾多存在未知風險的應用，大多數校級移動應用通過單點登錄“一次授權，長期使用”。在新技術沖擊下，防御面急劇膨脹，內外部網絡邊界交錯，且邊界防護節點難以有效定位。

基于目前移動網和數據網的交叉混合使用，筆者提出采用“零信任”架構的網絡安全思想來應對，其核心思想是“從來不信任，始終在校驗”。它默認不信任內外部任何人和行為，遵循“先認證用戶和設備，后訪問業務”的原則，以數字身份為中心進行訪問控制，采用最小化授權、多維度安全評估手段保護業務和服務的暴露面，可大幅提高應對網絡安全威脅的能力。目前，“零信任”架構是網絡安全領域較前沿的技術領域，通過身份可信、終端可信、通道可信、訪問可信的網絡安全新架構，有效幫助教育信息網重塑安全邊界。

●總結

經過專家論證和多次應急處置網絡安全事件的實踐，西城區教育信息網綜合軟硬一體多層次網絡安全防護方案和高素質的網管員隊伍，已具備了較強的網絡安全防護能力。配合不斷完善的制度建設和安全管理實踐，多年來未發生嚴重的網絡安全事故，在教育部“教育行業信息技術工作管理平臺安全監測預警子系統”中，西城區教育信息網取得網絡安全滿分的成績（如圖4）。

圖4 教育部教育行業信息技術工作管理平臺安全監測預警子系統