教育行業信息系統等級保護研究

武騰+宋好好

摘 要：隨著教育行業信息化建設的高速發展，信息安全問題屢見不鮮。教育行業信息系統一直是等級保護工作的重點測評對象。論文通過對上海市多所學校的信息系統進行等級保護測評工作中發現的問題進行風險分析，并結合網絡安全法的相關要求，提出如何推進相關工作的建議。

關鍵詞：教育行業；信息系統；等級保護；網絡安全法

中圖分類號： TP393 文獻標識碼：A

Research on the Classified Protection of Information System in Education Industry

Wu Teng， Song Hao-hao

（The Third Research Institute of Ministry of Public security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： With the rapid development of information technology in education industry， information security problems emerge in an endless stream. The information system of education industry has always been the focus object of grade protection. This article analyzed the problems found in the classified protection evaluation of the information system of many schools in Shanghai， combined with the relevant requirements of internet security act， and put forward proposals for advancing related work.

Key words： Education Industry； Information System； Classified Protection； Internet Security Act

1 引言

各高校、高職、中專、中小學等教育行業信息系統既包含用于校園資訊介紹、招生信息發布的門戶網站系統，還包括后臺管理系統、圖書館管理系統、學籍管理系統、網上辦公系統等與教研活動安排和信息管理的系統。近年來，發生的多次網絡攻擊事件表明，教育行業信息系統的安全依然是安全薄弱點，如何確保教育行業信息系統的安全成了迫切解決的問題。

自2009年開始，教育部辦公廳多次發文，要求全國教育行業按照國家信息安全等級保護制度的要求，做好教育系統網絡信息安全保障工作。2017年5月5日，教育部科技司印發《關于加快推進信息系統網絡安全等級保護定級備案工作的通知》，再次將教育行業等級保護工作提上日程。目前，教育行業各單位積極按照國家等級保護有關管理規范和技術標準實施信息系統安全建設整改和等級測評，信息系統的安全防護能力得到了一定提升，但在測評過程中發現了一些普遍存在的安全問題。2017年6月1日，《中華人民共和國網絡安全法》的正式實施，對信息系統等級保護測評工作提出了新的要求。本文將對上海市多所高校、高職、中專、中小學的信息系統進行等級保護測評工作中發現的問題進行分析，并結合網絡安全法的相關要求，提出相應的對策。

自2017年6月1日起施行的《中華人民共和國網絡安全法》（以下簡稱：網絡安全法）中，第三章網絡運行安全第二十二條、第四章網絡信息安全第四十一條、第四十二條、第四十四條、第四十五條等對個人信息保護的基本原則和要求進行了闡述，并規定了相應法律責任。這些表明了國家致力于加強對個人信息保護的堅決態度。從而保障網絡信息依法有序的自由流通，保護公民的個人信息安全，以防止公民的個人信息被泄露、被竊取和被非法使用。在教育行業信息系統中，后臺管理系統、圖書館管理系統、學籍管理系統、網上辦公系統等系統，存在網絡信息尤其是老師與學生的個人信息的流通，如何保證老師與學生的個人信息會在交互過程中不會被篡改、被截取、被破壞，是對教育行業信息系統在技術體系的挑戰。

網絡安全法對監測預警與應急處置措施專門列出一章作出規定，指出將建立網絡安全監測預警和信息通報制度，建立網絡安全風險評估和應急工作機制，制定網絡安全事件應急預案并定期演練。明確了發生網絡安全事件時，需要采取的措施。在信息安全等級保護工作中，信息系統安全等級保護基本要求管理要求部分指出應制定應急預案，并要求定期對系統相關的人員進行應急預案培訓和演練，一旦發生安全事件，系統相關人員可以掌握適當的應急措施，使損失降到最低。教育行業信息系統的服務范圍甚廣，當業務信息受到破壞時，不但會對學校的外在形象造成損害，同時虛假信息可能會造成學生、教師的利益受損，嚴重時可能危及訪問該平臺上所運行網站的公眾利益，所以應急預案的培訓和演練至關重要。

2 系統風險分析

信息系統的安全一方面要依賴于完善的管理制度體系[1]，覆蓋安全管理制度、機構、人員安全、系統建設和運維管理五個方面，要做到“有法可依、有章可循”，并且在相應的管理制度規定下充分執行。另一方面離不開以基礎網絡建設、服務器安全、應用系統安全和數據安全為核心組成部分的技術安全體系[2-4]。

截止2017年第二季度，對上海市多所學校的信息系統進行等保三級和等保二級測評，以及依據滬公通字[2015]65號《上海市黨政機關、事業單位和國有企業互聯網網站安全專項整治行動方案》對上海市教育行業進行互聯網網站安全專項一級檢查，其中包括普通中學門戶網站系統、小學門戶網站系統等，按照等保一級的要求進行測評。從以上網站系統的測評結果看來，存在的系統分析問題涉及到幾方面。endprint

2.1 管理體系缺失

在管理制度體系方面，大部分學校在管理制度制定與執行、系統測試驗收、安全技能培訓和考核、應急預案培訓與演練等方面等存在一定缺失。

安全保護等級第一級和部分安全保護等級第二級的學校，其信息系統以第三方完全托管形式進行管理，由學校信息學科老師兼職負責與第三方托管單位進行業務對接，向第三方租用網絡和服務器空間或是購買網站安全服務的方式進行部署，日常管理維護都是由第三方進行負責。大部分安全保護等級第二級的學校，其信息系統以半托管形式進行管理，由本校信息科的老師兼職和第三方運維單位共同負責。由于學校的信息科老師是兼職負責，所有信息系統的網絡、軟件硬件、線路的維護以第三方運維單位為主要負責方。安全保護等級第三級的學校，其信息系統大多采用自管的方式進行管理，學校配備專職人員對信息系統進行維護管理，并選定符合國家有關規定的安全服務進行安全運維服務。部分學校在托管方和外包方的管理方面不夠投入，通常僅采取與托管方簽訂相關服務協議的形式來進行控制，并沒有相關管理制度對托管方進行約束。

在系統測試驗收方面，未對系統進行安全性測試驗收，源代碼審查、惡意代碼檢測，無法及時發現系統安全方面存在的問題，無法及時采取補救措施。

在安全技能培訓和考核方面，未定期對各崗位的人員進行安全技能及安全認知的考核，可能導致人員安全技能及安全認知不足，不符合崗位要求。

在應急預案培訓與演練方面，未對系統相關的人員進行應急預案培訓和演練，一旦發生安全事件，可能存在系統相關人員尚未了解及掌握適當的應急措施，損失補救時間。

2.2 技術安全風險

在技術安全體系方面，在基礎網絡建設中大部分學校采用硬件防火墻設備配合防病毒軟件的方式對服務器系統和應用系統進行防護，缺少漏洞掃描、入侵檢測和數據備份等設備。

在服務器安全方面，系統默認賬戶未重命名，攻擊者可以省略猜測用戶名步驟，直接破解密碼；未設置升級服務器為服務器系統補丁進行統一升級，驗證測試發現部分主機存在安全漏洞，漏洞不能及時得到修復而被攻擊者利用。

在應用系統安全方面，應用系統未采用校驗碼技術保證通信過程中數據的完整性，若網絡傳輸數據被破壞，造成重要數據丟失或者損壞，從而給應用系統帶來安全隱患；缺少軟件容錯機制，可能引起網站被篡改或服務器被攻破的高風險漏洞。

在數據安全方面，未提供鑒別信息和重要業務數據在傳輸過程中的完整性檢測功能，若網絡傳輸數據遭到破壞，可能造成重要數據丟失或者損壞，給應用系統帶來安全隱患；關鍵節點網絡設備未采用雙冗余設計，存在單點故障，一旦網絡設備損壞，可能導致系統服務中斷甚至無法恢復。

3 安全防護措施建議

3.1完善管理體系

在管理制度體系方面，采用第三方托管的學校要在托管方和外包方的管理方面加大力度，制定與托管方和外包方相關的管理制度，內容涵蓋托管方和外包方的權限劃分，系統的內容管理，用戶權限、賬號和密碼，應用系統管理和維護，系統變更等方面。管理制度制定后的執行是安全防護的關鍵點，制度落實后的相關執行記錄要注意保存，以便追溯責任。

在系統測試驗收方面，建議對系統軟件進行源代碼審查、惡意代碼檢測，并組織進行安全性測試驗收；在安全技能培訓和考核方面，建議定期對各個崗位的人員進行安全技能及安全認知的考核，明確考核周期，并保留每一次培訓、考核的記錄。

在應急預案培訓與演練方面，建議對系統相關人員進行應急預案培訓，應急預案培訓應至少每年舉辦一次，定期對應急預案進行演練，根據不同的應急恢復內容，確定演練周期。

3.2 加強技術安全體系

在技術安全體系方面，信息系統安全運行的前提條件是穩定的基礎網絡環境。信息系統的應用中信息訪問所占的比例很大，無限制的用戶訪問量給網絡帶來巨大壓力。因此在基礎網絡建設的第一步，就是根據網絡組成部分的職能進行區域劃分，并根據各節點業務的重要程度，對其帶寬進行分配并設置訪問控制策略。在網絡設備啟用雙鏈路，進行負載均衡配置，并加入互聯網防火墻、WAF、入侵檢測等設備以加固基礎網絡。本著這些原則建議采用安全保護架構進行網絡建設，網絡拓撲圖如圖1所示。

安全保護架構網絡劃分為可信交換區、DMZ和運維區三個區域。核心交換區通過電信網和教育網兩條鏈路外聯，經過負載均衡設備連接到互聯網防火墻，然后接入到核心交換機，核心交互區部署入侵檢測系統，運維區接入到核心交換區的核心交換機上，應用服務器和數據庫服務器部署在DMZ區，經過匯聚交換機和WAF連接到核心交換區的互聯網防火墻上。

在服務器安全方面，根據等級保護主機安全的要求，對服務器主機操作系統、數據庫、運維終端等的系統默認賬號進行重命名，并且設置密碼策略和超時退出策略；對服務器主機操作系統和數據庫開啟安全審計策略，設置升級服務器為服務器系統補丁進行統一升級，及時修補系統存在的安全漏洞。

在應用系統安全方面，除對應用系統設計過程中進行注意，采用校驗碼技術保證通信過程中數據的完整性，從而降低網絡通信過程中的數據丟失或損壞的概率；通過在網絡中部署Web應用防火墻，以防止來自網絡中的SQL注入、跨站腳本、遠程代碼執行等應用層攻擊，部署網頁防篡改系統以防信息系統受到非授權的修改、增加或刪除。缺少軟件容錯機制，可能引起網站被篡改或服務器被攻破的高風險漏洞。同時，定期對網站做滲透性測試，以及時發現其潛在的安全漏洞并進行整改。

在數據安全方面，依據等級保護的要求，對關鍵節點的網絡設備、通信線路和數據處理系統的硬件冗余采用雙冗余設計，提高系統的可用性和服務的持續性。定期對信息系統的數據、網絡設備的配置數據等進行備份，并且定期對數據的完整性以及備份的可用性做檢查。

4 結束語

目前，教育行業信息化建設正處于發展的關鍵時期，對于教育行業信息安全等級保護工作來說既是挑戰也是機會。教育行業信息系統作為教育行業信息化建設的“臉面”，更是重中之重，只有根據教育行業各種安全管理的要求，建立完整的適應性安全管理體系，實現管理制度體系和技術安全體系的整合，不斷解決在等保測評過程中發現的安全問題，才能增強迅猛發展的信息安全威脅的抵抗力。

項目基金：

上海市科學技術委員會2015年度“科技創新行動計劃”高新技術領域項目—移動智能終端安全關鍵技術研究及應用示范（項目編號：15511103000）。

參考文獻

[1] 公通字[2007]43號.信息安全等級保護管理辦法[S].

[2] GB/T 22239-2008.信息系統安全等級保護基本要求[S].

[3] GB/T 22081-2008.信息安全管理實用規則[S].

[4] GB/T 22080-2008.信息安全管理體系要求[S].endprint