陜西教育系統構建網絡安全防護管理體系案例

劉賀英

“沒有網絡安全就沒有國家安全。”陜西是教育大省，教育網站和系統有6800余個。做好全省教育系統網絡安全工作，是培養合格建設者和可靠接班人、落實立德樹人根本任務的必然要求。陜西省委教育工委、省教育廳高度重視網絡安全工作，建立黨委（黨組）“一把手”負總責的動態通報機制、量化考核機制和防范預警機制，依托西北工業大學成立網絡安全研究應用中心，建成教育網絡安全監控預警平臺，實時監測全省教育業務系統（網站），開展教育系統網絡安全攻防實戰演練，舉辦網絡安全宣傳周和專題培訓班，不斷提升全省教育系統網絡安全防護意識和應急處置水平。各級教育行政部門和各級各類學校高度重視，統籌力量，集聚智慧，共同構建網絡安全預警、監測、防護、處置的良性生態體系，涌現出一批優秀案例。

西安交通大學從實際出發，將《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）中安全技術應遵循的“同步規劃、同步建設、同步使用”的“三同步”原則與信息系統建設工作深度融合，通過網絡安全制度、安全責任體系和網絡安全技術監測和防護相結合的方式，形成了一套針對信息系統全生命周期的管理的方法，有效提升了信息系統總體安全防護水平。

一是建立健全管理細則，明確系統立項安全規劃。制定了《信息系統安全管理辦法》《信息系統基線安全設計要求》《數據安全管理規范》等一系列制度和技術文件。其中《信息系統安全管理辦法》明確提出要以“三同步”原則建立規范的信息系統全生命周期管理機制;《信息系統基線安全設計要求》為系統安全建設制定了包含5個大類、89個小項的WEB應用基本安全基線要求;《數據安全管理規范》為信息系統數據獲取、使用、傳輸、共享、存儲等過程制定了詳細安全的管理規定。明確信息系統業務單位和開發單位的安全責任，確保安全“同步規劃”及“同步建設”的有效落實。

二是構建網絡安全“三步檢”，確保信息系統安全上線。為確保系統設計符合安全技術要求，建設時遵循了學校安全管理規定，西安交通大學建立了基線自查、漏洞掃描到滲透測試的網絡安全“三步檢”。其中基線自查有利于提升安全管理最短板;漏洞掃描則是用于排除低級錯誤造成的安全隱患;而滲透測試則是網絡安全工作人員以黑客視角，模擬真實攻擊方法，對系統進行攻擊測試。嚴格完成上述“三步檢”是信息系統安全運行的核心要求。以2022年為例，25個系統完成安全滲透測試并上線運行。其中18個系統存在高危及以上安全漏洞;共測出安全漏洞144個，其中高危漏洞55個，中危漏洞42個，低危漏洞47個。最常見的是信息泄露和各類越權漏洞，涉及10個系統。

三是建立“兩個”機制，破解日常安全監測難題。網絡安全的動態特性決定了信息系統運營過程的安全管理不能放松，為了解決日常監測的難題，西安交通大學建立了“漏洞眾測”和“安全演練”兩個機制，筑牢校園安全防線。學校建立由安全管理人員、安全廠商和具有網絡安全專業背景的師生組成專業的“攻防團隊”，日常性地對信息系統進行“漏洞眾測”，周期性地開展“安全演練”。在該過程中如發現安全漏洞，可利用學校的網絡安全漏洞管理平臺進行通報和處置。眾測活動從2020年底開始，截至目前共自主發現通報漏洞110個。

四是引入系統退出機制，避免出現“僵尸”系統。系統退出環節分為主動退出和被動退出。無論哪種退出方式，業務單位對應的安全責任也隨之終結。從信息系統出生、上線、使用到退出，四個階段層層推進，有效落實了《網絡安全法》對“三同步”原則的安全要求，全面提升校園信息系統的安全質量。強化安全工作前移，降低后期安全運維壓力，確保了信息系統不“帶病上崗”，不“帶病運行”，為做好校園網絡安全保障起到了關鍵的作用。隨著學校信息系統生命周期管理的制度和架構設計越來越完善，管理手段越來越精細，效果也逐步體現。針對信息系統漏洞的“人民戰爭”，有效破解日常安全監測難題。從教育部教育漏洞監測平臺的數據看，西安交通大學監測到的風險全國排名從2019年的第9位下降至2022年的第36位，由此可以看出學校信息系統的網絡整體安全防護能力大幅提升。學校還構建校企合作的“攻防團隊”，一方面最大程度地為學校爭取到網絡安全公司的優質資源，另一方面也為學校網絡安全人才培養提供了實戰平臺，是對高校人才培養的探索和補充。參與過此項工作的學生也取得了一系列成績，2021年參加中國大學生信息安全競賽CTF比賽中晉級決賽，2022年在西部賽區191支戰隊中取得第10名的成績。網絡安全管理團隊參加2021年陜西省安全技能大賽，在決賽中取得三等獎。

西北工業大學從管理、技術、人員、實戰四個方面建立立體化的網絡安全防護體系，將網絡安全建設與管理化“被動防護”為“主動防御”，日均抵御110萬次網絡攻擊，2021年全年完成10680次信息系統測試，印發信息安全文件81份，安全威脅最快在12分鐘內處理完畢。

一是統籌“管理”，做到“定職責、抓落實”。加強組織領導，建立專項工作領導小組統籌負責全校的網絡與信息系統安全管理，上下聯動一盤棋。完善制度建設，構建長效機制，制定了《西北工業大學網絡與信息系統安全管理辦法》，全面落實網絡安全工作責任制。堅持日常巡查和監測預警，嚴格督查整改。

二是夯實“技術”，做到“看得見、防得住”。強化網絡安全態勢感知，通過自建開發結合多套網絡安全設備將資產現狀、威脅情報、防御效果、處置能力“可視化”，對所有信息系統的安全狀況進行全生命周期管理，所有過程留痕化記錄，讓安全數據看得見。加強技術防護，采用三層防御的布局結構分級抵御各類攻擊，分別為云防護、校園網出口以及數據中心核心出口，建立了包括網絡防火墻、網絡防病毒軟件等一系列技術防護手段。嚴格按照國家要求開展信息系統等級測評，建立信息系統白名單，實施年審制度。

三是注重“人員”，做到“強意識、建隊伍”。關注管理者、教師和學生等三類重點人員，提升整體安全意識。建設專業隊伍，提升關鍵能力，由專業技能較強的信息化處技術團隊和兼職技術團隊共同保障網絡安全。將校園網絡安全環境逐步打造成實戰靶場，組織有專業特長的學生參加網絡安全工作，拓展技術隊伍。加強宣傳，提升全員網絡安全素養。

四是強化“實戰”，做到“實網戰、主動戰”。在網絡安全建設和防護中均以實網環境為根本，主動發現和消除實網上存在的安全隱患。建立主動防御的工作機制，主動探測攻擊來源持續實時阻斷。開展攻防對抗，建設隊伍提升能力。學校網絡安全建設成效顯著，五年來獲得網絡安全類獎項共計32次，先后在陜西省教育廳、中國高等教育學會信息化分會、高校CIO論壇等多個重要會議介紹網絡安全建設經驗，受到廣大同行的關注。今后，學校將持續加強網絡安全建設，以實戰為根本，不斷完善網絡安全體系、培養網絡安全尖端人才。

隨著教育信息化的快速推進，教育信息系統面臨的網絡安全形勢也日趨嚴峻，做好教育系統網絡安全工作愈加重要。陜西省委教育工委、省教育廳高度重視網絡安全工作，從組織機制、平臺建設、實戰演練、宣傳培訓等方面構建陜西教育系統網絡安全預警、檢測、防護、處置“四位一體”的管理體系。在此，建議相關單位根據自身情況和業務特點，制定有針對性的網絡安全防護體系化機制，推動陜西省教育系統網絡安全工作更上新臺階。

作者單位：陜西省教育廳