多層次構建安全可信的教育信息網(wǎng)
——以北京市西城區(qū)教育信息網(wǎng)為例

孫安 趙鴻都 毛茂 耿佳 北京市西城區(qū)現(xiàn)代教育信息技術中心

隨著近兩年大范圍的網(wǎng)絡攻擊、挖礦木馬和勒索病毒事件頻頻發(fā)生，網(wǎng)絡安全防護形勢日趨嚴峻。在落實《加快推進西城區(qū)教育現(xiàn)代化實施方案（2018—2022年）》的行動中，筆者所在地區(qū)以《網(wǎng)絡安全法》及《網(wǎng)絡安全等級保護基本要求》為抓手，采用“積極防御、綜合治理”的安全戰(zhàn)略方針，構建了多層次網(wǎng)絡安全防護體系，不斷提高對惡意攻擊、非法入侵行為的預防和應急響應能力，以確保教育管理、教學和服務等信息應用系統(tǒng)安全，并不斷加強防范危害網(wǎng)絡行為的能力和不良信息監(jiān)管的力度，防止暴力色情等有害信息對校園文化產生侵害。

●網(wǎng)絡概況

北京市西城區(qū)教育信息網(wǎng)承載了西城區(qū)教育系統(tǒng)絕大部分信息化應用，涉及學校門戶網(wǎng)站、數(shù)字校園、文件服務等眾多系統(tǒng)，其中包含“幼升小”和“小升初”入學排位查詢系統(tǒng)、西城區(qū)中小學在線學習平臺、幼兒園學生信息系統(tǒng)等業(yè)務系統(tǒng)。同時，西城區(qū)還是北京市上機考試數(shù)據(jù)網(wǎng)絡傳輸試點區(qū)，從2019年上半年開始，高考聽力考試結果均采用加密網(wǎng)絡傳輸方式和北京市考試院系統(tǒng)連通。每年除普教系統(tǒng)的中考、高考、合格性考試、學業(yè)水平考試以外，西城區(qū)還承擔了自學考試、研究生考試、公務員考試、司法考試等各類資格證書的考試。建有考試遠程巡查監(jiān)考系統(tǒng)，形成對涉考人員及試卷答卷全過程監(jiān)控網(wǎng)絡，考務信息和考試信息均在西城區(qū)教育信息網(wǎng)上與其他應用共享傳輸通道。

●以網(wǎng)絡安全制度為綱安全用網(wǎng)

在西城區(qū)教育信息網(wǎng)網(wǎng)絡安全制度建設上，相關部門相繼制訂了《網(wǎng)絡互聯(lián)安全管理辦法》《網(wǎng)絡安全應急響應流程》《安全監(jiān)控及審計管理辦法》《安全事件處理流程》和《病毒防護管理辦法》等制度，并要求接入西城區(qū)教育信息網(wǎng)的各學校的網(wǎng)絡安全第一責任人簽訂《網(wǎng)絡安全承諾書》，定期舉行網(wǎng)絡安全事件應急演練，以網(wǎng)絡安全制度為綱，責任落實到人。這樣，一旦出現(xiàn)網(wǎng)絡安全事件，可以快速定位到問題環(huán)節(jié)甚至具體人員身上，以便快速應急處置，最小化降低事件帶來的損失和影響。

●教育信息網(wǎng)絡安全架構設計

首先，按照“積極防御、綜合治理”的安全戰(zhàn)略方針，針對鏈路層安全，西城區(qū)教育信息網(wǎng)在南北兩個互聯(lián)網(wǎng)出口邊界分別部署了兩臺防火墻、兩臺抗DDOS攻擊設備和兩臺IPS設備，同在在旁路部署了安全審計設備、上網(wǎng)行為管理設備（如圖1）。一方面，學校端均采用私網(wǎng)地址，最大程度地避免學校終端暴露在互聯(lián)網(wǎng)上，通過主干路防火墻高性能的NAT轉發(fā)功能聯(lián)入互聯(lián)網(wǎng)，滿足大流量信息承載的需求。另一方面，設置安全策略，關閉22、3389和445等易受攻擊的端口，最大限度地減少非法掃描和惡意攻擊。在防火墻后端串行抗DDoS流量清洗設備，進而限制常見的DDoS流量型攻擊，如syn flood、icmp flood、udp flood等，同時支持識別Smurf、Ping of Death等多種異常報文攻擊。在抗DDoS設備后端部署的入侵預防系統(tǒng)IPS能夠將網(wǎng)絡中大部分關鍵應用識別出來，并通過配置每個用戶最大連接數(shù)的策略，及時識別攻擊程序或有害代碼，有效控制和防范黑客攻擊，保證內網(wǎng)安全。

圖1 網(wǎng)絡安全拓撲圖

其次，在核心交換區(qū)旁路部署的上網(wǎng)行為管理和安全審計分析系統(tǒng)，實時監(jiān)控審計，完成身份確認、合規(guī)準入、內容留存審計和結果分析等功能；針對敏感關鍵字設置過濾，并支持主動報警；具有URL數(shù)據(jù)庫，確保分類準確無遺漏，可以精確識別各種互聯(lián)網(wǎng)應用，對主流網(wǎng)絡游戲和涉黃涉賭網(wǎng)站進行識別和告警。同時，上網(wǎng)行為管理設備對上網(wǎng)行為逐條審計記錄，對每一個IP地址的訪問時間、NAT地址轉換對照、IP行為進行記錄（如微信、微博、QQ、郵件等常用社交工具內容記錄），進而通過QQ號碼、上網(wǎng)URL、微博號等線索查到對應的上網(wǎng)電腦終端或上網(wǎng)用戶具體情況和發(fā)布的信息內容，對不良信息和不當言論進行追蹤溯源。

再次，由于數(shù)據(jù)中心承載了學校大量的信息化應用，提供對外數(shù)據(jù)服務，很多應用要求信息系統(tǒng)達到等級保護二級。因此，在數(shù)據(jù)中心服務器集群前端部署了七層防火墻和網(wǎng)站應用防護系統(tǒng)WAF，在七層防火墻上開啟Web應用必要的端口，其他端口一律禁止，同時，內外網(wǎng)防火墻配合可以靈活實現(xiàn)教育網(wǎng)內網(wǎng)資源不出互聯(lián)網(wǎng)，而需要對互聯(lián)網(wǎng)發(fā)布信息的網(wǎng)站不受影響。另外，WAF設備能提供基于應用層的安全防護功能，可實時檢測包括溢出攻擊、webshell攻擊、數(shù)據(jù)庫的SQL注入和中間件的漏洞攻擊等各種網(wǎng)絡攻擊威脅，并對發(fā)現(xiàn)的安全威脅進行告警，且有效阻斷利用這些漏洞形成的攻擊報文。

最后，專業(yè)黑客通過社會工程學、擺渡機跳板、非法外連等多種因素都能輕松突破專網(wǎng)的邊界防護。只要一臺終端設備失陷，攻擊者借助系統(tǒng)漏洞等傳播手段，就可能威脅全網(wǎng)安全。目前，雖然已在網(wǎng)絡中部署了大量的安全設備，但仍然會有部分威脅繞過所有防護直達學校內部和數(shù)據(jù)中心，對重要數(shù)據(jù)資產造成泄露、損壞或篡改。在這種形勢下，終端檢測與響應技術（EDR）是解決問題的不二之選。如下頁圖2所示，通過在云主機中部署安全探針，對每個虛擬主機進行實時安全防護。探針采用主動防御和橫向對比模式，對系統(tǒng)內每一個活動的可執(zhí)行文件的行為狀態(tài)進行分析和對比，對非正常行為實時攔截，將可疑文件刪除隔離，進而擺脫了傳統(tǒng)防病毒軟件靜態(tài)特征庫對比帶來的系統(tǒng)開銷，以及新型APT高級攻擊對靜態(tài)特征庫免疫的弊端。

另外，終端檢測探針的安全基線檢查功能不但涵蓋Windows和Linux平臺，還支持賬號與口令檢查、密碼生存周期檢查、遠程登錄檢查、網(wǎng)絡與服務檢查、日志審計檢查、防火墻檢查、系統(tǒng)安全配置檢查等功能。同時，針對重要應用建立白名單機制，凡是不在白名單里的程序一律禁止執(zhí)行。例如，圖3為攔截白名單之外的高危命令，在啟用微隔離安全防護策略后，不僅能詳細記錄關聯(lián)主機、時間、協(xié)議、源/目的IP、端口、出/入站方向和防護動作，還能展示出與此關聯(lián)的主機進程，以及進程的詳細路徑的安全分析情況，并能對此進程文件做進一步的處理操作，對整個網(wǎng)絡安全事件做到快捷閉環(huán)管理。

圖3 攔截白名單之外的高危命令

●提升網(wǎng)管教師的信息安全素養(yǎng)

所有信息化系統(tǒng)的管理和安全策略的執(zhí)行都需要網(wǎng)管教師嚴格按照網(wǎng)絡安全規(guī)范操作，其安全意識是所有網(wǎng)絡安全架構中要求最高的一環(huán)，也是最容易被忽視的地方。因此，培養(yǎng)網(wǎng)管教師樹立網(wǎng)絡安全意識，提升網(wǎng)絡安全攻防實戰(zhàn)能力，是一項持續(xù)性、系統(tǒng)性的工作。為打造一支技術過硬的網(wǎng)管教師隊伍，筆者所在單位每學年定期組織對學校網(wǎng)管教師進行培訓，設計開發(fā)了“數(shù)字化校園網(wǎng)絡與信息安全認識提升”系列課程，主要從網(wǎng)絡安全防范實踐、系統(tǒng)安全防范實踐、應用安全防范實踐、安全合規(guī)落地實踐四個方面來提升學校網(wǎng)管教師的安全防護意識和能力。

●網(wǎng)絡安全面臨的新挑戰(zhàn)及應對思路

西城教育信息網(wǎng)基礎架構大量引入云計算、移動計算等新技術，內外網(wǎng)絡物理邊界日趨模糊。大規(guī)模采用移動終端進行教學和辦公活動，開放性的服務界面擴大了網(wǎng)絡暴露面。面對網(wǎng)絡教學的常態(tài)化，內部業(yè)務數(shù)據(jù)被轉儲在個人移動設備上，成為可被傳播、利用以及共享的電子信息，教師和學生個人數(shù)據(jù)與教育數(shù)據(jù)不分離，教育數(shù)據(jù)加密不完善，部分數(shù)據(jù)存在明文存儲現(xiàn)象，個人設備中又安裝眾多存在未知風險的應用，大多數(shù)校級移動應用通過單點登錄“一次授權，長期使用”。在新技術沖擊下，防御面急劇膨脹，內外部網(wǎng)絡邊界交錯，且邊界防護節(jié)點難以有效定位。

基于目前移動網(wǎng)和數(shù)據(jù)網(wǎng)的交叉混合使用，筆者提出采用“零信任”架構的網(wǎng)絡安全思想來應對，其核心思想是“從來不信任，始終在校驗”。它默認不信任內外部任何人和行為，遵循“先認證用戶和設備，后訪問業(yè)務”的原則，以數(shù)字身份為中心進行訪問控制，采用最小化授權、多維度安全評估手段保護業(yè)務和服務的暴露面，可大幅提高應對網(wǎng)絡安全威脅的能力。目前，“零信任”架構是網(wǎng)絡安全領域較前沿的技術領域，通過身份可信、終端可信、通道可信、訪問可信的網(wǎng)絡安全新架構，有效幫助教育信息網(wǎng)重塑安全邊界。

●總結

經過專家論證和多次應急處置網(wǎng)絡安全事件的實踐，西城區(qū)教育信息網(wǎng)綜合軟硬一體多層次網(wǎng)絡安全防護方案和高素質的網(wǎng)管員隊伍，已具備了較強的網(wǎng)絡安全防護能力。配合不斷完善的制度建設和安全管理實踐，多年來未發(fā)生嚴重的網(wǎng)絡安全事故，在教育部“教育行業(yè)信息技術工作管理平臺安全監(jiān)測預警子系統(tǒng)”中，西城區(qū)教育信息網(wǎng)取得網(wǎng)絡安全滿分的成績（如圖4）。

圖4 教育部教育行業(yè)信息技術工作管理平臺安全監(jiān)測預警子系統(tǒng)