教育行业信息系统等级保护研究

摘 要：随着教育行业信息化建设的高速发展，信息安全问题屡见不鲜。教育行业信息系统一直是等级保护工作的重点测评对象。论文通过对上海市多所学校的信息系统进行等级保护测评工作中发现的问题进行风险分析，并结合网络安全法的相关要求，提出如何推进相关工作的建议。

关键词：教育行业；信息系统；等级保护；网络安全法

中图分类号： TP393 文献标识码：A

Research on the Classified Protection of Information System in

Education Industry

Wu Teng, Song Hao-hao

(The Third Research Institute of Ministry of Public security, Shanghai Engineering Research Center of Cyber and Information Security Evaluation, Shanghai 200031)

Abstract With the rapid development of information technology in education industry, informationsecurity problems emerge in an endless stream. The information system of education industry has alwaysbeen the focus object of grade protection. This article analyzed the problems found in the classifiedprotection evaluation of the information system of many schools in Shanghai, combined with the relevantrequirements of internet security act, and put forward proposals for advancing related work.

Key words Education Industry; Information System; Classified Protection; Internet Security Act

1 引言

各高校、高职、中专、中小学等教育行业信息系统既包含用于校园资讯介绍、招生信息发布的门户网站系统，还包括后台管理系统、图书馆管理系统、学籍管理系统、网上办公系统等与教研活动安排和信息管理的系统。近年来，发生的多次网络攻击事件表明，教育行业信息系统的安全依然是安全薄弱点，如何确保教育行业信息系统的安全成了迫切解决的问题。

自2009年开始，教育部办公厅多次发文，要求全国教育行业按照国家信息安全等级保护制度的要求，做好教育系统网络信息安全保障工作。2017年5月5日，教育部科技司印发《关于加快推进信息系统网络安全等级保护定级备案工作的通知》，再次将教育行业等级保护工作提上日程。目前，教育行业各单位积极按照国家等级保护有关管理规范和技术标准实施信息系统安全建设整改和等级测评，信息系统的安全防护能力得到了一定提升，但在测评过程中发现了一些普遍存在的安全问题。2017年6月1日，《中华人民共和国网络安全法》的正式实施，对信息系统等级保护测评工作提出了新的要求。本文将对上海市多所高校、高职、中专、中小学的信息系统进行等级保护测评工作中发现的问题进行分析，并结合网络安全法的相关要求，提出相应的对策。

自2017年6月1日起施行的《中华人民共和国网络安全法》（以下简称：网络安全法）中，第三章网络运行安全第二十二条、第四章网络信息安全第四十一条、第四十二条、第四十四条、第四十五条等对个人信息保护的基本原则和要求进行了阐述，并规定了相应法律责任。这些表明了国家致力于加强对个人信息保护的坚决态度。从而保障网络信息依法有序的自由流通，保护公民的个人信息安全，以防止公民的个人信息被泄露、被窃取和被非法使用。在教育行业信息系统中，后台管理系统、图书馆管理系统、学籍管理系统、网上办公系统等系统，存在网络信息尤其是老师与学生的个人信息的流通，如何保证老师与学生的个人信息会在交互过程中不会被篡改、被截取、被破坏，是对教育行业信息系统在技术体系的挑战。

网络安全法对监测预警与应急处置措施专门列出一章作出规定，指出将建立网络安全监测预警和信息通报制度，建立网络安全风险评估和应急工作机制，制定网络安全事件应急预案并定期演练。明确了发生网络安全事件时，需要采取的措施。在信息安全等级保护工作中，信息系统安全等级保护基本要求管理要求部分指出应制定应急预案，并要求定期对系统相关的人员进行应急预案培训和演练，一旦发生安全事件，系统相关人员可以掌握适当的应急措施，使损失降到最低。教育行业信息系统的服务范围甚广，当业务信息受到破坏时，不但会对学校的外在形象造成损害，同时虚假信息可能会造成学生、教师的利益受损，严重时可能危及访问该平台上所运行网站的公众利益，所以应急预案的培训和演练至关重要。

2 系统风险分析

信息系统的安全一方面要依赖于完善的管理制度体系[1] ，覆盖安全管理制度、机构、人员安全、系统建设和运维管理五个方面，要做到“有法可依、有章可循”，并且在相应的管理制度规定下充分执行。另一方面离不开以基础网络建设、服务器安全、应用系统安全和数据安全为核心组成部分的技术安全体系 [2-4] 。

截止2017年第二季度，对上海市多所学校的信息系统进行等保三级和等保二级测评，以及依据沪公通字[2015]65号《上海市党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》对上海市教育行业进行互联网网站安全专项一级检查，其中包括普通中学门户网站系统、小学门户网站系统等，按照等保一级的要求进行测评。从以上网站系统的测评结果看来，存在的系统分析问题涉及到几方面。

2.1 管理体系缺失

在管理制度体系方面，大部分学校在管理制度制定与执行、系统测试验收、安全技能培训和考核、应急预案培训与演练等方面等存在一定缺失。

安全保护等级第一级和部分安全保护等级第二级的学校，其信息系统以第三方完全托管形式进行管理，由学校信息学科老师兼职负责与第三方托管单位进行业务对接，向第三方租用网络和服务器空间或是购买网站安全服务的方式进行部署，日常管理维护都是由第三方进行负责。大部分安全保护等级第二级的学校，其信息系统以半托管形式进行管理，由本校信息科的老师兼职和第三方运维单位共同负责。由于学校的信息科老师是兼职负责，所有信息系统的网络、软件硬件、线路的维护以第三方运维单位为主要负责方。安全保护等级第三级的学校，其信息系统大多采用自管的方式进行管理，学校配备专职人员对信息系统进行维护管理，并选定符合国家有关规定的安全服务进行安全运维服务。部分学校在托管方和外包方的管理方面不够投入，通常仅采取与托管方签订相关服务协议的形式来进行控制，并没有相关管理制度对托管方进行约束。

在系统测试验收方面，未对系统进行安全性测试验收，源代码审查、恶意代码检测，无法及时发现系统安全方面存在的问题，无法及时采取补救措施。

在安全技能培训和考核方面，未定期对各岗位的人员进行安全技能及安全认知的考核，可能导致人员安全技能及安全认知不足，不符合岗位要求。

在应急预案培训与演练方面，未对系统相关的人员进行应急预案培训和演练，一旦发生安全事件，可能存在系统相关人员尚未了解及掌握适当的应急措施，损失补救时间。

2.2 技术安全风险

在技术安全体系方面，在基础网络建设中大部分学校采用硬件防火墙设备配合防病毒软件的方式对服务器系统和应用系统进行防护，缺少漏洞扫描、入侵检测和数据备份等设备。

在服务器安全方面，系统默认账户未重命名，攻击者可以省略猜测用户名步骤，直接破解密码；未设置升级服务器为服务器系统补丁进行统一升级，验证测试发现部分主机存在安全漏洞，漏洞不能及时得到修复而被攻击者利用。

在应用系统安全方面，应用系统未采用校验码技术保证通信过程中数据的完整性，若网络传输数据被破坏，造成重要数据丢失或者损坏，从而给应用系统带来安全隐患；缺少软件容错机制，可能引起网站被篡改或服务器被攻破的高风险漏洞。

在数据安全方面，未提供鉴别信息和重要业务数据在传输过程中的完整性检测功能，若网络传输数据遭到破坏，可能造成重要数据丢失或者损坏，给应用系统带来安全隐患；关键节点网络设备未采用双冗余设计，存在单点故障，一旦网络设备损坏，可能导致系统服务中断甚至无法恢复。

3 安全防护措施建议

3.1完善管理体系

在管理制度体系方面，采用第三方托管的学校要在托管方和外包方的管理方面加大力度，制定与托管方和外包方相关的管理制度，内容涵盖托管方和外包方的权限划分，系统的内容管理，用户权限、账号和密码，应用系统管理和维护，系统变更等方面。管理制度制定后的执行是安全防护的关键点，制度落实后的相关执行记录要注意保存，以便追溯责任。

在系统测试验收方面，建议对系统软件进行源代码审查、恶意代码检测，并组织进行安全性测试验收；在安全技能培训和考核方面，建议定期对各个岗位的人员进行安全技能及安全认知的考核，明确考核周期，并保留每一次培训、考核的记录。

在应急预案培训与演练方面，建议对系统相关人员进行应急预案培训，应急预案培训应至少每年举办一次，定期对应急预案进行演练，根据不同的应急恢复内容，确定演练周期。

3.2 加强技术安全体系

在技术安全体系方面，信息系统安全运行的前提条件是稳定的基础网络环境。信息系统的应用中信息访问所占的比例很大，无限制的用户访问量给网络带来巨大压力。因此在基础网络建设的第一步，就是根据网络组成部分的职能进行区域划分，并根据各节点业务的重要程度，对其带宽进行分配并设置访问控制策略。在网络设备启用双链路，进行负载均衡配置，并加入互联网防火墙、WAF、入侵检测等设备以加固基础网络。本着这些原则建议采用安全保护架构进行网络建设，网络拓扑图如图1所示。

安全保护架构网络划分为可信交换区、DMZ和运维区三个区域。核心交换区通过电信网和教育网两条链路外联，经过负载均衡设备连接到互联网防火墙，然后接入到核心交换机，核心交互区部署入侵检测系统，运维区接入到核心交换区的核心交换机上，应用服务器和数据库服务器部署在DMZ区，经过汇聚交换机和WAF连接到核心交换区的互联网防火墙上。

在服务器安全方面，根据等级保护主机安全的要求，对服务器主机操作系统、数据库、运维终端等的系统默认账号进行重命名，并且设置密码策略和超时退出策略；对服务器主机操作系统和数据库开启安全审计策略，设置升级服务器为服务器系统补丁进行统一升级，及时修补系统存在的安全漏洞。

在应用系统安全方面，除对应用系统设计过程中进行注意，采用校验码技术保证通信过程中数据的完整性，从而降低网络通信过程中的数据丢失或损坏的概率；通过在网络中部署Web应用防火墙，以防止来自网络中的SQL注入、跨站脚本、远程代码执行等应用层攻击，部署网页防篡改系统以防信息系统受到非授权的修改、增加或删除。缺少软件容错机制，可能引起网站被篡改或服务器被攻破的高风险漏洞。同时，定期对网站做渗透性测试，以及时发现其潜在的安全漏洞并进行整改。

在数据安全方面，依据等级保护的要求，对关键节点的网络设备、通信线路和数据处理系统的硬件冗余采用双冗余设计，提高系统的可用性和服务的持续性。定期对信息系统的数据、网络设备的配置数据等进行备份，并且定期对数据的完整性以及备份的可用性做检查。

4 结束语

目前，教育行业信息化建设正处于发展的关键时期，对于教育行业信息安全等级保护工作来说既是挑战也是机会。教育行业信息系统作为教育行业信息化建设的“脸面”，更是重中之重，只有根据教育行业各种安全管理的要求，建立完整的适应性安全管理体系，实现管理制度体系和技术安全体系的整合，不断解决在等保测评过程中发现的安全问题，才能增强迅猛发展的信息安全威胁的抵抗力。