设区市教育系统网络安全体系构建策略
2022-03-16皇甫绎达曹海榕
皇甫绎达 曹海榕
【摘 要】在推进教育信息化高质量发展的过程中,苏州市贯彻信息化项目与网络安全“同步规划、同步建设、同步使用”的原则,从网络安全建设与管理相关要素出发,通过减少系統弱点信息泄露、加强信息资产管控和预警监测、推动教育城域网网络基座提档升级等举措,逐步形成具有本地特色的市级教育系统网络安全模式。
【关键词】市级教育系统;教育信息化;网络安全体系
【中图分类号】TP393 【文献标志码】A 【文章编号】1005-6009(2022)12-0012-04
【作者简介】1.皇甫绎达,苏州市电化教育馆(江苏苏州,215004)网运中心副主任,工程师,主要研究方向为网络工程;2.曹海榕,苏州市电化教育馆(江苏苏州,215004)副馆长,高级工程师,主要研究方向为软件工程。
苏州市教育信息化工作起步早、发展快,目前全市教育系统互联网资产数量已逾1600个。与此同时,近年来苏州市教育系统网络安全风险漏洞通报数量也一直居高不下,网络安全事件时有发生,成为制约苏州市教育信息化工作进一步提档升级的瓶颈。为此,苏州市教育局高度重视,由教育网络安全和信息化工作领导小组分析网络安全问题根源,研究应对策略,统筹协调全市教育系统网络安全和信息化工作,取得明显成效。
一、苏州市教育系统网络安全现状分析
对江苏省教育厅、苏州市委网信办2020年度通报的苏州市教育系统网络安全漏洞和事件梳理分析后,发现我市教育系统网络安全管理主要存在以下问题。
(一)网络安全责任意识薄弱
教育系统网络安全人才整体较为匮乏。区域间、学校间网络安全技术与管理水平差异大,未形成专业网络安全队伍。学校网络安全工作人员基本为兼职教师,对承建企业的依赖性高,有的学校甚至将所有系统管理权限悉数交给承建企业技术人员。与此同时,学校网络管理人员、系统管理人员、业务管理人员的网络安全、数据安全意识不足,弱密码、信息泄露事件频发,网络安全责任未压实,存在较大的安全风险。
(二)网管团队业务能力不足
在日常运维过程中,部分学校网络安全工作仅着眼于边界防护,疏于内网安全防护。不少学校采用DHCP实现动态地址分配,且未采用上网认证,一旦病毒、挖矿木马在校园网内大肆传播,很难做到问题的迅速定位和及时有效处置;个别学校未在教师终端安装恶意程序防护软件,让恶意软件的传播有机可乘。
(三)信息资产管控力度不大
一是信息资产集成度不高。基层学校信息系统小、散、乱,同一学校系统间数据割裂现象较为严重,系统整合度不高,承建单位技术水平参差不齐,代码漏洞较多。各区县教育信息化机构采用网站集群方式实现对本地学校网站统一纳管的占比不到50%。
二是信息资产外网暴露面过大。学校信息系统与学校网站一般都开放外网访问,个别学校甚至将数据库服务器直接暴露在外网,软件代码漏洞风险较大。
三是信息资产过程管理制度缺失。大部分学校未建立信息资产过程管理制度,很多停用的信息资产并未进入资产销毁流程。特别是系统经手人员调动后,对于部分前期已建系统未履行交接手续,出现很多游离于网络管理视野之外的“失效资产”“失控资产”“失陷资产”,存在一定的潜在风险。
(四)应急预案实效性不强
各基层学校虽已普遍制定网络安全应急预案,但极少有学校对应急预案的科学性、合理性进行论证分析、实践检验。个别学校在出现网络安全事件后才发现所制定的应急预案流程设计不合理、可操作性不强;各类学校普遍存在应急预案制定后即束之高阁的现象,应急预案实效性不强。
二、苏州市教育系统网络安全工作整改思路
根据应急演练中入侵者的攻击路径(侦察—初步入侵—植入后门—横向移动—达成目的),我们初步确定网络安全体系的构建思路为:
一是要减少系统弱点信息泄露,防范撒网式侦察,让入侵者“筛不到”有价值的信息。可能泄露的弱点信息主要包括系统漏洞信息和与系统配置、用户账号密码相关的情报信息等。
二是要减少对外发布的系统漏洞,增强风险隐患的主动发现能力,让入侵者“攻不进”。
三是要加强内网防护,防止立体化渗透,让入侵者即便单点攻破,也“打不通”内网其他系统。
四是要加强重要系统对攻击行为的感知,让入侵者“拿不到”核心资产重要数据。
五是要落实敏感信息加密保护要求,入侵者即便非法获取了关键数据,也因难以解密而“看不懂”。
与此同时,还需要通过技术提档升级、组建专业团队集中运维等措施,切实降低基层学校网络管理难度;需要通过网络安全攻防演练,提前发现安全策略中存在的问题与缺陷,实现安全策略科学合理、隐患通报数大幅下降、风险漏洞处置及时有效的管理目标。
三、苏州市教育系统加强网络安全管理的实施举措
(一)加强责任落实和宣传培训,有效减少系统弱点信息泄露
在信息化应用高度普及的今天,学校各业务部门、所有师生都是信息的使用者和生产者。因此,防范信息泄露风险需要采取有效手段,压实网络安全责任,开展广泛宣传培训,增强广大师生网络安全防范意识,形成群防机制,才能取得实效。
1.完善管理体系。
苏州市教育局制定并出台网络安全责任制考核实施办法,明晰各区县和学校网络安全责任制考核要点,保障网络安全主体责任和监督责任的落实;每年制定《全市教育系统信息化与网络安全工作要点》,明确常态化进行网络安全检查、深入开展网络安全宣传培训等工作任务;出台《苏州市教育信息系统日常监测制度》《苏州市教育系统网络与信息安全事件应急预案》等具体管理制度,规范网络安全工作流程和方法。苏州市教育网信工作领导小组与各区县、各直属单位逐级签订网络安全责任书,层层责任落实、压力传导,使全市教育系统各级网络安全管理人员提高了政治站位和重视程度。通过推进组织机构建设、制度建设、责任落实,市、区、校三级纵向衔接、横向协调的网络安全工作组织管理体系正式形成。
2.组织网络安全“校园日”系列活动。
苏州市教育局每年年初制定《苏州市网络安全校园日活动实施方案》,部署网络安全宣传工作。在网络安全宣传周,各校深入宣传贯彻习近平总书记关于网络强国的重要思想,宣传相关配套法律法规;充分利用学校LED、板报、校园广播、校园电视台、展板、班会、党务会议、社区宣讲、家校互动、微信公众号、企业微信等方式营造宣传氛围;组织师生收看江苏省教育厅网络安全校园日启动仪式;开展国旗下网络安全讲话、校园日有奖问答、网络安全主题班会、网络安全宣传黑板报评比、网络安全主题短视频比赛等活动。通过各种形式的深入宣传,普及网络安全知识,提升全体师生网络安全意识和防护技能。苏州市电化教育馆(以下简称市电教馆)选取部分学校制作了网络安全校园日专题采访节目,并通过市内电视、地铁、公交、教育局大屏等渠道播出,提升宣传效果。
3.开展“网络安全师”培训。
苏州市教育局制订学校“网络安全师”的培养计划,将其作为全国智慧教育示范区创建内容的重要组成部分,构建适应未来教育信息化发展需要的网络安全人才队伍。市电教馆结合年度培训计划,面向各单位信息化分管领导、网络管理员、一线教师,通过线上线下相融合的方式持续组织开展各级各类网络安全培训。培训内容包括信息安全、应急响应操作规范、网络安全法解读等,全面提高教育系统各单位网络安全的意识和能力。2021年全市各地区网络安全师培训人数有980人。
(二)加强信息资产管控,有效减少系统漏洞
1.推行信息资产全生命周期管理。
市电教馆以开展重要时段网络安全保障专项行动为抓手,排查梳理全市教育系统资产,关闭并注销“双非”“僵尸”风险隐患网站等;通过落实责任制考核要求,配合资产探针、人工核查等手段,指导和帮助学校逐步建立信息资产全生命周期档案,规范信息系统、IP地址、域名等互联网资产的采购、上线、运维、销毁等各环节管理,建立健全有效的常态化数据更新机制,支撑网络安全日常管理和形势分析研判,切实解决苏州市教育系统互联网基础资产“底数不清”的问题。
2.缩小信息资产的外网暴露面。
针对仅向教师、学校管理者开放的校级应用系统,责成相关单位按期切换至教育城域网内部访问,同时开通外网访问VPN通道,缩小应用系统的暴露面,降低系统遭受外部攻击的风险。
3.逐步推进敏感信息加密保护。
依据《密码法》相关要求,全面梳理教育系统信息资产中承载的各类敏感信息。根据信息系统的重要性、密码保护紧迫程度,列出敏感信息加密保护需求清单,排定加密保护整改优先级,申请专项经费,力求通过两年时间逐一完成落实整改、清单核销。
4.加强重要信息资产防护。
对访问承载重要信息系统服务器的用户、地址、策略和工具进行有效管控。运维人员采用“VPN+堡垒机”的方式单点登录服务器,通过口令、U盾等多因素认证的方式维护服务器;对系统账号等进行访问控制,对超过安全策略之外的语句和高危操作进行有效阻断;所有操作记录和视频都保存在服务器本地和日志服务器中,以备查证,做到“事前阻断,事中审计,事后可追溯”。
(三)加强预警监测,增强风险隐患的主动发现能力
1.应用态势感知平台进行常规管理。
苏州市教育局于2018年部署态势感知平台,经多次系统升级,目前已通过与其他安全设备(如IDS/防火墙、日志大数据平台等)的联动,构建闭环处置流程,提升了网络安全的整体监测响应能力。自态势感知平台运行以来,监测推送风险地址5万个,阻断高危IP地址400个(其中境外地址300个),督促基层学校整改网络隐患120起,实现“事态可评估”“趋势可预测”“风险可感应”和“行为可管控”。
2.开展网络安全攻防演练集中检测。
苏州市教育局联合市委网信办、市公安局,定期开展网络安全攻防演练,通过模拟黑客的真实攻击行为,发现网站、信息系统、网站集群中存在的隐患和漏洞,测试各单位安全策略的有效性及应急处置能力,提升发现问题、整改完善、加强防护的综合维护水平。在“苏州教育网安2021网络安全应急演练”中,技术团队共扫描全市716个教育单位的1317个在网应用系统,重点测试市教育局各处室、直属学校、单位179个信息系统,随机抽查下属市(区)应用系统800余个,共发现问题单位85个,突破率11.85%。随后,市电教馆组织专业团队逐一走访检出问题和漏洞的区域和学校,督促完成整改,指导完善方案。
(四)全面加强信息资产集成,推动教育城域网网络基座提档升级
积极推进网站集群建设与集中运维管理,解决学校网站代码漏洞频出问题。以创建全国智慧教育示范区大平台建设为契机,整合全市各区县、各校、各单位应用系统,逐步采取以区域统一建设、各校共享使用为目标的校级应用系统建设模式,切实解决应用分散、数据割裂、数据安全缺少保障的问题。运用SDN技术重构教育城域网网络基座,加快苏州市教育云网升级改造,实现底层网络硬件资源池化,提高教育云网资源灵活调度,做到云网融合、网随人动、策略随行,为教育系统每一位用户提供专属的网络策略和服务,满足日益严格的数据安全与个人信息保护需求,全面優化和提升教育城域网的安全组网和服务能力,有效解决基层学校内网防护薄弱问题。苏州市教育城域网SDN改造完成后,可实现学校新增设备网络配置策略的自动下发,有效解决基层学校网管专业技术能力不足问题。
网络安全是系统工程,涉及思想观念、人员配备、资金投入、制度执行、技术保障、监督问责等诸多环节,仅靠单个职能部门无法有效实施,必须统一领导、协调各方、形成合力,才能形成政府引导、需求引领、市场主导的良性生态,才能真正落实教育系统网络安全职责,全面优化教育系统网络环境。经过几年来的努力,苏州市教育系统网络安全整体形势明显好转,成功保障了“停课不停学”期间、重要安保任务开展期间全市教育系统网络的安全稳定运行,在近年省、市网络安全责任制考核中取得了较好的成绩。
3929501908296