■ 武汉市教育科学研究院 谭小花 陈义军 彭 康

网络安全和信息化是一体之两翼、驱动之双轮。随着教育信息化的快速发展和广泛应用，教育系统面临的网络安全问题日益突出，教育系统遭受的网络攻击以及信息系统网站漏洞通报数量也持续增加。截至2021年10月下旬，根据我市教育系统预警监测系统数据统计，2021年共通报81起信息系统网站漏洞。中小学校作为教育系统初等教育、中等教育学校的主要组成部分，网络安全问题也比较突出，部分学校因网络安全问题被迫关闭信息系统网站，严重阻碍了学校教育信息化发展。

一、问题分析

中小学校在信息化建设过程中，网络信息资产越来越多，网络安全问题也日益突出，主要表现在四个方面：一是网络信息资产自身面临风险；二是网络安全意识有待提升；三是网络安全管理有待加强；四是网络安全技术防护有待完善。

1.网络信息资产面临较多风险

信息化建设进程中，中小学校的网络信息资产从基础网络扩大到信息系统网站，无论是基础网络还是信息系统网站自身面临较多风险。基础网络一方面面临来自互联网的黑客入侵、拒绝服务攻击、APT高级持续攻击、恶意文件、非授权接入等网络边界风险，另一方面又有校园内部不规范、无管控、猎奇的上网行为习惯带来的终端安全风险；信息系统网站因为建立之初的重应用轻安全以及web服务软件的漏洞，自身存在较多安全漏洞，除此之外还有SQL注入等应用攻击及页面篡改等风险。

2.网络安全意识有待提升

中小学校整体网络安全意识不足。一是学校领导不够重视网络安全工作，各项网络安全保障工作无法在学校有效地推进；二是普通老师认为网络安全与自己无关，缺乏网络安全基础知识，不能做到合规、安全地用网。

3.网络安全管理有待加强

中小学校在网络安全机构、制度、人员、建设及运维管理上都有待加强。据2019年不完全统计，我市部分中小学校无专岗专人负责网络安全工作，大部分学校信息系统网站由第三方公司运维但缺少运维管理制度，其他相关制度约35%的学校未建立网络安全制度，部分学校虽建有制度但存在不完善，针对性不够，可行性不强的问题。

4.网络安全技术防护有待完善

中小学校网络安全技术防护存在不足。我市中小学校中约20%左右的学校未部署任何网络安全防护设备，部分学校虽然部署了设备，但也存在防护设备单一、老旧及安全防护规则库长期未升级的情况。

二、改进建议

面对居高不下的网络攻击以及学校网络安全问题较多的实际情况，要从意识、管理、技术、规定动作四个方面着手，筑牢中小学校网络安全防线。

1.强化网络安全意识

首先，要对学校领导进行网络安全培训，明确网络安全责任和保护义务，提高认识。按照《党委（党组）网络安全工作责任制实施办法》，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人。根据《网络安全法》，学校应当按照网络安全等级保护制度的要求履行网络安全保护义务，若未履行义务且造成网络安全后果的，依法对学校及直接负责的主管人员追究法律责任。其次，要对普通老师开展网络安全意识培训及网络安全基础知识培训，明确网络安全与中小学校每个人都是密切相关的。网络安全为人民，网络安全靠人民。老师作为人民的一份子，可能是网络隐患的带来者，也有着自觉维护学校网络安全的责任和义务。

2.加强网络安全管理

《教育行业信息系统安全等级保护定级工作指南》（试行）对中小学信息系统网站等级保护建议定为一级，学校实际定级时，根据信息系统网站的重要性定为一级及以上。按照《网络安全等级保护基本要求》中规定的管理要求，落实学校机构、人员、制度、建设及运维管理。一是设置专岗专人负责校园网络安全，并进行岗位技能培训；二是对学校日常涉及到的网络安全管理活动建立网络安全管理制度，例如岗位和人员管理制度、资产和设备管理制度、备份和恢复管理制度、应急处置预案等；三是加强信息化项目建设管理。信息化建设项目同网络安全同步规划、同步建设、同步运行，项目验收时要进行安全性测试验收；四是做好运维管理，具体包括设备维护管理、漏洞风险管理、恶意代码防范管理、备份与恢复管理、安全事件处置等。

3.完善网络安全技术防护

针对中小学校资产状况及面临的主要风险，分类对中小学校安全提供最小化防护建议。

对没有信息系统网站只有基础网络的中小学校，加强边界安全防护和终端安全防护。一是部署下一代防火墙实现安全域隔离、网络地址转换和基础的流量控制、ISP负载均衡和VPN等；二是部署上网行为管理实现校园网用户实名访问互联网及校内应用的上网行为审计与管控、在线聊天管控、上网泄密管控以及上网流量管控等。

针对有信息系统网站的中小学校，加强基础网络防护的同时重点关注信息系统网站的安全。一是部署下一代防火墙和上网行为管理保障边界及终端安全；二是部署WAF，阻断SQL注入、跨站脚本等应用层攻击；三是部署防篡改保护网页不被非法访问和篡改；四是按照等级保护日志留存六个月的要求，部署日志审计。对于信息系统网站未部署在本地的学校，通过购买服务方式，实现对信息系统网站的相关技术防护。

4.落实网络安全规定动作

《网络安全法》法律责任条款中规定：未履行相关保护义务，将被追究相应的法律责任。因此，履行网络安全保护义务是《网络安全法》的基本要求，保护义务中除上文提到的管理制度、技术防护、日志留存等外，还包括网络安全规定动作：一是做好及配合做好监测工作。一方面将学校所属信息资产及时上报给上级网络安全管理部门，纳入上级预警监测系统；另一方面加强对本校资产的自我监测，可以通过购买专业网络安全公司服务，也可以使用appscan、burpsuite等工具自我检测。但无论是哪一种方式，对扫描监测发现的漏洞一定要第一时间进行整改，尽早消除风险隐患。二是开展应急演练，确保发生真正的网络安全事件时，能够第一时间进行应急响应及处置。三是开展自查整改工作。学校每年至少要开展一次网络安全自查工作，可以以网安部署的督查检查工作为契机，通过自查发现本校的网络安全工作存在的问题，能够整改的立刻整改，不能立刻整改的建立整改计划及方案，逐步完善学校网络安全。