李賡曦　姚健　牛晨

【 摘 要 】 北京市昌平區(qū)教師進(jìn)修學(xué)校承擔(dān)昌平區(qū)普教系統(tǒng)及教研、中小學(xué)干部教師培訓(xùn)、現(xiàn)代教育信息技術(shù)開(kāi)發(fā)和傳播工作，其網(wǎng)絡(luò)和信息系統(tǒng)的安全穩(wěn)定運(yùn)行對(duì)師生的意義重大。文章基于等級(jí)保護(hù)制度要求，闡述了北京市昌平區(qū)教師進(jìn)修學(xué)校在網(wǎng)絡(luò)安全建設(shè)中的實(shí)踐經(jīng)驗(yàn)。

【 關(guān)鍵詞 】 信息安全；等級(jí)保護(hù)；學(xué)校

【 Abstract 】 Beijing Changping Teachers Training School bear the Changping District general education research and scientific research， primary and secondary school teachers training， modern education information technology development and dissemination。The safe and stable operation of the network and information system significance of the teachers and students of major. Based on the classified protection， this paper expounds the practical experience of the construction of network security in our school.

【 Keywords 】 information security； classified protection； school

1 引言

2012年6月，國(guó)務(wù)院發(fā)布《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》（國(guó)發(fā)〔2012〕23號(hào)），強(qiáng)調(diào)推進(jìn)信息化發(fā)展和保障信息安全對(duì)調(diào)整經(jīng)濟(jì)結(jié)構(gòu)、轉(zhuǎn)變發(fā)展、保障和改善民生、維護(hù)國(guó)家安全具有重要意義，明確指出健全安全防護(hù)和管理，保障重點(diǎn)領(lǐng)域信息安全以及加快能力建設(shè)，提升網(wǎng)絡(luò)與信息安全保障水平為后期的工作重點(diǎn)。同時(shí)，為進(jìn)一步加強(qiáng)教育行業(yè)信息安全工作，教育部辦公廳2014年印發(fā)了《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）》的通知（教技廳函〔2014〕74號(hào)），用于指導(dǎo)和規(guī)范教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。

黨中央、國(guó)務(wù)院、教育部以及北京市有關(guān)信息化、信息安全的指示和要求十分具體且符合實(shí)際，對(duì)做好北京市昌平區(qū)教師進(jìn)修學(xué)校信息化建設(shè)、切實(shí)保障信息安全有很強(qiáng)的指導(dǎo)意義。北京市昌平區(qū)教師進(jìn)修學(xué)校近幾年對(duì)教育信息化的投入比重逐步加大，經(jīng)過(guò)多年來(lái)的發(fā)展，已經(jīng)在基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)、資源應(yīng)用等方面取得了一定成績(jī)，學(xué)校網(wǎng)絡(luò)和信息中心已經(jīng)成為全區(qū)教育城域網(wǎng)絡(luò)的匯聚中心，全區(qū)優(yōu)質(zhì)教學(xué)資源的匯聚和共享中心，全區(qū)音視頻資源的存儲(chǔ)中心，全區(qū)信息網(wǎng)絡(luò)安全控制中心，全區(qū)應(yīng)用系統(tǒng)平臺(tái)管理中心等。為了貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，規(guī)范和落實(shí)全國(guó)教育行業(yè)信息安全等級(jí)保護(hù)工作，學(xué)校在校園網(wǎng)絡(luò)安全建設(shè)方面按照等級(jí)保護(hù)的相關(guān)要求，完善了安全保障體系，提高了對(duì)信息系統(tǒng)安全防御能力。

2 信息化發(fā)展和安全防護(hù)的關(guān)系

在中央網(wǎng)信辦第一次會(huì)議中，黨中央領(lǐng)導(dǎo)提出了“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施。做好網(wǎng)絡(luò)安全和信息化工作，要處理好安全和發(fā)展的關(guān)系，做到協(xié)調(diào)一致、齊頭并進(jìn)，以安全保發(fā)展、以發(fā)展促安全，努力建久安之勢(shì)、成長(zhǎng)治之業(yè)?！?/p>

隨著學(xué)校多年來(lái)信息化程度的不斷提高，現(xiàn)代化教育業(yè)務(wù)發(fā)展對(duì)信息系統(tǒng)的依賴程度也不斷增加，網(wǎng)上信息的價(jià)值也逐漸增大，隨之而來(lái)的信息安全問(wèn)題也日漸凸顯。昌平進(jìn)修學(xué)校網(wǎng)絡(luò)和信息中心匯集了全區(qū)教師、學(xué)生的檔案資料、考試信息、優(yōu)秀教學(xué)資料等敏感和重要信息，對(duì)系統(tǒng)的安全性要求較高，一旦系統(tǒng)遭受攻擊，或發(fā)生大規(guī)模病毒爆發(fā)、設(shè)備損壞等安全事件，就有可能導(dǎo)致系統(tǒng)無(wú)法提供正常服務(wù)、數(shù)據(jù)信息損壞甚至業(yè)務(wù)敏感信息遭泄漏，將嚴(yán)重侵害單位和教師、學(xué)生等個(gè)人利益，同時(shí)也對(duì)昌平區(qū)教委的聲譽(yù)帶來(lái)極大的負(fù)面影響。因此，通過(guò)校園網(wǎng)絡(luò)安全建設(shè)，可以降低學(xué)校信息系統(tǒng)安全風(fēng)險(xiǎn)，提升信息系統(tǒng)安全服務(wù)水平和加強(qiáng)安全管理能力，發(fā)揮行業(yè)信息化帶動(dòng)作用，構(gòu)建安全、可信的信息系統(tǒng)運(yùn)營(yíng)環(huán)境，提升信息系統(tǒng)安全綜合防護(hù)能力和風(fēng)險(xiǎn)處置能力。

3 校園網(wǎng)絡(luò)安全建設(shè)實(shí)踐

為了建立安全、穩(wěn)定、規(guī)范的網(wǎng)絡(luò)安全保障體系，學(xué)校通過(guò)邀請(qǐng)專業(yè)的第三方安全公司，協(xié)助完善網(wǎng)絡(luò)區(qū)域邊界防護(hù)、入侵防御、安全審計(jì)等措施，實(shí)現(xiàn)學(xué)校信息系統(tǒng)數(shù)據(jù)的安全性保護(hù)，滿足業(yè)務(wù)發(fā)展需要的同時(shí)，滿足為學(xué)校信息系統(tǒng)通過(guò)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的網(wǎng)絡(luò)安全要求。

3.1 摸清差距，明確網(wǎng)絡(luò)安全改進(jìn)目標(biāo)

根據(jù)教育部要求，北京市昌平區(qū)教師進(jìn)修學(xué)校信息系統(tǒng)應(yīng)按照國(guó)家信息安全等級(jí)保護(hù)工作規(guī)范和《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等國(guó)家標(biāo)準(zhǔn)進(jìn)行建設(shè)，通過(guò)對(duì)照檢查，分析判斷目前網(wǎng)絡(luò)安全保護(hù)措施與等級(jí)保護(hù)標(biāo)準(zhǔn)二級(jí)要求之間的差距，為后續(xù)保護(hù)體系設(shè)計(jì)工作提供依據(jù)。

3.1.1技術(shù)差距檢測(cè)

通過(guò)采用安全掃描、手動(dòng)檢查、問(wèn)卷調(diào)查、人工問(wèn)詢等方式，對(duì)網(wǎng)絡(luò)與安全設(shè)備、網(wǎng)絡(luò)架構(gòu)進(jìn)行網(wǎng)絡(luò)安全符合性檢查，主要包含結(jié)構(gòu)安全與網(wǎng)段劃分、網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等方面。發(fā)現(xiàn)學(xué)校網(wǎng)絡(luò)邊界缺少必要的安全防護(hù)和檢測(cè)設(shè)備，安全域的劃分不夠精細(xì)，網(wǎng)絡(luò)設(shè)備的安全配置方面也存在不足。

3.1.2管理差距檢測(cè)

通過(guò)訪談和檢查的形式評(píng)估安全管理制度的制定、發(fā)布、評(píng)審和修訂等情況，安全管理機(jī)構(gòu)的組成和工作組織情況，并對(duì)人員安全控制、系統(tǒng)建設(shè)管理過(guò)程和系統(tǒng)運(yùn)維中的安全控制情況進(jìn)行分析。發(fā)現(xiàn)學(xué)校安全管理體系文件不完善，包括未制定設(shè)備管理規(guī)范、授權(quán)和審批管理規(guī)范和防病毒管理規(guī)范等制度，對(duì)網(wǎng)絡(luò)建設(shè)和運(yùn)維的全過(guò)程安全控制措施也存在不足的情況。

3.2 完善安全管理制度，落實(shí)安全工作保障機(jī)制

以等級(jí)保護(hù)差距分析結(jié)果為依據(jù)，按照等級(jí)保護(hù)標(biāo)準(zhǔn)要求，制定安全管理框架，明確管理方針、策略，以及相應(yīng)的規(guī)定、操作規(guī)程、業(yè)務(wù)流程和記錄表單，建立信息安全管理體系。

3.2.1構(gòu)建具有本校特色的信息安全管理框架

結(jié)合學(xué)校實(shí)際情況，建立信息安全工作總體方針、安全策略，以方針策略為依據(jù)建立配套的安全管理制度及流程規(guī)范，涵蓋日常運(yùn)維管理、安全管理、系統(tǒng)開(kāi)發(fā)建設(shè)等方面的內(nèi)容，由專門的組織機(jī)構(gòu)負(fù)責(zé)管理制度的制訂、發(fā)布和貫徹落實(shí)。定期對(duì)制度進(jìn)行評(píng)審和修訂，確保安全管理制度的適用性。

3.2.2構(gòu)架信息系統(tǒng)全生命周期的安全管理體系

為了實(shí)現(xiàn)信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期，分別從工程實(shí)施建設(shè)前、建設(shè)過(guò)程以及建設(shè)完畢交付運(yùn)行等三方面考慮，具體包括系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)和安全服務(wù)商選擇等方面，并做到日常運(yùn)行期間的安全監(jiān)測(cè)、漏洞發(fā)現(xiàn)和安全加固等，實(shí)現(xiàn)信息系統(tǒng)安全持續(xù)優(yōu)化。

3.2.3完成應(yīng)急保障措施

通過(guò)制定綜合應(yīng)急預(yù)案和各類專項(xiàng)應(yīng)急預(yù)案，定期組織應(yīng)急演練，明確信息安全事件的處置原則，熟練掌握并持續(xù)優(yōu)化處置流程，不斷增強(qiáng)對(duì)于信息安全事件處理的水平。

3.3 開(kāi)展技術(shù)整改，提高應(yīng)對(duì)風(fēng)險(xiǎn)的水平

技術(shù)的持續(xù)發(fā)展對(duì)信息安全帶來(lái)了新的挑戰(zhàn)，學(xué)校網(wǎng)絡(luò)建設(shè)前期重點(diǎn)關(guān)注互聯(lián)互通和基礎(chǔ)網(wǎng)絡(luò)建設(shè)，在安全防護(hù)方面存在比較大的短板，通過(guò)此次網(wǎng)絡(luò)安全建設(shè)實(shí)踐，落實(shí)控制技術(shù)，降低了安全風(fēng)險(xiǎn)。

3.3.1提高網(wǎng)絡(luò)防護(hù)和檢測(cè)能力

在互聯(lián)網(wǎng)邊界了萬(wàn)兆防火墻，實(shí)現(xiàn)了內(nèi)外網(wǎng)的隔離，保障內(nèi)網(wǎng)的相對(duì)安全。在城域網(wǎng)核心交換機(jī)部署入侵檢測(cè)和網(wǎng)絡(luò)審計(jì)設(shè)備，實(shí)現(xiàn)了外網(wǎng)入侵行為的發(fā)現(xiàn)和對(duì)內(nèi)部網(wǎng)絡(luò)各種操作的記錄，保障了對(duì)網(wǎng)絡(luò)入侵行為的監(jiān)測(cè)，做到早發(fā)現(xiàn)，早處置。在網(wǎng)站應(yīng)用前部署一臺(tái)Web防火墻，實(shí)現(xiàn)了針對(duì)HTTP協(xié)議攻擊的深層次防御，提高了網(wǎng)站系統(tǒng)的安全防護(hù)能力。

3.3.2實(shí)現(xiàn)運(yùn)維實(shí)名審計(jì)

通過(guò)劃分安全管理域，部署一臺(tái)堡壘主機(jī)和一臺(tái)數(shù)字簽名驗(yàn)證系統(tǒng)，可以實(shí)現(xiàn)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的實(shí)名登錄，同時(shí)詳細(xì)記錄實(shí)名用戶登錄設(shè)備的詳細(xì)操作，提高了事中監(jiān)控和事后追查審計(jì)的能力。

3.4 開(kāi)展備案和測(cè)評(píng)工作，落實(shí)等級(jí)保護(hù)工作

在完成管理和技術(shù)整改后，為信息系統(tǒng)技術(shù)防范、安全管理、運(yùn)維保障提供了必要的基礎(chǔ)條件，我校也對(duì)自身信息系統(tǒng)情況進(jìn)行了詳細(xì)梳理，逐步落實(shí)等級(jí)保護(hù)相關(guān)工作要求。

3.4.1落實(shí)信息系統(tǒng)定級(jí)備案工作

通過(guò)對(duì)未定級(jí)的信息系統(tǒng)進(jìn)行調(diào)研，按照《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）》的要求，了解信息系統(tǒng)的服務(wù)對(duì)象、服務(wù)范圍、基本的功能用途，依賴的軟硬件資產(chǎn)等，確定信息系統(tǒng)業(yè)務(wù)信息的安全級(jí)別和系統(tǒng)服務(wù)級(jí)別，進(jìn)而確定信息系統(tǒng)的安全級(jí)別，編寫(xiě)《信息安全等級(jí)保護(hù)定級(jí)報(bào)告》和《信息安全等級(jí)保護(hù)備案表》，并向公安機(jī)關(guān)進(jìn)行備案。

3.4.2邀請(qǐng)測(cè)評(píng)機(jī)構(gòu)，開(kāi)展信息安全等級(jí)測(cè)評(píng)

通過(guò)邀請(qǐng)具備相應(yīng)信息安全等級(jí)保護(hù)測(cè)評(píng)資質(zhì)的機(jī)構(gòu)對(duì)學(xué)校信息系統(tǒng)開(kāi)展等級(jí)測(cè)評(píng)，并產(chǎn)生測(cè)評(píng)結(jié)果報(bào)告，來(lái)確認(rèn)檢測(cè)對(duì)象確認(rèn)是否符合相應(yīng)等級(jí)要求。經(jīng)測(cè)評(píng)，定級(jí)的信息系統(tǒng)達(dá)到安全保護(hù)等級(jí)要求，并滿足系統(tǒng)自身安全保護(hù)需求，最終通過(guò)等級(jí)測(cè)評(píng)，使信息系統(tǒng)滿足國(guó)家等級(jí)保護(hù)基本要求。

4 結(jié)束語(yǔ)

實(shí)踐證明，信息安全保障體系建設(shè)是一項(xiàng)涵蓋體制、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)品、服務(wù)等諸要素的復(fù)雜的系統(tǒng)工程，是一個(gè)長(zhǎng)期性的專業(yè)的細(xì)致的任務(wù)，它需要以信息技術(shù)為基礎(chǔ)，以信息安全專業(yè)技術(shù)和技能為支撐，持續(xù)投入大量的人力和物力。今后，學(xué)校在信息系統(tǒng)建設(shè)和運(yùn)行過(guò)程中，將逐步實(shí)現(xiàn)區(qū)域防護(hù)和縱深防御，持續(xù)提升安全管理能力，并通過(guò)第三方專業(yè)安全服務(wù)機(jī)構(gòu)來(lái)落實(shí)日常安全運(yùn)維和應(yīng)急保障工作，持續(xù)提升學(xué)校信息系統(tǒng)的安全防護(hù)能力，構(gòu)建更加完備的信息安全保障體系。

參考文獻(xiàn)

[1] 《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》（國(guó)發(fā)〔2012〕23號(hào)）.

[2] 《關(guān)于印發(fā)北京市開(kāi)展信息安全等級(jí)保護(hù)安全整改工作實(shí)施方案的通知》（京公網(wǎng)安字[2010]1179號(hào)）.

[3] 教育部辦公廳.關(guān)于印發(fā)《教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南（試行）》的通知 （教技廳函〔2014〕74號(hào)）.

[4] 《信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T 25058-2010）.

[5] 陳華智，張聞，張華磊.網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施方案的設(shè)計(jì)及應(yīng)用實(shí)踐[J].浙江電力，2011年第3期.

[6] 梁藝軍.中國(guó)人民大學(xué)：信息安全等級(jí)保護(hù)下的校園網(wǎng)絡(luò)安全建設(shè)[J].中國(guó)網(wǎng)絡(luò)教育，2015年第1期.

作者簡(jiǎn)介：

李賡曦（1980-），男，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用、項(xiàng)目管理。

姚?。?980-），男，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：計(jì)算計(jì)網(wǎng)絡(luò)應(yīng)用。

牛晨（1990-），男，本科，工程師；主要研究方向和關(guān)注領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用。