【摘 要】網(wǎng)絡(luò)安全在今天的重要性不言而喻。本文全面闡述了區(qū)域教育系統(tǒng)網(wǎng)絡(luò)安全管理體系的建設(shè)要點(diǎn)，包括制定并動(dòng)態(tài)調(diào)整安全管理制度、采用先進(jìn)安全防護(hù)技術(shù)，以及強(qiáng)化網(wǎng)絡(luò)運(yùn)營(yíng)者與使用者的保障措施，旨在構(gòu)建一個(gè)適應(yīng)復(fù)雜網(wǎng)絡(luò)安全環(huán)境的穩(wěn)固體系，確保教育應(yīng)用平臺(tái)與系統(tǒng)的長(zhǎng)期安全穩(wěn)定。

【關(guān)鍵詞】區(qū)域網(wǎng)絡(luò)安全；管理體系；建設(shè)實(shí)踐

【中圖分類號(hào)】G434 【文獻(xiàn)標(biāo)志碼】B

【論文編號(hào)】1671-7384（2024）011-036-02

當(dāng)前，網(wǎng)絡(luò)安全面臨的挑戰(zhàn)越來越大，因此，制定好網(wǎng)絡(luò)安全制度并嚴(yán)格執(zhí)行是必須重視的工作。我國從2017年正式發(fā)布《網(wǎng)絡(luò)安全法》以來，七年里，《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等各項(xiàng)相關(guān)法律法規(guī)相繼出臺(tái)，各項(xiàng)規(guī)章制度逐步完善，國家網(wǎng)絡(luò)安全管理框架已經(jīng)基本形成。雖然各項(xiàng)法律法規(guī)逐漸落實(shí)到區(qū)域教育領(lǐng)域，但建立區(qū)域教育系統(tǒng)網(wǎng)絡(luò)管理體系，仍然需要從具體的管理工作出發(fā)，其中涉及區(qū)域網(wǎng)絡(luò)安全管理制度建設(shè)、網(wǎng)絡(luò)安全防護(hù)技術(shù)建設(shè)、網(wǎng)絡(luò)安全管理保障措施等。本文將區(qū)域網(wǎng)絡(luò)安全實(shí)踐作為研究對(duì)象，闡述區(qū)域網(wǎng)絡(luò)安全管理體系建設(shè)的要點(diǎn)。

區(qū)域網(wǎng)絡(luò)安全制度建設(shè)的基本要求

在等級(jí)保護(hù)2.0制度框架下，安全管理制度建設(shè)是安全管理要求中的一項(xiàng)重要內(nèi)容[1]。在第三級(jí)安全要求中明確指出，管理制度應(yīng)對(duì)安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度；應(yīng)對(duì)管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程；應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度體系。由此看來，制度建設(shè)不僅應(yīng)作為安全管理要求中的一項(xiàng)內(nèi)容，還應(yīng)作為整個(gè)管理體系的基礎(chǔ)。我們認(rèn)為，區(qū)域安全制度建設(shè)應(yīng)滿足以下幾項(xiàng)基本要求。

1.區(qū)域網(wǎng)絡(luò)安全制度是對(duì)國家法律、制度的具化

從網(wǎng)絡(luò)運(yùn)營(yíng)者視角出發(fā)，制度建設(shè)應(yīng)滿足國家網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法等各項(xiàng)法律法規(guī)的基本要求[2]，并匹配市、區(qū)、校聯(lián)動(dòng)機(jī)制。制度建設(shè)應(yīng)保持與國家法律、制度的一致性，不能與國家法律制度產(chǎn)生矛盾。在滿足各項(xiàng)法律法規(guī)的基礎(chǔ)上，區(qū)域安全制度建設(shè)還應(yīng)重點(diǎn)考慮網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。

2.區(qū)域網(wǎng)絡(luò)安全制度建設(shè)應(yīng)適合實(shí)際情況

區(qū)域網(wǎng)絡(luò)安全管理者需考慮本區(qū)域網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)應(yīng)用的特點(diǎn)進(jìn)行制度建設(shè)。每個(gè)特定區(qū)域的城域網(wǎng)接入學(xué)校數(shù)量各不相同，網(wǎng)絡(luò)設(shè)備性能有所差別，網(wǎng)絡(luò)應(yīng)用所涉及的業(yè)務(wù)不盡相同，敏感數(shù)據(jù)量級(jí)、數(shù)據(jù)交換量、終端用戶數(shù)量也有很大區(qū)別。同時(shí)，等級(jí)保護(hù)制度要求定期對(duì)安全管理制度的合理性和適用性進(jìn)行論證和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂，因此，制度建設(shè)應(yīng)與本區(qū)域的實(shí)際情況相匹配。

3.區(qū)域網(wǎng)絡(luò)安全制度建設(shè)是動(dòng)態(tài)而非靜態(tài)建設(shè)

根據(jù)等級(jí)保護(hù)第三級(jí)系統(tǒng)的管理制度制定和發(fā)布要求，區(qū)域網(wǎng)絡(luò)安全制度的建設(shè)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)，安全管理制度應(yīng)通過正式、有效的方式發(fā)布，并進(jìn)行版本控制。這意味著管理制度需定期進(jìn)行動(dòng)態(tài)更新。從控制過程看，具體的版本應(yīng)具備至少兩種控制方式：第一，在發(fā)現(xiàn)制度的不合理性和不適應(yīng)性時(shí)，及時(shí)進(jìn)行小范圍制度修訂。第二，定期進(jìn)行制度梳理，進(jìn)行較大范圍的制度版本修訂。

區(qū)域網(wǎng)絡(luò)安全防護(hù)的技術(shù)建設(shè)

1.以滿足等級(jí)保護(hù)基本要求為目標(biāo)

最新國家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》對(duì)各等級(jí)系統(tǒng)安全技術(shù)的要求有明確描述，涉及安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心五大分類。滿足這些技術(shù)要求，需要配備相應(yīng)的安全環(huán)境、管理設(shè)備和軟件技術(shù)，如安全區(qū)域邊界的訪問控制，就需配備硬件防火墻進(jìn)行不同安全域之間的隔離阻斷。以第三級(jí)安全為例，涉及技術(shù)方面的第四層指標(biāo)多達(dá)96項(xiàng)，安全防護(hù)技術(shù)要求體系完整，在等級(jí)保護(hù)測(cè)評(píng)中，要以滿足等級(jí)保護(hù)基本要求為目標(biāo)，同時(shí)應(yīng)注意不同級(jí)別的安全要求，不能一刀切，以免給學(xué)校工作帶來不利影響。

2.態(tài)勢(shì)感知、云監(jiān)測(cè)的有效運(yùn)用

態(tài)勢(shì)感知能夠?qū)崟r(shí)對(duì)網(wǎng)絡(luò)中的流量進(jìn)行監(jiān)控與分析，區(qū)分正常流量和可疑流量，結(jié)合威脅情報(bào)、規(guī)則引擎、文件虛擬執(zhí)行、機(jī)器學(xué)習(xí)等技術(shù)，對(duì)事件進(jìn)行研判和回溯，采用可視化技術(shù)清晰展示網(wǎng)絡(luò)中的威脅，展示每日的告警詳情。運(yùn)維人員可以根據(jù)告警詳情，判斷是否為攻擊事件，及時(shí)處理相關(guān)安全隱患。云監(jiān)測(cè)服務(wù)周期性地提供安全漏洞檢測(cè)，自動(dòng)更新檢測(cè)規(guī)則，全面、快捷識(shí)別網(wǎng)站存在的最新漏洞，針對(duì)資產(chǎn)進(jìn)行全面掃描，將掃描出的信息，通過分析模型及海量樣本庫加權(quán)判斷，可檢測(cè)出網(wǎng)站是否被仿冒、網(wǎng)頁是否被掛木馬、網(wǎng)頁是否被篡改等安全威脅，加上能及時(shí)告警，問題可得到快速處理。通過部署以上服務(wù)，區(qū)域網(wǎng)絡(luò)整體環(huán)境可得到凈化，安全性顯著提升。

3.網(wǎng)絡(luò)應(yīng)用登記和漏洞掃描

“網(wǎng)絡(luò)應(yīng)用登記”是區(qū)域網(wǎng)絡(luò)應(yīng)用資產(chǎn)管理平臺(tái)，各學(xué)校按照要求在線登記應(yīng)用、網(wǎng)站、IP、端口等詳細(xì)情況，不斷更新“網(wǎng)絡(luò)應(yīng)用登記”電子信息臺(tái)賬。管理者根據(jù)臺(tái)賬中的信息開通相關(guān)策略，清理“雙非網(wǎng)站”和“僵尸網(wǎng)站”等網(wǎng)絡(luò)應(yīng)用。安全漏洞是導(dǎo)致網(wǎng)絡(luò)安全問題存在的主要因素[3]，根據(jù)電子信息臺(tái)賬，管理者每月對(duì)系統(tǒng)主機(jī)進(jìn)行漏洞掃描，及時(shí)發(fā)現(xiàn)漏洞。漏洞掃描系統(tǒng)在完成評(píng)估過程后，會(huì)生成詳細(xì)報(bào)告，報(bào)告內(nèi)容包括漏洞名稱、漏洞的嚴(yán)重程度、建議的修復(fù)措施等。這份報(bào)告作為進(jìn)行安全修復(fù)和加固的依據(jù)，安全運(yùn)維人員結(jié)合教育行業(yè)SRC平臺(tái)進(jìn)行分析，可綜合判斷漏洞來源信息。相關(guān)系統(tǒng)負(fù)責(zé)人員需按時(shí)根據(jù)建議及時(shí)修復(fù)高危漏洞，從而采取有效措施，降低安全風(fēng)險(xiǎn)，提高系統(tǒng)的防御能力，降低被網(wǎng)絡(luò)攻擊的概率。

區(qū)域網(wǎng)絡(luò)安全管理保障措施建設(shè)

區(qū)域網(wǎng)絡(luò)安全管理者應(yīng)充分認(rèn)識(shí)到制度落實(shí)和技術(shù)防護(hù)任務(wù)的艱巨性，從運(yùn)營(yíng)者角度和使用者角度，均需采取行之有效的保障措施。

1．網(wǎng)絡(luò)運(yùn)營(yíng)者角度的保障措施

區(qū)級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)者需提升網(wǎng)絡(luò)安全整體規(guī)劃能力，做好中長(zhǎng)期網(wǎng)絡(luò)安全頂層設(shè)計(jì)，設(shè)置年、季、月度目標(biāo)，加強(qiáng)執(zhí)行力，制定每周安全工作指標(biāo)；加強(qiáng)技術(shù)能力研究，提升技術(shù)保障水平，采用領(lǐng)先的技術(shù)服務(wù)，保障網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、軟件、服務(wù)、人力、應(yīng)急響應(yīng)與恢復(fù)等資金預(yù)算投入；采用市、區(qū)、校三級(jí)聯(lián)絡(luò)員聯(lián)動(dòng)機(jī)制，定期進(jìn)行應(yīng)急演練。網(wǎng)絡(luò)運(yùn)營(yíng)者要加強(qiáng)數(shù)據(jù)安全管理，不斷深化對(duì)數(shù)據(jù)法治治理體系建設(shè)的認(rèn)識(shí)，完善數(shù)據(jù)治理體制機(jī)制，自上而下全面推進(jìn)數(shù)據(jù)治理實(shí)際工作[4]。重要保護(hù)時(shí)期應(yīng)加強(qiáng)應(yīng)急值守，嚴(yán)格落實(shí)零報(bào)告制度。

2．使用者角度的保障措施

從個(gè)人視角出發(fā)，我們可依托宣傳周、培訓(xùn)、講座等宣傳途徑，提升廣大師生網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全技術(shù)能力；可開展網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，培訓(xùn)內(nèi)容納入教師信息素養(yǎng)提升培訓(xùn)計(jì)劃中，作為每位教師必須參加的培訓(xùn)課程；可定期發(fā)布安全案例，讓更多教師、學(xué)生懂得保護(hù)自己；可經(jīng)常性提供網(wǎng)絡(luò)安全技術(shù)提示，推行密碼管理、辦公防病毒等技術(shù)防御措施，下發(fā)安全提示材料至各學(xué)校，確保文件發(fā)送到每位教師和學(xué)生手中，提升師生網(wǎng)絡(luò)安全技能，以實(shí)踐促師生信息素養(yǎng)的提升[5]。

注：本文系北京市昌平區(qū)教育網(wǎng)絡(luò)安全管理實(shí)踐研究課題（課題立項(xiàng)號(hào)：BENIC2021140002）研究成果

參考文獻(xiàn)

李帥. 基于等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的企業(yè)網(wǎng)絡(luò)安全管理體系建設(shè)[J]. 中國新通信，2023，25（4）： 99-101.

李經(jīng)，趙亞哲，董玥秀. 基于法治維度探討網(wǎng)絡(luò)運(yùn)營(yíng)者網(wǎng)絡(luò)安全管理制度[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2024（2）： 132-134.

朱斌勇. 數(shù)字化轉(zhuǎn)型背景下高校網(wǎng)絡(luò)安全保障措施研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2024（2）： 70-72.

左曉棟. 我國數(shù)據(jù)安全法治治理體系建設(shè)的回顧與展望[J]. 國家治理，2023（23）： 32-37.

程欣. 區(qū)域一體化網(wǎng)絡(luò)安全防護(hù)體系建設(shè)實(shí)踐[J]. 實(shí)驗(yàn)教學(xué)與儀器，2023，40（2）： 118-120.