教育行業(yè)信息系統(tǒng) 網(wǎng)絡(luò)安全風(fēng)險分析與安全防護措施研究

教育行業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險分析與安全防護措施研究彭楚風(fēng)呂建富摘要：隨著教育信息化的快速發(fā)展，大量教育信息系統(tǒng)迅速上線，網(wǎng)絡(luò)安全問題不容小覷。本文通過對攻防演習(xí)工作中發(fā)現(xiàn)的網(wǎng)絡(luò)安全問題進行風(fēng)險分析，并結(jié)合網(wǎng)絡(luò)安全法的相關(guān)要求，提出了如何做好網(wǎng)絡(luò)安全防護的建議。中圖分類號：G434

文獻標識碼：A

論文編號：1674-2117（2021）15-0097-04隨著移動互聯(lián)網(wǎng)、云計算和大數(shù)據(jù)為特征的新一輪信息技術(shù)的發(fā)展，我國教育信息化已進入融合應(yīng)用向創(chuàng)新發(fā)展轉(zhuǎn)型的2.0階段。[1]網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)安全風(fēng)險也進一步向現(xiàn)實世界滲透，為教育行業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全保障工作帶來諸多挑戰(zhàn)，如何確保教育行業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全成為迫切解決的問題?！裥畔⑾到y(tǒng)網(wǎng)絡(luò)安全風(fēng)險分析網(wǎng)絡(luò)安全的保障主要體現(xiàn)在兩個方面：第一是健全和落實安全管理體系，其中包括安全管理制度、機構(gòu)、人員安全、系統(tǒng)建設(shè)和運維管理五個方面;第二是搭建以基礎(chǔ)網(wǎng)絡(luò)建設(shè)、服務(wù)器安全、應(yīng)用系統(tǒng)安全和數(shù)據(jù)安全為核心組成部分的技術(shù)安全體系。[5]1.管理安全風(fēng)險目前，網(wǎng)絡(luò)安全管理的工作主要在管理制度、安全人才培養(yǎng)、安全培訓(xùn)三個方面存在不足。在安全人才培養(yǎng)方面，我國目前網(wǎng)絡(luò)安全人才形勢嚴峻，從業(yè)人員普遍在知識儲備、技能等方面存在短板，因此完善網(wǎng)絡(luò)安全人才培養(yǎng)體系成為重中之重。但目前各企事業(yè)單位、學(xué)校對第三方安全服務(wù)商過于依賴，自身的安全運維技術(shù)力量薄弱，特別是專業(yè)安全人員儲備匱乏，關(guān)鍵性技術(shù)崗位人力單薄。在安全培訓(xùn)方面，對在崗工作人員的網(wǎng)絡(luò)安全技能及安全認知的培訓(xùn)不夠全面和體系化，在處理應(yīng)急事件的過程中難免有疏漏。2.技術(shù)安全風(fēng)險隨著教育行業(yè)信息系統(tǒng)的數(shù)量越來越多、規(guī)模越來越大，在基礎(chǔ)設(shè)備、應(yīng)用安全和數(shù)據(jù)安全方面的風(fēng)險問題應(yīng)該引起重視。在應(yīng)用安全方面，大部分信息系統(tǒng)在設(shè)計和開發(fā)過程中對網(wǎng)絡(luò)安全方面考慮不足，如用戶權(quán)限劃分不明確，導(dǎo)致系統(tǒng)中存在越權(quán)漏洞;對系統(tǒng)登錄口令復(fù)雜的限制不嚴格，系統(tǒng)中存在弱口令賬戶;對用戶輸入的內(nèi)容過濾不嚴格，可能存在SQL注入及XSS漏洞等;部分操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)軟件版本較低，無法進行漏洞修復(fù)。在數(shù)據(jù)安全方面，隨著傳統(tǒng)網(wǎng)絡(luò)安全問題數(shù)據(jù)化，新型數(shù)據(jù)安全問題不斷涌現(xiàn)，在數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)分析等過程中存在隱患。教育類的業(yè)務(wù)數(shù)據(jù)存儲量大，數(shù)據(jù)類型多，進行數(shù)據(jù)治理工作則非常重要。在數(shù)據(jù)收集階段，數(shù)據(jù)分類分級既是數(shù)據(jù)治理的基礎(chǔ)，也是開展數(shù)據(jù)安全工作的前提，存在數(shù)據(jù)安全分級不匹配從而導(dǎo)致高敏感數(shù)據(jù)保護不足的風(fēng)險;在數(shù)據(jù)存儲階段，對于關(guān)鍵的業(yè)務(wù)系統(tǒng)如教務(wù)、一卡通等應(yīng)用系統(tǒng)，若遭遇機房火災(zāi)、斷電、網(wǎng)絡(luò)入侵、勒索病毒攻擊等可能導(dǎo)致數(shù)據(jù)丟失和業(yè)務(wù)中斷的危險事件的發(fā)生;在數(shù)據(jù)分析階段，如在利用大數(shù)據(jù)技術(shù)進行數(shù)據(jù)分析的時候，在制定個性化學(xué)習(xí)方案時，就需要獲取大量學(xué)生的敏感信息，存在數(shù)據(jù)泄露的風(fēng)險?！裥畔⑾到y(tǒng)網(wǎng)絡(luò)安全防護措施攻防演習(xí)工作結(jié)束以后，針對暴露的網(wǎng)絡(luò)安全問題進行分析，筆者在管理體系和技術(shù)兩個方面提出了以下網(wǎng)絡(luò)安全防護措施。1.管理體系措施在安全人才培養(yǎng)面，加強安全隊伍建設(shè)與資金投入，強化相關(guān)人員關(guān)于安全技術(shù)、安全管理的培訓(xùn)力度，完善網(wǎng)絡(luò)安全人才培養(yǎng)體系，增進與企業(yè)的安全技術(shù)交流，協(xié)同創(chuàng)新。2.技術(shù)安全措施在網(wǎng)絡(luò)安全技術(shù)體系方面，基礎(chǔ)網(wǎng)絡(luò)環(huán)境的安全保障是信息系統(tǒng)運行的重要前提。在基礎(chǔ)網(wǎng)絡(luò)建設(shè)過程中，需要根據(jù)信息的業(yè)務(wù)功能、特點及各業(yè)務(wù)系統(tǒng)的安全需求進行區(qū)域劃分，并根據(jù)業(yè)務(wù)節(jié)點重要程度，通過主、備形式部署流量控制器，對上網(wǎng)流量進行有效的控制，以保證帶寬的使用要求。在網(wǎng)絡(luò)設(shè)備上啟用雙鏈路，并加入互聯(lián)網(wǎng)防火墻、WAF、防DDOS設(shè)備等以加固基礎(chǔ)網(wǎng)絡(luò)。筆者建議網(wǎng)絡(luò)拓撲設(shè)計如右圖所示。網(wǎng)絡(luò)安全架構(gòu)劃分為互聯(lián)網(wǎng)接入?yún)^(qū)、核心交換區(qū)、數(shù)據(jù)備份區(qū)、安全管理區(qū)、服務(wù)器區(qū)（數(shù)據(jù)庫區(qū)、虛擬化區(qū)）、云服務(wù)器區(qū)6個區(qū)域?；ヂ?lián)網(wǎng)接入?yún)^(qū)通過移動網(wǎng)和教育網(wǎng)兩條鏈路外聯(lián)，經(jīng)過路由設(shè)備、安全設(shè)備連接到互聯(lián)網(wǎng)防火墻，然后接入到核心交換機，核心交換區(qū)部署智能流量管理系統(tǒng)和應(yīng)用層防火墻，服務(wù)器區(qū)、數(shù)據(jù)備份區(qū)、安全管理區(qū)、云服務(wù)區(qū)接入到核心交換區(qū)的核心交換機上，虛擬化區(qū)和數(shù)據(jù)庫區(qū)部署在服務(wù)器區(qū)，經(jīng)過匯聚交換機和WAF防火墻連接到核心交換區(qū)的防火墻上。在數(shù)據(jù)安全方面，根據(jù)業(yè)務(wù)功能需求劃分用戶的角色，不同角色訪問不同的功能模塊，提供安全審計功能，對系統(tǒng)后臺操作、用戶登錄登出、失敗登錄、系統(tǒng)訪問日志等行為進行記錄;對重要數(shù)據(jù)進行加密存儲，采用經(jīng)國家密碼主管部門認可的密碼技術(shù)，防止重要數(shù)據(jù)在存儲過程中泄露;利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地，實現(xiàn)異地數(shù)據(jù)異地備份，保證業(yè)務(wù)的連續(xù)性;用戶鑒別信息在認證結(jié)束后自動清除，只允許系統(tǒng)采集必要的個人信息。在后疫情時代，教育信息化程度越高，面臨的安全風(fēng)險就越高，網(wǎng)絡(luò)安全的保障工作就至關(guān)重要。為了保障教育系統(tǒng)的安全通暢運行，需要不斷完善安全管理體系，增強安全技術(shù)防護能力，加大網(wǎng)絡(luò)安全人才培養(yǎng)力度，關(guān)注網(wǎng)絡(luò)攻擊態(tài)勢，為教育信息化的高速發(fā)展提供強有力的安全支撐。[1]陳麗，李波，郭玉娟.等.“互聯(lián)網(wǎng)+”時代我國基礎(chǔ)教育信息化的新趨勢和新方向[J].電化教育研究，2017，038（05）：5-12.[2]吳云坤.網(wǎng)絡(luò)安全演習(xí)探索與實踐[J].中國信息安全，2019（01）：39-42.[3]劉陽.網(wǎng)絡(luò)安全攻防演練的部署與方案設(shè)計[J].信息安