陜西教育系統(tǒng)構(gòu)建網(wǎng)絡(luò)安全防護(hù)管理體系案例

劉賀英

“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全?！标兾魇墙逃笫。逃W(wǎng)站和系統(tǒng)有6800余個(gè)。做好全省教育系統(tǒng)網(wǎng)絡(luò)安全工作，是培養(yǎng)合格建設(shè)者和可靠接班人、落實(shí)立德樹(shù)人根本任務(wù)的必然要求。陜西省委教育工委、省教育廳高度重視網(wǎng)絡(luò)安全工作，建立黨委（黨組）“一把手”負(fù)總責(zé)的動(dòng)態(tài)通報(bào)機(jī)制、量化考核機(jī)制和防范預(yù)警機(jī)制，依托西北工業(yè)大學(xué)成立網(wǎng)絡(luò)安全研究應(yīng)用中心，建成教育網(wǎng)絡(luò)安全監(jiān)控預(yù)警平臺(tái)，實(shí)時(shí)監(jiān)測(cè)全省教育業(yè)務(wù)系統(tǒng)（網(wǎng)站），開(kāi)展教育系統(tǒng)網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練，舉辦網(wǎng)絡(luò)安全宣傳周和專題培訓(xùn)班，不斷提升全省教育系統(tǒng)網(wǎng)絡(luò)安全防護(hù)意識(shí)和應(yīng)急處置水平。各級(jí)教育行政部門和各級(jí)各類學(xué)校高度重視，統(tǒng)籌力量，集聚智慧，共同構(gòu)建網(wǎng)絡(luò)安全預(yù)警、監(jiān)測(cè)、防護(hù)、處置的良性生態(tài)體系，涌現(xiàn)出一批優(yōu)秀案例。

西安交通大學(xué)從實(shí)際出發(fā)，將《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）中安全技術(shù)應(yīng)遵循的“同步規(guī)劃、同步建設(shè)、同步使用”的“三同步”原則與信息系統(tǒng)建設(shè)工作深度融合，通過(guò)網(wǎng)絡(luò)安全制度、安全責(zé)任體系和網(wǎng)絡(luò)安全技術(shù)監(jiān)測(cè)和防護(hù)相結(jié)合的方式，形成了一套針對(duì)信息系統(tǒng)全生命周期的管理的方法，有效提升了信息系統(tǒng)總體安全防護(hù)水平。

一是建立健全管理細(xì)則，明確系統(tǒng)立項(xiàng)安全規(guī)劃。制定了《信息系統(tǒng)安全管理辦法》《信息系統(tǒng)基線安全設(shè)計(jì)要求》《數(shù)據(jù)安全管理規(guī)范》等一系列制度和技術(shù)文件。其中《信息系統(tǒng)安全管理辦法》明確提出要以“三同步”原則建立規(guī)范的信息系統(tǒng)全生命周期管理機(jī)制;《信息系統(tǒng)基線安全設(shè)計(jì)要求》為系統(tǒng)安全建設(shè)制定了包含5個(gè)大類、89個(gè)小項(xiàng)的WEB應(yīng)用基本安全基線要求;《數(shù)據(jù)安全管理規(guī)范》為信息系統(tǒng)數(shù)據(jù)獲取、使用、傳輸、共享、存儲(chǔ)等過(guò)程制定了詳細(xì)安全的管理規(guī)定。明確信息系統(tǒng)業(yè)務(wù)單位和開(kāi)發(fā)單位的安全責(zé)任，確保安全“同步規(guī)劃”及“同步建設(shè)”的有效落實(shí)。

二是構(gòu)建網(wǎng)絡(luò)安全“三步檢”，確保信息系統(tǒng)安全上線。為確保系統(tǒng)設(shè)計(jì)符合安全技術(shù)要求，建設(shè)時(shí)遵循了學(xué)校安全管理規(guī)定，西安交通大學(xué)建立了基線自查、漏洞掃描到滲透測(cè)試的網(wǎng)絡(luò)安全“三步檢”。其中基線自查有利于提升安全管理最短板;漏洞掃描則是用于排除低級(jí)錯(cuò)誤造成的安全隱患;而滲透測(cè)試則是網(wǎng)絡(luò)安全工作人員以黑客視角，模擬真實(shí)攻擊方法，對(duì)系統(tǒng)進(jìn)行攻擊測(cè)試。嚴(yán)格完成上述“三步檢”是信息系統(tǒng)安全運(yùn)行的核心要求。以2022年為例，25個(gè)系統(tǒng)完成安全滲透測(cè)試并上線運(yùn)行。其中18個(gè)系統(tǒng)存在高危及以上安全漏洞;共測(cè)出安全漏洞144個(gè)，其中高危漏洞55個(gè)，中危漏洞42個(gè)，低危漏洞47個(gè)。最常見(jiàn)的是信息泄露和各類越權(quán)漏洞，涉及10個(gè)系統(tǒng)。

三是建立“兩個(gè)”機(jī)制，破解日常安全監(jiān)測(cè)難題。網(wǎng)絡(luò)安全的動(dòng)態(tài)特性決定了信息系統(tǒng)運(yùn)營(yíng)過(guò)程的安全管理不能放松，為了解決日常監(jiān)測(cè)的難題，西安交通大學(xué)建立了“漏洞眾測(cè)”和“安全演練”兩個(gè)機(jī)制，筑牢校園安全防線。學(xué)校建立由安全管理人員、安全廠商和具有網(wǎng)絡(luò)安全專業(yè)背景的師生組成專業(yè)的“攻防團(tuán)隊(duì)”，日常性地對(duì)信息系統(tǒng)進(jìn)行“漏洞眾測(cè)”，周期性地開(kāi)展“安全演練”。在該過(guò)程中如發(fā)現(xiàn)安全漏洞，可利用學(xué)校的網(wǎng)絡(luò)安全漏洞管理平臺(tái)進(jìn)行通報(bào)和處置。眾測(cè)活動(dòng)從2020年底開(kāi)始，截至目前共自主發(fā)現(xiàn)通報(bào)漏洞110個(gè)。

四是引入系統(tǒng)退出機(jī)制，避免出現(xiàn)“僵尸”系統(tǒng)。系統(tǒng)退出環(huán)節(jié)分為主動(dòng)退出和被動(dòng)退出。無(wú)論哪種退出方式，業(yè)務(wù)單位對(duì)應(yīng)的安全責(zé)任也隨之終結(jié)。從信息系統(tǒng)出生、上線、使用到退出，四個(gè)階段層層推進(jìn)，有效落實(shí)了《網(wǎng)絡(luò)安全法》對(duì)“三同步”原則的安全要求，全面提升校園信息系統(tǒng)的安全質(zhì)量。強(qiáng)化安全工作前移，降低后期安全運(yùn)維壓力，確保了信息系統(tǒng)不“帶病上崗”，不“帶病運(yùn)行”，為做好校園網(wǎng)絡(luò)安全保障起到了關(guān)鍵的作用。隨著學(xué)校信息系統(tǒng)生命周期管理的制度和架構(gòu)設(shè)計(jì)越來(lái)越完善，管理手段越來(lái)越精細(xì)，效果也逐步體現(xiàn)。針對(duì)信息系統(tǒng)漏洞的“人民戰(zhàn)爭(zhēng)”，有效破解日常安全監(jiān)測(cè)難題。從教育部教育漏洞監(jiān)測(cè)平臺(tái)的數(shù)據(jù)看，西安交通大學(xué)監(jiān)測(cè)到的風(fēng)險(xiǎn)全國(guó)排名從2019年的第9位下降至2022年的第36位，由此可以看出學(xué)校信息系統(tǒng)的網(wǎng)絡(luò)整體安全防護(hù)能力大幅提升。學(xué)校還構(gòu)建校企合作的“攻防團(tuán)隊(duì)”，一方面最大程度地為學(xué)校爭(zhēng)取到網(wǎng)絡(luò)安全公司的優(yōu)質(zhì)資源，另一方面也為學(xué)校網(wǎng)絡(luò)安全人才培養(yǎng)提供了實(shí)戰(zhàn)平臺(tái)，是對(duì)高校人才培養(yǎng)的探索和補(bǔ)充。參與過(guò)此項(xiàng)工作的學(xué)生也取得了一系列成績(jī)，2021年參加中國(guó)大學(xué)生信息安全競(jìng)賽CTF比賽中晉級(jí)決賽，2022年在西部賽區(qū)191支戰(zhàn)隊(duì)中取得第10名的成績(jī)。網(wǎng)絡(luò)安全管理團(tuán)隊(duì)參加2021年陜西省安全技能大賽，在決賽中取得三等獎(jiǎng)。

西北工業(yè)大學(xué)從管理、技術(shù)、人員、實(shí)戰(zhàn)四個(gè)方面建立立體化的網(wǎng)絡(luò)安全防護(hù)體系，將網(wǎng)絡(luò)安全建設(shè)與管理化“被動(dòng)防護(hù)”為“主動(dòng)防御”，日均抵御110萬(wàn)次網(wǎng)絡(luò)攻擊，2021年全年完成10680次信息系統(tǒng)測(cè)試，印發(fā)信息安全文件81份，安全威脅最快在12分鐘內(nèi)處理完畢。

一是統(tǒng)籌“管理”，做到“定職責(zé)、抓落實(shí)”。加強(qiáng)組織領(lǐng)導(dǎo)，建立專項(xiàng)工作領(lǐng)導(dǎo)小組統(tǒng)籌負(fù)責(zé)全校的網(wǎng)絡(luò)與信息系統(tǒng)安全管理，上下聯(lián)動(dòng)一盤棋。完善制度建設(shè)，構(gòu)建長(zhǎng)效機(jī)制，制定了《西北工業(yè)大學(xué)網(wǎng)絡(luò)與信息系統(tǒng)安全管理辦法》，全面落實(shí)網(wǎng)絡(luò)安全工作責(zé)任制。堅(jiān)持日常巡查和監(jiān)測(cè)預(yù)警，嚴(yán)格督查整改。

二是夯實(shí)“技術(shù)”，做到“看得見(jiàn)、防得住”。強(qiáng)化網(wǎng)絡(luò)安全態(tài)勢(shì)感知，通過(guò)自建開(kāi)發(fā)結(jié)合多套網(wǎng)絡(luò)安全設(shè)備將資產(chǎn)現(xiàn)狀、威脅情報(bào)、防御效果、處置能力“可視化”，對(duì)所有信息系統(tǒng)的安全狀況進(jìn)行全生命周期管理，所有過(guò)程留痕化記錄，讓安全數(shù)據(jù)看得見(jiàn)。加強(qiáng)技術(shù)防護(hù)，采用三層防御的布局結(jié)構(gòu)分級(jí)抵御各類攻擊，分別為云防護(hù)、校園網(wǎng)出口以及數(shù)據(jù)中心核心出口，建立了包括網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)防病毒軟件等一系列技術(shù)防護(hù)手段。嚴(yán)格按照國(guó)家要求開(kāi)展信息系統(tǒng)等級(jí)測(cè)評(píng)，建立信息系統(tǒng)白名單，實(shí)施年審制度。

三是注重“人員”，做到“強(qiáng)意識(shí)、建隊(duì)伍”。關(guān)注管理者、教師和學(xué)生等三類重點(diǎn)人員，提升整體安全意識(shí)。建設(shè)專業(yè)隊(duì)伍，提升關(guān)鍵能力，由專業(yè)技能較強(qiáng)的信息化處技術(shù)團(tuán)隊(duì)和兼職技術(shù)團(tuán)隊(duì)共同保障網(wǎng)絡(luò)安全。將校園網(wǎng)絡(luò)安全環(huán)境逐步打造成實(shí)戰(zhàn)靶場(chǎng)，組織有專業(yè)特長(zhǎng)的學(xué)生參加網(wǎng)絡(luò)安全工作，拓展技術(shù)隊(duì)伍。加強(qiáng)宣傳，提升全員網(wǎng)絡(luò)安全素養(yǎng)。

四是強(qiáng)化“實(shí)戰(zhàn)”，做到“實(shí)網(wǎng)戰(zhàn)、主動(dòng)戰(zhàn)”。在網(wǎng)絡(luò)安全建設(shè)和防護(hù)中均以實(shí)網(wǎng)環(huán)境為根本，主動(dòng)發(fā)現(xiàn)和消除實(shí)網(wǎng)上存在的安全隱患。建立主動(dòng)防御的工作機(jī)制，主動(dòng)探測(cè)攻擊來(lái)源持續(xù)實(shí)時(shí)阻斷。開(kāi)展攻防對(duì)抗，建設(shè)隊(duì)伍提升能力。學(xué)校網(wǎng)絡(luò)安全建設(shè)成效顯著，五年來(lái)獲得網(wǎng)絡(luò)安全類獎(jiǎng)項(xiàng)共計(jì)32次，先后在陜西省教育廳、中國(guó)高等教育學(xué)會(huì)信息化分會(huì)、高校CIO論壇等多個(gè)重要會(huì)議介紹網(wǎng)絡(luò)安全建設(shè)經(jīng)驗(yàn)，受到廣大同行的關(guān)注。今后，學(xué)校將持續(xù)加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，以實(shí)戰(zhàn)為根本，不斷完善網(wǎng)絡(luò)安全體系、培養(yǎng)網(wǎng)絡(luò)安全尖端人才。

隨著教育信息化的快速推進(jìn)，教育信息系統(tǒng)面臨的網(wǎng)絡(luò)安全形勢(shì)也日趨嚴(yán)峻，做好教育系統(tǒng)網(wǎng)絡(luò)安全工作愈加重要。陜西省委教育工委、省教育廳高度重視網(wǎng)絡(luò)安全工作，從組織機(jī)制、平臺(tái)建設(shè)、實(shí)戰(zhàn)演練、宣傳培訓(xùn)等方面構(gòu)建陜西教育系統(tǒng)網(wǎng)絡(luò)安全預(yù)警、檢測(cè)、防護(hù)、處置“四位一體”的管理體系。在此，建議相關(guān)單位根據(jù)自身情況和業(yè)務(wù)特點(diǎn)，制定有針對(duì)性的網(wǎng)絡(luò)安全防護(hù)體系化機(jī)制，推動(dòng)陜西省教育系統(tǒng)網(wǎng)絡(luò)安全工作更上新臺(tái)階。

作者單位：陜西省教育廳