基于等级保护制度的校园网络安全建设实践
来源:用户上传
作者:
【 摘 要 】 北京市昌平区教师进修学校承担昌平区普教系统及教研、中小学干部教师培训、现代教育信息技术开发和传播工作,其网络和信息系统的安全稳定运行对师生的意义重大。文章基于等级保护制度要求,阐述了北京市昌平区教师进修学校在网络安全建设中的实践经验。
【 关键词 】 信息安全;等级保护;学校
【 Abstract 】 Beijing Changping Teachers Training School bear the Changping District general education research and scientific research, primary and secondary school teachers training, modern education information technology development and dissemination。The safe and stable operation of the network and information system significance of the teachers and students of major. Based on the classified protection, this paper expounds the practical experience of the construction of network security in our school.
【 Keywords 】 information security; classified protection; school
1 引言
2012年6月,国务院发布《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号),强调推进信息化发展和保障信息安全对调整经济结构、转变发展、保障和改善民生、维护国家安全具有重要意义,明确指出健全安全防护和管理,保障重点领域信息安全以及加快能力建设,提升网络与信息安全保障水平为后期的工作重点。同时,为进一步加强教育行业信息安全工作,教育部办公厅2014年印发了《教育行业信息系统安全等级保护定级工作指南(试行)》的通知(教技厅函〔2014〕74号),用于指导和规范教育行业信息系统安全等级保护定级工作。
党中央、国务院、教育部以及北京市有关信息化、信息安全的指示和要求十分具体且符合实际,对做好北京市昌平区教师进修学校信息化建设、切实保障信息安全有很强的指导意义。北京市昌平区教师进修学校近几年对教育信息化的投入比重逐步加大,经过多年来的发展,已经在基础设施、应用系统、资源应用等方面取得了一定成绩,学校网络和信息中心已经成为全区教育城域网络的汇聚中心,全区优质教学资源的汇聚和共享中心,全区音视频资源的存储中心,全区信息网络安全控制中心,全区应用系统平台管理中心等。为了贯彻落实国家信息安全等级保护制度,规范和落实全国教育行业信息安全等级保护工作,学校在校园网络安全建设方面按照等级保护的相关要求,完善了安全保障体系,提高了对信息系统安全防御能力。
2 信息化发展和安全防护的关系
在中央网信办第一次会议中,党中央领导提出了“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。”
随着学校多年来信息化程度的不断提高,现代化教育业务发展对信息系统的依赖程度也不断增加,网上信息的价值也逐渐增大,随之而来的信息安全问题也日渐凸显。昌平进修学校网络和信息中心汇集了全区教师、学生的档案资料、考试信息、优秀教学资料等敏感和重要信息,对系统的安全性要求较高,一旦系统遭受攻击,或发生大规模病毒爆发、设备损坏等安全事件,就有可能导致系统无法提供正常服务、数据信息损坏甚至业务敏感信息遭泄漏,将严重侵害单位和教师、学生等个人利益,同时也对昌平区教委的声誉带来极大的负面影响。因此,通过校园网络安全建设,可以降低学校信息系统安全风险,提升信息系统安全服务水平和加强安全管理能力,发挥行业信息化带动作用,构建安全、可信的信息系统运营环境,提升信息系统安全综合防护能力和风险处置能力。
3 校园网络安全建设实践
为了建立安全、稳定、规范的网络安全保障体系,学校通过邀请专业的第三方安全公司,协助完善网络区域边界防护、入侵防御、安全审计等措施,实现学校信息系统数据的安全性保护,满足业务发展需要的同时,满足为学校信息系统通过信息系统安全等级保护测评的网络安全要求。
3.1 摸清差距,明确网络安全改进目标
根据教育部要求,北京市昌平区教师进修学校信息系统应按照国家信息安全等级保护工作规范和《信息系统安全等级保护基本要求》等国家标准进行建设,通过对照检查,分析判断目前网络安全保护措施与等级保护标准二级要求之间的差距,为后续保护体系设计工作提供依据。
3.1.1技术差距检测
通过采用安全扫描、手动检查、问卷调查、人工问询等方式,对网络与安全设备、网络架构进行网络安全符合性检查,主要包含结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。发现学校网络边界缺少必要的安全防护和检测设备,安全域的划分不够精细,网络设备的安全配置方面也存在不足。
3.1.2管理差距检测
通过访谈和检查的形式评估安全管理制度的制定、发布、评审和修订等情况,安全管理机构的组成和工作组织情况,并对人员安全控制、系统建设管理过程和系统运维中的安全控制情况进行分析。发现学校安全管理体系文件不完善,包括未制定设备管理规范、授权和审批管理规范和防病毒管理规范等制度,对网络建设和运维的全过程安全控制措施也存在不足的情况。 3.2 完善安全管理制度,落实安全工作保障机制
以等级保护差距分析结果为依据,按照等级保护标准要求,制定安全管理框架,明确管理方针、策略,以及相应的规定、操作规程、业务流程和记录表单,建立信息安全管理体系。
3.2.1构建具有本校特色的信息安全管理框架
结合学校实际情况,建立信息安全工作总体方针、安全策略,以方针策略为依据建立配套的安全管理制度及流程规范,涵盖日常运维管理、安全管理、系统开发建设等方面的内容,由专门的组织机构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订,确保安全管理制度的适用性。
3.2.2构架信息系统全生命周期的安全管理体系
为了实现信息系统的安全管理贯穿系统的整个生命周期,分别从工程实施建设前、建设过程以及建设完毕交付运行等三方面考虑,具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面,并做到日常运行期间的安全监测、漏洞发现和安全加固等,实现信息系统安全持续优化。
3.2.3完成应急保障措施
通过制定综合应急预案和各类专项应急预案,定期组织应急演练,明确信息安全事件的处置原则,熟练掌握并持续优化处置流程,不断增强对于信息安全事件处理的水平。
3.3 开展技术整改,提高应对风险的水平
技术的持续发展对信息安全带来了新的挑战,学校网络建设前期重点关注互联互通和基础网络建设,在安全防护方面存在比较大的短板,通过此次网络安全建设实践,落实控制技术,降低了安全风险。
3.3.1提高网络防护和检测能力
在互联网边界了万兆防火墙,实现了内外网的隔离,保障内网的相对安全。在城域网核心交换机部署入侵检测和网络审计设备,实现了外网入侵行为的发现和对内部网络各种操作的记录,保障了对网络入侵行为的监测,做到早发现,早处置。在网站应用前部署一台Web防火墙,实现了针对HTTP协议攻击的深层次防御,提高了网站系统的安全防护能力。
3.3.2实现运维实名审计
通过划分安全管理域,部署一台堡垒主机和一台数字签名验证系统,可以实现服务器、网络设备、安全设备的实名登录,同时详细记录实名用户登录设备的详细操作,提高了事中监控和事后追查审计的能力。
3.4 开展备案和测评工作,落实等级保护工作
在完成管理和技术整改后,为信息系统技术防范、安全管理、运维保障提供了必要的基础条件,我校也对自身信息系统情况进行了详细梳理,逐步落实等级保护相关工作要求。
3.4.1落实信息系统定级备案工作
通过对未定级的信息系统进行调研,按照《教育行业信息系统安全等级保护定级工作指南(试行)》的要求,了解信息系统的服务对象、服务范围、基本的功能用途,依赖的软硬件资产等,确定信息系统业务信息的安全级别和系统服务级别,进而确定信息系统的安全级别,编写《信息安全等级保护定级报告》和《信息安全等级保护备案表》,并向公安机关进行备案。
3.4.2邀请测评机构,开展信息安全等级测评
通过邀请具备相应信息安全等级保护测评资质的机构对学校信息系统开展等级测评,并产生测评结果报告,来确认检测对象确认是否符合相应等级要求。经测评,定级的信息系统达到安全保护等级要求,并满足系统自身安全保护需求,最终通过等级测评,使信息系统满足国家等级保护基本要求。
4 结束语
实践证明,信息安全保障体系建设是一项涵盖体制、标准、技术、产品、服务等诸要素的复杂的系统工程,是一个长期性的专业的细致的任务,它需要以信息技术为基础,以信息安全专业技术和技能为支撑,持续投入大量的人力和物力。今后,学校在信息系统建设和运行过程中,将逐步实现区域防护和纵深防御,持续提升安全管理能力,并通过第三方专业安全服务机构来落实日常安全运维和应急保障工作,持续提升学校信息系统的安全防护能力,构建更加完备的信息安全保障体系。
参考文献
[1] 《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号).
[2] 《关于印发北京市开展信息安全等级保护安全整改工作实施方案的通知》(京公网安字[2010]1179号).
[3] 教育部办公厅.关于印发《教育行业信息系统安全等级保护定级工作指南(试行)》的通知 (教技厅函〔2014〕74号).
[4] 《信息安全技术-信息系统安全等级保护实施指南》(GB/T 25058-2010).
[5] 陈华智,张闻,张华磊.网络安全等级保护实施方案的设计及应用实践[J].浙江电力,2011年第3期.
[6] 梁艺军.中国人民大学:信息安全等级保护下的校园网络安全建设[J].中国网络教育,2015年第1期.
作者简介:
李赓曦(1980-),男,本科,工程师;主要研究方向和关注领域:计算机网络应用、项目管理。
姚健(1980-),男,本科,工程师;主要研究方向和关注领域:计算计网络应用。
牛晨(1990-),男,本科,工程师;主要研究方向和关注领域:计算机网络应用。
转载注明来源:https://www.xzbu.com/1/view-11312596.htm
