教育行业信息系统-网络安全风险分析与安全防护措施研究.docxVIP

教育行业信息系统网络安全风险分析与安全防护措施研究

作者：彭楚风吕建富

来源：《中国信息技术教育》2021年第15期

????????摘要：随着教育信息化的快速发展，大量教育信息系统迅速上线，网络安全问题不容小觑。本文通过对攻防演习工作中发现的网络安全问题进行风险分析，并结合网络安全法的相关要求，提出了如何做好网络安全防护的建议。

????????关键词：教育信息化;风险分析;安全防护措施

????????中图分类号：G434文献标识码：A论文编号：1674-2117（2021）15-0097-04

????????●引言

????????随着移动互联网、云计算和大数据为特征的新一轮信息技术的发展，我国教育信息化已进入融合应用向创新发展转型的2.0阶段。[1]网络攻击等网络安全风险也进一步向现实世界渗透，为教育行业信息系统的网络安全保障工作带来诸多挑战，如何确保教育行业信息系统的网络安全成为迫切解决的问题。

????????根据《中华人民共和国网络安全法》及《国家网络安全事件应急预案》等法律法规要求，国家级的攻防演练已经成为检验网络强国建设的重要手段。[2]攻防演练通常是在真实网络环境下对参演单位目标系统进行全程可控、可审计的实战攻击，拟通过演练检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。[3]近几年，我国较大规模的攻防演习主要包括公安机关组织的针对关键信息基础设施的攻防演习、各部委组织的对各省和直属单位重要系统的攻防演习以及大型企业组织对下属单位重要系统的攻防演习。

????????本文将对中央电化教育馆的信息系统参加2020年教育部攻防演习工作中发现的问题进行分析，结合网络安全法的相关要求，总结教育行业信息系统网络安全风险特点，并提出相应的安全防护措施。

????????●信息系统网络安全风险分析

????????按照信息系统主管单位的不同，教育行业信息系统分为“教育行政部门及其直属事业单位信息系统”和“学校信息系统”两类。2018年的教育数据统计显示，教育行业信息系统平台网站主要有涉及用户人员多、系统数量多、数据多三个特点[4]，这对网络安全保障能力提出了更高的要求，在完善管理体系，保障应用安全、数据安全、业务连续性等方面将面临更大的挑战。

????????网络安全的保障主要体现在两个方面：第一是健全和落实安全管理体系，其中包括安全管理制度、机构、人员安全、系统建设和运维管理五个方面;第二是搭建以基础网络建设、服务器安全、应用系统安全和数据安全为核心组成部分的技术安全体系。[5]

????????结合笔者所在单位参加2020年教育部攻防演习的工作情况，笔者认为教育行业信息系统存在的网络安全风险主要涉及以下几个方面。

????????1.管理安全风险

????????目前，網络安全管理的工作主要在管理制度、安全人才培养、安全培训三个方面存在不足。

????????在管理制度方面，虽然随着《中华人民共和国网络安全法》的实施，各企事业单位、学校等网络安全管理制度不断完善，但在安全运维管理的规范性方面仍存在不足，如对软硬件资产的梳理不够清晰，掌握不够全面，影响应急措施的实施;由于历史原因，信息系统越来越多，架构复杂不一，早期建设的部分信息系统的安全管理存在漏洞，如开发时安全性考虑不足，存在无人维护的信息系统，造成了极大的安全隐患;域名管理体系不够完善，存在不使用的域名未及时注销的情况，存在链接不法网站的风险。部分核心开发、运维人员的重要数据保密性管理不足，保存在可连外网的设备上，存在泄露的风险。

????????在安全人才培养方面，我国目前网络安全人才形势严峻，从业人员普遍在知识储备、技能等方面存在短板，因此完善网络安全人才培养体系成为重中之重。但目前各企事业单位、学校对第三方安全服务商过于依赖，自身的安全运维技术力量薄弱，特别是专业安全人员储备匮乏，关键性技术岗位人力单薄。

????????在安全培训方面，对在岗工作人员的网络安全技能及安全认知的培训不够全面和体系化，在处理应急事件的过程中难免有疏漏。

????????2.技术安全风险

????????随着教育行业信息系统的数量越来越多、规模越来越大，在基础设备、应用安全和数据安全方面的风险问题应该引起重视。

????????在基础设备方面，部分硬件设备过于老旧，超过服务年限，不支持基础软件向高版本升级;网络安全设备不足，如缺少双因子动态认证、主机防护产品、SSL证书解密设备等。

????????在应用安全方面，大部分信息系统在设计和开发过程中对网络安全方面考虑不足，如用户权限划分不明确，导致系统中存在越权漏洞;对系统登录口令复杂的限制不严格，系统中存在弱口令账户;对用户输入的内容过滤不严格，可能存在SQL注入及XSS漏洞等;部分操作系统、数据