教育信息化是國(guó)家信息化的重要組成部分,隨著信息技術(shù)在教育行業(yè)的廣泛應(yīng)用和深度融合,教育行業(yè)網(wǎng)絡(luò)與信息安全關(guān)系著教育信息化的穩(wěn)步推進(jìn)和教育事業(yè)的改革發(fā)展。為整體提升教育行業(yè)的網(wǎng)絡(luò)與信息安全意識(shí),提高各級(jí)教育部門(mén)和學(xué)校整體安全防護(hù)水平,2014年教育部先后下達(dá)了《關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見(jiàn)》(教技〔2014〕4號(hào))和《教育部辦公廳關(guān)于印發(fā)〈教育行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南(試行)〉的通知》(教技廳函〔2014〕74號(hào))。文件主要從組織管理、制度建設(shè)(含國(guó)家信息安全等級(jí)保護(hù)制度)、安全保障等方面入手對(duì)教育行業(yè)的網(wǎng)絡(luò)與信息安全工作作出統(tǒng)籌性的指導(dǎo)。但是,信息安全保障體系是一項(xiàng)系統(tǒng)工程,本文將通過(guò)對(duì)國(guó)內(nèi)外的信息安全標(biāo)準(zhǔn)體系進(jìn)行分析,探究出一套適合教育行業(yè)網(wǎng)絡(luò)與信息安全的防護(hù)標(biāo)準(zhǔn)。

一、國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)體系發(fā)展現(xiàn)狀

國(guó)際信息安全標(biāo)準(zhǔn)化工作興起于上世紀(jì)70年代中期,80年代得到了較快的發(fā)展,90年代引起了世界各國(guó)的普遍關(guān)注,現(xiàn)已形成了較為完善、全面的信息安全標(biāo)準(zhǔn)體系。信息安全國(guó)際標(biāo)準(zhǔn)體系指信息安全技術(shù)領(lǐng)域所有國(guó)際標(biāo)準(zhǔn)按其內(nèi)在聯(lián)系形成的科學(xué)的有機(jī)整體。主要內(nèi)容包括信息系統(tǒng)安全的一般要求即規(guī)范性要求和滿足要求所采取的辦法;開(kāi)發(fā)安全技術(shù)和機(jī)制即技術(shù)要求、保障機(jī)制和注冊(cè)程序與安全組成關(guān)系;開(kāi)發(fā)安全指南即解釋性文件和風(fēng)險(xiǎn)分析;安全管理支撐文件和標(biāo)準(zhǔn)即術(shù)語(yǔ)和安全評(píng)價(jià)準(zhǔn)則四大方面。

我國(guó)的信息安全標(biāo)準(zhǔn)化工作起步較晚,上世紀(jì)80年代開(kāi)始參與國(guó)際有關(guān)組織的成立會(huì),但是整體基礎(chǔ)十分薄弱。如今,經(jīng)過(guò)20多年的發(fā)展完善,我國(guó)逐步形成了一套完整的信息安全標(biāo)準(zhǔn)體系,制定頒布了150余項(xiàng)信息安全國(guó)家標(biāo)準(zhǔn)。其中信息安全標(biāo)準(zhǔn)體系主要包括基礎(chǔ)標(biāo)準(zhǔn)、應(yīng)用標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)。

基礎(chǔ)標(biāo)準(zhǔn)是信息技術(shù)安全標(biāo)準(zhǔn)化體系開(kāi)發(fā)過(guò)程中所需用到的最基本的標(biāo)準(zhǔn)及技術(shù)規(guī)范。主要包括安全術(shù)語(yǔ)和體系與模型。其中體系與模型是對(duì)于某項(xiàng)信息安全技術(shù)或某個(gè)信息安全領(lǐng)域建立的整體要求或技術(shù)架構(gòu),如OSI安全體系結(jié)構(gòu)標(biāo)準(zhǔn)、TCP/IP安全體系結(jié)構(gòu)標(biāo)準(zhǔn)等。

應(yīng)用標(biāo)準(zhǔn)主要指信息技術(shù)各個(gè)應(yīng)用領(lǐng)域中的具體安全標(biāo)準(zhǔn),占據(jù)信息安全標(biāo)準(zhǔn)化體系的核心地位。內(nèi)容主要包括技術(shù)標(biāo)準(zhǔn)和測(cè)評(píng)標(biāo)準(zhǔn)。其中技術(shù)標(biāo)準(zhǔn)是對(duì)于信息安全產(chǎn)品或系統(tǒng)從技術(shù)方面進(jìn)行的規(guī)定,主要包括技術(shù)要求、保密技術(shù)、密碼技術(shù)、物理安全、系統(tǒng)安全、標(biāo)識(shí)與鑒別等。測(cè)評(píng)標(biāo)準(zhǔn)則是指對(duì)計(jì)算機(jī)系統(tǒng)安全、通信網(wǎng)絡(luò)安全及其信息技術(shù)安全產(chǎn)品等進(jìn)行安全水平測(cè)定、評(píng)估的一類標(biāo)準(zhǔn),是對(duì)各類產(chǎn)品和系統(tǒng)的安全性評(píng)估標(biāo)準(zhǔn)的規(guī)范,其內(nèi)容既包括對(duì)信息安全測(cè)評(píng)的基本條件、測(cè)評(píng)的手段、方法的描述,又有對(duì)具體信息安全產(chǎn)品或系統(tǒng)的測(cè)評(píng)指標(biāo)、評(píng)定級(jí)別的要求,大體分為測(cè)評(píng)基礎(chǔ)、測(cè)評(píng)辦法、產(chǎn)品測(cè)評(píng)、系統(tǒng)測(cè)評(píng)等幾大類。如信息安全等級(jí)和系統(tǒng)安全等級(jí)的劃分標(biāo)準(zhǔn)、信息技術(shù)安全性評(píng)估準(zhǔn)則、計(jì)算機(jī)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)、通信網(wǎng)絡(luò)安全評(píng)估標(biāo)準(zhǔn)、密碼設(shè)備安全評(píng)估標(biāo)準(zhǔn)等。

管理標(biāo)準(zhǔn)是對(duì)信息技術(shù)安全性進(jìn)行全方位管理的標(biāo)準(zhǔn),信息安全管理不僅僅是技術(shù)方面的,還有管理制度和辦法方面的要求,既包括了安全管理的基礎(chǔ)要求,還有管理的具體內(nèi)容、實(shí)施管理的手段等方面的規(guī)定,主要有管理基礎(chǔ)、管理要求、管理內(nèi)容、管理實(shí)施等幾方面內(nèi)容。如信息技術(shù)安全管理控制平臺(tái)標(biāo)準(zhǔn)、安全性數(shù)據(jù)的管理標(biāo)準(zhǔn)、網(wǎng)絡(luò)管理標(biāo)準(zhǔn)、硬件設(shè)備管理標(biāo)準(zhǔn)等。

二、教育信息安全的主要內(nèi)容

教育信息安全所涉及的領(lǐng)域非常廣泛,有網(wǎng)絡(luò)、終端、交換設(shè)備、安全服務(wù)、安全管理和安全監(jiān)控等?,F(xiàn)從信息系統(tǒng)的角度將教育信息安全的主要內(nèi)容概括為以下四個(gè)方面:

一是數(shù)據(jù)安全保護(hù):針對(duì)入侵的安全保護(hù)對(duì)于數(shù)據(jù)庫(kù)來(lái)說(shuō),其物理完整性、邏輯完整性、數(shù)據(jù)元素完整性都是十分重要的。數(shù)據(jù)庫(kù)中的數(shù)據(jù)有純粹信息數(shù)據(jù)和功能文件數(shù)據(jù)兩大類,入侵保護(hù)應(yīng)主要考慮以下幾條原則:1)物理設(shè)備和安全防護(hù)。包括服務(wù)器、有線、無(wú)線通信線路的安全防護(hù)。2)服務(wù)器安全保護(hù)。不同類型、不同重要程度的數(shù)據(jù)應(yīng)盡可能在不同的服務(wù)器上實(shí)現(xiàn),重要數(shù)據(jù)采用分布式管理,服務(wù)器應(yīng)有合理的訪問(wèn)控制和身份認(rèn)證措施保護(hù),并記錄訪問(wèn)日志。系統(tǒng)中的重要數(shù)據(jù)在數(shù)據(jù)庫(kù)中應(yīng)有加密和驗(yàn)證措施。3)對(duì)于病毒和災(zāi)難破壞的數(shù)據(jù)保護(hù)來(lái)說(shuō),最為有效的保護(hù)方式有兩大類:物理保護(hù)和數(shù)據(jù)備份。要防止病毒和災(zāi)難破壞數(shù)據(jù),首先要在網(wǎng)絡(luò)核心設(shè)備上設(shè)置物理保護(hù)措施,包括設(shè)置電源冗余模塊和交換端口的冗余備份;其次是采用磁盤(pán)鏡像或磁盤(pán)陣列存儲(chǔ)數(shù)據(jù),避免由于磁盤(pán)物理故障造成數(shù)據(jù)丟失;另外,還要使用其他物理媒體對(duì)重要的數(shù)據(jù)進(jìn)行備份。包括實(shí)時(shí)數(shù)據(jù)備份和定期數(shù)據(jù)備份,以便數(shù)據(jù)丟失后及時(shí)有效地恢復(fù)。

二是入侵防范:要有效地防范非法入侵,應(yīng)做到內(nèi)外網(wǎng)隔離、訪問(wèn)控制、內(nèi)部網(wǎng)絡(luò)隔離和分段管理。尤其是教育管理信息系統(tǒng),做好內(nèi)部堡壘機(jī)行為審計(jì),嚴(yán)防操作員行為不當(dāng)導(dǎo)致的內(nèi)部泄露事件,同時(shí)內(nèi)外網(wǎng)隔離也是非常必要的。在內(nèi)部教育管理信息系統(tǒng)網(wǎng)絡(luò)和外網(wǎng)之間設(shè)置物理隔離,實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離是保護(hù)系統(tǒng)網(wǎng)絡(luò)安全的最主要、同時(shí)也是最有效、最經(jīng)濟(jì)的措施之一。當(dāng)然,隔離防護(hù)最有效的措施就是防火墻。配置合理的防火墻策略濾掉被屏蔽的IP地址和服務(wù),可以首先屏蔽所有的lP地址,然后有選擇地放行一些地址進(jìn)入教育管理信息系統(tǒng)網(wǎng)絡(luò)。

在訪問(wèn)控制方面系統(tǒng)應(yīng)采用訪問(wèn)控制的安全措施,將整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)分為三部分:內(nèi)部網(wǎng)絡(luò)、隔離區(qū)以及外網(wǎng)。每個(gè)部分設(shè)置不同的訪問(wèn)控制方式。其中內(nèi)部網(wǎng)絡(luò)是不對(duì)外開(kāi)放的區(qū)域,不對(duì)外提供任何服務(wù),所有外部用戶檢測(cè)不到它的IP地址,也難以對(duì)它進(jìn)行攻擊。隔離區(qū)對(duì)外提供服務(wù),系統(tǒng)開(kāi)放的信息都放在該區(qū),由于它的開(kāi)放性,就使它成為黑客們攻擊的對(duì)象。但由于它與內(nèi)部網(wǎng)是隔離開(kāi)的,所以即使受到了攻擊也不會(huì)危及內(nèi)部網(wǎng)。

三是病毒防護(hù):相對(duì)于單機(jī)病毒的防護(hù)來(lái)說(shuō),網(wǎng)絡(luò)病毒的防治具有更大的難度,網(wǎng)絡(luò)病毒防治應(yīng)與網(wǎng)絡(luò)管理緊密結(jié)合。網(wǎng)絡(luò)防病毒最大的特點(diǎn)在于網(wǎng)絡(luò)的管理功能。如果沒(méi)有管理功能,很難完成網(wǎng)絡(luò)防毒的任務(wù)。只有管理與防范相結(jié)合,才能保證系統(tǒng)正常運(yùn)行。

四是數(shù)據(jù)恢復(fù):教育行業(yè)信息系統(tǒng)數(shù)據(jù)遭到破壞之后,其數(shù)據(jù)恢復(fù)程度依賴于數(shù)據(jù)備份方案。數(shù)據(jù)備份的目的在于盡可能快地全盤(pán)恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機(jī)制有:實(shí)時(shí)高速度、大容量自動(dòng)的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù);定期的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù);對(duì)系統(tǒng)設(shè)備的備份。

三、陜西省教育信息安全標(biāo)準(zhǔn)化問(wèn)題分析及建議

陜西省基礎(chǔ)教育信息系統(tǒng)在業(yè)務(wù)上分為兩大類:教育資源公共服務(wù)平臺(tái)和教育管理公共服務(wù)平臺(tái)。安全防護(hù)體系是一個(gè)立體的安全保障體系,功能邏輯上可分為三個(gè)相對(duì)獨(dú)立的子系統(tǒng):即管理保障措施、技術(shù)保障措施和運(yùn)行保障措施。管理保障措施包括等級(jí)保護(hù)體系和安全管理體系:等級(jí)保護(hù)體系按照國(guó)家的統(tǒng)一部署開(kāi)展工作;安全管理體系則是從制度及其執(zhí)行的角度,為我省教育系統(tǒng)信息安全工作的開(kāi)展提供保障。技術(shù)保障措施則是在全局信息系統(tǒng)中建立統(tǒng)一的信息安全實(shí)施規(guī)范,各個(gè)信息化領(lǐng)域依據(jù)這些規(guī)范建立自己的信息安全保障技術(shù)體系。運(yùn)行保障措施的主要內(nèi)容是建立我省完整的運(yùn)行維護(hù)規(guī)范和專業(yè)的信息安全服務(wù)。

信息安全建設(shè)是一個(gè)系統(tǒng)工程,也是一個(gè)螺旋式循環(huán)上升的過(guò)程。信息安全領(lǐng)域公認(rèn)的兩大法則:“木桶理論”和“二八原則”。前者表明一個(gè)信息系統(tǒng)的安全性由其安全策略及措施最薄弱的那塊短板決定,從而說(shuō)明了安全必須是一個(gè)整體。后者表明20%的安全問(wèn)題將帶來(lái)80%的風(fēng)險(xiǎn)和損失,要有針對(duì)性地進(jìn)行安全建設(shè)。人們常說(shuō)“三分技術(shù),七分管理”,在信息安全建設(shè)中體現(xiàn)得尤為突出,技術(shù)和管理缺一不可并且緊密融合。我們主要討論和研究管理、技術(shù)、運(yùn)行三方面的統(tǒng)籌規(guī)劃,各有側(cè)重又相互融合。管理方面主要指安全組織、安全策略和制度、安全標(biāo)準(zhǔn)、安全評(píng)估、安全審計(jì)等;技術(shù)方面主要指物理安全、網(wǎng)絡(luò)基礎(chǔ)平臺(tái)安全和信息資源層安全、業(yè)務(wù)應(yīng)用安全;運(yùn)行方面主要指應(yīng)急處理、災(zāi)備、日常運(yùn)維等。

綜上所述,針對(duì)陜西省基礎(chǔ)教育網(wǎng)絡(luò)與信息安全存在的問(wèn)題,提出以下三點(diǎn)建議:一、安全管理保障措施要從制度和規(guī)范層面提出信息化安全建設(shè)所需的行政保障手段,重在通過(guò)行政手段建立信息化安全所需的各類制度、規(guī)范等。二、安全管理保障是任何安全信息化建設(shè)的必要基礎(chǔ),技術(shù)保障措施在安全管理保障措施的基礎(chǔ)上更進(jìn)一步,通過(guò)多種安全技術(shù)手段,從網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等安全保障方面,提出切實(shí)可行的技術(shù)措施。三、有了良好的安全管理規(guī)范,實(shí)施了嚴(yán)密的技術(shù)保障措施,接下來(lái)就是要通過(guò)建立完整的運(yùn)行維護(hù)規(guī)范和專業(yè)的信息安全服務(wù)。在安全管理規(guī)范的指導(dǎo)和約束下,保證各項(xiàng)安全技術(shù)手段最大限度發(fā)揮作用,保障后續(xù)的運(yùn)行維護(hù)安全。