区域内校园网络信息安全的系统化管理

江苏省南京市玄武区教师发展中心 吴林汉

在计算机互联网还没有进入校园以前，学校围墙之内的信息大多都是以纸质文档的形式存放，只需要将资料室的门看好就基本完成了校园信息安全的保障工作。但随着网络和信息的高速发展，这些原本存在于纸质文档上的资料逐渐进入了计算机硬盘和校园服务器之中，并与互联网相连。日复一日年复一年，这些信息数据的数量越来越大，价值越来越高，面临着随时可能被入侵的状况，因此校园网络信息安全的防护工作迫在眉睫。

随着信息化领导力培训和智慧校园建设的不断推进，校园网络信息安全也越来越受到重视。当前，关键基础设施跟随互联网的进程经历信息通信系统的普及应用，各类基础设施进行运行的关键在于其信息系统，攻击信息系统的方法除了物理层面还有各种类型的网络攻击。不过即使很多人都知道校园网络信息安全很重要，却还是会经常发生数据泄露、账号被盗、页面篡改等情况，说明校园网络信息安全防护工作没有落实到位，网络信息安全的管理方式和方法也还存在着问题，信息安全的防护形势依旧严峻。

一、教育城域网网络信息安全现状

（一）区域基础网络建设

目前我区校园网络基础建设已经基本完成，中小学普通教室、专用教室和教师办公室都是千兆到桌面。每个学校都有自己的网络中心，并且拥有两条出口线路：一条是学校原有的出口网络线路，另一条是专用线路与区教育云数据中心互联。这样就基本形成了覆盖全区中小学幼儿园的教育城域网。

（二）信息安全漏洞现状

2018年江苏省建立了教育网络和信息安全通报平台，原本还算是藏着掖着的校园网络安全隐患直接被搬到了桌面上，一条条网络安全漏洞不停地被通报：2018年下半年共收到10条漏洞通报，这些漏洞全部来源于各校的校园门户网站。2019年收到了多达54条漏洞情况通报，其中包含4条管理弱口令漏洞，3个系统服务器安全漏洞，3条个人隐私信息泄露漏洞和1条危害邮件漏洞。除了这11条漏洞，剩下的43条漏洞依然全部来源于各校门户网站。2020年从各方共计收到了整整100条漏洞情况通报，其中弱口令漏洞29条，信息泄露漏洞13条，服务器系统安全漏洞6条，校园网站漏洞52条。在数据面前，网络信息安全防护形势之严峻真的不是空穴来风。要想将区域网络信息安全工作做好就一定需要各中小学的齐力配合，不过目前各中小学缺乏专业的防护设备和专业的操作人员，所以要想依靠学校自身的力量去做好网络信息安全工作几乎是不可能的。因此找到一套有可行性的区域网络信息安全管理方案就显得尤为重要。

二、教育城域网网络信息安全系统化管理

针对目前的网络信息安全现状，我们可以找到这样一条系统化管理思路，对存在的重点问题进行统一集中处理，简单问题分散到各校自行处理，其他极少数问题进行针对性处理。

（一）形成良好防护意识

计算机网络存在的信息安全问题主要可以概括为计算机网络病毒、网络黑客恶意攻击和计算机系统漏洞。要想做好网络信息安全防护工作，首先要让各校专门的管理人员形成良好的防护意识。因此网络信息安全管理人员的专业化培训必不可少。培训可以从信息安全意识培养、信息安全事件分析、信息安全工作盲点等角度着手，对管理人员进行全面而有效的培训。这可以帮助他们对学校网络与信息安全工作有一个全面清晰的认识，从而为增强网络安全防范意识，提升网络管理水平打下坚实的基础。虽然通过简单的培训，管理人员可能无法完全解决所有存在的漏洞，但他们会知道如何去做好防护工作，至少可以避免隐私信息泄露和弱口令这样简单漏洞的发生。这对做好校园网络信息安全的保障也能起到至关重要的作用。

（二）制定可靠应急预案

在校园网络信息安全工作中，经常会发生一些突发状况，为了应对这样的状况，我们需要制定出一套切实可行的应急预案。这样在出现突发状况时，我们可以根据应急预案的要求，有条不紊地解决问题。根据网络安全等级保护2.0制度的要求，除了需要制定相应的应急预案外，还需要对应急预案进行攻防演练和审查。通过攻防演练可以检验应急预案的可行性和有效性，对预案中存在的问题进行反馈和调整，让应急预案更加合理和完善，也让应急预案成为一套真正的应急问题解决方案。

（三）分区规划网络布局

目前我区已经初步建成教育城域网，各校通过专线与区教育云数据中心互联，同时各校的网络中心还保留了至少一条原有的出口线路，这样就可以针对应用业务的安全等级对相应的数据流量进行区分管理，避免数据的交叉。

例如：网络视频监控系统连接着全区所有学校的监控摄像头，监控数据流量包含校门、操场、食堂等一级重要区域的信息，这些信息数据有一定的保密要求，不适合通过公网线路传输。再例如：每学期的期中期末测试都需要进行网络在线阅卷，阅卷信息包含着学生的个人信息和考试数据信息，这类数据信息十分敏感，家长关注度很高，也不适合通过公网线路进行传输。像这样的信息就可以通过专用线路进行传输，保证数据的安全。而学校里一些其他的即时通讯和网络浏览流量，对保密性和安全性的要求不是很高，就可以通过学校原有的出口带宽自行传输。

（四）添置专业安全设备

安全防护设备是校园网络信息安全的基础，没有设备作为支撑，一切计划都是空谈。按照“等保2.0”制度中对信息安全防护的要求，应当具备网关、防火墙、入侵检测和入侵防御、防病毒系统、日志审计系统、堡垒机、数据备份系统、运维管理系统和漏洞扫描设备等网络安全防护设备，如果有网站发布业务，还需要配备WEB应用防火墙。根据“等保”级别的不同，对设备的要求也不同，可以根据校园具体的应用场景和业务需求，有针对性地选择安全防护设备。

（五）统一建设网站集群

从目前网络安全的现状可以看出，最大的隐患和漏洞来源就是各校的门户网站发布系统。可以说只要解决了各校的网站发布问题，就解决了校园网络信息安全一半的问题。所以将各校的校园网站进行统一集中管理势在必行。

目前，我们已经完成了区域校园网站集群管理平台的一期建设，对13所学校的校园门户网站进行统一集中管理，对各校网站中原先存在的漏洞进行了一次大规模的修复，再利用专业网络安全设备进行防护，基本上能做好网站平台的安全防护工作。网站虽然进行了集中管理，但并不是说就一劳永逸了。各校网络安全管理员还是要加强防范意识，对学校的账号信息、发布内容和网站动态做好严格的监管和审查工作。只有这样才能保证校园网站安全稳定地运行。

（六）完成相应等级保护

《中华人民共和国网络安全法》规定了网络运营者应当按照“等保”制度要求开展工作。其实等级保护只是网络信息安全的最低标准，我们不能简单地为了过“等保”而做“等保”。在网络安全等级保护2.0下，可以将物联网系统、移动互联系统、工控系统、云平台、大数据平台等纳入其中，并将数据防护、安全检测等列入等级保护体系当中，使其保护力度加大，有助于实现全方位的网络安全防护和数据安全。通过开展网络安全等级保护测评工作可以帮助我们找到校园网络系统中存在的安全隐患，帮助我们改善和提高信息系统的安全防护能力，降低被攻击的风险。

根据“等保2.0”制度，等级保护总共分为五个级别，分别是用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。至于到底应该做第几级“等保”，则需要根据校园网络信息业务开展情况和应用需求而定。

三、教育城域网网络信息安全管理的未来

校园网络信息安全从某种程度上可以说承载着学校、老师和学生们的未来。尤其是在当前“互联网+教育”背景下，国家、省、市区各级部门都在大力开展智慧校园建设，大力推进人工智能课程实施，强调信息技术与学科融合发展。随着信息和技术的不断发展，这样的趋势会越来越明显，对网络传输能力、信息处理能力和安全防护能力的要求也会越来越高。所以校园网络信息安全体现的不仅仅是教育的信息化和专业化，也体现了对所有在校师生信息数据的高度重视和人文关怀。在这样一个对校园网络信息安全十分重视的时代，我们更应该做好网络与信息安全保障工作，让所有师生都能开心放心地在校园里工作和学习。