教育城域网网络安全管理实践研究

李诤 王松杰 彭文丽

【摘 要】区域网络管理者在教育城域网内处于网络管理的核心位置，如何解决教育城域网的网络应用的安全问题成为区域网络管理者所考虑的重点内容。本文阐述了如何通过网络应用登记平台的建设和使用、网络结构改造、防火墙策略设置以及漏洞扫描的执行，建立起“自查—整改”的工作机制，从而提高教育城域网的网络安全管理水平。

【关键词】网络安全;网络安全管理;网络应用登记;信息系统安全

信息技术的运用已深入到教育工作的各个层面，随着教育信息化的迅速发展，网络安全面临的威胁也持续增大。《中华人民共和国网络安全法》于2017年6月1日正式实施[1]，这部法律的正式生效对完善教育系统网络与信息安全保障体系提出了更高的要求，全面提升网络与信息安全防护能力和水平，保障区域教育网络安全成为新时期的挑战。昌平区教育城域网接入校超过一百所，区域网络安全由昌平区教育网络和信息中心统一进行管理

网络安全管理实践

为提高区域网络安全管理水平，区域網络管理者通过建设网络应用登记平台对散落于各学校的各类网络应用系统进行信息的收集和统一的管理，定期对这些网络应用系统进行漏洞扫描，各学校应用系统管理员根据扫描结果进行整改，进而形成了区域网络应用安全管理的“自查—整改”的工作机制。

1.ICP备案和等级保护备案

《非经营性互联网信息服务备案管理办法》（信息产业部第33号）指出，在中华人民共和国境内提供非经营性互联网信息服务，应当依法履行备案手续，未经备案，不得在中华人民共和国境内从事非经营性互联网信息服务[2]。由于教育系统内所有单位、学校均为非经营性，所建设网站均为公益性，所以系统内所有网站均适用于本管理办法，此处所说的备案手续为ICP（Internet Content Provider）备案。需要指出的是，据《办法》中第五条所示，其所称在中华人民共和国境内提供非经营性互联网信息服务，是指通过互联网域名IP地址访问的网站。这表明，国家从2005年起的相当一段时期，仅对各类网站做出了ICP备案规定，而对其他的网络应用如FTP、手机APP、视频监控系统等未做出具体备案规定。

《信息安全等级保护管理办法》（公通字[2007]43号）中对信息系统的安全保护管理做出了一系列具体而严格的规定。第十五条更是明确指出已运营（运行）或新建的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续[3]。须注意，这里并未强调信息系统必须联网，虽然其他条目中提到了“联网运行”等关键词，但未将“联网运行”作为本办法所涉及信息系统的必要条件，因此，本管理办法适用范围涵盖了所有信息系统，甚至包括未联网运行的系统，其涉及范围较大，不局限于网站。

2.建设网络应用登记平台的意义

在上述两套备案体系的基础上，区域网络管理者为了更加有效地管理本区域所属单位的各类网络应用，提出了“网络应用”的概念并有效实施了网络应用登记平台。网络应用，既包含网站，又包含运行在互联网上的其他系统，如FTP、APP、服务端程序、监控系统等，同时又强调了所需要登记的系统必须运行在网络当中，兼顾了所管理系统的全面性与网络联通性，对国家当前所采取的两种备案制度做了区域性的补充，区域网络应用的管理更加具有可控性和针对性。

网络应用登记平台的便利性也是显而易见的，以往需要收集各类系统的详细信息时，多采用下发电子表格的形式，区域所属各学校接到电子表格后填写诸如网站名称、网站域名、IP地址、端口等几十项信息，然后通过电子邮件或者各种通讯工具发送给收集者。收集人员通过对这些表格的整理、整合，形成一个比较大的信息库，有些部门还需要盖章上交纸质表格。这种传统的信息收集方式在目前的日常管理中经常采用，人力物力消耗非常大。这种传统电子表格的收集管理模式在应对大量经常性可变信息方面会显得严重吃力，比如收集五百份以上的表格并进行整理，这五百份以上表格的内容有10%会经常变动，传统收集方式就会显得力不从心。因此，区域网络管理者在收集管理大量经常性可变信息的情况下，应采取建设信息管理系统的方式，网络应用登记平台就是在这种情况下产生的信息管理系统。

3.网络应用登记平台的建设与实施

网络应用登记平台的建设过程并不复杂，但在实施推进过程中需要做些把控。首先定义好需要收集的信息，如使用单位名称、法人代表、系统负责人、联系方式、承建单位、网络应用名称、服务器是否在教育网内、是否开通公网访问端口、网络应用类型、网络应用IP地址、网络应用端口数量和端口号、网站域名、网站ICP备案号、是否已进行等级保护备案、等级保护级别、等级保护证书编号等。接下来与应用开发人员确定好开发方案和期限，由于本系统逻辑功能较为单一，平台开发期限较短，开发好后也能迅速进入试用与迭代阶段。

在系统实施阶段，需在便利性和功能性中做些取舍，在实现功能的基础上适当追求便利即可，不计成本地追求便利而忽视功能的迅速实现会影响信息系统的实施进度，从而导致推进不力。从实际的推进过程看，网络应用登记平台的开发和实施都非常顺利，各学校通过此平台为本校系统申请互联网服务权限时，将所申请IP和端口等信息录入到平台中，区级管理员进行审核，通过审核的系统获得对教育城域网外部服务的权限。开放公网访问权限的操作通过设置防火墙策略完成。平台内目前记录了部署在城域网内所有的网络应用，并可以进行分类，所开放公网访问权限的系统IP和端口信息与防火墙配置的白名单一致，这些信息可以随时进行调整，大幅节省了网络应用的安全管理成本。

4.漏洞扫描报告和“自查—整改”工作机制的建立

区域网络管理者根据网络应用登记平台中所登记的IP和端口信息，定期进行漏洞扫描自查。漏扫设备可以发现多种漏洞，自动生成漏洞扫描报告，报告中对每一个漏洞的性质和修补方法做出详细的说明，将漏洞按照种类归类排名，以饼图或柱状图的形式加以分析，从而为漏洞修复者提供参考依据。

区域网络管理者将扫描报告下发后，各学校必须在规定时间内完成整改。随着网络安全环境的日益严峻，漏洞扫描和报告下发的频率也随之提高，我区针对网络应用的扫描频率已由原来的每月一次提升至每月两次。

通过本项工作的落实，区域网络安全管理已经形成了可以分为四个步骤的“自查—整改”工作机制。第一，通过网络应用登记查看学校所登记应用的IP及端口;第二，在防火墙中进行具体的IP和端口的设置，形成放行的白名单;第三，对所上报IP进行漏洞扫描，形成掃描报告;第四，学校根据扫描结果和整改通知限期完成整改，未按期完成整改的应用会被关停。

5.网络结构改造和防火墙策略

若有效实行基于网络应用登记平台的安全管理制度，必须依赖于易于管理的网络结构，如果区域网络管理者不清楚各学校的网络结构和IP地址信息，是无法实现网络应用登记制度的。在这种情况下，区域网络管理者须进行城域网的网络结构改造，对网络结构进行梳理和调整，为各学校重新划分公网地址，消除大量公网地址暴露在互联网上的安全隐患。改造后的网络结构清晰，各学校重新获得公网地址，每所学校公网地址128个，私网地址32768个，在此基础上，规定公网地址对外服务需进行网络应用登记。

区域网络管理者在教育城域网总出口和各学校的网络出口均设置万兆防火墙[4]，总出口防火墙配置策略为从外到内端口全部阻断，各单位出口防火墙管理权限收回，策略亦为从外到内端口全部阻断。如需开放对外服务权限，需进行网络应用登记，区域网络管理者在区、校两级防火墙中均设置白名单后，网络应用才可以从教育网外部访问。重点时期，区域教育管理部门根据实际情况，在防火墙中配置更加严格的策略，限制教育网外部访问权限，以预防各类网络安全事件的发生。

结语和展望

本文通过介绍网络应用登记平台的建设和使用过程，以及相应的网络结构改造和防火墙策略设置等方案的落实，阐述了在区域中存在诸多网络应用的情况下如何进行有效管理的方法，可作为有效应对复杂多变网络安全问题的一种方法作为参考[5]。除做到本文中阐述的管理方法外，还可以辅助以其他设备和手段进行安全防护，如可在城域网出口部署DDOS监测和清洗设备、僵木蠕监控系统等，重大活动时期可为重要网站部署网页防篡改系统，在“深度学习”和“大数据”快速发展的今日，可以期望更多智能化的设备或系统用于教育城域网络，进一步提升区域网络安全防护能力。

中华人民共和国主席令. 中华人民共和国网络安全法[Z]. 2016-11-7.

中华人民共和国信息产业部.非经营性互联网信息服务备案管理办法[Z].2005-2-8.

中华人民共和国公安部. 信息安全等级保护管理办法[Z]. 2007-6-22.

李赓曦，姚健，牛晨. 基于等级保护制度的校园网络安全建设实践[J]. 信息安全与技术，2016（4）.

龙卫球. 我国网络安全管制的基础、架构与限定问题[J]. 暨南学报（哲学社会科学版），2017（5）.