新疆教育行政四级专网安全防护体系建设研究

王广平 周学和 木合塔尔·沙地克 李东亮 王命全

摘   要：网络安全和信息化是事关国家安全和发展、广大人民群众工作生活的重大战略问题。近年来，我国相继出台《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》、“网络安全等级保护2.0” 等相关法律法规及标准，对各行业的网络安全提出了严格要求。文章结合新疆教育行政四级专网的实际状况，根据“网络安全等级保护2.0”的基本要求，按照分域保护、访问控制、身份认证、恶意代码防范、入侵检测、数据安全、终端安全、管理审计、风险预警、集中统一安全管理等，从技术和管理两个层面构建了一套基于新疆教育行政四级专网“可信、可控、可管”的网络安全防护管理体系，以有效防范、控制和抵御网络安全风险，保障数据、系统、应用、网络的安全，增强网络安全预警，提高新疆教育系统整体网络安全的防护水平。

关键词：四级专网;等保2.0;数据安全;网络安全;防护体系

中图分类号：TP309 文献标志码：B          文章编号：1673-8454（2022）10-0077-07

教育专网是教育信息化的重要基础设施，是推动实现《教育信息化2.0行动计划》发展目标的基本保障条件。教育专网采取分级投入方式，在提升现有中国教育和科研计算机网（China Education and Research Network，简称CERNET）网络资源的基础上[1]，充分利用国家公共通信资源，建设国家主干网、省（市）教育网和学校接入网三级结构教育专网，支撑各类创新型教学的常态化应用，推动优质教育资源开放共享，缩小区域、城乡、校际之间的差距，实现更加公平的教育，全面助力教育强国和网络强国建设进程。

目前，新疆教育行政四级专网实现了全区14个地州、93个县市教育局、4655所中小学校、5家直属单位的网络接入。全区37所高等院校和单位通过专线接入方式联接到中国教育和科研计算机网新疆区域节点，其网络主节点带宽10G。依据建设国家教育专网的规划，已具备构建国家教育专网的网络基础。本研究基于新疆教育行政四级专网，参照“网络安全等级保护2.0”等相关法律法规及标准[2]，从技术和管理两个层面健全和完善了新疆教育行政四级专网安全防护体系，积极探索该体系的建设方式。

一、网络安全现状

近年来，新疆全区各级教育行政部门和学校普遍构建了网络安全防护体系，完善了网络安全工作机制，网络安全在全区教育系统的重视程度前所未有，但也面临着越来越严峻的網络安全问题。据《新疆维吾尔自治区基础教育信息化发展报告（2020）》显示，新疆全区基础教育阶段完成信息系统安全等级保护定级工作的学校比例为45.85%，建立网络与信息安全技术防护体系的学校比例为35.89%，制定网络与信息安全应急预案的学校比例为56.20%，开展网络安全专题培训的学校比例为71.74%。当前，新疆全区教育系统普遍存在安全漏洞、弱口令、敏感信息泄露、暗链、后门等网络安全隐患，根据教育部教育系统网络安全工作管理平台等对新疆全区网络安全的监测数据显示，2021年度新疆全区教育系统共通报网络安全隐患204起，涉及全区教育系统53家单位，主要集中在高等院校。

二、产生风险的主要原因分析

产生网络安全风险的原因主要如下：一是用户安全意识薄弱。信息系统终端用户不注重终端系统的安全防护[3]，导致个人终端安全问题频发。此外，网络安全管理人员业务能力不强、运维过程中产生人为操作失误是造成信息泄露事件的主要原因之一。二是专网内各类信息资源安全防护措施不健全，大量敏感数据（个人信息）以明文形式存储在数据库系统中[4]，数据库防护薄弱，增加了数据安全风险。三是网络重点区域防护措施不强，安全边界管理不清晰，网络各区域边界还缺少安全防护设备和相应安全访问控制策略。四是监控手段不足，导致数据非法调用、越权使用[4]，教育信息泄露风险难以管控。五是网络安全工作责任制落实不到位，亟需开展等级保护测评和系统安全加固。六是教育系统技术专职队伍建设不够完善，专职人员培训和管理机制不健全。

三、教育专网网络安全防护体系建设研究

针对上述问题，如何进一步完善新疆教育行政四级专网网络安全防护技术措施，解决专网现实存在的安全风险隐患，提升网络安全保护能力和管理能力，形成一套动态的可持续的主动防御体系，满足网络安全等级保护相关技术要求[5]，成为本研究重点关注的内容。

网络安全防护体系建设的基本原则主要为：等级保护原则、体系化原则、多重保护原则、最小授权原则、安全服务原则等。

（一）构建安全技术体系

按照网络安全等级保护制度“一个中心，三重防护”[6]的要求和安全建设理念，加强网络三重防护建设。

1.安全通信网络

按照分域保护，将网络从结构上分为不同的安全区域[7]，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的环境，各个安全区域之间形成边界，从保护边界、通信网络基础设施进行分区控制、分等级控制，管理层次分明，局部的变动不影响上层或全局配置。

（1）安全划分子网

新疆教育行政四级专网划分为安全管理区域、服务器区域、核心交换区域、网络出口区域、办公接入区、专网接入区等子网。安全域划分之后，再通过虚拟局域网（VLAN）划分，将不同用户群划分在不同VLAN，可以控制网段大小、用户访问权限，隔离安全隐患。在新疆维吾尔自治区教育厅数据中心网络出口区与四级专网间部署防火墙进行隔离。通过将不同网络设备和业务系统划分在不同的安全域，可以实现分域分等级保护，针对不同安全域部署不同的安全策略。不同安全域之间通过网络安全边界来实现有效隔离和有选择性的通信，保护重要网段。

根据对不同安全域的安全要求，将安全域划分为三个等级：业务服务区域、安全管理区域为最高安全域;办公区域为中级安全域;教育四级接入域为低级安全域。不同网络区域采取不同的访问控制策略，一般对高安全域进行最佳保护，防止低级别安全域的用户对其进行泄漏、篡改、破坏等的攻击，高级别安全域中的资源不能由非授权的低级别安全域用户使用、修改、破坏。

（2）用户分级

新疆教育行政四级专网从教育厅本级向下可分为二级各地（州、市）级、三级县（市、区）级和四级各类学校，通过分层分级逐层收敛的方式搭建整个全区的新疆教育专网。网络地址采用静态IP地址划分，IP地址的管理实行三个“统一”：统一规划、统一分配、统一管理办法。地州级教育系统、县市级教育系统、中小学校级等各级网络据此规范管理和使用固定IP地址、划分VLAN，并与MAC地址绑定，可以有效规避非法用户的接入，从网络层进行安全保护。

2.安全区域边界

（1）边界防护

在新疆教育行政四级专网各区域边界部署访问控制设备，保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信，安全子网区域配置边界防火墙和入侵防御系统（IPS）进行网络区域的隔离，对异常流量进行检测和阻断。防火墙是网络层的核心防护措施，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口级的访问控制。开启防病毒模块，实施网络层恶意代码的安全防护，防止恶意代码在关键网络节点的扩散，实现网络访问控制和逻辑隔离，防止非授权访问。

（2）访问控制

在新疆教育行政四级专网核心交换机上配置端口级访问控制列表策略，对重要网段及设备进行IP与MAC地址绑定。访问控制主要包括服务器区域访问控制、用户网络准入、CERNET网访问控制。

①服务器区域访问控制。在核心交换机上部署访问控制列表（ACL）策略，配置服务器区域防火墙、入侵防御系统安全策略，实现服务器区安全访问。②用户网络准入。网络准入主要为内部用户提供全方位的身份认证、安全审计、行为管理、安全隔离，防止非法用户接入;通过端口绑定，防止IP地址欺骗;配置动态ARP防护，防止ARP病毒;配置DHCP欺骗防护，防止DHCP病毒，最大程度地降低用户接入层对整个网络造成的威胁。③CERNET网访问控制。新疆教育行政四级专网出口部署分布式拒绝服务攻击（DDoS）监测及流量清洗设备、流量分析设备以及入侵检测设备，防止CERNET网对内网的网络攻击行为，在防火墙上实施基本的访问控制策略，在防火墙配置会话监控策略、会话限制策略、日志审计策略等。

3.安全计算环境

（1）身份鉴别

对新疆教育行政四级专网用户进行身份鉴别是保障网络安全的重要措施，统一用户身份认证采用CA+SSLVPN，通过统一的身份認证入口进行认证。按最小授权原则，用户在登录系统时需相应的身份验证并通过加密算法和数字签名算法对用户的身份验证[8]及传输进行加密。

根据信息业务系统级别不同，采用的认证方式不同，每个应用系统都有自己的账户体系，管理员可以在统一身份认证与权限管理系统中配置某个用户在系统中对若干账户的访问权限。教育安全认证体系，主要包括CA系统、CA门户系统、LDAP部署和证书受理点。部署电子签章系统，实现电子签章业务基础环境、日常服务支持，为RA系统提供运行维护与保障。管理员用户按分级分权，通过运维堡垒机或采用数字证书双因子认证实现身份鉴别，登录运维系统。业务操作用户采用分级分权，采用双因素身份鉴别方式登录，阻止没有权限的用户对终端机或信息系统进行访问。一般用户采用用户名+密码方式或直接登录，权限主要是浏览和查阅。

（2）入侵防范

新疆教育行政四级专网信息系统服务区最重要的防护措施是入侵防范，信息系统在提供服务的时候，非常容易受到外部潜在的危险攻击。为了解决这些入侵攻击，在服务区域边界部署入侵防御系统，入侵防范主要由两部分组成，包括入侵防御系统和入侵检测系统（IDS）。Web应用防火墙（WAF）安全网关，服务集群则通过服务器交换机连接到入侵防御系统，为对外服务区域提供双重防护。在核心交换区域部署入侵检测系统对入侵行为进行检测，入侵防御系统在发现网络攻击时自动采取阻止措施，保障新疆教育行政四级专网信息系统安全。

（3）恶意代码防范

通过防病毒系统和漏洞扫描系统来实现安全防护，实施“层层设防、集中控制、以防为主、防杀结合”的策略，建立专网的防病毒体系。

（4）安全审计

通过在新疆教育行政四级专网部署安全审计系统来进行审计，将安全审计设备直接连接到核心交换机，部署全局安全审计策略，该策略覆盖到用户和网络资产，发生安全事件时，完备的审计记录是攻击源追溯与系统修复的重要途径。对用户行为的审计，重点关注用户登录退出、修改口令、修改用户权限等事件;对运维管理人员的审计，重点关注登录安全设备（防火墙、入侵系统）、访问网络设备（交换机）、登录服务器等行为。通过堡垒机对安全设备提供统一登录管理，集中实现双因素认证、用户权限分配、安全审计功能。

（5）数据安全

新疆维吾尔自治区教育厅掌握着全区各级各类学校学生、教师、家长等个人信息，保障数据安全是安全防护体系的重中之重，理应通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

为解决各应用系统对其重要数据进行传输和存储统一加密，保证重要数据的机密性、完整性、使用人员的身份鉴别、操作行为的不可否认性等安全需求，在业务服务区域部署密码安全服务平台，使用国家标准密码算法实现对用户名和口令及应用系统重要数据的数据加密、解密、数字签名、验证签名、密钥管理、访问控制、密码统一管理等密码安全服务，避免信息泄露。密码服务平台采用主密钥、工作密钥机制，支持符合国家密码管理局要求的主流密码算法（包括对称密码算法、非对称密码算法、杂凑函数密码算法等）。为各信息系统提供统一的密码运算和密钥管理服务，以及统一的设备管理和平台监控功能，为各级应用系统的数据安全提供统一的安全策略，实现数据的安全存储、内外网数据的安全交换。在数据备份与恢复方面，日常备份操作由备份系统自动完成，由备份服务器统一管理。部署数据库审计系统进行数据库安全审计。

（6）终端安全

全区教育系统终端客户端主机，分布在厅本级、地（州）、县（市、区）教育部门和学校等各级单位。终端安全共分为四个级别：省级用户安全、地州级用户安全、县市级用户安全、学校用户（含高校、中职、中小学等）安全。终端安全是自上而下、相互联系的，对终端用户实施授权与认证管理，实现终端用户的权限控制。终端操作绑定固定的主机，安装防病毒软件由专人负责。

4.安全管理中心

安全管理中心内的管理系统应符合“三权分立”权限管理，对系统管理、审计管理和安全管理[9]的管理主体、权限控制和管控过程提出明确要求。安全管理中心内的管理系统应具备对系统管理员、安全管理员、审计管理员的身份鉴别、命令、操作控制、审计等功能。

（1）系统管理。系统管理员是唯一对系统资源和运行配置的主体，避免其他用户对系统资源和运行配置管控。

（2）安全管理。安全管理员作为系统安全参数设定、主客体标记、授权和可信验证策略配置的唯一主体，统一管理主机访问权限、网络访问权限、应用访问权限，配置可信验证策略，维护策略库，具有对安全参数设置、授权和验收等独立管控权限。

（3）审计管理。审计管理员作为审计记录分析和管控的唯一主体，具有对审计策略、审计记录等独立管控权限。

（4）集中管控。在新疆教育行政四级专网网络架构中划分安全管理区域，对网络中的路由器、交换机、防火墙、其他网络和安全设备、终端接入控制系统、安全感知平台、日志审计系统、网络版防病毒软件、运维安全管理系统、基线核查系统等与分布在网络中的安全设备或安全组件进行集中管控。

（二）构建安全管理体系

安全管理体系是落实安全的重要环节，技管并重“三分技术，七分管理”，技术和产品是基础，安全管理是关键。技术层面通过部署相应的安全产品或技术手段实现，管理则需要健全的安全管理组织机构、严格的安全管理制度、技能培训以及考核手段来实现。

1.安全管理制度

为保证新疆教育行政四级专网业务信息系统长期稳定运行以及业务数据的安全性，结合各信息系统的特点，规范安全管理制度，通过制定严格的权限管理、操作流程、运行方式、操作范围等，指导网络安全管理工作的具体落实，在实践中不断完善各项制度，定期对安全管理制度进行评审和修订，安全的管理制度可以在很大程度上防止由于人为因素导致的安全性问题。

2.安全管理机构

新疆维吾尔自治区教育厅成立了自治区教育系统网络安全与信息化领导小组，负责全区教育系统网络安全和信息化管理。自治区教育管理信息中心具体承担网络安全相关工作，建立符合新疆教育行政四级专网的安全管理体系，明确安全管理各个岗位工作职责。

3.安全管理人员

制定人员录用、人员离职等相关安全管理制度并保障有效落实，制定外部人员访问管理制度并严格控制外部人员的访问管理，对各类人员进行安全意识教育和岗位技能培训和考核。

4.安全建设管理

建立完善的网络安全管理制度体系和过程控制安全机制，为系统全生命周期的信息安全提供管理安全保障，主要涉及等级保护的定级、备案、等级测评、安全方案设计、产品采购和使用、服务供应商管理等。

5.安全运维管理

建立和完善网络系统安全漏洞日常扫描、检测评估和安全加固機制，加强对现有业务信息系统、安全设备的日常监控巡检，通过安全巡检、安全渗透测试、漏洞扫描等多种手段对新疆教育行政四级专网接入的各级教育部门和学校的系统进行技术检查。加强安全运维专业技术团队建设，培养安全运维专职人员，组织网络安全事件应急演练，明确网络安全事件处置流程。由第三方公司负责开发与维护的系统，要求严格落实网络安全防护措施。

（三）落实等级测评，进行安全加固

网络安全等级保护是保护关键信息基础设施、保障网络安全的重要措施，是信息系统分类和保护的国家标准，是教育行业开展网络安全体系建设的重要依据，在改进内部网络安全管理体系，提高网络安全建设整体水平，增强网络安全防护体系的完整性、健全性和可靠性方面，具有重要意义。

以新疆教育行政四级专网应用系统——新疆教育协同办公系统为例，通过等级保护测评[10]对信息系统安全防护体系能力进行分析和确认，发现信息系统存在的安全隐患及时改进，有效提升整体安全防护水平。该系统安全保护等级为第三级，采用通用服务器、统信UOS操作系统、神通数据库、东方通中间件等部署。系统后端采用JavaEE，并基于spring+struts2+Jdbc+Hibernate的B/S架构，可直接用浏览器访问。前端采用jQuery+ajax+ freemarker+json语言，增强代码级防护。同时，基于不同的业务，根据数据的特性，采用Memcached和Redis两种缓存机制，增强系统稳定性。

通过开展网络安全等级保护（第三级）等级测评，查找系统中存在的隐患和不符合项，并进行整改完成相关安全加固，等级测评主要存在的问题如下：

1.重要数据传输的机密性问题

系统采用超文本传输协议（HTTP），没有加密措施。整改措施：利用Nginx生成自签名的泛域名OpenSSL证书，将域名中的HTTP优化为HTTPS加密传输协议，增强数据传输安全。还需使用国密SSL替换OpenSSL证书。

2.身份鉴别问题

系统采用账号+口令方式登录，缺少身份认证。整改措施：对接证书认证网关，增加UKey认证登录功能。在UKey中写入个人信息并赋予唯一PIN码，完成UKey签发。在客户端安装驱动，同时在浏览器导入根证书，确保客户端UKey运行环境正常。登录时，输入PIN码进行UKey与系统数据库用户数据的验证，验证成功可登录。

3.重要数据存储的机密性问题

登录口令的加密算法未采用国密算法，关键基础信息未进行加密存储。整改措施：增加加密机，采用SM2算法对关键性数据和用户登录口令进行加密、解密。

4.重要信息资源安全标记的完整性问题

缺少数据完整性保护。整改措施：增加公文管理的电子签章功能，完成在线盖章操作，确保公文的有效性和完整性。

（四）构建态势感知平台

在等级保护2.0中，安全管理中心要求具备集中管控能力，要求“应能对网络中发生的各类安全事件进行识别、报警和分析”。作为安全管理中心，在核心交换区域部署某态势感知产品，并部署相应的安全探针设备，态势感知平台集安全态势感知与预警、威胁检测与响应、漏洞发现与管理、日志收集与审计等全面的安全管理能力于一体，支持软硬一体化，具有持续的基于异常的安全动态检测与响应能力、数据整合能力、资产管理能力、安全分析能力、响应处置能力和态势感知能力。态势感知提供综合态势感知分析，主要有网络入侵、异常流量、僵木蠕、网站安全、系统漏洞等态势感知。[11]

将新疆教育行政四级专网网络安全设备统一接入到态势感知平台，实现数据采集、分析、响应、呈现配套其他安全产品。态势感知平台通过攻击日志接入、行为分析、攻击识别、预判、推理挖掘、研判等流程，实现从日志到事件到攻击活动，从态势感知到决策响应再到联动处置的流程闭环。

态势感知融合了安全运营服务，提供多种诊断工具，可以通过页面抓包支持基础检测、专项检测、信息采集、日志检测等，实现事前监测、风险评估、漏洞修复、情报预警;事中安全分析、防御处置;事后响应处置、取证溯源、安全复测、事件报告等，帮助运维人员提高工作效率。依托于态势感知平台，通过持续监测的方式，可以7×24小时不间断地持续监测新疆教育行政四级专网网络安全状态，最大力度地控制和降低安全隐患和风险，实现可持续的主动防御，改变被动防护的局面。

四、结语

参照网络安全等级保护2.0 相关标准，通过落实网络安全保护技术和管理措施，落实等级保护测评，构建态势感知平台，通过预测、监测、协同、防御、响应[12]、溯源网络安全隐患，提升网络安全风险管控能力，提高对新疆教育行政四级专网信息系统、网站、应用的监测和预警能力，推进形成制防、人防、技防、物防相结合的新疆教育行政四级专网网络安全管理体系，构筑可信、可控、可管、可用的新疆教育行政四级专网，达到国家等级保护和教育行业等级保护相关要求。

参考文献：

[1]中国教育和科研计算网.雷朝滋：关于教育专网建设的四点思考[EB/OL].（2021-10-14）[2021-12-6].https：//www.edu.cn/info/zhuan_jia_zhuan_lan/lcz/202110/t20211014_2163916. shtml.

[2]夏冰，王沛栋，郑秋生，等.网络安全法和网络安全等级保护2.0[M].北京：电子工业出版社，2017：77-180.

[3]寇思佳，王琎.信息系统安全等级保护下教育系统网络安全态势研究与分析[J].网络空间安全，2019（5）：56-63.

[4]中国软件评测中心·网络空间安全测评工程技术中心.教育行业网络安全白皮书（2020年）[R/OL].（2020-09-12）[2021-12-4].https：//www.sohu.com/a/418058926_653604.

[5]全國信息安全标准化技术委员会.GB/T 22239-2019 信息安全技术网络安全等级保护基本要求[S].北京：中国标准出版社，2019.

[6]全国信息安全标准化技术委员会.GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求[S].北京：中国标准出版社，2019.

[7]聂君，李燕，何扬军.企业安全建设指南：金融行业安全架构与技术实践[M].北京：机械工业出版社，2019：192-220.

[8]杨齐成，王锦，胡北辰.数字证书在网络安全中的应用分析[J/OL].江汉大学学报（自然科学版），2017，45（3）：278-282 [2021-12-6].https：//www.zhangqiaokeyan.com/academic-journal-cn_journal-jianghan-university-natural-science-edition_thesis/0201249879937.html.

[9]全国信息安全标准化技术委员会.GB/T 36958-2018信息安全技术网络安全等级保护安全管理中心技术要求[S].北京：中国标准出版社，2019.

[10]全国信息安全标准化技术委员会.GB/T 28448-2019信息安全技术网络安全等级保护测评要求[S].北京：中国标准出版社，2019.

[11]微言晓意.自适应安全框架（ASA）在网络安全2.0新防御体系中的应用[EB/OL].（2020-08-02）[2021-08-01].https：//www.likecs.com/show-164394.html.

[12]绿盟科技.绿盟安全管理平台ESP-H产品白皮书[R/OL].（2019-12-12）[2021-12-01].https：//www.nsfocus.com.cn/html/2019/209_1230/96.html.

作者简介：

王广平，高级工程师，本科，主要研究方向为网络规划和网络安全，邮箱：425827040@qq.com;

周学和，副主任，正高级教师，主要研究方向为中小学教育信息化管理和应用，邮箱：1328994740@qq.com;

木合塔尔·沙地克，副馆（台）长，博士，主要研究方向为大数据分析与可视化、Web应用开发、网络安全等，邮箱：muhtar_xjedu@163.com;

李东亮，科长，高级工程师，硕士，主要研究方向为教育信息化和网络安全， 邮箱：372175811@qq.com;

王命全，科长，高级工程师，硕士，主要研究方向为教育数据统计、分析， 邮箱：1299895833@qq.com。

Research on the Construction of Internal Security Protection System based

on Xinjiang Education Administration Four-level Private Network

Guangping WANG1， Xuehe ZHOU1， Muhetaer SHADIKE2， Dongliang LI1， Mingquan WANG1

（1.Education Management Information Center of Xinjiang Uygur Autonomous Region， Urumqi Xinjiang  830049;

2.Audio Visual Education Center of Xinjiang Uygur Autonomous Region，Urumqi Xinjiang 830002）

Abstract： Network security and informatization are major strategic issues concerning the national security and development as well as the work and life of the people. In recent years， China has successively issued relevant laws， regulations and set up standards such as the Network Security Law of the Peoples Republic of China， the Data Security Law of the Peoples Republic of China， the Regulations on the Security Protection of Key Information Infrastructure， and the Network Security Level Protection 2.0， which propose requirements for the network security of various industries. Combining with the actual state of Xinjiang education administration four-level private network， this paper follows the basic requirements of “the network security level protection 2.0”， focuses on the sub domain protection， access control， identity authentication， malicious code prevention， intrusion detection， data security， terminal security， management audit， risk early warning， centralized and unified security management， etc. It mainly starts from the aspects of technology and management， and builds a set of “trusted， controllable and manageable” network security protection management system within Xinjiang education administration four-level private network. The purpose is to effectively prevent， control and resist network security risks， ensure security in data， system， application and network， enhance network security early warning， and improve the overall network security protection level of Xinjiang education system.

Keywords： Four-level private network; Network security level protection 2.0; Data security; Network security; Protection system

編辑：李晓萍   校对：王天鹏