教育城域網網絡安全管理實踐研究

李諍 王松杰 彭文麗

【摘 要】區域網絡管理者在教育城域網內處于網絡管理的核心位置，如何解決教育城域網的網絡應用的安全問題成為區域網絡管理者所考慮的重點內容。本文闡述了如何通過網絡應用登記平臺的建設和使用、網絡結構改造、防火墻策略設置以及漏洞掃描的執行，建立起“自查—整改”的工作機制，從而提高教育城域網的網絡安全管理水平。

【關鍵詞】網絡安全;網絡安全管理;網絡應用登記;信息系統安全

信息技術的運用已深入到教育工作的各個層面，隨著教育信息化的迅速發展，網絡安全面臨的威脅也持續增大?！吨腥A人民共和國網絡安全法》于2017年6月1日正式實施[1]，這部法律的正式生效對完善教育系統網絡與信息安全保障體系提出了更高的要求，全面提升網絡與信息安全防護能力和水平，保障區域教育網絡安全成為新時期的挑戰。昌平區教育城域網接入校超過一百所，區域網絡安全由昌平區教育網絡和信息中心統一進行管理

網絡安全管理實踐

為提高區域網絡安全管理水平，區域網絡管理者通過建設網絡應用登記平臺對散落于各學校的各類網絡應用系統進行信息的收集和統一的管理，定期對這些網絡應用系統進行漏洞掃描，各學校應用系統管理員根據掃描結果進行整改，進而形成了區域網絡應用安全管理的“自查—整改”的工作機制。

1.ICP備案和等級保護備案

《非經營性互聯網信息服務備案管理辦法》（信息產業部第33號）指出，在中華人民共和國境內提供非經營性互聯網信息服務，應當依法履行備案手續，未經備案，不得在中華人民共和國境內從事非經營性互聯網信息服務[2]。由于教育系統內所有單位、學校均為非經營性，所建設網站均為公益性，所以系統內所有網站均適用于本管理辦法，此處所說的備案手續為ICP（Internet Content Provider）備案。需要指出的是，據《辦法》中第五條所示，其所稱在中華人民共和國境內提供非經營性互聯網信息服務，是指通過互聯網域名IP地址訪問的網站。這表明，國家從2005年起的相當一段時期，僅對各類網站做出了ICP備案規定，而對其他的網絡應用如FTP、手機APP、視頻監控系統等未做出具體備案規定。

《信息安全等級保護管理辦法》（公通字[2007]43號）中對信息系統的安全保護管理做出了一系列具體而嚴格的規定。第十五條更是明確指出已運營（運行）或新建的第二級以上信息系統，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續[3]。須注意，這里并未強調信息系統必須聯網，雖然其他條目中提到了“聯網運行”等關鍵詞，但未將“聯網運行”作為本辦法所涉及信息系統的必要條件，因此，本管理辦法適用范圍涵蓋了所有信息系統，甚至包括未聯網運行的系統，其涉及范圍較大，不局限于網站。

2.建設網絡應用登記平臺的意義

在上述兩套備案體系的基礎上，區域網絡管理者為了更加有效地管理本區域所屬單位的各類網絡應用，提出了“網絡應用”的概念并有效實施了網絡應用登記平臺。網絡應用，既包含網站，又包含運行在互聯網上的其他系統，如FTP、APP、服務端程序、監控系統等，同時又強調了所需要登記的系統必須運行在網絡當中，兼顧了所管理系統的全面性與網絡聯通性，對國家當前所采取的兩種備案制度做了區域性的補充，區域網絡應用的管理更加具有可控性和針對性。

網絡應用登記平臺的便利性也是顯而易見的，以往需要收集各類系統的詳細信息時，多采用下發電子表格的形式，區域所屬各學校接到電子表格后填寫諸如網站名稱、網站域名、IP地址、端口等幾十項信息，然后通過電子郵件或者各種通訊工具發送給收集者。收集人員通過對這些表格的整理、整合，形成一個比較大的信息庫，有些部門還需要蓋章上交紙質表格。這種傳統的信息收集方式在目前的日常管理中經常采用，人力物力消耗非常大。這種傳統電子表格的收集管理模式在應對大量經常性可變信息方面會顯得嚴重吃力，比如收集五百份以上的表格并進行整理，這五百份以上表格的內容有10%會經常變動，傳統收集方式就會顯得力不從心。因此，區域網絡管理者在收集管理大量經常性可變信息的情況下，應采取建設信息管理系統的方式，網絡應用登記平臺就是在這種情況下產生的信息管理系統。

3.網絡應用登記平臺的建設與實施

網絡應用登記平臺的建設過程并不復雜，但在實施推進過程中需要做些把控。首先定義好需要收集的信息，如使用單位名稱、法人代表、系統負責人、聯系方式、承建單位、網絡應用名稱、服務器是否在教育網內、是否開通公網訪問端口、網絡應用類型、網絡應用IP地址、網絡應用端口數量和端口號、網站域名、網站ICP備案號、是否已進行等級保護備案、等級保護級別、等級保護證書編號等。接下來與應用開發人員確定好開發方案和期限，由于本系統邏輯功能較為單一，平臺開發期限較短，開發好后也能迅速進入試用與迭代階段。

在系統實施階段，需在便利性和功能性中做些取舍，在實現功能的基礎上適當追求便利即可，不計成本地追求便利而忽視功能的迅速實現會影響信息系統的實施進度，從而導致推進不力。從實際的推進過程看，網絡應用登記平臺的開發和實施都非常順利，各學校通過此平臺為本校系統申請互聯網服務權限時，將所申請IP和端口等信息錄入到平臺中，區級管理員進行審核，通過審核的系統獲得對教育城域網外部服務的權限。開放公網訪問權限的操作通過設置防火墻策略完成。平臺內目前記錄了部署在城域網內所有的網絡應用，并可以進行分類，所開放公網訪問權限的系統IP和端口信息與防火墻配置的白名單一致，這些信息可以隨時進行調整，大幅節省了網絡應用的安全管理成本。

4.漏洞掃描報告和“自查—整改”工作機制的建立

區域網絡管理者根據網絡應用登記平臺中所登記的IP和端口信息，定期進行漏洞掃描自查。漏掃設備可以發現多種漏洞，自動生成漏洞掃描報告，報告中對每一個漏洞的性質和修補方法做出詳細的說明，將漏洞按照種類歸類排名，以餅圖或柱狀圖的形式加以分析，從而為漏洞修復者提供參考依據。

區域網絡管理者將掃描報告下發后，各學校必須在規定時間內完成整改。隨著網絡安全環境的日益嚴峻，漏洞掃描和報告下發的頻率也隨之提高，我區針對網絡應用的掃描頻率已由原來的每月一次提升至每月兩次。

通過本項工作的落實，區域網絡安全管理已經形成了可以分為四個步驟的“自查—整改”工作機制。第一，通過網絡應用登記查看學校所登記應用的IP及端口;第二，在防火墻中進行具體的IP和端口的設置，形成放行的白名單;第三，對所上報IP進行漏洞掃描，形成掃描報告;第四，學校根據掃描結果和整改通知限期完成整改，未按期完成整改的應用會被關停。

5.網絡結構改造和防火墻策略

若有效實行基于網絡應用登記平臺的安全管理制度，必須依賴于易于管理的網絡結構，如果區域網絡管理者不清楚各學校的網絡結構和IP地址信息，是無法實現網絡應用登記制度的。在這種情況下，區域網絡管理者須進行城域網的網絡結構改造，對網絡結構進行梳理和調整，為各學校重新劃分公網地址，消除大量公網地址暴露在互聯網上的安全隱患。改造后的網絡結構清晰，各學校重新獲得公網地址，每所學校公網地址128個，私網地址32768個，在此基礎上，規定公網地址對外服務需進行網絡應用登記。

區域網絡管理者在教育城域網總出口和各學校的網絡出口均設置萬兆防火墻[4]，總出口防火墻配置策略為從外到內端口全部阻斷，各單位出口防火墻管理權限收回，策略亦為從外到內端口全部阻斷。如需開放對外服務權限，需進行網絡應用登記，區域網絡管理者在區、校兩級防火墻中均設置白名單后，網絡應用才可以從教育網外部訪問。重點時期，區域教育管理部門根據實際情況，在防火墻中配置更加嚴格的策略，限制教育網外部訪問權限，以預防各類網絡安全事件的發生。

結語和展望

本文通過介紹網絡應用登記平臺的建設和使用過程，以及相應的網絡結構改造和防火墻策略設置等方案的落實，闡述了在區域中存在諸多網絡應用的情況下如何進行有效管理的方法，可作為有效應對復雜多變網絡安全問題的一種方法作為參考[5]。除做到本文中闡述的管理方法外，還可以輔助以其他設備和手段進行安全防護，如可在城域網出口部署DDOS監測和清洗設備、僵木蠕監控系統等，重大活動時期可為重要網站部署網頁防篡改系統，在“深度學習”和“大數據”快速發展的今日，可以期望更多智能化的設備或系統用于教育城域網絡，進一步提升區域網絡安全防護能力。

中華人民共和國主席令. 中華人民共和國網絡安全法[Z]. 2016-11-7.

中華人民共和國信息產業部.非經營性互聯網信息服務備案管理辦法[Z].2005-2-8.

中華人民共和國公安部. 信息安全等級保護管理辦法[Z]. 2007-6-22.

李賡曦，姚健，牛晨. 基于等級保護制度的校園網絡安全建設實踐[J]. 信息安全與技術，2016（4）.

龍衛球. 我國網絡安全管制的基礎、架構與限定問題[J]. 暨南學報（哲學社會科學版），2017（5）.