郑州教育城域网立体化网络安全防护体系构建与实施

来源：郑州市现代教育信息技术中心 作者：郭向敏 董峰 陈颖 发表于：2021.03.31  1031浏览

网络安全是一切网络应用的基础。习总书记指出：“没有网络安全就没有国家安全”，“网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施”。

郑州教育城域网建设与运行近二十年来，承担着全市教育系统互联网各项应用，在网络安全方面，同样面临诸多问题。为做好网络安全工作，郑州市现代教育信息技术中心统筹规划，落实网络安全责任，构建立体化网络安全防护体系，并开展了一系列基于网络安全的探究性工作。

一、郑州教育城域网网络现状

郑州市现代教育信息技术中心承载着郑州教育城域网的统一出口，市直学校和市内九区通过各运营商MPLS VPN专线组成郑州教育城域网，覆盖全市1364所学校和 22419个班级，互联网总出口带宽25.3G。目前共有机房五个，分别是网络机房、资源应用机房、数据机房、灾备机房、考务机房。2013年中心开始建设郑州教育云平台，目前共有物理机29台，虚拟机471台，存储资源560T，数据库服务器8台，为全市教育应用提供弹性的私有云计算、云存储、业务承载与安全服务。

郑州教育城域网及郑州市中小学校园网站安全由郑州市现代教育信息技术中心负责运维、管理。

图1 郑州教育城域网拓扑图

二、郑州教育城域网网络安全面临风险

由于郑州教育城域网覆盖用户基数庞大——对外门户网站、应用系统、微信平台、高清播出系统等，对内学籍系统、无线系统、班班通系统、各部门单独建设的应用系统等。业务系统需要对接越来越多的外部/内部接口，网络边界越来越模糊，网络安全薄弱点越来越多。

随着网络基础建设和网络安全控制体制机制的逐步健全，郑州市教育局网络环境规模和复杂度不断增加，部署在其中的防火墙以及配置访问控制列表的路由交换设备日益增多，加载于这些设备之上的网络安全策略规则也相应地变得更加繁冗和复杂。此外，实际的网络环境中，往往会跨越多个供应商、多个运维团队，管理控制方面呈现出多分支、多层级的复杂局面。

网络安全风险主要包括网络风险和业务与管理风险。     

1.网络风险

内外网风险：由于郑州市教育局电化教育馆网络系统与互联网有网络连接，因此外网对于内部网络的重要或私有数据存在着威胁。具体到每一台主机来说，其它所有主机都是不可信任主机，都可能对该系统造成一定的安全威胁。

内网风险：内部网用户之间通过网络共享网络资源。对于常用的操作系统Windows操作系统，其网络共享的数据是局域网所有用户都可读甚至可写的，这样就可能因无意中把重要的涉密信息或个人隐私信息存放在共享目录下，造成信息泄漏。

2.业务与管理风险

业务系统是郑州市教育局业务的“神经系统”，应用漏洞、数据库会造成恶意入侵者通过管理业务系统进入业务系统，对业务系统进行控制和破坏。另外，在人员上，郑州市教育系统缺少专业网络安全人员，尤其是学校，无论是用人机制还是人员待遇都无法引进专业网络管理人员，这也造成了学校网络安全层面的隐患。

三、统筹规划网络安全建设，强化城域网中心防护

面对郑州教育城域网面临的网络安全风险，郑州市现代教育信息技术中心制定了“统筹规划、整体部署、中心强防护、学校重管理”的原则。重点做好城域网中心机房的网络安全防护，人机并重，做好制度建设，并根据业务发展，建立相对完备的技术防护体系。

1.建立完备的网络安全制度

（1）落实网络安全责任制

落实信息安全主管领导、管理机构和管理人员，建立《病毒检测和网络安全漏洞检测制度》《机房安全管理制度》等较为完备的信息安全责任制度。各部门各负其责，具体承担与本部门相关的信息安全管理任务。

郑州市现代教育信息技术中心建立了7*24小时网络安全值班制度，定时对中心机房设备进行网络巡检，加强网络安全管理。

（2）规范网络安全队伍管理

在郑州教育城域网出现的网络安全问题中，一部分是由于人员网络安全意识和专业知识的缺乏产生。在实践中，对网络管理人员的管理与培训极为重要。

一是加强健全局信息中心员工信息安全责任制度。重点岗位人员（系统管理员、网络管理员、信息安全员等）全部签订信息安全与保密协议。制定并严格贯彻执行人员离岗离职信息安全管理规定。外部人员访问机房等重要区域时采取提前审批、人员陪同、进出记录等安全管理措施。

二是加强学校网管人员管理培训。局信息中心每年除举办网络安全培训外，同时组建了全市网管人员工作群，每天发布网络安全预警，并针对学校具体网络安全问题及时处理回复。

（3）建立应急响应机制

制定《郑州教育信息网网络故障应急处理预案》《郑州教育信息网网站安全应急预案》，通过会议、培训、座谈等方式使信息安全主管领导、管理机构和管理人员、重点岗位人员（系统管理员、网络管理员、信息安全员等）及信息技术外包服务提供商相关人员熟悉应急预案，并通过应急预案演练有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响，确保信息系统和网络的通畅运行。

2.落实信息系统等保备案

郑州市教育局按照《教育行业信息系统安全等级保护定级工作指南》精神，针对郑州教育信息网、郑州市教育局行政办公系统、郑州市学生学籍管理系统、郑州市教育考试考务管理与服务系统、郑州市教科研管理系统5大类信息系统41个业务系统完成等级保护备案工作。

3.构建安全技术防护体系

我们针对物理安全、网络设备安全、网络边界、访问控制、安全审计及应用安全态势感知等诸多方面采取了切实有效的措施，做到有效的安全防范。

（1）网络系统安全

物理安全：机房采取防盗窃、防破坏、防雷击、防火、防水、防潮、防静电及备用电力供应、温湿度控制、电磁防护等安全措施。

网络边界安全：中心于2014年已经完成了出口安全设备的融合统一，通过部署安全网关，实现整个郑州教育城域网外网流量的安全防护、业务监管和应用交付。

路由配置：对于OSPF路由的重分布采用路由策略的方式，仅重分布指定子网，OSPF路由启用认证，启用加密认证机制，防止网络路由信息外泄。

网络安全访问控制：通过网络边界部署访问控制设备、入侵检测设备、审计设备和恶意代码防范设备，实现网络安全访问控制；通过配置口令策略和更新频率，保证网络设备和安全设备的安全；细化内外网防火墙的攻击防护策略，细化防火墙NAT策略、访问控制策略等，提高防火墙安全防护能力。加强边界防护能力，部署IPS设备，细化日志审计功能。

网络设备安全：定期巡检，升级网络设备版本，关闭不必要的网络服务；对核心网络设备只允许通过堡垒机登录并审计登录过程的操作；同时通过部署包过滤技术和VPN技术对重要数据进行保护。设置设备的分级访问权限，提高密码的强度，指定设备的可管理IP段，关闭未使用的端口，网络设备telnet都改为ssh以防止口令被窃取，并指定只有堡垒机可登录。

网络安全审计：对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。在网络边界处检测到攻击行为时，进行详细记录；在发生严重入侵事件时提供报警。

IT运维系统：提高IT运维系统的使用频率，完善IT运维系统网络拓扑结构中各网元的信息，增强IT运维系统的可操作性。

（2）系统安全管理

服务器安全：服务器统一安装恶意代码防护软件，并定期更新恶意代码库实现恶意代码防护；在各服务器配置访问控制、登录失败处理、口令策略、安全审计、超时锁定、终端接入方式、网络地址范围等安全策略实现服务器安全访问；通过对重要服务器的资源监控实现服务器运行安全。

数据库安全：在各数据库配置安全策略实现数据库安全；通过对重要数据库的资源监控实现数据库的运行安全。部署数据审计设备，用于监视并记录对数据库服务器的各类操作行为；部署安华金和数据库防火墙，对所有数据库进行安全接入管理。实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

应用系统安全：通过漏扫设备定期对业务系统进行安全漏洞扫描，根据漏洞扫描结果及时处理可能遭受攻击的安全漏洞；通过部署应用防火墙实现应用系统安全防护；门户网站对前后台进行逻辑分析，管理系统在内网环境中对外不开放，通过防篡改软件发布生成的静态页面到前台对外提供服务。

（3）数据安全

通过部署实时数据保护设备，实现对核心数据进行实时保护。我单位的业务特点是内部业务系统较多，数据量较大，部分业务要求有较高的实时性，我们采用备份速度快、网络传输压力小的LAN-Free备份和实时快照方式结合起来进行对整个云计算平台的数据备份和容灾，并建立异地容灾中心。

四、探究网络安全管理模式，建设网络安全预警及处置流程

为加强对城域网内各单位及学校的网络安全管理，郑州市现代教育信息技术中心于2018年部署了郑州教育网络安全监测与预警平台，并建立了网络安全的处置流程。

1.建立郑州教育网络应用安全监测预警通报平台

郑州教育网络应用安全监测预警通报平台能够全面监控郑州教育城域网网络安全运行情况，郑州教育信息网及郑州市中小学校园网站安全状况，及时通报处理郑州教育系统安全事件及安全漏洞，并将采集到的安全数据进行集中展示，便于内容和行为的事后全程可追溯。

（1）互联网资产监控：实时监测全市教育系统单位互联网域名（互联网资产）的动态变化情况，实现郑州教育城域网重要领域的网络安全态势感知。

（2）漏洞验证：建设互联网漏洞验证工具集，实时监测全网信息系统的漏洞、网络攻击情况、追踪溯源攻击链等。

（3）互联网监测预警：接收来自资产探测工具以及漏洞验证工具上报的安全态势数据。结合平台自身的安全情报采集功能模块对已建立的数据分析模型进行管理，实现数据之间的关联分析、数据检索等功能。

（4）互联网网站立体监测：从网站的安全漏洞（各类Web应用漏洞、网站敏感信息泄露），安全事件（网页挂马、暗链、敏感关键字、变更），可用性（网站访问速度、网站应用状态）及网站信息（ICP备案、Alexa排名、Whois信息、IP、网站使用的三方组件及应用）等多个层面全方位立体地衡量互联网网站的运行状况及安全状态。

（5）安全事件处理：实现对网络中的告警事件进行提取、分析、归类等处理；触发安全策略与安全设备进行联动。从而驱动安全事件预警、防御、应急处理流程，形成统一的网络运行态势感知。

目前平台系统涵盖信息中心日常事件处理范围，解决了信息中心对教育城域网在网运行设备进行统一管理的需求。同时针对快速故障处置在网络安全工作辅助系统上定制开发了一键处置联动能力，通过大数据的分析，对网络运行的风险进行预判并提出修复建议，在故障发生后智能判断故障原因及节点，自动下发操作指令形成安全设备的联动，阻断或限制威胁的扩展。    

2.建立郑州市教育系统网络安全事件处置流程

2019年，郑州市教育局印发《郑州市教育系统网络安全事件处置流程》通知，利用郑州教育网络应用安全监测预警通报平台收集、捕获网络、网站发生的安全事件预警，通过平台下发至各个单位网络管理员处，由各单位处置，并将结果反馈至平台。（具体流程见下图）

图2 安全事件处置流程图

自正式实施以来，郑州市现代教育信息技术中心共处理安全事件40余起。

郑州市现代教育信息技术中心通过构建郑州教育城域网络与网站安全立体化监控和防御体系，建立完善的网络安全运维体系和网络安全管理制度，形成网络运维考核体系，加强对教育城域网的网络安全管理。让全市教育系统进一步了解网络安全责任，提高网络安全风险防范意识，提升全市教育系统网络安全防护和运维能力，降低安全事件带来的损失与影响。

同时，网络安全保障也是一项长期、综合性的工作，随着时间和环境的变化，网络安全需求也会不断改变，郑州市现代教育信息技术中心将随着网络环境的变化和技术的发展进行不断调整，加大人力、物力投入，牢牢把好网络安全关。

（本项目获得“2020年度河南省教育信息化优秀成果奖（创新应用类成果）”区域类一等奖。）