教育信息化是國家信息化的重要組成部分，隨著信息技術在教育行業的廣泛應用和深度融合，教育行業網絡與信息安全關系著教育信息化的穩步推進和教育事業的改革發展。為整體提升教育行業的網絡與信息安全意識，提高各級教育部門和學校整體安全防護水平，2014年教育部先后下達了《關于加強教育行業網絡與信息安全工作的指導意見》（教技〔2014〕4號）和《教育部辦公廳關于印發〈教育行業信息系統安全等級保護定級工作指南（試行）〉的通知》（教技廳函〔2014〕74號）。文件主要從組織管理、制度建設（含國家信息安全等級保護制度）、安全保障等方面入手對教育行業的網絡與信息安全工作作出統籌性的指導。但是，信息安全保障體系是一項系統工程，本文將通過對國內外的信息安全標準體系進行分析，探究出一套適合教育行業網絡與信息安全的防護標準。

　　一、國內外信息安全標準體系發展現狀

　　國際信息安全標準化工作興起于上世紀70年代中期，80年代得到了較快的發展，90年代引起了世界各國的普遍關注，現已形成了較為完善、全面的信息安全標準體系。信息安全國際標準體系指信息安全技術領域所有國際標準按其內在聯系形成的科學的有機整體。主要內容包括信息系統安全的一般要求即規范性要求和滿足要求所采取的辦法；開發安全技術和機制即技術要求、保障機制和注冊程序與安全組成關系；開發安全指南即解釋性文件和風險分析；安全管理支撐文件和標準即術語和安全評價準則四大方面。

　　我國的信息安全標準化工作起步較晚，上世紀80年代開始參與國際有關組織的成立會，但是整體基礎十分薄弱。如今，經過近20多年的發展完善，我國逐步形成了一套完整的信息安全標準體系，制定頒布了150余項信息安全國家標準。其中信息安全標準體系主要包括基礎標準、應用標準和管理標準。

　　基礎標準是信息技術安全標準化體系開發過程中所需用到的最基本的標準及技術規范。主要包括安全術語和體系與模型。其中體系與模型是對于某項信息安全技術或某個信息安全領域建立的整體要求或技術架構，如OSI安全體系結構標準、TCP/IP安全體系結構標準等。

　　應用標準主要指信息技術各個應用領域中的具體安全標準，占據信息安全標準化體系的核心地位。內容主要包括技術標準和測評標準。其中技術標準是對于信息安全產品或系統從技術方面進行的規定，主要包括技術要求、保密技術、密碼技術、物理安全、系統安全、標識與鑒別等。測評標準則是指對計算機系統安全、通信網絡安全及其信息技術安全產品等進行安全水平測定、評估的一類標準，是對各類產品和系統的安全性評估標準的規范，其內容既包括對信息安全測評的基本條件、測評的手段、方法的描述，又有對具體信息安全產品或系統的測評指標、評定級別的要求，大體分為測評基礎、測評辦法、產品測評、系統測評等幾大類。如信息安全等級和系統安全等級的劃分標準、信息技術安全性評估準則、計算機系統安全評估標準、通信網絡安全評估標準、密碼設備安全評估標準等。

　　管理標準是對信息技術安全性進行全方位管理的標準，信息安全管理不僅僅是技術方面的，還有管理制度和辦法方面的要求，既包括了安全管理的基礎要求，還有管理的具體內容、實施管理的手段等方面的規定，主要有管理基礎、管理要求、管理內容、管理實施等幾方面內容。如信息技術安全管理控制平臺標準、安全性數據的管理標準、網絡管理標準、硬件設備管理標準等。

　　二、教育信息安全的主要內容

　　教育信息安全所涉及的領域非常廣泛，有網絡、終端、交換設備、安全服務、安全管理和安全監控等?，F從信息系統的角度將教育信息安全的主要內容概括為以下四個方面：

　　一是數據安全保護：針對入侵的安全保護對于數據庫來說，其物理完整性、邏輯完整性、數據元素完整性都是十分重要的。數據庫中的數據有純粹信息數據和功能文件數據兩大類，入侵保護應主要考慮以下幾條原則：1）物理設備和安全防護。包括服務器、有線、無線通信線路的安全防護。2）服務器安全保護。不同類型、不同重要程度的數據應盡可能在不同的服務器上實現，重要數據采用分布式管理，服務器應有合理的訪問控制和身份認證措施保護，并記錄訪問日志。系統中的重要數據在數據庫中應有加密和驗證措施。3）對于病毒和災難破壞的數據保護來說，最為有效的保護方式有兩大類：物理保護和數據備份。要防止病毒和災難破壞數據，首先要在網絡核心設備上設置物理保護措施，包括設置電源冗余模塊和交換端口的冗余備份;其次是采用磁盤鏡像或磁盤陣列存儲數據，避免由于磁盤物理故障造成數據丟失；另外，還要使用其他物理媒體對重要的數據進行備份。包括實時數據備份和定期數據備份，以便數據丟失后及時有效地恢復。

　　二是入侵防范：要有效地防范非法入侵,應做到內外網隔離、訪問控制、內部網絡隔離和分段管理。尤其是教育管理信息系統，做好內部堡壘機行為審計，嚴防操作員行為不當導致的內部泄露事件，同時內外網隔離也是非常必要的。在內部教育管理信息系統網絡和外網之間設置物理隔離，實現內外網的隔離是保護系統網絡安全的最主要、同時也是最有效、最經濟的措施之一。當然,隔離防護最有效的措施就是防火墻。配置合理的防火墻策略濾掉被屏蔽的IP地址和服務,可以首先屏蔽所有的lP地址，然后有選擇地放行一些地址進入教育管理信息系統網絡。

　　在訪問控制方面系統應采用訪問控制的安全措施，將整個網絡結構分為三部分：內部網絡、隔離區以及外網。每個部分設置不同的訪問控制方式。其中內部網絡是不對外開放的區域,不對外提供任何服務，所有外部用戶檢測不到它的IP地址，也難以對它進行攻擊。隔離區對外提供服務，系統開放的信息都放在該區，由于它的開放性，就使它成為黑客們攻擊的對象。但由于它與內部網是隔離開的，所以即使受到了攻擊也不會危及內部網。

　　三是病毒防護：相對于單機病毒的防護來說，網絡病毒的防治具有更大的難度，網絡病毒防治應與網絡管理緊密結合。網絡防病毒最大的特點在于網絡的管理功能。如果沒有管理功能，很難完成網絡防毒的任務。只有管理與防范相結合，才能保證系統正常運行。

　　四是數據恢復：教育行業信息系統數據遭到破壞之后，其數據恢復程度依賴于數據備份方案。數據備份的目的在于盡可能快地全盤恢復運行計算機系統所需的數據和系統信息。根據系統安全需求可選擇的備份機制有：實時高速度、大容量自動的數據存儲、備份與恢復；定期的數據存儲、備份與恢復；對系統設備的備份。

　　三、陜西省教育信息安全標準化問題分析及建議

　　陜西省基礎教育信息系統在業務上分為兩大類：教育資源公共服務平臺和教育管理公共服務平臺。安全防護體系是一個立體的安全保障體系，功能邏輯上可分為三個相對獨立的子系統：即管理保障措施、技術保障措施和運行保障措施。管理保障措施包括等級保護體系和安全管理體系：等級保護體系按照國家的統一部署開展工作；安全管理體系則是從制度及其執行的角度，為我省教育系統信息安全工作的開展提供保障。技術保障措施則是在全局信息系統中建立統一的信息安全實施規范，各個信息化領域依據這些規范建立自己的信息安全保障技術體系。運行保障措施的主要內容是建立我省完整的運行維護規范和專業的信息安全服務。

　　信息安全建設是一個系統工程，也是一個螺旋式循環上升的過程。信息安全領域公認的兩大法則：“木桶理論”和“二八原則”。前者表明一個信息系統的安全性由其安全策略及措施最薄弱的那塊短板決定，從而說明了安全必須是一個整體。后者表明20％的安全問題將帶來80％的風險和損失，要有針對性地進行安全建設。人們常說“三分技術，七分管理”，在信息安全建設中體現得尤為突出，技術和管理缺一不可并且緊密融合。我們主要討論和研究管理、技術、運行三方面的統籌規劃，各有側重又相互融合。管理方面主要指安全組織、安全策略和制度、安全標準、安全評估、安全審計等；技術方面主要指物理安全、網絡基礎平臺安全和信息資源層安全、業務應用安全；運行方面主要指應急處理、災備、日常運維等。

　　綜上所述，針對陜西省基礎教育網絡與信息安全存在的問題，提出以下三點建議：一、安全管理保障措施要從制度和規范層面提出信息化安全建設所需的行政保障手段，重在通過行政手段建立信息化安全所需的各類制度、規范等。二、安全管理保障是任何安全信息化建設的必要基礎，技術保障措施在安全管理保障措施的基礎上更進一步，通過多種安全技術手段，從網絡、應用、數據等安全保障方面，提出切實可行的技術措施。三、有了良好的安全管理規范，實施了嚴密的技術保障措施，接下來就是要通過建立完整的運行維護規范和專業的信息安全服務。在安全管理規范的指導和約束下，保證各項安全技術手段最大限度發揮作用，保障后續的運行維護安全。

責任編輯：韓希宇