一、國內(nèi)外信息安全標準體系發(fā)展現(xiàn)狀

國際信息安全標準化工作興起于上世紀70年代中期，80年代得到了較快的發(fā)展，90年代引起了世界各國的普遍關(guān)注，現(xiàn)已形成了較為完善、全面的信息安全標準體系。信息安全國際標準體系指信息安全技術(shù)領域所有國際標準按其內(nèi)在聯(lián)系形成的科學的有機整體。主要內(nèi)容包括信息系統(tǒng)安全的一般要求即規(guī)范性要求和滿足要求所采取的辦法；開發(fā)安全技術(shù)和機制即技術(shù)要求、保障機制和注冊程序與安全組成關(guān)系；開發(fā)安全指南即解釋性文件和風險分析；安全管理支撐文件和標準即術(shù)語和安全評價準則四大方面。

我國的信息安全標準化工作起步較晚，上世紀80年代開始參與國際有關(guān)組織的成立會，但是整體基礎十分薄弱。如今，經(jīng)過20多年的發(fā)展完善，我國逐步形成了一套完整的信息安全標準體系，制定頒布了150余項信息安全國家標準。其中信息安全標準體系主要包括基礎標準、應用標準和管理標準。

基礎標準是信息技術(shù)安全標準化體系開發(fā)過程中所需用到的最基本的標準及技術(shù)規(guī)范。主要包括安全術(shù)語和體系與模型。其中體系與模型是對于某項信息安全技術(shù)或某個信息安全領域建立的整體要求或技術(shù)架構(gòu)，如OSI安全體系結(jié)構(gòu)標準、TCP/IP安全體系結(jié)構(gòu)標準等。

應用標準主要指信息技術(shù)各個應用領域中的具體安全標準，占據(jù)信息安全標準化體系的核心地位。內(nèi)容主要包括技術(shù)標準和測評標準。其中技術(shù)標準是對于信息安全產(chǎn)品或系統(tǒng)從技術(shù)方面進行的規(guī)定，主要包括技術(shù)要求、保密技術(shù)、密碼技術(shù)、物理安全、系統(tǒng)安全、標識與鑒別等。測評標準則是指對計算機系統(tǒng)安全、通信網(wǎng)絡安全及其信息技術(shù)安全產(chǎn)品等進行安全水平測定、評估的一類標準，是對各類產(chǎn)品和系統(tǒng)的安全性評估標準的規(guī)范，其內(nèi)容既包括對信息安全測評的基本條件、測評的手段、方法的描述，又有對具體信息安全產(chǎn)品或系統(tǒng)的測評指標、評定級別的要求，大體分為測評基礎、測評辦法、產(chǎn)品測評、系統(tǒng)測評等幾大類。如信息安全等級和系統(tǒng)安全等級的劃分標準、信息技術(shù)安全性評估準則、計算機系統(tǒng)安全評估標準、通信網(wǎng)絡安全評估標準、密碼設備安全評估標準等。

管理標準是對信息技術(shù)安全性進行全方位管理的標準，信息安全管理不僅僅是技術(shù)方面的，還有管理制度和辦法方面的要求，既包括了安全管理的基礎要求，還有管理的具體內(nèi)容、實施管理的手段等方面的規(guī)定，主要有管理基礎、管理要求、管理內(nèi)容、管理實施等幾方面內(nèi)容。如信息技術(shù)安全管理控制平臺標準、安全性數(shù)據(jù)的管理標準、網(wǎng)絡管理標準、硬件設備管理標準等。

二、教育信息安全的主要內(nèi)容

教育信息安全所涉及的領域非常廣泛，有網(wǎng)絡、終端、交換設備、安全服務、安全管理和安全監(jiān)控等。現(xiàn)從信息系統(tǒng)的角度將教育信息安全的主要內(nèi)容概括為以下四個方面：

一是數(shù)據(jù)安全保護：針對入侵的安全保護對于數(shù)據(jù)庫來說，其物理完整性、邏輯完整性、數(shù)據(jù)元素完整性都是十分重要的。數(shù)據(jù)庫中的數(shù)據(jù)有純粹信息數(shù)據(jù)和功能文件數(shù)據(jù)兩大類，入侵保護應主要考慮以下幾條原則：1）物理設備和安全防護。包括服務器、有線、無線通信線路的安全防護。2）服務器安全保護。不同類型、不同重要程度的數(shù)據(jù)應盡可能在不同的服務器上實現(xiàn)，重要數(shù)據(jù)采用分布式管理，服務器應有合理的訪問控制和身份認證措施保護，并記錄訪問日志。系統(tǒng)中的重要數(shù)據(jù)在數(shù)據(jù)庫中應有加密和驗證措施。3）對于病毒和災難破壞的數(shù)據(jù)保護來說，最為有效的保護方式有兩大類：物理保護和數(shù)據(jù)備份。要防止病毒和災難破壞數(shù)據(jù)，首先要在網(wǎng)絡核心設備上設置物理保護措施，包括設置電源冗余模塊和交換端口的冗余備份;其次是采用磁盤鏡像或磁盤陣列存儲數(shù)據(jù)，避免由于磁盤物理故障造成數(shù)據(jù)丟失；另外，還要使用其他物理媒體對重要的數(shù)據(jù)進行備份。包括實時數(shù)據(jù)備份和定期數(shù)據(jù)備份，以便數(shù)據(jù)丟失后及時有效地恢復。

二是入侵防范：要有效地防范非法入侵,應做到內(nèi)外網(wǎng)隔離、訪問控制、內(nèi)部網(wǎng)絡隔離和分段管理。尤其是教育管理信息系統(tǒng)，做好內(nèi)部堡壘機行為審計，嚴防操作員行為不當導致的內(nèi)部泄露事件，同時內(nèi)外網(wǎng)隔離也是非常必要的。在內(nèi)部教育管理信息系統(tǒng)網(wǎng)絡和外網(wǎng)之間設置物理隔離，實現(xiàn)內(nèi)外網(wǎng)的隔離是保護系統(tǒng)網(wǎng)絡安全的最主要、同時也是最有效、最經(jīng)濟的措施之一。當然,隔離防護最有效的措施就是防火墻。配置合理的防火墻策略濾掉被屏蔽的IP地址和服務,可以首先屏蔽所有的lP地址，然后有選擇地放行一些地址進入教育管理信息系統(tǒng)網(wǎng)絡。

在訪問控制方面系統(tǒng)應采用訪問控制的安全措施，將整個網(wǎng)絡結(jié)構(gòu)分為三部分：內(nèi)部網(wǎng)絡、隔離區(qū)以及外網(wǎng)。每個部分設置不同的訪問控制方式。其中內(nèi)部網(wǎng)絡是不對外開放的區(qū)域,不對外提供任何服務，所有外部用戶檢測不到它的IP地址，也難以對它進行攻擊。隔離區(qū)對外提供服務，系統(tǒng)開放的信息都放在該區(qū)，由于它的開放性，就使它成為黑客們攻擊的對象。但由于它與內(nèi)部網(wǎng)是隔離開的，所以即使受到了攻擊也不會危及內(nèi)部網(wǎng)。

三是病毒防護：相對于單機病毒的防護來說，網(wǎng)絡病毒的防治具有更大的難度，網(wǎng)絡病毒防治應與網(wǎng)絡管理緊密結(jié)合。網(wǎng)絡防病毒最大的特點在于網(wǎng)絡的管理功能。如果沒有管理功能，很難完成網(wǎng)絡防毒的任務。只有管理與防范相結(jié)合，才能保證系統(tǒng)正常運行。

四是數(shù)據(jù)恢復：教育行業(yè)信息系統(tǒng)數(shù)據(jù)遭到破壞之后，其數(shù)據(jù)恢復程度依賴于數(shù)據(jù)備份方案。數(shù)據(jù)備份的目的在于盡可能快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機制有：實時高速度、大容量自動的數(shù)據(jù)存儲、備份與恢復；定期的數(shù)據(jù)存儲、備份與恢復；對系統(tǒng)設備的備份。

三、陜西省教育信息安全標準化問題分析及建議

陜西省基礎教育信息系統(tǒng)在業(yè)務上分為兩大類：教育資源公共服務平臺和教育管理公共服務平臺。安全防護體系是一個立體的安全保障體系，功能邏輯上可分為三個相對獨立的子系統(tǒng)：即管理保障措施、技術(shù)保障措施和運行保障措施。管理保障措施包括等級保護體系和安全管理體系：等級保護體系按照國家的統(tǒng)一部署開展工作；安全管理體系則是從制度及其執(zhí)行的角度，為我省教育系統(tǒng)信息安全工作的開展提供保障。技術(shù)保障措施則是在全局信息系統(tǒng)中建立統(tǒng)一的信息安全實施規(guī)范，各個信息化領域依據(jù)這些規(guī)范建立自己的信息安全保障技術(shù)體系。運行保障措施的主要內(nèi)容是建立我省完整的運行維護規(guī)范和專業(yè)的信息安全服務。

信息安全建設是一個系統(tǒng)工程，也是一個螺旋式循環(huán)上升的過程。信息安全領域公認的兩大法則：“木桶理論”和“二八原則”。前者表明一個信息系統(tǒng)的安全性由其安全策略及措施最薄弱的那塊短板決定，從而說明了安全必須是一個整體。后者表明20％的安全問題將帶來80％的風險和損失，要有針對性地進行安全建設。人們常說“三分技術(shù)，七分管理”，在信息安全建設中體現(xiàn)得尤為突出，技術(shù)和管理缺一不可并且緊密融合。我們主要討論和研究管理、技術(shù)、運行三方面的統(tǒng)籌規(guī)劃，各有側(cè)重又相互融合。管理方面主要指安全組織、安全策略和制度、安全標準、安全評估、安全審計等；技術(shù)方面主要指物理安全、網(wǎng)絡基礎平臺安全和信息資源層安全、業(yè)務應用安全；運行方面主要指應急處理、災備、日常運維等。