案例简介：省、部两级部署情况下，“全国学生资助管理信息系统(河南)”环境面临较大安全隐患。河南省全面构建日常网络安全积极防御体系，加强信息系统生命周期安全管理、建立全面的主动安全运营机制、提升“全国学生资助管理信息系统(河南)”稳定服务能力，保障系统信息安全。

案例关键词：学生资助;信息安全;检测;响应

一、背景

近年来，随着互联网的大力发展，系统安全漏洞与网络攻击手法不断出现，给教育信息化未来发展造成了巨大的威胁。同时，《中华人民共和国网络安全法》提出，负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警与信息通报制度，并按照规定报送网络安全预警信息。

全国学生资助管理信息系统是全国范围内基础性工程，包含监督检查管理、信息查询、统计分析等功能，对于教育脱贫攻坚、规范学生资助管理、推进精准资助具有不可替代的技术支撑作用。该系统分中央、省两级部署，其中省级负责建设和维护省级资助系统的软硬件环境，保障省级资助系统安全稳定运行，为河南省全省5.34万所各级各类学校，千万人次级别的资金落实情况提供主要的信息管理平台。

图1 全国学生资助管理信息系统(河南)告警趋势图

全国学生资助管理信息系统部署在互联网上，长期开放、用户量大、涉及面广、数据集中，一直是非法信息攻击的重灾区。如图1，自2021年1月至2021年10月，每天(含所有法定节假日)对全网安全监测，通过流量分析共监测到针对全国学生资助管理信息系统(河南)zizhu.haedu.gov.cn疑似威胁有9196条告警，其中危急760条、高危7379条、中危885条、低危170条，经分析，通过判断的有效攻击多达147次。对攻击进行统计，攻击类型中，系统用户弱口令、网络扫描、暴力破解占绝大多数。如下图2：

图2 全国学生资助管理信息系统(河南)告警类型统计图

通过威胁分析系统对攻击来源进行分析，溯源攻击者的IP地址全球分布情况如下图3，可以看出，除国内者攻击来源外，攻击者来源最多的地域是美国。

图3 全国学生资助管理信息系统(河南)攻击者溯源

全国学生资助管理信息系统作为我国网络安全法定义的关键基础设施，在省学生资助工作中的地位至关重要，其数据量大，涉及面广，是各级教育行政部门和各级各类学校开展学生资助工作的核心和基础。如何保障该系统安全，使之稳定的运行，是省教育信息化部门和学生资助管理部门信息化管理工作的重中之重。

二、着力构建防御体系

针对汹涌而来的各类信息攻击，河南省教育数据中心安全服务团队协助河南省学生资助管理中心全面构建日常网络安全积极防御体系，加强信息系统生命周期安全管理、建立全面的主动安全运营机制、提升“全国学生资助管理信息系统(河南)”的威胁对抗能力。

(一)网络威胁实时检测机制

如下图4，河南省教育数据中心配合部署本地流量数据采集，对来自不同安全设备、不同厂家的各种日志进行数据的预处理，处理大量告警以实现对高价值告警信息的筛选和过滤，针对“全国学生资助管理信息系统(河南)”进行实时监测和告警。同时，针对这类告警统一输出实时的统计分析结论，做出告警归并处理，为上层应用如网络安全态势感知、DDos感知、僵木蠕毒态势感知、高级威胁态势感知提供数据支撑和分析，协助用户通报预警、应急处置、自动复查。

图4 全国学生资助管理信息系统实时检测部署方案

其中，通过对“全国学生资助管理信息系统(河南)”受到攻击的类型统计，着重加强了威胁态势感知系统和“僵木蠕毒”感知系统。

威胁态势感知系统：采用网络信息安全威胁分析系统实现，发现失陷主机、高级威胁检测、异常行为检测、发现潜在攻击行为、精准定位内网安全隐患。

“僵木蠕毒”感知系统：在关键节点部署探针，有效对业务系统的恶意代码进行有效发现，清晰绘制感染范围等威胁态势。

(二)日常安全监测机制

河南省教育数据中心和河南省学生资助管理中心建立了有效地工作联动机制，为及时、有效的处理网络安全问题，河南省建立并有效实施了全天候的网络安全威胁监测。

通过每天的网络安全威胁分析系统进行日常安全监测，安全专家对告警信息进行深度分析，并对此告警信息所涉及的漏洞进行验证，分析漏洞对业务系统可能造成的危害。然后安全专家对此漏洞进行研判处置，修复此漏洞。最后对此次事件的告警、分析、研判、处置等过程汇总成为报告，进行上报。具体工作模式如下图5所示：

图5 日常安全监测

安全服务团队协助河南省学生资助管理中心发现日常工作中存在的安全问题及安全风险，全面掌握网站安全情况，保障“全国学生资助管理信息系统(河南)”信息安全。

(三)网络安全应急响应机制

日常监测过程中，一旦发现有事件告警，安全服务人员首先对此事件进行判断，发现此安全事件对业务系统存在威胁，将此事件汇报给河南省学生资助管理中心网络安全应急处置领导小组。领导小组将启动应急预案，并对此事件的应急工作进行指导。应急处置组执行应急预案对此事件进行处置，同时河南省教育数据中心安全专家组提供技术指导。最后由专家组研判事件是否已经解决，应急处置组对此事件进行二次验证，并将处置结果进行上报。由领导小组宣判此事件应急工作结束。

通过规范的应急处置流程帮助河南省学生资助管理中心及时控制安全事件对单位造成的恶劣影响，减少因安全事件发生所产生的社会负面影响，保障网络生态安全。利用从安全事件处理过程中获得的信息做好更充分的准备，以处理未来的安全事件并对系统和数据进行更强的保护。

(四)重保值守日常化机制

为保障“全国学生资助管理信息系统(河南)”能够安全、稳定地提供服务，及时响应和处理突发情况，河南省推进重点信息服务平台人员值守与问题响应日常化制度，要求即便是非重要节假和活动期间，技术值班人员也要时刻保持微信和手机在线，保持值班电话24小时开机，出现相关紧急事件第一时间落实，同时通过内部邮件、短信等消息传递系统，第一时间告知技术负责人、安全技术人员。

重保值守常态化、日常化效果突出。其中，以6月为例，监测人员以每日上午、下午为周期对安全告警内容进行分析;期间通过流量分析共监测到1.79万条告警，危急：3133条、高危：1.04万条、中危：3499条、低危：821条。其中通过判断有效攻击数量121次。对告警进行分析后，攻击成功失陷数量为121条，已对告警进行处理条数为41条，确认失陷主机数0台，主机失陷未监测占比0.00%。

三、效果

通过构建立体防御体系，能够及时发现对“全国学生资助管理信息系统(河南)”攻击行为、精准定位内网安全隐患，并有效处理。先进的技术手段加上行之有效的制度保障，保障了全国学生资助管理信息系统(河南)安全稳定运行，自2015年12月份第一阶段子系统上线服务以来，河南省未出现过3个小时以上的故障宕机事故。

同时，体系化、制度化的安防措施也是河南省做到了对学生资助相关重要应用和数据的主动防御、联防联控、整体防控，落实了上级对全国学生资助管理信息系统信息安全保障工作常态化、体系化、实战化要求。