案例简介：全国学生资助管理信息系统是国家教育管理信息系统的核心组成部分，系统按照教育部要求，采用两级部署、五级应用的模式，覆盖全省各级教育行政管理部门和每所学校。系统涉及面广、数据量大、访问量高。云南省教育厅通过建立云网一体的信息化服务体系，通过有效的体制机制建设，采用“云南教育云”将学生资助系统接入到统一认证防护体系，采用实名认证和双因子手机扫码验证，网络安全统一出口防护等手段，有效保障了资助系统的网络安全和稳定运行。

案例关键词：网络安全;数据安全;统一防护;学生资助;实名认证

一、工作背景

全国学生资助管理信息系统是国家教育管理信息系统的核心组成部分，系统按照教育部要求，采用两级部署、五级应用的模式在云南省落地部署，覆盖全省各级教育行政管理部门和每所学校。系统涉及面广、数据量大、访问量高，暴露在互联网下的学生资助系统易攻难守网络安全形势严峻。

为进一步夯实全国学生资助管理信息系统的网络安全和数据安全，云南省教育厅高度重视学生资助系统网络安全保障，按照《中华人民共和国网络安全法》、《中华人民共和国密码法》、教育部《关于加强新时代教育管理信息化工作的通知》、《教育部等六部门关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》等文件要求，结合工作实际，创新安全防护模式，多措并举。在厅网络安全和信息化工作领导小组的统筹领导下，落实网络安全主体责任，建立健全网络安全责任制，按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，确保网络安全责任全覆盖，从机制保障上确保学生资助系统运行稳定可靠，网络安全可管可控。

图1 云南省成立“智慧教育”建设与网信领导小组

二、建设和应用方式

(一)机制建设

以教育部网络安全演练工作为契机，进一步巩固网络安全保障体系。持续做好学生资助系统网络安全工作，建立应急信息报告制度，成立省级资助系统攻防演练保障工作领导小组，做好关键时间节点和日常工作中省级资助系统网络安全保障应急处置工作。要求全省教育资助工作人员切实提高网络安全意识，警惕各类网络攻击;做到不相互索要资助系统的账户和密码、不向任何人提供资助系统的账号和密码、不在PC端和手机端下载安装陌生软件、不点击陌生网络连接、不查看陌生网络邮件、不向任何人外借手机用于扫描登录“云南教育云”等。要求各地各校强化安全意识，长期坚持做好网络安全保障工作，确保网络安全和数据安全。建立应急信息报告制度，做好资助系统网络安全保障应急处置工作。

图2 云南省教育数据中心

(二)基础安全体系建设

云南省依托全省义务教育网络服务体系，充分整合云南省各州市计算、存储等资源，形成覆盖全省、多级分布、互联互通的省级新型数据中心服务体系，为云南省提供数字化教学空间以及学校的教学、管理、评价、生活服务等信息化应用支撑环境，完善教育基础数据库，提升云南省教育业务管理、决策支持、监测评价和公共服务的水平，全力保障。

通过防火墙、负载均衡、WAF、上网行为管理、漏洞扫描、堡垒机、安全态势感知平台等安全设备和平台，通过安全策略阻止不安全应用连接、设置黑、白名单网络访问策略，通过识别多种协议和应用，实现应用的细粒度管控，对感染木马病毒终端进行上网阻断。对各类SQL注入、跨站、挂马、扫描器扫描、敏感信息泄露、盗链、网页篡改等行为和攻击进行防护。对所有接入系统底层运维人员进行全面审计。定期进行系统漏洞扫描全面发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口，形成整体安全风险报告。对信息系统的访问数据进行全程跟踪审计，通过网络安全态势感知平台对设备运行情况、网络访问情况进行记录，严格留存网络日志达6个月以上。

(三)统一应用安全防护体系建设

为确保系统访问安全，云南省教育厅建立了统一应用安全防护体系——“云南教育云”，重要信息系统使用“云南教育云”与硬件VPN设备深度融合，进行实名制VPN扫码登录，并建立双因子认证、实名登记、访问审计等机制，利用白名单、国密算法、加密校验、LDAP鉴权、手机扫码等技术手段，服务和保障云南省教育厅各类信息系统的安全访问，实时对各类信息系统的访问情况进行监控。按照网络安全集中防护，重点防护，最少暴露面的原则，“云南教育云”作为云南教育信息化应用统一门户，将国家级教育管理信息系统全部纳入实名制用户体系，为全省约3万所学校、60万教师提供公网系统的安全访问通道，在入口层面，极大地减少了系统被恶意攻击的可能性。目前已完成67万用户的实名制注册及系统访问授权，日活用户数近5-8万人，月累计完成近百万人次的服务。门户平台通过有序扩容成功确保全省安全有序通过统一入口开展信息化应用。

三、取得的成果

云南省教育厅高度重视网络安全建设，加强组织领导，健全保障机制，积极响应国家网络安全强国战略思想，真正从计算环境安全、区域边界安全、通讯网络安全、国密安全四重防护体系入手，提升学生资助系统安全防护能力，在确保身份认证安全、数据机密性、数据完整性、操作抗抵赖性的同时，进一步提升用户数据、通信数据、业务数据、存储数据安全。

通过建立基础安全及统一应用防护体系，学生资助系统网络安全及数据安全得到有效保障。在确保工作顺利开展的同时，最大限度控制应用系统互联网暴露面，将重要信息置于教育专网内通过实名制访问为各级教育行政部门和各级各类学校提供服务。在业务部门和技术部门的协同努力下，将制度保障和技术保障有机融合，全方位保障省学生资助工作有序开展。

图3 云南省教育云统一入口