本文以XX公共培训服务平台的建设运营为例,从安全设备部署、系统建设运营、管理制度完善、参与主体安全意识提升等方面探讨在线培训服务平台安全防护策略。
XX公共培训服务平台(以下成为平台)是依托于互联网、人工智能等现代信息技术手段和技术工具开发的学习平台及服务支持系统,配备丰富的学习资源,供学习者学习交流使用。该平台的建设与运营服务于地方服务贸易人才培训与就业,促进了区域培训资源的合理配置,实现了资源共享,提升了服务区域产业发展的能力。
平台提供在线直播、点播学习、在线招聘、学习管理等业务功能,产生大量的教育数据,除了传统的静态信息,如姓名、性别、年龄、住址、支付信息等,还包括个人特征的动态信息,如浏览记录、IP地址、学习轨迹等。大量的数据信息存储与利用,使得在线教育平台面临着巨大的安全风险。
XX公共培训服务平台部署在高校校园网络内,信息安全防护策略涉及到防护软硬件设施、管理制度建设、平台系统建设与运营以及参与主体安全意识等诸多方面。
2.1 部署完善安全防护软硬件设施
按照信息系统等级保护标准的要求,根据重要程度和业务处理的不同,围绕“事前、事中、事后”一体的全生命周期防御方案,对校园网络进行划分,针对不同区域采取不同的安全策略和部署,分别部署防火墙、过滤网关、入侵防御、EDR、脆弱性扫描与管理系统、备份一体机等安全设备。配置安全管理平台,对安全设备和软件进行统一管理,管理人员能够对安全设备和各种资源进行统一管理、集中审计,从技术上保障各项安全措施的实施效果。部署数据安全态势感知平台,对校内大融合数据中心内海量数据进行分类分级,完善访问控制规则,同时增补各个安全节点,实现数据审计、访问控制、脱敏和加密。
在系统日常运行中,首先,通过身份认证技术来保证用户的正常操作。系统为教职员工和校外学习用户分别建立用户数据库,对用户权限和访问模式等进行集中分级管理,简化系统流程,提升管理效率。其次,使用下一代防火墙技术进行网络的访问控制,同时通过DMZ区的设置,保护校方对外服务器的安全;部署WEB防火墙,防止网页防篡改,进行网站页面内容的保护,防止非授权人员随意篡改内容,增强网站的安全性。第三,应用入侵检测技术,结合协议异常检测、状态检测、关联分析形成的检测引擎,实时拦截数据流量中各种类型的恶意攻击流量,把攻击防御在单位网络之外。
2.2建立健全安全管理机制
网络安全防护不仅需要技术措施,还必须依赖相应的安全管理制度。制定完善的管理规章制度,对于确保网络安全、可靠的运行具有重要作用。学校先后发布一系列网络安全管理办法,建立健全信息安全管理机制,保障系统安全稳定运行。
制定《网络安全工作责任制实施办法》,成立网络安全与信息化领导小组,统筹制定网络安全和信息化发展战略、规划和重大政策,研究解决网络安全和信息化发展的重大问题。学校党委统一领导网络安全工作,党委主要负责人为学校网络安全第一责任人,校长负同等责任,分管校领导为直接责任人,下设多个功能机构,落实工作细节。
制定《信息化数据资源暂行管理办法》,加强信息化数据资源的统一管理和质量控制,推动数据资源科学配置和有效利用,提高信息化条件下学校治理能力和公共服务水平。
颁布《网络安全监测、信息通报与处置办法的通知》,全面提高学校网络安全隐患预警、防范和应急处理能力,及时做好相应的安全防范措施,减少网络安全事件带来的损失和影响。
此外还制定发布了《网络使用管理规定(暂行)》《网络信息应急处置预案(暂行)》《网络安全检测与计算机病毒防治管理规定(暂行)》《校园网站登记备案制度(暂行)》等网络使用管理及信息安全相关制度。在网站运营管理中,制定信息发布管理流程等。通过系统的管理规定,落实责任到人,规范化操作,全面保障各项安全工作落实到位。
在线培训服务平台在运营过程中,严格按照学校要求,落实各项规定,在平台日常运营、信息发布、学习组织、后台管理、应急处理等方面制定平台的工作流程,落实工作责任制,按照流程规范化操作,保障平台安定有序的运行。
2.3规范在线教育平台建设与管理
信息安全是在线培训系统开发的第一要素,信息安全须融入到系统的开发建设中。该系统在开发之初就邀请技术专家及使用部门进行全面论证,从软件架构、实施细节到系统安全保障技术等多角度来满足信息安全的需求。在软件建设阶段,研究确定软件进度计划、软件开发技术及功能实现、软件安全防护措施等要素,及时处理软件开发中存在的问题并进行完善,提升软件开发质量,保障软件开发安装计划的顺利进行,减少平台系统建设过程中可能存在的安全问题。
在平台系统中使用信息加密技术,通过精细化算法对软件程序运行中所产生的数据流通问题进行堆叠化处理,尽最大可能防止黑客攻击和病毒入侵等安全风险。使用加密技术对网络传输、线路加密、网络接口和存储系统等进行处理,保障系统运行安全,同时保证有完善且无法篡改的日志记录,在保障数据安全的同时具有完整的审计记录。
在线培训服务平台系统使用过程中,工作人员要定期维护,以保证系统正常运行,并使得在线培训服务平台的各项功能及效果满足信息安全环境的发展需求。平台系统维护人员需要定期检测软件的各项性能,关注系统日志报告,及时掌握软件的使用情况,处理系统异常问题,并记录成册。定期请信息中心进行评测。如果软件部分功能不能满足功能或安全需求,需要软件开发人员对软件进行必要的更改和修复。学院相关负责部门应定期进行系统运营情况检查,并根据检查情况提出整改意见。
在软件使用过程中,需要格外重视软件运营情况。关注日志报告,及时处理异常问题;定期对软件进行漏洞扫描,并及时修补漏洞、排除潜在威胁,必要时对软件升级以适应现有技术革新。
2.4 培养参与者的安全意识
提升在线培训服务主体的安全防范意识是提升平台安全性的重要部分。参与主体需要提高信息安全的敏感度,并正确认识信息安全的重要性。落实参与者的安全意识需要教育在先,预防在前。一方面,平台提供信息安全课程公开课并积极引导学员学习,学习《民法典》《个人信息保护法》等有关个人信息保护的法律法规,强化个人信息安全法律意识,切实提高对信息安全问题的认识。学员通过法律素养的提升,培养自身的法治意识,以实现对自身行为的良好约束。另一方面,学员通过积极学习个人信息安全的防护技巧,如在使用平台时不随意在平台发布个人信息、不点击不明链接、不随意在其他系统注册身份信息等,避免自身隐私信息泄露,全方位提升个人信息安全保护能力,做到防患于未然。