一、国内外信息安全标准体系发展现状

国际信息安全标准化工作兴起于上世纪70年代中期，80年代得到了较快的发展，90年代引起了世界各国的普遍关注，现已形成了较为完善、全面的信息安全标准体系。信息安全国际标准体系指信息安全技术领域所有国际标准按其内在联系形成的科学的有机整体。主要内容包括信息系统安全的一般要求即规范性要求和满足要求所采取的办法；开发安全技术和机制即技术要求、保障机制和注册程序与安全组成关系；开发安全指南即解释性文件和风险分析；安全管理支撑文件和标准即术语和安全评价准则四大方面。

我国的信息安全标准化工作起步较晚，上世纪80年代开始参与国际有关组织的成立会，但是整体基础十分薄弱。如今，经过20多年的发展完善，我国逐步形成了一套完整的信息安全标准体系，制定颁布了150余项信息安全国家标准。其中信息安全标准体系主要包括基础标准、应用标准和管理标准。

基础标准是信息技术安全标准化体系开发过程中所需用到的最基本的标准及技术规范。主要包括安全术语和体系与模型。其中体系与模型是对于某项信息安全技术或某个信息安全领域建立的整体要求或技术架构，如OSI安全体系结构标准、TCP/IP安全体系结构标准等。

应用标准主要指信息技术各个应用领域中的具体安全标准，占据信息安全标准化体系的核心地位。内容主要包括技术标准和测评标准。其中技术标准是对于信息安全产品或系统从技术方面进行的规定，主要包括技术要求、保密技术、密码技术、物理安全、系统安全、标识与鉴别等。测评标准则是指对计算机系统安全、通信网络安全及其信息技术安全产品等进行安全水平测定、评估的一类标准，是对各类产品和系统的安全性评估标准的规范，其内容既包括对信息安全测评的基本条件、测评的手段、方法的描述，又有对具体信息安全产品或系统的测评指标、评定级别的要求，大体分为测评基础、测评办法、产品测评、系统测评等几大类。如信息安全等级和系统安全等级的划分标准、信息技术安全性评估准则、计算机系统安全评估标准、通信网络安全评估标准、密码设备安全评估标准等。

管理标准是对信息技术安全性进行全方位管理的标准，信息安全管理不仅仅是技术方面的，还有管理制度和办法方面的要求，既包括了安全管理的基础要求，还有管理的具体内容、实施管理的手段等方面的规定，主要有管理基础、管理要求、管理内容、管理实施等几方面内容。如信息技术安全管理控制平台标准、安全性数据的管理标准、网络管理标准、硬件设备管理标准等。

二、教育信息安全的主要内容

教育信息安全所涉及的领域非常广泛，有网络、终端、交换设备、安全服务、安全管理和安全监控等。现从信息系统的角度将教育信息安全的主要内容概括为以下四个方面：

一是数据安全保护：针对入侵的安全保护对于数据库来说，其物理完整性、逻辑完整性、数据元素完整性都是十分重要的。数据库中的数据有纯粹信息数据和功能文件数据两大类，入侵保护应主要考虑以下几条原则：1）物理设备和安全防护。包括服务器、有线、无线通信线路的安全防护。2）服务器安全保护。不同类型、不同重要程度的数据应尽可能在不同的服务器上实现，重要数据采用分布式管理，服务器应有合理的访问控制和身份认证措施保护，并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。3）对于病毒和灾难破坏的数据保护来说，最为有效的保护方式有两大类：物理保护和数据备份。要防止病毒和灾难破坏数据，首先要在网络核心设备上设置物理保护措施，包括设置电源冗余模块和交换端口的冗余备份;其次是采用磁盘镜像或磁盘阵列存储数据，避免由于磁盘物理故障造成数据丢失；另外，还要使用其他物理媒体对重要的数据进行备份。包括实时数据备份和定期数据备份，以便数据丢失后及时有效地恢复。

二是入侵防范：要有效地防范非法入侵,应做到内外网隔离、访问控制、内部网络隔离和分段管理。尤其是教育管理信息系统，做好内部堡垒机行为审计，严防操作员行为不当导致的内部泄露事件，同时内外网隔离也是非常必要的。在内部教育管理信息系统网络和外网之间设置物理隔离，实现内外网的隔离是保护系统网络安全的最主要、同时也是最有效、最经济的措施之一。当然,隔离防护最有效的措施就是防火墙。配置合理的防火墙策略滤掉被屏蔽的IP地址和服务,可以首先屏蔽所有的lP地址，然后有选择地放行一些地址进入教育管理信息系统网络。

在访问控制方面系统应采用访问控制的安全措施，将整个网络结构分为三部分：内部网络、隔离区以及外网。每个部分设置不同的访问控制方式。其中内部网络是不对外开放的区域,不对外提供任何服务，所有外部用户检测不到它的IP地址，也难以对它进行攻击。隔离区对外提供服务，系统开放的信息都放在该区，由于它的开放性，就使它成为黑客们攻击的对象。但由于它与内部网是隔离开的，所以即使受到了攻击也不会危及内部网。

三是病毒防护：相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络病毒防治应与网络管理紧密结合。网络防病毒最大的特点在于网络的管理功能。如果没有管理功能，很难完成网络防毒的任务。只有管理与防范相结合，才能保证系统正常运行。

四是数据恢复：教育行业信息系统数据遭到破坏之后，其数据恢复程度依赖于数据备份方案。数据备份的目的在于尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：实时高速度、大容量自动的数据存储、备份与恢复；定期的数据存储、备份与恢复；对系统设备的备份。

三、陕西省教育信息安全标准化问题分析及建议

陕西省基础教育信息系统在业务上分为两大类：教育资源公共服务平台和教育管理公共服务平台。安全防护体系是一个立体的安全保障体系，功能逻辑上可分为三个相对独立的子系统：即管理保障措施、技术保障措施和运行保障措施。管理保障措施包括等级保护体系和安全管理体系：等级保护体系按照国家的统一部署开展工作；安全管理体系则是从制度及其执行的角度，为我省教育系统信息安全工作的开展提供保障。技术保障措施则是在全局信息系统中建立统一的信息安全实施规范，各个信息化领域依据这些规范建立自己的信息安全保障技术体系。运行保障措施的主要内容是建立我省完整的运行维护规范和专业的信息安全服务。

信息安全建设是一个系统工程，也是一个螺旋式循环上升的过程。信息安全领域公认的两大法则：“木桶理论”和“二八原则”。前者表明一个信息系统的安全性由其安全策略及措施最薄弱的那块短板决定，从而说明了安全必须是一个整体。后者表明20％的安全问题将带来80％的风险和损失，要有针对性地进行安全建设。人们常说“三分技术，七分管理”，在信息安全建设中体现得尤为突出，技术和管理缺一不可并且紧密融合。我们主要讨论和研究管理、技术、运行三方面的统筹规划，各有侧重又相互融合。管理方面主要指安全组织、安全策略和制度、安全标准、安全评估、安全审计等；技术方面主要指物理安全、网络基础平台安全和信息资源层安全、业务应用安全；运行方面主要指应急处理、灾备、日常运维等。