網(wǎng)絡(luò)安全工作要技管并重 管理先行

高校網(wǎng)絡(luò)安全管理工作應(yīng)遵循何種原則？網(wǎng)絡(luò)安全工作的難點(diǎn)是什么?如何進(jìn)一步完善網(wǎng)絡(luò)安全管理體系？如何使用戶理解并配合學(xué)校的網(wǎng)絡(luò)安全工作?

“2019中國高校信息化主任論壇”上，天津大學(xué)信息與網(wǎng)絡(luò)中心主任劉峰、華南理工大學(xué)副首席信息官兼網(wǎng)信辦主任陸以勤、電子科技大學(xué)信息中心主任侯孟書、西北工業(yè)大學(xué)信息化建設(shè)與管理處處長薛靜、清華大學(xué)信息化工作辦公室副主任劉沐就上述問題，以“網(wǎng)絡(luò)安全建設(shè)”為主題展開了深入討論，華中科技大學(xué)網(wǎng)絡(luò)與信息化辦公室主任于俊清主持了研討。

左起：劉沐、侯孟書、劉峰、陸以勤、薛靜、于俊清

陸以勤：網(wǎng)信部主任是網(wǎng)絡(luò)空間的“保安隊(duì)長”

陸以勤華南理工大學(xué)副首席信息官兼網(wǎng)信辦主任

網(wǎng)絡(luò)安全工作是不對(duì)等的博弈，它有三個(gè)“苦”：第一，對(duì)方，也就是網(wǎng)絡(luò)攻擊者在暗處，需要我們保護(hù)的對(duì)象即被攻擊者在明處；第二，攻擊者是“武裝到牙齒”的職業(yè)選手，被攻擊者是“手無寸鐵”的平民；第三，網(wǎng)絡(luò)攻擊在網(wǎng)絡(luò)空間角度經(jīng)常是有組織的，如DDoS，而被攻擊者通常是個(gè)體防御。

然而，網(wǎng)絡(luò)安全恰恰也給了信息化工作一個(gè)機(jī)會(huì)。如果把網(wǎng)絡(luò)空間和實(shí)體空間做對(duì)比，網(wǎng)信部門負(fù)責(zé)人在網(wǎng)絡(luò)空間就相當(dāng)于實(shí)體空間“保安隊(duì)隊(duì)長”的角色。網(wǎng)信部門負(fù)責(zé)人可以結(jié)合這一重要角色，將信息化和網(wǎng)絡(luò)安全同步進(jìn)行，例如，可以以“保安隊(duì)隊(duì)長”的身份在信息化項(xiàng)目的流程管理過程中，在處理數(shù)據(jù)安全的同時(shí)，處理好數(shù)據(jù)共享的問題。

華南理工大學(xué)在網(wǎng)信工作方面，建立了信息化和網(wǎng)絡(luò)安全工作的同步機(jī)制，在制度化的同時(shí)進(jìn)行流程化處理。學(xué)校所有的信息化項(xiàng)目都由網(wǎng)信辦進(jìn)行流程管理，網(wǎng)信辦在審核相關(guān)項(xiàng)目時(shí)，著重審核網(wǎng)絡(luò)安全和數(shù)據(jù)共享兩方面，如果達(dá)不到這兩項(xiàng)要求，就不能上線。這種方式將網(wǎng)絡(luò)安全和信息化工作“綁定”，讓網(wǎng)絡(luò)安全和信息化成為“一體之兩翼、驅(qū)動(dòng)之雙輪”，統(tǒng)一部署、統(tǒng)一實(shí)施，在解決網(wǎng)絡(luò)安全問題的同時(shí)解決數(shù)據(jù)共享問題。

劉峰：找準(zhǔn)信息資產(chǎn)抓手實(shí)施安全管理

劉峰天津大學(xué)信息與網(wǎng)絡(luò)中心主任

由于學(xué)院、部處各單位在管理上相對(duì)獨(dú)立，因而內(nèi)部機(jī)制不盡相同，造成了信息資源梳理方面的困境，各系統(tǒng)之間的管理也缺乏一致的流程和規(guī)范。

解決這些問題的途徑有三：第一，依據(jù)政策，將安全管控與學(xué)校組織架構(gòu)相結(jié)合；第二，找準(zhǔn)信息資產(chǎn)這個(gè)抓手，將校園信息資產(chǎn)全生命周期的梳理管控貫徹到底，實(shí)現(xiàn)雙維度的完美結(jié)合；第三，廠校協(xié)作，學(xué)校與社會(huì)融合，搭建安全問題從發(fā)現(xiàn)到解決的閉環(huán)流程。

天津大學(xué)校園網(wǎng)絡(luò)安全管理體系的建設(shè)思路是高占位、建體系、理資產(chǎn)、搭平臺(tái)，建立信息安全的管理體系、運(yùn)營體系和技術(shù)體系。

侯孟書：網(wǎng)絡(luò)安全遵循最小化原則

侯孟書電子科技大學(xué)信息中心主任

從大的方面說，國家進(jìn)入新時(shí)代，習(xí)總書記針對(duì)網(wǎng)絡(luò)安全和信息化發(fā)表了一系列講話，如沒有信息化就沒有現(xiàn)代化、沒有網(wǎng)絡(luò)安全就沒有國家安全等。正如吳建平院士所言，只有真正掌握互聯(lián)網(wǎng)的核心技術(shù)，才能從根本上解決網(wǎng)絡(luò)安全問題。

關(guān)于網(wǎng)絡(luò)安全，我有三點(diǎn)體會(huì)：第一，網(wǎng)絡(luò)安全要遵循最小化原則；第二，網(wǎng)絡(luò)安全建設(shè)中，人才要素非常重要；第三，網(wǎng)絡(luò)安全與信息系統(tǒng)的開放性從某種程度上是有矛盾的，如何兼顧開放和安全，需要我們每個(gè)人深入思考。

薛靜：網(wǎng)絡(luò)安全工作 痛并快樂著

薛靜西北工業(yè)大學(xué)信息化建設(shè)與管理處處長

西北工業(yè)大學(xué)的網(wǎng)絡(luò)安全工作圍繞三個(gè)方面開展。技術(shù)上，要讓所有的安全問題看得見、防得??；管理上，要定責(zé)任、抓落實(shí)；人員上，要強(qiáng)意識(shí)、建隊(duì)伍。

當(dāng)前，網(wǎng)絡(luò)安全1.0 亟需向網(wǎng)絡(luò)安全2.0時(shí)代發(fā)展。2.0 時(shí)代應(yīng)該有人員的實(shí)時(shí)安全防護(hù)，在此基礎(chǔ)上，努力將安全工作實(shí)時(shí)化、主動(dòng)化。

網(wǎng)絡(luò)安全工作的重要作用有三個(gè)：一是能提升應(yīng)用系統(tǒng)的建設(shè)水平；二是能進(jìn)一步提升對(duì)數(shù)據(jù)的安全管理；三是可以拉近信息化部門與師生之間的距離，因?yàn)閹熒蔷W(wǎng)絡(luò)安全的主要參與者。

網(wǎng)絡(luò)安全工作責(zé)任重大，任務(wù)艱巨，但只要大家努力去做，就是痛并快樂著的。

于俊清：網(wǎng)絡(luò)安全工作七分管理 三分技術(shù)

于俊清華中科技大學(xué)網(wǎng)絡(luò)與信息化辦公室主任

華中科技大學(xué)高度重視網(wǎng)絡(luò)安全，在國內(nèi)高校率先成立了網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，組長由書記和校長擔(dān)任，分管信息化和宣傳工作的校領(lǐng)導(dǎo)任副組長，各職能部門均為成員單位。學(xué)校提出并建設(shè)了“攻擊能防護(hù)、問題能追溯”的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，獲批建設(shè)湖北省網(wǎng)絡(luò)安全和信息化創(chuàng)新研究中心。

網(wǎng)絡(luò)安全為師生，網(wǎng)絡(luò)安全靠師生；七分管理，三分技術(shù)，只有管得住，才能放得開；摸清家底，堅(jiān)持到底！信息化管理者不僅要懂技術(shù)，更要懂管理，要提高政治站位，認(rèn)真領(lǐng)會(huì)國家領(lǐng)導(dǎo)人關(guān)于網(wǎng)絡(luò)安全和信息化工作的重要論述，用理論武裝頭腦，用理論指導(dǎo)實(shí)踐，讓師生、各職能部門、院系都能夠充分享受信息化發(fā)展的成果。

劉沐：向內(nèi)發(fā)力 打造信息安全體系

劉沐清華大學(xué)信息化工作辦公室副主任

高校的信息安全工作應(yīng)處理好兩點(diǎn)：第一，技管并重，管理先行。管理要有更多的責(zé)任和擔(dān)當(dāng)，為技術(shù)的落地穿針引線，鋪路搭橋，為技術(shù)的實(shí)施爭取更大的共識(shí)，創(chuàng)造更好的輿論環(huán)境；第二，內(nèi)涵式發(fā)展。高校應(yīng)該通過向內(nèi)發(fā)力打造信息化安全體系，全面提升網(wǎng)絡(luò)安全防護(hù)能力。

在網(wǎng)絡(luò)安全工作中，有許多制度需要執(zhí)行，執(zhí)行時(shí)應(yīng)當(dāng)設(shè)身處地為不同人群制定不同的方案。必要時(shí)需要適度引導(dǎo)，只有讓老師們認(rèn)同方案，他們才會(huì)支持學(xué)校的決策。