高校網(wǎng)絡(luò)安全管理體系探討

鄒麗 王斌 高峰

摘要：隨著《教育信息化2.0行動(dòng)計(jì)劃》的推進(jìn)，高校信息化程度已進(jìn)一步加深，隨之而來(lái)的風(fēng)險(xiǎn)隱患也在逐步增加，本著如何構(gòu)建校園網(wǎng)安全管理體系架構(gòu)保障校園網(wǎng)絡(luò)高速、穩(wěn)定、安全、可靠的運(yùn)行，提出一些看法和建議。

關(guān)鍵詞：網(wǎng)絡(luò)安全;高校;等保2.0;網(wǎng)絡(luò)安全技術(shù)

中圖分類(lèi)號(hào)：TP181 ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）28-0054-02

“互聯(lián)網(wǎng)+”已成為高校教育的“新常態(tài)”，在彌補(bǔ)傳統(tǒng)教授模式不足的同時(shí)，對(duì)教學(xué)科研、管理都起到了促進(jìn)作用，進(jìn)而改變了師生的工作與學(xué)習(xí)方式，成為校園生活中不可或缺的重要組成部分。隨著互聯(lián)網(wǎng)技術(shù)不斷更新與《教育信息化2.0》的穩(wěn)步推進(jìn)，高校信息化出現(xiàn)了多樣性和復(fù)雜性，同時(shí)校園網(wǎng)絡(luò)安全問(wèn)題也日益凸顯，而大多高校對(duì)校園網(wǎng)安全仍舊采取大水漫灌式管理，使得校內(nèi)教學(xué)科研活動(dòng)得不到有效的保障，就近幾年高校網(wǎng)絡(luò)安全工作來(lái)看，如何清晰合理構(gòu)建網(wǎng)絡(luò)安全管理體系以保障校園網(wǎng)師生個(gè)人信息安全及重要核心業(yè)務(wù)穩(wěn)定、安全、可靠的運(yùn)行已成為各個(gè)高校信息化的當(dāng)務(wù)之急。

1 建設(shè)網(wǎng)絡(luò)安全管理體系的原因

高校網(wǎng)絡(luò)安全管理的本質(zhì)即在網(wǎng)絡(luò)服務(wù)不中斷的情況下有效地對(duì)通信鏈路、網(wǎng)絡(luò)系統(tǒng)硬件、軟件及系統(tǒng)中的數(shù)據(jù)進(jìn)行防護(hù)提高其保密性、完整性、和可用性，不因偶然性或者惡意性等原因而遭受破壞、更改、泄露，保障系統(tǒng)連續(xù)可靠正常地運(yùn)行，為在校師生及管理者提供可靠便利的服務(wù)，做到輕松享受教育信息化2.0建設(shè)帶來(lái)的便捷服務(wù)。

1.1 校園網(wǎng)絡(luò)安全管理滯后應(yīng)用系統(tǒng)建設(shè)

由于業(yè)務(wù)部門(mén)系統(tǒng)建設(shè)需求旺盛且建設(shè)周期短，建設(shè)成效易顯現(xiàn)，而大多數(shù)高校信息化部門(mén)主要從事常規(guī)性運(yùn)維工作，且校園網(wǎng)絡(luò)安全管理建設(shè)缺乏體系指導(dǎo)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范評(píng)估能力不足，網(wǎng)絡(luò)安全隊(duì)伍建設(shè)缺乏合理性，各業(yè)務(wù)部門(mén)缺乏網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范意識(shí)等原因，導(dǎo)致校園網(wǎng)絡(luò)安全建設(shè)及管理存在隨意性、重復(fù)性、盲目性、科學(xué)性等問(wèn)題。

1.2 個(gè)人信息泄露頻繁

2017年勒索病毒肆虐全球，國(guó)內(nèi)高校成為重災(zāi)區(qū);2018年9月華住集團(tuán)涉及5億條個(gè)人信息泄露;2018年8月，浙江省1000萬(wàn)條學(xué)籍?dāng)?shù)據(jù)疑似泄露等安全事件的發(fā)生，加速了我國(guó)網(wǎng)絡(luò)安全治理工作的步伐，如2017年出臺(tái)《網(wǎng)絡(luò)安全法》、2019年5月出臺(tái)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、2019年全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)面向全社會(huì)公開(kāi)征求《信息安全技術(shù)個(gè)人信息安全規(guī)范（草案）》意見(jiàn)等。如何將法律法規(guī)與高校實(shí)際業(yè)務(wù)需求結(jié)合提高政府資金利用率，構(gòu)建合理合規(guī)可管可控的網(wǎng)絡(luò)安全管理體系，避免校園網(wǎng)絡(luò)安全建設(shè)出現(xiàn)隨意性及粗分散性顯得尤為重要。

1.3 網(wǎng)絡(luò)安全威脅不斷增大

近幾年網(wǎng)絡(luò)犯罪數(shù)量及犯罪手段不斷翻新，網(wǎng)絡(luò)威脅行為造成的破壞不斷增大，就近幾年高校所面臨的網(wǎng)絡(luò)安全威脅來(lái)看，主要有網(wǎng)站篡改，數(shù)據(jù)盜取，木馬種植、惡意挖礦、病毒破壞、DDOS攻擊等威脅。

2 高校網(wǎng)絡(luò)安全管理體系架構(gòu)設(shè)計(jì)

2.1 高校網(wǎng)絡(luò)安全管理體系架構(gòu)簡(jiǎn)介

由圖1可見(jiàn)，從自身信息化資產(chǎn)實(shí)際出發(fā)，為保障師生個(gè)人隱私安全和核心業(yè)務(wù)穩(wěn)定運(yùn)行為目標(biāo)，以人和信息資產(chǎn)作為管理對(duì)象，建立以安全形勢(shì)、國(guó)家政策法規(guī)及上級(jí)部門(mén)工作要求為指引，研究制定符合高校網(wǎng)絡(luò)安全的工作方針、政策、規(guī)劃，在安全管理機(jī)構(gòu)、網(wǎng)絡(luò)安全人才隊(duì)伍、資金支持及領(lǐng)導(dǎo)支持的基礎(chǔ)支撐上，從技術(shù)管理體系與制度管理體系相結(jié)合的方式保障高校信息資產(chǎn)的網(wǎng)絡(luò)安全。

2.2 提高認(rèn)識(shí)、建立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)機(jī)構(gòu)

大多高校網(wǎng)絡(luò)信息管理部門(mén)主要從事校園網(wǎng)絡(luò)及信息系統(tǒng)的日常運(yùn)行、技術(shù)維護(hù)、安全保障工作。在校園網(wǎng)絡(luò)安全統(tǒng)籌規(guī)劃、建設(shè)、管理及應(yīng)急處置時(shí)由于網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全管理不統(tǒng)一、信息資產(chǎn)不清、用戶信息不完整等原因存在巨大的風(fēng)險(xiǎn)隱患。建立以校領(lǐng)導(dǎo)為高校網(wǎng)絡(luò)安全第一負(fù)責(zé)人的領(lǐng)導(dǎo)機(jī)構(gòu)，健全機(jī)構(gòu)職能及制度，從思想上高度重視，做到統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一技術(shù)標(biāo)準(zhǔn)、統(tǒng)一管理，做到網(wǎng)絡(luò)安全與信息化項(xiàng)目同步建設(shè)、同步實(shí)施、同步發(fā)展;突出校園網(wǎng)絡(luò)安全工作重點(diǎn)有效整合校內(nèi)外資源、推動(dòng)校園網(wǎng)絡(luò)整體安全運(yùn)行。

2.3 完善網(wǎng)絡(luò)安全管理制度

按照”誰(shuí)主管、誰(shuí)負(fù)責(zé);誰(shuí)使用、誰(shuí)負(fù)責(zé);誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)“的基本原則，重點(diǎn)完善部門(mén)網(wǎng)絡(luò)安全責(zé)任制度，校園網(wǎng)用戶所在部門(mén)職能、人員職能，同步制定相關(guān)的網(wǎng)絡(luò)安全責(zé)任考核制度和責(zé)任追究制度;對(duì)校內(nèi)信息化項(xiàng)目進(jìn)行風(fēng)險(xiǎn)評(píng)估管理，建全校內(nèi)信息備案制度、網(wǎng)絡(luò)安全管理臺(tái)賬、應(yīng)急預(yù)案及應(yīng)急保障，規(guī)范運(yùn)維及外包安全管理制度，加大網(wǎng)絡(luò)安全專業(yè)技術(shù)人員考核指標(biāo)，針對(duì)校園網(wǎng)用戶開(kāi)展網(wǎng)絡(luò)安全相關(guān)政策文件法規(guī)的宣傳工作。制定關(guān)鍵信息資產(chǎn)涉及產(chǎn)品的運(yùn)維管理制度，定期開(kāi)展安全巡檢工作，對(duì)可能出現(xiàn)的風(fēng)險(xiǎn)隱患進(jìn)行及時(shí)有效管理。

2.4 建立重要信息資產(chǎn)分類(lèi)分級(jí)識(shí)別備案

對(duì)高校重要信息資產(chǎn)進(jìn)行識(shí)別、分類(lèi)及分級(jí)備案，做到網(wǎng)絡(luò)安全管理對(duì)象更加明確清晰;依照?qǐng)D1-高校網(wǎng)絡(luò)安全管理體系架構(gòu)圖可見(jiàn)，高校重要信息資產(chǎn)分為兩類(lèi);分別是網(wǎng)絡(luò)基礎(chǔ)設(shè)施資產(chǎn)、信息系統(tǒng)資產(chǎn)。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施資產(chǎn)包含：路由器、網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備;存儲(chǔ)設(shè)備、光纖等傳輸線路、UPS、空調(diào)、門(mén)禁等保障設(shè)備;防火墻、上網(wǎng)行為審計(jì)、入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、WAF、網(wǎng)絡(luò)準(zhǔn)入認(rèn)證系統(tǒng)、VPN等安全設(shè)備;PC、電子屏、自助終端業(yè)務(wù)機(jī)等終端設(shè)備。網(wǎng)絡(luò)基礎(chǔ)設(shè)施資產(chǎn)從設(shè)備名稱、品牌、供貨時(shí)間、質(zhì)保期、責(zé)任部門(mén)等方面進(jìn)行備案登記管理，主要解決網(wǎng)絡(luò)基礎(chǔ)設(shè)施資產(chǎn)不清、重復(fù)建設(shè)、產(chǎn)權(quán)歸屬不明確，責(zé)任推諉等問(wèn)題。

信息系統(tǒng)資產(chǎn)包含招生、學(xué)籍、宿管、教務(wù)、研究生、OA辦公等關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)，和移動(dòng)端應(yīng)用、大數(shù)據(jù)、云計(jì)算等新技術(shù)應(yīng)用系統(tǒng)。主要從互聯(lián)網(wǎng)開(kāi)放情況、IP地址、域名、業(yè)務(wù)范圍、存放位置、開(kāi)放端口、操作系統(tǒng)、中間件、定等級(jí)別、備案號(hào)、所屬部門(mén)、網(wǎng)絡(luò)安全責(zé)任人等方面建立信息系統(tǒng)備案登記表，建立信息安全管理基線，對(duì)互聯(lián)網(wǎng)接入、端口管理、操作系統(tǒng)正版化、系統(tǒng)漏洞及其他風(fēng)險(xiǎn)防范管理提供支撐。

2.5 校園網(wǎng)絡(luò)安全技術(shù)體系架構(gòu)規(guī)范

以應(yīng)用型高校為例，網(wǎng)絡(luò)安全技術(shù)體系機(jī)構(gòu)可以依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GB∕T 22239-2019，針對(duì)信息系統(tǒng)定等級(jí)別和應(yīng)用實(shí)際出發(fā)，從物理和環(huán)境安全、業(yè)務(wù)拓展安全、安全管理與監(jiān)測(cè)、計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全和云端安全七個(gè)層次建立校園網(wǎng)絡(luò)安全技術(shù)防范體系框架，可依照色彩深度分三個(gè)批次對(duì)信息資產(chǎn)安全保護(hù)建設(shè)進(jìn)行模塊化階段性劃分，即白色為等級(jí)保護(hù)二級(jí)安全建設(shè)要求，淺灰色為等級(jí)保護(hù)三級(jí)建設(shè)要求，深灰色為等級(jí)保護(hù)四級(jí)安全建設(shè)要求。

2.6 高校安全應(yīng)急預(yù)災(zāi)備保障

建全高校網(wǎng)絡(luò)安全應(yīng)急與災(zāi)備保障機(jī)制，同城高校之間建立異地災(zāi)備中心，搭建高校與企業(yè)“協(xié)同行動(dòng)”的工作機(jī)制。制定高校網(wǎng)絡(luò)安全應(yīng)急響應(yīng)計(jì)劃、災(zāi)難恢復(fù)策略、災(zāi)難恢復(fù)預(yù)案，并對(duì)其有效性和實(shí)時(shí)性進(jìn)行修正完善。定期組織校內(nèi)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)、災(zāi)備培訓(xùn)并開(kāi)展應(yīng)急演練，保障高校信息化健康持續(xù)發(fā)展。

2.7 重視網(wǎng)絡(luò)安全技術(shù)人員隊(duì)伍建設(shè)

持續(xù)把校園網(wǎng)絡(luò)安全隊(duì)伍能力建設(shè)作為強(qiáng)化網(wǎng)絡(luò)安全管理的根本。嚴(yán)格執(zhí)行國(guó)家、地區(qū)和校內(nèi)有關(guān)規(guī)定， 制定年度網(wǎng)絡(luò)安全管理從業(yè)人員技能培訓(xùn)計(jì)劃， 堅(jiān)持以保障校內(nèi)重要信息資產(chǎn)安全為依據(jù)有序開(kāi)展網(wǎng)絡(luò)安全技能及知識(shí)培訓(xùn)， 注重培養(yǎng)校內(nèi)網(wǎng)絡(luò)安全核心人員發(fā)展，進(jìn)一步建設(shè)校內(nèi)網(wǎng)絡(luò)安全人才培養(yǎng)管理工作，努力打造校內(nèi)專業(yè)技術(shù)人員，現(xiàn)場(chǎng)事故處置、綜合安全管理“三個(gè)能力”的網(wǎng)絡(luò)安全管理人才隊(duì)伍，為高校網(wǎng)絡(luò)安全管理可持續(xù)提升提供良好的人力資源保障。

3 結(jié)束語(yǔ)

總的來(lái)說(shuō)，高校信息化程度越高，網(wǎng)絡(luò)安全的影響也就越為深刻;在大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)技術(shù)等新技術(shù)快速發(fā)展的 大背景下，高校網(wǎng)絡(luò)安全管理體系應(yīng)本著問(wèn)題導(dǎo)向、目標(biāo)導(dǎo)向、結(jié)果導(dǎo)向，依照政策法規(guī)及互聯(lián)網(wǎng)安全形勢(shì)變化將管理體系與技術(shù)體系進(jìn)行合理有效融合是高校網(wǎng)絡(luò)安全管理體系構(gòu)建的根本。

參考文獻(xiàn)：

[1] 段海新.校園網(wǎng)安全問(wèn)題分析與對(duì)策[J].中國(guó)教育網(wǎng)絡(luò)，2005（3）：22-25.

[2] 劉欽創(chuàng).高校校園網(wǎng)的安全現(xiàn)狀與對(duì)策[J].現(xiàn)代計(jì)算機(jī)，2006（3）：103-106.

[3] 李婧.高校校園網(wǎng)絡(luò)安全分析及解決方案[J].信息與電腦（理論版），2019（23）：146-147.

[4] 劉佳.從“勒索病毒”看高校網(wǎng)絡(luò)安全[J].科技資訊，2018，16（11）：25，27.

[5] 鄒凱，向尚，張中青揚(yáng)，等.智慧城市信息安全風(fēng)險(xiǎn)評(píng)估模型構(gòu)建與實(shí)證研究[J].圖書(shū)情報(bào)工作，2016，60（7）：19-24.

[6] 翟躍，路萍，宋亮.基于等級(jí)保護(hù)的信息資產(chǎn)風(fēng)險(xiǎn)管理系統(tǒng)研究[C]//中國(guó)計(jì)算機(jī)用戶協(xié)會(huì)網(wǎng)絡(luò)應(yīng)用分會(huì)2019年第二十三屆網(wǎng)絡(luò)新技術(shù)與應(yīng)用年會(huì)論文集.合肥，2019：259-262.

【通聯(lián)編輯：唐一東】