高校網(wǎng)絡(luò)安全治理體系構(gòu)建研究

◆魏楚元 任彥龍 李欣

高校網(wǎng)絡(luò)安全治理體系構(gòu)建研究

◆魏楚元 任彥龍 李欣

（北京建筑大學(xué)信息中心 北京 100044）

高校網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、網(wǎng)絡(luò)用戶數(shù)規(guī)模大，一直是網(wǎng)絡(luò)安全防范的主要陣地。本文全面分析了高校存在的網(wǎng)絡(luò)安全問(wèn)題和薄弱環(huán)節(jié)，創(chuàng)新提出高校網(wǎng)絡(luò)安全治理體系，從安全策略規(guī)劃、安全管理、技術(shù)體系、風(fēng)險(xiǎn)治理、運(yùn)行運(yùn)維和治理能力六個(gè)維度進(jìn)行了闡述，最后給出了網(wǎng)絡(luò)安全管理工作的主要措施。高校網(wǎng)絡(luò)安全治理體系的構(gòu)建，對(duì)解決高校網(wǎng)絡(luò)安全問(wèn)題提供了解決方案，為高校網(wǎng)絡(luò)安全工作提供參考。

網(wǎng)絡(luò)安全；等級(jí)保護(hù)；網(wǎng)絡(luò)安全治理體系

近年來(lái)全國(guó)高校紛紛提出建設(shè)“智慧校園”的目標(biāo)，在制定信息化發(fā)展規(guī)劃時(shí)將網(wǎng)絡(luò)安全管理作為一個(gè)重要的內(nèi)容考慮進(jìn)去，并且對(duì)照等保1.0標(biāo)準(zhǔn)進(jìn)行了部分建設(shè)，在網(wǎng)絡(luò)安全建設(shè)方面形成了一些思路和做法，網(wǎng)絡(luò)安全管理水平較過(guò)去有較大幅度提升。但是應(yīng)該清醒地認(rèn)識(shí)到，高校網(wǎng)絡(luò)安全工作還存在不少深層次的問(wèn)題仍然得不到解決，與高校信息化建設(shè)發(fā)展節(jié)奏不匹配，重建設(shè)、輕安全的局面依然存在，高校網(wǎng)絡(luò)安全管理工作不能形成一套治理體系來(lái)予以推進(jìn)。網(wǎng)絡(luò)安全和信息化工作必須兩手抓，兩手都要硬，網(wǎng)絡(luò)安全工作要放在信息化建設(shè)中的首要位置加以考慮，重點(diǎn)建設(shè)，才能更好地促進(jìn)高校信息化建設(shè)工作有序推進(jìn)與良性發(fā)展。

1 高校網(wǎng)絡(luò)安全問(wèn)題分析

高校網(wǎng)絡(luò)安全工作存在的問(wèn)題，既有管理體制機(jī)制方面的問(wèn)題，也有政策制度執(zhí)行不力的問(wèn)題；既有管理隊(duì)伍人才建設(shè)的問(wèn)題，也有技術(shù)實(shí)力不夠的問(wèn)題；既有網(wǎng)絡(luò)安全意識(shí)不強(qiáng)的問(wèn)題，也有網(wǎng)絡(luò)安全被動(dòng)防御的問(wèn)題?？傮w來(lái)講，高校缺乏行之有效的網(wǎng)絡(luò)安全治理體系，未能形成規(guī)范的網(wǎng)絡(luò)安全管理流程，在網(wǎng)絡(luò)安全管理與技術(shù)防范上形成合力。

1.1 學(xué)校網(wǎng)絡(luò)安全管理尚未形成體系

高校普遍建設(shè)有校園網(wǎng)和若干信息系統(tǒng)，可以統(tǒng)稱(chēng)為網(wǎng)絡(luò)平臺(tái)。保障信息安全是網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者最基本的責(zé)任。高校網(wǎng)絡(luò)安全管理關(guān)鍵在于壓實(shí)主體責(zé)任，《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)平臺(tái)主體責(zé)任進(jìn)行了詳細(xì)的類(lèi)型化，將數(shù)據(jù)安全的主體責(zé)任落實(shí)到包括政府、企業(yè)、組織和個(gè)人等多方層面。毫無(wú)疑問(wèn)，網(wǎng)絡(luò)平臺(tái)是網(wǎng)絡(luò)安全體系的核心和基本抓手，平臺(tái)是所有用戶的連接點(diǎn)，是所有網(wǎng)絡(luò)服務(wù)的承擔(dān)者，是數(shù)據(jù)信息的存儲(chǔ)者，是用戶權(quán)益的直接保護(hù)者。網(wǎng)絡(luò)平臺(tái)是保障網(wǎng)絡(luò)數(shù)據(jù)安全的第一道防線，是網(wǎng)絡(luò)安全的第一責(zé)任人。網(wǎng)絡(luò)平臺(tái)是網(wǎng)絡(luò)安全體系的直接執(zhí)行者和落實(shí)者，這也就構(gòu)成了網(wǎng)絡(luò)平臺(tái)主體責(zé)任中的信息安全責(zé)任范疇。當(dāng)前高校網(wǎng)絡(luò)安全管理的現(xiàn)狀是，學(xué)校普遍設(shè)置有網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，黨委書(shū)記和校長(zhǎng)任組長(zhǎng)，網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室的工作職能基本上在信息辦或信息中心，實(shí)際上學(xué)校的網(wǎng)絡(luò)平臺(tái)建設(shè)更多分散在各個(gè)職能部處、二級(jí)學(xué)院和直屬單位。網(wǎng)絡(luò)安全面臨的現(xiàn)實(shí)問(wèn)題是“各個(gè)二級(jí)單位都建設(shè)有網(wǎng)站、信息系統(tǒng)而普遍缺乏對(duì)網(wǎng)絡(luò)安全的管理，普遍依托系統(tǒng)開(kāi)發(fā)商進(jìn)行維護(hù)”，“誰(shuí)主管，誰(shuí)負(fù)責(zé)；誰(shuí)主辦，誰(shuí)負(fù)責(zé)”更多體現(xiàn)在“網(wǎng)絡(luò)安全事故發(fā)生后的處置，而不是事前主動(dòng)履行網(wǎng)絡(luò)安全主體責(zé)任”。高?；旧弦罁?jù)上位文件和法規(guī)制定了《學(xué)校網(wǎng)絡(luò)安全管理辦法》等基本制度，但是這些規(guī)章制度沒(méi)有從頂層進(jìn)行系統(tǒng)性設(shè)計(jì)，對(duì)網(wǎng)絡(luò)安全管理的責(zé)任、權(quán)利、義務(wù)、處罰等未形成系統(tǒng)性、操作性強(qiáng)的條款，規(guī)章制度不系統(tǒng)、不完善、針對(duì)性不強(qiáng)，在網(wǎng)絡(luò)安全管理過(guò)程中很難依法依規(guī)執(zhí)行。有的高校建設(shè)網(wǎng)站和信息系統(tǒng)多達(dá)數(shù)百個(gè)，涉及校內(nèi)外多個(gè)業(yè)務(wù)部門(mén)和多個(gè)管理領(lǐng)導(dǎo)、維護(hù)人員，甚至有不少業(yè)務(wù)部門(mén)認(rèn)為網(wǎng)絡(luò)安全的責(zé)任就應(yīng)該由信息辦或信息中心承擔(dān)，從這種現(xiàn)實(shí)情況也可以看出各個(gè)業(yè)務(wù)部門(mén)普遍缺乏對(duì)《網(wǎng)絡(luò)安全法》的學(xué)習(xí)，也對(duì)網(wǎng)絡(luò)安全主體責(zé)任認(rèn)識(shí)不清晰、網(wǎng)絡(luò)安全意識(shí)不強(qiáng)，在實(shí)際工作中往往成為網(wǎng)絡(luò)安全工作的阻力而無(wú)法形成齊抓共管的工作合力。

因此，高校關(guān)于網(wǎng)絡(luò)安全管理體系的一系列制度規(guī)范、工作隊(duì)伍、資源保障、經(jīng)費(fèi)投入、督察機(jī)制、安全素養(yǎng)培育、技術(shù)防御體系等方面的工作，并未形成體系化的工作框架，難以落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，不能形成網(wǎng)絡(luò)安全建設(shè)的管理的系統(tǒng)性任務(wù)清單，也就無(wú)法做實(shí)網(wǎng)絡(luò)安全保障工作從而提升校園網(wǎng)絡(luò)安全的管理服務(wù)能力。

1.2 學(xué)校網(wǎng)絡(luò)安全防御體系尚未形成

學(xué)校在信息化建設(shè)過(guò)程中，應(yīng)該將網(wǎng)絡(luò)安全防御體系作為一個(gè)重要的抓手來(lái)促進(jìn)建設(shè)。當(dāng)前高校面臨的局面是網(wǎng)絡(luò)安全工作“頭痛醫(yī)頭、腳痛醫(yī)腳”，網(wǎng)絡(luò)平臺(tái)管理者并不清楚學(xué)校網(wǎng)絡(luò)平臺(tái)的拓?fù)浼軜?gòu)、網(wǎng)絡(luò)安全架構(gòu)，盡管部署了部分防火墻、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備，但是對(duì)設(shè)備運(yùn)行的情況及存在的網(wǎng)絡(luò)安全隱患了解并不深入，更談不上形成靈敏的網(wǎng)絡(luò)安全態(tài)勢(shì)感知。長(zhǎng)期以來(lái)高校網(wǎng)絡(luò)安全工作處于被動(dòng)的局面，即上級(jí)單位監(jiān)測(cè)出什么漏洞就補(bǔ)什么漏洞，存在什么問(wèn)題就整改什么問(wèn)題。究其原因，一是在于學(xué)校對(duì)網(wǎng)絡(luò)安全防御體系的不了解，領(lǐng)導(dǎo)提出“網(wǎng)絡(luò)安全的底線是不發(fā)生網(wǎng)絡(luò)安全事故”，而信息中心對(duì)這一目標(biāo)的完成是“力不從心”；二是在于學(xué)校網(wǎng)絡(luò)安全尚未形成明確的工作思路，也沒(méi)有建立學(xué)校網(wǎng)絡(luò)安全治理的戰(zhàn)略和總體安全策略。在網(wǎng)絡(luò)安全防御體系建設(shè)方面，顯然缺乏清晰的思路，導(dǎo)致學(xué)校網(wǎng)絡(luò)安全工作缺乏章法，無(wú)法對(duì)學(xué)校網(wǎng)絡(luò)安全工作的愿景、目標(biāo)、策略、范圍、技術(shù)路線和支撐體系形成一套完整的工作體系并且付諸實(shí)踐。

1.3 師生網(wǎng)絡(luò)安全意識(shí)不強(qiáng)

隨著信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)已經(jīng)成為高校師生群體工作、生活、學(xué)習(xí)不可或缺的工具，網(wǎng)絡(luò)越來(lái)越成為師生交流的新空間，每日的活動(dòng)已經(jīng)完全離不開(kāi)網(wǎng)絡(luò)。信息技術(shù)和網(wǎng)絡(luò)的快速發(fā)展應(yīng)用在極大促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展的同時(shí)，也帶來(lái)各種新的網(wǎng)絡(luò)安全問(wèn)題。為進(jìn)一步普及網(wǎng)絡(luò)安全知識(shí)，營(yíng)造安全、健康、文明的網(wǎng)絡(luò)環(huán)境，切實(shí)維護(hù)國(guó)家網(wǎng)絡(luò)安全，全面提升廣大師生的網(wǎng)絡(luò)安全意識(shí)和安全防護(hù)技能，近年來(lái)學(xué)校依托國(guó)家網(wǎng)絡(luò)安全宣傳周等活動(dòng)，大力開(kāi)展網(wǎng)絡(luò)安全宣傳活動(dòng)，大幅度提升了師生網(wǎng)絡(luò)安全意識(shí)。實(shí)際上，很多師生對(duì)網(wǎng)絡(luò)安全防范普遍不足，大部分處于被動(dòng)地位，尤其是大量APP應(yīng)用的推廣，師生普遍安裝了種類(lèi)繁多、五花八門(mén)的APP應(yīng)用，但對(duì)其實(shí)際安全風(fēng)險(xiǎn)并不知情。從某種程度上看，網(wǎng)絡(luò)安全知識(shí)普及和安全意識(shí)教育卻嚴(yán)重滯后于網(wǎng)絡(luò)的快速發(fā)展。缺乏安全防護(hù)意識(shí)，網(wǎng)絡(luò)詐騙信息、不明網(wǎng)絡(luò)鏈接、電子郵件惡意鏈接、不設(shè)或簡(jiǎn)單設(shè)置口令密碼等，常常導(dǎo)致用戶信息泄露濫用、病毒木馬大面積傳播、不良和違法信息蔓延、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)詐騙、涉及師生信息的數(shù)據(jù)私下傳播或泄露等網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，嚴(yán)重侵害師生的信息安全和財(cái)產(chǎn)安全。

1.4 網(wǎng)絡(luò)安全工作技術(shù)隊(duì)伍及技術(shù)能力不足

高校網(wǎng)絡(luò)安全很大程度上面臨人員短缺的問(wèn)題。高?；旧辖⒕W(wǎng)絡(luò)安全三級(jí)工作體制：網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組、信息化辦公室（信息中心）、信息系統(tǒng)管理單位（信息系統(tǒng)管理員），實(shí)際上技術(shù)人員分布在信息化辦公室（信息中心），技術(shù)人員中從事網(wǎng)絡(luò)安全研究的鳳毛麟角，接受過(guò)CISP培訓(xùn)的專(zhuān)業(yè)技術(shù)人員比例也很少。就目前網(wǎng)絡(luò)安全面臨的形勢(shì)而言，網(wǎng)絡(luò)安全技術(shù)隊(duì)伍遠(yuǎn)遠(yuǎn)不夠，難以勝任或滿足學(xué)校網(wǎng)絡(luò)安全工作開(kāi)展的需要。

2 網(wǎng)絡(luò)安全治理體系的框架

針對(duì)高校網(wǎng)絡(luò)安全面臨的形勢(shì)和存在的問(wèn)題，本文探索建立一套高校網(wǎng)絡(luò)安全治理體系，旨在為高校網(wǎng)絡(luò)安全工作提供一個(gè)參考性的建設(shè)框架。

2.1 網(wǎng)絡(luò)安全治理定義

網(wǎng)絡(luò)安全治理可以定義為：所有為提高網(wǎng)絡(luò)安全防護(hù)水平而制定的政策、規(guī)范、標(biāo)準(zhǔn)以及展開(kāi)的業(yè)務(wù)、技術(shù)和管理活動(dòng)都屬于網(wǎng)絡(luò)安全治理范疇。網(wǎng)絡(luò)安全治理的目的就是通過(guò)有效的網(wǎng)絡(luò)安全管理手段，進(jìn)行主動(dòng)網(wǎng)絡(luò)安全防御，以提升網(wǎng)絡(luò)安全防護(hù)水平進(jìn)而提升網(wǎng)絡(luò)安全的能力。高校網(wǎng)絡(luò)基礎(chǔ)設(shè)施結(jié)構(gòu)復(fù)雜，用戶群體量大，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)源繁多，網(wǎng)絡(luò)安全管理能力相對(duì)較弱。必須從學(xué)校實(shí)際情況出發(fā)，從總體安全策略、制度規(guī)范、防御體系、技術(shù)隊(duì)伍、教育培訓(xùn)、應(yīng)急演練等各層面入手，建立“黨委（黨組）領(lǐng)導(dǎo)、信息中心主導(dǎo)、各方履行主體責(zé)任、主動(dòng)監(jiān)測(cè)和防御”的網(wǎng)絡(luò)安全治理體系。網(wǎng)絡(luò)安全治理體系的建設(shè)是一項(xiàng)系統(tǒng)工作。制定高校網(wǎng)絡(luò)安全治理體系必須結(jié)合《網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)和上位文件，綜合研究制定適合于高校實(shí)際情況的網(wǎng)絡(luò)安全治理體系。

2.2 網(wǎng)絡(luò)安全治理體系框架

本文設(shè)計(jì)提出高校網(wǎng)絡(luò)安全治理體系的主要內(nèi)容，從安全策略規(guī)劃、安全管理、技術(shù)體系、風(fēng)險(xiǎn)治理、運(yùn)行運(yùn)維和治理能力六個(gè)維度進(jìn)行展開(kāi)，如表1所示。

表1 網(wǎng)絡(luò)安全治理體系

（1）安全策略規(guī)劃。高校網(wǎng)絡(luò)安全工作一定要進(jìn)行系統(tǒng)性的規(guī)劃，制定相應(yīng)的安全策略。安全策略是指在一個(gè)特定的環(huán)境里，為保證提供一定安全級(jí)別的安全保護(hù)所必須遵守的規(guī)則。先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證，嚴(yán)格的安全管理是確保安全策略落實(shí)的基礎(chǔ)，嚴(yán)格的法律、法規(guī)是網(wǎng)絡(luò)安全保障的堅(jiān)強(qiáng)后盾。隨著應(yīng)用環(huán)境的不同、實(shí)施客體的不同、指定階段的不同，所使用的安全策略都將有所不同。網(wǎng)絡(luò)安全策略按適用對(duì)象可分為：網(wǎng)絡(luò)規(guī)劃安全策略、管理員策略、網(wǎng)絡(luò)用戶安全策略和安全架構(gòu)策略等；從技術(shù)防范層面上又可分為物理安全策略，訪問(wèn)控制策略，防火墻控制策略、信息加密策略和網(wǎng)絡(luò)安全管理策略。高校在制定網(wǎng)絡(luò)安全策略規(guī)劃時(shí)，必須細(xì)化這幾種具體的策略，尤其是制定安全架構(gòu)策略至關(guān)重要。

（2）安全管理。網(wǎng)絡(luò)安全管理是指通過(guò)有效的安全管理手段保護(hù)所管理信息資產(chǎn)系統(tǒng)包括網(wǎng)絡(luò)平臺(tái)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。俗話說(shuō)，“三分技術(shù)、七分管理”，凸顯網(wǎng)絡(luò)安全管理的重要性。既然提到管理，有效的方式是建章立制，建立完善的安全管理領(lǐng)導(dǎo)組織機(jī)構(gòu)，根據(jù)單位業(yè)務(wù)情況并結(jié)合安全管理實(shí)際建立安全管理制度、操作流程規(guī)范、記錄表單的安全管理文件體系，并按照安全管理體系要求嚴(yán)格執(zhí)行。首先必須要盤(pán)點(diǎn)清楚所管轄范圍內(nèi)的信息資產(chǎn)，信息資產(chǎn)的管理包括關(guān)鍵信息基礎(chǔ)設(shè)施、校園網(wǎng)、一卡通系統(tǒng)、所有的信息系統(tǒng)以及物聯(lián)網(wǎng)設(shè)備等等，信息資產(chǎn)臺(tái)賬建立是明確在網(wǎng)內(nèi)網(wǎng)外、不同的網(wǎng)絡(luò)之間運(yùn)行的情況以及安全防護(hù)措施。對(duì)所有信息資產(chǎn)必須要參照信息系統(tǒng)等級(jí)保護(hù)2.0標(biāo)準(zhǔn)進(jìn)行定級(jí)、備案、整改和測(cè)評(píng)，確保按照等級(jí)保護(hù)標(biāo)準(zhǔn)進(jìn)行安全建設(shè)和管理。在安全管理環(huán)節(jié)中，要十分注重技術(shù)隊(duì)伍建設(shè)，組織安全培訓(xùn)，組織機(jī)房、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用和安全管理人員負(fù)責(zé)信息系統(tǒng)的日常管理工作，加強(qiáng)對(duì)業(yè)務(wù)人員和安全管理人員的安全意識(shí)和技能的培訓(xùn)。安全管理是一項(xiàng)系統(tǒng)性的工作，是網(wǎng)絡(luò)安全治理的深化、執(zhí)行，加強(qiáng)網(wǎng)絡(luò)安全過(guò)程性管理，只有嚴(yán)格的管理措施，只有按照規(guī)范標(biāo)準(zhǔn)進(jìn)行安全管理，才能減少或者不發(fā)生網(wǎng)絡(luò)安全事故。

（3）技術(shù)體系。技術(shù)體系是網(wǎng)絡(luò)安全工作關(guān)鍵所在，技術(shù)水平?jīng)Q定著網(wǎng)絡(luò)安全水平。網(wǎng)絡(luò)安全技術(shù)體系首先要規(guī)劃設(shè)計(jì)好網(wǎng)絡(luò)安全架構(gòu)，以某個(gè)單位的網(wǎng)絡(luò)出口為邊界，區(qū)分好外網(wǎng)、內(nèi)網(wǎng)、數(shù)據(jù)中心區(qū)域、用戶終端區(qū)域等不同的安全策略、安全架構(gòu)設(shè)計(jì)，基于安全架構(gòu)設(shè)計(jì)一套主動(dòng)防御體系，通過(guò)可信計(jì)算、安全控制等技術(shù)手段，增強(qiáng)網(wǎng)絡(luò)安全防御上的主動(dòng)性。在技術(shù)體系環(huán)節(jié)，重點(diǎn)要做好四個(gè)方面的安全：物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全。物理和環(huán)境安全機(jī)制包括設(shè)施位置的設(shè)計(jì)和布局、環(huán)境組件、應(yīng)急響應(yīng)的敏捷性、培訓(xùn)、訪問(wèn)控制、入侵檢測(cè)以及電力和火災(zāi)防范等諸多方面；網(wǎng)絡(luò)和通信安全進(jìn)一步強(qiáng)調(diào)了對(duì)網(wǎng)絡(luò)整體的安全保護(hù)，具體包括“網(wǎng)絡(luò)架構(gòu)”、“通信傳輸”、“邊界防護(hù)”、“訪問(wèn)控制”、“入侵防范”、“惡意代碼和垃圾郵件防范”、“通信傳輸”、“安全審計(jì)”和“集中管控”，對(duì)通信線路和關(guān)鍵網(wǎng)絡(luò)設(shè)備硬件必須達(dá)到冗余要求；設(shè)備和計(jì)算安全要求提升節(jié)點(diǎn)設(shè)備（網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器和終端等）自身的安全保護(hù)能力。通常通過(guò)安裝支撐性系統(tǒng)軟件（操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和防護(hù)類(lèi)軟件等）并啟用相關(guān)安全配置來(lái)實(shí)現(xiàn)。應(yīng)用安全是保障應(yīng)用程序使用過(guò)程和結(jié)果的安全；數(shù)據(jù)安全是保障數(shù)據(jù)的可用性、完整性和保密性，再經(jīng)過(guò)網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等。設(shè)計(jì)行之有效的技術(shù)防御體系，包括防火墻、入侵檢測(cè)/入侵防御系統(tǒng)等設(shè)備采用，從技術(shù)上保障各個(gè)維度的安全，是網(wǎng)絡(luò)安全治理工作的關(guān)鍵所在。

（4）風(fēng)險(xiǎn)治理。網(wǎng)絡(luò)安全治理的目標(biāo)是要將網(wǎng)絡(luò)安全的被動(dòng)轉(zhuǎn)化為主動(dòng)，必須要加強(qiáng)事前管理，其中最重要的是事前風(fēng)險(xiǎn)監(jiān)測(cè)與評(píng)估，提前發(fā)現(xiàn)漏洞，提前升級(jí)完善安全措施，才能極大程度上降低安全風(fēng)險(xiǎn)。因此，網(wǎng)絡(luò)安全治理要高度重視風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估，這個(gè)環(huán)節(jié)要作為網(wǎng)絡(luò)安全管理過(guò)程中的重要工作，在治理過(guò)程中予以高度重視。對(duì)所有信息資產(chǎn)納入風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估范疇。風(fēng)險(xiǎn)監(jiān)測(cè)評(píng)估重點(diǎn)要做好信息資產(chǎn)的常態(tài)化安全監(jiān)測(cè)和應(yīng)急演練兩個(gè)方面的工作。安全監(jiān)測(cè)要從漏洞掃描、滲透測(cè)試、風(fēng)險(xiǎn)評(píng)估到態(tài)勢(shì)感知，對(duì)學(xué)校所有信息資產(chǎn)進(jìn)行常態(tài)化的運(yùn)行監(jiān)測(cè)，分析漏洞，升級(jí)完善補(bǔ)丁措施，加強(qiáng)安全防范措施。定期開(kāi)展安全事件應(yīng)急處置演練，提高突發(fā)事件的應(yīng)急處置能力。

（5）運(yùn)行運(yùn)維。運(yùn)行和運(yùn)維期間是網(wǎng)絡(luò)管理的主要生命周期。從網(wǎng)絡(luò)平臺(tái)和信息系統(tǒng)建設(shè)之初，要做好建設(shè)安全方案設(shè)計(jì)；信息系統(tǒng)在上線運(yùn)行前要做好嚴(yán)格的安全測(cè)試，按照等級(jí)保護(hù)2.0標(biāo)準(zhǔn)做好定級(jí)、備案、整改和測(cè)評(píng)工作，確保信息系統(tǒng)經(jīng)過(guò)嚴(yán)格的安全測(cè)試后交付上線運(yùn)行；在運(yùn)維期間，要做好物理環(huán)境管理、介質(zhì)、電力等各方面的管理，系統(tǒng)災(zāi)備、數(shù)據(jù)備份與恢復(fù)機(jī)制設(shè)計(jì)及操作；提升運(yùn)維期間應(yīng)對(duì)安全事件處置的能力。

（6）治理能力。治理能力決定網(wǎng)絡(luò)安全工作取得的成效，治理能力是網(wǎng)絡(luò)安全策略能否順利實(shí)施、網(wǎng)絡(luò)安全管理制度能否執(zhí)行、安全目標(biāo)能否達(dá)到的關(guān)鍵要素。網(wǎng)絡(luò)安全治理能力是檢驗(yàn)網(wǎng)絡(luò)安全措施是否得力的直接反映。治理能力包括安全管理是否完成、年度計(jì)劃與重點(diǎn)任務(wù)及項(xiàng)目完成情況如何、安全問(wèn)題整改是否完成、安全管理措施是否嚴(yán)格執(zhí)行、風(fēng)險(xiǎn)隱患處置是否迅速及時(shí)、安全責(zé)任制落實(shí)是否得力等等。

3 網(wǎng)絡(luò)安全治理的主要措施

網(wǎng)絡(luò)安全工作從管理到治理，關(guān)鍵在“治理能力”的建設(shè)。網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)安全策略、規(guī)劃、技術(shù)、實(shí)施的一組業(yè)務(wù)職能，包括網(wǎng)絡(luò)安全策略制定、網(wǎng)絡(luò)安全工作計(jì)劃、政策、方案、項(xiàng)目、技術(shù)和方法，從而保障網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全從“管”到“治”，本文認(rèn)為網(wǎng)絡(luò)安全治理是網(wǎng)絡(luò)安全管理的一部分，更強(qiáng)調(diào)網(wǎng)絡(luò)安全治理作為網(wǎng)絡(luò)安全管理中的一個(gè)核心職能，是對(duì)網(wǎng)絡(luò)安全管理行使權(quán)力和控制的活動(dòng)集合（規(guī)劃、計(jì)劃、技術(shù)、實(shí)施），指導(dǎo)網(wǎng)絡(luò)安全管理職能如何執(zhí)行，在高層次上執(zhí)行網(wǎng)絡(luò)安全管理制度?！爸巍备鼜?qiáng)調(diào)網(wǎng)絡(luò)安全工作的全局性、主動(dòng)性與執(zhí)行力，重點(diǎn)在于破解網(wǎng)絡(luò)安全管理中的難題，促進(jìn)網(wǎng)絡(luò)安全工作規(guī)范有序。

3.1 完善網(wǎng)絡(luò)安全規(guī)劃與安全策略

完善網(wǎng)絡(luò)安全規(guī)劃的重點(diǎn)在于完善高校的網(wǎng)絡(luò)安全策略，必須結(jié)合實(shí)際情況與形勢(shì)的變化，完善網(wǎng)絡(luò)安全管理策略。制定健全的網(wǎng)絡(luò)安全管理策略可以有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。高校面向互聯(lián)網(wǎng)開(kāi)放和面向校園網(wǎng)開(kāi)放的網(wǎng)絡(luò)平臺(tái)和信息系統(tǒng)多達(dá)數(shù)百個(gè)，以校園網(wǎng)邊界作為內(nèi)網(wǎng)與外網(wǎng)分割的界面，在邊界上制定合適的安全管理策略極為重要，只有制定了網(wǎng)絡(luò)安全管理策略，網(wǎng)絡(luò)安全管理人員才有可能去控制、減小、降低以及避免一些非法的網(wǎng)絡(luò)行為，盡可能把不安全的因素降到最低；對(duì)于師生用戶而言，適應(yīng)學(xué)校網(wǎng)絡(luò)安全管理策略，也有利于網(wǎng)絡(luò)安全管理政策的實(shí)施。高校的網(wǎng)絡(luò)安全工作要抓細(xì)抓實(shí)，不是簡(jiǎn)單的部署網(wǎng)絡(luò)安全設(shè)備，一勞永逸，而是要根據(jù)網(wǎng)絡(luò)安全攻擊形勢(shì)的變化和學(xué)校網(wǎng)絡(luò)安全運(yùn)行情況，適時(shí)調(diào)整或加強(qiáng)網(wǎng)絡(luò)安全管理策略，以期與當(dāng)前網(wǎng)絡(luò)運(yùn)行狀態(tài)相適應(yīng)。舉例來(lái)說(shuō)，很多高校在校園網(wǎng)出口部署網(wǎng)絡(luò)防火墻、入侵防御系統(tǒng)、入侵監(jiān)測(cè)系統(tǒng)、防毒墻等一系列網(wǎng)絡(luò)安全設(shè)備，各種設(shè)備的運(yùn)行情況、防護(hù)措施、有效性以及整體上與安全策略匹配；還有校園網(wǎng)內(nèi)數(shù)據(jù)中心防火墻、DMZ區(qū)管理等，系統(tǒng)性根據(jù)網(wǎng)絡(luò)安全策略設(shè)計(jì)網(wǎng)絡(luò)安全架構(gòu)，加強(qiáng)技術(shù)主動(dòng)防御體系的建設(shè)，從技術(shù)上防范網(wǎng)絡(luò)安全。在實(shí)施網(wǎng)絡(luò)安全策略過(guò)程中，要加強(qiáng)對(duì)網(wǎng)絡(luò)安全設(shè)備運(yùn)行情況的研究與分析，特別是網(wǎng)絡(luò)安全日志分析，對(duì)于中高危漏洞監(jiān)測(cè)修復(fù)、攻擊日志分析，及時(shí)調(diào)整網(wǎng)絡(luò)安全策略，才能更好地應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊。在制定安全策略后，將網(wǎng)絡(luò)安全工作作為一項(xiàng)系統(tǒng)性工程，做好全域頂層設(shè)計(jì)，把主要條塊工作及工作任務(wù)梳理清楚，制定好每年的年度計(jì)劃予以推進(jìn)落實(shí)，做好重點(diǎn)任務(wù)實(shí)施推進(jìn)與重點(diǎn)安全項(xiàng)目的管理，籌措經(jīng)費(fèi)等保障措施到位，使得安全策略規(guī)劃能夠得以實(shí)施。

3.2 完善網(wǎng)絡(luò)安全工作體系

完善并逐步建立規(guī)范的網(wǎng)絡(luò)安全體系是加強(qiáng)網(wǎng)絡(luò)安全管理工作的需要，使高校網(wǎng)絡(luò)安全管理能夠形成行之有效的管理體系。做到安全法規(guī)明晰、安全建設(shè)有據(jù)可依、等級(jí)保護(hù)有標(biāo)準(zhǔn)指導(dǎo)、人員主體責(zé)任明晰，向高效化、科學(xué)化管理模式邁進(jìn)，進(jìn)一步提升網(wǎng)絡(luò)安全問(wèn)題應(yīng)對(duì)能力。落實(shí)學(xué)校網(wǎng)絡(luò)安全主體責(zé)任、完善網(wǎng)絡(luò)安全監(jiān)督管理體制機(jī)制，強(qiáng)化網(wǎng)絡(luò)安全綜合治理格局，健全網(wǎng)絡(luò)安全工作體系。按照誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)的原則，落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，厘清界面，強(qiáng)化考核，嚴(yán)格責(zé)任追究，確保網(wǎng)絡(luò)安全責(zé)任全覆蓋；落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任，設(shè)立專(zhuān)門(mén)網(wǎng)絡(luò)安全管理及監(jiān)督機(jī)制，設(shè)置相應(yīng)崗位，加快各級(jí)網(wǎng)絡(luò)安全專(zhuān)業(yè)人員配備，重點(diǎn)部門(mén)建立首席網(wǎng)絡(luò)安全員制度。

3.3 加強(qiáng)網(wǎng)絡(luò)安全管理與風(fēng)險(xiǎn)治理

加強(qiáng)網(wǎng)絡(luò)安全管理與風(fēng)險(xiǎn)治理是網(wǎng)絡(luò)安全管理中的重中之重，需要轉(zhuǎn)變網(wǎng)絡(luò)安全治理視角，把風(fēng)險(xiǎn)生成邏輯作為出發(fā)點(diǎn)，積極探索學(xué)校網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，努力將風(fēng)險(xiǎn)扼殺在“搖籃”中。加強(qiáng)網(wǎng)絡(luò)安全管理需要明確管理人員的崗位職責(zé)，對(duì)安全配置、日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令更新周期等方面作出具體規(guī)定；網(wǎng)絡(luò)設(shè)備的軟件升級(jí)由管理人員及時(shí)更新，在更新前需對(duì)重要文件保存?zhèn)浞?；按照有關(guān)制度定期由管理人員進(jìn)行系統(tǒng)漏洞掃描，并采取措施及時(shí)修補(bǔ)；對(duì)設(shè)備的配置實(shí)現(xiàn)最小服務(wù)配置，配置文件定期進(jìn)行離線備份；與外部系統(tǒng)的所有連接需得到授權(quán)和批準(zhǔn)，采取技術(shù)手段控制和禁止非授權(quán)設(shè)備的接入，監(jiān)控違規(guī)外聯(lián)的相關(guān)行為。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理的目標(biāo)是要將網(wǎng)絡(luò)安全的被動(dòng)轉(zhuǎn)化為主動(dòng)，從事后補(bǔ)救轉(zhuǎn)為事前預(yù)判，需要強(qiáng)調(diào)要增強(qiáng)憂患意識(shí)，做到居安思危，培養(yǎng)問(wèn)題意識(shí)和風(fēng)險(xiǎn)防范意識(shí)，加強(qiáng)各部門(mén)之間數(shù)據(jù)共享和交流，加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)全流程監(jiān)控。利用現(xiàn)有的技術(shù)手段，對(duì)學(xué)校內(nèi)、外網(wǎng)絡(luò)進(jìn)行不同層次的監(jiān)管，仔細(xì)排查和評(píng)測(cè)學(xué)校網(wǎng)絡(luò)架構(gòu)中存在的風(fēng)險(xiǎn)，實(shí)時(shí)提前升級(jí)完善安全措施，降低安全風(fēng)險(xiǎn)。

3.4 加強(qiáng)技術(shù)體系建設(shè)

高校網(wǎng)絡(luò)安全技術(shù)體系，需要落實(shí)安全技術(shù)相關(guān)控制要求，實(shí)現(xiàn)物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)的所有安全控制項(xiàng)，通常采用安全產(chǎn)品加以實(shí)現(xiàn)，輔助安全服務(wù)以增強(qiáng)安全控制能力。建立滿足等級(jí)保護(hù)要求的安全技術(shù)基礎(chǔ)環(huán)境，構(gòu)筑相對(duì)完善的物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)的安全防護(hù)措施，建立完善的安全管理體系，尤其是形成可落地網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案和安全運(yùn)維策略體系；具備訪問(wèn)控制、入侵防范、惡意代碼防范、安全審計(jì)、數(shù)據(jù)行為審計(jì)、身份鑒別、安全集中管理等安全能力，通過(guò)安全設(shè)備的能力去逐一進(jìn)行實(shí)現(xiàn)；通過(guò)部署大數(shù)據(jù)分析平臺(tái)，集中采集網(wǎng)絡(luò)、主機(jī)和業(yè)務(wù)系統(tǒng)的各項(xiàng)日志，為智慧校園夯實(shí)數(shù)據(jù)基礎(chǔ)，提升日志審計(jì)能力；采購(gòu)更為全面的安全保障服務(wù)，能夠在遇到網(wǎng)絡(luò)攻擊時(shí)積極響應(yīng)，對(duì)事件進(jìn)行及時(shí)有效處置，管控安全事件的影響范圍和程度。

3.5 加強(qiáng)治理能力建設(shè)

加強(qiáng)網(wǎng)絡(luò)綜合治理能力，筑牢高校網(wǎng)絡(luò)安全“防火墻”，可以為高校提供可靠的網(wǎng)絡(luò)安全保障和有力的信息化服務(wù)支撐。治理能力建設(shè)的關(guān)鍵點(diǎn)在于嚴(yán)格落實(shí)網(wǎng)絡(luò)安全管理制度。學(xué)校要形成抓網(wǎng)絡(luò)安全工作的環(huán)境和氛圍，也要具備敢于通報(bào)網(wǎng)絡(luò)安全責(zé)任制落實(shí)不力的決心。每年應(yīng)該專(zhuān)門(mén)制定網(wǎng)絡(luò)安全工作專(zhuān)項(xiàng)計(jì)劃，分年度、季度、月份和周實(shí)施，重點(diǎn)推進(jìn)每月/季度網(wǎng)絡(luò)安全漏掃與監(jiān)測(cè)常態(tài)化工作，及時(shí)發(fā)現(xiàn)各個(gè)網(wǎng)絡(luò)平臺(tái)存在的安全隱患，以專(zhuān)項(xiàng)通知單的方式下達(dá)各個(gè)負(fù)責(zé)單位進(jìn)行嚴(yán)格落實(shí)，加強(qiáng)安全工作的監(jiān)督和校內(nèi)執(zhí)法力度，對(duì)不符合安全規(guī)范的信息系統(tǒng)要切實(shí)停止網(wǎng)絡(luò)服務(wù)，只有把網(wǎng)絡(luò)安全工作任務(wù)落到實(shí)處，治理能力才會(huì)凸顯出應(yīng)有的效果。

4 總結(jié)

面對(duì)日益復(fù)雜的網(wǎng)絡(luò)空間安全挑戰(zhàn)，如何保障網(wǎng)絡(luò)信息安全，如何提高安全意識(shí)，是高校信息化發(fā)展中迫切需要關(guān)注和解決的重要問(wèn)題。合理構(gòu)建高校網(wǎng)絡(luò)安全治理體系，加強(qiáng)學(xué)校信息化領(lǐng)導(dǎo)力建設(shè)，提升干部教師學(xué)生的網(wǎng)絡(luò)安全素養(yǎng)和安全技能，是實(shí)現(xiàn)校園網(wǎng)絡(luò)安全的重要保障和前提。高校的網(wǎng)絡(luò)信息安全需要樹(shù)立主動(dòng)防御、動(dòng)態(tài)防御、深度防御和綜合治理的理念，做好安全規(guī)劃和安全標(biāo)準(zhǔn)等基礎(chǔ)建設(shè)，構(gòu)建全方位多層次的立體化網(wǎng)絡(luò)安全防御體系，才能有效保障校園網(wǎng)絡(luò)及信息系統(tǒng)的安全。本文從高校網(wǎng)絡(luò)安全問(wèn)題入手，探索建立一套高校網(wǎng)絡(luò)安全治理體系，加強(qiáng)網(wǎng)絡(luò)綜合治理能力，為高校提供可靠的網(wǎng)絡(luò)安全保障和有力的信息化服務(wù)支撐。

[1]邵云龍.等保2.0對(duì)高校網(wǎng)絡(luò)安全提出新要求[J].中國(guó)教育網(wǎng)絡(luò)，2019，（7）：50-51.

[2]何占博，王穎，劉軍.我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019，38（3）：9-14+19.

[3]陳廣勇，祝國(guó)邦，范春玲.《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T 28448-2019）標(biāo)準(zhǔn)解讀信息網(wǎng)絡(luò)安全[J]. 2019，19（7）：1-8.

[4]陶源，黃濤，張墨涵，黎水林.網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)研究及發(fā)展趨勢(shì)分析[J].信息網(wǎng)絡(luò)安全，2018，18（8）：79-85.

[5]龔漢明. 高校網(wǎng)絡(luò)安全問(wèn)題與應(yīng)對(duì)研究[J].北京教育（高教版）, 2019（2）：8-12.