“技防+人防”的高校網(wǎng)絡(luò)安全管理體系探究*

潘 卿 顧煒江 竇立君

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全日益受到社會(huì)各方的重視。習(xí)近平總書記多次發(fā)表關(guān)于網(wǎng)絡(luò)安全的重要講話。他指出：“過(guò)不了互聯(lián)網(wǎng)這一關(guān)，就過(guò)不了長(zhǎng)期執(zhí)政這一關(guān)?！保?］“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化?！保?］“網(wǎng)絡(luò)安全和信息安全牽涉到國(guó)家安全和社會(huì)穩(wěn)定，是我們面臨的信息綜合性挑戰(zhàn)?！保?］“要落實(shí)網(wǎng)絡(luò)安全責(zé)任制，制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，明確保護(hù)對(duì)象、保護(hù)層級(jí)、保護(hù)措施。”［4］高校作為我國(guó)高等教育的施教主體和科研的主要載體，在充分享受網(wǎng)絡(luò)帶來(lái)的便利的同時(shí)，也存在很大的網(wǎng)絡(luò)安全隱患。［5］同時(shí)，由于高校具有個(gè)人敏感信息密集、教學(xué)科研數(shù)據(jù)多等特點(diǎn)，一旦出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題如數(shù)據(jù)泄露事件，帶來(lái)的社會(huì)影響和經(jīng)濟(jì)損失不可估量。

一、高校網(wǎng)絡(luò)安全管理現(xiàn)狀及主要問(wèn)題

隨著《教育信息化2.0 行動(dòng)計(jì)劃》的逐步落實(shí)，各省智慧校園建設(shè)如火如荼地開展，高校的信息化水平已經(jīng)有了長(zhǎng)足的發(fā)展，基礎(chǔ)網(wǎng)絡(luò)、核心設(shè)備、數(shù)據(jù)機(jī)房、一卡通系統(tǒng)等已經(jīng)在各高校普及，各類教學(xué)、科研、管理以及服務(wù)類的前端應(yīng)用也百花齊放。但是高校在信息化建設(shè)過(guò)程中存在技術(shù)相對(duì)滯后、資金缺乏、規(guī)劃滯后、建設(shè)和運(yùn)維職責(zé)模糊等現(xiàn)實(shí)困難，使得網(wǎng)絡(luò)安全管理仍然問(wèn)題重重。

（一）缺乏網(wǎng)絡(luò)安全權(quán)威管理機(jī)構(gòu)

相較于教學(xué)、科研和管理部門，大部分高校的信息化管理機(jī)構(gòu)仍然處于從屬位置，缺乏權(quán)威的管理機(jī)構(gòu)，更多的是提供服務(wù)和保障，而沒(méi)有在信息化建設(shè)尤其是網(wǎng)絡(luò)安全建設(shè)方面起到真正的統(tǒng)籌規(guī)劃作用。事實(shí)上，不少高校內(nèi)部沒(méi)有很好地遵循信息化和網(wǎng)絡(luò)安全建設(shè)的統(tǒng)一標(biāo)準(zhǔn)和流程，信息化項(xiàng)目的建設(shè)資金來(lái)源不一，項(xiàng)目實(shí)施過(guò)程和日常運(yùn)維缺乏監(jiān)督和指導(dǎo)。一旦出現(xiàn)網(wǎng)絡(luò)安全問(wèn)題，信息化管理機(jī)構(gòu)則以“救火隊(duì)員”的身份被推上前臺(tái)。

缺乏網(wǎng)絡(luò)安全權(quán)威管理機(jī)構(gòu)造成的后果之一是信息化建設(shè)和網(wǎng)絡(luò)安全沒(méi)有同步規(guī)劃。一方面，絕大多數(shù)的高校在信息化建設(shè)過(guò)程中都缺乏頂層設(shè)計(jì)，各部門按照自身訴求建設(shè)信息系統(tǒng)，由于缺乏專業(yè)技術(shù)能力和專項(xiàng)資金，基本沒(méi)有考慮配套網(wǎng)絡(luò)安全的建設(shè)。另一方面，中心機(jī)房和核心網(wǎng)絡(luò)設(shè)備體系由學(xué)校信息化管理部門集約管理，便于進(jìn)行網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃、建設(shè)、維護(hù)和保障；分散在各個(gè)二級(jí)單位的應(yīng)用型信息系統(tǒng)，則由于缺少專人管理、管理人員專業(yè)技術(shù)欠缺和網(wǎng)絡(luò)安全意識(shí)淡薄等問(wèn)題，使用部門幾乎沒(méi)有網(wǎng)絡(luò)安全防護(hù)能力；而信息化管理部門也因?yàn)檫@些系統(tǒng)建設(shè)標(biāo)準(zhǔn)參差不齊、技術(shù)參數(shù)不同而難以構(gòu)建整體防護(hù)策略。

缺乏網(wǎng)絡(luò)安全權(quán)威管理機(jī)構(gòu)造成的另一個(gè)后果是網(wǎng)絡(luò)安全職責(zé)不清。信息化管理部門通常被認(rèn)定為是高校網(wǎng)絡(luò)安全問(wèn)題的責(zé)任部門，而實(shí)際使用和運(yùn)維信息系統(tǒng)的二級(jí)單位普遍只管使用。從科學(xué)的角度來(lái)劃分，網(wǎng)絡(luò)安全管理的職責(zé)應(yīng)該從整體到局部、從上層到基層綜合考慮，使其各司其職。

（二）缺乏網(wǎng)絡(luò)安全專業(yè)技術(shù)人員

網(wǎng)絡(luò)安全管理是多學(xué)科、綜合性、技術(shù)性并存的綜合管理工作，專業(yè)技術(shù)人員是必不可少的基礎(chǔ)支撐，但高校中相關(guān)技術(shù)人才缺乏的情況很普遍。南京林業(yè)大學(xué)網(wǎng)絡(luò)安全和信息化辦公室于2020 年對(duì)江蘇省及北京市共30 所高校發(fā)起調(diào)查，數(shù)據(jù)顯示，高校信息化管理部門的平均人數(shù)是26 人，約占在校師生人數(shù)的1%，這與國(guó)際上高校信息化工作人員占比30%以上相比，存在較大差距。另外，如果把具備計(jì)算機(jī)及相關(guān)專業(yè)背景視同具備網(wǎng)絡(luò)安全專業(yè)背景，那么各高校信息化管理部門的專技人員與總工作人員比例為30%～50%，與管理全校數(shù)十個(gè)部門的數(shù)百個(gè)信息系統(tǒng)相比，這個(gè)比例也是遠(yuǎn)遠(yuǎn)不夠的。再者，高校中各個(gè)二級(jí)單位幾乎沒(méi)有專職的、具有專業(yè)背景的信息技術(shù)管理人員，在執(zhí)行上一級(jí)管理部門的網(wǎng)絡(luò)安全工作要求方面存在較大的難度。

（三）廣大師生信息化素養(yǎng)還有待提高

近幾年，互聯(lián)網(wǎng)詐騙、個(gè)人隱私信息泄露等高校網(wǎng)絡(luò)安全事件頻發(fā)。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心2021 年上半年發(fā)布的統(tǒng)計(jì)報(bào)告和國(guó)家信息安全漏洞共享平臺(tái)漏洞統(tǒng)計(jì)數(shù)據(jù)可知，高校信息系統(tǒng)漏洞中“弱口令”“釣魚木馬”等仍然是主要的網(wǎng)絡(luò)安全隱患。這說(shuō)明廣大師生網(wǎng)絡(luò)安全意識(shí)不強(qiáng)，對(duì)網(wǎng)絡(luò)安全防護(hù)技能科普的接受度還有較大的提升空間。

（四）信息化管理部門忙于堵漏，預(yù)警能力不強(qiáng)

高校信息化管理部門被動(dòng)充當(dāng)“守門員”的角色，一方面要到處“救火”、到處“補(bǔ)漏”，力爭(zhēng)做到網(wǎng)絡(luò)安全零事故；另一方面作為高校網(wǎng)絡(luò)安全的最后一道防線，還要承擔(dān)絕大部分的責(zé)任。信息化管理部門基于現(xiàn)有條件很難對(duì)整個(gè)學(xué)校的網(wǎng)絡(luò)安全做有效、整體的把控，更沒(méi)有精力去做好整體網(wǎng)絡(luò)安全預(yù)警工作。而實(shí)際上，事先預(yù)防的成本是最小的，效果也是最好的。

二、構(gòu)建“技防+人防”相融合的高校網(wǎng)絡(luò)安全管理體系

（一）建立高校網(wǎng)絡(luò)安全權(quán)威管理機(jī)構(gòu)

網(wǎng)絡(luò)安全權(quán)威管理機(jī)構(gòu)是一個(gè)在校黨委領(lǐng)導(dǎo)下統(tǒng)籌全校網(wǎng)絡(luò)安全工作的校級(jí)層面組織，一般稱作網(wǎng)絡(luò)安全和信息化委員會(huì)或者網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組（以下簡(jiǎn)稱“領(lǐng)導(dǎo)小組”）。成立領(lǐng)導(dǎo)小組是構(gòu)建高校網(wǎng)絡(luò)安全管理體系的核心。組內(nèi)成員除信息化管理機(jī)構(gòu)主要負(fù)責(zé)人外，還應(yīng)當(dāng)包括學(xué)校黨政機(jī)關(guān)和信息系統(tǒng)應(yīng)用比較多的部門（如學(xué)生處、教務(wù)處、科研處、圖書館等）的主要負(fù)責(zé)人。

領(lǐng)導(dǎo)小組的主要職責(zé)在于領(lǐng)導(dǎo)和規(guī)劃校內(nèi)網(wǎng)絡(luò)安全和信息化建設(shè)工作。首先應(yīng)指導(dǎo)信息化管理機(jī)構(gòu)建立健全網(wǎng)絡(luò)安全管理體系、識(shí)別網(wǎng)絡(luò)安全問(wèn)題、明確網(wǎng)絡(luò)安全管理的范圍和內(nèi)容等。其次，信息化管理機(jī)構(gòu)在領(lǐng)導(dǎo)小組的指導(dǎo)下，須制定符合高校的網(wǎng)絡(luò)安全管理制度，修訂、完善原有的信息化管理制度，規(guī)范高校信息化建設(shè)流程。網(wǎng)絡(luò)安全的管理必須全流程融于信息化項(xiàng)目的建設(shè)中，因此，要建立健全網(wǎng)絡(luò)安全管理體系，必須糾正先前信息化建設(shè)過(guò)程中的不規(guī)范之處。只有將網(wǎng)絡(luò)安全的具體要求落實(shí)到信息化項(xiàng)目立項(xiàng)、采購(gòu)、實(shí)施、驗(yàn)收及后期運(yùn)維中，網(wǎng)絡(luò)安全管理體系才能真正落地。最后，領(lǐng)導(dǎo)小組要統(tǒng)籌網(wǎng)絡(luò)安全經(jīng)費(fèi)管理，制定并完善全校網(wǎng)絡(luò)安全防護(hù)策略，提升網(wǎng)絡(luò)安全專業(yè)技術(shù)水平，加大管理隊(duì)伍的人才培養(yǎng)力度等。

（二）建設(shè)全方位的“技防”平臺(tái)

完善的網(wǎng)絡(luò)安全管理體系應(yīng)以全面、開放的思路建設(shè)技術(shù)防護(hù)平臺(tái)，以網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0 標(biāo)準(zhǔn)（簡(jiǎn)稱“等保2.0”）為核心指導(dǎo)，以強(qiáng)化信息資產(chǎn)管理為基礎(chǔ)，以補(bǔ)全關(guān)鍵網(wǎng)絡(luò)安全防護(hù)設(shè)施設(shè)備為重點(diǎn)，以優(yōu)化網(wǎng)絡(luò)安全技術(shù)防護(hù)策略為依托，以具備較強(qiáng)的網(wǎng)絡(luò)安全預(yù)警和應(yīng)急能力為目的，最終形成網(wǎng)絡(luò)安全技術(shù)防護(hù)閉環(huán)。

等保2.0是我國(guó)最新、最權(quán)威的網(wǎng)絡(luò)安全保護(hù)標(biāo)準(zhǔn)體系，可以看作《網(wǎng)絡(luò)安全法》的實(shí)施細(xì)則，因此，高校的網(wǎng)絡(luò)安全技術(shù)防護(hù)平臺(tái)必須以等保2.0的高標(biāo)準(zhǔn)和嚴(yán)要求為指導(dǎo)，不論是硬件設(shè)備、軟件系統(tǒng)還是綜合性信息化平臺(tái)，上線運(yùn)行的前提都應(yīng)是科學(xué)定級(jí)并進(jìn)行備案。高等級(jí)的信息系統(tǒng)還應(yīng)當(dāng)按照公安機(jī)關(guān)的規(guī)定進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，不符合條件的應(yīng)當(dāng)嚴(yán)格按照等保2.0標(biāo)準(zhǔn)整改到位方可繼續(xù)運(yùn)行。

信息資產(chǎn)作為網(wǎng)絡(luò)安全管理的主要對(duì)象，其關(guān)系的理順是建立健全網(wǎng)絡(luò)安全技防平臺(tái)的基礎(chǔ)。高校應(yīng)當(dāng)完善信息資產(chǎn)臺(tái)賬管理制度，明確信息系統(tǒng)（網(wǎng)站）的資產(chǎn)歸屬部門，定期開展信息資產(chǎn)巡查，進(jìn)行資產(chǎn)摸底、排查和清理，重點(diǎn)關(guān)注長(zhǎng)期不使用、長(zhǎng)期不更新和無(wú)人認(rèn)領(lǐng)的“僵尸”信息系統(tǒng)，按照程序進(jìn)行關(guān)停、下線，在回收服務(wù)器資源的同時(shí)，又能降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。對(duì)于“雙非”信息系統(tǒng)（網(wǎng)站），應(yīng)秉持堅(jiān)決遷回的態(tài)度，如因特殊原因無(wú)法遷回，則應(yīng)重點(diǎn)加強(qiáng)網(wǎng)絡(luò)安全監(jiān)控和防護(hù)。

技術(shù)支撐體系是網(wǎng)絡(luò)安全工作的關(guān)鍵所在，其技術(shù)水平?jīng)Q定著網(wǎng)絡(luò)安全水平。［6］在全面梳理網(wǎng)絡(luò)安全設(shè)備部署情況后，高校應(yīng)當(dāng)補(bǔ)充、補(bǔ)強(qiáng)重點(diǎn)區(qū)域的關(guān)鍵防護(hù)設(shè)備設(shè)施，如中心機(jī)房、虛擬化平臺(tái)等。出口防火墻、入侵防御系統(tǒng)、數(shù)據(jù)中心區(qū)域Web 應(yīng)用防火墻、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)等網(wǎng)絡(luò)基礎(chǔ)安全防護(hù)設(shè)備要定期升級(jí)加固并優(yōu)化防護(hù)策略。加強(qiáng)主機(jī)防護(hù)能力，部署主機(jī)防護(hù)系統(tǒng)，除了厘清各類主機(jī)的操作系統(tǒng)、應(yīng)用、中間件、數(shù)據(jù)庫(kù)等信息和定期進(jìn)行掃描、修復(fù)外，更重要的是加強(qiáng)服務(wù)器流量監(jiān)控和數(shù)據(jù)分析，預(yù)判可能存在的風(fēng)險(xiǎn)并倒查問(wèn)題主機(jī)，提前進(jìn)行干預(yù)和處置，逐步形成預(yù)警機(jī)制。增強(qiáng)前端應(yīng)用的安全防護(hù)手段，可對(duì)校內(nèi)網(wǎng)絡(luò)資源進(jìn)行分類管理，一般的網(wǎng)站和不涉及敏感數(shù)據(jù)的信息系統(tǒng)可對(duì)互聯(lián)網(wǎng)開放訪問(wèn)，而OA 系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、教務(wù)管理系統(tǒng)、圖書資源等平臺(tái)則限制局域網(wǎng)訪問(wèn)，互聯(lián)網(wǎng)須使用VPN 系統(tǒng)訪問(wèn)。為了達(dá)到等保2.0 標(biāo)準(zhǔn)對(duì)信息系統(tǒng)運(yùn)維過(guò)程提出的“事前預(yù)防、事中控制、事后審計(jì)”的要求，高校須部署堡壘機(jī)監(jiān)督審計(jì)系統(tǒng)，系統(tǒng)運(yùn)維人員需要通過(guò)訪問(wèn)堡壘機(jī)才能維護(hù)被授權(quán)管理的系統(tǒng)。堡壘機(jī)對(duì)授權(quán)人員的運(yùn)維操作行為進(jìn)行記錄、控制和審計(jì)，以此加強(qiáng)對(duì)校園內(nèi)部運(yùn)維管理行為的規(guī)范和監(jiān)管。

（三）建設(shè)高效率的“人防”平臺(tái)

“人防”的作用除了體現(xiàn)在專技人員的專業(yè)素養(yǎng)方面，更應(yīng)當(dāng)體現(xiàn)在管理層面。一方面所有網(wǎng)絡(luò)安全規(guī)章制度都是靠人執(zhí)行的，防護(hù)設(shè)備的定期維護(hù)、檢修和升級(jí)也要靠人實(shí)施，對(duì)于防護(hù)體系預(yù)警提示的各類隱患和問(wèn)題，目前絕大部分也都要靠人去解決。另一方面，對(duì)于可能發(fā)生的網(wǎng)絡(luò)安全事故或事件，相關(guān)人員的應(yīng)急響應(yīng)速度和能力直接決定了處置問(wèn)題的水平，也在很大程度上決定了該事故或事件造成的最終后果。“人防”平臺(tái)的運(yùn)行情況直接決定高校整個(gè)網(wǎng)絡(luò)安全管理體系的實(shí)際運(yùn)行效率和效果。

“人防”平臺(tái)建設(shè)的核心是以網(wǎng)絡(luò)安全責(zé)任制為主線，加強(qiáng)專技人員和網(wǎng)絡(luò)安全管理人員隊(duì)伍建設(shè)，嚴(yán)格落實(shí)校內(nèi)網(wǎng)絡(luò)安全各項(xiàng)制度，加大校內(nèi)師生特別是參與網(wǎng)絡(luò)安全管理的一線教師的信息化素養(yǎng)培訓(xùn)力度。領(lǐng)導(dǎo)小組應(yīng)依據(jù)“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，結(jié)合本校實(shí)際情況制定校內(nèi)網(wǎng)絡(luò)安全責(zé)任制落實(shí)細(xì)則。細(xì)則至少包含以下內(nèi)容：確定各二級(jí)單位的網(wǎng)絡(luò)安全責(zé)任人，同時(shí)確定網(wǎng)絡(luò)安全聯(lián)系人。具體來(lái)說(shuō)，責(zé)任人對(duì)本單位的網(wǎng)絡(luò)安全負(fù)總責(zé)；聯(lián)系人則負(fù)責(zé)配合信息化管理機(jī)構(gòu)開展各項(xiàng)網(wǎng)絡(luò)安全工作，向本單位網(wǎng)絡(luò)安全責(zé)任人直接匯報(bào)工作；有條件的部門可以另外確定一名部門負(fù)責(zé)人擔(dān)任網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)，負(fù)責(zé)具體指導(dǎo)聯(lián)系人開展本部門的網(wǎng)絡(luò)安全工作。

為強(qiáng)化人才隊(duì)伍建設(shè)，信息化管理機(jī)構(gòu)要定期開展對(duì)各單位網(wǎng)絡(luò)安全責(zé)任人、網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)和網(wǎng)絡(luò)安全聯(lián)系人的業(yè)務(wù)培訓(xùn)，從網(wǎng)絡(luò)安全意識(shí)、網(wǎng)絡(luò)安全責(zé)任制、信息化和網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)安全應(yīng)急處置等幾個(gè)方面進(jìn)行系統(tǒng)的校內(nèi)培訓(xùn)，分批選送網(wǎng)絡(luò)安全管理人員參加校外專業(yè)培訓(xùn)、學(xué)習(xí)，鼓勵(lì)其參加專業(yè)認(rèn)證考試。信息化管理機(jī)構(gòu)的專技人員須持證上崗。定期選派專技人員、有條件的二級(jí)單位網(wǎng)絡(luò)安全聯(lián)系人和其他具備條件的師生參加各級(jí)網(wǎng)信辦、公安機(jī)關(guān)和教育主管部門開設(shè)的專業(yè)技能培訓(xùn)班、學(xué)習(xí)班，積極組織教師和學(xué)生參加各類網(wǎng)絡(luò)安全技能大賽，不斷提高專技人員的業(yè)務(wù)能力。最后，領(lǐng)導(dǎo)小組應(yīng)積極推動(dòng)形成校內(nèi)外網(wǎng)絡(luò)安全選人、用人機(jī)制，形成用好高校網(wǎng)絡(luò)安全管理人才的新局面。

（四）“技防”和“人防”相互融合

筆者認(rèn)為，不同的高校資源稟賦各不相同，須進(jìn)一步完善網(wǎng)絡(luò)安全管理體系，提升“技防”和“人防”融合度?！凹挤馈睙o(wú)法完全解決的難題用“人防”來(lái)彌補(bǔ)，“人防”需要提升效率的地方用技術(shù)手段來(lái)輔助，兩者相輔相成，共同促進(jìn)網(wǎng)絡(luò)安全管理體系的完善。

一方面，5G、大數(shù)據(jù)、云計(jì)算和AI等新技術(shù)勢(shì)必在不久的將來(lái)融入現(xiàn)有的智慧校園體系，越來(lái)越多的信息化設(shè)備和應(yīng)用可能會(huì)帶來(lái)較多的網(wǎng)絡(luò)安全問(wèn)題。另一方面，網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的過(guò)程，外在的威脅和隱患在不斷暴露，構(gòu)建“技防”平臺(tái)的核心技術(shù)支撐體系、提高“技防”和“人防”融合度等舉措還需要進(jìn)一步開展深入研究。