文/王宇 王佳楠 趙佳鑫 吳煒鑫

網(wǎng)絡(luò)安全保障體系作為智慧校園建設(shè)體系的重要組成部分，是保障高校網(wǎng)絡(luò)運(yùn)行安全和網(wǎng)絡(luò)信息安全，確保高校信息化基礎(chǔ)軟硬件環(huán)境和應(yīng)用信息系統(tǒng)安全、穩(wěn)定、有序運(yùn)行的基礎(chǔ)保證。推進(jìn)高校智慧校園網(wǎng)絡(luò)安全保障體系建設(shè)也是整體上系統(tǒng)化提升高校網(wǎng)絡(luò)安全工作水平的重要切入點(diǎn)。

智慧校園網(wǎng)絡(luò)安全保障體系建設(shè)

智慧校園網(wǎng)絡(luò)安全保障體系建設(shè)應(yīng)依據(jù)國(guó)家和教育行業(yè)網(wǎng)絡(luò)安全保障要求，結(jié)合高校信息化工作的特點(diǎn)和具體的安全需求，建設(shè)符合網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施要求、覆蓋高校信息化建設(shè)各領(lǐng)域、貫穿信息系統(tǒng)等信息資產(chǎn)全生命周期的網(wǎng)絡(luò)安全一體化防護(hù)體系，支持高校信息化應(yīng)用系統(tǒng)穩(wěn)定運(yùn)行，保障高校網(wǎng)絡(luò)環(huán)境可控、隱私信息保護(hù)、數(shù)據(jù)信息安全，有力支撐高校網(wǎng)絡(luò)空間安全治理要求。

圖1 智慧校園系統(tǒng)層次邏輯

智慧校園網(wǎng)絡(luò)安全保障體系建設(shè)應(yīng)遵循緊密協(xié)同、同步建設(shè)、綜合防范、動(dòng)態(tài)調(diào)整、持續(xù)投入、合法合規(guī)的原則，參考網(wǎng)絡(luò)安全保障相關(guān)法律法規(guī)及標(biāo)準(zhǔn)規(guī)范，基于信息系統(tǒng)生命周期從組織、管理和技術(shù)等方面構(gòu)建高校網(wǎng)絡(luò)安全保障體系。網(wǎng)絡(luò)安全保障體系建設(shè)要將規(guī)劃立項(xiàng)、系統(tǒng)建設(shè)（開發(fā)采購、實(shí)施交付）、運(yùn)行維護(hù)和系統(tǒng)廢棄四個(gè)階段的信息系統(tǒng)生命周期貫穿始終，同時(shí)需要從組織體系、管理體系和技術(shù)體系全方位協(xié)調(diào)配合和推進(jìn)。

等級(jí)保護(hù)助力保障體系建設(shè)推進(jìn)

高校網(wǎng)絡(luò)安全工作普遍存在以下共性問題和短板，如何推進(jìn)網(wǎng)絡(luò)安全保障體系建設(shè)，如何找到網(wǎng)絡(luò)安全工作開展的立足點(diǎn)，是智慧校園建設(shè)中無法回避的問題。

1.信息化統(tǒng)籌管理和建設(shè)基礎(chǔ)薄弱。信息化管理、技術(shù)、業(yè)務(wù)部門間的溝通協(xié)作、合作共贏的關(guān)系有待建立，業(yè)務(wù)系統(tǒng)建設(shè)和應(yīng)用走在整體信息化環(huán)境建設(shè)前面，不斷涌現(xiàn)的師生信息化應(yīng)用需求持續(xù)增加網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2.信息資產(chǎn)全生命周期管理滯后。網(wǎng)站和信息系統(tǒng)梳理不足，缺乏校級(jí)管理制度和流程，域名、互聯(lián)網(wǎng)IP地址、信息服務(wù)等管控力度不足，跟不上信息化發(fā)展和網(wǎng)絡(luò)安全管控要求。

3.網(wǎng)絡(luò)安全工作仍處于初級(jí)階段。網(wǎng)絡(luò)安全工作側(cè)重漏洞信息和安全事件的應(yīng)急處置和整改監(jiān)督，事前預(yù)警和管控、網(wǎng)站和信息系統(tǒng)上線檢測(cè)和持續(xù)監(jiān)控都有待加強(qiáng)。

4.網(wǎng)絡(luò)安全主動(dòng)性工作羈絆掣肘。學(xué)校網(wǎng)絡(luò)安全團(tuán)隊(duì)技術(shù)能力不足，缺乏專業(yè)團(tuán)隊(duì)支撐，技術(shù)部門責(zé)任擔(dān)當(dāng)不夠，配套整體統(tǒng)籌環(huán)境不清晰，管控推進(jìn)力度不足。

智慧校園網(wǎng)絡(luò)安全保障體系建設(shè)是解決高校網(wǎng)絡(luò)安全工作存在問題和短板的有效途徑，但是由于其內(nèi)容囊括組織、制度到技術(shù)領(lǐng)域，與高校信息化建設(shè)的組織和管理模式密切相關(guān)，無法在短期內(nèi)一蹴而就，需要找到強(qiáng)有力的政策抓手來持續(xù)指導(dǎo)和推動(dòng)體系建設(shè)。

國(guó)家明確要求高校推進(jìn)網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)，切實(shí)做好網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正好可以成為推進(jìn)智慧校園網(wǎng)絡(luò)安全保障體系建設(shè)的切入點(diǎn)和指揮棒，擺脫前期“合規(guī)為主”思想，通過等保定級(jí)、備案、測(cè)評(píng)、整改等一系列閉環(huán)管理和技術(shù)要求，真實(shí)推進(jìn)網(wǎng)絡(luò)安全治理體系的初始建立和優(yōu)化提升。建議方案路徑包括：

1.等保建設(shè)全局觀確立。通過等保定級(jí)、備案、測(cè)評(píng)、加固和整改等來建設(shè)網(wǎng)絡(luò)安全管控體制。等保測(cè)評(píng)整改是包括在定級(jí)備案的基礎(chǔ)上開展的等保測(cè)評(píng)服務(wù)、系統(tǒng)加固服務(wù)、整改設(shè)備采購與部署、管理制度和流程建議、信息資產(chǎn)梳理等系列工作，是推進(jìn)網(wǎng)絡(luò)安全治理體系建立的抓手，也將切實(shí)推進(jìn)學(xué)校網(wǎng)絡(luò)安全保障體系從組織到管理、技術(shù)等各個(gè)環(huán)節(jié)的建立和加強(qiáng)。

2.前期準(zhǔn)備工作

（1）網(wǎng)絡(luò)安全管理和技術(shù)支撐部門整合或利益共擔(dān)機(jī)制確立，讓管理和技術(shù)形成合力，高效率推進(jìn)網(wǎng)絡(luò)安全相關(guān)工作。

（2）信息化建設(shè)整體規(guī)劃提供指導(dǎo)，從頂層設(shè)計(jì)上對(duì)組織協(xié)調(diào)、管理制度、人員配備等進(jìn)行整體部署，統(tǒng)一思想，明確方向。

（3）建立必要的項(xiàng)目制管理體制，配備項(xiàng)目管理專職人員，以項(xiàng)目制方式推進(jìn)等級(jí)保護(hù)測(cè)評(píng)整改工作。

（4）建立和完善技術(shù)部門內(nèi)部、技術(shù)部門與業(yè)務(wù)部門的溝通機(jī)制，降低項(xiàng)目實(shí)施過程中的溝通延遲風(fēng)險(xiǎn)，遇到問題節(jié)點(diǎn)及時(shí)顯現(xiàn)和上升解決層級(jí)，提高信息反饋效率。

3.測(cè)評(píng)整改推進(jìn)階段措施

（1）以“起而行之”替代“坐而論道”，用行動(dòng)去推動(dòng)等保測(cè)評(píng)整改工作。

（2）對(duì)等保測(cè)評(píng)整改服務(wù)商、對(duì)信息化管理和技術(shù)部門內(nèi)部、對(duì)二級(jí)單位都采用項(xiàng)目制度管理，嚴(yán)格管控節(jié)點(diǎn)和目標(biāo)，及時(shí)處置影響項(xiàng)目推進(jìn)的關(guān)鍵問題。

（3）校內(nèi)溝通組織和協(xié)調(diào)要在界面、方式、文檔等方面規(guī)范有序。測(cè)評(píng)整改過程服務(wù)于學(xué)校整體安全水平提升，也是網(wǎng)絡(luò)安全和信息化相關(guān)部門樹立管理和技術(shù)威信的過程，要充分體現(xiàn)合作意愿和技術(shù)專業(yè)。

（4）統(tǒng)籌管控的軟硬件環(huán)境（站群、物理和虛擬托管）要提供有效支撐，切實(shí)關(guān)注業(yè)務(wù)部門的實(shí)際需求，通過疏堵結(jié)合策略進(jìn)行信息資源梳理和整合，從學(xué)校層級(jí)關(guān)注信息化和網(wǎng)絡(luò)安全基礎(chǔ)環(huán)境建設(shè)。

（5）管理制度和規(guī)范流程要相配合，同步推出包括《互聯(lián)網(wǎng)域名管理辦法》、《網(wǎng)絡(luò)與信息安全管理辦法》、《信息資產(chǎn)梳理和流程資源整合規(guī)范》、《虛擬主機(jī)（私有云）管理辦法》等系列網(wǎng)絡(luò)安全和信息化建設(shè)相關(guān)制度，將工作推進(jìn)成果固化和可持續(xù)。

4.測(cè)評(píng)整改推進(jìn)后期，要對(duì)信息資產(chǎn)、管理制度、操作流程、技術(shù)要求等進(jìn)行全面的文檔化和在線化，形成信息系統(tǒng)全生命周期管理體系，將等保工作成果沉淀，形成網(wǎng)絡(luò)安全保障體系建設(shè)“原點(diǎn)”的不斷完善和提升。

實(shí)踐與展望

學(xué)校依托等保測(cè)評(píng)整改工作，有效助力智慧校園網(wǎng)絡(luò)安全保障體系建設(shè)。信息化管理和技術(shù)部門責(zé)任擔(dān)當(dāng)形象初步確立，二級(jí)部門物理設(shè)備集中管控制度確立，二級(jí)部門物理和虛擬托管環(huán)境初步建成，信息技術(shù)部門資源利用率明顯提升，校內(nèi)信息資產(chǎn)摸底進(jìn)展順利，信息化軟硬件預(yù)算統(tǒng)籌管理逐步形成，軟件項(xiàng)目招標(biāo)、采購、開發(fā)、實(shí)施、運(yùn)維等明確要求包括技術(shù)要求、定級(jí)要求、測(cè)評(píng)要求、域名管理、互聯(lián)網(wǎng)訪問等網(wǎng)絡(luò)安全相關(guān)內(nèi)容形成，信息化建設(shè)人員積極性、主動(dòng)性、能動(dòng)性明顯提升。后續(xù)，學(xué)校將從提升信息資產(chǎn)管理水平和網(wǎng)絡(luò)安全防護(hù)能力出發(fā)，完成整改測(cè)評(píng)工作，建立、完善和出臺(tái)完整的網(wǎng)絡(luò)安全工作制度和流程，并通過站群、流程平臺(tái)、移動(dòng)APP整合精簡(jiǎn)網(wǎng)站和信息系統(tǒng)數(shù)量，減少信息系統(tǒng)入口，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。