文/郭濤 程永強 牛變玲 翟峰 武昭宇 郭浩

隨著高校信息化建設的深入開展，校園網內的網站和服務器的數量、業(yè)務信息數據的體量及應用系統(tǒng)的服務范圍都在不斷擴大，使得高校的網絡信息安全管理工作日趨復雜，安全形勢日益嚴峻。

2017 年6 月1 日開始施行的《網絡安全法》是我國第一部全面規(guī)范網絡空間安全管理的基礎性法律，明確了網絡安全與信息化發(fā)展并重的原則，對違法行為做出了明確的法律責任界定?！毒W絡安全法》對高校的網絡信息安全管理工作提出了更高的要求。為此，許多高校在網絡信息安全管理上均進行了不同程度的研究和探索，并積累了很多寶貴經驗。本文以太原理工大學為例，研究如何在新形勢下有序開展網絡信息安全管理工作，對提升網絡信息安全管理水平、保障教學科研活動正常開展具有重要意義。

太原理工大學

現狀與問題

太原理工大學經過多年的信息化建設與發(fā)展，目前已建有各類網站和應用系統(tǒng)150 余個，校園網數據中心部署有虛擬及物理服務器近200 臺，系統(tǒng)種類繁雜，形式各異。在國家從嚴治理網絡空間、學校業(yè)務對信息化日漸倚賴、地方院校人財物投入皆有限的大背景下，學校的網絡信息安全管理工作面臨的問題與困境也日益突出。

組織與制度不健全，權責不清晰

組織與制度建設是網絡信息安全管理的重要基礎。學校的網絡信息安全管理工作在校內通常涉及到、信息中心、二級學院、代理商等多個單位。由于組織架構不確定、管理制度的缺乏、過時和不具備操作性等原因，往往導致在網絡信息安全事件的處置過程中出現工作范圍不明確、操作流程不清楚、責任劃分不清晰的情況。

信息安全意識不強，認識存在誤區(qū)

網絡信息安全保障工作參與人員普遍存在的安全意識不強、專業(yè)知識缺乏、認識存在誤區(qū)等問題。大多數網站和系統(tǒng)的主辦單位只注重功能和美觀，而對安全性要求一無所知，對國家的相關法律法規(guī)不清楚，對學校的管理制度不了解，對應承擔的責任義務不知道。系統(tǒng)的管理和維護人員、甚至部分承建單位的技術人員的信息安全的知識十分匱乏。

資金投入有限，基礎設施老化

地方院校資金不足是個普遍性問題，導致在信息安全保障方面的投入十分有限。學校難以一次性投入大筆資金徹底改善薄弱的網絡信息安全基礎設施。受到經費投入限制，即使是必要的信息安全設備很多時候都無法配齊，設備老化、超期服役情況普遍，很多設備進入故障高發(fā)期但又無力承擔維保服務費用。

安全工作繁雜，人員嚴重不足

信息中心在人員不足的情況下，要承擔大量的網絡信息安全保障工作。由于學校政策和經費的限制，對信息安全從業(yè)人員的吸引力不強，不僅高端人員吸引不來，一般的技術人員也因為待遇和發(fā)展問題難以長期留住。隨著學校信息化規(guī)模的擴大，技術人員不足的問題日益突出。

安全體系建設不足，等保工作推進緩慢

在以往的信息系統(tǒng)建設過程中，往往是“重功能，輕安全”，加之校內大大小小的信息系統(tǒng)星羅密布、涉及主辦部門眾多繁雜的現狀，以信息中心一己之力往往難以有效推進等保工作的開展，而等保工作落實不到位又會面臨著公安機關的嚴厲處罰。

探索與實踐

為解決以上管理工作中存在的問題，學校從組織與制度建設、安全意識提升、基礎設施完善、技術人員引入、等級保護工作推進等方面進行了積極的探索和實踐，通過一系列措施的實施，力圖構建起適應學校實際情況的網絡信息安全管理模式，為學校管理、教學和科研活動的正常運行提供安全可靠的網絡信息安全環(huán)境。

健全組織與制度保障

組織和制度保障是開展網絡信息安全管理工作的基礎。2018 年學校成立“網絡安全和信息化領導小組”，由黨委書記和校長擔任組長，校內十多個職能部門的一把手擔任小組成員，小組辦公室落在信息中心。領導小組負責全校網絡輿情、信息安全工作的總體規(guī)劃、制度建設、項目審批、工作檢查和技術保障等相關工作。

領導小組成立后陸續(xù)頒布了《學校信息化管理與建設辦法》、《學校網站管理條例》、《學校信息系統(tǒng)建設與運維維護條例》、《學校網絡與信息安全管理辦法》、《學校網絡安全應急預案》等一系列管理制度，從信息化建設、網站、系統(tǒng)建設與安全保障、應急處置機制等方面做出了規(guī)定和要求，對相關部門的職能職責、工作任務和業(yè)務流程也做出了明確界定。

提升網絡信息安全意識

很多網絡信息安全事件的發(fā)生與相關人員安全意識不強、認識不到位、責任心不夠、專業(yè)知識缺乏等因素有關。因此提高廣大師生，特別是網站和信息系統(tǒng)的主辦者、管理者和運維者的安全意識，在一定程度上能及時有效地發(fā)現和消除安全隱患，降低安全事件的發(fā)生概率。

1. 網站和應用系統(tǒng)的主辦單位在申請開通前需簽訂《網絡信息安全承諾書》，使主辦者充分認識到其在網絡信息安全保障工作中所需要承擔的責任和義務。

2. 在每年組織的全校部門網站的評比活動中，將網絡信息安全納入評價指標。對于存在安全隱患未能有效整改或發(fā)生過安全事件的網站實行一票否決。

3. 成立了網絡信息安全工作聯絡群，將二級部門的信息安全負責人納入其中。及時將相關的政策解讀、新聞報道、態(tài)勢研判、漏洞通報、預警信息、案例分析等內容推送到相關人員手中，使其了解和掌握網絡信息安全的形勢和動態(tài)。

4. 在開展信息系統(tǒng)等級保護備案和測評工作中，邀請網信部門、公安機關的負責同志來校為廣大師生進行政策解讀和案例分析，同時要求系統(tǒng)主辦單位安排有關人員全程參與等保工作，使其一方面認識到網絡信息安全保障工作的系統(tǒng)性、復雜性和嚴肅性，另一方面也認識到信息系統(tǒng)不備案、不定級是違法行為。

5. 建議各二級部門加強對其網站和應用系統(tǒng)承建單位的網絡信息安全保障要求，相關權責盡可能落實在合同或協議中。

6. 在每年的網絡安全宣傳周之際，通過多種形式向廣大師生宣傳和普及信息安全知識。

完善信息安全基礎設施

地方院校經費投入不足是困擾網絡信息安全保障工作的一個大問題。指望學校一次性投入充足經費完善網絡信息安全基礎設施是不現實的。在經費有限這樣一個常態(tài)化的背景下，學校提出了“分期投入，依托項目，共享利舊”的思路。

1.“分期投入”是指先期制定學校網絡信息安全基礎設施完善升級的路線圖，分批分期的對安全設施設備進行升級換代，優(yōu)先完善國家政策要求和安全保障必備的基礎設施設備。

2.“依托項目”是指依托學校的信息化項目，從中規(guī)劃和解決一部分安全經費或設備投入。2018 年通過校企合作的“一卡通”項目建設，更新和升級了部分重要的信息安全設備。

3.“共享利舊”是指通過管理和技術手段，使利用率不高的設備實現共享使用、使老化的設備繼續(xù)發(fā)揮余熱，在提高利用率的同時減少購置成本。

創(chuàng)新人員引進途徑

和經費投入不足的問題一樣，技術人員的短缺也是長期困擾網絡信息安全保障工作的主要問題。如何破解這個難題，結合學校的實際情況進行了一些摸索和嘗試。

1. 以勤工助學的方式在本校中招收對網絡信息安全工作感興趣的一年級以上的研究生擔任學生助理工作，主要完成日常的安全設備巡檢、安全指標觀測、應急電話處置等常規(guī)性業(yè)務工作。

2. 通過與本校及省內兄弟院校聯系，安排部分即將畢業(yè)的相關專業(yè)本、?？粕鷣韺W校信息中心進行短期實習實踐。在這段期間，通過雙向了解從中招聘和選拔出部分合適的學生補充到工作崗位中，彌補技術人員不足的問題。

及時跟進等級保護工作

針對學校信息安全保障體系建設不同步、信息系統(tǒng)等保工作開展不到位的情況，學校進行了多方面的探索，取得了明顯的效果。

1. 由學?！熬W絡安全和信息化領導小組”統(tǒng)一領導、規(guī)劃和協調等級保護工作的開展，明確工作目標、責任分工與時間節(jié)點。確定了率先開展關鍵業(yè)務系統(tǒng)的定級備案工作，如學校主網站、人事、教務、研究生、財務、科技、一卡通等。信息中心具體負責業(yè)務培訓、組織定級、備案和測評工作。相關業(yè)務部門負責各自系統(tǒng)的摸底梳理、填寫備案材料、現場配合測評及后期整改工作。

2.對于新建信息系統(tǒng)在立項時就進行定級，按照所定級別在建設時同步采取信息安全保障措施，系統(tǒng)上線前開展備案、自評和第三方測評工作，對于發(fā)現的問題要及時整改，合格后方可正式上線運行。

3.對于已建成的信息系統(tǒng)，主辦單位要摸排統(tǒng)計，及時填寫備案材料。對于長期無人管理、難以維護、無法開展定級備案工作的信息系統(tǒng)，要及時下線舊系統(tǒng)更換新系統(tǒng)。

結論

高校網絡信息安全管理工作是一項復雜的系統(tǒng)性工程，需要持續(xù)不斷地進行改進和完善。本文以太原理工大學為例，提出了網絡信息安全管理工作中面臨的現狀及問題，并從學校的實際現狀出發(fā)，介紹了學校在組織與制度建設、安全意識提升、基礎設施完善、技術人員引進、等級保護工作開展等方面進行探索和實踐的情況，對推進網絡信息安全管理工作、構建適當的安全管理模式具有一定的研究和借鑒意義，同時也為同類型院校相關工作提供了新的思路及方法。