◆謝黨恩 常思遠(yuǎn) 馮戰(zhàn)申

(河南省許昌市八一路88號(hào)許昌學(xué)院 河南 461000 )

隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也被國(guó)家日漸關(guān)注。從 2014年2月 27日成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，到2015年習(xí)近平主席多次提及網(wǎng)絡(luò)空間安全，再到2016年4月19日習(xí)近平主持召開(kāi)網(wǎng)絡(luò)安全與信息化工作會(huì)談并發(fā)表重要講話，網(wǎng)絡(luò)安全已經(jīng)提升為國(guó)家戰(zhàn)略層面[1]。近年來(lái)，各類(lèi)高校都在加大智慧校園建設(shè)力度，涌現(xiàn)出來(lái)越來(lái)越多服務(wù)于教學(xué)、科研和校務(wù)管理等方面的應(yīng)用，這些應(yīng)用在方便了師生的同時(shí)也加大了高校網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。鑒于此，我們需要充分把握高校網(wǎng)絡(luò)安全管理現(xiàn)狀，并提前做好各項(xiàng)應(yīng)對(duì)措施。

1 高校網(wǎng)絡(luò)安全現(xiàn)狀分析

1.1 全網(wǎng)資產(chǎn)數(shù)據(jù)不清

安全防護(hù)需要有針對(duì)性，沒(méi)有一種方案能解決所有的安全問(wèn)題，這就要求在進(jìn)行安全體系建設(shè)之初必須要明確要被防護(hù)的資產(chǎn)[2]。目前很多高校管理部門(mén)對(duì)全網(wǎng)資產(chǎn)信息沒(méi)有詳細(xì)的統(tǒng)計(jì)分析，無(wú)法掌握全網(wǎng)資產(chǎn)數(shù)據(jù)信息。在此前提下安全就無(wú)從談起，只能被動(dòng)地像救火隊(duì)一樣，什么地方起火就處理什么地方的問(wèn)題，而且經(jīng)常無(wú)法對(duì)應(yīng)到資產(chǎn)責(zé)任人及位置信息，導(dǎo)致的結(jié)果是無(wú)法及時(shí)處理問(wèn)題。

1.2 權(quán)責(zé)不明晰，管理難度大

在高校里各二級(jí)部門(mén)都有不少于1個(gè)的部門(mén)網(wǎng)站，此外還有越來(lái)越多的各種管理系統(tǒng)，如OA系統(tǒng)、教務(wù)系統(tǒng)、招聘系統(tǒng)、迎新系統(tǒng)、離校系統(tǒng)等各類(lèi)Web信息系統(tǒng)，數(shù)量眾多，管理難度大，費(fèi)時(shí)費(fèi)力。而這些網(wǎng)站和信息系統(tǒng)在早期都是依靠紙質(zhì)的備案表格進(jìn)行備案，沒(méi)有線上的備案管理系統(tǒng)，主要依靠人工管理，工作復(fù)雜煩瑣，一旦緊急事件后，無(wú)法快速進(jìn)行處理和追責(zé)。其次，部分二級(jí)單位存在“私搭亂建”現(xiàn)象嚴(yán)重，甚至采用租賃云服務(wù)的形式，在公有云上搭建業(yè)務(wù)系統(tǒng)，自身又缺少監(jiān)管，出現(xiàn)問(wèn)題時(shí)容易對(duì)學(xué)校造成不良影響，且不易檢測(cè)。

1.3 缺乏有效的安全管理體系

安全管理體系，顧名思義就是基于安全管理的一整套體系，體系包括軟件硬件方面[3]。軟件方面涉及思想、制度、教育、組織、管理；硬件包括安全投入、設(shè)備、設(shè)備技術(shù)、運(yùn)維服務(wù)等等。目前，大多數(shù)高校都已經(jīng)開(kāi)始陸續(xù)上線了一系列軟硬件安全產(chǎn)品，以加強(qiáng)對(duì)校園網(wǎng)安全建設(shè)，但是，有了這些安全產(chǎn)品還遠(yuǎn)遠(yuǎn)不夠，缺乏必要的管理體系的約束，這些設(shè)備只能成為一種擺設(shè)。

1.4 安全人員數(shù)量不足，待遇差

高校網(wǎng)絡(luò)安全總體形勢(shì)不容樂(lè)觀。就目前網(wǎng)絡(luò)信息安全形勢(shì)而言，同類(lèi)高校網(wǎng)絡(luò)安全隊(duì)伍人員還遠(yuǎn)遠(yuǎn)不夠，尤其是技術(shù)人員還要承擔(dān)網(wǎng)絡(luò)管理和信息系統(tǒng)管理等諸多工作任務(wù)，前沿技術(shù)學(xué)習(xí)不夠，安全敏感度不夠，能投入工作的精力不夠。

安全技術(shù)人員的補(bǔ)充對(duì)高校來(lái)說(shuō)是個(gè)難以解決的問(wèn)題，高校側(cè)重于教學(xué)和科研人員的引進(jìn)和培養(yǎng)，網(wǎng)絡(luò)信息安全人員多數(shù)歸屬于教學(xué)輔助單位，用人方式也多為人事代理或臨時(shí)用工，相對(duì)教學(xué)人員而言，在工資收入和社會(huì)地位上都低人一等，無(wú)法發(fā)揮工作人員的工作積極性和創(chuàng)造性。

2 高校網(wǎng)絡(luò)安全管理應(yīng)對(duì)措施

2.1 健全網(wǎng)絡(luò)安全管理體系

沒(méi)有良好的安全管理體系就沒(méi)有好的執(zhí)行力，安全設(shè)備、安全技術(shù)是從技術(shù)層面解決異常的攻擊，安全管理體系是從管理角度解決制度和流程的問(wèn)題，制度和流程管理的是人，人再通過(guò)安全設(shè)備和技術(shù)落實(shí)安全，提高單位安全能力，安全技術(shù)和管理體系要相輔相成。網(wǎng)絡(luò)安全管理體系的建設(shè)是一個(gè)非常重要且需要不斷完善的過(guò)程，通過(guò)制定一系列制度文件的形式來(lái)落實(shí)網(wǎng)絡(luò)安全管理過(guò)程中相關(guān)部門(mén)的主體責(zé)任，要讓各主體部門(mén)轉(zhuǎn)變觀念，明確自己的安全責(zé)任。長(zhǎng)期以來(lái)，高校里面形成一種“安全問(wèn)題都是信息部門(mén)責(zé)任”的不良思維，自己的業(yè)務(wù)系統(tǒng)出了安全事件，推諉扯皮賴到信息部門(mén)頭上。其實(shí)，學(xué)校的信息部門(mén)就像是學(xué)校的保衛(wèi)隊(duì)，保護(hù)的是學(xué)校的大門(mén)，他們的職責(zé)是做好外圍的防護(hù)。各個(gè)單位相當(dāng)于圍墻之內(nèi)的各家各戶，他們有自己的戶型、結(jié)構(gòu)和私有的鑰匙，所以只有各單位才能做好內(nèi)部防護(hù)[4]。

為了規(guī)范和明確信息化建設(shè)中各單位的工作范圍和職責(zé)，學(xué)校必須建立一套網(wǎng)絡(luò)與信息安全管理制度，并通過(guò)這些制度對(duì)安全管理工作和職責(zé)進(jìn)行劃分。制度應(yīng)明確網(wǎng)絡(luò)與信息系統(tǒng)安全必須要貫穿學(xué)校的信息化建設(shè)始終，做到同步規(guī)劃，同步建設(shè)和同步運(yùn)行，應(yīng)確定信息管理部門(mén)和各二級(jí)單位之間的具體職責(zé)以及必須開(kāi)展的工作等。

2.2 增加網(wǎng)絡(luò)安全軟硬件的資金投入

學(xué)校要加大資金投入，要從技術(shù)方面入手做好整個(gè)校園環(huán)境的基礎(chǔ)信息安全防護(hù)，主要包括建立校園網(wǎng)網(wǎng)絡(luò)防火墻、VPN、堡壘機(jī)、Web應(yīng)用防火墻、數(shù)據(jù)庫(kù)審計(jì)、云防護(hù)、網(wǎng)站及信息系統(tǒng)監(jiān)控平臺(tái)、漏掃設(shè)備、網(wǎng)絡(luò)防病毒軟件等公共平臺(tái)設(shè)施，確保有防護(hù)、有數(shù)據(jù)、有痕跡，為網(wǎng)絡(luò)與信息安全工作提供必須的、完備的環(huán)境和條件保障。依照《國(guó)家網(wǎng)絡(luò)安全法》和《信息系統(tǒng)等級(jí)保護(hù)條例》的要求做好信息系統(tǒng)的等級(jí)保護(hù)定期備案工作。

2.3 摸清家底并做好應(yīng)急預(yù)案

高校在大規(guī)模引入各類(lèi)業(yè)務(wù)系統(tǒng)時(shí)，一般都會(huì)出現(xiàn)“先建后管”的局面，這就導(dǎo)致經(jīng)過(guò)一段時(shí)間的建設(shè)，各種業(yè)務(wù)系統(tǒng)如雨后春筍般涌現(xiàn)出來(lái)，無(wú)人知曉全校服務(wù)器（虛擬機(jī)）總數(shù)量，甚至有些單位通過(guò)采購(gòu)服務(wù)形式在公有云上搭建系統(tǒng)，更是讓信息化管理單位無(wú)法掌控。針對(duì)這種亂象，必須從應(yīng)用系統(tǒng)、信息資產(chǎn)、基礎(chǔ)架構(gòu)、規(guī)章制度、應(yīng)急保障五個(gè)維度進(jìn)行全面梳理，要摸清家底，掌握系統(tǒng)部署、運(yùn)行、應(yīng)用和運(yùn)維工作的基本情況，編制完善的信息化基礎(chǔ)資料，才能夠做到一旦出現(xiàn)安全事件時(shí)，快速響應(yīng)和處置，做到有的放矢。在此基礎(chǔ)上，進(jìn)一步借助于安全設(shè)備來(lái)提前發(fā)現(xiàn)服務(wù)器和系統(tǒng)存在的安全風(fēng)險(xiǎn)，提前告警，趕在事件發(fā)生之前完成對(duì)系統(tǒng)加固，從而有效避免安全事件發(fā)生。

2.4 強(qiáng)化高校網(wǎng)絡(luò)安全隊(duì)伍建設(shè)

有了科學(xué)的管理機(jī)制還不夠，還需要有專業(yè)的技術(shù)團(tuán)隊(duì)做支撐。針對(duì)高校安全人員數(shù)量不足、待遇差的問(wèn)題，學(xué)校人事部門(mén)需要制定針對(duì)性的解決方案，在人員分配、職稱評(píng)審、崗位聘任等方面要適當(dāng)給予傾斜，以保障高技能網(wǎng)絡(luò)安全人才的穩(wěn)定發(fā)展。同時(shí)要加大對(duì)技術(shù)人員的培訓(xùn)力度，提升團(tuán)隊(duì)的專業(yè)技能。在此基礎(chǔ)上，需要擴(kuò)展渠道，可適度引入外部企業(yè)專業(yè)的技術(shù)人員支持，共同做好學(xué)校的安全防護(hù)。一方面，學(xué)校通過(guò)與安全公司進(jìn)行合作，購(gòu)買(mǎi)安全服務(wù)，引進(jìn)一批專業(yè)的技術(shù)支持。另一方面，充分利用有能力的學(xué)生做安全方面的測(cè)試、攻擊、滲透等工作，讓他們能為學(xué)校的安全貢獻(xiàn)出自己的力量。同時(shí)，也可以給學(xué)生出具工作證明，對(duì)他們的白帽子工作給予創(chuàng)新學(xué)分等各種方式的肯定。

2.5 加大網(wǎng)絡(luò)安全宣傳力度

在高校工作中，要通過(guò)媒體介質(zhì)推送、專題課程、專題培訓(xùn)、問(wèn)卷調(diào)查、宣傳板等方式加強(qiáng)網(wǎng)絡(luò)安全宣傳，協(xié)同學(xué)生處、教務(wù)處將該項(xiàng)教育活動(dòng)納入高校的日常教學(xué)和管理工作當(dāng)中。通過(guò)舉辦網(wǎng)絡(luò)安全知識(shí)講座、開(kāi)設(shè)網(wǎng)絡(luò)安全選修課程等方式為學(xué)生進(jìn)行積極的心理健康引導(dǎo)，規(guī)范學(xué)生的網(wǎng)絡(luò)行為，避免其在具體應(yīng)用網(wǎng)絡(luò)當(dāng)中出現(xiàn)違反法律法規(guī)的情況。同時(shí)，通過(guò)這些手段可以有效提升師生的網(wǎng)絡(luò)安全防護(hù)意識(shí)，減少惡意占用或利用網(wǎng)絡(luò)資源、威脅校園網(wǎng)絡(luò)安全的行為，使師生在工作生活當(dāng)中都能夠?qū)W(wǎng)絡(luò)進(jìn)行規(guī)范合理的使用，做一名遵紀(jì)守法的網(wǎng)民。

3 結(jié)束語(yǔ)

綜上所述，高校在進(jìn)行數(shù)字化校園建設(shè)過(guò)程中，網(wǎng)絡(luò)安全建設(shè)要和信息化建設(shè)融為一體、同步進(jìn)行，同時(shí)要將網(wǎng)絡(luò)安全工作作為評(píng)價(jià)信息化建設(shè)成敗的一項(xiàng)關(guān)鍵指標(biāo)。只要我們構(gòu)建一套完備的安全管理制度，搭建一套安全監(jiān)測(cè)及智能分析預(yù)警軟硬件系統(tǒng)，組建一支技術(shù)過(guò)硬的安全運(yùn)維團(tuán)隊(duì)，形成一個(gè)信息素養(yǎng)過(guò)硬的師生團(tuán)體，就可以在很大程度上保障高校網(wǎng)絡(luò)和信息資產(chǎn)的長(zhǎng)治久安。