潘 卿 顧煒江 竇立君

隨著互聯(lián)網技術的飛速發(fā)展，網絡安全日益受到社會各方的重視。習近平總書記多次發(fā)表關于網絡安全的重要講話。他指出：“過不了互聯(lián)網這一關，就過不了長期執(zhí)政這一關。”［1］“沒有網絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化?！保?］“網絡安全和信息安全牽涉到國家安全和社會穩(wěn)定，是我們面臨的信息綜合性挑戰(zhàn)?！保?］“要落實網絡安全責任制，制定網絡安全標準，明確保護對象、保護層級、保護措施?！保?］高校作為我國高等教育的施教主體和科研的主要載體，在充分享受網絡帶來的便利的同時，也存在很大的網絡安全隱患。［5］同時，由于高校具有個人敏感信息密集、教學科研數(shù)據(jù)多等特點，一旦出現(xiàn)網絡安全問題如數(shù)據(jù)泄露事件，帶來的社會影響和經濟損失不可估量。

一、高校網絡安全管理現(xiàn)狀及主要問題

隨著《教育信息化2.0 行動計劃》的逐步落實，各省智慧校園建設如火如荼地開展，高校的信息化水平已經有了長足的發(fā)展，基礎網絡、核心設備、數(shù)據(jù)機房、一卡通系統(tǒng)等已經在各高校普及，各類教學、科研、管理以及服務類的前端應用也百花齊放。但是高校在信息化建設過程中存在技術相對滯后、資金缺乏、規(guī)劃滯后、建設和運維職責模糊等現(xiàn)實困難，使得網絡安全管理仍然問題重重。

（一）缺乏網絡安全權威管理機構

相較于教學、科研和管理部門，大部分高校的信息化管理機構仍然處于從屬位置，缺乏權威的管理機構，更多的是提供服務和保障，而沒有在信息化建設尤其是網絡安全建設方面起到真正的統(tǒng)籌規(guī)劃作用。事實上，不少高校內部沒有很好地遵循信息化和網絡安全建設的統(tǒng)一標準和流程，信息化項目的建設資金來源不一，項目實施過程和日常運維缺乏監(jiān)督和指導。一旦出現(xiàn)網絡安全問題，信息化管理機構則以“救火隊員”的身份被推上前臺。

缺乏網絡安全權威管理機構造成的后果之一是信息化建設和網絡安全沒有同步規(guī)劃。一方面，絕大多數(shù)的高校在信息化建設過程中都缺乏頂層設計，各部門按照自身訴求建設信息系統(tǒng)，由于缺乏專業(yè)技術能力和專項資金，基本沒有考慮配套網絡安全的建設。另一方面，中心機房和核心網絡設備體系由學校信息化管理部門集約管理，便于進行網絡安全的統(tǒng)一規(guī)劃、建設、維護和保障；分散在各個二級單位的應用型信息系統(tǒng)，則由于缺少專人管理、管理人員專業(yè)技術欠缺和網絡安全意識淡薄等問題，使用部門幾乎沒有網絡安全防護能力；而信息化管理部門也因為這些系統(tǒng)建設標準參差不齊、技術參數(shù)不同而難以構建整體防護策略。

缺乏網絡安全權威管理機構造成的另一個后果是網絡安全職責不清。信息化管理部門通常被認定為是高校網絡安全問題的責任部門，而實際使用和運維信息系統(tǒng)的二級單位普遍只管使用。從科學的角度來劃分，網絡安全管理的職責應該從整體到局部、從上層到基層綜合考慮，使其各司其職。

（二）缺乏網絡安全專業(yè)技術人員

網絡安全管理是多學科、綜合性、技術性并存的綜合管理工作，專業(yè)技術人員是必不可少的基礎支撐，但高校中相關技術人才缺乏的情況很普遍。南京林業(yè)大學網絡安全和信息化辦公室于2020 年對江蘇省及北京市共30 所高校發(fā)起調查，數(shù)據(jù)顯示，高校信息化管理部門的平均人數(shù)是26 人，約占在校師生人數(shù)的1%，這與國際上高校信息化工作人員占比30%以上相比，存在較大差距。另外，如果把具備計算機及相關專業(yè)背景視同具備網絡安全專業(yè)背景，那么各高校信息化管理部門的專技人員與總工作人員比例為30%～50%，與管理全校數(shù)十個部門的數(shù)百個信息系統(tǒng)相比，這個比例也是遠遠不夠的。再者，高校中各個二級單位幾乎沒有專職的、具有專業(yè)背景的信息技術管理人員，在執(zhí)行上一級管理部門的網絡安全工作要求方面存在較大的難度。

（三）廣大師生信息化素養(yǎng)還有待提高

近幾年，互聯(lián)網詐騙、個人隱私信息泄露等高校網絡安全事件頻發(fā)。據(jù)國家互聯(lián)網應急中心2021 年上半年發(fā)布的統(tǒng)計報告和國家信息安全漏洞共享平臺漏洞統(tǒng)計數(shù)據(jù)可知，高校信息系統(tǒng)漏洞中“弱口令”“釣魚木馬”等仍然是主要的網絡安全隱患。這說明廣大師生網絡安全意識不強，對網絡安全防護技能科普的接受度還有較大的提升空間。

（四）信息化管理部門忙于堵漏，預警能力不強

高校信息化管理部門被動充當“守門員”的角色，一方面要到處“救火”、到處“補漏”，力爭做到網絡安全零事故；另一方面作為高校網絡安全的最后一道防線，還要承擔絕大部分的責任。信息化管理部門基于現(xiàn)有條件很難對整個學校的網絡安全做有效、整體的把控，更沒有精力去做好整體網絡安全預警工作。而實際上，事先預防的成本是最小的，效果也是最好的。

二、構建“技防+人防”相融合的高校網絡安全管理體系

（一）建立高校網絡安全權威管理機構

網絡安全權威管理機構是一個在校黨委領導下統(tǒng)籌全校網絡安全工作的校級層面組織，一般稱作網絡安全和信息化委員會或者網絡安全和信息化領導小組（以下簡稱“領導小組”）。成立領導小組是構建高校網絡安全管理體系的核心。組內成員除信息化管理機構主要負責人外，還應當包括學校黨政機關和信息系統(tǒng)應用比較多的部門（如學生處、教務處、科研處、圖書館等）的主要負責人。

領導小組的主要職責在于領導和規(guī)劃校內網絡安全和信息化建設工作。首先應指導信息化管理機構建立健全網絡安全管理體系、識別網絡安全問題、明確網絡安全管理的范圍和內容等。其次，信息化管理機構在領導小組的指導下，須制定符合高校的網絡安全管理制度，修訂、完善原有的信息化管理制度，規(guī)范高校信息化建設流程。網絡安全的管理必須全流程融于信息化項目的建設中，因此，要建立健全網絡安全管理體系，必須糾正先前信息化建設過程中的不規(guī)范之處。只有將網絡安全的具體要求落實到信息化項目立項、采購、實施、驗收及后期運維中，網絡安全管理體系才能真正落地。最后，領導小組要統(tǒng)籌網絡安全經費管理，制定并完善全校網絡安全防護策略，提升網絡安全專業(yè)技術水平，加大管理隊伍的人才培養(yǎng)力度等。

（二）建設全方位的“技防”平臺

完善的網絡安全管理體系應以全面、開放的思路建設技術防護平臺，以網絡安全等級保護2.0 標準（簡稱“等保2.0”）為核心指導，以強化信息資產管理為基礎，以補全關鍵網絡安全防護設施設備為重點，以優(yōu)化網絡安全技術防護策略為依托，以具備較強的網絡安全預警和應急能力為目的，最終形成網絡安全技術防護閉環(huán)。

等保2.0是我國最新、最權威的網絡安全保護標準體系，可以看作《網絡安全法》的實施細則，因此，高校的網絡安全技術防護平臺必須以等保2.0的高標準和嚴要求為指導，不論是硬件設備、軟件系統(tǒng)還是綜合性信息化平臺，上線運行的前提都應是科學定級并進行備案。高等級的信息系統(tǒng)還應當按照公安機關的規(guī)定進行等級保護測評，不符合條件的應當嚴格按照等保2.0標準整改到位方可繼續(xù)運行。

信息資產作為網絡安全管理的主要對象，其關系的理順是建立健全網絡安全技防平臺的基礎。高校應當完善信息資產臺賬管理制度，明確信息系統(tǒng)（網站）的資產歸屬部門，定期開展信息資產巡查，進行資產摸底、排查和清理，重點關注長期不使用、長期不更新和無人認領的“僵尸”信息系統(tǒng)，按照程序進行關停、下線，在回收服務器資源的同時，又能降低網絡安全風險。對于“雙非”信息系統(tǒng)（網站），應秉持堅決遷回的態(tài)度，如因特殊原因無法遷回，則應重點加強網絡安全監(jiān)控和防護。

技術支撐體系是網絡安全工作的關鍵所在，其技術水平決定著網絡安全水平。［6］在全面梳理網絡安全設備部署情況后，高校應當補充、補強重點區(qū)域的關鍵防護設備設施，如中心機房、虛擬化平臺等。出口防火墻、入侵防御系統(tǒng)、數(shù)據(jù)中心區(qū)域Web 應用防火墻、數(shù)據(jù)庫審計系統(tǒng)等網絡基礎安全防護設備要定期升級加固并優(yōu)化防護策略。加強主機防護能力，部署主機防護系統(tǒng)，除了厘清各類主機的操作系統(tǒng)、應用、中間件、數(shù)據(jù)庫等信息和定期進行掃描、修復外，更重要的是加強服務器流量監(jiān)控和數(shù)據(jù)分析，預判可能存在的風險并倒查問題主機，提前進行干預和處置，逐步形成預警機制。增強前端應用的安全防護手段，可對校內網絡資源進行分類管理，一般的網站和不涉及敏感數(shù)據(jù)的信息系統(tǒng)可對互聯(lián)網開放訪問，而OA 系統(tǒng)、財務管理系統(tǒng)、教務管理系統(tǒng)、圖書資源等平臺則限制局域網訪問，互聯(lián)網須使用VPN 系統(tǒng)訪問。為了達到等保2.0 標準對信息系統(tǒng)運維過程提出的“事前預防、事中控制、事后審計”的要求，高校須部署堡壘機監(jiān)督審計系統(tǒng)，系統(tǒng)運維人員需要通過訪問堡壘機才能維護被授權管理的系統(tǒng)。堡壘機對授權人員的運維操作行為進行記錄、控制和審計，以此加強對校園內部運維管理行為的規(guī)范和監(jiān)管。

（三）建設高效率的“人防”平臺

“人防”的作用除了體現(xiàn)在專技人員的專業(yè)素養(yǎng)方面，更應當體現(xiàn)在管理層面。一方面所有網絡安全規(guī)章制度都是靠人執(zhí)行的，防護設備的定期維護、檢修和升級也要靠人實施，對于防護體系預警提示的各類隱患和問題，目前絕大部分也都要靠人去解決。另一方面，對于可能發(fā)生的網絡安全事故或事件，相關人員的應急響應速度和能力直接決定了處置問題的水平，也在很大程度上決定了該事故或事件造成的最終后果?！叭朔馈逼脚_的運行情況直接決定高校整個網絡安全管理體系的實際運行效率和效果。

“人防”平臺建設的核心是以網絡安全責任制為主線，加強專技人員和網絡安全管理人員隊伍建設，嚴格落實校內網絡安全各項制度，加大校內師生特別是參與網絡安全管理的一線教師的信息化素養(yǎng)培訓力度。領導小組應依據(jù)“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，結合本校實際情況制定校內網絡安全責任制落實細則。細則至少包含以下內容：確定各二級單位的網絡安全責任人，同時確定網絡安全聯(lián)系人。具體來說，責任人對本單位的網絡安全負總責；聯(lián)系人則負責配合信息化管理機構開展各項網絡安全工作，向本單位網絡安全責任人直接匯報工作；有條件的部門可以另外確定一名部門負責人擔任網絡安全分管領導，負責具體指導聯(lián)系人開展本部門的網絡安全工作。

為強化人才隊伍建設，信息化管理機構要定期開展對各單位網絡安全責任人、網絡安全分管領導和網絡安全聯(lián)系人的業(yè)務培訓，從網絡安全意識、網絡安全責任制、信息化和網絡安全管理制度、網絡安全應急處置等幾個方面進行系統(tǒng)的校內培訓，分批選送網絡安全管理人員參加校外專業(yè)培訓、學習，鼓勵其參加專業(yè)認證考試。信息化管理機構的專技人員須持證上崗。定期選派專技人員、有條件的二級單位網絡安全聯(lián)系人和其他具備條件的師生參加各級網信辦、公安機關和教育主管部門開設的專業(yè)技能培訓班、學習班，積極組織教師和學生參加各類網絡安全技能大賽，不斷提高專技人員的業(yè)務能力。最后，領導小組應積極推動形成校內外網絡安全選人、用人機制，形成用好高校網絡安全管理人才的新局面。

（四）“技防”和“人防”相互融合

筆者認為，不同的高校資源稟賦各不相同，須進一步完善網絡安全管理體系，提升“技防”和“人防”融合度?！凹挤馈睙o法完全解決的難題用“人防”來彌補，“人防”需要提升效率的地方用技術手段來輔助，兩者相輔相成，共同促進網絡安全管理體系的完善。

一方面，5G、大數(shù)據(jù)、云計算和AI等新技術勢必在不久的將來融入現(xiàn)有的智慧校園體系，越來越多的信息化設備和應用可能會帶來較多的網絡安全問題。另一方面，網絡安全是一個動態(tài)的過程，外在的威脅和隱患在不斷暴露，構建“技防”平臺的核心技術支撐體系、提高“技防”和“人防”融合度等舉措還需要進一步開展深入研究。