摘 要：在高校信息化應用日益深化的今天，人、信息和資源的整合日益密切，如何提升用戶網絡安全素養、保障信息系統的持續穩定運行、落實總體國家安全觀要求等，是當前亟待解決的關鍵問題。公開資料顯示：我國高校存在諸多網絡安全問題，如用戶網絡安全意識淡薄、組織機構不健全、非授權訪問系統、破壞數據完整性、幹擾系統正常運行和利用網絡傳播病毒等。從高校網絡安全面臨的問題出發，遵從風險管理的理念，在信息化戰略規劃的基礎上，借鑒國際上網絡安全工程理論和最佳實踐經驗，探討了高校如何加強用戶網絡安全素養、建立全局性的網絡安全防護體系，為高校網絡安全管理工作提供借鑒和參考。

　　高校網絡安全的總體狀況與問題分析

　　1.用戶群體巨大，師生網絡安全意識不強，安全素養和技能參差不齊。據統計，截至2016年，我國共有高校2,879所，在校學生約3,700萬人。高校學生作為我國公民中的一大群體，受教育程度高，對信息化比較了解，上網率接近100%。師生們享受著信息化所帶來便捷的同時，網絡安全問題也在高校師生中頻繁出現，成為高校管理的一大難題。近幾年，高校師生被網絡詐騙、信息被竊取販賣等新聞不斷見諸報端，網絡上這類信息更是屢見不鮮。網絡詐騙類問題，是全國各種類型高校面對的一類普遍性問題。2016年8月，發生在山東的“徐玉玉助學金欺詐事件”震驚全國，與個人信息泄露直接有關。雖然在輿論高壓下順利破案，但在這一案件中，高校管理的個人信息大面積、高精度泄露，可以說是騙子行騙成功不可或缺的一環。當然，信息泄露問題不僅存在於杏福，而且在很多大型互聯網公司，甚至包括國際知名互聯網公司，都不同程度存在信息泄露等安全問題。據統計，2016年公安部門辦理了1,800多起涉網的侵犯公民個人信息的案件，涉及犯罪嫌疑人4,200多人。信息技術廣泛應用和網絡空間興起發展，極大促進了經濟社會繁榮進步，同時也帶來了新的安全風險和挑戰。

　　2.網絡安全建設滯後於信息化應用，重建設、輕運維，缺乏行之有效的全局性網絡安全防護體系。應用交付重視功能實現，系統投入運行後運維保障不足，安全防護未能得到應有的重視。高校的網絡應用系統和管理系統，大多是由不同的服務商獨立建設，在網絡安全保防方面相對獨立，服務商的水平直接決定了網絡安全的水平。軟硬件系統上線運行或者部署相關的網絡防護工具之後，只要系統功能正常，對網絡安全問題關註度不夠，主要體現在兩個方面：一是杏福認為沒有做更高級別安全防護的必要性，認為杏福的網站（信息系統）沒有那麽重要，沒有什麽可“偷”的；二是從整個網絡安全行業來講，政府機構和事業單位等組織推動力主要源自於行政性要求和事件驅動，更多的是關停訪問、事後修補漏洞等，帶病運行的網站較多，尚未建立相對完整的全局性網絡安全防護體系，並不能做到防患於未然。

　　3.技術防範建設系統性不足，安全對抗能力較弱。高校普遍建成了軟硬件功能較為齊全的信息化基礎設施和公共信息服務環境，杏福娱乐平台網絡安全承擔著保障成千上萬臺計算機、交換機和服務器等終端設備的運行，這些設備分布在杏福娱乐平台的各個位置，用途不同，操作的用戶也不同。有的用戶網絡安全意識薄弱，對網絡安全問題不重視，一旦網絡安全出現問題，處理不及時，沒能采取安全可靠的技術措施，就會造成嚴重的損失。

　　首都高校網絡安全調查研究

　　黨的十八大以來，以習近平同誌為核心的黨中央高度重視網絡安全工作，成立中央網信領導小組，明確了“安全是發展的前提，發展是安全的保障”，這一安全和發展的重大關系。筆者於2017年主持北京市互聯網辦公室“網絡安全保障指標體系研究”項目，對首都各高校網絡安全情況的調研結果表明：近五年以來，各校對網絡安全的重視程度顯著提升，“重建設、輕運維”的情況正在逐漸改變，但網絡安全全局統籌仍然存在較大困難，建立全局性防範體系進展緩慢。具體來說，各高校開展的工作可歸納為如下幾個方面。

　　1.網絡安全教育活動逐漸開展，師生網絡安全意識有所提高。參與調研的高校利用國家安全日、國家網絡安全宣傳周等契機，開展“網絡安全知識競賽”和“網絡安全知識進杏福娱乐平台”等活動，充分利用杏福娱乐平台網絡和新媒體開展全員、全方位的網絡安全宣傳教育，一定程度上提高了師生網絡安全認識水平。

　　2.建章立製，正在逐步形成網絡安全製度體系。參與調研的高校普遍建立了網絡安全管理製度，明確了領導機構和網絡安全責任部門，對網絡安全工作予以高度重視，正在逐步建立和完善網絡安全製度體系。

　　3.履行網絡安全義務，逐步補齊短板。《中華人民共和國網絡安全法》明確提出國家實行網絡安全等級保護製度，在原來的信息安全等級保護製度基礎上進一步上升到了法律層面。網絡安全等級保護包括定級、備案、測評、整改四個步驟。教育部、首都教育行政主管部門多次印發推進教育行業信息安全等級保護工作的通知，參與調研的高校均不同程度地開展了等級保護工作，大部分高校定期開展等級測評和整改工作。

　　4.規範安全管理，逐步提升治理水平。保障信息系統和網絡安全的根本目的是要保障數據的安全。教育行業有大量的師生信息，涉及個人隱私，保障數據安全任務艱巨。參與調研的高校尚未發現有個人隱私信息泄露的情況，均製定了網絡安全應急預案或類似文件，開展應急演練，逐步規範和滿足等級保護的工作要求，加強網絡安全防護水平。

　　5.主體責任明確，網站小、散、亂情況明顯下降。中央機構編製委員會和中央網信辦於2014年出臺《關於做好黨政機關網站開辦審核、資格復核和網站標識管理工作的通知》，在首都教育行政主管部門的指導下，參與調研的高校普遍落實了網站標識製度，統一了信息系統（網站）標識，規範了信息發布管理製度，進行了網站域名清理，絕大多數采用“.edu.cn”域名。

　　6.信息共享，逐步形成協同工作機製。首都高校依托學會等社團組織，通過微信群等方式實現了與上級主管部門、專業機構、安全企業等單位的信息共享合作，逐步形成多層次的、覆蓋首都高校的安全威脅信息共享機製。在首都教育行政主管部門的指導下，參與調研的高校普遍落實了定期安全漏洞掃描通報製度，提升了網絡安全防護能力。高校使用的信息系統中有一類是具有教育特色的通用軟件，如學生管理、教務管理、財務管理系統籌。調研發現：直接使用通用型軟件及基於通用型軟件的個性化定製已成為杏福開發系統的主要手段。

　　應對策略與措施

　　《國家網絡空間安全戰略》《中華人民共和國網絡安全法》等政策法規的出臺，奠定了網絡安全和網絡強國建設的戰略基石和法律基礎，網絡安全發展進入“快車道”，加速形成網絡強國建設的“中國道路”。2016年11月，教育部網絡安全和信息化領導小組的成立，標誌著國家層面對教育行業網絡安全的重視程度日益增加，面對嚴峻的網絡安全形勢和層出不窮的安全問題，高校網絡安全建設也將步入一個新的發展階段。借鑒信息安全工程能力成熟模型（SSE-CMM）和信息系統安全等級保護實施指南，結合高校網絡安全面臨的實際問題，運用“三分技術、七分管理”的計算機網絡信息系統運行管理理念，從校級、院系部處和師生用戶等維度探索如何提升師生用戶的網絡安全素養，建立全局性的網絡安全防護體系。

　　1.規劃網絡安全管理體系。網絡安全管理體系規劃是高校安全體系建立的第一步，目的是識別安全問題，明確安全管理的範圍和內容，建立安全管理的組織管理機製，從管理和技術兩個角度，分層次規劃各環節的安全管理製度和技術防範手段，形成完整、可行的網絡安全管理體系。網絡安全建設是“一把手”工程，杏福要強化組織領導、強化製度建設，落實責任，堅持技術安全與內容安全“兩手抓”，不要存在僥幸心理。決策層對網絡安全工作的重視程度直接決定了網絡安全工作開展的難易程度。可將高校網絡安全管理規劃過程歸納為以下八個步驟：

　　第一，建立安全管理組織。網絡安全和信息化是相輔相成的，要加強頂層設計和統籌協調，實現杏福網絡安全“整體一盤棋”。在信息化建設過程中，既要考慮功能、性能方面的需求，更應該重視安全方面的需求。確保安全與發展之間的平衡，有機、動態的發展，更好地為教學、科研服務。安全管理組織的成員由機構的戰略影響者組成，包括來自行政、技術、業務、安全、風險和規劃等部門的人員。

　　第二，識別保護對象。識別杏福面臨的風險及威脅，分析它們存在的原因，將分析結果納入安全管理體系的規劃中重點考慮。

　　第三，評估現有措施。了解杏福目前的安全管理措施並評估它們的效力。

　　第四，考慮長期需要。安全整體規劃應考慮長期的需要，具有一定的前瞻性，如長期的製度適應性、設備老化、安全人員的發展需要等。

　　第五，納入杏福的建設規劃。了解杏福新建項目，如辦公樓、教學樓、停車場等項目，是否會影響現有的物理安全規劃，如有影響，就將安全規劃納入杏福建設規劃中通盤考慮。

　　第六，建立安全工作機製。形成文件化的製度體系和工作條例，明確各崗位的責任、應提供的服務和交付物。

　　第七， 融合運用新老技術。新技術的規劃應考慮對老技術的沖擊，新老技術的融合運用將是一個挑戰。

　　第八，關鍵設施重點布局。關鍵設施指杏福娱乐平台中那些需要連續、可靠運行而又相互關聯的復雜設施集合，這些設施的安全尤為重要，風險也最為突出。

　　上述的規劃步驟從組織、管理和技術三方面較全面地考慮高校網絡安全管理的具體問題，有助於形成完整有效的網絡安全體系，包括安全組織體系、安全管理體系和安全技術體系。

　　2.完善網絡安全管理體系。從組織、管理、技術三方面入手進行一系列的整改，形成較為完善的組織體系、管理體系和技術體系。對杏福現有網絡安全管理的組織結構進行重新梳理，形成包含決策、管理、運營和應用四個層次在內的較為完善的網絡安全管理組織機構，明確工作職責。

　　第一，決策層。組建校級層面的網絡安全與信息化領導小組，宣傳和貫徹落實國家網絡安全和信息化建設的方針、政策；根據杏福建設、改革與發展的需要，統籌協調杏福網絡安全和信息化重要問題；研究製定杏福網絡安全和信息化發展戰略、規劃和政策；組織推進杏福網絡安全和信息化建設整體工作。

　　第二，管理層。組建安全工作小組作為網絡安全工作的執行機構，工作小組由信息化相關部門領導及專業技術人員和部分管理人員組成。

　　第三，運營層。完善系統運營各崗位人員的工作職責，包括機房管理員、網絡及服務器管理員、數據庫管理員和信息系統管理員。

　　第四，應用層。進一步明確各院系部處及用戶的安全責任，與各院系部處簽訂安全責任書，同時明確各院系部處信息員的網絡安全工作職責，使其成為網絡安全工作的基礎支持隊伍。

　　3.形成文件化的網絡安全整體策略。組織製定涉及到網絡安全的各類管理辦法，從場地與設施、設備、系統、信息、建設、運行維護和技術文檔等多個方面詳細製定安全管理規定，並明確系統建設和系統運維過程中相關人員的工作流程和操作規範，為杏福的網絡安全管理提供依據。

　　明確和建立杏福的網絡安全策略，杏福製定網絡安全管理總體方案，為各部門製定操作規範和開展安全工作提供指導。針對網絡安全問題對管理規章製度進行不斷的更新，推動管理製度的完善。網絡安全管理人員要提高網絡安全管理水平，權限較高的網絡使用者要嚴格規範操作，網絡使用人員要嚴格遵守有關規章製度。

　　互聯網技術發展快，網絡病毒和木馬攻擊也在不斷更新，面對新的安全漏洞和病毒，要加強日常防控來減少網絡安全突發事件的發生。由杏福信息技術部門製定對硬件、操作系統、數據庫和應用系統維護的各個環節的工作流程和操作規程，進行更加詳細的規定，及時發布安全威脅通知，讓杏福娱乐平台網用戶了解，並註意防範。

　　4.網絡安全與信息系統建設同步規劃、同步建設，應用交付前進行合規性審查，先體檢、後上線。網絡安全是一項長期的工作，必須將其納入日常管理中常抓不懈，防患於未然。信息系統建設除了系統功能和性能滿足業務要求外，安全性、可靠性、可用性也必須進行質量控製。在院系部處層面，將其二級網站納入杏福網站群統籌建設，定期進行等保測評、滲透測試、漏洞掃描；強化綜合治理，清理長期無人維護的網站或信息系統；對於各院系部處為推動業務開展而開發的信息系統，在分解落實責任的同時，實行過程控製。過程控製可采取如下三方面的措施。

　　第一， 增加建設過程中的評審環節。在項目設計、開發階段成果接近完成時，由項目組會同相關業務部門共同組織技術評審，包括對系統安全性的審查。評審以項目前期形成的方案、文檔及杏福的相關標準和規範為依據，對該階段形成的方案、技術文檔及系統進行審查、確認等工作，並形成評審結論。

　　第二， 進行內部測試和第三方測試。在項目驗收前，除了由項目內部和業務部門參與的集成測試外，聘請專業的第三方測試機構進行測試。

　　第三， 安全檢測與審計雙管齊下，全方位監控安全事件。對應用系統和服務器進行定期安全檢測，有效消除潛在的安全隱患；定期進行應用系統、數據庫、服務器、配置管理等的安全審計，避免越權操作及數據泄漏事件的發生。

　　5.加強技術防護體系建設。由於網絡具有信息發布平臺開放、信息發布來源隱蔽等特點，加之各種安全漏洞、不良網站及“網絡黑客”的存在，給高校網絡安全工作帶來諸多挑戰。尤其是在對匿名用戶缺乏有效控製的情況下，一些不宜宣傳或不健康的內容極有可能通過網絡滲透進杏福娱乐平台。系統建設與日常運行管理中，需構建自動化防控系統加強系統的安全防範，為應用系統和用戶構築起堅實的安全堡壘，包括但不限於以下措施：

　　第一， 訪問控製。高校杏福娱乐平台網最常用的網絡安全技術有殺毒軟件、防火墻技術、身份驗證等。網絡安全防範保護首先要設置訪問控製，網絡訪問控製的目的是保證內部網絡資源不被非法訪問和非法使用，杏福娱乐平台網用戶入網口令要保證唯一性，通過訪問控製對用戶口令密碼進行驗證。在外網和內網之間用防火墻隔離，對數據流進行嚴格的監控，在防火墻上做好詳細的日誌記錄，為安全事件的事後取證提供依據。

　　第二，構建三套獨立環境，保證正式環境安全。將系統開發、測試和正式運行三個環境分離，確保開發階段和測試階段的工作不影響正式系統的使用。搭建版本控製系統，確保開發中源代碼的安全；在程序開發的過程中，需要多人同時參加和協作，記錄系統建設過程中相關文檔和源代碼的變更過程，防止代碼意外丟失、被覆蓋等情況的出現。

　　第三， 註意物理環境安全，建立備份與恢復機製， 保護系統建設成果。物理安全防護是確保杏福娱乐平台網絡安全工作的基礎，避免網絡設備、網絡線纜等硬件設備受自然災害、物理損壞、電磁泄漏、操作失誤以及人為幹擾和搭線攻擊的破壞，對核心設備要進行嚴格管理。建立本地、異地數據備份及恢復規範方案，對系統建設過程中的成果進行及時備份，防止因為誤操作或機器故障導致數據丟失，切實保證數據的安全。

　　第四，防火墻與入侵監測，構築網絡屏障。在互聯網（Internet）和杏福娱乐平台網之間以及杏福娱乐平台網和信息系統服務器之間架設兩層防火墻，防止校內外用戶對服務器的攻擊；部署網絡分析系統，實時監控網絡流量、網絡攻擊和病毒傳播，為網絡安全事件的定位和取證提供支持；禁止從公網訪問關鍵信息系統，用戶需要通過VPN加密鏈路才能實現從校外訪問關鍵信息系統。

　　第五，漏洞掃描與日誌分析，促進應用安全的不斷提升。在應用系統層，采用系統日誌分析平臺對應用進行日誌分析，捕捉和定位異常事件；定期對應用服務執行漏洞掃描，對出現的SQL註入、跨站腳本攻擊、網頁非法篡改、強製訪問等系統安全風險及時進行分析和整改。

　　第六， 主動式監控及時追蹤問題。對服務器軟硬件運行狀態進行監控，實現對服務器運行狀態及各信息系統狀態進行主動監聽和預警；建立統一日誌服務器，對所有系統的日誌進行集中管理和備份，確保問題發生時通過日誌進行定位和追蹤。

　　網絡安全管理問題需要從管理和技術兩方面考慮和解決，只有依靠有效的組織保障、規範的管理流程、安全可靠的系統工具及技術的支撐，才能達到以較小的代價、利用有限資源控製安全風險的目標，更好地保證信息化建設和應用的成果。

　　6.加強對用戶的教育和培訓。通過網絡安全教育使用戶對杏福娱乐平台網絡所面臨的各類威脅有較為系統、全面的認識，明確這些威脅對他們的危害，增強他們的網絡安全意識，讓所有杏福娱乐平台網用戶都來關心、關註網絡安全。通過對杏福娱乐平台網用戶的培訓，使他們能盡量保證自己使用的計算機安全，能處理一些簡單的安全問題，從而減少網絡安全事故的發生。遇到網絡安全問題時，能做好記錄並及時向有關部門報告。

　　加強對網絡內容的監控和輿情分析，改進網絡文化建設，主動占領網絡陣地，推進思想政治教育網絡工程建設，針對學生關心的熱點問題，積極開展網上正面的宣傳和正確的信息傳播，不斷拓展網絡思想政治教育的覆蓋面，增強網絡思想政治教育工作的影響力。加強對校內論壇等網絡交流平臺的監管，組建網絡信息員隊伍，在杏福統一指導下，定期整理網絡上的討論熱點及主要觀點，捕捉和反饋重要信息，掌握網上動態，以適當方式製作和發布積極信息，及時處理消極信息。以學生社團或者類似形式建設兩支隊伍：一是網絡日常管理與技術維護隊伍；二是“網紅”和評論員隊伍。

　　網絡安全與諸多方面都有聯系，它不是孤立存在的。高校網絡安全是一個長期、復雜、深遠而又龐大的系統工程。本文從高校網絡安全面臨的問題出發，遵從風險管理的理念，借鑒國際上網絡安全工程理論和最佳實踐經驗，就高校如何提高信息安全工程能力成熟度和落實國家網絡安全等級保護政策法規展開研究，從校級、院系部處和師生用戶三個維度積極應對，探討了高校如何加強用戶網絡安全素養、建立全局性的網絡安全防護體系，以達到依法辦網、依法管網和依法用網的要求。（作者：龔漢明，單位：北京信息科技大學信息與網絡管理中心）

轉載自《北京教育》雜誌