高校網絡安全治理體系構建探究

前言：尋找寫作靈感？中文期刊網用心挑選的高校網絡安全治理體系構建探究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：高校網絡結構復雜、網絡用戶數規模大，一直是網絡安全防范的主要陣地。本文全面分析了高校存在的網絡安全問題和薄弱環節，創新提出高校網絡安全治理體系，從安全策略規劃、安全管理、技術體系、風險治理、運行運維和治理能力六個維度進行了闡述，最后給出了網絡安全管理工作的主要措施。高校網絡安全治理體系的構建，對解決高校網絡安全問題提供了解決方案，為高校網絡安全工作提供參考。

關鍵詞：網絡安全；等級保護；網絡安全治理體系

近年來全國高校紛紛提出建設“智慧校園”的目標，在制定信息化發展規劃時將網絡安全管理作為一個重要的內容考慮進去，并且對照等保1.0標準進行了部分建設，在網絡安全建設方面形成了一些思路和做法，網絡安全管理水平較過去有較大幅度提升。但是應該清醒地認識到，高校網絡安全工作還存在不少深層次的問題仍然得不到解決，與高校信息化建設發展節奏不匹配，重建設、輕安全的局面依然存在，高校網絡安全管理工作不能形成一套治理體系來予以推進。網絡安全和信息化工作必須兩手抓，兩手都要硬，網絡安全工作要放在信息化建設中的首要位置加以考慮，重點建設，才能更好地促進高校信息化建設工作有序推進與良性發展。

1高校網絡安全問題分析

高校網絡安全工作存在的問題，既有管理體制機制方面的問題，也有政策制度執行不力的問題；既有管理隊伍人才建設的問題，也有技術實力不夠的問題；既有網絡安全意識不強的問題，也有網絡安全被動防御的問題?？傮w來講，高校缺乏行之有效的網絡安全治理體系，未能形成規范的網絡安全管理流程，在網絡安全管理與技術防范上形成合力。

1.1學校網絡安全管理尚未形成體系。高校普遍建設有校園網和若干信息系統，可以統稱為網絡平臺。保障信息安全是網絡平臺運營者最基本的責任。高校網絡安全管理關鍵在于壓實主體責任，《網絡安全法》將網絡平臺主體責任進行了詳細的類型化，將數據安全的主體責任落實到包括政府、企業、組織和個人等多方層面。毫無疑問，網絡平臺是網絡安全體系的核心和基本抓手，平臺是所有用戶的連接點，是所有網絡服務的承擔者，是數據信息的存儲者，是用戶權益的直接保護者。網絡平臺是保障網絡數據安全的第一道防線，是網絡安全的第一責任人。網絡平臺是網絡安全體系的直接執行者和落實者，這也就構成了網絡平臺主體責任中的信息安全責任范疇。當前高校網絡安全管理的現狀是，學校普遍設置有網絡安全和信息化領導小組，黨委書記和校長任組長，網絡安全和信息化領導小組辦公室的工作職能基本上在信息辦或信息中心，實際上學校的網絡平臺建設更多分散在各個職能部處、二級學院和直屬單位。網絡安全面臨的現實問題是“各個二級單位都建設有網站、信息系統而普遍缺乏對網絡安全的管理，普遍依托系統開發商進行維護”，“誰主管，誰負責；誰主辦，誰負責”更多體現在“網絡安全事故發生后的處置，而不是事前主動履行網絡安全主體責任”。高?；旧弦罁衔晃募头ㄒ幹贫恕秾W校網絡安全管理辦法》等基本制度，但是這些規章制度沒有從頂層進行系統性設計，對網絡安全管理的責任、權利、義務、處罰等未形成系統性、操作性強的條款，規章制度不系統、不完善、針對性不強，在網絡安全管理過程中很難依法依規執行。有的高校建設網站和信息系統多達數百個，涉及校內外多個業務部門和多個管理領導、維護人員，甚至有不少業務部門認為網絡安全的責任就應該由信息辦或信息中心承擔，從這種現實情況也可以看出各個業務部門普遍缺乏對《網絡安全法》的學習，也對網絡安全主體責任認識不清晰、網絡安全意識不強，在實際工作中往往成為網絡安全工作的阻力而無法形成齊抓共管的工作合力。因此，高校關于網絡安全管理體系的一系列制度規范、工作隊伍、資源保障、經費投入、督察機制、安全素養培育、技術防御體系等方面的工作，并未形成體系化的工作框架，難以落實網絡安全主體責任，不能形成網絡安全建設的管理的系統性任務清單，也就無法做實網絡安全保障工作從而提升校園網絡安全的管理服務能力。

1.2學校網絡安全防御體系尚未形成。學校在信息化建設過程中，應該將網絡安全防御體系作為一個重要的抓手來促進建設。當前高校面臨的局面是網絡安全工作“頭痛醫頭、腳痛醫腳”，網絡平臺管理者并不清楚學校網絡平臺的拓撲架構、網絡安全架構，盡管部署了部分防火墻、入侵檢測系統、入侵防御系統等網絡安全設備，但是對設備運行的情況及存在的網絡安全隱患了解并不深入，更談不上形成靈敏的網絡安全態勢感知。長期以來高校網絡安全工作處于被動的局面，即上級單位監測出什么漏洞就補什么漏洞，存在什么問題就整改什么問題。究其原因，一是在于學校對網絡安全防御體系的不了解，領導提出“網絡安全的底線是不發生網絡安全事故”，而信息中心對這一目標的完成是“力不從心”；二是在于學校網絡安全尚未形成明確的工作思路，也沒有建立學校網絡安全治理的戰略和總體安全策略。在網絡安全防御體系建設方面，顯然缺乏清晰的思路，導致學校網絡安全工作缺乏章法，無法對學校網絡安全工作的愿景、目標、策略、范圍、技術路線和支撐體系形成一套完整的工作體系并且付諸實踐。

1.3師生網絡安全意識不強。隨著信息技術的廣泛應用，網絡已經成為高校師生群體工作、生活、學習不可或缺的工具，網絡越來越成為師生交流的新空間，每日的活動已經完全離不開網絡。信息技術和網絡的快速發展應用在極大促進經濟社會發展的同時，也帶來各種新的網絡安全問題。為進一步普及網絡安全知識，營造安全、健康、文明的網絡環境，切實維護國家網絡安全，全面提升廣大師生的網絡安全意識和安全防護技能，近年來學校依托國家網絡安全宣傳周等活動，大力開展網絡安全宣傳活動，大幅度提升了師生網絡安全意識。實際上，很多師生對網絡安全防范普遍不足，大部分處于被動地位，尤其是大量APP應用的推廣，師生普遍安裝了種類繁多、五花八門的APP應用，但對其實際安全風險并不知情。從某種程度上看，網絡安全知識普及和安全意識教育卻嚴重滯后于網絡的快速發展。缺乏安全防護意識，網絡詐騙信息、不明網絡鏈接、電子郵件惡意鏈接、不設或簡單設置口令密碼等，常常導致用戶信息泄露濫用、病毒木馬大面積傳播、不良和違法信息蔓延、網絡攻擊和網絡詐騙、涉及師生信息的數據私下傳播或泄露等網絡安全事件時有發生，嚴重侵害師生的信息安全和財產安全。

1.4網絡安全工作技術隊伍及技術能力不足。高校網絡安全很大程度上面臨人員短缺的問題。高校基本上建立網絡安全三級工作體制：網絡安全和信息化領導小組、信息化辦公室（信息中心）、信息系統管理單位（信息系統管理員），實際上技術人員分布在信息化辦公室（信息中心），技術人員中從事網絡安全研究的鳳毛麟角，接受過CISP培訓的專業技術人員比例也很少。就目前網絡安全面臨的形勢而言，網絡安全技術隊伍遠遠不夠，難以勝任或滿足學校網絡安全工作開展的需要。

2網絡安全治理體系的框架

針對高校網絡安全面臨的形勢和存在的問題，本文探索建立一套高校網絡安全治理體系，旨在為高校網絡安全工作提供一個參考性的建設框架。

2.1網絡安全治理定義。網絡安全治理可以定義為：所有為提高網絡安全防護水平而制定的政策、規范、標準以及展開的業務、技術和管理活動都屬于網絡安全治理范疇。網絡安全治理的目的就是通過有效的網絡安全管理手段，進行主動網絡安全防御，以提升網絡安全防護水平進而提升網絡安全的能力。高校網絡基礎設施結構復雜，用戶群體量大，網絡安全風險源繁多，網絡安全管理能力相對較弱。必須從學校實際情況出發，從總體安全策略、制度規范、防御體系、技術隊伍、教育培訓、應急演練等各層面入手，建立“黨委（黨組）領導、信息中心主導、各方履行主體責任、主動監測和防御”的網絡安全治理體系。網絡安全治理體系的建設是一項系統工作。制定高校網絡安全治理體系必須結合《網絡安全法》、網絡安全等級保護2.0標準和上位文件，綜合研究制定適合于高校實際情況的網絡安全治理體系。

2.2網絡安全治理體系框架。本文設計提出高校網絡安全治理體系的主要內容，從安全策略規劃、安全管理、技術體系、風險治理、運行運維和治理能力六個維度進行展開，如表1所示。（1）安全策略規劃。高校網絡安全工作一定要進行系統性的規劃，制定相應的安全策略。安全策略是指在一個特定的環境里，為保證提供一定安全級別的安全保護所必須遵守的規則。先進的網絡安全技術是網絡安全的根本保證，嚴格的安全管理是確保安全策略落實的基礎，嚴格的法律、法規是網絡安全保障的堅強后盾。隨著應用環境的不同、實施客體的不同、指定階段的不同，所使用的安全策略都將有所不同。網絡安全策略按適用對象可分為：網絡規劃安全策略、管理員策略、網絡用戶安全策略和安全架構策略等；從技術防范層面上又可分為物理安全策略，訪問控制策略，防火墻控制策略、信息加密策略和網絡安全管理策略。高校在制定網絡安全策略規劃時，必須細化這幾種具體的策略，尤其是制定安全架構策略至關重要。（2）安全管理。網絡安全管理是指通過有效的安全管理手段保護所管理信息資產系統包括網絡平臺的硬件、軟件及其系統中的數據，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。俗話說，“三分技術、七分管理”，凸顯網絡安全管理的重要性。既然提到管理，有效的方式是建章立制，建立完善的安全管理領導組織機構，根據單位業務情況并結合安全管理實際建立安全管理制度、操作流程規范、記錄表單的安全管理文件體系，并按照安全管理體系要求嚴格執行。首先必須要盤點清楚所管轄范圍內的信息資產，信息資產的管理包括關鍵信息基礎設施、校園網、一卡通系統、所有的信息系統以及物聯網設備等等，信息資產臺賬建立是明確在網內網外、不同的網絡之間運行的情況以及安全防護措施。對所有信息資產必須要參照信息系統等級保護2.0標準進行定級、備案、整改和測評，確保按照等級保護標準進行安全建設和管理。在安全管理環節中，要十分注重技術隊伍建設，組織安全培訓，組織機房、系統、網絡、應用和安全管理人員負責信息系統的日常管理工作，加強對業務人員和安全管理人員的安全意識和技能的培訓。安全管理是一項系統性的工作，是網絡安全治理的深化、執行，加強網絡安全過程性管理，只有嚴格的管理措施，只有按照規范標準進行安全管理，才能減少或者不發生網絡安全事故。（3）技術體系。技術體系是網絡安全工作關鍵所在，技術水平決定著網絡安全水平。網絡安全技術體系首先要規劃設計好網絡安全架構，以某個單位的網絡出口為邊界，區分好外網、內網、數據中心區域、用戶終端區域等不同的安全策略、安全架構設計，基于安全架構設計一套主動防御體系，通過可信計算、安全控制等技術手段，增強網絡安全防御上的主動性。在技術體系環節，重點要做好四個方面的安全：物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全。物理和環境安全機制包括設施位置的設計和布局、環境組件、應急響應的敏捷性、培訓、訪問控制、入侵檢測以及電力和火災防范等諸多方面；網絡和通信安全進一步強調了對網絡整體的安全保護，具體包括“網絡架構”、“通信傳輸”、“邊界防護”、“訪問控制”、“入侵防范”、“惡意代碼和垃圾郵件防范”、“通信傳輸”、“安全審計”和“集中管控”，對通信線路和關鍵網絡設備硬件必須達到冗余要求；設備和計算安全要求提升節點設備（網絡設備、安全設備、服務器和終端等）自身的安全保護能力。通常通過安裝支撐性系統軟件（操作系統、數據庫系統和防護類軟件等）并啟用相關安全配置來實現。應用安全是保障應用程序使用過程和結果的安全；數據安全是保障數據的可用性、完整性和保密性，再經過網絡傳輸和交換的數據不會發生增加、修改、丟失和泄露等。設計行之有效的技術防御體系，包括防火墻、入侵檢測/入侵防御系統等設備采用，從技術上保障各個維度的安全，是網絡安全治理工作的關鍵所在。（4）風險治理。網絡安全治理的目標是要將網絡安全的被動轉化為主動，必須要加強事前管理，其中最重要的是事前風險監測與評估，提前發現漏洞，提前升級完善安全措施，才能極大程度上降低安全風險。因此，網絡安全治理要高度重視風險監測評估，這個環節要作為網絡安全管理過程中的重要工作，在治理過程中予以高度重視。對所有信息資產納入風險監測評估范疇。風險監測評估重點要做好信息資產的常態化安全監測和應急演練兩個方面的工作。安全監測要從漏洞掃描、滲透測試、風險評估到態勢感知，對學校所有信息資產進行常態化的運行監測，分析漏洞，升級完善補丁措施，加強安全防范措施。定期開展安全事件應急處置演練，提高突發事件的應急處置能力。（5）運行運維。運行和運維期間是網絡管理的主要生命周期。從網絡平臺和信息系統建設之初，要做好建設安全方案設計；信息系統在上線運行前要做好嚴格的安全測試，按照等級保護2.0標準做好定級、備案、整改和測評工作，確保信息系統經過嚴格的安全測試后交付上線運行；在運維期間，要做好物理環境管理、介質、電力等各方面的管理，系統災備、數據備份與恢復機制設計及操作；提升運維期間應對安全事件處置的能力。（6）治理能力。治理能力決定網絡安全工作取得的成效，治理能力是網絡安全策略能否順利實施、網絡安全管理制度能否執行、安全目標能否達到的關鍵要素。網絡安全治理能力是檢驗網絡安全措施是否得力的直接反映。治理能力包括安全管理是否完成、年度計劃與重點任務及項目完成情況如何、安全問題整改是否完成、安全管理措施是否嚴格執行、風險隱患處置是否迅速及時、安全責任制落實是否得力等等。

3網絡安全治理的主要措施

網絡安全工作從管理到治理，關鍵在“治理能力”的建設。網絡安全管理是網絡安全策略、規劃、技術、實施的一組業務職能，包括網絡安全策略制定、網絡安全工作計劃、政策、方案、項目、技術和方法，從而保障網絡安全。網絡安全從“管”到“治”，本文認為網絡安全治理是網絡安全管理的一部分，更強調網絡安全治理作為網絡安全管理中的一個核心職能，是對網絡安全管理行使權力和控制的活動集合（規劃、計劃、技術、實施），指導網絡安全管理職能如何執行，在高層次上執行網絡安全管理制度。“治”更強調網絡安全工作的全局性、主動性與執行力，重點在于破解網絡安全管理中的難題，促進網絡安全工作規范有序。3.1完善網絡安全規劃與安全策略完善網絡安全規劃的重點在于完善高校的網絡安全策略，必須結合實際情況與形勢的變化，完善網絡安全管理策略。制定健全的網絡安全管理策略可以有效降低網絡安全風險。高校面向互聯網開放和面向校園網開放的網絡平臺和信息系統多達數百個，以校園網邊界作為內網與外網分割的界面，在邊界上制定合適的安全管理策略極為重要，只有制定了網絡安全管理策略，網絡安全管理人員才有可能去控制、減小、降低以及避免一些非法的網絡行為，盡可能把不安全的因素降到最低；對于師生用戶而言，適應學校網絡安全管理策略，也有利于網絡安全管理政策的實施。高校的網絡安全工作要抓細抓實，不是簡單的部署網絡安全設備，一勞永逸，而是要根據網絡安全攻擊形勢的變化和學校網絡安全運行情況，適時調整或加強網絡安全管理策略，以期與當前網絡運行狀態相適應。舉例來說，很多高校在校園網出口部署網絡防火墻、入侵防御系統、入侵監測系統、防毒墻等一系列網絡安全設備，各種設備的運行情況、防護措施、有效性以及整體上與安全策略匹配；還有校園網內數據中心防火墻、DMZ區管理等，系統性根據網絡安全策略設計網絡安全架構，加強技術主動防御體系的建設，從技術上防范網絡安全。在實施網絡安全策略過程中，要加強對網絡安全設備運行情況的研究與分析，特別是網絡安全日志分析，對于中高危漏洞監測修復、攻擊日志分析，及時調整網絡安全策略，才能更好地應對網絡安全攻擊。在制定安全策略后，將網絡安全工作作為一項系統性工程，做好全域頂層設計，把主要條塊工作及工作任務梳理清楚，制定好每年的年度計劃予以推進落實，做好重點任務實施推進與重點安全項目的管理，籌措經費等保障措施到位，使得安全策略規劃能夠得以實施。

3.2完善網絡安全工作體系。完善并逐步建立規范的網絡安全體系是加強網絡安全管理工作的需要，使高校網絡安全管理能夠形成行之有效的管理體系。做到安全法規明晰、安全建設有據可依、等級保護有標準指導、人員主體責任明晰，向高效化、科學化管理模式邁進，進一步提升網絡安全問題應對能力。落實學校網絡安全主體責任、完善網絡安全監督管理體制機制，強化網絡安全綜合治理格局，健全網絡安全工作體系。按照誰主管誰負責、誰運營誰負責、誰使用誰負責的原則，落實網絡安全主體責任，厘清界面，強化考核，嚴格責任追究，確保網絡安全責任全覆蓋；落實網絡安全保護責任，設立專門網絡安全管理及監督機制，設置相應崗位，加快各級網絡安全專業人員配備，重點部門建立首席網絡安全員制度。

3.3加強網絡安全管理與風險治理。加強網絡安全管理與風險治理是網絡安全管理中的重中之重，需要轉變網絡安全治理視角，把風險生成邏輯作為出發點，積極探索學校網絡安全風險，努力將風險扼殺在“搖籃”中。加強網絡安全管理需要明確管理人員的崗位職責，對安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出具體規定；網絡設備的軟件升級由管理人員及時更新，在更新前需對重要文件保存備份；按照有關制度定期由管理人員進行系統漏洞掃描，并采取措施及時修補；對設備的配置實現最小服務配置，配置文件定期進行離線備份；與外部系統的所有連接需得到授權和批準，采取技術手段控制和禁止非授權設備的接入，監控違規外聯的相關行為。網絡安全風險治理的目標是要將網絡安全的被動轉化為主動，從事后補救轉為事前預判，需要強調要增強憂患意識，做到居安思危，培養問題意識和風險防范意識，加強各部門之間數據共享和交流，加強網絡安全風險全流程監控。利用現有的技術手段，對學校內、外網絡進行不同層次的監管，仔細排查和評測學校網絡架構中存在的風險，實時提前升級完善安全措施，降低安全風險。

3.4加強技術體系建設。高校網絡安全技術體系，需要落實安全技術相關控制要求，實現物理、網絡、主機、應用和數據的所有安全控制項，通常采用安全產品加以實現，輔助安全服務以增強安全控制能力。建立滿足等級保護要求的安全技術基礎環境，構筑相對完善的物理、網絡、主機、應用和數據的安全防護措施，建立完善的安全管理體系，尤其是形成可落地網絡安全事件應急預案和安全運維策略體系；具備訪問控制、入侵防范、惡意代碼防范、安全審計、數據行為審計、身份鑒別、安全集中管理等安全能力，通過安全設備的能力去逐一進行實現；通過部署大數據分析平臺，集中采集網絡、主機和業務系統的各項日志，為智慧校園夯實數據基礎，提升日志審計能力；采購更為全面的安全保障服務，能夠在遇到網絡攻擊時積極響應，對事件進行及時有效處置，管控安全事件的影響范圍和程度。

3.5加強治理能力建設。加強網絡綜合治理能力，筑牢高校網絡安全“防火墻”，可以為高校提供可靠的網絡安全保障和有力的信息化服務支撐。治理能力建設的關鍵點在于嚴格落實網絡安全管理制度。學校要形成抓網絡安全工作的環境和氛圍，也要具備敢于通報網絡安全責任制落實不力的決心。每年應該專門制定網絡安全工作專項計劃，分年度、季度、月份和周實施，重點推進每月/季度網絡安全漏掃與監測常態化工作，及時發現各個網絡平臺存在的安全隱患，以專項通知單的方式下達各個負責單位進行嚴格落實，加強安全工作的監督和校內執法力度，對不符合安全規范的信息系統要切實停止網絡服務，只有把網絡安全工作任務落到實處，治理能力才會凸顯出應有的效果。

4總結

面對日益復雜的網絡空間安全挑戰，如何保障網絡信息安全，如何提高安全意識，是高校信息化發展中迫切需要關注和解決的重要問題。合理構建高校網絡安全治理體系，加強學校信息化領導力建設，提升干部教師學生的網絡安全素養和安全技能，是實現校園網絡安全的重要保障和前提。高校的網絡信息安全需要樹立主動防御、動態防御、深度防御和綜合治理的理念，做好安全規劃和安全標準等基礎建設，構建全方位多層次的立體化網絡安全防御體系，才能有效保障校園網絡及信息系統的安全。本文從高校網絡安全問題入手，探索建立一套高校網絡安全治理體系，加強網絡綜合治理能力，為高校提供可靠的網絡安全保障和有力的信息化服務支撐。

作者:魏楚元 任彥龍 李欣 單位:北京建筑大學信息中心