网络安全工作是一把手工程,需要领导层的支持,需要各项政策的支持,才能确保网络安全责任落实到位,确保网络安全各项规章制度执行到位。
随着云计算、移动互联网、大数据、物联网、人工智能等新一代数字技术的飞速发展和广泛应用,信息技术深刻地改变了人们的生活方式,极大地推动了人类社会的发展进程。
与此同时信息技术深刻影响着教育现代化进程,推动高等教育向智慧教育发展,高校从数字校园时代迈入智慧校园时代。
但是由此带来的网络安全问题成为高校不得不面对的困境,如隐私信息泄露、网络诈骗、黑客攻击、病毒肆虐、木马泛滥等,给高校带来了极其恶劣的影响,甚至造成财产损失。
如何应对各种网络安全威胁,做好高校网络安全工作成为一项重要研究课题。
一、高校网络安全问题依然突出
近年来,高校对网络安全重视程度越来越高,不断加大投入力度,落实网络安全等级保护制度,持续开展网络安全建设和管理工作,初步形成了高校网络安全工作模式。
推进网络安全等级保护工作,完成重要系统的定级和备案,开展等级测评和安全建设整改,系统安全建设情况基本达标;
成立网络安全工作领导小组,统筹网络安全工作;
制订网络安全系列规章制度,落实网络安全工作;
部署防火墙、入侵检测系统(IDS)、虚拟专用网(VPN)、运维审计系统(堡垒机)和其他防御技术,保障网络安全;
开展网络安全宣传教育系列活动,提升师生网络安全意识。
然而,高校网络安全问题依然突出,网站被非法篡改、隐私信息被泄露、师生被网络诈骗等安全事件频繁发生,造成极其恶劣的影响和严重的经济损失。
总体而言,高校网络安全工作存在以下问题:
01、网络安全素养参差不齐
高校用户群体巨大,师生网络安全素养和技能参差不齐。许多师生缺乏网络安全意识,认为网络安全离自己很远,个人终端设备没有任何防护措施,也不进行升级,更没有安装补丁。
02、网络安全管理机制不畅
网络安全管理制度没有及时修订,存在制度缺失、过时等现象,无法满足当前实际;
高校信息资产数量庞大、种类繁多,变化多样且管理不到位,结果无法准确掌握当前信息资产底数,极易造成僵尸系统。
03、网络安全防御缺乏整合
网络安全建设时间不同,建设时没有很好地规划,各安全产品之间缺乏统一管理和有效整合,管理人员只能单独查看相对独立的信息,无法发现信息之间的相关性,错过关键信息也就无法进行及时处理,无法针对事件做出及时响应。
04、网络安全保障力度不够
网络安全人才队伍建设不足,大多采用兼职形式,缺乏专业的技术人员,无法应对网络安全威胁;
重建设轻运维现象依然存在,网络安全建设滞后于信息化应用,网络安全没有持续的经费投入,缺乏保障。
二、明确目标构建四大网络安全体系
高校开展网络安全工作首先要明确网络安全工作的目标,然后针对高校网络安全工作中存在的问题,制定符合实际的网络安全体系,并加以落实。
图1 高校网络安全架构
根据图1分析,高校网络安全工作目标是从高校实际出发,以国家网络安全政策法规、上级网络安全工作要求为指导,以人和信息资产作为管理对象,研究制定高校网络安全政策、规划和顶层设计,在网络安全支撑保障的基础上,通过网络安全管理制度和网络安全技术防护相结合的方式,有效应对各种网络安全威胁,保障师生个人信息安全和各项业务的安全稳定运行。
根据以上高校网络安全工作目标,梳理分析高校网络安全工作实际,将高校网络安全工作划分为网络安全素养提升体系、网络安全综合管理体系、网络安全技术防护体系和网络安全支撑保障体系四个体系。
01、网络安全素养提升体系
提升高校用户网络安全综合素养,包括网络安全工作人员、高校师生用户等。
落实持证上岗制度。建立完善网络安全工作持证上岗制度,要求从事网络安全工作的人员必须持有网络安全资格证书。
高校可通过鼓励员工参加社会化网络安全资格考试、选派人员参加专业网络安全培训学习等,逐步提高网络安全工作队伍的网络安全素养。
开展网络安全培训。将网络安全知识学习纳入中层干部学习体系,提高领导层网络安全意识;
结合国家网络安全宣传周、首都网络安全日等开展学校网络安全宣传教育系列活动,组织师生参观展览,开展网络安全知识讲座、政策宣传、有奖问答等;
将网络安全培训纳入新生入学教育中,作为新生入学教育的重要部分;
开设网络安全选修课程,培养学生网络安全宣传队伍。
及时发布风险预警。
及时发布或转载网络安全重要事件、风险预警、趣味知识等,提醒师生防范网络安全风险,同时也为师生普及网络安全知识。
02、网络安全综合管理体系
落实党委(党组)网络安全工作责任制,提高高校网络安全综合管理能力,包括组织机构、规章制度、信息资产管理和漏洞风险管理等。
健全网络安全工作组织。
充实调整网络安全和信息化领导机构,统筹领导学校网络安全和信息化工作;
指定学校网络安全工作主责或牵头单位,具体负责网络安全工作;
各单位是网络安全工作执行单位,全面落实网络安全工作。
完善网络安全规章制度。
根据网络安全法及等级保护2.0要求,全面梳理现有规章制度、操作规程,补充之前缺少的,废除当前不适用的,修订当前已过时,最后汇编整理形成学校网络安全规章制度汇编、信息资产操作规程汇编。
做好信息资产综合管理。
做好信息资产全生命周期管理,建立信息资产台账,准确掌握信息资产底数,防止出现僵尸网站或僵尸系统,严重威胁学校网络安全;
做好信息资产上线管理,明确信息资产入网上线使用要求,降低信息资产网络安全风险;
做好信息资产漏洞风险管理,制定漏洞风险管理办法,及时修复信息资产漏洞。
03、网络安全技术防护体系
构建一个网络安全纵深防御体系和集中管理各类安全产品信息、智能化的安全管理中心,实时全面掌握网络安全现状,实现网络安全威胁的纵深防御。
制订网络安全建设规划。根据高校网络安全建设现状和目标制定网络安全建设中长期规划,并做好网络安全建设顶层设计,确定网络的安全威胁、层次和区域策略,部署合理的网络安全防护手段。
完善网络安全防护措施。根据纵深防御思想,实现网络安全区域的科学划分。
基于网络系统之间的逻辑关联性和物理位置、功能特性等,划分清晰的安全层次和安全区域,形成一个垂直分层、水平分区的网络安全区域架构;在不同层次以及不同区域之间部署物理和逻辑安全防范措施,形成水平和垂直两个方向的多层次的防护,提高网络整体防御能力。
建设网络安全管理中心。
建设一个可以集中管理各类安全产品信息、智能化的安全管理中心,能够综合全面的分析高校网络安全状况。网络安全管理人员能准确掌握网络整体状态,遭受过的攻击类型,正面临什么样的危险;发生网络安全问题时能及时发现问题的关键,并给出有效的解决办法,迅速做出响应。
04、网络安全支撑保障体系
提供网络安全政策支持、人才队伍建设、经费投入等相关基础支撑保障,确保网络安全工作顺利开展。
强化各项政策支持。网络安全工作是一把手工程,需要领导层的支持,需要各项政策的支持,才能确保网络安全责任落实到位,确保网络安全各项规章制度执行到位。
加强人才队伍建设。建立完备的网络安全工作人才队伍,形成完整的网络安全工作人员体系。
网络安全主责或牵头单位设置网络安全专岗,各单位明确网络安全工作分管领导、网络安全工作管理员、各信息资产管理员;学校可建立网络安全学生宣传队伍,支持鼓励感兴趣学生参与网络安全政策宣传、知识普及,解决日常网络安全问题等。
持续保障经费投入。网络安全工作不能一步到位,要建立经费保障机制,确保持续稳定的经费投入,及时更新网络安全防护技术,消除信息资产风险隐患,做好网络安全各项工作。
在网络安全法及网络安全等级保护制度2.0实施的背景下,面对日益复杂的网络安全形势,本文首先梳理了高校开展网络安全工作的目标,然后针对高校网络安全工作中存在的问题,构建了高校网络安全工作体系,有效应对各种网络安全威胁。
该体系几乎涵盖了高校网络安全工作的各个方面,但网络安全工作永远在路上,该体系也需要不断地改进和完善,才能保障师生个人信息安全和各项业务的安全稳定运行。
作者:刘爱东、史伟(北京农学院网络与信息中心)