2014年2月27日，习近平总书记在中央网络安全和信息化领导小组第一次会议上提出“没有网络安全就没有国家安全，没有信息化就没有现代化”。

 

　　2017年6月1日，我国网络安全领域的基础性法律《中华人民共和国网络安全法》开始施行。第二十一条明确规定：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。”将执行网络安全等级保护上升到了国家法律的高度。执行网络安全等级保护，是“守法”。

 

 

　　高校落实网络安全等级保护主要面临认识、机制和执行三个层面的挑战。

 

　　对等保工作的定位和认识

 

　　“等保”即“合规”的思想，在高校普通师生和网络安全工作老师中普遍存在。

 

　　提到“等保”，首先要了解的是，它不是最近这些年才出现的新生事物，国家对信息系统安全的要求与信息技术的发展和对信息化的重视是同步的。等级保护的概念最早出现在1994年2月国务院颁布的《中华人民共和国计算机信息系统安全保护条例》（国务院147号令），其中第九条是“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1994年11月，中国教育和科研计算机网CERNET示范工程项目正式启动。之后，中央办公厅、国务院办公厅、公安部、国家保密局、国家密码管理局、原国信办陆续出台了一系列指导意见和管理办法，从2007年的等保1.0到2019年的等保2.0，等保工作逐渐深入。2021年《数据安全法》和《个人信息保护法》的施行进一步扩大了等保的外延。2024年8月1日教育部办公厅印发《2024年教育系统网络安全能力提升行动方案》，对教育行业等级保护工作提出了更加明确、细致的要求。除了建立信息资产管理机制，方案首次将一级系统纳入审核范围，特别强调了“一案双查”，对发生安全事件、发现安全漏洞的信息系统，除了检查是否在资产名录、是否按要求定级备案和定期测评之外，检查结果还将被纳入党委（党组）网络安全责任制考核。《行动方案》既为高校等保工作提供了依据、指明了方向，同时也提出了更高的要求。

 

　　关于“等保”，“抓手”比“合规”的定位，更合适。

 

　　理清机制、责任和技术的关系

 

　　从事高校网络安全工作的老师大多同意：做好网络安全工作，除了对工作人员技术背景、专业技能、运维经验等方面的能力要求之外，更重要的是管理机制的顺畅和安全责任的清晰。专业的网络安全工程师可以组织、协调、集中建设校级网络安全防护和保障体系，但只有信息系统负责老师最了解信息系统的技术架构、服务对象和数据形式，他们需承担信息系统安全责任。学校网络安全工作老师只是信息系统安全的建议者和支持者。

 

　　“等保”工作的“抓手”特点之一是对管理机制提出了明确的要求，《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）是主要参照。标准分章节、遵循一致的框架对各个级别的信息系统提出了要求。不论哪一级系统，安全通用要求都是由“技术”和“管理”两个维度组成，三级系统有211个打分点，二级系统有135个打分点。

 

 

　　“等保”工作的另一个抓手特点体现在“技术上提供执行参考”。技术老师从新手小白成长到能够大体了解网络安全主要问题和主流技术直至形成技术判断力，需要经历一个漫长的积累过程，期间甚至有可能被不良厂商错误引导。《基本要求》的“技术”部分全面梳理了一个在线运行的信息系统可能会面对的安全风险，提出了一组基线性质的要求。客观地讲，这些要求难以防御有组织的黑客攻击，但可以为技术老师在思考提升总体安全能力时提供基线参考，帮助他们了解做好信息系统安全工作需要去考虑的方方面面。其中的一部分控制点在技术上不复杂但安全上伤害极大。按照这些基线要求，能够做到百分中的70分、80分，信息系统的安全风险会大大降低。

 

 

　　在北大，我们更愿意把合规看作是“等保”的表象，是规定动作，安全能力的整体提升才是重点和内核。要表里一致，以“等保”为抓手，深化全校安全工作的推进和执行。

 

 

　　《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）的管理维度包含安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个部分，为建哪些章、立哪些制提供了重要参考。由校长办公会通过、要求全校执行的《校级网络安全管理办法》是全校网络安全工作的指导性文件，核心内容是哪个部门、哪个职位的人负责哪项工作、承担哪种安全责任。结合从公安机关到学校、从学校到二级单位再到信息系统负责人层层签署的“网络安全责任书”，信息系统的不同责任得以明确。带有“北京大学”及相关字样的系统，安全责任单位都是“北京大学”，不管系统的建设经费是来自老师的课题还是学校，建设的时候是经过审批还是老师直接把一台主机连接入网。凡是带有“北京大学”及相关字样的系统，安全责任部门都是“北京大学网络安全和信息化委员会办公室”。

 

　　在此办法指导下，只有参照《基本要求》中“管理”维度的五个部分编制一系列安全管理制度，形成制度汇编，安全工作的后续开展才能真正做得到有章可循。每一个相关单位、每一位相关人员才能够清晰地了解哪些工作需要做、哪些责任需要承担，甚至哪些工作可以不做。这样安全工作的“抓手”也就建立起来了。

 

 

　　提高全员安全意识已经成为网信办、计算中心的常规工作，每年9月的网络安全周宣传，年中的各种网络安全活动，年底的全校网络安全评优和考核，以及院系范围的安全宣传，形成了全方位、立体化的宣传网络。随着“等保”工作的逐渐深入，安全意识培养的渠道更加丰富。2018年，计算中心指派专人负责全校重要信息系统等保工作，要求每年完成测评。几年下来，30余位参与工作的信息系统负责老师从一开始的“不理解、找事情”逐渐转变为主动询问是否有新漏洞。其中安全责任的明确和安全意识的增强发挥了重要作用。为了更好地落实《北京大学网络安全管理办法》，2021年北京大学组织ECSP专班，对院系直接责任人和安全联络员进行培训，共90多位老师参加，更多的老师开始了解网络安全。

 

　　安全意识的培养同样来自于国家层面对科研项目的“等保”要求。2020年初新冠疫情期间，作为国内最具影响力的慕课平台之一，北大华文慕课系统发挥了重要作用。同时，系统负责老师接到教育部高教司通知，需完成等保定级。同时，作为“国家智慧教育公共服务平台”的重要内容来源之一，由北大图书馆负责的中国高等教育文献保障系统CALIS和中国高校人文社会科学文献中心CASHL也分别接到教育部高教司和社科司通知，要求完成等保定级。北京大学通用柔性化医学队列平台是国家卫健委支持的重点项目，部分功能投入实际使用。项目验收指标中明确要求完成等保定级。类似的情况还包括北京市电力公司要求的北大某校区变电站电力监控系统、北京大学虚拟仿真平台系统等。

 

　　作为工作在高校等保一线的老师，从这些工作的点滴中，我们再次体会到“等保”不是在务虚，是切切实实地在方方面面指导高校信息系统和网络安全建设。

 

 

　　执行《2024年教育系统网络安全能力提升行动方案》，优化原有的信息资产名录，高效、全面、合理地完成全校信息系统自主定级是2024年9月至今的重要工作之一。

 

　　面对数量庞大、种类繁多、情况各异的信息系统和登记在册的三千多条信息资产，为了保证工作成果的积淀和等保工作能长期、可持续地推进，除了依托已有的信息资产管理系统之外，自主研发“北京大学等保定级及管理系统”被提上日程。新系统已于2024年国庆假期后上线。到寒假前，除个别信息系统涉及跨单位整合或功能升级之外，学校已全部完成前三个批次30个校内单位的自主定级工作，组织两次专家评审会对系统自动生成的定级结果进行评审，共自主定级232个信息系统，涉及1300余个信息资产。

 

　　管理系统参照公安备案要求的定级报告和备案表，同时考虑到材料填写人有可能对等保不了解，以方便他们理解的方式设计了信息系统（用于等保定级）。具体内容包括系统名称、是否有子系统、信息系统描述、系统业务描述、信息系统建设运维等基本信息，以及系统业务、服务和网络访问、业务信息、系统服务、负责人、资产及定级信息等几个部分。每一部分都能提供详细的内容模板和应用场景，便于填写人以填空的形式描述信息系统具体情况。填写完成后，根据等保知识库自动生成系统级别。所有在册信息资产全部建立对应的信息系统，做到每一条信息资产业务服务状况清晰。

 

 

　　既然等保工作必须要做，二级三级系统测评也是常规工作，那么接下来需要考虑的重点就变成了怎么做到、做好这项工作，并且同时节省人力、物力、财力。

 

　　层层落实、责任清晰

 

　　建立完整的、执行时有参考价值的网络安全制度汇编是一个大工程，需要经过多轮由相关人员参与的编写、讨论、修改，最终才能通过和发布。但日常管理中落实制度的执行难度更大，以OA流程约束等保管理可作为一个思路。通过办事大厅提交新建或修改资产申请可以帮助申请人了解自己名下的信息资产和系统，并让院系主管领导和安全联络员在审批的同时了解单位的信息资产和系统情况。同时，年审机制可以提醒使用人随时删除不再使用的资产和系统。技术手段在提高信息通畅度的同时，完整记录审批流程和变动历史，做到责任清晰。

 

 

　　减轻信息系统负责老师的工作量，让等保和安全工作更容易完成是工作推进中值得思考的问题。要不断迭代以提升等保管理系统提示的清晰度和可读性，由了解情况、沟通方便的安全联络员负责本院系的工作推进，为他们提供培训、技术支持和政策支持。若能在每一位参与者的舒适区之内稍稍提一些复杂的、有能力做到的要求，完成整件事情的难度将大大降低。等保管理系统统一留存了在线服务的信息系统信息，同时以知识库的形式积淀了政策法规和知识经验。

 

 

　　合理定级、尽量整合是推动这项工作的另一个重要方法。常用的整合方法有几种：1. 综合考虑服务人群、建设开发运维和部署位置。比如将面向全校师生提供服务、由一个团队建设开发运维和部署在同一个机房的学生、人事、办事大厅等多个子系统合并为“校内综合信息服务平台”进行等保定级。2. 按照单位进行整合。比如将一个二级单位内部的多个办公相关系统或者一个课题组的主页、资料共享服务和内部交流平台等进行整合。3. 按照业务类型整合。比如将多个院系的虚拟仿真课程整合为“校级虚拟仿真平台”，由该项业务的校内主管单位牵头完成等保。除了以上提到的方法之外，整合没有一定之规，关键是符合几项原则：1. 整合是一个综合考虑，是为了优化等保工作。无论是可以省钱、省力还是省时间，都可以考虑。2. 要整合到一个系统中的子系统，原本的等保级别需要一致。不要为了整合而拉高某些子系统的级别，进而增加建设、防护工作的负担。

 

　　一套组合拳打下来，借助“等保”这个“抓手”，参与自主定级这项工作的院系领导和安全联络员、信息系统负责老师和学生，在不同程度上都对“等保”和“自主定级”有了更深的认识，安全意识也得到了提升。不同角色人员的安全责任在内容填写、系统审批的过程中亦得到了落实和留痕。

 

　　“等保”是一项可大可小、可深可浅的工作。它可以是“合规”，可以是请咨询公司抄抄现有规章制度，之后束之高阁，也可以是“抓手”和安全工作推进的基准性纲要。它可以是一项系统工程，借以理顺安全工作、甚至校园信息化建设中的各种不合适和不合理，也可以是一项被迫完成的任务。不管怎么看待、怎么执行，最重要的共识是安全责任。希望每个人都可以在工作中主动管理好责任，不为其所累。