陈旭 北京城市学院网络中心副主任
新冠疫情暴发以来,我国经受了极其严峻的考验,教育领域遭受了前所未有的冲击。疫情期间,为了减轻防控工作难度和维持教学办公活动,相当一部分高校加强了信息应用系统建设,取得了良好效果,学校信息化建设水平也进一步提升。但是,由于校外单位难以入校工作,基建和系统集成项目普遍受到较大影响。同时,新增的业务系统或原有校内业务系统需要对外开放,也对网络安全提出了较大挑战。
因此,2023年高校一方面需要尽快完成在机房、网络、硬件系统上延误的工作,补齐“短板”;另一方面应提升网络安全防护能力,特别是按《数据安全法》《个人信息保护法》要求对网络安全防御体系进行升级。
当前,高校网络安全需更加重视数据防护,注意以下四个工作要点:
首先,要实现纵深防御。
经过十余年的网络安全建设,高校普遍完成了校园网边界防御体系,但是原有内外网安全防护模式已经不能满足目前网络安全防护要求。因此,需要实现纵深防御,包括:校园网边界防护,服务器群或数据中心的边界防护,数据库与应用系统的边界防护,主机防护,态势感知,统一日志等。同时,要注意业务流和运维流分离,网络管理、安全管理、专网、用户网分离,普通用户账号及系统管理账号的管理流程分离。
其次,采用零信任访问控制技术。
当前,高校主流外网访问校内资源的解决方案是采用VPN设备。但是在纵深防御思路下,简单的VPN访问控制难以实现更精细访问控制。另外,运营商推出的5G校园专网也对校内资源的访问控制提出挑战。零信任访问控制技术可以在一定程度上应对这些困难。
从访问控制需求角度,高校应当做到避免没有经过安全设备审计的数据访问过程,对于能获取用户信息的数据访问过程,应当采用用户信息作为访问控制的条件;对于基于Web Service服务的应用系统,如单点登录系统,应当采用证书方式进行服务端和客户端的验证。
再次,要加强总体把握的管理能力。
为此,信息化职能部门要做好“三件事”:设备层面,信息化职能部门要注意从多个设备监测中发现异常情况,而不是简单依靠单一设备告警;岗位工作方面,要加强网络、应用系统、运行平台、安全管理等岗位之间的交流,形成安全防护合力,避免各岗位单打独斗;部门沟通层面,加强与其他部门的网络安全沟通,努力构建校园网大安全的工作体系,为建设平安校园服务。
最后,加强设备联动。
高校信息化职能部门要注意分析不同类型网络安全设备的功能,通过相互调用控制功能,实现集控管理、快速响应。
新的一年里,北京城市学院信息化工作中心继续贯彻落实学校信息化“十四五”规划,改善基础网络平台,推进信息应用系统建设,提升网络安全防护能力。具体工作计划是:加快信息化建设、开发、调研工作进度,做好日常监测、保障、应急、培训,加强部门工作管理体系、项目管理能力、信息系统运维规范。
高校信息化健康发展离不开合理的信息化规划,而高校信息化规划最核心的要求是能够利用信息技术支撑学校发展。所以,2023年在具体工作内容方面,高校信息化职能部门应该综合运用信息系统项目管理、信息系统项目监理、信息系统审计方法,结合制定校级规章制度、发布工作要求、现场指导、技术培训与交流等多种工作方式,推进学校信息化“一盘棋”,避免信息化职能部门闭门造车、唯技术论、本位主义。
编撰:陈永杰