随着《教育信息化2.0行动计划》《教育信息化“十四五”规划》等相关国家政策文件的出台,各高校加快了智慧校园建设的步伐。然而,在建设过程中还普遍存在“重建设轻安全”的现象,高校信息化程度越高,面临的安全问题也越发严重。当前高校急需建立完善的网络安全管理体系,提升管理人员、技术人员能力,提高网络安全工作效率,降低网络安全风险,才能有效保障高校智慧校园建设。
高校网络安全管理存在问题
第一,网络安全工作机制仍需完善。近些年,高校普遍建立了网络安全管理制度,明确了领导机构和网络安全职能部门,对网络安全工作予以高度重视,正在逐步建立和完善网络安全制度体系[1],但是绝大部分高校网络安全管理还只停留在归口职能部门层级,并未下沉至二级学院/部门,缺乏相应的责任考核,无法有效落实网络安全责任制。
第二,网络安全管理人员不足,专业能力有待提高。高校的信息化建设已初具规模,但网络安全管理人员不足。诸多高校内部校园网络安全管理人员并没有接受过定期的专业培训,从而导致其综合工作能力一直难以得到提升,无法满足当前高校信息安全管理工作的需求[2]。
第三,网络安全意识薄弱。高校信息化建设水平越高,教育教学和日常工作对信息化依赖程度也就越高,受到的安全威胁也将来自多个方面。但高校网络安全防范意识普遍不足,大部分网络管理者和用户网络安全管理意识不强,缺乏安全防范意识,导致不能及时有效地应对黑客攻击、病毒入侵或其他安全威胁,为高校网络正常持续运行埋下隐患[3]。
打造网络安全管理体系
针对上述问题,江南大学信息化建设与管理中心结合实际情况建立完善的网络安全管理体系。
确立机制,明确网络安全责任
网络安全工作机制的确立,主要从制度建设和组织结构建设两个方面开展。
第一,制度建设,规范网络安全工作。依据国家相关法律法规,结合实际情况,江南大学制定了《网络安全管理办法》作为开展网络安全工作的总纲,再从组织结构建设、网络安全队伍建设、网络安全教育培训、网络资产管理、网络安全风险治理、网络安全等级保护等多个维度进行细化,形成管理规范。
第二,四级管理,明确网络安全职责。江南大学建立了以校网信领导小组领导全局工作,归口职能部门统筹管理、技术部门技术支撑,学院/部门履行网络安全主体管理职责,信息系统责任人履行网络安全个体管理职责的四级管理组织结构,开展学院/部门的网络安全责任考核,进一步明确和压实网络安全责任,落实“谁建设谁负责、谁主管谁负责、谁运行谁负责、谁使用谁负责”的网络安全管理原则。四级网络安全管理组织结构如图1所示。
图1 四级网络安全管理组织结构
技术赋能,提升网络安全能力
网络安全队伍建设,提供了人员保障和技术保障,结合网络安全教育培训,提高网络安全意识、网络安全管理能力和专业技能,从而提升整体网络安全能力。
第一,队伍建设,提供人员和技术保障。以切实有效的网络安全培训,提高归口职能部门专职网络安全管理员和学院/部门兼职网络安全管理员的管理能力,提高技术部门专职技术人员的专业技能。同时,引入有保障的社会网络安全技术力量,掌握网络安全防护前沿技术,为高校保驾护航。另外,以合作加奖励的模式,激发高校优质的教师、学生资源,为高校网络安全工作添砖加瓦。
第二,教育培训,提升网络安全能力。以高校较强的信息化能力为载体,实现线上线下相结合的教育培训模式;以目的为导向,按不同人员类型,形成多维度的高校网络安全教育培训体系(见表1),同时加强部门协作,充分发挥教务处的线上教学能力、宣传部的宣传能力和保卫处的安全教育能力。
表1 高校网络安全教育培训体系
技术保障,降低网络安全风险
网络安全等级保护,规范了信息化的网络安全建设与管理,同时也有了网络安全风险治理的需求。网络安全风险治理需要精准的网络资产数据和完善的治理流程,达到了提高治理效率、降低网络安全威胁的目的。
第一,等级保护,规范信息化建设与管理。网络安全等级保护制度是在我国经济与社会信息化的发展过程中,以维护国家安全、提高信息化水平、促进信息化健康发展而设立的一项基本制度[4]。围绕“1个中心”管理下的“3重防护”开展网络安全等级保护工作,将网络安全等级保护与智慧校园信息化建设的全生命周期管理相融合,严格按照网络安全等级保护2.0的要求进行网络安全建设与管理,保障智慧校园建设。
第二,网络资产治理,提供基础数据。建立网络资产治理平台,摸清家底,认清风险,从而实现“资产发现—备案审核—漏洞发现—加固整改—事件处置”安全闭环,形成全校一本账、学院/部门一本账、信息系统责任人一本账的分级管理模式。为防止私搭乱建现象,减少产生“僵尸”资产,职能部门统一管理信息化资源,并采取适当的收费模式,让使用者重视网络资产管理。
第三,风险治理,降低网络安全威胁。高校网络安全风险治理通过网络安全监测、预警、处置等方式,降低网络安全威胁。校内通过漏洞扫描、渗透测试等手段开展自主监测,再结合各级网络安全管理单位的监测成果,多角度保障高校网络安全。同时,依托良好的组织结构和准确的网络资产数据,从“发现、验证、通报、处置、再验证、结束”,形成一套行之有效的网络安全威胁处置流程(如图2所示)。
图2 网络安全威胁处置流程
工作宣传,提升网络安全影响
以网络安全工作简报的形式,向学校各级领导定期汇报当前国内外网络安全环境、学校网络安全态势和网络安全工作成果,提升网络安全工作影响力,提高学校对网络安全工作的重视度,进而有利于网络安全工作的开展。
根据高校特点,本文形成了一套完整的高校智慧校园网络安全管理体系,规范高校信息化安全建设,提升高校网络安全防护能力,降低网络安全风险。实践证明,网络安全管理体系的建设达到了预期效果,也希望可以为各高校的网络安全管理提供有效借鉴。
[1]龚汉明.高校网络安全问题与应对研究[J].北京教育(高教),2019(02):8-12.
[2]曾伟.校园网络与信息安全的管理分析[J].电子技术,2020,49(08):118-119.
[3]陈超.高校信息化建设中网络安全管理与对策研究[J].网络安全技术与应用,2021(04):79-80.
[4]刘莉莉,吕斌.新形势下网络安全等级保护2.0体系建设探索与实践[J].信息安全研究,2022,8(02):196-199.
课题项目:江苏省现代教育技术研究2021年度智慧校园专项立项课题“智慧校园的网络安全体系建设的研究与实践”(2021-R-96784)
作者:陆晔、俞伟(江南大学信息化建设与管理中心)
责编:陈永杰