文/蘭潔 趙鑫

清華大學網(wǎng)絡安全管理模式及防范體系

文/蘭潔 趙鑫

隨著信息化技術的高速發(fā)展，網(wǎng)絡的普及應用深刻地改變了高校的日常教學、科研和管理方式方法；同時，高校對網(wǎng)絡與信息安全（以下簡稱“網(wǎng)絡安全”）的依賴程度不斷加深，對各類數(shù)據(jù)和信息資源的安全也變得越來越敏感。本文試圖從高校網(wǎng)絡安全現(xiàn)狀入手，分析梳理清華大學網(wǎng)絡安全管理模式，并對完善高校網(wǎng)絡安全防范體系提出相關思考，以期對高校網(wǎng)絡安全管理工作提供借鑒意義。

高校網(wǎng)絡安全現(xiàn)狀

網(wǎng)絡安全形勢

一方面，網(wǎng)絡的高速發(fā)展和深度應用增大了安全風險。隨著互聯(lián)網(wǎng)和信息技術以前所未有的深度和廣度改變著人們的工作、生活、交流和消費模式，網(wǎng)絡安全帶來的風險也在迅速增大。在美國大學信息化聯(lián)盟EDUCAUSE公布的年度十大IT議題（Top 10 IT Issues）當中，與安全相關的議題自2007年以來頻繁入選，充分說明網(wǎng)絡與信息安全已經(jīng)成為高校達成使命和維持各項職能正常運轉(zhuǎn)的必需保障。

另一方面，網(wǎng)絡安全面臨的威脅增多。伴隨著網(wǎng)絡技術的快速發(fā)展，危害網(wǎng)絡安全的技術手段、人員規(guī)模、侵擾對象和造成的后果也在不斷升級。同時，針對網(wǎng)絡安全的各類技術防護手段普遍具有滯后性。殺毒軟件、防火墻、入侵檢測技術、虛擬入侵誘騙技術等各類技術防范手段，需要針對網(wǎng)絡攻擊的最新特點，進行破解和實時更新，往往滯后于網(wǎng)絡破壞行為。

高校網(wǎng)絡安全管理現(xiàn)狀

圖1 清華大學網(wǎng)絡安全工作組織體系

第一，管理依據(jù)長期缺位。盡管互聯(lián)網(wǎng)進入中國已超過20年，但迄今為止，我國尚無關于網(wǎng)絡安全的正式立法。在強調(diào)依法治國的今天，包括高校在內(nèi)的各級各類組織和機構在加強網(wǎng)絡安全管理領域，都面臨著無法可依的窘迫。同時，大多數(shù)高校在制度建設方面也極其欠缺，無章可循，靠經(jīng)驗辦事的狀況普遍存在。

第二，管理隊伍勉為其難。一是管理力量不強。目前，高校的網(wǎng)絡安全管理隊伍中專職人員很少，在大部分的兼職人員的日常工作中，網(wǎng)絡安全工作的占比也很小，客觀上造成工作措施難以落實的局面。二是管理專業(yè)性不夠。受限于現(xiàn)有的管理體制和人事制度，高校也很難吸引或聘用高水平的網(wǎng)絡安全技術人員。

第三，防范意識普遍薄弱。目前，高校師生在網(wǎng)絡安全意識上普遍存在兩個“滯后”：一是對網(wǎng)絡安全重要性的認知滯后；二是學習掌握基本的網(wǎng)絡安全防護能力滯后。由此，給網(wǎng)絡安全管理部門造成極大的工作不便。

清華大學網(wǎng)絡安全管理現(xiàn)狀

作為信息化工作起步較早的國內(nèi)高校，清華大學在教學、科研、管理等領域的信息化程度高、用戶多、數(shù)據(jù)總量大，特別是在國內(nèi)外的較高知名度使其容易成為網(wǎng)絡攻擊的目標。這些因素都使清華大學對信息安全有著更高的需求。

網(wǎng)絡安全特點分析

1.匯聚效應明顯。作為國內(nèi)外著名高校，清華大學受到國內(nèi)外的廣泛關注，易成為網(wǎng)絡攻擊的目標，攻擊的目的或是為了獲取更大的轟動效應，或是為了獲取更有價值的信息資料。例如：2013年，美國國家安全局（NSA）前雇員愛德華·斯諾登（Edward Snowden）爆料稱美國黑客曾入侵清華大學主干網(wǎng)絡。且不論斯諾登所述的網(wǎng)絡破壞行為給清華的校園網(wǎng)絡運行造成什么影響，單就這番言論帶來的負面影響就持續(xù)甚久。此外，一些網(wǎng)友遇有涉及清華大學的熱點事件或話題時，也往往用網(wǎng)絡攻擊作為宣泄個人情緒的手段。

2.用戶數(shù)量多、管理難度大。目前，清華大學共有19個學院，55個系；校園網(wǎng)用戶群體包括1萬余名教職工，3.5萬名在校學生以及4萬余名職工家屬，再加上短期交換學生、培訓學員等人群，共計近10萬人的用戶規(guī)模。所有這些用戶分散在不同單位不同樓宇中，各單位網(wǎng)絡安全管理隊伍的規(guī)模和水平也參差不齊，使得日常管理難度較大。

網(wǎng)絡安全管理體系

從2010年以來，清華大學針對網(wǎng)絡安全管理工作頭緒多、范圍廣、總量大的實際特點，圍繞校園網(wǎng)、信息系統(tǒng)和個人終端三個方面，逐步建立了由組織體系、制度體系和技術體系組成的網(wǎng)絡安全管理體系，基本涵蓋了網(wǎng)絡安全工作的主要方面。

1.組織體系

明確了網(wǎng)絡安全的領導決策機構、管理部門、運營單位、使用單位和技術支撐部門的管理職責分工，將安全責任分解落實到具體的責任人，初步建立了網(wǎng)絡安全工作組織體系。

在宏觀決策層面，由學校信息化領導小組負責全校網(wǎng)絡安全工作的宏觀決策和整體部署。

在具體組織層面，由信息化工作辦公室負責協(xié)調(diào)落實全校網(wǎng)絡安全工作。

在具體執(zhí)行層面，一方面，將原有的網(wǎng)絡中心、計算中心和電教中心合并，成立信息化技術中心，為全校網(wǎng)絡安全管理提供統(tǒng)一的技術支撐。另一方面，在學校各院系、各部門設置了網(wǎng)絡安全工作主管和聯(lián)系人，具體負責本單位網(wǎng)站和信息系統(tǒng)的安全管理工作，將安全責任逐級落實。

以此，構建了以信息化領導小組為核心，以信息化工作辦公室為主導，以信息化技術中心為支撐，以各院系、部門具體責任人為抓手的網(wǎng)絡安全管理體系，確保全校信息安全管理工作方向明確、協(xié)調(diào)有力、技術可靠、責任清晰。

2.制度體系

在制度保障方面，2011年9月，《清華大學關于加強網(wǎng)絡與信息系統(tǒng)安全工作的指導意見》發(fā)布施行。作為當前清華大學在網(wǎng)絡安全領域的最高級別指導文件，這份文件系統(tǒng)闡述了網(wǎng)絡安全管理工作的重要性、指導思想、基本原則，制定了“確保學校網(wǎng)絡與信息系統(tǒng)的安全穩(wěn)定運行，支撐學校教學、科研和管理工作可持續(xù)發(fā)展”的工作目標以及相應的工作措施。隨后，圍繞著加強網(wǎng)絡安全工作的各類規(guī)范文件

紛紛制定和修訂完善，共包括隊伍建設類、責任體制類、管理制度類、預案與應急響應類、技術類、工作記錄類等六大類。

在機制保障方面，常態(tài)化的網(wǎng)絡安全運行機制是保障網(wǎng)絡安全工作體系正常運轉(zhuǎn)、落實網(wǎng)絡安全管理規(guī)范實施，發(fā)揮安全技術措施效用的有效和必要方法。目前，清華大學已初步完成網(wǎng)絡安全常態(tài)化運行機制建設，包括信息系統(tǒng)登記備案機制、網(wǎng)絡信息安全例行檢查機制、信息系統(tǒng)安全準入機制、安全漏洞跟蹤管理機制、網(wǎng)絡信息安全分級運行機制、安全事件響應與通報機制等，有力保障了全校網(wǎng)絡安全工作的有序開展。

3.技術體系

經(jīng)過多年的探索和實踐，清華大學在網(wǎng)絡安全技術體系建設方面已有初步積累。2014年，在對網(wǎng)絡安全的風險、需求進行進一步的細致梳理后，形成了網(wǎng)絡安全技術體系規(guī)劃，將全校信息化環(huán)境劃分為校園網(wǎng)、信息系統(tǒng)、用戶終端三個安全區(qū)域，針對不同區(qū)域建設防護、檢測、響應三層技術措施，以提升各安全域的安全防控能力、安全監(jiān)測能力和安全響應能力。

網(wǎng)絡安全管理工作成效

1.日常網(wǎng)絡安全防范能力有所提升。

得益于網(wǎng)絡安全體系的不斷建設和完善，清華大學網(wǎng)絡信息系統(tǒng)總體安全性、網(wǎng)絡安全漏洞響應能力、網(wǎng)絡安全事件預警處置能力都得到了較大的提升。據(jù)統(tǒng)計，2014年，全校各級各類網(wǎng)站和信息系統(tǒng)存在SQL注入漏洞的比例和存在跨站漏洞的比例均比2010年下降了十個百分點；自2010年以來，網(wǎng)絡安全事件數(shù)量也呈現(xiàn)連年下降態(tài)勢。嚴密的組織架構和周密的工作機制使得近幾年來爆發(fā)的重大網(wǎng)絡安全風險（比如2014年OpenSSL爆出的心臟出血漏洞）未對全校信息化環(huán)境造成實質(zhì)性威脅，確保了校園網(wǎng)絡和信息系統(tǒng)的安全穩(wěn)定運行。

2.確保了重大活動期間網(wǎng)絡安全的萬無一失。隨著網(wǎng)絡安全威脅的日益突出，各級部門對重大活動期間的網(wǎng)絡安全保障的重視程度也越來越高。對此，每逢重大活動前，清華都從管理、技術、隊伍三個方面對網(wǎng)絡安全工作進行提前部署。例如，在今年抗戰(zhàn)勝利70周年紀念活動之前，清華大學從五月份開始對全校登記備案的網(wǎng)站信息系統(tǒng)、核心服務器和網(wǎng)絡設備進行全面的安全檢查，掃描總量上萬次，整改安全隱患上千個，對未整改的服務器和信息系統(tǒng)均采取了限制校內(nèi)訪問或暫停訪問的技術措施。從2015年8月起，全校網(wǎng)絡安全管理啟動“超?！钡囊患壏揽仡A案，嚴格執(zhí)行一級預案安全保障的各項要求，做好校園網(wǎng)與信息系統(tǒng)的安全檢查、監(jiān)控和24小時值守，堅持每日“零報告”制度，有條不紊地開展各項工作，保障了這一重大活動期間校園網(wǎng)絡環(huán)境的穩(wěn)定有序。

思考與建議

在前不久召開的第二次全國教育信息化工作電視電話會議上，中共中央政治局委員、國務院副總理劉延東同志在講話中強調(diào)，“十三五”期間，要大力推進信息技術與教育教學、創(chuàng)新創(chuàng)業(yè)的融合發(fā)展。在這樣的大背景下，加強和做好網(wǎng)絡安全工作可謂是越來越重要。高校信息化建設面臨的網(wǎng)絡安全問題將進一步復雜化，已經(jīng)建立起來的網(wǎng)絡安全體系并不能一勞永逸解決所有的問題，高校必須根據(jù)實際情況，不斷研究總結，探索出適合自身發(fā)展的網(wǎng)絡安全管理模式。對此，筆者就今后的工作提出以下幾個方面思考和建議：

第一，應探索建立校級網(wǎng)絡安全服務平臺。

建立面向全校師生和單位的網(wǎng)絡安全服務平臺，公布24小時服務電話，統(tǒng)一接收出現(xiàn)的網(wǎng)絡安全威脅和事件的情況，提供線上咨詢和線下處理的網(wǎng)絡安全服務，定期或不定期地根據(jù)網(wǎng)絡安全形勢為個人用戶終端或單位系統(tǒng)采取安全措施，加強安全防護，并有針對性地圍繞重要人員、重要部門、重要系統(tǒng)提供系統(tǒng)安全監(jiān)測和問題解決方案，提升高校整體的網(wǎng)絡安全保障能力。

第二，應探索建立強有力的網(wǎng)絡安全保障隊伍。

網(wǎng)絡安全管理，三分靠技術，七分靠管理，管理工作最重要的要靠人，可以根據(jù)不同的網(wǎng)絡安全需要，建立相應的保障隊伍。例如，可按社會化運作模式聘請專業(yè)的網(wǎng)絡安全人才滿足較高層次的安全需要，還可利用學校理工科的學科優(yōu)勢，通過勤工助學等方式建立一支學生網(wǎng)絡安全保障隊伍。

第三，應探索采用新方式、新方法強化用戶網(wǎng)絡安全意識。

相對于傳統(tǒng)意義上的安全概念，網(wǎng)絡安全的受重視程度還遠遠不夠。高?？衫酶鞣N渠道，加強對網(wǎng)絡安全重要性的宣傳力度，不斷增強師生用戶的網(wǎng)絡安全觀念。例如，可將網(wǎng)絡安全課程列入大一新生入學的必修課，可利用MOOC等新的教學方式來傳授網(wǎng)絡安全理念和防范手段等，還可定期舉辦網(wǎng)絡安全講座等等。

第四，應探索建立聯(lián)合預警機制。

今年十月底，美國大學信息化聯(lián)盟（EDUCAUSE）在對2016年度十大IT議題進行前瞻時，就明確將信息安全（Information security）列為首選。而面對層出不窮的網(wǎng)絡安全威脅，無論是個人用戶，還是高校，個體的力量總是薄弱的，只有加強聯(lián)合與協(xié)作，才能更好地應對。期望能夠在上級教育部門協(xié)調(diào)下，聯(lián)合國家有關網(wǎng)絡安全應急響應機構、各高校及各大網(wǎng)絡安全技術公司，針對高校系統(tǒng)建立實時預警機制，遇有明確指向高校的網(wǎng)絡攻擊，或發(fā)現(xiàn)易在高校爆發(fā)傳播的惡意軟件、病毒時，第一時間通報高校并提供針對性、專業(yè)性的技術指導，形成合力，共同應對。

（作者單位為清華大學信息化工作辦公室 ）