陳宓宓

江蘇省高校信息化建設先進單位、中國教育科研網(wǎng)優(yōu)秀會員單位、鎮(zhèn)江市信息安全等級保護先進集體……這是江蘇科技大學近年來在落實網(wǎng)信安全立體化管理模式中曬出的成績單。

近年來， 江蘇科技大學以貫徹落實《中華人民共和國網(wǎng)絡安全法》及學校有關網(wǎng)絡和信息安全相關制度為主線，以開展校園網(wǎng)、信息系統(tǒng)和網(wǎng)站安全檢查為基礎，以強化網(wǎng)絡和信息安全教育培訓為抓手，緊緊圍繞網(wǎng)信安全怎么創(chuàng)新、怎么做實、怎么干好三個方面， 通過調整組織架構、改進工作方式、創(chuàng)新聯(lián)動機制， 全力打造“制度先行、定期排查、定時掃描、承諾保障、及時整改”的立體化管理模式在實踐中收到了良好的效果。

一、實施CIO制度，強化網(wǎng)絡安全責任

2017年4月，江蘇科技大學成立了以校黨委書記和正校長為組長、分管信息化和輿情的副校長為副組長的網(wǎng)絡安全和信息化領導小組；同年9月，頒布《江蘇科技大學首席信息官制度》，確定二級部門信息主管和干事；構架以“網(wǎng)絡安全和信息化領導小組”為決策層、“網(wǎng)絡安全和信息化領導小組辦公室”為協(xié)調層、各部門信息主管（干事）為執(zhí)行層的三層隊伍體系。加強二級部門對網(wǎng)絡信息安全的重視和自查自糾，簽署《安全承諾書》。督促二級部門參照《江蘇科技大學信息安全應急預案》，組織制定本部門應急預案，提高應急處置能力，確保業(yè)務部門信息系統(tǒng)和網(wǎng)站的正常運行和有效維護。

二、梳理網(wǎng)絡拓撲，優(yōu)化校園網(wǎng)絡結構

優(yōu)化網(wǎng)絡設備的安全策略，強化網(wǎng)絡安全的軟硬件建設（核心交換機、出口防火墻、Web應用防火墻、網(wǎng)管軟件等）。通過安全策略實現(xiàn)部分專網(wǎng)與校園網(wǎng)的隔離。關閉核心交換機上二級部門可接入服務器地址的端口，優(yōu)化WAF安全配置，優(yōu)化數(shù)據(jù)中心防火墻配置，通過購置備份、容災設備，提高數(shù)據(jù)安全等級。合理部署入侵防御系統(tǒng)，進一步提升應用系統(tǒng)（網(wǎng)站）的安全級別。為解決現(xiàn)有校園網(wǎng)三層架構網(wǎng)絡環(huán)境下，局域網(wǎng)內存在ARP欺騙、用戶上網(wǎng)行為管理只能在出口認證網(wǎng)關處進行管理的不足，對校園網(wǎng)絡進行了扁平化改造，實現(xiàn)了精細化網(wǎng)絡管理。

三、施行“白名單”制度，嚴控服務器訪問

嚴格控制公網(wǎng)至校園網(wǎng)的訪問入口、梳理并規(guī)范現(xiàn)有應用系統(tǒng)的對外開放端口；加強信息系統(tǒng)（網(wǎng)站）域名和IP地址管理，清理非官方信息系統(tǒng)（網(wǎng)站），關斷各信息系統(tǒng)（網(wǎng)站）的外部訪問，僅開放有特殊需要的。頒布《信息系統(tǒng)（網(wǎng)站）安全管理辦法》等制度、對所有信息系統(tǒng)（網(wǎng)站）逐個排查、清理“僵尸”信息系統(tǒng)，對可能聯(lián)網(wǎng)的信息發(fā)布終端進行了徹底排查，確保網(wǎng)絡和信息安全工作縱向到底、橫向到邊。

四、定期掃描網(wǎng)站，及時查堵安全漏洞

通過等保、云盾服務、日常掃描等手段，明確現(xiàn)有應用系統(tǒng)存在的安全漏洞。對外開放訪問權限的重要應用系統(tǒng)（網(wǎng)站）每月掃描一次，其他應用系統(tǒng)（網(wǎng)站）每兩個月掃描一次。針對責任部門下發(fā)《網(wǎng)絡和信息安全隱患整改通知單》、限時完成高危漏洞的整改。利用“可視化管理軟件”加強網(wǎng)絡攻擊行為的監(jiān)控；運用“運維管理軟件”深化虛擬服務器、存儲等基礎硬件運行狀態(tài)的監(jiān)控。

五、實施網(wǎng)絡安全報告制度，及時通報安全動態(tài)

發(fā)布《江蘇科技大學網(wǎng)絡與信息安全事件報告制度》《江蘇科技大學網(wǎng)絡與信息安全問題通報制》，實現(xiàn)網(wǎng)絡和信息安全問題的早發(fā)現(xiàn)、早處置。信息化中心會根據(jù)對網(wǎng)站、信息系統(tǒng)的常態(tài)化監(jiān)測，通過電話、短信、電子郵件和書面通知等方式，以季度報告、月度簡報、不定期通報等方式向網(wǎng)絡安全和信息化領導小組和各部門通報存在的漏洞、后門、暗鏈、弱口令等安全隱患，并負責跟蹤核查整改結果。

六、評估信息系統(tǒng)風險，加強數(shù)據(jù)安全管理

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一項工作。今年順利完成了數(shù)字化校園系統(tǒng)、云平臺信息系統(tǒng)、校園主頁及站群系統(tǒng)的二級等保測評，以及電子郵件系統(tǒng)的三級等保測評工作，獲得鎮(zhèn)江市網(wǎng)安支隊和同行的廣泛認可。嚴格按照數(shù)據(jù)標準對各業(yè)務系統(tǒng)中不符合要求的數(shù)據(jù)進行了清洗和轉換。對數(shù)據(jù)容災、備份開展深入調研思考，探索進一步加強數(shù)據(jù)層面安全管理的工作方向。

七、開展培訓與教育，提高安全意識和技能

根據(jù)我校網(wǎng)絡和信息安全薄弱環(huán)節(jié)以及網(wǎng)絡和信息安全工作年度重點，制定針對不同對象的網(wǎng)絡和信息安全教育計劃，重點開展面向信息主管、信息干事和系統(tǒng)管理員的專題培訓，切實提高廣大師生的網(wǎng)絡安全意識和防護能力。推行網(wǎng)信安全工作例會制和項目研討制。利用新生入學教育、新教師入職教育、網(wǎng)絡安全宣傳周、信息化建設與管理中心黨支部特色活動等契機，通過形勢政策課、講座、報告會等方式面向廣大師生開展網(wǎng)絡安全宣傳教育，提高網(wǎng)絡和信息安全意識和素養(yǎng)。以增強各部門網(wǎng)絡和信息安全責任和意識為目標，以促進信息化項目使用和信息資源共享為出發(fā)點，對二級部門網(wǎng)絡安全和信息化工作開展年度考核，通過評選先進的方式進一步激勵網(wǎng)絡和信息安全工作的實效。