◆魏楚元 任彥龍 李欣

高校網(wǎng)絡(luò)安全治理體系構(gòu)建研究

◆魏楚元 任彥龍 李欣

（北京建筑大學(xué)信息中心 北京 100044）

高校網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、網(wǎng)絡(luò)用戶數(shù)規(guī)模大，一直是網(wǎng)絡(luò)安全防范的主要陣地。本文全面分析了高校存在的網(wǎng)絡(luò)安全問題和薄弱環(huán)節(jié)，創(chuàng)新提出高校網(wǎng)絡(luò)安全治理體系，從安全策略規(guī)劃、安全管理、技術(shù)體系、風(fēng)險治理、運行運維和治理能力六個維度進行了闡述，最后給出了網(wǎng)絡(luò)安全管理工作的主要措施。高校網(wǎng)絡(luò)安全治理體系的構(gòu)建，對解決高校網(wǎng)絡(luò)安全問題提供了解決方案，為高校網(wǎng)絡(luò)安全工作提供參考。

網(wǎng)絡(luò)安全；等級保護；網(wǎng)絡(luò)安全治理體系

近年來全國高校紛紛提出建設(shè)“智慧校園”的目標(biāo)，在制定信息化發(fā)展規(guī)劃時將網(wǎng)絡(luò)安全管理作為一個重要的內(nèi)容考慮進去，并且對照等保1.0標(biāo)準(zhǔn)進行了部分建設(shè)，在網(wǎng)絡(luò)安全建設(shè)方面形成了一些思路和做法，網(wǎng)絡(luò)安全管理水平較過去有較大幅度提升。但是應(yīng)該清醒地認(rèn)識到，高校網(wǎng)絡(luò)安全工作還存在不少深層次的問題仍然得不到解決，與高校信息化建設(shè)發(fā)展節(jié)奏不匹配，重建設(shè)、輕安全的局面依然存在，高校網(wǎng)絡(luò)安全管理工作不能形成一套治理體系來予以推進。網(wǎng)絡(luò)安全和信息化工作必須兩手抓，兩手都要硬，網(wǎng)絡(luò)安全工作要放在信息化建設(shè)中的首要位置加以考慮，重點建設(shè)，才能更好地促進高校信息化建設(shè)工作有序推進與良性發(fā)展。

1 高校網(wǎng)絡(luò)安全問題分析

高校網(wǎng)絡(luò)安全工作存在的問題，既有管理體制機制方面的問題，也有政策制度執(zhí)行不力的問題；既有管理隊伍人才建設(shè)的問題，也有技術(shù)實力不夠的問題；既有網(wǎng)絡(luò)安全意識不強的問題，也有網(wǎng)絡(luò)安全被動防御的問題?？傮w來講，高校缺乏行之有效的網(wǎng)絡(luò)安全治理體系，未能形成規(guī)范的網(wǎng)絡(luò)安全管理流程，在網(wǎng)絡(luò)安全管理與技術(shù)防范上形成合力。

1.1 學(xué)校網(wǎng)絡(luò)安全管理尚未形成體系

高校普遍建設(shè)有校園網(wǎng)和若干信息系統(tǒng)，可以統(tǒng)稱為網(wǎng)絡(luò)平臺。保障信息安全是網(wǎng)絡(luò)平臺運營者最基本的責(zé)任。高校網(wǎng)絡(luò)安全管理關(guān)鍵在于壓實主體責(zé)任，《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)平臺主體責(zé)任進行了詳細的類型化，將數(shù)據(jù)安全的主體責(zé)任落實到包括政府、企業(yè)、組織和個人等多方層面。毫無疑問，網(wǎng)絡(luò)平臺是網(wǎng)絡(luò)安全體系的核心和基本抓手，平臺是所有用戶的連接點，是所有網(wǎng)絡(luò)服務(wù)的承擔(dān)者，是數(shù)據(jù)信息的存儲者，是用戶權(quán)益的直接保護者。網(wǎng)絡(luò)平臺是保障網(wǎng)絡(luò)數(shù)據(jù)安全的第一道防線，是網(wǎng)絡(luò)安全的第一責(zé)任人。網(wǎng)絡(luò)平臺是網(wǎng)絡(luò)安全體系的直接執(zhí)行者和落實者，這也就構(gòu)成了網(wǎng)絡(luò)平臺主體責(zé)任中的信息安全責(zé)任范疇。當(dāng)前高校網(wǎng)絡(luò)安全管理的現(xiàn)狀是，學(xué)校普遍設(shè)置有網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，黨委書記和校長任組長，網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室的工作職能基本上在信息辦或信息中心，實際上學(xué)校的網(wǎng)絡(luò)平臺建設(shè)更多分散在各個職能部處、二級學(xué)院和直屬單位。網(wǎng)絡(luò)安全面臨的現(xiàn)實問題是“各個二級單位都建設(shè)有網(wǎng)站、信息系統(tǒng)而普遍缺乏對網(wǎng)絡(luò)安全的管理，普遍依托系統(tǒng)開發(fā)商進行維護”，“誰主管，誰負(fù)責(zé)；誰主辦，誰負(fù)責(zé)”更多體現(xiàn)在“網(wǎng)絡(luò)安全事故發(fā)生后的處置，而不是事前主動履行網(wǎng)絡(luò)安全主體責(zé)任”。高?；旧弦罁?jù)上位文件和法規(guī)制定了《學(xué)校網(wǎng)絡(luò)安全管理辦法》等基本制度，但是這些規(guī)章制度沒有從頂層進行系統(tǒng)性設(shè)計，對網(wǎng)絡(luò)安全管理的責(zé)任、權(quán)利、義務(wù)、處罰等未形成系統(tǒng)性、操作性強的條款，規(guī)章制度不系統(tǒng)、不完善、針對性不強，在網(wǎng)絡(luò)安全管理過程中很難依法依規(guī)執(zhí)行。有的高校建設(shè)網(wǎng)站和信息系統(tǒng)多達數(shù)百個，涉及校內(nèi)外多個業(yè)務(wù)部門和多個管理領(lǐng)導(dǎo)、維護人員，甚至有不少業(yè)務(wù)部門認(rèn)為網(wǎng)絡(luò)安全的責(zé)任就應(yīng)該由信息辦或信息中心承擔(dān)，從這種現(xiàn)實情況也可以看出各個業(yè)務(wù)部門普遍缺乏對《網(wǎng)絡(luò)安全法》的學(xué)習(xí)，也對網(wǎng)絡(luò)安全主體責(zé)任認(rèn)識不清晰、網(wǎng)絡(luò)安全意識不強，在實際工作中往往成為網(wǎng)絡(luò)安全工作的阻力而無法形成齊抓共管的工作合力。

因此，高校關(guān)于網(wǎng)絡(luò)安全管理體系的一系列制度規(guī)范、工作隊伍、資源保障、經(jīng)費投入、督察機制、安全素養(yǎng)培育、技術(shù)防御體系等方面的工作，并未形成體系化的工作框架，難以落實網(wǎng)絡(luò)安全主體責(zé)任，不能形成網(wǎng)絡(luò)安全建設(shè)的管理的系統(tǒng)性任務(wù)清單，也就無法做實網(wǎng)絡(luò)安全保障工作從而提升校園網(wǎng)絡(luò)安全的管理服務(wù)能力。

1.2 學(xué)校網(wǎng)絡(luò)安全防御體系尚未形成

學(xué)校在信息化建設(shè)過程中，應(yīng)該將網(wǎng)絡(luò)安全防御體系作為一個重要的抓手來促進建設(shè)。當(dāng)前高校面臨的局面是網(wǎng)絡(luò)安全工作“頭痛醫(yī)頭、腳痛醫(yī)腳”，網(wǎng)絡(luò)平臺管理者并不清楚學(xué)校網(wǎng)絡(luò)平臺的拓?fù)浼軜?gòu)、網(wǎng)絡(luò)安全架構(gòu)，盡管部署了部分防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備，但是對設(shè)備運行的情況及存在的網(wǎng)絡(luò)安全隱患了解并不深入，更談不上形成靈敏的網(wǎng)絡(luò)安全態(tài)勢感知。長期以來高校網(wǎng)絡(luò)安全工作處于被動的局面，即上級單位監(jiān)測出什么漏洞就補什么漏洞，存在什么問題就整改什么問題。究其原因，一是在于學(xué)校對網(wǎng)絡(luò)安全防御體系的不了解，領(lǐng)導(dǎo)提出“網(wǎng)絡(luò)安全的底線是不發(fā)生網(wǎng)絡(luò)安全事故”，而信息中心對這一目標(biāo)的完成是“力不從心”；二是在于學(xué)校網(wǎng)絡(luò)安全尚未形成明確的工作思路，也沒有建立學(xué)校網(wǎng)絡(luò)安全治理的戰(zhàn)略和總體安全策略。在網(wǎng)絡(luò)安全防御體系建設(shè)方面，顯然缺乏清晰的思路，導(dǎo)致學(xué)校網(wǎng)絡(luò)安全工作缺乏章法，無法對學(xué)校網(wǎng)絡(luò)安全工作的愿景、目標(biāo)、策略、范圍、技術(shù)路線和支撐體系形成一套完整的工作體系并且付諸實踐。

1.3 師生網(wǎng)絡(luò)安全意識不強

隨著信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)已經(jīng)成為高校師生群體工作、生活、學(xué)習(xí)不可或缺的工具，網(wǎng)絡(luò)越來越成為師生交流的新空間，每日的活動已經(jīng)完全離不開網(wǎng)絡(luò)。信息技術(shù)和網(wǎng)絡(luò)的快速發(fā)展應(yīng)用在極大促進經(jīng)濟社會發(fā)展的同時，也帶來各種新的網(wǎng)絡(luò)安全問題。為進一步普及網(wǎng)絡(luò)安全知識，營造安全、健康、文明的網(wǎng)絡(luò)環(huán)境，切實維護國家網(wǎng)絡(luò)安全，全面提升廣大師生的網(wǎng)絡(luò)安全意識和安全防護技能，近年來學(xué)校依托國家網(wǎng)絡(luò)安全宣傳周等活動，大力開展網(wǎng)絡(luò)安全宣傳活動，大幅度提升了師生網(wǎng)絡(luò)安全意識。實際上，很多師生對網(wǎng)絡(luò)安全防范普遍不足，大部分處于被動地位，尤其是大量APP應(yīng)用的推廣，師生普遍安裝了種類繁多、五花八門的APP應(yīng)用，但對其實際安全風(fēng)險并不知情。從某種程度上看，網(wǎng)絡(luò)安全知識普及和安全意識教育卻嚴(yán)重滯后于網(wǎng)絡(luò)的快速發(fā)展。缺乏安全防護意識，網(wǎng)絡(luò)詐騙信息、不明網(wǎng)絡(luò)鏈接、電子郵件惡意鏈接、不設(shè)或簡單設(shè)置口令密碼等，常常導(dǎo)致用戶信息泄露濫用、病毒木馬大面積傳播、不良和違法信息蔓延、網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)詐騙、涉及師生信息的數(shù)據(jù)私下傳播或泄露等網(wǎng)絡(luò)安全事件時有發(fā)生，嚴(yán)重侵害師生的信息安全和財產(chǎn)安全。

1.4 網(wǎng)絡(luò)安全工作技術(shù)隊伍及技術(shù)能力不足

高校網(wǎng)絡(luò)安全很大程度上面臨人員短缺的問題。高?；旧辖⒕W(wǎng)絡(luò)安全三級工作體制：網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組、信息化辦公室（信息中心）、信息系統(tǒng)管理單位（信息系統(tǒng)管理員），實際上技術(shù)人員分布在信息化辦公室（信息中心），技術(shù)人員中從事網(wǎng)絡(luò)安全研究的鳳毛麟角，接受過CISP培訓(xùn)的專業(yè)技術(shù)人員比例也很少。就目前網(wǎng)絡(luò)安全面臨的形勢而言，網(wǎng)絡(luò)安全技術(shù)隊伍遠遠不夠，難以勝任或滿足學(xué)校網(wǎng)絡(luò)安全工作開展的需要。

2 網(wǎng)絡(luò)安全治理體系的框架

針對高校網(wǎng)絡(luò)安全面臨的形勢和存在的問題，本文探索建立一套高校網(wǎng)絡(luò)安全治理體系，旨在為高校網(wǎng)絡(luò)安全工作提供一個參考性的建設(shè)框架。

2.1 網(wǎng)絡(luò)安全治理定義

網(wǎng)絡(luò)安全治理可以定義為：所有為提高網(wǎng)絡(luò)安全防護水平而制定的政策、規(guī)范、標(biāo)準(zhǔn)以及展開的業(yè)務(wù)、技術(shù)和管理活動都屬于網(wǎng)絡(luò)安全治理范疇。網(wǎng)絡(luò)安全治理的目的就是通過有效的網(wǎng)絡(luò)安全管理手段，進行主動網(wǎng)絡(luò)安全防御，以提升網(wǎng)絡(luò)安全防護水平進而提升網(wǎng)絡(luò)安全的能力。高校網(wǎng)絡(luò)基礎(chǔ)設(shè)施結(jié)構(gòu)復(fù)雜，用戶群體量大，網(wǎng)絡(luò)安全風(fēng)險源繁多，網(wǎng)絡(luò)安全管理能力相對較弱。必須從學(xué)校實際情況出發(fā)，從總體安全策略、制度規(guī)范、防御體系、技術(shù)隊伍、教育培訓(xùn)、應(yīng)急演練等各層面入手，建立“黨委（黨組）領(lǐng)導(dǎo)、信息中心主導(dǎo)、各方履行主體責(zé)任、主動監(jiān)測和防御”的網(wǎng)絡(luò)安全治理體系。網(wǎng)絡(luò)安全治理體系的建設(shè)是一項系統(tǒng)工作。制定高校網(wǎng)絡(luò)安全治理體系必須結(jié)合《網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級保護2.0標(biāo)準(zhǔn)和上位文件，綜合研究制定適合于高校實際情況的網(wǎng)絡(luò)安全治理體系。

2.2 網(wǎng)絡(luò)安全治理體系框架

本文設(shè)計提出高校網(wǎng)絡(luò)安全治理體系的主要內(nèi)容，從安全策略規(guī)劃、安全管理、技術(shù)體系、風(fēng)險治理、運行運維和治理能力六個維度進行展開，如表1所示。

表1 網(wǎng)絡(luò)安全治理體系

（1）安全策略規(guī)劃。高校網(wǎng)絡(luò)安全工作一定要進行系統(tǒng)性的規(guī)劃，制定相應(yīng)的安全策略。安全策略是指在一個特定的環(huán)境里，為保證提供一定安全級別的安全保護所必須遵守的規(guī)則。先進的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證，嚴(yán)格的安全管理是確保安全策略落實的基礎(chǔ)，嚴(yán)格的法律、法規(guī)是網(wǎng)絡(luò)安全保障的堅強后盾。隨著應(yīng)用環(huán)境的不同、實施客體的不同、指定階段的不同，所使用的安全策略都將有所不同。網(wǎng)絡(luò)安全策略按適用對象可分為：網(wǎng)絡(luò)規(guī)劃安全策略、管理員策略、網(wǎng)絡(luò)用戶安全策略和安全架構(gòu)策略等；從技術(shù)防范層面上又可分為物理安全策略，訪問控制策略，防火墻控制策略、信息加密策略和網(wǎng)絡(luò)安全管理策略。高校在制定網(wǎng)絡(luò)安全策略規(guī)劃時，必須細化這幾種具體的策略，尤其是制定安全架構(gòu)策略至關(guān)重要。

（2）安全管理。網(wǎng)絡(luò)安全管理是指通過有效的安全管理手段保護所管理信息資產(chǎn)系統(tǒng)包括網(wǎng)絡(luò)平臺的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。俗話說，“三分技術(shù)、七分管理”，凸顯網(wǎng)絡(luò)安全管理的重要性。既然提到管理，有效的方式是建章立制，建立完善的安全管理領(lǐng)導(dǎo)組織機構(gòu)，根據(jù)單位業(yè)務(wù)情況并結(jié)合安全管理實際建立安全管理制度、操作流程規(guī)范、記錄表單的安全管理文件體系，并按照安全管理體系要求嚴(yán)格執(zhí)行。首先必須要盤點清楚所管轄范圍內(nèi)的信息資產(chǎn)，信息資產(chǎn)的管理包括關(guān)鍵信息基礎(chǔ)設(shè)施、校園網(wǎng)、一卡通系統(tǒng)、所有的信息系統(tǒng)以及物聯(lián)網(wǎng)設(shè)備等等，信息資產(chǎn)臺賬建立是明確在網(wǎng)內(nèi)網(wǎng)外、不同的網(wǎng)絡(luò)之間運行的情況以及安全防護措施。對所有信息資產(chǎn)必須要參照信息系統(tǒng)等級保護2.0標(biāo)準(zhǔn)進行定級、備案、整改和測評，確保按照等級保護標(biāo)準(zhǔn)進行安全建設(shè)和管理。在安全管理環(huán)節(jié)中，要十分注重技術(shù)隊伍建設(shè)，組織安全培訓(xùn)，組織機房、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用和安全管理人員負(fù)責(zé)信息系統(tǒng)的日常管理工作，加強對業(yè)務(wù)人員和安全管理人員的安全意識和技能的培訓(xùn)。安全管理是一項系統(tǒng)性的工作，是網(wǎng)絡(luò)安全治理的深化、執(zhí)行，加強網(wǎng)絡(luò)安全過程性管理，只有嚴(yán)格的管理措施，只有按照規(guī)范標(biāo)準(zhǔn)進行安全管理，才能減少或者不發(fā)生網(wǎng)絡(luò)安全事故。

（3）技術(shù)體系。技術(shù)體系是網(wǎng)絡(luò)安全工作關(guān)鍵所在，技術(shù)水平?jīng)Q定著網(wǎng)絡(luò)安全水平。網(wǎng)絡(luò)安全技術(shù)體系首先要規(guī)劃設(shè)計好網(wǎng)絡(luò)安全架構(gòu)，以某個單位的網(wǎng)絡(luò)出口為邊界，區(qū)分好外網(wǎng)、內(nèi)網(wǎng)、數(shù)據(jù)中心區(qū)域、用戶終端區(qū)域等不同的安全策略、安全架構(gòu)設(shè)計，基于安全架構(gòu)設(shè)計一套主動防御體系，通過可信計算、安全控制等技術(shù)手段，增強網(wǎng)絡(luò)安全防御上的主動性。在技術(shù)體系環(huán)節(jié)，重點要做好四個方面的安全：物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全。物理和環(huán)境安全機制包括設(shè)施位置的設(shè)計和布局、環(huán)境組件、應(yīng)急響應(yīng)的敏捷性、培訓(xùn)、訪問控制、入侵檢測以及電力和火災(zāi)防范等諸多方面；網(wǎng)絡(luò)和通信安全進一步強調(diào)了對網(wǎng)絡(luò)整體的安全保護，具體包括“網(wǎng)絡(luò)架構(gòu)”、“通信傳輸”、“邊界防護”、“訪問控制”、“入侵防范”、“惡意代碼和垃圾郵件防范”、“通信傳輸”、“安全審計”和“集中管控”，對通信線路和關(guān)鍵網(wǎng)絡(luò)設(shè)備硬件必須達到冗余要求；設(shè)備和計算安全要求提升節(jié)點設(shè)備（網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器和終端等）自身的安全保護能力。通常通過安裝支撐性系統(tǒng)軟件（操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和防護類軟件等）并啟用相關(guān)安全配置來實現(xiàn)。應(yīng)用安全是保障應(yīng)用程序使用過程和結(jié)果的安全；數(shù)據(jù)安全是保障數(shù)據(jù)的可用性、完整性和保密性，再經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。設(shè)計行之有效的技術(shù)防御體系，包括防火墻、入侵檢測/入侵防御系統(tǒng)等設(shè)備采用，從技術(shù)上保障各個維度的安全，是網(wǎng)絡(luò)安全治理工作的關(guān)鍵所在。

（4）風(fēng)險治理。網(wǎng)絡(luò)安全治理的目標(biāo)是要將網(wǎng)絡(luò)安全的被動轉(zhuǎn)化為主動，必須要加強事前管理，其中最重要的是事前風(fēng)險監(jiān)測與評估，提前發(fā)現(xiàn)漏洞，提前升級完善安全措施，才能極大程度上降低安全風(fēng)險。因此，網(wǎng)絡(luò)安全治理要高度重視風(fēng)險監(jiān)測評估，這個環(huán)節(jié)要作為網(wǎng)絡(luò)安全管理過程中的重要工作，在治理過程中予以高度重視。對所有信息資產(chǎn)納入風(fēng)險監(jiān)測評估范疇。風(fēng)險監(jiān)測評估重點要做好信息資產(chǎn)的常態(tài)化安全監(jiān)測和應(yīng)急演練兩個方面的工作。安全監(jiān)測要從漏洞掃描、滲透測試、風(fēng)險評估到態(tài)勢感知，對學(xué)校所有信息資產(chǎn)進行常態(tài)化的運行監(jiān)測，分析漏洞，升級完善補丁措施，加強安全防范措施。定期開展安全事件應(yīng)急處置演練，提高突發(fā)事件的應(yīng)急處置能力。

（5）運行運維。運行和運維期間是網(wǎng)絡(luò)管理的主要生命周期。從網(wǎng)絡(luò)平臺和信息系統(tǒng)建設(shè)之初，要做好建設(shè)安全方案設(shè)計；信息系統(tǒng)在上線運行前要做好嚴(yán)格的安全測試，按照等級保護2.0標(biāo)準(zhǔn)做好定級、備案、整改和測評工作，確保信息系統(tǒng)經(jīng)過嚴(yán)格的安全測試后交付上線運行；在運維期間，要做好物理環(huán)境管理、介質(zhì)、電力等各方面的管理，系統(tǒng)災(zāi)備、數(shù)據(jù)備份與恢復(fù)機制設(shè)計及操作；提升運維期間應(yīng)對安全事件處置的能力。

（6）治理能力。治理能力決定網(wǎng)絡(luò)安全工作取得的成效，治理能力是網(wǎng)絡(luò)安全策略能否順利實施、網(wǎng)絡(luò)安全管理制度能否執(zhí)行、安全目標(biāo)能否達到的關(guān)鍵要素。網(wǎng)絡(luò)安全治理能力是檢驗網(wǎng)絡(luò)安全措施是否得力的直接反映。治理能力包括安全管理是否完成、年度計劃與重點任務(wù)及項目完成情況如何、安全問題整改是否完成、安全管理措施是否嚴(yán)格執(zhí)行、風(fēng)險隱患處置是否迅速及時、安全責(zé)任制落實是否得力等等。

3 網(wǎng)絡(luò)安全治理的主要措施

網(wǎng)絡(luò)安全工作從管理到治理，關(guān)鍵在“治理能力”的建設(shè)。網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)安全策略、規(guī)劃、技術(shù)、實施的一組業(yè)務(wù)職能，包括網(wǎng)絡(luò)安全策略制定、網(wǎng)絡(luò)安全工作計劃、政策、方案、項目、技術(shù)和方法，從而保障網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全從“管”到“治”，本文認(rèn)為網(wǎng)絡(luò)安全治理是網(wǎng)絡(luò)安全管理的一部分，更強調(diào)網(wǎng)絡(luò)安全治理作為網(wǎng)絡(luò)安全管理中的一個核心職能，是對網(wǎng)絡(luò)安全管理行使權(quán)力和控制的活動集合（規(guī)劃、計劃、技術(shù)、實施），指導(dǎo)網(wǎng)絡(luò)安全管理職能如何執(zhí)行，在高層次上執(zhí)行網(wǎng)絡(luò)安全管理制度?！爸巍备鼜娬{(diào)網(wǎng)絡(luò)安全工作的全局性、主動性與執(zhí)行力，重點在于破解網(wǎng)絡(luò)安全管理中的難題，促進網(wǎng)絡(luò)安全工作規(guī)范有序。

3.1 完善網(wǎng)絡(luò)安全規(guī)劃與安全策略

完善網(wǎng)絡(luò)安全規(guī)劃的重點在于完善高校的網(wǎng)絡(luò)安全策略，必須結(jié)合實際情況與形勢的變化，完善網(wǎng)絡(luò)安全管理策略。制定健全的網(wǎng)絡(luò)安全管理策略可以有效降低網(wǎng)絡(luò)安全風(fēng)險。高校面向互聯(lián)網(wǎng)開放和面向校園網(wǎng)開放的網(wǎng)絡(luò)平臺和信息系統(tǒng)多達數(shù)百個，以校園網(wǎng)邊界作為內(nèi)網(wǎng)與外網(wǎng)分割的界面，在邊界上制定合適的安全管理策略極為重要，只有制定了網(wǎng)絡(luò)安全管理策略，網(wǎng)絡(luò)安全管理人員才有可能去控制、減小、降低以及避免一些非法的網(wǎng)絡(luò)行為，盡可能把不安全的因素降到最低；對于師生用戶而言，適應(yīng)學(xué)校網(wǎng)絡(luò)安全管理策略，也有利于網(wǎng)絡(luò)安全管理政策的實施。高校的網(wǎng)絡(luò)安全工作要抓細抓實，不是簡單的部署網(wǎng)絡(luò)安全設(shè)備，一勞永逸，而是要根據(jù)網(wǎng)絡(luò)安全攻擊形勢的變化和學(xué)校網(wǎng)絡(luò)安全運行情況，適時調(diào)整或加強網(wǎng)絡(luò)安全管理策略，以期與當(dāng)前網(wǎng)絡(luò)運行狀態(tài)相適應(yīng)。舉例來說，很多高校在校園網(wǎng)出口部署網(wǎng)絡(luò)防火墻、入侵防御系統(tǒng)、入侵監(jiān)測系統(tǒng)、防毒墻等一系列網(wǎng)絡(luò)安全設(shè)備，各種設(shè)備的運行情況、防護措施、有效性以及整體上與安全策略匹配；還有校園網(wǎng)內(nèi)數(shù)據(jù)中心防火墻、DMZ區(qū)管理等，系統(tǒng)性根據(jù)網(wǎng)絡(luò)安全策略設(shè)計網(wǎng)絡(luò)安全架構(gòu)，加強技術(shù)主動防御體系的建設(shè)，從技術(shù)上防范網(wǎng)絡(luò)安全。在實施網(wǎng)絡(luò)安全策略過程中，要加強對網(wǎng)絡(luò)安全設(shè)備運行情況的研究與分析，特別是網(wǎng)絡(luò)安全日志分析，對于中高危漏洞監(jiān)測修復(fù)、攻擊日志分析，及時調(diào)整網(wǎng)絡(luò)安全策略，才能更好地應(yīng)對網(wǎng)絡(luò)安全攻擊。在制定安全策略后，將網(wǎng)絡(luò)安全工作作為一項系統(tǒng)性工程，做好全域頂層設(shè)計，把主要條塊工作及工作任務(wù)梳理清楚，制定好每年的年度計劃予以推進落實，做好重點任務(wù)實施推進與重點安全項目的管理，籌措經(jīng)費等保障措施到位，使得安全策略規(guī)劃能夠得以實施。

3.2 完善網(wǎng)絡(luò)安全工作體系

完善并逐步建立規(guī)范的網(wǎng)絡(luò)安全體系是加強網(wǎng)絡(luò)安全管理工作的需要，使高校網(wǎng)絡(luò)安全管理能夠形成行之有效的管理體系。做到安全法規(guī)明晰、安全建設(shè)有據(jù)可依、等級保護有標(biāo)準(zhǔn)指導(dǎo)、人員主體責(zé)任明晰，向高效化、科學(xué)化管理模式邁進，進一步提升網(wǎng)絡(luò)安全問題應(yīng)對能力。落實學(xué)校網(wǎng)絡(luò)安全主體責(zé)任、完善網(wǎng)絡(luò)安全監(jiān)督管理體制機制，強化網(wǎng)絡(luò)安全綜合治理格局，健全網(wǎng)絡(luò)安全工作體系。按照誰主管誰負(fù)責(zé)、誰運營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)的原則，落實網(wǎng)絡(luò)安全主體責(zé)任，厘清界面，強化考核，嚴(yán)格責(zé)任追究，確保網(wǎng)絡(luò)安全責(zé)任全覆蓋；落實網(wǎng)絡(luò)安全保護責(zé)任，設(shè)立專門網(wǎng)絡(luò)安全管理及監(jiān)督機制，設(shè)置相應(yīng)崗位，加快各級網(wǎng)絡(luò)安全專業(yè)人員配備，重點部門建立首席網(wǎng)絡(luò)安全員制度。

3.3 加強網(wǎng)絡(luò)安全管理與風(fēng)險治理

加強網(wǎng)絡(luò)安全管理與風(fēng)險治理是網(wǎng)絡(luò)安全管理中的重中之重，需要轉(zhuǎn)變網(wǎng)絡(luò)安全治理視角，把風(fēng)險生成邏輯作為出發(fā)點，積極探索學(xué)校網(wǎng)絡(luò)安全風(fēng)險，努力將風(fēng)險扼殺在“搖籃”中。加強網(wǎng)絡(luò)安全管理需要明確管理人員的崗位職責(zé)，對安全配置、日志保存時間、安全策略、升級與打補丁、口令更新周期等方面作出具體規(guī)定；網(wǎng)絡(luò)設(shè)備的軟件升級由管理人員及時更新，在更新前需對重要文件保存?zhèn)浞?；按照有關(guān)制度定期由管理人員進行系統(tǒng)漏洞掃描，并采取措施及時修補；對設(shè)備的配置實現(xiàn)最小服務(wù)配置，配置文件定期進行離線備份；與外部系統(tǒng)的所有連接需得到授權(quán)和批準(zhǔn)，采取技術(shù)手段控制和禁止非授權(quán)設(shè)備的接入，監(jiān)控違規(guī)外聯(lián)的相關(guān)行為。網(wǎng)絡(luò)安全風(fēng)險治理的目標(biāo)是要將網(wǎng)絡(luò)安全的被動轉(zhuǎn)化為主動，從事后補救轉(zhuǎn)為事前預(yù)判，需要強調(diào)要增強憂患意識，做到居安思危，培養(yǎng)問題意識和風(fēng)險防范意識，加強各部門之間數(shù)據(jù)共享和交流，加強網(wǎng)絡(luò)安全風(fēng)險全流程監(jiān)控。利用現(xiàn)有的技術(shù)手段，對學(xué)校內(nèi)、外網(wǎng)絡(luò)進行不同層次的監(jiān)管，仔細排查和評測學(xué)校網(wǎng)絡(luò)架構(gòu)中存在的風(fēng)險，實時提前升級完善安全措施，降低安全風(fēng)險。

3.4 加強技術(shù)體系建設(shè)

高校網(wǎng)絡(luò)安全技術(shù)體系，需要落實安全技術(shù)相關(guān)控制要求，實現(xiàn)物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)的所有安全控制項，通常采用安全產(chǎn)品加以實現(xiàn)，輔助安全服務(wù)以增強安全控制能力。建立滿足等級保護要求的安全技術(shù)基礎(chǔ)環(huán)境，構(gòu)筑相對完善的物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)的安全防護措施，建立完善的安全管理體系，尤其是形成可落地網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案和安全運維策略體系；具備訪問控制、入侵防范、惡意代碼防范、安全審計、數(shù)據(jù)行為審計、身份鑒別、安全集中管理等安全能力，通過安全設(shè)備的能力去逐一進行實現(xiàn)；通過部署大數(shù)據(jù)分析平臺，集中采集網(wǎng)絡(luò)、主機和業(yè)務(wù)系統(tǒng)的各項日志，為智慧校園夯實數(shù)據(jù)基礎(chǔ)，提升日志審計能力；采購更為全面的安全保障服務(wù)，能夠在遇到網(wǎng)絡(luò)攻擊時積極響應(yīng)，對事件進行及時有效處置，管控安全事件的影響范圍和程度。

3.5 加強治理能力建設(shè)

加強網(wǎng)絡(luò)綜合治理能力，筑牢高校網(wǎng)絡(luò)安全“防火墻”，可以為高校提供可靠的網(wǎng)絡(luò)安全保障和有力的信息化服務(wù)支撐。治理能力建設(shè)的關(guān)鍵點在于嚴(yán)格落實網(wǎng)絡(luò)安全管理制度。學(xué)校要形成抓網(wǎng)絡(luò)安全工作的環(huán)境和氛圍，也要具備敢于通報網(wǎng)絡(luò)安全責(zé)任制落實不力的決心。每年應(yīng)該專門制定網(wǎng)絡(luò)安全工作專項計劃，分年度、季度、月份和周實施，重點推進每月/季度網(wǎng)絡(luò)安全漏掃與監(jiān)測常態(tài)化工作，及時發(fā)現(xiàn)各個網(wǎng)絡(luò)平臺存在的安全隱患，以專項通知單的方式下達各個負(fù)責(zé)單位進行嚴(yán)格落實，加強安全工作的監(jiān)督和校內(nèi)執(zhí)法力度，對不符合安全規(guī)范的信息系統(tǒng)要切實停止網(wǎng)絡(luò)服務(wù)，只有把網(wǎng)絡(luò)安全工作任務(wù)落到實處，治理能力才會凸顯出應(yīng)有的效果。

4 總結(jié)

面對日益復(fù)雜的網(wǎng)絡(luò)空間安全挑戰(zhàn)，如何保障網(wǎng)絡(luò)信息安全，如何提高安全意識，是高校信息化發(fā)展中迫切需要關(guān)注和解決的重要問題。合理構(gòu)建高校網(wǎng)絡(luò)安全治理體系，加強學(xué)校信息化領(lǐng)導(dǎo)力建設(shè)，提升干部教師學(xué)生的網(wǎng)絡(luò)安全素養(yǎng)和安全技能，是實現(xiàn)校園網(wǎng)絡(luò)安全的重要保障和前提。高校的網(wǎng)絡(luò)信息安全需要樹立主動防御、動態(tài)防御、深度防御和綜合治理的理念，做好安全規(guī)劃和安全標(biāo)準(zhǔn)等基礎(chǔ)建設(shè)，構(gòu)建全方位多層次的立體化網(wǎng)絡(luò)安全防御體系，才能有效保障校園網(wǎng)絡(luò)及信息系統(tǒng)的安全。本文從高校網(wǎng)絡(luò)安全問題入手，探索建立一套高校網(wǎng)絡(luò)安全治理體系，加強網(wǎng)絡(luò)綜合治理能力，為高校提供可靠的網(wǎng)絡(luò)安全保障和有力的信息化服務(wù)支撐。

[1]邵云龍.等保2.0對高校網(wǎng)絡(luò)安全提出新要求[J].中國教育網(wǎng)絡(luò)，2019，（7）：50-51.

[2]何占博，王穎，劉軍.我國網(wǎng)絡(luò)安全等級保護現(xiàn)狀與2.0標(biāo)準(zhǔn)體系研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019，38（3）：9-14+19.

[3]陳廣勇，祝國邦，范春玲.《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》（GB/T 28448-2019）標(biāo)準(zhǔn)解讀信息網(wǎng)絡(luò)安全[J]. 2019，19（7）：1-8.

[4]陶源，黃濤，張墨涵，黎水林.網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究及發(fā)展趨勢分析[J].信息網(wǎng)絡(luò)安全，2018，18（8）：79-85.

[5]龔漢明. 高校網(wǎng)絡(luò)安全問題與應(yīng)對研究[J].北京教育（高教版）, 2019（2）：8-12.