摘要：隨著網(wǎng)絡技術的發(fā)展，高校面臨的網(wǎng)絡環(huán)境越來越復雜多變，網(wǎng)絡安全形勢越來越嚴峻。本文在分析高校網(wǎng)絡發(fā)展現(xiàn)狀和存在問題的基礎上，提出通過引入風險管控的理念和方法，構建體現(xiàn)主動防御、動態(tài)防御的網(wǎng)絡安全防控機制的策略，以促進高校網(wǎng)絡的安全運行和發(fā)展。

關鍵詞：風險管控；網(wǎng)絡安全；體系建立；防控機制

隨著人工智能、云計算、大數(shù)據(jù)等網(wǎng)絡技術的飛速發(fā)展，高校面臨的網(wǎng)絡環(huán)境越發(fā)多變，網(wǎng)絡安全形勢也越來越復雜嚴峻，隨著風險管控理念和方法在越來越多行業(yè)的推廣應用，給網(wǎng)絡安全治理提供了新的思路和方向，即網(wǎng)絡安全防控由被動防御向主動防御轉變。

一、高校網(wǎng)絡發(fā)展現(xiàn)狀

（一）已經(jīng)建立了網(wǎng)絡安全管理體系

目前，多數(shù)高校已經(jīng)建立了三級工作體制的網(wǎng)絡安全管理體系，其管理機構包含三個層級，即網(wǎng)絡管理領導組、網(wǎng)絡管理職能部門、各網(wǎng)絡信息系統(tǒng)管理單位[1]。網(wǎng)絡管理領導組負責網(wǎng)絡運營和發(fā)展的宏觀管理；網(wǎng)絡管理職能部門負責網(wǎng)絡基礎設施的建設、運行、維護和安全管理工作；各職能部處、二級學院為各信息系統(tǒng)的管理單位。

（二）網(wǎng)絡服務水平顯著提升

隨著智慧校園的提出和規(guī)劃，許多高校對校園網(wǎng)進行了改造和提升，網(wǎng)絡基礎設施得到了科學規(guī)劃和統(tǒng)一實施。統(tǒng)一門戶平臺、教務系統(tǒng)、科研系統(tǒng)、一卡通平臺、數(shù)據(jù)中心已逐步建成，越來越多的信息系統(tǒng)對互聯(lián)網(wǎng)開放，為辦公和教學管理的信息化提供了有力保障和支持。

在安全防護方面，多數(shù)高校已經(jīng)在基礎網(wǎng)絡設施層面部署了很多安全設備和軟件，如數(shù)據(jù)中心WEB應用防火墻、出口防火墻、入侵防御系統(tǒng)等，不斷完善安全防護措施；通過部署主機安全防護系統(tǒng)和安全配置核查系統(tǒng)，不斷增強主機安全防護能力；通過VPN 限制訪問范圍、建立HTTPS 協(xié)議加密訪問、使用統(tǒng)一身份認證和雙因素認證訪問相結合的方式，使應用防護能力得到了明顯提升。

二、 高校網(wǎng)絡安全發(fā)展存在問題分析

（一）網(wǎng)絡安全意識薄弱

1.決策層領導網(wǎng)絡安全意識薄弱

很多高校領導的網(wǎng)絡安全意識薄弱，存在重建設、輕管理的現(xiàn)象，認為只要保證網(wǎng)絡正常運行、網(wǎng)站功能能夠?qū)崿F(xiàn)即可；同時，缺乏對網(wǎng)絡安全風險、安全隱患進行主動防御的意識；此外，對網(wǎng)絡管理的投入不足，如崗位人員配備和經(jīng)費投入不足，設備得不到及時更換，最新的防護軟件、系統(tǒng)得不到及時配備。

2.師生網(wǎng)絡安全意識薄弱

很多師生的網(wǎng)絡安全意識薄弱，沒有安全風險意識，對網(wǎng)絡的安全防范不足[2]。不明網(wǎng)絡鏈接、惡意電子郵件鏈接等導致的信息泄露、病毒傳播、重要數(shù)據(jù)泄露時有發(fā)生，網(wǎng)絡詐騙等網(wǎng)絡安全事件層出不窮。

（二）網(wǎng)絡安全管理體系不完善

多數(shù)高校建立了安全管理體系，但體系不完善。一方面，雖然設立了三級網(wǎng)絡管理機構，但安全主體責任不明確，或沒有嚴格落實。如各職能部處、二級學院所負責的信息系統(tǒng)或網(wǎng)站，沒有設立明確的分管領導、安全聯(lián)絡員、系統(tǒng)運維負責人，導致職責不清，出了問題互相推諉。另一方面，保障體系運行的管理制度不完善或未有效落實，如沒有建立關于動態(tài)防護、應急響應的相關制度，雖然制定了制度，但制度沒有得到較好的落實。

（三）網(wǎng)絡安全技術的應用與技術防護能力存在不足

許多高校對網(wǎng)絡安全防護技術的應用缺乏重視，雖然在基礎網(wǎng)絡設施層面部署了很多安全設備和軟件，但沒有形成一個整體的技術防護體系，安全設備和軟件得不到有效運用，多數(shù)高校對新技術的引進、運用不及時，新技術的研發(fā)投入不足。同時，高校普遍存在網(wǎng)絡技術人員短缺及既有技術人員水平參差不齊的現(xiàn)象[2]，導致高校網(wǎng)絡安全的整體防護能力不足。

（四）網(wǎng)絡運營維護面臨嚴峻挑戰(zhàn)，管理有待智能化

隨著網(wǎng)絡新技術的發(fā)展和智慧校園的建設，校園內(nèi)普遍建設有多媒體教室、智慧教室、數(shù)字化專用教室等信息化應用場所，同時，各類管理、教學等信息應用系統(tǒng)不斷健全，安全設備、網(wǎng)絡節(jié)點、終端等設備數(shù)量不斷增多，對網(wǎng)絡運營維護工作提出了更高的要求，運營維護工作日益繁重，同時面臨新的挑戰(zhàn)。在傳統(tǒng)的運營維護管理模式下，當系統(tǒng)出現(xiàn)故障時被動采取措施進行修復，網(wǎng)絡管理部門缺乏對安全問題的實時反饋能力。隨著網(wǎng)絡規(guī)模的不斷擴大，這種模式已經(jīng)無法適應網(wǎng)絡安全運行的實際需要，運營維護手段有待提升，需建設一個系統(tǒng)的、智能化的運營維護管理系統(tǒng)。

三、引入風險管控理念——把風險管控作為網(wǎng)絡安全管理的重要方法和手段

十八大以來，黨中央、國務院對安全監(jiān)管工作提出許多新理念、新方法，其中就包括風險管控的理念。

（一）風險管控的相關概念

風險：指某一特定危害事件發(fā)生的可能性和后果的組合，具有不確定性。

危險源：是指可能導致事故發(fā)生的根源、狀態(tài)或行為及其組合。危險源包含兩類，第一類是指可能發(fā)生意外的能量或有害物質(zhì)，第二類是指包括人的不安全行為、物的不安全狀態(tài)及管理上的缺陷等。

隱患：是“現(xiàn)實型”危險源，即第二類危險源。

風險分級管控：對危險源的風險進行管理，并按照風險嚴重程度，確定不同的管控層級。風險越大，管控級別越高。

隱患排查治理：指對存在的隱患進行排查并治理。

（二）風險管控的管理理念

風險管控指對工作中各環(huán)節(jié)可能存在的風險進行全面辨識，對所辨識出的風險進行分析、評價，并根據(jù)風險程度高低進行風險分級，然后按照分級情況，制定相應的風險防控措施并予以落實，最終達到事故防控的目的。從風險防范和管理的角度，安全管理就是要建立“三道防線”，第一道防線是管控風險，對識別出的風險進行分級，通過采取措施使風險降低或處于可控范圍；第二道防線是隱患排查治理。當管控措施失效或弱化后，風險轉變成隱患，必須及時進行隱患排查并整改，以避免和防范事故的發(fā)生；第三道防線是事故應急救援，一旦風險管控和隱患排查治理均失效或突發(fā)偶然事件導致事故發(fā)生，就要迅速展開事故應急救援與處置，以最大程度地減少事故傷害程度和影響范圍。風險分級管控、隱患排查治理、事故應急救援共同構成了安全風險管理體系。

（三）風險管控契合最新網(wǎng)絡安全等級保護制度的核心要義

風險管控強調(diào)安全管理關口前移、注重源頭治理，即從事故后處理前移到事前安全風險管控，是改善和提升安全管理水平的有效途徑。2019年5月出臺的《網(wǎng)絡安全等級保護制度2.0標準》（以下簡稱“等保2.0標準”）明確了系統(tǒng)防護要由主動防御替代被動防御。而風險管控強調(diào)的事前把控、注重源頭治理，就是體現(xiàn)了主動防御的思想，契合“等保2.0標準”的核心要義。

目前，風險管控的方法和機制已經(jīng)廣泛應用于礦山、危險化學品、建筑施工、電力等行業(yè)，在提升安全管理水平方面效果顯著。因此，高校可以引入風險管控的理念，將風險管控作為網(wǎng)絡安全管理的重要方法和手段。

四、構建網(wǎng)絡安全防控機制

高校網(wǎng)絡安全防控應引入風險管控的理念和方法，以風險管控為出發(fā)點，結合“等保2.0標準”的要求，將需求和目標（網(wǎng)絡安全）作為輸入，通過必要的行動和過程（體系運行和能力保障），達到滿足需求和目標的結果（網(wǎng)絡安全），得到預期的輸出。通過對行動和過程（體系運行和能力保障），以及結果（網(wǎng)絡安全）的監(jiān)測、檢驗及反饋，并根據(jù)監(jiān)測、檢驗、反饋的結果對行動和過程（體系運行和能力保障）不斷持續(xù)改進和強化，使得網(wǎng)絡安全管理工作形成閉環(huán)，構建體現(xiàn)主動防御、動態(tài)防御的網(wǎng)絡安全防控機制。如圖1所示。

構建機制首先要在全校師生中構建風險管控的理念，其次在風險管控理念的指導下進行防控體系的構建，同時打造或提升保證體系有效運行的能力，然后通過建立科學的工作方法和流程來保證機制的有效運行。

（一）構建風險管控理念

當前，網(wǎng)絡安全已經(jīng)成為我國社會如何更好走向未來的必要基礎性、前提性、戰(zhàn)略性的問題。高校的領導層對網(wǎng)絡安全要有全局意識、戰(zhàn)略意識，要高度重視網(wǎng)絡安全工作，樹立或提升網(wǎng)絡安全意識、風險意識，引入風險管控的思維，改變原來重建設、輕管理的思維和做法，對網(wǎng)絡安全工作做好頂層設計和統(tǒng)籌規(guī)劃，強化網(wǎng)絡安全風險防范和治理。

同時，要通過宣傳教育、培訓、知識競賽等多種形式增強師生、員工的網(wǎng)絡安全意識、風險意識，強化其對風險管控知識、方法等的了解和掌握，從而在全校師生中樹立風險管控的理念。

（二）構建防控體系

機制的有效運行要靠良好的體系來支撐，要建立或完善安全管理、技術防護、運營維護三大體系。

1.重構或完善安全管理體系

首先，按照風險管控理念，從組織、管理、技術的角度對現(xiàn)有網(wǎng)絡安全管理組織結構進行重新梳理，要把風險管理嵌入組織的管理過程，要認識到風險管理不是孤立存在的，而是組織管理過程的重要組成部分。同時，形成包含決策、管理、應用三個層次的完善的管理機構。其次，本著明確管理范圍和內(nèi)容的原則，按照“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，落實主體責任[5]，并建立相應的管理制度。

決策層：校級層面的網(wǎng)絡安全領導組，統(tǒng)籌網(wǎng)絡安全管理工作，按照風險管理支持決策過程的原則，所有決策都應考慮風險和風險管理，研究制定網(wǎng)絡安全戰(zhàn)略、規(guī)劃、決策，組織推進網(wǎng)絡安全的整體工作。

管理層：作為執(zhí)行機構，網(wǎng)絡管理職能部門要完善系統(tǒng)運營各崗位人員的配置，負責基礎設施和校級平臺的網(wǎng)絡安全，為決策層制定策略提供技術支撐和決策建議，為二級單位提供技術支持，配合決策層，組織、協(xié)助各網(wǎng)絡應用單位開展風險監(jiān)測、識別、管控工作。

應用層：各二級單位負責本單位網(wǎng)絡安全工作，承擔安全責任，獨立或協(xié)助、配合職能部門開展所負責系統(tǒng)的風險監(jiān)測、識別、管控工作。各單位要建立網(wǎng)絡安全領導組，設立分管領導、安全聯(lián)絡員、系統(tǒng)的具體負責人，形成逐級管理的責任機制。

安全管理體系要以風險管控管理要求為基礎，針對網(wǎng)絡運行和業(yè)務管理的主要過程和工作，對各工作環(huán)節(jié)進行管控，保證管理體系的有效運轉。

2.構建或完善技術防護體系

網(wǎng)絡技術的飛速發(fā)展為網(wǎng)絡安全風險管控工作提供了更多的技術手段和方法。按照風險管控理念，技術防護體系構建或完善要體現(xiàn)主動防御思維，按照“一個中心、三重防護”的思想，即建設安全管理中心，做好計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡的防護[3]，基于規(guī)劃好的網(wǎng)絡安全架構進行設計，引入或采用先進的技術手段，增強網(wǎng)絡安全防御工作的主動性[4]。

針對物理和環(huán)境防護安全，要對設施位置的布局進行優(yōu)化，在防雷、防水、防潮及電力和火災等方面重點加強風險防范。

針對網(wǎng)絡和通信安全，包括通信傳輸、邊界防護、訪問控制、入侵防范、安全審計和集中管控等，要通過部署相應的防火墻、威脅分析系統(tǒng)、監(jiān)督審計系統(tǒng)或采用更為先進的技術手段，提高風險監(jiān)測和防范能力。

針對設備和計算安全，通過安裝先進的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和防護類軟件等，并啟用相關安全配置實現(xiàn)提升網(wǎng)絡設備、安全設備、服務器和終端節(jié)點等設備自身的安全保護能力。

針對應用和數(shù)據(jù)安全，通過VPN 限制訪問范圍、進行定期安全掃描及整改、建立HTTPS 協(xié)議加密訪問、使用統(tǒng)一身份認證及雙因素認證機制等，增強風險防范能力。

3.優(yōu)化或完善運營維護體系

運營維護人員要本著查找、監(jiān)測、管控風險的思維開展工作。為了提高運營維護工作的質(zhì)量和效果，可通過搭建網(wǎng)絡動態(tài)拓撲圖，建立網(wǎng)絡實時監(jiān)測系統(tǒng)、安全態(tài)勢感知系統(tǒng)等，構建完善的智能化運營維護體系。

（1）搭建網(wǎng)絡動態(tài)拓撲圖

可以借助先進的網(wǎng)絡管理軟件，搭建精準的校園網(wǎng)絡實時動態(tài)拓撲圖。通過網(wǎng)絡動態(tài)拓撲圖，可清晰了解網(wǎng)絡架構，助力提升運營維護的及時性和效率。通過網(wǎng)絡拓撲展現(xiàn)功能，可快速掌握被監(jiān)控資源的配置和運行狀況，并可進行多角度的統(tǒng)計和分析，提升風險監(jiān)測和管控能力。

（2）構建網(wǎng)絡實時監(jiān)測系統(tǒng)

結合網(wǎng)絡動態(tài)拓撲圖，以機房環(huán)境監(jiān)測主機構建實時監(jiān)測系統(tǒng)，通過技術手段24小時監(jiān)測機房環(huán)境、全網(wǎng)節(jié)點設備、服務器狀態(tài)，出現(xiàn)超預警值、設備異常等風險情況，立即向運維人員發(fā)送通知，及時排除故障并修復。

（3）建立安全態(tài)勢感知系統(tǒng)

利用大數(shù)據(jù)態(tài)勢感知技術建立安全態(tài)勢感知系統(tǒng)。通過對流量和日志的監(jiān)控，利用相應的技術或模型分析其中的關聯(lián)，判斷網(wǎng)絡安全事件發(fā)展的趨勢和發(fā)生的概率，并提前做好防御預案，從而對風險做到提前預判與主動防御。

（三）保障能力

能力是體系、機制有效運行的保障，對應于安全管理、技術防護、運營維護三大體系，要努力打造或提升安全管控能力、技術防護能力、運營維護能力。

1.安全管控能力

首先，按照風險管控的理念，遵循“全員參與、全程控制、全方位覆蓋”原則，各崗位人員，包括管理人員、技術人員、運營維護人員、網(wǎng)絡使用人員等，都要通過學習或培訓，不斷強化風險識別能力。專業(yè)技術人員和運營維護人員還要通過學習風險管控、隱患排查的方法和技術，不斷提升風險管控和隱患排查治理的

能力。

其次，要加強應急管理和保障能力。應急管理要以落實和完善應急預案為基礎，以應急演練為推進力量。演練之后要進行反思、整改，吸取教訓，總結經(jīng)驗，從而不斷提升安全應急管理和保障能力。

2.技術防護能力

一方面，通過充實或強化技術力量提升技術防護能力。可以招聘網(wǎng)絡安全專業(yè)畢業(yè)生，同時，加大對原有技術人員的培訓力度，以提升技術團隊的整體實力。另一方面，進行新技術的引入或研發(fā)，強化重點能力的突破，如網(wǎng)絡安全態(tài)勢感知能力，對威脅的識別、理解和分析能力等。

3.運營維護能力

首先，要按照崗位要求足額配備運營維護人員。在日常工作中，要借助培訓不斷提升人員的專業(yè)能力。同時，可以招募優(yōu)秀的網(wǎng)絡專業(yè)在校生成為網(wǎng)絡安全志愿者，參與校園網(wǎng)絡運營維護工作，充實運營維護力量。

其次，要注重實操演練。可以通過定期進行滲透測試服務、安全測試服務等演練[5]，不斷提升或強化運營維護人員在風險識別和防范方面的實戰(zhàn)能力。

（四）建立風險管控工作機制

1. 崗位和工作環(huán)境風險管控

網(wǎng)絡安全管理要摒棄“網(wǎng)絡安全只是網(wǎng)絡管理部門的責任”的思想，通過全員參與，構筑管控源頭風險、消除事故隱患的安全防線。

不論是決策層、管理層，還是各二級單位應用層，從師生到員工的相關人員，在開展崗位工作之前，都要首先進行崗位和工作環(huán)境風險辨識及隱患排查，如查找是否存在網(wǎng)絡安全風險、安全隱患。在有效管控風險、消除隱患的前提下才能開始具體的工作。在工作中，一旦發(fā)現(xiàn)風險，要第一時間進行處理，在確保風險可控或消除風險后方可繼續(xù)開展工作。

師生、員工等在運用網(wǎng)絡開展工作時，要能夠識別工作場所或工作環(huán)境中的風險和隱患，特別是要規(guī)避使用網(wǎng)絡過程中的不安全行為。對于自己不能控制或處理的風險及隱患，要第一時間報告本部門網(wǎng)絡安全領導組或?qū)W校網(wǎng)絡管理職能部門。部門網(wǎng)絡安全領導組或?qū)W校網(wǎng)絡管理職能部門接到報告后要第一時間進行

處理。

2.定期開展系統(tǒng)的網(wǎng)絡安全風險辨識評估工作

決策層領導組可以每半年在全校范圍內(nèi)組織開展一次網(wǎng)絡安全風險辨識評估工作，重點對容易導致較大網(wǎng)絡安全事故的危險因素開展安全風險辨識，確定重大風險內(nèi)容，組織編制網(wǎng)絡安全風險辨識評估報告和重大安全風險管控方案，并將辨識評估結果應用于下一步網(wǎng)絡安全工作的實際開展。

網(wǎng)絡管理職能部門和相關業(yè)務部門可以按季度或月度定期開展一次轄內(nèi)網(wǎng)絡系統(tǒng)的安全風險辨識評估工作，根據(jù)辨識評估結果進行分級管控，包括對管控措施的制定、跟蹤落實及改進，并按照辨識評估結果布置下一步本部門網(wǎng)絡安全風險管控重點。

3.風險管控實施流程

不論是崗位及工作環(huán)境風險管控，還是系統(tǒng)的網(wǎng)絡安全風險辨識評估，均可參照以下風險管控實施流程。首先要明確責任。風險辨識人員根據(jù)相關制度辨識風險，風險辨識后按照重大風險、較大風險、一般風險、較低風險進行分級。其次，根據(jù)各風險點風險管控的要求，創(chuàng)建管控任務，形成風險監(jiān)視清單，制定相應的措施并落實責任人，以確保對風險管控措施的落實到位。如果由于各種原因，某些措施失效或未落實而形成隱患，需通過隱患排查治理，確保失效或未落實的措施重新起作用。如果管控風險和隱患排查治理均失效或突發(fā)偶然性事件導致網(wǎng)絡事故發(fā)生，要迅速展開事故應急救援與處置。即按照“控制風險，治理隱患”原則，持續(xù)改進，實現(xiàn)閉環(huán)管理。具體實施流程如圖2所示。

五、 保障防控機制運行的其他關鍵環(huán)節(jié)

（一）注重體系、部門的聯(lián)動

機制運行必須體現(xiàn)系統(tǒng)原理。安全管理體系、技術防護體系、運維體系要摒棄獨立運行的思維，形成聯(lián)動機制，即在對風險的監(jiān)測、管控過程中，既要發(fā)揮人員專業(yè)能力，又要充分利用先進的技術和智能化監(jiān)測手段。例如，對于風險的監(jiān)測，既可以通過運營維護人員人工監(jiān)測，也可以通過智能系統(tǒng)進行監(jiān)測。各部門、單位資料要及時更新，有關網(wǎng)絡運行、安全的相關數(shù)據(jù)和信息要及時共享，為風險辨識、管控提供支撐。

（二）注重機制運行的閉環(huán)管理

安全風險是一個動態(tài)的過程，需要不斷進行風險評估和管控措施的更新和完善。所以，機制運行要注重運行過程、問題和對結果的實時反饋，要根據(jù)反饋情況對各個體系的運行和能力的保障效果進行檢驗，不斷優(yōu)化體系運行并提升能力。如此循環(huán)往復，形成閉環(huán)管理，將閉環(huán)管理與網(wǎng)絡日常工作相結合，以查風險、查隱患、抓治理、遏事故為主線，不斷提升網(wǎng)絡安全管理水平。

六、結束語

面對日益復雜的網(wǎng)絡安全挑戰(zhàn)，高校應以風險管控為核心理念，以管控風險為出發(fā)點，結合互聯(lián)網(wǎng)新技術、新方法等構建完善的安全管理、技術防護、運營維護等三大體系，在網(wǎng)絡運行管理中不斷打造或提升安全管控、技術防護、運營維護等三方面的能力，從而構建體現(xiàn)主動防御、動態(tài)防御的網(wǎng)絡安全防控機制。機制的構建與有效運行需要多個機構或部門協(xié)調(diào)合作、聯(lián)防聯(lián)動，需要人員、技術等多維度、多層面的保障，并且在實踐中需要不斷總結經(jīng)驗，持續(xù)改進，才能推動高校網(wǎng)絡的穩(wěn)定、健康運行。

作者單位：陸生堂 山西大同大學商學院

參考文獻

[1]朱圣才.高校網(wǎng)絡安全建設的探索與思考[J].電腦與電信，2020，（02）：49-53.

[2]周立志，朱尚明.高校網(wǎng)絡信息安全體系建設實踐和思考[J].深圳大學學報，2020，（37）：73-77.

[3]陳瑛，王曉霞，于春生，等.高校網(wǎng)絡安全管理和技術支撐體系的構建研究[J].北京聯(lián)合大學學報，2021，（02）：53-57.

[4]魏楚元，任彥龍，李欣.高校網(wǎng)絡安全治理體系構建研究[J].網(wǎng)絡安全技術與應用，2021，（01）：96-98.

[5]孔垂煜.等保2.0下高校網(wǎng)絡安全主動防御體系建設方向探析[J].湖南科技學院學報，2021，（02）：66-68.