摘要：目前，網(wǎng)絡(luò)已進(jìn)入高速發(fā)展時期，高校作為教學(xué)科研機(jī)構(gòu)，處處需要使用網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)應(yīng)用的深入，各種信息系統(tǒng)不斷加入，不可避免地會產(chǎn)生各種網(wǎng)絡(luò)安全和信息化方面的問題，嚴(yán)重影響高校的網(wǎng)絡(luò)安全防護(hù)體系。這就需要對高校的網(wǎng)絡(luò)事業(yè)現(xiàn)狀進(jìn)行深入研究，及時發(fā)現(xiàn)現(xiàn)階段存在的問題，為應(yīng)對措施的提出奠定基礎(chǔ)和方向。

關(guān)鍵詞：普通高校；網(wǎng)信事業(yè)；網(wǎng)絡(luò)安全；現(xiàn)狀分析

一、引言

為了能夠針對性地提升高校信息化領(lǐng)域的安全治理能力，本人作為常州市社會科學(xué)研究立項課題《網(wǎng)信事業(yè)推動地區(qū)高校安全治理——關(guān)于普通高校網(wǎng)信事業(yè)建設(shè)和安全治理的研究》的負(fù)責(zé)人，于2024年3月，組織了對常州、鎮(zhèn)江、無錫等地的24所高校，開展關(guān)于網(wǎng)信事業(yè)五大方面11個項目的調(diào)查研究，采集了大量的寶貴數(shù)據(jù)，并以這些第一手調(diào)查數(shù)據(jù)為樣本進(jìn)行分析，歸納和總結(jié)出目前蘇南地區(qū)普通高校在網(wǎng)絡(luò)安全與信息化治理領(lǐng)域中，已取得的成績和存在的問題和困難，為進(jìn)一步解決普通高校網(wǎng)信事業(yè)建設(shè)和安全治理的共性問題的研究做好了鋪墊，指明了方向。

二、蘇南地區(qū)普通高校網(wǎng)信事業(yè)建設(shè)和安全治理目前取得的成績

自從2017年有關(guān)信息化安全方面的法律相繼出臺后，很多高校都加快了網(wǎng)絡(luò)安全與信息化方面的建設(shè)步伐，并取得了一定的成績。主要集中表現(xiàn)在以下三個方面：

（一）成立了獨(dú)立的信息化建設(shè)管理職能部門

信息化建設(shè)管理部門，在高校的機(jī)構(gòu)設(shè)置中不可或缺。調(diào)查數(shù)據(jù)顯示，被調(diào)研的大多數(shù)高校在2020年前均已成立了獨(dú)立的信息化建設(shè)管理部門，占比79.17%；至2023年時，這一數(shù)據(jù)達(dá)到了95.83%；至2024年時，這一數(shù)據(jù)達(dá)到了100%。由此可見，江蘇省普通高校在獨(dú)立設(shè)置信息化管理職能處室，加快學(xué)校網(wǎng)信事業(yè)建設(shè)步伐方面，認(rèn)識比較到位并在不斷加強(qiáng)。

（二）進(jìn)一步落實(shí)了網(wǎng)絡(luò)安全監(jiān)測預(yù)警工作的部署

江蘇省內(nèi)，向高校信息系統(tǒng)網(wǎng)絡(luò)安全提供監(jiān)測預(yù)警服務(wù)的，大致可以分為兩類：一類是以我國教育部和江蘇省教育廳為主導(dǎo)、以各校上報的信息資產(chǎn)條目為監(jiān)測對象的定期滲透測試和監(jiān)測預(yù)警，這種方式是免費(fèi)提供的；另一類是各高校主動聯(lián)系第三方網(wǎng)絡(luò)安全服務(wù)商，簽訂網(wǎng)絡(luò)安全監(jiān)測預(yù)警合同，開展24小時不間斷的安全監(jiān)測服務(wù)，從而保證學(xué)校的各類信息系統(tǒng)和內(nèi)部網(wǎng)絡(luò)的安全性。

調(diào)查數(shù)據(jù)顯示，主動與第三方網(wǎng)絡(luò)安全服務(wù)商簽訂網(wǎng)絡(luò)安全監(jiān)測預(yù)警服務(wù)的高校，占比達(dá)到了87.5%。這充分說明了江蘇省，特別是蘇南地區(qū)的高校，在網(wǎng)絡(luò)監(jiān)測預(yù)警這一方面，網(wǎng)絡(luò)安全防御狀態(tài)已由傳統(tǒng)的被動防御升級為主動防御的模式，從而更好地保證信息資產(chǎn)的穩(wěn)定性和安全性。

（三）嚴(yán)格落實(shí)了國家重要時期的網(wǎng)絡(luò)安全保障工作

國家重要時期，是指國家在進(jìn)行重大活動時的時間段[1]，例如：傳統(tǒng)節(jié)日、政治會議、大型教育活動和體育活動等。在國家重要時期，根據(jù)中共江蘇省委網(wǎng)絡(luò)與信息安全委員會、江蘇省教育廳網(wǎng)絡(luò)與信息安全委員會、江蘇省公安廳網(wǎng)安總隊的要求，各高校均需加強(qiáng)自身的網(wǎng)絡(luò)安全管理工作，做好網(wǎng)絡(luò)安全保障。

調(diào)查數(shù)據(jù)顯示，各高校在國家重要時期，均開展了網(wǎng)絡(luò)安全保障工作，并且采取了多種保障措施。87.5%的高校采用“限制訪問校內(nèi)資源”來達(dá)到保護(hù)目的；83.33%的高校采取了“關(guān)停不必要的系統(tǒng)”這一類保護(hù)措施；75%的高校有“專職人員24小時值班”。此外，根據(jù)學(xué)校自身的實(shí)際情況，有80%以上的高校同時選擇了“限制訪問校內(nèi)資源”和“關(guān)停不必要的系統(tǒng)”；有75%的高校，同時采取了“限制訪問校內(nèi)資源”、“關(guān)停不必要的系統(tǒng)”和“專職人員24小時值班”三種保護(hù)措施。

三、高校網(wǎng)信事業(yè)現(xiàn)階段存在的問題和困難

（一）領(lǐng)導(dǎo)責(zé)任制的建立有待完善

1.未按政策要求，及時建立網(wǎng)絡(luò)安全和信息化委員會及辦公室

2018年3月，中共中央印發(fā)《深化黨和國家機(jī)構(gòu)改革方案》，將中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組改為中央網(wǎng)絡(luò)安全和信息化委員會。高校的網(wǎng)信事業(yè)管理，也應(yīng)及時根據(jù)政策要求，建立和更新校級網(wǎng)絡(luò)安全和信息化管理機(jī)構(gòu)，從而加強(qiáng)和完善網(wǎng)絡(luò)安全方面的管理職能。

但調(diào)查數(shù)據(jù)顯示，只有4.17%的高校，建立了網(wǎng)絡(luò)安全與信息化委員會及其管理辦公室；95.83%的高校，未及時建立和更新網(wǎng)信管理機(jī)構(gòu)，其網(wǎng)信管理機(jī)構(gòu)仍為網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組。

2.學(xué)校內(nèi)部未建立分級網(wǎng)絡(luò)安全責(zé)任制

為了加強(qiáng)學(xué)校內(nèi)部網(wǎng)絡(luò)安全責(zé)任方面的總體把控，學(xué)校與各職級處室之間、各處室與內(nèi)部教職員工之間，都需要簽訂網(wǎng)絡(luò)安全責(zé)任書或者網(wǎng)絡(luò)安全承諾書。

但調(diào)查數(shù)據(jù)顯示，大多數(shù)高校均未落實(shí)分級網(wǎng)絡(luò)安全責(zé)任制，內(nèi)部管理較松散，網(wǎng)絡(luò)安全責(zé)任未落實(shí)到下級職能部門和全體教職員工，網(wǎng)絡(luò)安全意識未深入到每一位教職工之中，給網(wǎng)絡(luò)安全埋下了一定的安全隱患。

（二）機(jī)構(gòu)人員配置不到位

1.信息化部門專業(yè)管理人員偏少

高校的現(xiàn)代化發(fā)展之路，離不開現(xiàn)代信息技術(shù)的應(yīng)用，而信息技術(shù)的應(yīng)用也離不開信息化專業(yè)管理人員。因此，高校管理信息化的專業(yè)人員按比例配置必不可缺。

但調(diào)查數(shù)據(jù)顯示，信息化部門專業(yè)人員少于5人的高校，達(dá)到了33.33%；在5～10人之間的，有37.5%；在11～20人之間的，有20.83%；大于20人的高校，僅占8.33%。信息化部門中專業(yè)管理人員少于10人的高校，竟占到了70.83%的比例。

2.網(wǎng)絡(luò)安全專職人員不足

高校在進(jìn)行現(xiàn)代化的管理過程中，會采取多種先進(jìn)的教學(xué)技術(shù)和管理方法，從而引進(jìn)各種教學(xué)和管理的應(yīng)用系統(tǒng)。各種系統(tǒng)在使用過程中，其聯(lián)網(wǎng)特性不可避免地會引發(fā)一些網(wǎng)絡(luò)安全問題，這就需要網(wǎng)絡(luò)安全專業(yè)技術(shù)人員進(jìn)行處理。

但調(diào)查數(shù)據(jù)顯示，未配置專職網(wǎng)絡(luò)安全管理人員，由其他人員兼任的高校，達(dá)到了12.5%；配備小于3人的網(wǎng)絡(luò)安全專職人員的高校，占比75%; 配置3～5名網(wǎng)絡(luò)安全專職人員的高校，占比只有12.5%。這一數(shù)據(jù)說明，有87.5%高校只配備了少于3人的專職網(wǎng)絡(luò)安全技術(shù)人員或兼職網(wǎng)絡(luò)管理人員。

由此可見，大部分高校在網(wǎng)絡(luò)安全方面，還沒有引起足夠的重視。雖然減少網(wǎng)絡(luò)安全技術(shù)人員的配置，在一定程度上可以節(jié)省部分經(jīng)費(fèi)，但同時，也會帶來更多網(wǎng)絡(luò)安全事件發(fā)生的可能性。

（三）網(wǎng)絡(luò)安全建設(shè)經(jīng)費(fèi)在信息化建設(shè)總投入中占比縮小

高校信息化建設(shè)總投入，包含網(wǎng)絡(luò)安全建設(shè)經(jīng)費(fèi)和學(xué)校進(jìn)行信息化方面相關(guān)建設(shè)和維護(hù)費(fèi)用。根據(jù)中共中央辦公廳發(fā)布的文件《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》、江蘇省教育廳機(jī)要文件《黨委領(lǐng)導(dǎo)下的網(wǎng)絡(luò)安全責(zé)任制》的要求，省內(nèi)高校網(wǎng)絡(luò)安全建設(shè)經(jīng)費(fèi)占比不得低于學(xué)校信息化建設(shè)總投入費(fèi)用的5%。[1]

但調(diào)查數(shù)據(jù)顯示，在網(wǎng)絡(luò)安全建設(shè)經(jīng)費(fèi)方面，投入低于10萬元的高校，2023年占比25%，2024年占比45.83%。數(shù)據(jù)顯示，一些被調(diào)研高校的網(wǎng)絡(luò)安全建設(shè)經(jīng)費(fèi)正在減少，投入低于10萬元的高校明顯增多。

調(diào)查數(shù)據(jù)還顯示，在信息化建設(shè)總投入方面，2023年，投入低于100萬元的高校占比為54.17%，投入在100萬-200萬之間的高校占比為16.67%；低于200萬元的高校，總占比為70.84%。2024年，投入低于100萬元的高校占比為45.83%，投入在100萬～200萬元之間的高校占比上升至25%；低于200萬元的高校，總占比為70.83%。數(shù)據(jù)顯示， 2024年信息化建設(shè)總投入低于200萬元的高校占比基本與2023年持平，但學(xué)校投入有小幅增長的趨勢。

以上數(shù)據(jù)分析顯示，在2024年相比2023的信息化建設(shè)總投入未有大幅改變的前期下，網(wǎng)絡(luò)安全建設(shè)經(jīng)費(fèi)低于10萬元的高校，由2023年的占比25%，上升至2024年的45.83%。說明三地高校在2024年的網(wǎng)絡(luò)安全建設(shè)經(jīng)費(fèi)投入總體不足，有明顯的縮水現(xiàn)象發(fā)生。

網(wǎng)信事業(yè)的開展離不開經(jīng)費(fèi)的支持。學(xué)校網(wǎng)絡(luò)安全建設(shè)經(jīng)費(fèi)的不足，會直接增大引發(fā)網(wǎng)絡(luò)安全威脅事件發(fā)生的可能性，不利于高校開展網(wǎng)絡(luò)安全與信息化管理工作的開展。

（四）信息系統(tǒng)中未進(jìn)行定級備案的數(shù)量較多

在高校中，為了更好地開展教學(xué)和管理工作，都會上線多種應(yīng)用信息系統(tǒng)。按《中華人民共和國網(wǎng)絡(luò)安全法》《信息系統(tǒng)等級保護(hù)備案2.0》，以及教育部出臺的相關(guān)文件的要求，信息系統(tǒng)在上線之前，都要進(jìn)行強(qiáng)制定級備案，做好等保工作，才能上線運(yùn)行[2]。

調(diào)查數(shù)據(jù)顯示，未定級備案的信息系統(tǒng)大于15個的高校，占比達(dá)到了100%。這說明在被調(diào)研的所有高校中，都存在著大量的未進(jìn)行定級備案的信息系統(tǒng)，并且這些信息系統(tǒng)都處于運(yùn)行狀態(tài)。信息系統(tǒng)定級備案，必須每2年進(jìn)行一次，學(xué)校存在這么多未定級備案的系統(tǒng)，對各校日常的正常教學(xué)和管理，構(gòu)成了嚴(yán)峻的挑戰(zhàn)。

（五）高校開展網(wǎng)絡(luò)安全檢查的力度不夠

1.學(xué)校全年開展網(wǎng)絡(luò)安全自查的次數(shù)太少

網(wǎng)絡(luò)安全的保障，重在提前發(fā)現(xiàn)問題，而不是發(fā)生安全事件后的處理。這就要求我們重在安全隱患的排查，及時發(fā)現(xiàn)安全漏洞，及時進(jìn)行漏洞修復(fù)。但調(diào)查數(shù)據(jù)顯示，全年開展網(wǎng)絡(luò)安全自查次數(shù)少于3次的高校，占比75%；開展3～5次的高校，占比8.33%；開展6～10次的高校，占比4.17%；開展多于10次的，占比12.5%。從這些數(shù)據(jù)中可以發(fā)現(xiàn)，全年開展網(wǎng)絡(luò)安全自查次數(shù)，超過6次的高校，僅占16.67%。網(wǎng)絡(luò)安全自查次數(shù)的減少，將導(dǎo)致高校無法及時發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)中的安全威脅，發(fā)生網(wǎng)絡(luò)安全事件的可能性也將隨之增加。

2.暗鏈和個人隱私信息泄露問題日益嚴(yán)重

暗鏈，是指在網(wǎng)頁中看不見的網(wǎng)站鏈接。在網(wǎng)絡(luò)安全領(lǐng)域，一般指服務(wù)器的網(wǎng)站系統(tǒng)被非法篡改，指向未知外部頁面。暗鏈有一定的隱蔽性，不易被人察覺。

個人隱私信息泄露，主要分為兩類：一類是被動信息泄露，指個人計算機(jī)感染病毒和木馬軟件造成個人信息的泄露；或者是攻擊者利用網(wǎng)站漏洞入侵保存?zhèn)€人信息的數(shù)據(jù)庫，造成個人信息泄露。另一類是主動信息泄露，指信息發(fā)布部門，在網(wǎng)站上發(fā)布有關(guān)個人隱私信息的文章時，未對關(guān)鍵信息進(jìn)行脫敏處理，造成個人身份信息的泄露。從被調(diào)研的高校發(fā)現(xiàn)，近兩年，從江蘇省教育廳和教育部網(wǎng)信部門進(jìn)行安全通報的數(shù)據(jù)來看，有83.33%的高校發(fā)生過暗鏈安全威脅，暗鏈問題已經(jīng)非常嚴(yán)重；有66.67%的高校發(fā)生過個人隱私信息泄露，存在主動和被動泄露問題。

（六）網(wǎng)絡(luò)安全應(yīng)急管理存在重大問題

1.重大網(wǎng)絡(luò)安全事件的發(fā)生

根據(jù)網(wǎng)絡(luò)信息安全事件的分級考慮要素，網(wǎng)絡(luò)信息安全事件可劃分為四個級別：特別重大事件、重大事件、較大事件和一般事件[3]。根據(jù)本次調(diào)研數(shù)據(jù)發(fā)現(xiàn)，近3年，被調(diào)研的高校中，發(fā)生重大網(wǎng)絡(luò)安全事件的占比為4.17%；未發(fā)生的占比為95.83%。這一數(shù)據(jù)表明，重大網(wǎng)絡(luò)安全事件離我們并不遙遠(yuǎn)，現(xiàn)在未發(fā)生的，并不表示將來不會發(fā)生。

2.網(wǎng)絡(luò)安全應(yīng)急演練次數(shù)太少

網(wǎng)絡(luò)安全事件誰都不愿意發(fā)生，要想網(wǎng)絡(luò)安全事件發(fā)生的影響程序控制在最低點(diǎn)，只有通過熟練掌握網(wǎng)絡(luò)安全事件的處置流程才有可能解決。必須不斷進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練，來達(dá)到這一目標(biāo)。

調(diào)查數(shù)據(jù)顯示，被調(diào)研高校在網(wǎng)絡(luò)安全應(yīng)急處置方面較為薄弱，每年開展少于3次網(wǎng)絡(luò)安全應(yīng)急演練的高校，占比達(dá)到了83.33%；每年演練達(dá)3～5次的高校，占比8.33%；每年演練達(dá)6—10次的高校，占比僅4.17%；多于10次的高校，占比為0%。由此可見，被調(diào)研高校中，有83.33%的高校全年僅開展了1～2次的網(wǎng)絡(luò)安全應(yīng)急演練。

（七）網(wǎng)絡(luò)安全培訓(xùn)與教育未落實(shí)到位

1.針對全體教職工的網(wǎng)絡(luò)安全普及教育開展不足

只有普及教職員工的網(wǎng)絡(luò)安全技能，增強(qiáng)他們的網(wǎng)絡(luò)安全意識，才能保障高校的網(wǎng)絡(luò)安全健康發(fā)展。因此，必須開展針對全體教職工的網(wǎng)絡(luò)安全專題培訓(xùn)。

調(diào)查數(shù)據(jù)顯示，被調(diào)研高校中，有4.17%的高校未開展針對全體教職工的網(wǎng)絡(luò)安全培訓(xùn)；開展少于3次的高校，占比70.83%；開展3～5次的，占比為20.83%；開展6～10次的，占比僅有4.17%。從以上數(shù)據(jù)可知，在這些被調(diào)研的高校里，未開展和僅進(jìn)行1～2次全體教職工網(wǎng)安普及教育的，占比達(dá)75%，這說明現(xiàn)階段，在高校內(nèi)針對全體教職工的網(wǎng)絡(luò)安全普及教育開展不足，落實(shí)不到位。

2.信息化專業(yè)人員網(wǎng)安培訓(xùn)次數(shù)不夠

信息化專業(yè)技術(shù)人員，是開展高校網(wǎng)絡(luò)安全和信息化工作的主要保障力量之一。只有通過不斷地繼續(xù)教育和深入學(xué)習(xí)，才能更好地保障高校信息化教學(xué)與管理活動的正常開展。

調(diào)查數(shù)據(jù)顯示，被調(diào)研高校中，全年進(jìn)行信息化專業(yè)人員網(wǎng)絡(luò)安全培訓(xùn)的少于3次的高校，占比達(dá)75%；開展3～5次的高校，占比為16.67%；開展6～10次的高校，占比僅8.33%。全年開展3次以上信息化專業(yè)人員網(wǎng)安培訓(xùn)的高校，僅占比25%。通過這些數(shù)據(jù)不難發(fā)現(xiàn)，大部分高校，對信息化專業(yè)技術(shù)人員的繼續(xù)教育不夠重視。

四、結(jié)束語

本文通過對常州、無錫、鎮(zhèn)江等蘇南地區(qū)的24所普通高校，展開針對網(wǎng)信事業(yè)方面的調(diào)查研究，在領(lǐng)導(dǎo)責(zé)任制的建立與完善、機(jī)構(gòu)和隊伍建設(shè)、工作研究部署、安全經(jīng)費(fèi)、信息資產(chǎn)管理、安全威脅監(jiān)測預(yù)警、應(yīng)急管理、等級保護(hù)工作、網(wǎng)絡(luò)安全檢查、宣傳教育培訓(xùn)、重要時期網(wǎng)絡(luò)安全保障等方面，采集了大量有效的第一手?jǐn)?shù)據(jù)，通過梳理、歸納、分析，從而總結(jié)出普通高校網(wǎng)信事業(yè)建設(shè)和安全治理方面的現(xiàn)狀和存在的共性問題。通過這些共性問題的提出，為后續(xù)進(jìn)一步提出針對性的解決策略來提高普通高校信息化領(lǐng)域的安全治理能力奠定了基礎(chǔ)和方向，對江蘇省乃至全國的普通高校發(fā)展網(wǎng)信事業(yè)，有很好的參考價值。

作者單位：顧留鎖 建東職業(yè)技術(shù)學(xué)院智能制造與計算機(jī)學(xué)院

參考文獻(xiàn)

[1]中共中央辦公廳. 黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法.2017-09-15.

[2]中華人民共和國教育部. 關(guān)于印發(fā)《教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南（試行）》的通知：教技廳函〔2014〕74號.2014-10-27.

[3]江蘇省教育廳. 關(guān)于印發(fā)《江蘇省教育系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的通知：蘇教信〔2018〕4號. 2018-12-24.