摘要：隨著信息技術(shù)的飛速發(fā)展和互聯(lián)網(wǎng)的普及，社會各行業(yè)、各領(lǐng)域都在朝著信息化、數(shù)字化的方向發(fā)展，但同時也面臨著諸多網(wǎng)絡(luò)安全問題。在高校領(lǐng)域內(nèi)，同樣也出現(xiàn)過網(wǎng)絡(luò)安全事件，為高校網(wǎng)絡(luò)安全治理敲響了警鐘。普通高校如何按照國家和上級部門的要求，依法治網(wǎng)，高效治網(wǎng)，通過監(jiān)督并管理好學(xué)校網(wǎng)絡(luò)安全，來維持學(xué)校的安全穩(wěn)定，為學(xué)校的教學(xué)和科研保駕護航，同時推動地區(qū)網(wǎng)信事業(yè)進一步發(fā)展，成了高校的重要任務(wù)，值得深入研究。

關(guān)鍵詞：網(wǎng)信事業(yè)；高校信息安全；信息治理

一、引言

為了通過對普通高校網(wǎng)信事業(yè)建設(shè)和安全治理的研究，來進一步提高高校信息化領(lǐng)域的安全治理能力，筆者作為常州市第二十屆社會科學(xué)研究立項課題《網(wǎng)信事業(yè)推動地區(qū)高校安全治理——關(guān)于普通高校網(wǎng)信事業(yè)建設(shè)和安全治理的研究》的負(fù)責(zé)人，于2024年3月組織對常州、鎮(zhèn)江、無錫等地區(qū)的共計24所高校的網(wǎng)信事業(yè)開展了調(diào)查研究，并結(jié)合本人長期從事網(wǎng)信事業(yè)的經(jīng)驗，從多個維度展開研究，提出相應(yīng)的解決方案，以期為普通高校網(wǎng)信事業(yè)的建設(shè)發(fā)展提供參考。

二、普通高校在網(wǎng)絡(luò)安全與信息化治理領(lǐng)域中存在的共性問題和困難

目前，普通高校在網(wǎng)絡(luò)安全與信息化治理領(lǐng)域中存在的共性問題，主要集中在領(lǐng)導(dǎo)責(zé)任制、機構(gòu)人員配置、經(jīng)費保障、信息系統(tǒng)等級保護備案、網(wǎng)絡(luò)安全檢查、應(yīng)急管理、網(wǎng)絡(luò)安全培訓(xùn)與教育等七大方面。表現(xiàn)如下：

第一，學(xué)校內(nèi)部未按照政策要求，建立網(wǎng)絡(luò)安全和信息化委員會及辦公室以及分級網(wǎng)絡(luò)安全責(zé)任制。第二，機構(gòu)人員配置不到位，信息化部門專業(yè)管理人員偏少，網(wǎng)絡(luò)安全專職人員不足。第三，網(wǎng)絡(luò)安全建設(shè)經(jīng)費在信息化建設(shè)總投入中占比縮小。第四，信息系統(tǒng)中未進行定級備案的數(shù)量較多。第五，開展網(wǎng)絡(luò)安全檢查的力度不夠，開展網(wǎng)絡(luò)安全自查的次數(shù)太少，暗鏈和個人隱私信息泄露問題嚴(yán)重。第六，網(wǎng)絡(luò)安全應(yīng)急管理存在問題，應(yīng)急演練次數(shù)太少，難以應(yīng)對重大網(wǎng)絡(luò)安全事件的發(fā)生。第七，網(wǎng)絡(luò)安全培訓(xùn)與教育未落實到位，對教職工的網(wǎng)絡(luò)安全普及教育開展不足，對信息化專業(yè)人員網(wǎng)安培訓(xùn)次數(shù)不夠。

三、解決普通高校網(wǎng)絡(luò)安全與信息化治理共性問題和困難的策略

（一）建立與完善領(lǐng)導(dǎo)責(zé)任制

1.加快從“網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”到“網(wǎng)絡(luò)安全和信息化委員會”過渡的進程

根據(jù)中央印發(fā)的《深化黨和國家機構(gòu)改革方案》要求，高校應(yīng)加快機構(gòu)改革，將“網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”升級為“網(wǎng)絡(luò)安全和信息化委員會”，委員會應(yīng)在黨委的領(lǐng)導(dǎo)下開展工作。有關(guān)“網(wǎng)絡(luò)安全和信息化委員會”的成立文件，應(yīng)以文件的形式進行部門簽發(fā)。委員會的成員要具體到人員。除學(xué)校主要領(lǐng)導(dǎo)擔(dān)任委員長、副委員長外，其他成員可定為校辦主任、信息化建設(shè)處長、教務(wù)處長、財務(wù)處長、各二級學(xué)院院長等。

2.簽訂網(wǎng)絡(luò)安全承諾書

為了加強學(xué)校的總體把控，學(xué)校與各部門應(yīng)簽訂“網(wǎng)絡(luò)安全承諾書”，只有通過承諾書的簽訂，才能讓各部門將網(wǎng)絡(luò)安全工作放在首位；各部門與教職工簽訂“網(wǎng)絡(luò)安全承諾書”，使全體教職工時刻都有網(wǎng)安意識。

（二）加強網(wǎng)信機構(gòu)和隊伍建設(shè)

1.建立嚴(yán)格的責(zé)任追究制度

只有建立責(zé)任追究制度，才能更好地開展網(wǎng)絡(luò)安全保障工作。建立“網(wǎng)絡(luò)安全工作責(zé)任制實施辦法或細則”“網(wǎng)絡(luò)安全責(zé)任制考核制度”兩個制度文件。前者是責(zé)任制的具體落實，后者是責(zé)任制與績效的關(guān)系。兩個制度文件應(yīng)以公文的形式簽發(fā)（包括文頭、文號、印發(fā)單位、責(zé)任制內(nèi)容等）。只有通過這種責(zé)任追究制度，將網(wǎng)絡(luò)安全與負(fù)責(zé)人的績效掛鉤，才能發(fā)揮責(zé)任人的主觀能動性。

2.明確網(wǎng)絡(luò)安全工作機構(gòu)和崗位

通過制度文件明確負(fù)責(zé)本單位的網(wǎng)絡(luò)安全工作的處室及其職責(zé)，并按崗位情況配置網(wǎng)絡(luò)安全專職人員。將高校網(wǎng)絡(luò)安全工作歸屬學(xué)校信息中心、信息化建設(shè)管理處或?qū)W校宣傳部門。關(guān)于網(wǎng)絡(luò)安全專職工作人員，有兩點需要說明：第一，學(xué)校要發(fā)布網(wǎng)絡(luò)安全專業(yè)技術(shù)崗位工作人員認(rèn)定的正式公文；第二，網(wǎng)絡(luò)安全專職工作人員上崗必須有網(wǎng)絡(luò)安全方面的專業(yè)技術(shù)證書，教育部和江蘇省教育廳官方認(rèn)可的證書有兩種：ECSP和CISP。

3.明確網(wǎng)絡(luò)安全工作負(fù)責(zé)人和聯(lián)絡(luò)人

校內(nèi)部門需明確本部門的網(wǎng)絡(luò)安全分管負(fù)責(zé)人和聯(lián)絡(luò)員，明確分工和責(zé)任。哪個部門出現(xiàn)網(wǎng)絡(luò)安全事件，哪個部門的分管負(fù)責(zé)人需要負(fù)主要責(zé)任。學(xué)校向省負(fù)責(zé)，各部門向?qū)W校負(fù)責(zé)，分級管理，分級細化。各部門的聯(lián)絡(luò)員主要負(fù)責(zé)處理學(xué)校日常的有關(guān)網(wǎng)信業(yè)務(wù)信息的傳遞和報送工作，只有明確了聯(lián)絡(luò)員，才會讓網(wǎng)信工作真正做到專人負(fù)責(zé)。

（三）制訂年度計劃，定期召開網(wǎng)絡(luò)安全相關(guān)工作會議

年初，制訂并印發(fā)本單位網(wǎng)絡(luò)安全和信息化委員會的年度工作要點。主要內(nèi)容是本年度單位網(wǎng)信工作的計劃和安排。第一季度，召開一次“網(wǎng)絡(luò)安全工作專題會議”。會議成員由黨組織領(lǐng)導(dǎo)班子主要負(fù)責(zé)人參加，會議的主題必須是網(wǎng)絡(luò)安全，研究落實本年度網(wǎng)信工作的具體計劃和安排。年底，由網(wǎng)絡(luò)安全職能處室總結(jié)網(wǎng)絡(luò)安全工作年度進展情況，形成總結(jié)報告，上報本單位網(wǎng)絡(luò)安全和信息化委員會。

（四）網(wǎng)絡(luò)安全經(jīng)費要保障

根據(jù)中共中央辦公廳《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實施辦法》的要求，各單位制定全年信息化建設(shè)經(jīng)費預(yù)算時，網(wǎng)絡(luò)安全經(jīng)費占比不得低于年度信息化建設(shè)總經(jīng)費的5%[1]。網(wǎng)絡(luò)安全建設(shè)經(jīng)費主要由5部分組成：網(wǎng)絡(luò)安全等級保護備案測評費用、網(wǎng)絡(luò)安全監(jiān)測和檢測評估費用、信息系統(tǒng)安全升級改造和防護加固費用、網(wǎng)絡(luò)安全教育培訓(xùn)費用、網(wǎng)絡(luò)安全事件處置和安全運維費用。如有第三方服務(wù)商的參與，每項建設(shè)項目都應(yīng)有合同和協(xié)議書的支撐。

（五）及時梳理信息資產(chǎn)并加強日常更新管理

高校信息資產(chǎn)梳理刻不容緩，及時關(guān)停一些不必要和不再使用的信息系統(tǒng)，將有限的網(wǎng)信建設(shè)經(jīng)費用于必須使用的信息系統(tǒng)。①定期對全校的信息資產(chǎn)進行排查，關(guān)停“無人運維”“無人負(fù)責(zé)”“無人使用”的三無信息系統(tǒng)。②將正在使用的信息系統(tǒng)或新建的系統(tǒng)，錄入自建的信息資產(chǎn)統(tǒng)計平臺或江蘇省信息資產(chǎn)管理平臺，并指定專人負(fù)責(zé)更新。建議未開展與第三方網(wǎng)絡(luò)安全服務(wù)商簽訂網(wǎng)絡(luò)安全監(jiān)測預(yù)警工作的高校，將校內(nèi)信息系統(tǒng)資產(chǎn)信息，錄入江蘇省信息資產(chǎn)管理平臺?？梢垣@得免費定期檢測信息系統(tǒng)的安全性服務(wù)。

（六）嚴(yán)格落實網(wǎng)絡(luò)安全監(jiān)測預(yù)警和威脅處置工作

1.開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警工作

應(yīng)建立網(wǎng)絡(luò)安全監(jiān)測工作的相關(guān)制度文件，對本單位的信息系統(tǒng)進行監(jiān)測。網(wǎng)絡(luò)安全監(jiān)測預(yù)警工作，可以依靠兩大信息網(wǎng)絡(luò)監(jiān)測平臺和一類服務(wù)外包來實現(xiàn)。第一個平臺是高校信息網(wǎng)絡(luò)安全通報合作單位——由江蘇省教育網(wǎng)信辦建立的“江蘇省教育網(wǎng)絡(luò)和信息安全通報監(jiān)測平臺”。該平臺通過針對各單位上報的信息資產(chǎn)信息，定期進行掃描，發(fā)現(xiàn)安全威脅后，將監(jiān)測結(jié)果發(fā)送至高校。另一個平臺是運營單位——各高校自建的“網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺”，可以采用專業(yè)漏掃設(shè)備，24小時不間斷地對單位內(nèi)的信息系統(tǒng)進行安全掃描，發(fā)現(xiàn)安全威脅，及時進行處置。除了以上兩種專用平臺服務(wù)方式之外，也可以以服務(wù)外包的方式，委托第三方服務(wù)商來進行監(jiān)測預(yù)警，通過簽署合同來展開。

2.及時處置安全漏洞威脅

對于監(jiān)測預(yù)警發(fā)現(xiàn)的威脅，稱其為“安全通報”。對于“安全通報”要及時處理，需要限期完成的，江蘇省委網(wǎng)信辦規(guī)定整改期限為3日（含工作日和非工作日）[2]。通過近幾年各高校發(fā)現(xiàn)和處置的網(wǎng)絡(luò)安全威脅情況來看，安全威脅主要分布在“暗鏈-外鏈”“個人隱私信息泄露”“漏洞-未授權(quán)訪問”等方面。對于這三類威脅中的安全等級為高危的威脅，必須做到當(dāng)日發(fā)現(xiàn)，當(dāng)日解決。

在網(wǎng)絡(luò)與信息安全威脅中，除了上面比較常見的安全威脅外，還有一類比較特殊的安全威脅，稱為0-Day漏洞。漏洞0-Day漏洞是指廠商生產(chǎn)的信息系統(tǒng)或硬件產(chǎn)品已經(jīng)被發(fā)現(xiàn)存在安全漏洞，但生產(chǎn)廠商還未找到有效的解決方案。這時使用含有0-Day漏洞廠商產(chǎn)品的高校，就應(yīng)加強對含有0-Day漏洞的信息系統(tǒng)或硬件產(chǎn)品的訪問控制，通過在防火墻等硬防設(shè)備上，編制訪問控制安全策略，限制不必要的服務(wù)和訪問，進一步壓縮受到威脅的可能。

在建設(shè)信息系統(tǒng)時，漏洞修復(fù)必須寫進合同內(nèi)，注明修復(fù)Bug的規(guī)定時間和修復(fù)費用問題，修復(fù)費用問題可以注明為免費服務(wù)，因系統(tǒng)漏洞是軟件本身的Bug，屬產(chǎn)品質(zhì)量問題，信息系統(tǒng)廠家應(yīng)提供免費解決方案。

（七）加強網(wǎng)絡(luò)安全應(yīng)急管理和事件處置

1.開展網(wǎng)絡(luò)安全應(yīng)急演練

制定或修訂本單位的教育系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期開展應(yīng)急演練，根據(jù)演練情況及時修訂預(yù)案。每年至少要開展三次網(wǎng)絡(luò)安全應(yīng)急演練。應(yīng)急演練內(nèi)容要以文件的形式進行保存，內(nèi)容包括：演練通知、應(yīng)急演練腳本（實施方案）等。演練方式，可采用以下兩種方式：一種是有技術(shù)支撐的單位，自行組織相關(guān)人員，按應(yīng)急預(yù)案進行演練，包括演練腳本的編寫等；另一種是與第三方安全服務(wù)商簽署合同，委托開展本單位的網(wǎng)絡(luò)安全事件應(yīng)急演練。無論哪種方式，都需嚴(yán)格按照應(yīng)急預(yù)案開展。

2.及時處置和上報安全事件

當(dāng)單位發(fā)生重大網(wǎng)絡(luò)安全事件時，應(yīng)根據(jù)《信息技術(shù)安全事件報告與處置流程》進行處置，及時斷開外網(wǎng)連接，第一時間保護現(xiàn)場，并上報江蘇省教育廳網(wǎng)絡(luò)安全和信息化委員會辦公室。對于已發(fā)生的網(wǎng)絡(luò)安全事件，要快速響應(yīng)，科學(xué)處置，將影響降至最低。不得漏報、瞞報、謊報、遲報。

（八）落實信息系統(tǒng)等級保護備案工作

高校都會有諸多信息系統(tǒng)，學(xué)校正是通過這些信息系統(tǒng)的運行，來維持正常的教學(xué)和各種業(yè)務(wù)的展開。信息系統(tǒng)必須完成等級保護備案測評[3]，這是我國網(wǎng)絡(luò)安全法所強制規(guī)定的，是每個單位網(wǎng)信事業(yè)中必須要完成的一項工作。高校中存在的未定級信息系統(tǒng)，都必須通過定級、安全測評、整改、再測評、上線等一系列操作流程，獲得公安部門出具的信息系統(tǒng)安全等級保護備案證明，從法律層面，獲得國家安全許可。定級為二級，每兩年進行一次等保測評；三級，則每年進行一次等保測評。等保測評報告的關(guān)鍵頁要注意保留。

（九）加大網(wǎng)絡(luò)安全檢查的力度

網(wǎng)絡(luò)安全檢查也稱“開展網(wǎng)絡(luò)安全自查”。全年必須開展3次以上的網(wǎng)絡(luò)安全檢查工作，由學(xué)校網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)主持，責(zé)任部門具體實施，梳理和排查全校的網(wǎng)絡(luò)數(shù)量及安全隱患，包括基礎(chǔ)網(wǎng)絡(luò)、信息系統(tǒng)等的實際情況，統(tǒng)計出單位的網(wǎng)絡(luò)等級測評數(shù)量、網(wǎng)絡(luò)安全建議整改數(shù)量，以及各級網(wǎng)絡(luò)存在的安全隱患等。

除了教育系統(tǒng)規(guī)定的自查工作之外，地區(qū)公安也會提出自查工作的要求，要認(rèn)真開展公安組織的自查，并填寫自查情況表。根據(jù)自查結(jié)果，書寫網(wǎng)絡(luò)安全自查總結(jié)報告，以文件的形式進行存檔備案。

（十）組織開展宣傳教育培訓(xùn)

1.開展在職人員網(wǎng)絡(luò)安全培訓(xùn)

為加強教職工的網(wǎng)絡(luò)安全防護意識和技能，高校每年都應(yīng)開展網(wǎng)絡(luò)安全專題講座或?qū)I(yè)培訓(xùn)等集中學(xué)習(xí)。年度開展教育培訓(xùn)不得少于3次，每次人均不少于4個學(xué)時（半天），培訓(xùn)結(jié)束發(fā)放學(xué)習(xí)證書。學(xué)習(xí)證書與績效、職稱晉升等掛鉤。通過這一舉措，提高單位全體人員的網(wǎng)絡(luò)安全防護意識。

2.開展信息化專業(yè)人員網(wǎng)絡(luò)安全培訓(xùn)

為提高專業(yè)技術(shù)人員的技術(shù)水平和業(yè)務(wù)能力，應(yīng)對信息化管理人員和技術(shù)人員開展網(wǎng)絡(luò)安全培訓(xùn)，年度開展不少于3次，每次人均接受網(wǎng)絡(luò)安全培訓(xùn)時間不得少于8個學(xué)時（一天）。在培訓(xùn)方式上，可針對實際情況，采取線上或線下方式，所有培訓(xùn)資料均需要存檔，備查。

（十一）落實國家重要時期的網(wǎng)絡(luò)安全保障工作

國家重要時期是指對國家生產(chǎn)和人民生活比較重要的時期，這些時期一旦出現(xiàn)網(wǎng)絡(luò)安全事件，會造成非常嚴(yán)重的后果。這些重要時間節(jié)點，包括每年的元旦假期、春節(jié)假期、等時間段；還包括國家重要活動時間段，例如：我國舉辦的運動會、世界領(lǐng)導(dǎo)人峰會。在這些重要時期，特別做好網(wǎng)絡(luò)安全保障工作，嚴(yán)格落實相關(guān)工作要求，執(zhí)行24小時值班制度，并按需調(diào)整防護策略，對重要時期無業(yè)務(wù)加載、無專人運維的信息系統(tǒng)采取訪問控制的措施，使網(wǎng)絡(luò)安全風(fēng)險降至最低。

四、結(jié)束語

通過對常州、無錫、鎮(zhèn)江等地區(qū)24所普通高校的信息化部門網(wǎng)信事業(yè)的調(diào)研分析，總結(jié)歸納了對該區(qū)域普通高校網(wǎng)信事業(yè)目前已存在的共性問題，并結(jié)合國家和江蘇省下達的政策和指導(dǎo)性文件，以及課題組成員的從業(yè)經(jīng)驗，提出了現(xiàn)階段可行的、有建設(shè)意義的解決措施與實施對策。

作者單位：顧留鎖 建東職業(yè)技術(shù)學(xué)院智能制造與計算機學(xué)院

參考文獻

[1]中共中央辦公廳.黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實施辦法.2017-09-15.

[2]江蘇省教育廳. 關(guān)于印發(fā)《江蘇省教育系統(tǒng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的通知：蘇教信 〔2018〕 4號. 2018-12-24.

[3]全國人民代表大會常務(wù)委員會.中華人民共和國網(wǎng)絡(luò)安全法.2016-11-07.