○刘雪婷,雷军程
(1.邵阳学院 政法学院,湖南 邵阳 422000;2.邵阳学院 网络信息中心,湖南 邵阳 422000)
2017年6月1日起,《中华人民共和国网络安全法》(下文简称《网络安全法》)正式颁布执行。制定《网络安全法》的宗旨是为了“保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”[1]。本法实施至今已有一年多时间,对我国网络安全治理起到了非常重要的作用。其间,有一些单位没能做到认真学习本法,加强网络安全保护,也为自己的“懈怠”付出了惨痛的代价。2017年10月,国家网络与信息安全中心监控发现某职业技术学院系统存在高危漏洞。经过现场勘验和调查,确认该校招生信息管理系统存在越权漏洞,后台登录密码弱口令,学院未落实网络安全管理制度,未建立网络安全防护技术措施,网络日志留存少于六个月,未采取数据分类、重要数据备份和加密措施,致使系统存储的4千多名学生的身份信息泄露。该市公安局网安支队依法传唤学院分管网络信息安全工作的院长、网络中心主任及相关工作人员进行调查,确认该学校因未落实网络安全等级保护制度造成数据泄露,依法对该校处以立即整改和行政警告的处罚措施。[2]2017年8月,安徽某县教师进修学校网站因网络安全防护等级保护制度落实不到位,遭遇黑客攻击入侵,未履行网络安全保护义务,该校被依法处以一万五千元罚款,对负有直接责任的副校长处以五千元的罚款。[3]这些案例的发生,暴露了我国高校的信息化建设存在的一些严重问题:高校的管理者和师生网络安全意识淡薄,法律意识淡薄,学校缺乏依法进行信息建设的顶层设计,缺乏统一部署和统一管理。《网络安全法》的颁布实施是高校信息化建设的机遇,如何在《网络安全法》框架下更好地完成高校信息化,实现信息化与教学深度融合这一目标,是未来一段时间必须解决的关键问题。
对于高校信息化建设中的网络安全,目前存在两种片面性观点。一种观点片面放大网络安全对信息化建设的“制约”作用,认为网络安全会额外增加不必要的资金和人力投入,延长项目建设周期,学校因此会错过信息化发展的有利时机。另一种观点则认为,网络安全如此重要,信息系统存在被攻击、被破坏的潜在风险,为了避免因安全保护不到位被上级或主管部门追责,我们应该暂停信息化建设甚至撤销已建项目。这两种观点都将安全与发展对立起来,只是片面地考虑到一部分情况,并将之放大到整体当中。如果将教育信息化比作一个“人”字,安全与发展就如同“人”的左右两撇,两方面互相支撑才能保证教育信息化有序、平稳、健康地发展。
《网络安全法》第三条为:“国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。”[1]从此条可以看出,在高校信息化建设中,对于安全与发展应当兼顾并重,协调平衡,既要确保网络的安全性,也不能阻碍到信息化的建设发展,不能采用将某一部分拆分出来单独解决这种“头痛医头脚痛医脚”的简单粗暴式问题应对方法。
对于信息系统定级保护,虽然相关法规条例的出台实施已有二十余年,目前在高校信息化建设中仍存在着两种错误观点。一种是心存侥幸,不少高校认为本校网络规模小,信息系统数量少,出现网络安全问题的概率小,信息系统等级保护需要做,但目前学校没有这样的人才,也缺乏相关的经费,可以先等一等看其他学校怎么做。另一种是消极对待,不能正确对待信息系统网络安全等级评定。按照规定,保护等级越高,保护的投入和成本越高,三级系统每一年要测评一次,二级系统每两年测评一次,而一级系统则只需定级不用测评。因此有些学校定级不严格执行标准,宁可降一级不愿意高一级,对信息系统和网络安全保护建设“同步设计,同步建设,同步投入”的要求有所抵触。产生这两类错误观点的根本原因,在于对网络安全重要性的理解过少,对因网络安全保护不力可能对社会、经济产生的巨大危害缺乏足够的认识。
《网络安全法》第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。具体措施有:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施。[1]
从1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》确立了信息系统定级保护制度开始(第九条,计算机信息系统实行安全等级保护),1999年出台了《计算机信息系统安全保护等级划分准则》将信息系统进行了准确定级,2007年由四部委联合下发《信息安全等级保护管理办法》,明确了对于信息系统等级保护制度的具体管理,陆续出台的各项信息系统等级保护的标准和办法,无一不表明着信息系统定级保护(《网络安全法》称为网络安全等级保护制度)的重要性,而《网络安全法》再次强调了这一制度,并以第二十一条全条的形式完整详细地进行了规范,可见这一制度的重要程度。对于高校信息化建设的决策者和实施者们来说,必须认识到实行这一制度的必要性和重要性,提高认识,改变认知,加强重视,在信息化建设中积极建设、完成、完善,全面落实这一制度。
想要做好网络信息安全防护,加强管理和技术投入缺一不可。制度是搞好网络安全管理的基础,也是实现网络安全目标的保障,技术则是实现目标的手段。《网络安全法》中多处条款都对制度建设和技术防护做了详细的规定[1],如第二十九条“有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估”,第四十条“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”,第四十九条“网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报”[1]。又如第二十一条,强调了必须履行”采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施”的义务。
制度确定了规范、目标、途径,有了切实可行的制度才能确保信息系统安全保护有章可循,不至于出现大的纰漏,有行动的方向和目标。要搞好高校信息化建设,建立起自身的相应制度势在必行。
而由于信息技术的发展,信息系统的规模、影响范围已经与网络普及之初发生了翻天覆地的变化,今天的信息安全保障单纯靠人的手动检查已经无法完成,唯有借助防火墙、入侵检测、数据加密、访问控制等传统安全技术以及人工智能、大数据分析等新型技术手段才能达到理想的效果。每年的信息泄露事件层出不穷,大多是技术的陈旧落后所导致,而事件一旦发生,影响很难消除。因此,对于技术力量不可不重视,不能仍停留在过去的观念里,认为技术只是简单的辅助手段,起不了什么大作用,而不愿意对技术的更新升级换代进行投入,更不能认为技术的投入花费较大而“能用就先用着”,到出了大问题才想起弥补。
党的十八届四中全会提出了科学立法、严格执法、公正司法、全民守法的“新十六字”法制建设方针。《网络安全法》作为网络安全领域的综合性法律,为我们依法处理网络安全问题提供了重要的法律依据。学校开展信息化建设必须符合网络安全法的规定,否则就会违法,要接受法律的处罚。因此,要根据国家网络安全相关政策、标准,结合高校教育信息化的需要,制定高校信息化建设总体目标、原则与要求,将依法建设贯穿信息化建设的全过程。
守法的第一步是学法。《网络安全法》2017年6月才正式颁布,很多人还不了解这部法律的内容甚至还不清楚我国已出台了这样一部法律。因此,需要领导干部带头学习,并对全校的师生开展《网络安全法》宣传和普法教育。只有人人都学法懂法,才能将网络安全意识根植于心,人人都成为法律执行的监督者,才能确保学校的信息化工作依法顺利开展。而建立和完善信息化建设相关的规章制度,可以确保高校在法律的框架下进行信息化建设。如在信息化建设立项、招标前,邀请法律专家对项目进行审核,以保证项目流程依法顺利进行。
1.健全组织机构,明确责任分工,落实安全责任。
目前,为了加强信息化建设,各高校都成立了信息化领导小组,并由学校的校领导担任组长。随着网络安全问题的日益突出,许多高校也适时成立了网络安全领导小组。习近平同志在中央网络安全和信息化领导小组第一次工作会议上指出,“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全”[5],为提高行政效能,高校可将原有的信息化领导小组和网络安全领导小组合并,成立网络安全和信息化领导小组,以更好地制定工作规范,明确各成员的职责。而领导小组应当依照法律法规和工作规范切实开展工作,避免成为虚有其表的“空壳”机构。
2.完善信息系统与网络安全管理制度
(1)信息化项目管理制度。完善和修订信息化项目管理制度,对照相关法律条文,从项目立项开始,对项目的审核、审批、招标、实施、运营维护、退出的每个阶段制定相应的操作和管理规范。例如,完善信息系统和网络安全保护建设“同步设计,同步建设,同步投入”(参照“三同时”制度)的具体要求和实施办法;采购的关键网络安全产品须符合法律的相关规定等。(2)信息系统运行管理制度。按照“谁主管,谁负责,谁建设,谁管理”的原则明确信息系统运行管理的权责利。强化信息系统运行的信息安全保护,从服务器系统防漏洞、病毒木马检测、备份和还原、数据保护、数据库安全审计等环节进行规范。(3)用户信息管理制度。收集用户信息要取得用户同意予以授权,用户的敏感信息更要妥善保存,公开信息时涉及用户隐私的要脱敏处理。(4)信息安全保障制度。制定完备的网络安全应急处理预案,网络病毒和安全漏洞检测制度、信息与网络安全管理办法等一系列规章制度以加强网络安全监测、病毒防护,应急演练等方面的安全防护。
3.强化信息系统与网络安全监督检查
(1)加强网络安全监督检查,依托教育部、教育厅和校本级的安全管理中心的三级监控体系,对学校网站和信息系统进行实时监测,监测内容包括系统漏洞、网站注入漏洞、网站挂马、隐私信息泄露等。对监测到的安全问题,及时通报、处置和反馈。(2)加强网络安全巡检:定期对信息系统和网络设备做安全巡检,查杀病毒木马,更新系统补丁,封堵系统漏洞;及时根据网络安全组织和上级单位发布的安全预警信息检测校内是否存在网络安全隐患;加强密码安全管理,杜绝重要系统的弱口令和空口令的发生。[6](3)建立新信息系统准入机制:新建系统上线前,必须通过严格的安全检测,一旦发现存在安全隐患,在完成整改之前不得投入运行。
习近平同志在“4·19”网络安全和信息化工作座谈会上提到“核心技术受制于人是我们最大的隐患”[7],今年的中美贸易争端更为我们敲响了警钟。市场换不来核心技术,核心技术必须靠自己研发、发展,积极主动地使用自主生产、自主知识产权的技术和产品是重要基础。信息系统及其配套的网络安全系统的国产化是一件利大于弊的事情。目前,国产的交换机、路由器、服务器的性能质量已经可以满足信息化建设的需要,其市场占有率逐年提高。在进行网络安全与信息化建设时,应优先选用符合要求的安全可控的国产产品、技术和服务,对早期投入建设的非国产的设备和服务进行替换。
信息化建设对解决我国教育发展面临的问题具有重大意义,信息技术能够助力教与学,突破时空限制,使扩大优质教育资源覆盖面变得更为快捷方便。而利用信息化手段改造传统课堂,对提高教育质量、改善教育供给、培养创新人才具有明显的促进作用。要“安全”还是要“发展”,并不是横亘在决策者面前的二选一难题。发展是有网络安全保障护航的发展,安全是发展的支撑和保障,没有安全的保障,当危机发生时,发展取得成果将不复存在。高校管理者应在《网络安全法》等相关法律的框架下,依法开展信息化建设,加强制度建设,强化监督和检查,加大技术和基础设施投入,确保信息化建设安全有效地进行融合型发展。