网络安全工作要技管并重 管理先行

高校网络安全管理工作应遵循何种原则？网络安全工作的难点是什么?如何进一步完善网络安全管理体系？如何使用户理解并配合学校的网络安全工作?

“2019中国高校信息化主任论坛”上，天津大学信息与网络中心主任刘峰、华南理工大学副首席信息官兼网信办主任陆以勤、电子科技大学信息中心主任侯孟书、西北工业大学信息化建设与管理处处长薛静、清华大学信息化工作办公室副主任刘沐就上述问题，以“网络安全建设”为主题展开了深入讨论，华中科技大学网络与信息化办公室主任于俊清主持了研讨。

左起：刘沐、侯孟书、刘峰、陆以勤、薛静、于俊清

陆以勤：网信部主任是网络空间的“保安队长”

陆以勤华南理工大学副首席信息官兼网信办主任

网络安全工作是不对等的博弈，它有三个“苦”：第一，对方，也就是网络攻击者在暗处，需要我们保护的对象即被攻击者在明处；第二，攻击者是“武装到牙齿”的职业选手，被攻击者是“手无寸铁”的平民；第三，网络攻击在网络空间角度经常是有组织的，如DDoS，而被攻击者通常是个体防御。

然而，网络安全恰恰也给了信息化工作一个机会。如果把网络空间和实体空间做对比，网信部门负责人在网络空间就相当于实体空间“保安队队长”的角色。网信部门负责人可以结合这一重要角色，将信息化和网络安全同步进行，例如，可以以“保安队队长”的身份在信息化项目的流程管理过程中，在处理数据安全的同时，处理好数据共享的问题。

华南理工大学在网信工作方面，建立了信息化和网络安全工作的同步机制，在制度化的同时进行流程化处理。学校所有的信息化项目都由网信办进行流程管理，网信办在审核相关项目时，着重审核网络安全和数据共享两方面，如果达不到这两项要求，就不能上线。这种方式将网络安全和信息化工作“绑定”，让网络安全和信息化成为“一体之两翼、驱动之双轮”，统一部署、统一实施，在解决网络安全问题的同时解决数据共享问题。

刘峰：找准信息资产抓手实施安全管理

刘峰天津大学信息与网络中心主任

由于学院、部处各单位在管理上相对独立，因而内部机制不尽相同，造成了信息资源梳理方面的困境，各系统之间的管理也缺乏一致的流程和规范。

解决这些问题的途径有三：第一，依据政策，将安全管控与学校组织架构相结合；第二，找准信息资产这个抓手，将校园信息资产全生命周期的梳理管控贯彻到底，实现双维度的完美结合；第三，厂校协作，学校与社会融合，搭建安全问题从发现到解决的闭环流程。

天津大学校园网络安全管理体系的建设思路是高占位、建体系、理资产、搭平台，建立信息安全的管理体系、运营体系和技术体系。

侯孟书：网络安全遵循最小化原则

侯孟书电子科技大学信息中心主任

从大的方面说，国家进入新时代，习总书记针对网络安全和信息化发表了一系列讲话，如没有信息化就没有现代化、没有网络安全就没有国家安全等。正如吴建平院士所言，只有真正掌握互联网的核心技术，才能从根本上解决网络安全问题。

关于网络安全，我有三点体会：第一，网络安全要遵循最小化原则；第二，网络安全建设中，人才要素非常重要；第三，网络安全与信息系统的开放性从某种程度上是有矛盾的，如何兼顾开放和安全，需要我们每个人深入思考。

薛静：网络安全工作 痛并快乐着

薛静西北工业大学信息化建设与管理处处长

西北工业大学的网络安全工作围绕三个方面开展。技术上，要让所有的安全问题看得见、防得住；管理上，要定责任、抓落实；人员上，要强意识、建队伍。

当前，网络安全1.0 亟需向网络安全2.0时代发展。2.0 时代应该有人员的实时安全防护，在此基础上，努力将安全工作实时化、主动化。

网络安全工作的重要作用有三个：一是能提升应用系统的建设水平；二是能进一步提升对数据的安全管理；三是可以拉近信息化部门与师生之间的距离，因为师生是网络安全的主要参与者。

网络安全工作责任重大，任务艰巨，但只要大家努力去做，就是痛并快乐着的。

于俊清：网络安全工作七分管理 三分技术

于俊清华中科技大学网络与信息化办公室主任

华中科技大学高度重视网络安全，在国内高校率先成立了网络安全和信息化领导小组，组长由书记和校长担任，分管信息化和宣传工作的校领导任副组长，各职能部门均为成员单位。学校提出并建设了“攻击能防护、问题能追溯”的网络安全防护系统，获批建设湖北省网络安全和信息化创新研究中心。

网络安全为师生，网络安全靠师生；七分管理，三分技术，只有管得住，才能放得开；摸清家底，坚持到底！信息化管理者不仅要懂技术，更要懂管理，要提高政治站位，认真领会国家领导人关于网络安全和信息化工作的重要论述，用理论武装头脑，用理论指导实践，让师生、各职能部门、院系都能够充分享受信息化发展的成果。

刘沐：向内发力 打造信息安全体系

刘沐清华大学信息化工作办公室副主任

高校的信息安全工作应处理好两点：第一，技管并重，管理先行。管理要有更多的责任和担当，为技术的落地穿针引线，铺路搭桥，为技术的实施争取更大的共识，创造更好的舆论环境；第二，内涵式发展。高校应该通过向内发力打造信息化安全体系，全面提升网络安全防护能力。

在网络安全工作中，有许多制度需要执行，执行时应当设身处地为不同人群制定不同的方案。必要时需要适度引导，只有让老师们认同方案，他们才会支持学校的决策。