文 /王宇 王佳楠 赵佳鑫 吴炜鑫
网络安全保障体系作为智慧校园建设体系的重要组成部分,是保障高校网络运行安全和网络信息安全,确保高校信息化基础软硬件环境和应用信息系统安全、稳定、有序运行的基础保证。推进高校智慧校园网络安全保障体系建设也是整体上系统化提升高校网络安全工作水平的重要切入点。
智慧校园网络安全保障体系建设应依据国家和教育行业网络安全保障要求,结合高校信息化工作的特点和具体的安全需求,建设符合网络安全等级保护和关键信息基础设施要求、覆盖高校信息化建设各领域、贯穿信息系统等信息资产全生命周期的网络安全一体化防护体系,支持高校信息化应用系统稳定运行,保障高校网络环境可控、隐私信息保护、数据信息安全,有力支撑高校网络空间安全治理要求。
图1 智慧校园系统层次逻辑
智慧校园网络安全保障体系建设应遵循紧密协同、同步建设、综合防范、动态调整、持续投入、合法合规的原则,参考网络安全保障相关法律法规及标准规范,基于信息系统生命周期从组织、管理和技术等方面构建高校网络安全保障体系。网络安全保障体系建设要将规划立项、系统建设(开发采购、实施交付)、运行维护和系统废弃四个阶段的信息系统生命周期贯穿始终,同时需要从组织体系、管理体系和技术体系全方位协调配合和推进。
高校网络安全工作普遍存在以下共性问题和短板,如何推进网络安全保障体系建设,如何找到网络安全工作开展的立足点,是智慧校园建设中无法回避的问题。
1.信息化统筹管理和建设基础薄弱。信息化管理、技术、业务部门间的沟通协作、合作共赢的关系有待建立,业务系统建设和应用走在整体信息化环境建设前面,不断涌现的师生信息化应用需求持续增加网络安全风险。
2.信息资产全生命周期管理滞后。网站和信息系统梳理不足,缺乏校级管理制度和流程,域名、互联网IP地址、信息服务等管控力度不足,跟不上信息化发展和网络安全管控要求。
3.网络安全工作仍处于初级阶段。网络安全工作侧重漏洞信息和安全事件的应急处置和整改监督,事前预警和管控、网站和信息系统上线检测和持续监控都有待加强。
4.网络安全主动性工作羁绊掣肘。学校网络安全团队技术能力不足,缺乏专业团队支撑,技术部门责任担当不够,配套整体统筹环境不清晰,管控推进力度不足。
智慧校园网络安全保障体系建设是解决高校网络安全工作存在问题和短板的有效途径,但是由于其内容囊括组织、制度到技术领域,与高校信息化建设的组织和管理模式密切相关,无法在短期内一蹴而就,需要找到强有力的政策抓手来持续指导和推动体系建设。
国家明确要求高校推进网络安全等级保护建设,切实做好网络安全等级保护工作正好可以成为推进智慧校园网络安全保障体系建设的切入点和指挥棒,摆脱前期“合规为主”思想,通过等保定级、备案、测评、整改等一系列闭环管理和技术要求,真实推进网络安全治理体系的初始建立和优化提升。建议方案路径包括:
1.等保建设全局观确立。通过等保定级、备案、测评、加固和整改等来建设网络安全管控体制。等保测评整改是包括在定级备案的基础上开展的等保测评服务、系统加固服务、整改设备采购与部署、管理制度和流程建议、信息资产梳理等系列工作,是推进网络安全治理体系建立的抓手,也将切实推进学校网络安全保障体系从组织到管理、技术等各个环节的建立和加强。
2.前期准备工作
(1)网络安全管理和技术支撑部门整合或利益共担机制确立,让管理和技术形成合力,高效率推进网络安全相关工作。
(2)信息化建设整体规划提供指导,从顶层设计上对组织协调、管理制度、人员配备等进行整体部署,统一思想,明确方向。
(3)建立必要的项目制管理体制,配备项目管理专职人员,以项目制方式推进等级保护测评整改工作。
(4)建立和完善技术部门内部、技术部门与业务部门的沟通机制,降低项目实施过程中的沟通延迟风险,遇到问题节点及时显现和上升解决层级,提高信息反馈效率。
3.测评整改推进阶段措施
(1)以“起而行之”替代“坐而论道”,用行动去推动等保测评整改工作。
(2)对等保测评整改服务商、对信息化管理和技术部门内部、对二级单位都采用项目制度管理,严格管控节点和目标,及时处置影响项目推进的关键问题。
(3)校内沟通组织和协调要在界面、方式、文档等方面规范有序。测评整改过程服务于学校整体安全水平提升,也是网络安全和信息化相关部门树立管理和技术威信的过程,要充分体现合作意愿和技术专业。
(4)统筹管控的软硬件环境(站群、物理和虚拟托管)要提供有效支撑,切实关注业务部门的实际需求,通过疏堵结合策略进行信息资源梳理和整合,从学校层级关注信息化和网络安全基础环境建设。
(5)管理制度和规范流程要相配合,同步推出包括《互联网域名管理办法》、《网络与信息安全管理办法》、《信息资产梳理和流程资源整合规范》、《虚拟主机(私有云)管理办法》等系列网络安全和信息化建设相关制度,将工作推进成果固化和可持续。
4.测评整改推进后期,要对信息资产、管理制度、操作流程、技术要求等进行全面的文档化和在线化,形成信息系统全生命周期管理体系,将等保工作成果沉淀,形成网络安全保障体系建设“原点”的不断完善和提升。
学校依托等保测评整改工作,有效助力智慧校园网络安全保障体系建设。信息化管理和技术部门责任担当形象初步确立,二级部门物理设备集中管控制度确立,二级部门物理和虚拟托管环境初步建成,信息技术部门资源利用率明显提升,校内信息资产摸底进展顺利,信息化软硬件预算统筹管理逐步形成,软件项目招标、采购、开发、实施、运维等明确要求包括技术要求、定级要求、测评要求、域名管理、互联网访问等网络安全相关内容形成,信息化建设人员积极性、主动性、能动性明显提升。后续,学校将从提升信息资产管理水平和网络安全防护能力出发,完成整改测评工作,建立、完善和出台完整的网络安全工作制度和流程,并通过站群、流程平台、移动APP整合精简网站和信息系统数量,减少信息系统入口,降低网络安全风险。