江苏科技大学：打造网信安全立体化管理模式

陈宓宓

江苏省高校信息化建设先进单位、中国教育科研网优秀会员单位、镇江市信息安全等级保护先进集体……这是江苏科技大学近年来在落实网信安全立体化管理模式中晒出的成绩单。

近年来， 江苏科技大学以贯彻落实《中华人民共和国网络安全法》及学校有关网络和信息安全相关制度为主线，以开展校园网、信息系统和网站安全检查为基础，以强化网络和信息安全教育培训为抓手，紧紧围绕网信安全怎么创新、怎么做实、怎么干好三个方面， 通过调整组织架构、改进工作方式、创新联动机制， 全力打造“制度先行、定期排查、定时扫描、承诺保障、及时整改”的立体化管理模式在实践中收到了良好的效果。

一、实施CIO制度，强化网络安全责任

2017年4月，江苏科技大学成立了以校党委书记和正校长为组长、分管信息化和舆情的副校长为副组长的网络安全和信息化领导小组；同年9月，颁布《江苏科技大学首席信息官制度》，确定二级部门信息主管和干事；构架以“网络安全和信息化领导小组”为决策层、“网络安全和信息化领导小组办公室”为协调层、各部门信息主管（干事）为执行层的三层队伍体系。加强二级部门对网络信息安全的重视和自查自纠，签署《安全承诺书》。督促二级部门参照《江苏科技大学信息安全应急预案》，组织制定本部门应急预案，提高应急处置能力，确保业务部门信息系统和网站的正常运行和有效维护。

二、梳理网络拓扑，优化校园网络结构

优化网络设备的安全策略，强化网络安全的软硬件建设（核心交换机、出口防火墙、Web应用防火墙、网管软件等）。通过安全策略实现部分专网与校园网的隔离。关闭核心交换机上二级部门可接入服务器地址的端口，优化WAF安全配置，优化数据中心防火墙配置，通过购置备份、容灾设备，提高数据安全等级。合理部署入侵防御系统，进一步提升应用系统（网站）的安全级别。为解决现有校园网三层架构网络环境下，局域网内存在ARP欺骗、用户上网行为管理只能在出口认证网关处进行管理的不足，对校园网络进行了扁平化改造，实现了精细化网络管理。

三、施行“白名单”制度，嚴控服务器访问

严格控制公网至校园网的访问入口、梳理并规范现有应用系统的对外开放端口；加强信息系统（网站）域名和IP地址管理，清理非官方信息系统（网站），关断各信息系统（网站）的外部访问，仅开放有特殊需要的。颁布《信息系统（网站）安全管理办法》等制度、对所有信息系统（网站）逐个排查、清理“僵尸”信息系统，对可能联网的信息发布终端进行了彻底排查，确保网络和信息安全工作纵向到底、横向到边。

四、定期扫描网站，及时查堵安全漏洞

通过等保、云盾服务、日常扫描等手段，明确现有应用系统存在的安全漏洞。对外开放访问权限的重要应用系统（网站）每月扫描一次，其他应用系统（网站）每两个月扫描一次。针对责任部门下发《网络和信息安全隐患整改通知单》、限时完成高危漏洞的整改。利用“可视化管理软件”加强网络攻击行为的监控；运用“运维管理软件”深化虚拟服务器、存储等基础硬件运行状态的监控。

五、实施网络安全报告制度，及时通报安全动态

发布《江苏科技大学网络与信息安全事件报告制度》《江苏科技大学网络与信息安全问题通报制》，实现网络和信息安全问题的早发现、早处置。信息化中心会根据对网站、信息系统的常态化监测，通过电话、短信、电子邮件和书面通知等方式，以季度报告、月度简报、不定期通报等方式向网络安全和信息化领导小组和各部门通报存在的漏洞、后门、暗链、弱口令等安全隐患，并负责跟踪核查整改结果。

六、评估信息系统风险，加强数据安全管理

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一项工作。今年顺利完成了数字化校园系统、云平台信息系统、校园主页及站群系统的二级等保测评，以及电子邮件系统的三级等保测评工作，获得镇江市网安支队和同行的广泛认可。严格按照数据标准对各业务系统中不符合要求的数据进行了清洗和转换。对数据容灾、备份开展深入调研思考，探索进一步加强数据层面安全管理的工作方向。

七、开展培训与教育，提高安全意识和技能

根据我校网络和信息安全薄弱环节以及网络和信息安全工作年度重点，制定针对不同对象的网络和信息安全教育计划，重点开展面向信息主管、信息干事和系统管理员的专题培训，切实提高广大师生的网络安全意识和防护能力。推行网信安全工作例会制和项目研讨制。利用新生入学教育、新教师入职教育、网络安全宣传周、信息化建设与管理中心党支部特色活动等契机，通过形势政策课、讲座、报告会等方式面向广大师生开展网络安全宣传教育，提高网络和信息安全意识和素养。以增强各部门网络和信息安全责任和意识为目标，以促进信息化项目使用和信息资源共享为出发点，对二级部门网络安全和信息化工作开展年度考核，通过评选先进的方式进一步激励网络和信息安全工作的实效。