高校网络安全风险PDCA循环预防与控制机制研究

韦素娟

福建江夏学院公共事务学院,福建福州,350108

1 问题提出与相关研究

高校网络为高校提供教学、科研和各种应用服务。但网络的开放性和互联性也使校园网安全工作变得越来越严峻，各种系统漏洞、黑客攻击、病毒入侵等严重影响高校工作正常开展和师生身心健康。虽然校园网络安全问题已普遍得到各方高度重视，但校园网络安全防控现状仍不容乐观。做好高校网络安全风险防控是维护校园安全稳定，保障教学科研工作的前提。本文对网络安全相关的文献进行了梳理，结合高校网络安全风险防控中遇到的实际问题，运用PDCA循环理论构建了网络安全风险防控机制，为高校网络安全风险防控提供决策参考。

国内网络安全工作起步较晚，网络安全风险防控能力还处在初级阶段，但通过学习和借鉴国外先进技术，国内也积累不少经验，具备了一定的基础和条件，与国外先进技术的差距正在不断缩小。近年来，国家相继出台网络安全管理相关政策、开展专项治理和部署网络安全应急等多项举措，如2017年6月《网络安全法》生效，进一步确保网络安全，促进信息化，维护国家安全。2016年3月，在湖北武汉举行的“国家政治安全与网络社会风险治理”研讨会上，杨锐利研究员指出网络空间安全已被提升到国战略高度。王芳教授认为，互联网安全应形成有序的社会秩序；董天策教授认为，我国网络动员存在非理性一面。多位与会学者针对公众情绪，从心理学、数据挖掘角度等做了深入研究[1-2]。

针对高校网络安全问题，国内不同专业领域的专家们从不同的视角进行了研究。聂多均等分析了高校网络安全教育的近况及有待解决的问题，建议从网络安全意识教育、内容、方法和运行机制等方面来加强网络安全教育[3]。博新宇等对高校网络潜在的安全问题与影响因素进行探讨，从网络安全技术、学校用户和学校管理层三方面提出对策[4]。罗国富等从安全策略、安全技术和安全管理三个方面构建了动态安全体制[5]。王超等从树立高校师生的网络舆情观、思想研究教育、应对处理机制三个维度对主体能动性进行了研究[6]。马敏等分析了图书馆网络内部和外部面临的安全风险，并提出应对策略来保障高校数字图书馆内部网络的安全[7]。赵荣英分析和总结了中国知网相关网络信息安全文献中的定量信息和研究热点，认为网络环境与信息安全、信息管理与安全策略、网络信息类、网络技术与信息系统是该领域的主要研究热点，并提出了有针对性的建议[2]。以上研究主要关注网络安全教育、舆情、技术、管理等热点问题，将PDCA循环理论应用在校园网络安全风险防控工作中的研究较少。

国外在网络安全方面的研究和实践比国内早。西方国家在强化网络信息的安全教育、提高网络安全意识、完善网络信息的安全应急响应方面做出了很多的举措。美国自9.11发生后，更加关注网络信息安全，特别是对敏感信息的监管和对网络防御技术的研发与应用，并出台了有关网络安全政策和法规。

随着高新技术的快速发展，网络安全风险的防控将面临更加严峻的形势。因此，如何做好网络安全风险防控工作，最大限度地减少或避免网络安全事件的发生，是一个具有重大战略意义的话题，迫切需要解决。

2 相关概念

2.1 高校网络安全风险防控概念

高校网络安全风险是指高校这一特定的网络环境遭受自然灾害、人为破坏、设备软硬件故障、黑客攻击、各种木马程序和病毒传播等，使校内重要信息系统、关键网络设施面临的一些不良后果发生的可能性[8]。高校网络安全风险防控是指针对高校网络安全潜在的风险，校网管部门及其他监管部门采取有效措施，对校内网络安全重点区域、关键环节和主管岗位的潜在安全风险进行辨别鉴定、排查整改和防控处置等。

2.2 PDCA理论基础

PDCA即计划、执行、检查、处理四个词的英文首字母的缩写，由Walter A.Shewhtar于19世纪30年代提出，并由美国质量管理专家戴明博士推广和应用而得到普及，又称戴明环，也叫质量环，简称PDCA。其用于质量管理过程中持续改进、提升产品和服务的质量，是管理学中的一个通用模型。PDCA循环要求每个工作计划在P阶段、实施过程D阶段、实施效果C阶段、最终总结和行动阶段A将成功经验或实践进入标准，未解决和新发现的问题留待下一个循环去解决的持续改进的反复循环过程。

PDCA循环被企业广泛应用，可有效辨别、防范和治理企业运营中的各种风险，规范企业运营管理流程，提高产品和服务的质量。高校网络安全风险防控是一项复杂的系统工程，需事前做好预防、事中进行监控、事后妥善处置等，这个流程需经过不断改进。基于以上的指导思想，可将PDCA循环理论应用于高校网络安全风险防控方案设计、运行和维护、考查评价、处置改进等工作流程中。动态循环使网络安全风险防控工作得到持续改进，有效降低网络安全风险发生的可能性，提高网络安全风险防控质量[9]。

3 高校网络安全风险分析

高校网络面临诸多安全风险，目前校园网面对的风险主要包括以下几方面。

3.1 入侵风险

入侵风险是指黑客利用高新技术手段，未经许可获取对方计算机的管理权限，进行窥视、恶意篡改或窃取他人数据等非法操作。非法入侵是黑客利用软硬件上存在的安全漏洞进行攻击，对网络用户的信息进行采集、窃取、贩卖和利用。如设计上存在的缺陷、未知的漏洞、操作上的失误和设置上的疏忽等都为非法入侵提供便利。利用计算机高新技术进行的犯罪愈来愈新颖化、隐蔽化。近年来抓获的通过计算机进行犯罪的嫌疑人中，大多是计算机技术较精通的年轻学生。从他们的犯罪动机来看有两类：一类是计算机爱好者抱着好奇或炫耀自己在计算机技术方面的特长，制造和传播计算机病毒，侵入他人的计算机系统。第二类是被他人利用，违反国家网络安全规定，入侵他人计算机系统，窃取商业情报、资料，甚至国家秘密。

3.2 病毒风险

病毒风险是一组指令或程序代码，它们在计算机系统运行时自我复制并感染和侵犯计算机系统功能和程序。当前计算机流行病毒传播的重要媒介是网络。攻击者向系统中侵入病毒,并利用病毒自身具有的破坏性、传播性、潜伏性和隐蔽性等来破坏系统正常工作。病毒传播呈现出多样化、动态化和变异化，如新型网络病毒的不断升级和变异、扩散面广、难于控制等特点，给防控工作不论从技术还是管理上都增加了难度。

多数高校的数据中心安全架构无法监控整个应用层的攻击行为和检测终端是否感染了病毒，或是否受到特洛伊木马的控制。校园内有两种重要的网络病毒来源：一种是数据信息下载，另一种是Email传播，轻则导致数据传输速度变慢或数据丢失，重则使服务器瘫痪，校园内部网络无法正常运行，影响学校工作秩序。

3.3 环境风险

环境风险主要是指高校网络中心机房或是实验室机房内的温湿度、灰尘、安全照明、腐蚀、不间断供电、防火防盗、防静电等工作环境。工作环境的变化可能会导致正在工作的电子设备出现故障。如服务器中心机房温度骤升且散热不通畅时，有可能导致元器件引脚间漏电，出现电弧；元器件表面发霉、触点腐蚀，可能导致信息读取错误;若工作环境温湿度过低，则会产生较大的静电，威胁设备和人员安全。工作环境对硬件设备的影响非常大，不良的工作环境会加速部件老化并缩短其使用寿命。

3.4 设备风险

设备风险是指系统设备及相关网络设施可能受到破坏、丢失等。计算机终端、服务器、其他网络辅助设备等若防护不当则有可能受到人为或自然灾害破坏。加强设备基础设施保护，可以有效减少网络安全事件的发生。受成本和其他因素的影响，高校网络设备配置参差不齐，但数量和种类众多、网络覆盖面积大。设备的质量、兼容性、防火防盗、防静电、防磁场干扰等配置不够均可留下风险。

3.5 软件风险

软件风险是指高校内使用的操作系统、数据库系统和应用系统等本身存在漏洞或缺陷带来的安全问题。这些漏洞或缺陷为非法入侵和病毒攻击留下安全隐患，一旦计算机病毒入侵后，就有可能造成校内重要数据丢失、破坏、不能访问甚至瘫痪等安全问题。

Windows和Linux操作系统软件、办公软件、教务软件，财务软件和科研软件通常用于高校。防火墙技术有效隔离了内网和校外网络，但校园内的用户操作系统、数据库和应用软件有时无法及时从Internet上获取补丁,致使系统中的漏洞得不到及时修补，易遭到校内网的攻击。据相关研究表明，有80%的网络安全事件源于内部网络的进攻。黑客会利用操作系统和应用系统本身设计上存在的缺陷、漏洞和不兼容等问题，来破坏相关数据，中断系统正常运行和窥探重要信息等。

3.6 人防风险

人防风险主要是校内用户操作技能或是安全意识不足而引发的计算机网络安全风险。人防是保障校园网络安全的最后一道屏障。高校人防主要由网络安全管理人员和相关师生构成。

实际上，很多的高校网管人才欠缺，且普遍网络安全知识结构层次不够[10]。高校网络安全管理人员由网络中心部分人员、各部门分管人员和学生代表组成，多是非计算机专业人员，缺乏计算机综合知识、网络高新技术和相关核心技术，无法充分利用现有技术去合理配置和管理校内网络，及时检测存在或未发现的安全问题。例如，管理员或用户设置了资源访问控制权限，但权限不合理，或者网络配置中存在安全风险，给计算机网络安全带来风险。

网络安全风险防护宣传不到位。某些风险在高校师生群体中进行传导和渗透，影响这类群体的思维和行为，造成不可想象的严重后果。有的高校拥有较好的网络安全技术，如入侵检测系统、防火墙和生物鉴别设备等，但一些师生的网络安全风险防护意识不强，只关注网络带来的便利，忽视潜藏的安全问题。如在网上下载不安全的内容、点击不安全链接，没有定期升级系统补丁、应用软件和杀毒软件的上网习惯，随意泄漏个人信息等，造成个人隐私、个人信息泄露，给校园网络安全留下安全隐患。

3.7 机制风险

机制风险主要是指高校网络安全规章制度不健全、监管与职责不到位、网络安全风险防控体系不完善和风险应对能力不足所造成的潜在风险。目前，一些高校的网络管理系统监管职责落实不到位，网络安全风险意识薄弱，管理上不够重视，应用系统非法或者越权，造成重要的数据被破坏、丢失或篡改，严重影响校内数据的完整性、安全性和保密性。高校网络安全机制无法有效发挥作用，从而为非法入侵者提供了威胁高校网络风险的机会。

4 PDCA循环在高校网络安全风险防控中的应用

网络安全风险防控是一个不断改进的循环过程，将PDCA循环理论运用到校内网络安全风险防控工作中，可有效提升网络安全风险防控工作效果，降低网络安全事故的发生。如图1所示。

图1 高校网络安全风险PDCA循环预防与控制机制模型

4.1 P(计划)阶段

依据网络安全有关法律法规，现阶段网络技术和通信技术等级，并结合高校网络安全现状等进行分析，拟定未来一段时期内网络安全风险防控要达到的目标和具体方案的实施过程。在万物互联的趋势下，做好校园网络安全风险防控，将其纳入网络安全工作常态化。首先，找出当前高校网络安全存在的具体问题，分析、判断并组织相关人员进行讨论，提出有效建议。再聘请网络安全方面的专家和经验丰富人员对校内网络安全风险防控进行全面论证，指出当前和未来校内网络安全面临的危险源和安全漏洞，进行预定级，更新应对预案，提前防控。其次，根据当前校园网安全风险产生的原因、可能性和后果，建立校园网安全风险防控目标，确定阶段目标。最后，制定具体计划，阐明具体任务时间表和时间节点。

4.2 D(行动)阶段

按照P阶段制定的方案和计划在校内开展相应的网络安全排查活动的过程。一是成立校园网络安全风险防控指挥小组，要求各部门的联网设备严格执行校内网的各项网络安全规章制度。定期巡查网络设备运行状况，定期升级网络安全设备和病毒防护安全软件，系统存在漏洞要下载补丁进行更新。强化网络中的脆弱区域，有计划地召开网络安全培训会，加强校内各部门的沟通与协调。二是利用校内自媒体广播、宣传栏等传播网络法律法规和网络安全常识。从网络安全风险防控专项经费中拨出一部分来用于每学期组织一次网络安全知识竞赛，提高师生的网络安全风险防控意识。三是面对网络安全险情，网管部门要立即启动相应的预案，迅速开展相关工作。

4.3 C(检查)阶段

根据计划、方案的实施来检验校园网络安全风险防控D阶段行动效果的过程。将检查结果与校园网络安全风险防控目标一一比对，详细标出具体目标完成情况，并客观公正评价每个目标完成情况，对没有完成目标的，找出具体原因。着重检查学校网络安全的各种规则和规定是否合理,责任是否得到有效落实、网络安全人员保障、资金保障、网络安全教育培训、安全隐患排查整改情况和网络安全运行记录等各方面是否健全。

4.4 A(整改)阶段

对校内网络安全风险防控的检查结果进行分析和总结，延续成功做法和经验，重点规划校内网络安全风险防控新目标和上轮尚未解决的问题的过程。将C阶段检查中的有效措施进行标准化、制度化，并在今后网络安全工作中继续执行和推广。存在的问题要及时整改，解决不了的和新防控目标转入下一轮的PDCA循环，逐步解决学校网络安全风险防控中存在的问题，不断提高学校网络安全风险防控水平。

5 高校网络安全风险PDCA循环防控机制的实施保障

基础设施和安全机制是网络安全保障的基础，技术是安全保障的核心，网络安全意识与行为是保障的方向，人才配备和有效管理才是保障的关键[11]。PDCA循环在高校网络安全风险防控过程中的应用，侧重于确立校园网安全的总体目标，完善各种网络安全规章制度，牢固树立网络安全意识，有效提高校园网络安全风险防控质量。

5.1 健全高校网络安全机制

健全的网络安全法规是高校网络安全风险PDCA周期防控机制有序发展的基本保障。通常情况下，规章制度具有滞后性，为保证规章制度具有普适性、持续性和前瞻性，可依据2017年6月1日实施的《网络安全法》，对现有的网络安全规章制度和具体的操作规程进行补充和完善。如内网安全管理规则、内网用户代码、漏洞检测和系统升级管理系统、中央数据中心机房门禁管理系统和中心数据室消防安全规定等,并建立校园网安全领导团队和网络安全事件处理办公室等。

5.2 加强校园网络安全关键技术投入和网管队伍的建设

学校网络建设要做好统筹规划，将建设后期管理纳入同等重要位置来抓，特别是年度预算中应设有网络安全风险防控专项经费，保证网络安全风险PDCA循环防控机制的有效实施。一部分经费用于配备网络安全配套设施和安全软件，如购买流量控制系统、舆情监控系统、云安全技术、用户认证技术等一些网络安全产品。另一部分经费用于校内网络安全队伍培训工作和在校内开展其他网络安全教育、竞赛活动等。

业务精与专业强的网络安全队伍是落实校园网络安全风险PDCA循环防控工作的重要保证。只有专业技术强硬的网络安全队伍才能及时识别与处理正在发生或潜在的网络安全威胁，并采取有效措施控制并降低网络安全带来的不良影响。一方面，学校要积极建设网络安全队伍，定期进行专业培训和工作考核。选派核心人员深入相关企业锻炼，学习前沿科技，或请网络安全专家到校指导工作。另一方面，鼓励和引导各部门的信息安全员、辅导员和学生骨干参与校内网络安全管理工作[12]，全方位协同合作，做好网络安全风险跟踪监测，并及时报送校园网络中存在的安全隐患，应对突发事件，消除不利影响。

5.3 加大网络安全风险防范意识的宣传力度

高校网络是高校师生学习、工作和生活的重要平台，师生的网络安全风险防范意识与他们的上网行为有直接关系。校内网络安全风险PDCA循环防控实施过程需师生人人参与、共同防范。一是校内网管部门带头抓好师生网络安全教育和宣传工作，引导广大师生学习网络安全相关政策法规，注重网络安全，防范各类网络诈骗行为，提高网络安全风险防范意识。如每学期定期向全校师生开展网络安全知识讲座；在教师和学生集中的区域设立网络安全公告，发布网络安全标语，宣传基本网络安全法律法规和网络安全基础知识;从网络安全管理经费中拿出一部分经费来举办网络安全知识有奖竞赛等。二是加强对师生日常上网行为的监管，将校内网络用户实行实名制，并将实名制体系建设与舆情监管有效整合[4]，使每一位师生自觉规范言论，加强自我隐私保护，有效辨识网络中各种欺诈行为，提升基本防护技能，养成良好的上网习惯，将网络安全防控意识植根于每一位师生的深层思想[13]，有效提高师生的网络安全意识。

6 结 语

网络安全风险防控是一项长期而复杂的系统工程，在网络空间和现实空间的相互融合的大数据时代，面对变幻莫测的网络安全风险，高校网络安全风险防控工作需要与时俱进，不断改进和完善。