浅析高校网络安全管理现状及应对措施

◆谢党恩 常思远 冯战申

(河南省许昌市八一路88号许昌学院 河南 461000 )

随着互联网的高速发展，网络安全问题也被国家日渐关注。从 2014年2月 27日成立中央网络安全和信息化领导小组，到2015年习近平主席多次提及网络空间安全，再到2016年4月19日习近平主持召开网络安全与信息化工作会谈并发表重要讲话，网络安全已经提升为国家战略层面[1]。近年来，各类高校都在加大智慧校园建设力度，涌现出来越来越多服务于教学、科研和校务管理等方面的应用，这些应用在方便了师生的同时也加大了高校网络安全的风险。鉴于此，我们需要充分把握高校网络安全管理现状，并提前做好各项应对措施。

1 高校网络安全现状分析

1.1 全网资产数据不清

安全防护需要有针对性，没有一种方案能解决所有的安全问题，这就要求在进行安全体系建设之初必须要明确要被防护的资产[2]。目前很多高校管理部门对全网资产信息没有详细的统计分析，无法掌握全网资产数据信息。在此前提下安全就无从谈起，只能被动地像救火队一样，什么地方起火就处理什么地方的问题，而且经常无法对应到资产责任人及位置信息，导致的结果是无法及时处理问题。

1.2 权责不明晰，管理难度大

在高校里各二级部门都有不少于1个的部门网站，此外还有越来越多的各种管理系统，如OA系统、教务系统、招聘系统、迎新系统、离校系统等各类Web信息系统，数量众多，管理难度大，费时费力。而这些网站和信息系统在早期都是依靠纸质的备案表格进行备案，没有线上的备案管理系统，主要依靠人工管理，工作复杂烦琐，一旦紧急事件后，无法快速进行处理和追责。其次，部分二级单位存在“私搭乱建”现象严重，甚至采用租赁云服务的形式，在公有云上搭建业务系统，自身又缺少监管，出现问题时容易对学校造成不良影响，且不易检测。

1.3 缺乏有效的安全管理体系

安全管理体系，顾名思义就是基于安全管理的一整套体系，体系包括软件硬件方面[3]。软件方面涉及思想、制度、教育、组织、管理；硬件包括安全投入、设备、设备技术、运维服务等等。目前，大多数高校都已经开始陆续上线了一系列软硬件安全产品，以加强对校园网安全建设，但是，有了这些安全产品还远远不够，缺乏必要的管理体系的约束，这些设备只能成为一种摆设。

1.4 安全人员数量不足，待遇差

高校网络安全总体形势不容乐观。就目前网络信息安全形势而言，同类高校网络安全队伍人员还远远不够，尤其是技术人员还要承担网络管理和信息系统管理等诸多工作任务，前沿技术学习不够，安全敏感度不够，能投入工作的精力不够。

安全技术人员的补充对高校来说是个难以解决的问题，高校侧重于教学和科研人员的引进和培养，网络信息安全人员多数归属于教学辅助单位，用人方式也多为人事代理或临时用工，相对教学人员而言，在工资收入和社会地位上都低人一等，无法发挥工作人员的工作积极性和创造性。

2 高校网络安全管理应对措施

2.1 健全网络安全管理体系

没有良好的安全管理体系就没有好的执行力，安全设备、安全技术是从技术层面解决异常的攻击，安全管理体系是从管理角度解决制度和流程的问题，制度和流程管理的是人，人再通过安全设备和技术落实安全，提高单位安全能力，安全技术和管理体系要相辅相成。网络安全管理体系的建设是一个非常重要且需要不断完善的过程，通过制定一系列制度文件的形式来落实网络安全管理过程中相关部门的主体责任，要让各主体部门转变观念，明确自己的安全责任。长期以来，高校里面形成一种“安全问题都是信息部门责任”的不良思维，自己的业务系统出了安全事件，推诿扯皮赖到信息部门头上。其实，学校的信息部门就像是学校的保卫队，保护的是学校的大门，他们的职责是做好外围的防护。各个单位相当于围墙之内的各家各户，他们有自己的户型、结构和私有的钥匙，所以只有各单位才能做好内部防护[4]。

为了规范和明确信息化建设中各单位的工作范围和职责，学校必须建立一套网络与信息安全管理制度，并通过这些制度对安全管理工作和职责进行划分。制度应明确网络与信息系统安全必须要贯穿学校的信息化建设始终，做到同步规划，同步建设和同步运行，应确定信息管理部门和各二级单位之间的具体职责以及必须开展的工作等。

2.2 增加网络安全软硬件的资金投入

学校要加大资金投入，要从技术方面入手做好整个校园环境的基础信息安全防护，主要包括建立校园网网络防火墙、VPN、堡垒机、Web应用防火墙、数据库审计、云防护、网站及信息系统监控平台、漏扫设备、网络防病毒软件等公共平台设施，确保有防护、有数据、有痕迹，为网络与信息安全工作提供必须的、完备的环境和条件保障。依照《国家网络安全法》和《信息系统等级保护条例》的要求做好信息系统的等级保护定期备案工作。

2.3 摸清家底并做好应急预案

高校在大规模引入各类业务系统时，一般都会出现“先建后管”的局面，这就导致经过一段时间的建设，各种业务系统如雨后春笋般涌现出来，无人知晓全校服务器（虚拟机）总数量，甚至有些单位通过采购服务形式在公有云上搭建系统，更是让信息化管理单位无法掌控。针对这种乱象，必须从应用系统、信息资产、基础架构、规章制度、应急保障五个维度进行全面梳理，要摸清家底，掌握系统部署、运行、应用和运维工作的基本情况，编制完善的信息化基础资料，才能够做到一旦出现安全事件时，快速响应和处置，做到有的放矢。在此基础上，进一步借助于安全设备来提前发现服务器和系统存在的安全风险，提前告警，赶在事件发生之前完成对系统加固，从而有效避免安全事件发生。

2.4 强化高校网络安全队伍建设

有了科学的管理机制还不够，还需要有专业的技术团队做支撑。针对高校安全人员数量不足、待遇差的问题，学校人事部门需要制定针对性的解决方案，在人员分配、职称评审、岗位聘任等方面要适当给予倾斜，以保障高技能网络安全人才的稳定发展。同时要加大对技术人员的培训力度，提升团队的专业技能。在此基础上，需要扩展渠道，可适度引入外部企业专业的技术人员支持，共同做好学校的安全防护。一方面，学校通过与安全公司进行合作，购买安全服务，引进一批专业的技术支持。另一方面，充分利用有能力的学生做安全方面的测试、攻击、渗透等工作，让他们能为学校的安全贡献出自己的力量。同时，也可以给学生出具工作证明，对他们的白帽子工作给予创新学分等各种方式的肯定。

2.5 加大网络安全宣传力度

在高校工作中，要通过媒体介质推送、专题课程、专题培训、问卷调查、宣传板等方式加强网络安全宣传，协同学生处、教务处将该项教育活动纳入高校的日常教学和管理工作当中。通过举办网络安全知识讲座、开设网络安全选修课程等方式为学生进行积极的心理健康引导，规范学生的网络行为，避免其在具体应用网络当中出现违反法律法规的情况。同时，通过这些手段可以有效提升师生的网络安全防护意识，减少恶意占用或利用网络资源、威胁校园网络安全的行为，使师生在工作生活当中都能够对网络进行规范合理的使用，做一名遵纪守法的网民。

3 结束语

综上所述，高校在进行数字化校园建设过程中，网络安全建设要和信息化建设融为一体、同步进行，同时要将网络安全工作作为评价信息化建设成败的一项关键指标。只要我们构建一套完备的安全管理制度，搭建一套安全监测及智能分析预警软硬件系统，组建一支技术过硬的安全运维团队，形成一个信息素养过硬的师生团体，就可以在很大程度上保障高校网络和信息资产的长治久安。