高校构建网络安全防护体系的策略研究

关键词：网络安全；法治；态势感知；数字生态

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2024）36-0083-04"开放科学（资源服务） 标识码（OSID） ：

0 引言

新一轮科技革命与产业变革浪潮汹涌澎湃，正重塑全球政治、经济、教育及社会等领域格局，引领跨越式发展新纪元。信息化与数字技术已深度融入经济社会各角落，互联网更为人类文明飞速发展注入前所未有活力。然而，伴随经济与地缘政治不确定性增加，技术潜在风险日益凸显，网络安全与空间安全威胁愈发严峻。鉴于此，各国纷纷将网络安全提升至国家安全战略核心地位。我国亦高度重视网络安全工作，坚决贯彻依法治国原则，相继出台一系列互联网领域法律法规，逐步构建起以传统立法为基石，网络内容建设与管理、网络安全及信息化等专项立法为支柱的完备网络法律体系。

在高校信息化建设方面，我国始终坚守教学工作中心地位，致力于构建高效数智化校园环境，推动数字化转型进程。通过科学管理和有效应用学校数据资源，提升协同管理水平，并积极增强服务师生能力，力求以信息化手段助推学校治理体系和治理能力现代化。然而，随着学校基础数据采集量持续增大、数据资源不断汇聚及业务系统全面整合，网络安全问题逐渐显现。面对数据泄露、计算机病毒侵袭、黑客及木马攻击等多重网络安全风险，各高校需要增强法律意识，普及网络安全防护知识，全面履行网络安全工作职责。为此，应积极构建网络数据安全协同治理平台，实施数据生命周期全程一体化管理，进一步加大网络安全监管力度，并完善网络安全保障与责任机制，以确保高校信息化建设稳步推进与安全运行。

1 高校网络安全面临的严峻挑战与多重风险

作为科技和人才的摇篮，高校对科技在教育领域的赋能寄予厚望，视其为推动学校高质量发展的核心引擎。在人才培养、科技创新、校务治理及生活服务等多个层面，高校不断探索信息化建设的新方向与新价值。尤其在智慧教学浪潮的推动下，AI智慧教室、虚拟仿真实验、在线课程平台及物联网终端等网络应用如雨后春笋般涌现，展现出强劲的增长态势。然而，在这一新的发展形势下，高校网络安全也面临着前所未有的挑战与威胁，其严峻性主要体现在以下方面：

首先，校园网络架构的复杂性带来了巨大挑战。高校网络规模庞大、用户众多，且网络链路和系统错综复杂，需同时管理和维护有线网络、无线网络、5G 专网、物联网及各类应用专网。因此，确保整个网络基础设施安全、高效、稳定及持续不间断运行，已成为高校面临的一项基本且迫切的要求。

其次，师生海量网络数据的保护任务艰巨。高校通过构建数据中台，建立了覆盖数据全生命周期的严密管控体系，涵盖学校重要发展数据、教职工科研项目核心数据、师生个人隐私信息以及学习、工作、生活等全场景流程数据。然而，随着这些数据不断被采集、存储和流转，其数量急剧增加，对数据安全防护的要求也随之提升，这无疑加大了数据保护的难度。

再者，新技术应用带来了网络安全新风险。高校数据中心纷纷采用云计算技术构建虚拟化平台，以高效管理学校物理服务器和虚拟机。然而，这也带来了诸多安全防护挑战，包括虚拟化平台的安全问题、服务器系统的稳固性、业务系统的漏洞防范、业务平台的设计缺陷、安全设备自身的漏洞及孤岛化问题，以及难以预测的0DAY未知威胁等。一旦数据中心设备、业务系统或虚拟化平台出现安全风险，其后果轻则影响单个系统的正常运作，重则可能导致整个学校日常运行的瘫痪。

最后，高校在网络安全管理能力上亟待加强。随着国家网络安全法律法规、制度标准和管理办法的逐步完善，高校在多个关键领域面临安全风险，包括网络安全防护体系顶层设计不足、安全管理制度和应急响应机制不完善、科技创新与顶尖网络安全人才匮乏、核心岗位人员法律与网络安全意识薄弱、网络安全监督考核指标不明确，以及网络安全外包运维管理不规范等。这些问题的有效解决，对于全面提升高校网络安全的整体水平具有至关重要的意义。

2 网络安全保障体系的架构

我国的宪法、刑法、国家安全法、保密法以及治安管理处罚法等多部法律，均对计算机犯罪的法律责任和相应处罚作出了明确规定。为进一步强化网络安全管理，我国陆续颁布了网络安全法、电子签名法、数据安全法、反电信网络诈骗法、个人信息保护法以及关键信息基础设施安全保护条例等一系列网络安全相关法律法规[1]。同时，国家还出台了网络安全事件应急预案、网络安全审查办法、云计算服务安全评估办法以及数据出境安全评估办法等多项管理措施[2]。此外，为推动网络安全标准化工作，国家制定并发布了包括信息系统安全保护等级定级指南、应用软件系统通用安全技术要求在内的300多项网络安全国家标准，构建了一个不断发展和完善的国家层面网络安全法律法规和管理办法体系。

高校在推进智慧校园建设的过程中，必须严格遵守国家法律法规，加强顶层设计，确保在提升便捷性的同时，不忽视对安全风险的防范。应依法构建全面、高效的学校网络安全防护体系，确保校园网在法治轨道上稳健运行。同时，应坚守服务师生、共建共享的发展理念，持续提升全校师生的网络安全法律意识、风险管控能力及防护技能，切实增强对网络空间安全态势的感知和预警能力，为师生创造更加安全、便利的网络环境，提升其幸福感。为此，高校网络安全与信息化工作领导小组需发挥核心协调作用，整合校内各部门资源，通过技术防范、人员配备、制度建设以及经费保障等4个方面的综合施策（如图1所示） ，为构建高校网络安全防护系统奠定坚实基础。

在网络安全法治的时代背景下，高校须落实网络安全防护责任，深入研读并全面理解网络安全相关的法律法规以及标准办法，将实战化、体系化、常态化的防护理念落到实处。针对高校网络安全所面临的4大主要风险，高校应依法合规地构建网络数据安全防护体系，并着重加强5大安全保障体系的建设：物理环境保障、基础网络保障、安全设备保障、管理与人员保障以及制度与考核保障（如图2所示） 。这5大体系相互协同，将确保高校网络安全的全面性、深入性和持久性，为智慧校园的安全稳健发展提供有力支撑。

2.1 物理环境安全体系

核心机房严格遵循国内《电子信息系统机房设计规范》（GB 50174-2008） [3]的B级（冗余型） 标准，从机房选址到设备布局，从环境调控到建筑结构，均精心规划、细致建设。空气调节系统、电气技术、电磁屏蔽措施、布线设计等关键环节均达到行业领先水平。同时，机房监控与安全防护系统以及符合国际环保标准《蒙特利尔协定书》的给排水与消防系统，更是构成了全方位的安全保障。各楼宇的弱电间亦可借鉴此标准，以夯实基础运行的稳固性。

在管理体系上，始终贯彻“预防为主，积极处置”的指导思想，构建完善的预防维护流程、紧急情况应对预案以及定期安全评估机制。这些制度不仅确保了指挥体系的统一高效、岗位职责的清晰明确，更保障了整体运转的有序性、应急响应的迅速性以及处置措施的有效性。通过这一系列精心策划与实施，已成功构筑起网络机房与数据机房的坚固安全保障体系，力求将任何潜在或突发事故的损害降至最低。

2.2 基础网络安全体系

高校校园网作为国家基础网络设施的重要组成部分，必须严格遵循《中华人民共和国网络安全法》[4]第十条与第十二条的相关规定，采取必要的技术及其他措施，以保障师生网络使用权益，推动网络接入的广泛普及，不断提升网络服务水平，并有效防范网络违法犯罪行为的发生。为此，高校应为师生提供包括运营商网络、教育科研网等在内的丰富且充足的网络带宽出口选择，并运用多网融合、光链路及冗余架构等先进技术，对校园内的有线网络、无线网络、5G专网以及物联网等基础服务网络进行有效整合。面对不断涌现的新技术应用及网络安全挑战，高校应采用网络隔离技术等手段，对网络架构进行精心设计，并合理划分安全域，以确保校园外网、内网和专网的稳定高效运行，实现安全可控与集速互联的目标。

同时，《中华人民共和国数据安全法》[5]第十四条明确提出了“推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用”的要求。结合《中华人民共和国网络安全法》[4]对于“维护网络数据的完整性、保密性和可用性”的规定，高校校内数据业务网的建设通常采用基于服务器、存储的虚拟资源池技术，以构建计算私有云平台。这类云平台一般提供IaaS （基础设施即服务） 、SaaS（软件即服务） 和PaaS（平台即服务） 3种服务模式，分别满足业务系统管理员的资源需求、师生的直接应用需求以及开发人员的程序开发与部署需求。

此外，为了保障核心业务的不间断运行，数据业务网必须具备安全性、高可用性、易扩展性和低功耗等特点。核心区设备之间应部署双路冗余网络链路，按照负载均衡方式工作，同时核心区服务器应配置多路网卡以增强可靠性。全冗余配置可将核心数据业务系统的可靠性提升至电信级别。若高校选择采购使用共有云计算服务，则必须严格执行《云计算服务安全评估办法》[6]，确保所选用的云计算服务企业和产品已通过安全评估，从而实现云平台、业务系统和数据的全面安全可控。

2.3 网络安全设备体系

根据《中华人民共和国网络安全法》[4]第十八条的规定，高校应积极创新网络安全管理方式，运用先进的网络新技术，以提升网络安全保护水平。为此，高校需创新启动网络安全设备审查机制，并全面履行《中华人民共和国网络安全法》[4]第二十一条所规定的五项安全保护义务。同时，必须严格执行第二十二条、二十三条的要求，确保所选用的校园网络软硬件产品及服务符合国家标准的强制性要求，且网络安全专用产品须获得具备资格的机构的安全认证合格证明。对于第三级以上信息系统，高校应选用符合《信息安全等级保护管理办法》[7]第二十一条合规要求的信息安全产品。

根据《中华人民共和国网络安全法》[4]第二十一条的要求，网络运营者应按照网络安全等级保护制度履行网络安全保护义务。针对师生海量数据的安全防护需求，高校应严格落实《教育行业信息系统安全等级保护定级工作指南（试行） 》[8]，并根据办学规模、社会影响力及业务类型等维度，分析系统受到破坏后可能造成的危害程度。对于教学科研、招生就业和综合服务类等重要信息系统，建议定为二级或三级保护等级。高校应对照三级等保通用要求，优化校园网主干拓扑结构，实现扁平化、冗余化设计，并组建网络运维一体化管控中心。按需配置网络信息安全防护设备和软件，在校园网安全域边界部署访问控制技术措施，以强化网络安全防护。

在数据中心方面，高校应配置全面的数据安全措施，包括优化物理安全策略、信息加密策略、访问控制策略和安全管理策略。通过这些措施，实现安全防护、监测预警、态势感知、风险管控、灾难恢复和安全认证等安全保障与网络信任功能。这将有助于大幅提升业务连续性保障能力、快速恢复能力和安全预警能力。

面对新技术应用和新网络安全挑战，高校须灵活配置网络安全管控设备，以统一身份管理、认证、授权和密钥管理为基础。在安全区域边界部署边界防火墙、网闸、WAF、垃圾邮件防范、云防护、抗DDoS攻击、SDN、VPN、堡垒机、实名认证、上网行为管理与舆情监控等安全设施。同时，在数据中心部署数据中心防火墙、专网防火墙、虚拟化防火墙、反代（数据资源管理） 、物理防毒墙、虚拟化平台防毒墙、漏扫设备、数据库审计、综合日志审计、关键用户防护、态势感知、数据备份和数据防泄密系统等安全设备。通过这些措施，开展WEB失陷检测、渗透测试、代码安全检测和APT检测分析等安全活动。

最后，为提升网络安全管理效率和应对能力，高校应构建集可用性监控、安全事件分析、态势感知及告警响应于一体的安全运营管理中心，这将为高校网络安全提供坚实的技术和管理支撑。

2.4 管理与人员保障体系

在总体国家安全观的指引下，学校应致力于提升师生对网络安全的认识及自我防护能力。依据《中华人民共和国网络安全法》[4]第二十五条的规定，学校须精心制订网络安全事件应急处置预案，确保能迅速有效地应对各类安全风险。同时，根据该法第二十条的要求，学校应定期组织网络安全教育和培训活动，如网络安全宣传周和防范电信诈骗宣传周等，通过专业培训、讲座、研讨会等多种形式，积极培育网络安全领域的专业人才。这些人才应积极参与校际交流和校企合作，共同提升网络安全防护水平。

高校在提升网络安全防护管理能力时，应充分考虑各校的实际安全需求，并遵循效率、成本与安全相平衡的原则。参照《中华人民共和国网络安全法》[4]第三十四条的规定，高校可成立以主要领导为核心的网信工作领导小组，全面负责网络安全的规划、建设、管理、培训、监督和考核工作，确保网络安全工作中人、财、物、技等资源的统筹协调与有效保障。

为进一步落实信息化建设与安全管理责任，高校应构建完善的三级安全管理架构，并不断优化管理、监督及反馈机制。在此基础上，网信办应牵头组建两个专业工作组：一是由网信管理部门、网络安全运维、网络运维和服务器运维等成员组成的网络安全防护综合技术工作组，负责技术层面的安全保障工作；二是由二级单位分管网信工作领导、业务系统运维技术员、系统管理员和安全管理员组成的系统应用服务工作组，负责系统应用的日常运维和安全保障工作。同时，应定期邀请主管部门或行业专家开展针对性的网络安全专业培训，提升相关人员的专业素养。为确保安全保密工作的有效落实，相关人员须签订安全保密协议，明确各自的安全和保密义务及责任。

2.5 制度与考核指标体系

在等级保护2.0标准的框架下，高校网络安全制度体系的建设应严格遵循国家相关的网络安全法律法规[9]，并结合学校自身的实际情况进行量身定制。为此，高校应积极构建完善的网络安全制度体系架构，明确制订网络安全责任制的考核指标，并建立健全的应急事件响应机制。在具体操作中，应根据网络安全管理的各个环节和方面，制定详细的管理规定、管理办法及实施细则，确保这些制度不仅具有可操作性，而且能够得到有效的推行和实施。

此外，网络安全工作应被视为一项重要项目，纳入学校数字化校园的中长期发展规划、智慧校园建设未来五年规划以及年度工作计划之中。为确保网络安全工作的持续推进和有效落实，高校应定期进行中期检查和终期绩效考核，并定期召开校级的网络安全分析和防范部署专题会议。

根据《中华人民共和国网络安全法》[4]第五十三条的规定，高校还应建立完善的网络安全风险评估机制，并制订针对网络安全事件的应急处置预案。为检验预案的有效性和提高应急响应能力，高校还应定期组织网络安全事件分析处置的实战演练。一旦学校发生突发的网络安全事件，网信办应立即启动应急处置预案，指导网络安全员和系统管理员在合规的前提下采取必要措施，迅速消除安全隐患。同时，网信办应对网络安全事件进行全面调查和风险评估，并妥善保留相关证据，以备后期事件处置之需。

3 网络安全保障工作未来展望

随着物联网、人工智能、虚拟现实、5G融合、空天网络、GTP人工智能等尖端技术在高等教育领域的广泛应用，高校网络安全正面临前所未有的挑战。为应对这些挑战，网络数据安全管理体系必须持续进化，适应新问题、新形势和新技术的发展需求。尽管网络自身的特性决定了绝对的安全难以实现，但高校仍须坚持统筹发展与安全的原则，全面提升技术能力和管理水平。

未来，高校应对校园网系统进行全面深入的安全评估，确保等保工作中“三员”（即系统管理员、安全管理员和审计管理员） 的职责与义务得到有效落实。同时，高校应着力提升校园网的复原力，构建可靠稳定的数字校园生态系统。在此过程中，依法管理将成为推动高校网络良性、可持续发展的核心力量。通过不断完善管理体系、提升技术能力和强化法律意识，高校将能够在新技术的浪潮中稳步前行，为师生提供更加安全、便捷的网络服务。