張 巍，于廣輝，李先毅

（大連理工大學(xué) 網(wǎng)絡(luò)與信息化中心，遼寧 大連116024）

“沒有信息化，就沒有現(xiàn)代化；沒有網(wǎng)絡(luò)安全，就沒有國家安全”，習(xí)近平總書記對信息化和網(wǎng)絡(luò)安全工作的講話充分說明了黨中央國務(wù)院已經(jīng)把推進(jìn)信息化建設(shè)、加強(qiáng)網(wǎng)絡(luò)信息安全工作擺在了國家戰(zhàn)略的高度。2017年6月1日開始施行的《網(wǎng)絡(luò)安全法》是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理的基礎(chǔ)性法律，明確了網(wǎng)絡(luò)安全與信息化發(fā)展并重的原則，對網(wǎng)絡(luò)安全工作的違法行為做出了明確的法律責(zé)任界定。在當(dāng)前國內(nèi)外網(wǎng)絡(luò)信息安全形勢日益嚴(yán)峻的基本態(tài)勢下，高校也不是一片凈土，高校的網(wǎng)絡(luò)信息安全工作已成為高校信息化部門不得不面對且必須主動開展的一項(xiàng)常規(guī)工作。

一、高校網(wǎng)絡(luò)信息安全的主要問題

高校網(wǎng)絡(luò)信息安全主要面臨四個方面的問題：一是網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全，包括網(wǎng)絡(luò)設(shè)備安全、安全漏洞、非授權(quán)訪問、拒絕服務(wù)攻擊等；二是網(wǎng)站技術(shù)和內(nèi)容安全，包括網(wǎng)站篡改、暗鏈、非法指向、惡意注冊、內(nèi)容安全等；三是數(shù)據(jù)安全，包括非法采集、非法竊取、非法使用、非法篡改、工作疏忽泄露數(shù)據(jù)等；四是個人網(wǎng)絡(luò)信息安全，包括個人PC防護(hù)、補(bǔ)丁升級、弱密碼訪問、釣魚郵件、勒索病毒、惡意網(wǎng)站等。

二、高校網(wǎng)絡(luò)信息安全工作的困境

高校信息化部門承擔(dān)著繁重的信息化建設(shè)任務(wù)，同時也認(rèn)識到網(wǎng)絡(luò)信息安全工作是與信息化建設(shè)相伴而生，同等重要的工作，各高校也都在采取各種措施加強(qiáng)網(wǎng)絡(luò)信息安全建設(shè)與管理，強(qiáng)化網(wǎng)絡(luò)運(yùn)行安全，保障數(shù)據(jù)安全。

高校信息化部門在開展網(wǎng)絡(luò)信息安全工作中也面對諸多困境：一是工作壓力山大，包括工作自身壓力、上級監(jiān)管壓力、法律責(zé)任壓力等。各高校信息化部門在安全人員普遍不足的情況下，要承擔(dān)大量的日常安全管理工作，特別是在重大活動、敏感時期、節(jié)假日、大規(guī)模病毒爆發(fā)期間，以及《網(wǎng)絡(luò)安全法》施行后法律責(zé)任認(rèn)定方面，使信息化部門承擔(dān)的壓力更顯突出。二是責(zé)權(quán)利不對等，信息化部門與業(yè)務(wù)部門職能定位不清。信息化部門一般作為學(xué)校的服務(wù)保障部門，管理權(quán)力有限，話語權(quán)有限，人力有限，但對網(wǎng)絡(luò)信息安全卻要承擔(dān)無限的責(zé)任。盡管網(wǎng)絡(luò)信息安全實(shí)行“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，但真正發(fā)生網(wǎng)絡(luò)信息安全事件時，業(yè)務(wù)部門往往以“不懂技術(shù)”、“沒有專職人員”為由躲得遠(yuǎn)遠(yuǎn)，信息化部門還是要承擔(dān)一定的責(zé)任。三是信息化部門承擔(dān)的崗位角色混淆。網(wǎng)絡(luò)信息安全管理模式、體制機(jī)制模糊導(dǎo)致信息化部門對自己在網(wǎng)絡(luò)信息安全工作中到底該做什么不甚清晰，同時擔(dān)任著保鏢、消防員、警察、法官等多個角色，執(zhí)行每個角色都比較尷尬。

三、對高校網(wǎng)絡(luò)信息安全工作的認(rèn)識

高校網(wǎng)絡(luò)信息安全工作的最根本任務(wù)是通過管理手段和技術(shù)手段降低安全風(fēng)險(xiǎn)，也就是進(jìn)行網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)管理和控制。對于網(wǎng)絡(luò)信息安全工作，我們要高度重視技術(shù)保障、技術(shù)防范，同時也要清楚地認(rèn)識到漏洞和安全威脅是永遠(yuǎn)客觀存在的，沒有一項(xiàng)技術(shù)能解決所有安全問題，沒有一個廠商能解決所有問題，沒有一個一勞永逸的安全解決方案。網(wǎng)絡(luò)信息安全工作歸根結(jié)底還要靠信息化部門自己解決，技術(shù)解決不了的問題通過管理解決，管理解決不了的問題通過技術(shù)解決。在當(dāng)前高校已經(jīng)普遍配備各類網(wǎng)絡(luò)信息安全防護(hù)技術(shù)設(shè)備的背景下，通過加強(qiáng)管理來提高網(wǎng)絡(luò)信息安全防范水平就顯得更為重要。

四、網(wǎng)絡(luò)信息安全管理工作實(shí)踐

1.組織保障

網(wǎng)絡(luò)信息安全工作必須自上而下有一套完整的組織架構(gòu)和人員隊(duì)伍，這樣才能在規(guī)則制定、安全防范、問題處理等各環(huán)節(jié)切實(shí)加強(qiáng)網(wǎng)絡(luò)信息安全工作。大連理工大學(xué)成立的“網(wǎng)絡(luò)安全與信息化建設(shè)管理委員會”由黨委書記和校長擔(dān)任主任，分管信息化、輿情安全、政治保衛(wèi)安全的三位校領(lǐng)導(dǎo)擔(dān)任副主任。委員會下設(shè)“網(wǎng)絡(luò)與信息安全工作組”，由宣傳部、保衛(wèi)部、網(wǎng)信中心的負(fù)責(zé)人共同擔(dān)任組長，負(fù)責(zé)全校輿情、政治保衛(wèi)、網(wǎng)絡(luò)信息安全工作的總體規(guī)劃、規(guī)則制定、工作檢查、網(wǎng)絡(luò)信息安全事件處理與追責(zé)等工作。同時，學(xué)校各二級單位設(shè)有“信息化負(fù)責(zé)人”和“信息化專干”，分別由各二級單位主要負(fù)責(zé)人和信息化具體工作人員擔(dān)任，負(fù)責(zé)本單位信息化和網(wǎng)絡(luò)安全建設(shè)工作。

2.制度保障

推動網(wǎng)絡(luò)信息安全工作必須制度先行。制度在規(guī)范工作內(nèi)容、工作流程、明確責(zé)任等方面發(fā)揮著重要作用。大連理工大學(xué)近幾年在加強(qiáng)網(wǎng)絡(luò)信息安全工作方面陸續(xù)出臺了 《網(wǎng)絡(luò)信息技術(shù)安全管理辦法》、《校內(nèi)網(wǎng)站建設(shè)管理辦法》、《信息化數(shù)據(jù)資源管理辦法》、《信息化建設(shè)管理辦法》等管理辦法，從網(wǎng)絡(luò)信息安全、數(shù)據(jù)安全、網(wǎng)站安全、信息化建設(shè)等方面做出明確規(guī)定和要求。

3.管理保障技術(shù)保障

加強(qiáng)網(wǎng)絡(luò)信息安全管理是防范安全風(fēng)險(xiǎn)的有效手段。大連理工大學(xué)通過相關(guān)制度和管理措施明確了各項(xiàng)網(wǎng)絡(luò)信息安全工作要求。

在網(wǎng)絡(luò)基礎(chǔ)設(shè)施和信息系統(tǒng)建設(shè)方面，學(xué)校由網(wǎng)信中心統(tǒng)一建設(shè)互聯(lián)網(wǎng)出口，校內(nèi)各單位及個人不得自行建設(shè)，不得私接外網(wǎng)出口；校內(nèi)信息系統(tǒng)的建設(shè)必須依托于網(wǎng)信中心的數(shù)據(jù)中心，使用學(xué)校域名、IP地址；校內(nèi)非數(shù)據(jù)中心IP不得提供互聯(lián)網(wǎng)服務(wù)，特殊情況需審批，只能是用于科研需要且無法納入數(shù)據(jù)中心的信息系統(tǒng)（不含網(wǎng)站）；面向全校師生使用的校內(nèi)信息系統(tǒng)必須實(shí)行統(tǒng)一身份認(rèn)證，不允許出現(xiàn)多套用戶認(rèn)證體系；各信息化項(xiàng)目上線、驗(yàn)收前必須通過必要的信息安全檢測；信息化項(xiàng)目建設(shè)應(yīng)由專業(yè)的軟硬件廠商按標(biāo)準(zhǔn)軟件項(xiàng)目管理流程建設(shè)，不允許委托個人建設(shè)（特別不允許老師帶學(xué)生建設(shè)）；信息化項(xiàng)目合同模板中，明確要求承建廠商必須負(fù)責(zé)解決項(xiàng)目全生命周期內(nèi)系統(tǒng)自身的安全問題；網(wǎng)絡(luò)安全等級保護(hù)工作由網(wǎng)信中心組織協(xié)調(diào)，各單位具體負(fù)責(zé)；網(wǎng)信中心有權(quán)對網(wǎng)絡(luò)安全事件進(jìn)行處理，直至停止網(wǎng)絡(luò)信息服務(wù)、追究責(zé)任等。

在網(wǎng)站建設(shè)方面，明確校內(nèi)網(wǎng)站主要提供信息發(fā)布功能，各類應(yīng)用系統(tǒng)應(yīng)與網(wǎng)站分離；各類網(wǎng)站不得設(shè)置論壇、留言板等互動欄目；所有校內(nèi)網(wǎng)站需統(tǒng)一管理，統(tǒng)一使用學(xué)校域名（避免非學(xué)校域名、非學(xué)校IP的“雙非”網(wǎng)站出現(xiàn)）；數(shù)據(jù)中心對非學(xué)校域名進(jìn)行了技術(shù)處理，禁止發(fā)布非學(xué)校信息系統(tǒng)；校內(nèi)網(wǎng)站必須依托學(xué)校網(wǎng)站群系統(tǒng)建設(shè)和管理，不得使用其他方式建設(shè)；校內(nèi)網(wǎng)站如在技術(shù)和管理上有特殊需求，不能部署在學(xué)校網(wǎng)站群系統(tǒng)中，網(wǎng)站主管單位信息化負(fù)責(zé)人應(yīng)簽署《自建網(wǎng)站安全承諾書》，自行建設(shè)網(wǎng)站，承擔(dān)網(wǎng)站的全部安全責(zé)任；校內(nèi)網(wǎng)站全部登記注冊，不再使用時需及時注銷相關(guān)域名及服務(wù)，不得棄管網(wǎng)站等。

在數(shù)據(jù)安全管理方面，明確了數(shù)據(jù)共享的原則，即以全面共享為根本，不共享為例外，學(xué)校各單位可合法、合理、依規(guī)使用共享數(shù)據(jù)；全校性業(yè)務(wù)系統(tǒng)必須與公共數(shù)據(jù)平臺對接，對接以接口方式為主要途徑；公共數(shù)據(jù)平臺可獲取的數(shù)據(jù)，不得重復(fù)采集；加強(qiáng)數(shù)據(jù)管理和更新，嚴(yán)格數(shù)據(jù)管理授權(quán)，保留數(shù)據(jù)運(yùn)維日志記錄；數(shù)據(jù)資源共享分為普遍共享類、有條件共享類、不共享類三種類型（后兩類應(yīng)有明確的政策依據(jù)）；各部門有權(quán)利根據(jù)履職需要提出信息化數(shù)據(jù)需求，同時也有義務(wù)提供共享數(shù)據(jù)；數(shù)據(jù)使用申請上，普遍共享類數(shù)據(jù)向網(wǎng)信中心申請，審批后提供；有條件共享類數(shù)據(jù)向網(wǎng)信中心申請，業(yè)務(wù)主管部門審批后確認(rèn)是否提供；數(shù)據(jù)使用管理上按照“誰使用，誰負(fù)責(zé)”的原則，做好數(shù)據(jù)全過程管理，有疑問數(shù)據(jù)提交到數(shù)據(jù)產(chǎn)生部門校核修正；校內(nèi)共享數(shù)據(jù)只能通過公共數(shù)據(jù)平臺獲得，不得在業(yè)務(wù)部門間以離線文件形式傳遞；個人隱私數(shù)據(jù)保護(hù)方面，所有數(shù)據(jù)采集須有明確用途，且?guī)熒鷤€人應(yīng)知情同意；使用數(shù)據(jù)資源應(yīng)保護(hù)個人隱私，只能用于申請的授權(quán)用途；違反數(shù)據(jù)資源辦法行為要追責(zé)等。

4.技術(shù)保障

技術(shù)防范也是保證網(wǎng)絡(luò)信息安全的一項(xiàng)重要工作。管理工作無法解決的問題就要靠技術(shù)手段來解決，管理只有與技術(shù)有效融合、互相補(bǔ)充才能達(dá)到最好的安全防范效果。

大連理工大學(xué)一直采用 “最小化訪問”、“零信任VPN服務(wù)”的原則來加強(qiáng)網(wǎng)絡(luò)信息安全工作。校園網(wǎng)邊界啟用狀態(tài)防火墻，默認(rèn)只允許校內(nèi)向校外單向訪問，除數(shù)據(jù)中心和特殊審批的地址外均無法對校外提供服務(wù)；只對校內(nèi)師生提供的服務(wù)，均不提供校外訪問權(quán)限；校外訪問校內(nèi)資源只能通過VPN，大并發(fā)容量（2000個），集成下一代防火墻和攻擊防護(hù)，只允許網(wǎng)頁、電子郵件、即時通訊等應(yīng)用；校內(nèi)高風(fēng)險(xiǎn)端口訪問隔離（445等）；數(shù)據(jù)中心對校外開放特定端口（80、8080、443），數(shù)據(jù)中心對校內(nèi)及數(shù)據(jù)中心之間關(guān)閉特定端口（3389、22、445、135、136、137、139）；個別非數(shù)據(jù)中心服務(wù)及非標(biāo)準(zhǔn)端口開放服務(wù)需要經(jīng)過審批，所有數(shù)據(jù)中心的應(yīng)用需要經(jīng)過安全評估后才允許上線（內(nèi)部評測、外部評測）；數(shù)據(jù)中心云平臺進(jìn)行統(tǒng)一的安全防護(hù)（WAF、無代理防病毒、虛擬補(bǔ)丁、包過濾防火墻、IPS）；建立內(nèi)部、外部運(yùn)維審計(jì)制度，對校內(nèi)校外運(yùn)維工作都進(jìn)行審計(jì)，內(nèi)部關(guān)鍵業(yè)務(wù)逐步強(qiáng)制通過內(nèi)部運(yùn)維堡壘機(jī)運(yùn)維管理，外部服務(wù)商必須通過外部運(yùn)維堡壘機(jī)以口令＋二次認(rèn)證的方式登錄使用；在重大事件、敏感時期等的應(yīng)急響應(yīng)技術(shù)部分外包給專業(yè)公司承擔(dān)等。

在網(wǎng)站安全技術(shù)防范方面，所有網(wǎng)站必須在網(wǎng)站群平臺搭建，統(tǒng)一生成靜態(tài)頁面發(fā)布，嚴(yán)格限制動態(tài)組件的使用，并開啟防篡改功能；在服務(wù)器配置上，開發(fā)、管理、發(fā)布三套獨(dú)立服務(wù)器分開，開發(fā)、管理服務(wù)器嚴(yán)格限制訪問；發(fā)布服務(wù)器僅開80端口；網(wǎng)站群實(shí)行集群部署，保證負(fù)載能力和可擴(kuò)展性；集群分區(qū)管理（學(xué)校主頁、新聞網(wǎng)、二級單位網(wǎng)站）；嚴(yán)格區(qū)分網(wǎng)站開發(fā)人員、網(wǎng)站管理人員權(quán)限，開發(fā)人員有開發(fā)平臺權(quán)限，臨時賬號（非統(tǒng)一身份認(rèn)證），網(wǎng)站管理員有管理平臺權(quán)限（統(tǒng)一身份認(rèn)證）；網(wǎng)站開發(fā)、修改原則上都在開發(fā)服務(wù)器上進(jìn)行，完成后由平臺管理員導(dǎo)入管理服務(wù)器并發(fā)布，網(wǎng)站管理人員在管理服務(wù)器進(jìn)行日常管理。

5.平臺保障

為解決學(xué)校信息化無序和重復(fù)建設(shè)，避免低質(zhì)量建設(shè)導(dǎo)致的安全隱患和問題，學(xué)校有必要建設(shè)一些信息化公共平臺，統(tǒng)一進(jìn)行安全管理，滿足學(xué)校各單位、師生的信息化應(yīng)用需求。

建設(shè)私有云平臺，將分散的資源集中管理和部署，集中進(jìn)行云平臺的安全防護(hù)。學(xué)校不允許各部門購買應(yīng)用級服務(wù)器，規(guī)定學(xué)校所有（不含科研）信息化應(yīng)用必須部署在學(xué)校云平臺中。大連理工大學(xué)在私有云平臺建設(shè)中，將廣義的基礎(chǔ)設(shè)施（包括網(wǎng)絡(luò)、存儲、服務(wù)器、虛擬化平臺、備份等）統(tǒng)一整合管理，統(tǒng)一進(jìn)行安全管理[1]，集中打包對內(nèi)外部提供云主機(jī)服務(wù)，給用戶完全的控制權(quán)限。用戶通過云管理平臺，可以自助申請，選擇CPU核數(shù)、內(nèi)存、存儲以及操作系統(tǒng)后，平臺自動為用戶配置生成虛擬云主機(jī)。

建設(shè)網(wǎng)站群集群平臺，將學(xué)校所有網(wǎng)站集中部署并進(jìn)行分類管理。目前學(xué)校所有二級單位、學(xué)部、學(xué)院、研究所、實(shí)驗(yàn)室等網(wǎng)站已經(jīng)全部部署到網(wǎng)站群集群中，有效地降低了網(wǎng)站安全風(fēng)險(xiǎn)和開發(fā)、部署及管理成本，同時也打通了信息共享渠道，為智慧校園信息整合打下基礎(chǔ)。

建設(shè)教師個人主頁平臺，將全校教師的科研、教學(xué)、招生和學(xué)生等信息在平臺中集中展示，平臺的安全由網(wǎng)信中心統(tǒng)一管理。目前學(xué)校2000余名教師已經(jīng)開通了教師個人主頁，有效地避免了傳統(tǒng)的由教師個人建設(shè)主頁的技術(shù)門檻和管理成本，避免了教師個人主頁建設(shè)的安全風(fēng)險(xiǎn)。

建設(shè)會議網(wǎng)平臺，為學(xué)校各單位組織舉辦的國際國內(nèi)各類會議提供一站式網(wǎng)站建設(shè)服務(wù)。該平臺實(shí)現(xiàn)了會議中英文網(wǎng)站建設(shè)、會議信息發(fā)布、會議人員注冊管理、網(wǎng)上論文投稿評審、住宿預(yù)訂安排、會議繳費(fèi)等功能。

建設(shè)調(diào)查問卷平臺，用于學(xué)校各類問卷調(diào)查、數(shù)據(jù)收集、線上報(bào)名、投票評比等用途。平臺具有在線調(diào)查問卷的創(chuàng)建、設(shè)計(jì)、預(yù)覽以及結(jié)果分析等功能。

建設(shè)校內(nèi)活動網(wǎng)平臺，用于學(xué)校舉辦的各類報(bào)告會、學(xué)術(shù)講座、論壇、各類活動的線上審批和網(wǎng)站集中發(fā)布，并可實(shí)現(xiàn)按活動類型、精品活動內(nèi)容、按月、周、日查詢等功能。

五、高校網(wǎng)絡(luò)信息安全的未來方向

隨著網(wǎng)絡(luò)安全事件的不斷爆發(fā)，全民網(wǎng)絡(luò)安全意識和個人隱私保護(hù)意識的提升，高校網(wǎng)絡(luò)信息安全工作未來將面臨更大的挑戰(zhàn)和壓力。高校應(yīng)充分認(rèn)識到信息化建設(shè)和網(wǎng)絡(luò)信息安全建設(shè)是一體之兩翼，驅(qū)動之雙輪，信息化建設(shè)水平越高，面臨的風(fēng)險(xiǎn)和責(zé)任也越大，必須對網(wǎng)絡(luò)信息安全工作給予更多的投入和更高的重視，將網(wǎng)絡(luò)信息安全工作貫穿于信息化建設(shè)、信息化運(yùn)維的全過程。同時，信息化已經(jīng)進(jìn)入數(shù)據(jù)時代，當(dāng)前許多高校正在進(jìn)行數(shù)據(jù)共享、公共數(shù)據(jù)平臺建設(shè)，掌握大量數(shù)據(jù)的同時也集中了風(fēng)險(xiǎn)，數(shù)據(jù)安全、數(shù)據(jù)使用、決策支持、隱私保護(hù)等等問題已經(jīng)觸及了法律和倫理地帶，需要高校信息化工作者帶著對數(shù)據(jù)安全的敬畏認(rèn)真思考，使數(shù)據(jù)在合法合規(guī)的前提下發(fā)揮更大的作用。

參考文獻(xiàn)：

[1]于廣輝,高山.大連理工大學(xué)重新定義校園云服務(wù)[J].中國教育網(wǎng)絡(luò),2015(10):22-23.