○劉雪婷，雷軍程

(1.邵陽學(xué)院 政法學(xué)院，湖南 邵陽 422000；2.邵陽學(xué)院 網(wǎng)絡(luò)信息中心，湖南 邵陽 422000)

2017年6月1日起，《中華人民共和國網(wǎng)絡(luò)安全法》(下文簡稱《網(wǎng)絡(luò)安全法》)正式頒布執(zhí)行。制定《網(wǎng)絡(luò)安全法》的宗旨是為了“保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會信息化健康發(fā)展”[1]。本法實施至今已有一年多時間，對我國網(wǎng)絡(luò)安全治理起到了非常重要的作用。其間，有一些單位沒能做到認(rèn)真學(xué)習(xí)本法，加強(qiáng)網(wǎng)絡(luò)安全保護(hù)，也為自己的“懈怠”付出了慘痛的代價。2017年10月，國家網(wǎng)絡(luò)與信息安全中心監(jiān)控發(fā)現(xiàn)某職業(yè)技術(shù)學(xué)院系統(tǒng)存在高危漏洞。經(jīng)過現(xiàn)場勘驗和調(diào)查，確認(rèn)該校招生信息管理系統(tǒng)存在越權(quán)漏洞，后臺登錄密碼弱口令，學(xué)院未落實網(wǎng)絡(luò)安全管理制度，未建立網(wǎng)絡(luò)安全防護(hù)技術(shù)措施，網(wǎng)絡(luò)日志留存少于六個月，未采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密措施，致使系統(tǒng)存儲的4千多名學(xué)生的身份信息泄露。該市公安局網(wǎng)安支隊依法傳喚學(xué)院分管網(wǎng)絡(luò)信息安全工作的院長、網(wǎng)絡(luò)中心主任及相關(guān)工作人員進(jìn)行調(diào)查，確認(rèn)該學(xué)校因未落實網(wǎng)絡(luò)安全等級保護(hù)制度造成數(shù)據(jù)泄露，依法對該校處以立即整改和行政警告的處罰措施。[2]2017年8月，安徽某縣教師進(jìn)修學(xué)校網(wǎng)站因網(wǎng)絡(luò)安全防護(hù)等級保護(hù)制度落實不到位，遭遇黑客攻擊入侵，未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，該校被依法處以一萬五千元罰款，對負(fù)有直接責(zé)任的副校長處以五千元的罰款。[3]這些案例的發(fā)生，暴露了我國高校的信息化建設(shè)存在的一些嚴(yán)重問題：高校的管理者和師生網(wǎng)絡(luò)安全意識淡薄，法律意識淡薄，學(xué)校缺乏依法進(jìn)行信息建設(shè)的頂層設(shè)計，缺乏統(tǒng)一部署和統(tǒng)一管理?！毒W(wǎng)絡(luò)安全法》的頒布實施是高校信息化建設(shè)的機(jī)遇，如何在《網(wǎng)絡(luò)安全法》框架下更好地完成高校信息化，實現(xiàn)信息化與教學(xué)深度融合這一目標(biāo)，是未來一段時間必須解決的關(guān)鍵問題。

一、依法開展信息化建設(shè)處理的關(guān)鍵性問題

(一)正確處理安全與發(fā)展的關(guān)系

對于高校信息化建設(shè)中的網(wǎng)絡(luò)安全，目前存在兩種片面性觀點。一種觀點片面放大網(wǎng)絡(luò)安全對信息化建設(shè)的“制約”作用，認(rèn)為網(wǎng)絡(luò)安全會額外增加不必要的資金和人力投入，延長項目建設(shè)周期，學(xué)校因此會錯過信息化發(fā)展的有利時機(jī)。另一種觀點則認(rèn)為，網(wǎng)絡(luò)安全如此重要，信息系統(tǒng)存在被攻擊、被破壞的潛在風(fēng)險，為了避免因安全保護(hù)不到位被上級或主管部門追責(zé)，我們應(yīng)該暫停信息化建設(shè)甚至撤銷已建項目。這兩種觀點都將安全與發(fā)展對立起來，只是片面地考慮到一部分情況，并將之放大到整體當(dāng)中。如果將教育信息化比作一個“人”字，安全與發(fā)展就如同“人”的左右兩撇，兩方面互相支撐才能保證教育信息化有序、平穩(wěn)、健康地發(fā)展。

《網(wǎng)絡(luò)安全法》第三條為：“國家堅持網(wǎng)絡(luò)安全與信息化發(fā)展并重，遵循積極利用、科學(xué)發(fā)展、依法管理、確保安全的方針，推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)和互聯(lián)互通，鼓勵網(wǎng)絡(luò)技術(shù)創(chuàng)新和應(yīng)用，支持培養(yǎng)網(wǎng)絡(luò)安全人才，建立健全網(wǎng)絡(luò)安全保障體系，提高網(wǎng)絡(luò)安全保護(hù)能力?！盵1]從此條可以看出，在高校信息化建設(shè)中，對于安全與發(fā)展應(yīng)當(dāng)兼顧并重，協(xié)調(diào)平衡，既要確保網(wǎng)絡(luò)的安全性，也不能阻礙到信息化的建設(shè)發(fā)展，不能采用將某一部分拆分出來單獨解決這種“頭痛醫(yī)頭腳痛醫(yī)腳”的簡單粗暴式問題應(yīng)對方法。

(二)正確認(rèn)識信息系統(tǒng)定級保護(hù)的重要性

對于信息系統(tǒng)定級保護(hù)，雖然相關(guān)法規(guī)條例的出臺實施已有二十余年，目前在高校信息化建設(shè)中仍存在著兩種錯誤觀點。一種是心存僥幸，不少高校認(rèn)為本校網(wǎng)絡(luò)規(guī)模小，信息系統(tǒng)數(shù)量少，出現(xiàn)網(wǎng)絡(luò)安全問題的概率小，信息系統(tǒng)等級保護(hù)需要做，但目前學(xué)校沒有這樣的人才，也缺乏相關(guān)的經(jīng)費，可以先等一等看其他學(xué)校怎么做。另一種是消極對待，不能正確對待信息系統(tǒng)網(wǎng)絡(luò)安全等級評定。按照規(guī)定，保護(hù)等級越高，保護(hù)的投入和成本越高，三級系統(tǒng)每一年要測評一次，二級系統(tǒng)每兩年測評一次，而一級系統(tǒng)則只需定級不用測評。因此有些學(xué)校定級不嚴(yán)格執(zhí)行標(biāo)準(zhǔn)，寧可降一級不愿意高一級，對信息系統(tǒng)和網(wǎng)絡(luò)安全保護(hù)建設(shè)“同步設(shè)計，同步建設(shè)，同步投入”的要求有所抵觸。產(chǎn)生這兩類錯誤觀點的根本原因，在于對網(wǎng)絡(luò)安全重要性的理解過少，對因網(wǎng)絡(luò)安全保護(hù)不力可能對社會、經(jīng)濟(jì)產(chǎn)生的巨大危害缺乏足夠的認(rèn)識。

《網(wǎng)絡(luò)安全法》第二十一條：國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。具體措施有：制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護(hù)責(zé)任；采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。[1]

從1994年國務(wù)院頒布的《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》確立了信息系統(tǒng)定級保護(hù)制度開始(第九條，計算機(jī)信息系統(tǒng)實行安全等級保護(hù))，1999年出臺了《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》將信息系統(tǒng)進(jìn)行了準(zhǔn)確定級，2007年由四部委聯(lián)合下發(fā)《信息安全等級保護(hù)管理辦法》，明確了對于信息系統(tǒng)等級保護(hù)制度的具體管理，陸續(xù)出臺的各項信息系統(tǒng)等級保護(hù)的標(biāo)準(zhǔn)和辦法，無一不表明著信息系統(tǒng)定級保護(hù)(《網(wǎng)絡(luò)安全法》稱為網(wǎng)絡(luò)安全等級保護(hù)制度)的重要性，而《網(wǎng)絡(luò)安全法》再次強(qiáng)調(diào)了這一制度，并以第二十一條全條的形式完整詳細(xì)地進(jìn)行了規(guī)范，可見這一制度的重要程度。對于高校信息化建設(shè)的決策者和實施者們來說，必須認(rèn)識到實行這一制度的必要性和重要性，提高認(rèn)識，改變認(rèn)知，加強(qiáng)重視，在信息化建設(shè)中積極建設(shè)、完成、完善，全面落實這一制度。

(三)正確處理制度建設(shè)和技術(shù)防護(hù)的關(guān)系

想要做好網(wǎng)絡(luò)信息安全防護(hù)，加強(qiáng)管理和技術(shù)投入缺一不可。制度是搞好網(wǎng)絡(luò)安全管理的基礎(chǔ)，也是實現(xiàn)網(wǎng)絡(luò)安全目標(biāo)的保障，技術(shù)則是實現(xiàn)目標(biāo)的手段?！毒W(wǎng)絡(luò)安全法》中多處條款都對制度建設(shè)和技術(shù)防護(hù)做了詳細(xì)的規(guī)定[1]，如第二十九條“有關(guān)行業(yè)組織建立健全本行業(yè)的網(wǎng)絡(luò)安全保護(hù)規(guī)范和協(xié)作機(jī)制，加強(qiáng)對網(wǎng)絡(luò)安全風(fēng)險的分析評估”，第四十條“網(wǎng)絡(luò)運營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度”，第四十九條“網(wǎng)絡(luò)運營者應(yīng)當(dāng)建立網(wǎng)絡(luò)信息安全投訴、舉報制度，公布投訴、舉報方式等信息，及時受理并處理有關(guān)網(wǎng)絡(luò)信息安全的投訴和舉報”[1]。又如第二十一條，強(qiáng)調(diào)了必須履行”采取防范計算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施”的義務(wù)。

制度確定了規(guī)范、目標(biāo)、途徑，有了切實可行的制度才能確保信息系統(tǒng)安全保護(hù)有章可循，不至于出現(xiàn)大的紕漏，有行動的方向和目標(biāo)。要搞好高校信息化建設(shè)，建立起自身的相應(yīng)制度勢在必行。

而由于信息技術(shù)的發(fā)展，信息系統(tǒng)的規(guī)模、影響范圍已經(jīng)與網(wǎng)絡(luò)普及之初發(fā)生了翻天覆地的變化，今天的信息安全保障單純靠人的手動檢查已經(jīng)無法完成，唯有借助防火墻、入侵檢測、數(shù)據(jù)加密、訪問控制等傳統(tǒng)安全技術(shù)以及人工智能、大數(shù)據(jù)分析等新型技術(shù)手段才能達(dá)到理想的效果。每年的信息泄露事件層出不窮，大多是技術(shù)的陳舊落后所導(dǎo)致，而事件一旦發(fā)生，影響很難消除。因此，對于技術(shù)力量不可不重視，不能仍停留在過去的觀念里，認(rèn)為技術(shù)只是簡單的輔助手段，起不了什么大作用，而不愿意對技術(shù)的更新升級換代進(jìn)行投入，更不能認(rèn)為技術(shù)的投入花費較大而“能用就先用著”，到出了大問題才想起彌補(bǔ)。

二、建設(shè)管理策略

(一)依法建設(shè)

黨的十八屆四中全會提出了科學(xué)立法、嚴(yán)格執(zhí)法、公正司法、全民守法的“新十六字”法制建設(shè)方針?！毒W(wǎng)絡(luò)安全法》作為網(wǎng)絡(luò)安全領(lǐng)域的綜合性法律，為我們依法處理網(wǎng)絡(luò)安全問題提供了重要的法律依據(jù)。學(xué)校開展信息化建設(shè)必須符合網(wǎng)絡(luò)安全法的規(guī)定，否則就會違法，要接受法律的處罰。因此，要根據(jù)國家網(wǎng)絡(luò)安全相關(guān)政策、標(biāo)準(zhǔn)，結(jié)合高校教育信息化的需要，制定高校信息化建設(shè)總體目標(biāo)、原則與要求，將依法建設(shè)貫穿信息化建設(shè)的全過程。

守法的第一步是學(xué)法?！毒W(wǎng)絡(luò)安全法》2017年6月才正式頒布，很多人還不了解這部法律的內(nèi)容甚至還不清楚我國已出臺了這樣一部法律。因此，需要領(lǐng)導(dǎo)干部帶頭學(xué)習(xí)，并對全校的師生開展《網(wǎng)絡(luò)安全法》宣傳和普法教育。只有人人都學(xué)法懂法，才能將網(wǎng)絡(luò)安全意識根植于心，人人都成為法律執(zhí)行的監(jiān)督者，才能確保學(xué)校的信息化工作依法順利開展。而建立和完善信息化建設(shè)相關(guān)的規(guī)章制度，可以確保高校在法律的框架下進(jìn)行信息化建設(shè)。如在信息化建設(shè)立項、招標(biāo)前，邀請法律專家對項目進(jìn)行審核，以保證項目流程依法順利進(jìn)行。

(二)落實網(wǎng)絡(luò)安全保障，為信息化建設(shè)護(hù)航

1.健全組織機(jī)構(gòu)，明確責(zé)任分工，落實安全責(zé)任。

目前，為了加強(qiáng)信息化建設(shè)，各高校都成立了信息化領(lǐng)導(dǎo)小組，并由學(xué)校的校領(lǐng)導(dǎo)擔(dān)任組長。隨著網(wǎng)絡(luò)安全問題的日益突出，許多高校也適時成立了網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組。習(xí)近平同志在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次工作會議上指出，“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實施。做好網(wǎng)絡(luò)安全和信息化工作，要處理好安全和發(fā)展的關(guān)系，做到協(xié)調(diào)一致、齊頭并進(jìn)，以安全保發(fā)展、以發(fā)展促安全”[5]，為提高行政效能，高?？蓪⒃械男畔⒒I(lǐng)導(dǎo)小組和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組合并，成立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，以更好地制定工作規(guī)范，明確各成員的職責(zé)。而領(lǐng)導(dǎo)小組應(yīng)當(dāng)依照法律法規(guī)和工作規(guī)范切實開展工作，避免成為虛有其表的“空殼”機(jī)構(gòu)。

2.完善信息系統(tǒng)與網(wǎng)絡(luò)安全管理制度

(1)信息化項目管理制度。完善和修訂信息化項目管理制度，對照相關(guān)法律條文，從項目立項開始，對項目的審核、審批、招標(biāo)、實施、運營維護(hù)、退出的每個階段制定相應(yīng)的操作和管理規(guī)范。例如，完善信息系統(tǒng)和網(wǎng)絡(luò)安全保護(hù)建設(shè)“同步設(shè)計，同步建設(shè)，同步投入”(參照“三同時”制度)的具體要求和實施辦法；采購的關(guān)鍵網(wǎng)絡(luò)安全產(chǎn)品須符合法律的相關(guān)規(guī)定等。(2)信息系統(tǒng)運行管理制度。按照“誰主管，誰負(fù)責(zé)，誰建設(shè)，誰管理”的原則明確信息系統(tǒng)運行管理的權(quán)責(zé)利。強(qiáng)化信息系統(tǒng)運行的信息安全保護(hù)，從服務(wù)器系統(tǒng)防漏洞、病毒木馬檢測、備份和還原、數(shù)據(jù)保護(hù)、數(shù)據(jù)庫安全審計等環(huán)節(jié)進(jìn)行規(guī)范。(3)用戶信息管理制度。收集用戶信息要取得用戶同意予以授權(quán)，用戶的敏感信息更要妥善保存，公開信息時涉及用戶隱私的要脫敏處理。(4)信息安全保障制度。制定完備的網(wǎng)絡(luò)安全應(yīng)急處理預(yù)案，網(wǎng)絡(luò)病毒和安全漏洞檢測制度、信息與網(wǎng)絡(luò)安全管理辦法等一系列規(guī)章制度以加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測、病毒防護(hù)，應(yīng)急演練等方面的安全防護(hù)。

3.強(qiáng)化信息系統(tǒng)與網(wǎng)絡(luò)安全監(jiān)督檢查

(1)加強(qiáng)網(wǎng)絡(luò)安全監(jiān)督檢查，依托教育部、教育廳和校本級的安全管理中心的三級監(jiān)控體系，對學(xué)校網(wǎng)站和信息系統(tǒng)進(jìn)行實時監(jiān)測，監(jiān)測內(nèi)容包括系統(tǒng)漏洞、網(wǎng)站注入漏洞、網(wǎng)站掛馬、隱私信息泄露等。對監(jiān)測到的安全問題，及時通報、處置和反饋。(2)加強(qiáng)網(wǎng)絡(luò)安全巡檢：定期對信息系統(tǒng)和網(wǎng)絡(luò)設(shè)備做安全巡檢，查殺病毒木馬，更新系統(tǒng)補(bǔ)丁，封堵系統(tǒng)漏洞；及時根據(jù)網(wǎng)絡(luò)安全組織和上級單位發(fā)布的安全預(yù)警信息檢測校內(nèi)是否存在網(wǎng)絡(luò)安全隱患；加強(qiáng)密碼安全管理，杜絕重要系統(tǒng)的弱口令和空口令的發(fā)生。[6](3)建立新信息系統(tǒng)準(zhǔn)入機(jī)制：新建系統(tǒng)上線前，必須通過嚴(yán)格的安全檢測，一旦發(fā)現(xiàn)存在安全隱患，在完成整改之前不得投入運行。

(三)推進(jìn)安全可控產(chǎn)品、技術(shù)和服務(wù)信息化中的應(yīng)用

習(xí)近平同志在“4·19”網(wǎng)絡(luò)安全和信息化工作座談會上提到“核心技術(shù)受制于人是我們最大的隱患”[7]，今年的中美貿(mào)易爭端更為我們敲響了警鐘。市場換不來核心技術(shù)，核心技術(shù)必須靠自己研發(fā)、發(fā)展，積極主動地使用自主生產(chǎn)、自主知識產(chǎn)權(quán)的技術(shù)和產(chǎn)品是重要基礎(chǔ)。信息系統(tǒng)及其配套的網(wǎng)絡(luò)安全系統(tǒng)的國產(chǎn)化是一件利大于弊的事情。目前，國產(chǎn)的交換機(jī)、路由器、服務(wù)器的性能質(zhì)量已經(jīng)可以滿足信息化建設(shè)的需要，其市場占有率逐年提高。在進(jìn)行網(wǎng)絡(luò)安全與信息化建設(shè)時，應(yīng)優(yōu)先選用符合要求的安全可控的國產(chǎn)產(chǎn)品、技術(shù)和服務(wù)，對早期投入建設(shè)的非國產(chǎn)的設(shè)備和服務(wù)進(jìn)行替換。

三、結(jié)束語

信息化建設(shè)對解決我國教育發(fā)展面臨的問題具有重大意義，信息技術(shù)能夠助力教與學(xué)，突破時空限制，使擴(kuò)大優(yōu)質(zhì)教育資源覆蓋面變得更為快捷方便。而利用信息化手段改造傳統(tǒng)課堂，對提高教育質(zhì)量、改善教育供給、培養(yǎng)創(chuàng)新人才具有明顯的促進(jìn)作用。要“安全”還是要“發(fā)展”，并不是橫亙在決策者面前的二選一難題。發(fā)展是有網(wǎng)絡(luò)安全保障護(hù)航的發(fā)展，安全是發(fā)展的支撐和保障，沒有安全的保障，當(dāng)危機(jī)發(fā)生時，發(fā)展取得成果將不復(fù)存在。高校管理者應(yīng)在《網(wǎng)絡(luò)安全法》等相關(guān)法律的框架下，依法開展信息化建設(shè)，加強(qiáng)制度建設(shè)，強(qiáng)化監(jiān)督和檢查，加大技術(shù)和基礎(chǔ)設(shè)施投入，確保信息化建設(shè)安全有效地進(jìn)行融合型發(fā)展。