龔漢明

摘 要：在高校信息化應(yīng)用日益深化的今天，人、信息和資源的整合日益密切，如何提升用戶網(wǎng)絡(luò)安全素養(yǎng)、保障信息系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行、落實(shí)總體國(guó)家安全觀要求等，是當(dāng)前亟待解決的關(guān)鍵問(wèn)題。公開(kāi)資料顯示：我國(guó)高校存在諸多網(wǎng)絡(luò)安全問(wèn)題，如用戶網(wǎng)絡(luò)安全意識(shí)淡薄、組織機(jī)構(gòu)不健全、非授權(quán)訪問(wèn)系統(tǒng)、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行和利用網(wǎng)絡(luò)傳播病毒等。從高校網(wǎng)絡(luò)安全面臨的問(wèn)題出發(fā)，遵從風(fēng)險(xiǎn)管理的理念，在信息化戰(zhàn)略規(guī)劃的基礎(chǔ)上，借鑒國(guó)際上網(wǎng)絡(luò)安全工程理論和最佳實(shí)踐經(jīng)驗(yàn)，探討了高校如何加強(qiáng)用戶網(wǎng)絡(luò)安全素養(yǎng)、建立全局性的網(wǎng)絡(luò)安全防護(hù)體系，為高校網(wǎng)絡(luò)安全管理工作提供借鑒和參考。

關(guān)鍵詞：網(wǎng)絡(luò)安全;等級(jí)保護(hù);系統(tǒng)安全工程;能力成熟模型;網(wǎng)絡(luò)意識(shí)形態(tài)

高校網(wǎng)絡(luò)安全的總體狀況與問(wèn)題分析

1.用戶群體巨大，師生網(wǎng)絡(luò)安全意識(shí)不強(qiáng)，安全素養(yǎng)和技能參差不齊。據(jù)統(tǒng)計(jì)，截至2016年，我國(guó)共有高校2，879所，在校學(xué)生約3，700萬(wàn)人。高校學(xué)生作為我國(guó)公民中的一大群體，受教育程度高，對(duì)信息化比較了解，上網(wǎng)率接近100%。師生們享受著信息化所帶來(lái)便捷的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也在高校師生中頻繁出現(xiàn)，成為高校管理的一大難題。近幾年，高校師生被網(wǎng)絡(luò)詐騙、信息被竊取販賣(mài)等新聞不斷見(jiàn)諸報(bào)端，網(wǎng)絡(luò)上這類(lèi)信息更是屢見(jiàn)不鮮。網(wǎng)絡(luò)詐騙類(lèi)問(wèn)題，是全國(guó)各種類(lèi)型高校面對(duì)的一類(lèi)普遍性問(wèn)題。2016年8月，發(fā)生在山東的“徐玉玉助學(xué)金欺詐事件”震驚全國(guó)，與個(gè)人信息泄露直接有關(guān)。雖然在輿論高壓下順利破案，但在這一案件中，高校管理的個(gè)人信息大面積、高精度泄露，可以說(shuō)是騙子行騙成功不可或缺的一環(huán)。當(dāng)然，信息泄露問(wèn)題不僅存在于學(xué)校，而且在很多大型互聯(lián)網(wǎng)公司，甚至包括國(guó)際知名互聯(lián)網(wǎng)公司，都不同程度存在信息泄露等安全問(wèn)題。據(jù)統(tǒng)計(jì)，2016年公安部門(mén)辦理了1，800多起涉網(wǎng)的侵犯公民個(gè)人信息的案件，涉及犯罪嫌疑人4，200多人。信息技術(shù)廣泛應(yīng)用和網(wǎng)絡(luò)空間興起發(fā)展，極大促進(jìn)了經(jīng)濟(jì)社會(huì)繁榮進(jìn)步，同時(shí)也帶來(lái)了新的安全風(fēng)險(xiǎn)和挑戰(zhàn)。

2.網(wǎng)絡(luò)安全建設(shè)滯后于信息化應(yīng)用，重建設(shè)、輕運(yùn)維，缺乏行之有效的全局性網(wǎng)絡(luò)安全防護(hù)體系。應(yīng)用交付重視功能實(shí)現(xiàn)，系統(tǒng)投入運(yùn)行后運(yùn)維保障不足，安全防護(hù)未能得到應(yīng)有的重視。高校的網(wǎng)絡(luò)應(yīng)用系統(tǒng)和管理系統(tǒng)，大多是由不同的服務(wù)商獨(dú)立建設(shè)，在網(wǎng)絡(luò)安全保防方面相對(duì)獨(dú)立，服務(wù)商的水平直接決定了網(wǎng)絡(luò)安全的水平。軟硬件系統(tǒng)上線運(yùn)行或者部署相關(guān)的網(wǎng)絡(luò)防護(hù)工具之后，只要系統(tǒng)功能正常，對(duì)網(wǎng)絡(luò)安全問(wèn)題關(guān)注度不夠，主要體現(xiàn)在兩個(gè)方面：一是學(xué)校認(rèn)為沒(méi)有做更高級(jí)別安全防護(hù)的必要性，認(rèn)為學(xué)校的網(wǎng)站（信息系統(tǒng)）沒(méi)有那么重要，沒(méi)有什么可“偷”的;二是從整個(gè)網(wǎng)絡(luò)安全行業(yè)來(lái)講，政府機(jī)構(gòu)和事業(yè)單位等組織推動(dòng)力主要源自于行政性要求和事件驅(qū)動(dòng)，更多的是關(guān)停訪問(wèn)、事后修補(bǔ)漏洞等，帶病運(yùn)行的網(wǎng)站較多，尚未建立相對(duì)完整的全局性網(wǎng)絡(luò)安全防護(hù)體系，并不能做到防患于未然。

3.技術(shù)防范建設(shè)系統(tǒng)性不足，安全對(duì)抗能力較弱。高校普遍建成了軟硬件功能較為齊全的信息化基礎(chǔ)設(shè)施和公共信息服務(wù)環(huán)境，校園網(wǎng)絡(luò)安全承擔(dān)著保障成千上萬(wàn)臺(tái)計(jì)算機(jī)、交換機(jī)和服務(wù)器等終端設(shè)備的運(yùn)行，這些設(shè)備分布在校園的各個(gè)位置，用途不同，操作的用戶也不同。有的用戶網(wǎng)絡(luò)安全意識(shí)薄弱，對(duì)網(wǎng)絡(luò)安全問(wèn)題不重視，一旦網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題，處理不及時(shí)，沒(méi)能采取安全可靠的技術(shù)措施，就會(huì)造成嚴(yán)重的損失。

首都高校網(wǎng)絡(luò)安全調(diào)查研究

黨的十八大以來(lái)，以習(xí)近平同志為核心的黨中央高度重視網(wǎng)絡(luò)安全工作，成立中央網(wǎng)信領(lǐng)導(dǎo)小組，明確了“安全是發(fā)展的前提，發(fā)展是安全的保障”，這一安全和發(fā)展的重大關(guān)系。筆者于2017年主持北京市互聯(lián)網(wǎng)辦公室“網(wǎng)絡(luò)安全保障指標(biāo)體系研究”項(xiàng)目，對(duì)首都各高校網(wǎng)絡(luò)安全情況的調(diào)研結(jié)果表明：近五年以來(lái)，各校對(duì)網(wǎng)絡(luò)安全的重視程度顯著提升，“重建設(shè)、輕運(yùn)維”的情況正在逐漸改變，但網(wǎng)絡(luò)安全全局統(tǒng)籌仍然存在較大困難，建立全局性防范體系進(jìn)展緩慢。具體來(lái)說(shuō)，各高校開(kāi)展的工作可歸納為如下幾個(gè)方面。

1.網(wǎng)絡(luò)安全教育活動(dòng)逐漸開(kāi)展，師生網(wǎng)絡(luò)安全意識(shí)有所提高。參與調(diào)研的高校利用國(guó)家安全日、國(guó)家網(wǎng)絡(luò)安全宣傳周等契機(jī)，開(kāi)展“網(wǎng)絡(luò)安全知識(shí)競(jìng)賽”和“網(wǎng)絡(luò)安全知識(shí)進(jìn)校園”等活動(dòng)，充分利用校園網(wǎng)絡(luò)和新媒體開(kāi)展全員、全方位的網(wǎng)絡(luò)安全宣傳教育，一定程度上提高了師生網(wǎng)絡(luò)安全認(rèn)識(shí)水平。

2.建章立制，正在逐步形成網(wǎng)絡(luò)安全制度體系。參與調(diào)研的高校普遍建立了網(wǎng)絡(luò)安全管理制度，明確了領(lǐng)導(dǎo)機(jī)構(gòu)和網(wǎng)絡(luò)安全責(zé)任部門(mén)，對(duì)網(wǎng)絡(luò)安全工作予以高度重視，正在逐步建立和完善網(wǎng)絡(luò)安全制度體系。

3.履行網(wǎng)絡(luò)安全義務(wù)，逐步補(bǔ)齊短板?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》明確提出國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，在原來(lái)的信息安全等級(jí)保護(hù)制度基礎(chǔ)上進(jìn)一步上升到了法律層面。網(wǎng)絡(luò)安全等級(jí)保護(hù)包括定級(jí)、備案、測(cè)評(píng)、整改四個(gè)步驟。教育部、首都教育行政主管部門(mén)多次印發(fā)推進(jìn)教育行業(yè)信息安全等級(jí)保護(hù)工作的通知，參與調(diào)研的高校均不同程度地開(kāi)展了等級(jí)保護(hù)工作，大部分高校定期開(kāi)展等級(jí)測(cè)評(píng)和整改工作。

4.規(guī)范安全管理，逐步提升治理水平。保障信息系統(tǒng)和網(wǎng)絡(luò)安全的根本目的是要保障數(shù)據(jù)的安全。教育行業(yè)有大量的師生信息，涉及個(gè)人隱私，保障數(shù)據(jù)安全任務(wù)艱巨。參與調(diào)研的高校尚未發(fā)現(xiàn)有個(gè)人隱私信息泄露的情況，均制定了網(wǎng)絡(luò)安全應(yīng)急預(yù)案或類(lèi)似文件，開(kāi)展應(yīng)急演練，逐步規(guī)范和滿足等級(jí)保護(hù)的工作要求，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)水平。

5.主體責(zé)任明確，網(wǎng)站小、散、亂情況明顯下降。中央機(jī)構(gòu)編制委員會(huì)和中央網(wǎng)信辦于2014年出臺(tái)《關(guān)于做好黨政機(jī)關(guān)網(wǎng)站開(kāi)辦審核、資格復(fù)核和網(wǎng)站標(biāo)識(shí)管理工作的通知》，在首都教育行政主管部門(mén)的指導(dǎo)下，參與調(diào)研的高校普遍落實(shí)了網(wǎng)站標(biāo)識(shí)制度，統(tǒng)一了信息系統(tǒng)（網(wǎng)站）標(biāo)識(shí)，規(guī)范了信息發(fā)布管理制度，進(jìn)行了網(wǎng)站域名清理，絕大多數(shù)采用“.edu.cn”域名。

6.信息共享，逐步形成協(xié)同工作機(jī)制。首都高校依托學(xué)會(huì)等社團(tuán)組織，通過(guò)微信群等方式實(shí)現(xiàn)了與上級(jí)主管部門(mén)、專(zhuān)業(yè)機(jī)構(gòu)、安全企業(yè)等單位的信息共享合作，逐步形成多層次的、覆蓋首都高校的安全威脅信息共享機(jī)制。在首都教育行政主管部門(mén)的指導(dǎo)下，參與調(diào)研的高校普遍落實(shí)了定期安全漏洞掃描通報(bào)制度，提升了網(wǎng)絡(luò)安全防護(hù)能力。高校使用的信息系統(tǒng)中有一類(lèi)是具有教育特色的通用軟件，如學(xué)生管理、教務(wù)管理、財(cái)務(wù)管理系統(tǒng)等。調(diào)研發(fā)現(xiàn)：直接使用通用型軟件及基于通用型軟件的個(gè)性化定制已成為學(xué)校開(kāi)發(fā)系統(tǒng)的主要手段。

應(yīng)對(duì)策略與措施

《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等政策法規(guī)的出臺(tái)，奠定了網(wǎng)絡(luò)安全和網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)的戰(zhàn)略基石和法律基礎(chǔ)，網(wǎng)絡(luò)安全發(fā)展進(jìn)入“快車(chē)道”，加速形成網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)的“中國(guó)道路”。2016年11月，教育部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，標(biāo)志著國(guó)家層面對(duì)教育行業(yè)網(wǎng)絡(luò)安全的重視程度日益增加，面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)和層出不窮的安全問(wèn)題，高校網(wǎng)絡(luò)安全建設(shè)也將步入一個(gè)新的發(fā)展階段。借鑒信息安全工程能力成熟模型（SSE-CMM）和信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南，結(jié)合高校網(wǎng)絡(luò)安全面臨的實(shí)際問(wèn)題，運(yùn)用“三分技術(shù)、七分管理”的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行管理理念，從校級(jí)、院系部處和師生用戶等維度探索如何提升師生用戶的網(wǎng)絡(luò)安全素養(yǎng)，建立全局性的網(wǎng)絡(luò)安全防護(hù)體系。

1.規(guī)劃網(wǎng)絡(luò)安全管理體系。網(wǎng)絡(luò)安全管理體系規(guī)劃是高校安全體系建立的第一步，目的是識(shí)別安全問(wèn)題，明確安全管理的范圍和內(nèi)容，建立安全管理的組織管理機(jī)制，從管理和技術(shù)兩個(gè)角度，分層次規(guī)劃各環(huán)節(jié)的安全管理制度和技術(shù)防范手段，形成完整、可行的網(wǎng)絡(luò)安全管理體系。網(wǎng)絡(luò)安全建設(shè)是“一把手”工程，學(xué)校要強(qiáng)化組織領(lǐng)導(dǎo)、強(qiáng)化制度建設(shè)，落實(shí)責(zé)任，堅(jiān)持技術(shù)安全與內(nèi)容安全“兩手抓”，不要存在僥幸心理。決策層對(duì)網(wǎng)絡(luò)安全工作的重視程度直接決定了網(wǎng)絡(luò)安全工作開(kāi)展的難易程度?？蓪⒏咝＞W(wǎng)絡(luò)安全管理規(guī)劃過(guò)程歸納為以下八個(gè)步驟：

第一，建立安全管理組織。網(wǎng)絡(luò)安全和信息化是相輔相成的，要加強(qiáng)頂層設(shè)計(jì)和統(tǒng)籌協(xié)調(diào)，實(shí)現(xiàn)學(xué)校網(wǎng)絡(luò)安全“整體一盤(pán)棋”。在信息化建設(shè)過(guò)程中，既要考慮功能、性能方面的需求，更應(yīng)該重視安全方面的需求。確保安全與發(fā)展之間的平衡，有機(jī)、動(dòng)態(tài)的發(fā)展，更好地為教學(xué)、科研服務(wù)。安全管理組織的成員由機(jī)構(gòu)的戰(zhàn)略影響者組成，包括來(lái)自行政、技術(shù)、業(yè)務(wù)、安全、風(fēng)險(xiǎn)和規(guī)劃等部門(mén)的人員。

第二，識(shí)別保護(hù)對(duì)象。識(shí)別學(xué)校面臨的風(fēng)險(xiǎn)及威脅，分析它們存在的原因，將分析結(jié)果納入安全管理體系的規(guī)劃中重點(diǎn)考慮。

第三，評(píng)估現(xiàn)有措施。了解學(xué)校目前的安全管理措施并評(píng)估它們的效力。

第四，考慮長(zhǎng)期需要。安全整體規(guī)劃應(yīng)考慮長(zhǎng)期的需要，具有一定的前瞻性，如長(zhǎng)期的制度適應(yīng)性、設(shè)備老化、安全人員的發(fā)展需要等。

第五，納入學(xué)校的建設(shè)規(guī)劃。了解學(xué)校新建項(xiàng)目，如辦公樓、教學(xué)樓、停車(chē)場(chǎng)等項(xiàng)目，是否會(huì)影響現(xiàn)有的物理安全規(guī)劃，如有影響，就將安全規(guī)劃納入學(xué)校建設(shè)規(guī)劃中通盤(pán)考慮。

第六，建立安全工作機(jī)制。形成文件化的制度體系和工作條例，明確各崗位的責(zé)任、應(yīng)提供的服務(wù)和交付物。

第七， 融合運(yùn)用新老技術(shù)。新技術(shù)的規(guī)劃應(yīng)考慮對(duì)老技術(shù)的沖擊，新老技術(shù)的融合運(yùn)用將是一個(gè)挑戰(zhàn)。

第八，關(guān)鍵設(shè)施重點(diǎn)布局。關(guān)鍵設(shè)施指校園中那些需要連續(xù)、可靠運(yùn)行而又相互關(guān)聯(lián)的復(fù)雜設(shè)施集合，這些設(shè)施的安全尤為重要，風(fēng)險(xiǎn)也最為突出。

上述的規(guī)劃步驟從組織、管理和技術(shù)三方面較全面地考慮高校網(wǎng)絡(luò)安全管理的具體問(wèn)題，有助于形成完整有效的網(wǎng)絡(luò)安全體系，包括安全組織體系、安全管理體系和安全技術(shù)體系。

2.完善網(wǎng)絡(luò)安全管理體系。從組織、管理、技術(shù)三方面入手進(jìn)行一系列的整改，形成較為完善的組織體系、管理體系和技術(shù)體系。對(duì)學(xué)?，F(xiàn)有網(wǎng)絡(luò)安全管理的組織結(jié)構(gòu)進(jìn)行重新梳理，形成包含決策、管理、運(yùn)營(yíng)和應(yīng)用四個(gè)層次在內(nèi)的較為完善的網(wǎng)絡(luò)安全管理組織機(jī)構(gòu)，明確工作職責(zé)。

第一，決策層。組建校級(jí)層面的網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，宣傳和貫徹落實(shí)國(guó)家網(wǎng)絡(luò)安全和信息化建設(shè)的方針、政策;根據(jù)學(xué)校建設(shè)、改革與發(fā)展的需要，統(tǒng)籌協(xié)調(diào)學(xué)校網(wǎng)絡(luò)安全和信息化重要問(wèn)題;研究制定學(xué)校網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、規(guī)劃和政策;組織推進(jìn)學(xué)校網(wǎng)絡(luò)安全和信息化建設(shè)整體工作。

第二，管理層。組建安全工作小組作為網(wǎng)絡(luò)安全工作的執(zhí)行機(jī)構(gòu)，工作小組由信息化相關(guān)部門(mén)領(lǐng)導(dǎo)及專(zhuān)業(yè)技術(shù)人員和部分管理人員組成。

第三，運(yùn)營(yíng)層。完善系統(tǒng)運(yùn)營(yíng)各崗位人員的工作職責(zé)，包括機(jī)房管理員、網(wǎng)絡(luò)及服務(wù)器管理員、數(shù)據(jù)庫(kù)管理員和信息系統(tǒng)管理員。

第四，應(yīng)用層。進(jìn)一步明確各院系部處及用戶的安全責(zé)任，與各院系部處簽訂安全責(zé)任書(shū)，同時(shí)明確各院系部處信息員的網(wǎng)絡(luò)安全工作職責(zé)，使其成為網(wǎng)絡(luò)安全工作的基礎(chǔ)支持隊(duì)伍。

3.形成文件化的網(wǎng)絡(luò)安全整體策略。組織制定涉及到網(wǎng)絡(luò)安全的各類(lèi)管理辦法，從場(chǎng)地與設(shè)施、設(shè)備、系統(tǒng)、信息、建設(shè)、運(yùn)行維護(hù)和技術(shù)文檔等多個(gè)方面詳細(xì)制定安全管理規(guī)定，并明確系統(tǒng)建設(shè)和系統(tǒng)運(yùn)維過(guò)程中相關(guān)人員的工作流程和操作規(guī)范，為學(xué)校的網(wǎng)絡(luò)安全管理提供依據(jù)。

明確和建立學(xué)校的網(wǎng)絡(luò)安全策略，學(xué)校制定網(wǎng)絡(luò)安全管理總體方案，為各部門(mén)制定操作規(guī)范和開(kāi)展安全工作提供指導(dǎo)。針對(duì)網(wǎng)絡(luò)安全問(wèn)題對(duì)管理規(guī)章制度進(jìn)行不斷的更新，推動(dòng)管理制度的完善。網(wǎng)絡(luò)安全管理人員要提高網(wǎng)絡(luò)安全管理水平，權(quán)限較高的網(wǎng)絡(luò)使用者要嚴(yán)格規(guī)范操作，網(wǎng)絡(luò)使用人員要嚴(yán)格遵守有關(guān)規(guī)章制度。

互聯(lián)網(wǎng)技術(shù)發(fā)展快，網(wǎng)絡(luò)病毒和木馬攻擊也在不斷更新，面對(duì)新的安全漏洞和病毒，要加強(qiáng)日常防控來(lái)減少網(wǎng)絡(luò)安全突發(fā)事件的發(fā)生。由學(xué)校信息技術(shù)部門(mén)制定對(duì)硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)維護(hù)的各個(gè)環(huán)節(jié)的工作流程和操作規(guī)程，進(jìn)行更加詳細(xì)的規(guī)定，及時(shí)發(fā)布安全威脅通知，讓校園網(wǎng)用戶了解，并注意防范。

4.網(wǎng)絡(luò)安全與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)，應(yīng)用交付前進(jìn)行合規(guī)性審查，先體檢、后上線。網(wǎng)絡(luò)安全是一項(xiàng)長(zhǎng)期的工作，必須將其納入日常管理中常抓不懈，防患于未然。信息系統(tǒng)建設(shè)除了系統(tǒng)功能和性能滿足業(yè)務(wù)要求外，安全性、可靠性、可用性也必須進(jìn)行質(zhì)量控制。在院系部處層面，將其二級(jí)網(wǎng)站納入學(xué)校網(wǎng)站群統(tǒng)籌建設(shè)，定期進(jìn)行等保測(cè)評(píng)、滲透測(cè)試、漏洞掃描;強(qiáng)化綜合治理，清理長(zhǎng)期無(wú)人維護(hù)的網(wǎng)站或信息系統(tǒng);對(duì)于各院系部處為推動(dòng)業(yè)務(wù)開(kāi)展而開(kāi)發(fā)的信息系統(tǒng)，在分解落實(shí)責(zé)任的同時(shí)，實(shí)行過(guò)程控制。過(guò)程控制可采取如下三方面的措施。

第一， 增加建設(shè)過(guò)程中的評(píng)審環(huán)節(jié)。在項(xiàng)目設(shè)計(jì)、開(kāi)發(fā)階段成果接近完成時(shí)，由項(xiàng)目組會(huì)同相關(guān)業(yè)務(wù)部門(mén)共同組織技術(shù)評(píng)審，包括對(duì)系統(tǒng)安全性的審查。評(píng)審以項(xiàng)目前期形成的方案、文檔及學(xué)校的相關(guān)標(biāo)準(zhǔn)和規(guī)范為依據(jù)，對(duì)該階段形成的方案、技術(shù)文檔及系統(tǒng)進(jìn)行審查、確認(rèn)等工作，并形成評(píng)審結(jié)論。

第二， 進(jìn)行內(nèi)部測(cè)試和第三方測(cè)試。在項(xiàng)目驗(yàn)收前，除了由項(xiàng)目?jī)?nèi)部和業(yè)務(wù)部門(mén)參與的集成測(cè)試外，聘請(qǐng)專(zhuān)業(yè)的第三方測(cè)試機(jī)構(gòu)進(jìn)行測(cè)試。

第三， 安全檢測(cè)與審計(jì)雙管齊下，全方位監(jiān)控安全事件。對(duì)應(yīng)用系統(tǒng)和服務(wù)器進(jìn)行定期安全檢測(cè)，有效消除潛在的安全隱患;定期進(jìn)行應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、服務(wù)器、配置管理等的安全審計(jì)，避免越權(quán)操作及數(shù)據(jù)泄漏事件的發(fā)生。

5.加強(qiáng)技術(shù)防護(hù)體系建設(shè)。由于網(wǎng)絡(luò)具有信息發(fā)布平臺(tái)開(kāi)放、信息發(fā)布來(lái)源隱蔽等特點(diǎn)，加之各種安全漏洞、不良網(wǎng)站及“網(wǎng)絡(luò)黑客”的存在，給高校網(wǎng)絡(luò)安全工作帶來(lái)諸多挑戰(zhàn)。尤其是在對(duì)匿名用戶缺乏有效控制的情況下，一些不宜宣傳或不健康的內(nèi)容極有可能通過(guò)網(wǎng)絡(luò)滲透進(jìn)校園。系統(tǒng)建設(shè)與日常運(yùn)行管理中，需構(gòu)建自動(dòng)化防控系統(tǒng)加強(qiáng)系統(tǒng)的安全防范，為應(yīng)用系統(tǒng)和用戶構(gòu)筑起堅(jiān)實(shí)的安全堡壘，包括但不限于以下措施：

第一， 訪問(wèn)控制。高校校園網(wǎng)最常用的網(wǎng)絡(luò)安全技術(shù)有殺毒軟件、防火墻技術(shù)、身份驗(yàn)證等。網(wǎng)絡(luò)安全防范保護(hù)首先要設(shè)置訪問(wèn)控制，網(wǎng)絡(luò)訪問(wèn)控制的目的是保證內(nèi)部網(wǎng)絡(luò)資源不被非法訪問(wèn)和非法使用，校園網(wǎng)用戶入網(wǎng)口令要保證唯一性，通過(guò)訪問(wèn)控制對(duì)用戶口令密碼進(jìn)行驗(yàn)證。在外網(wǎng)和內(nèi)網(wǎng)之間用防火墻隔離，對(duì)數(shù)據(jù)流進(jìn)行嚴(yán)格的監(jiān)控，在防火墻上做好詳細(xì)的日志記錄，為安全事件的事后取證提供依據(jù)。

第二，構(gòu)建三套獨(dú)立環(huán)境，保證正式環(huán)境安全。將系統(tǒng)開(kāi)發(fā)、測(cè)試和正式運(yùn)行三個(gè)環(huán)境分離，確保開(kāi)發(fā)階段和測(cè)試階段的工作不影響正式系統(tǒng)的使用。搭建版本控制系統(tǒng)，確保開(kāi)發(fā)中源代碼的安全;在程序開(kāi)發(fā)的過(guò)程中，需要多人同時(shí)參加和協(xié)作，記錄系統(tǒng)建設(shè)過(guò)程中相關(guān)文檔和源代碼的變更過(guò)程，防止代碼意外丟失、被覆蓋等情況的出現(xiàn)。

第三， 注意物理環(huán)境安全，建立備份與恢復(fù)機(jī)制， 保護(hù)系統(tǒng)建設(shè)成果。物理安全防護(hù)是確保校園網(wǎng)絡(luò)安全工作的基礎(chǔ)，避免網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線纜等硬件設(shè)備受自然災(zāi)害、物理?yè)p壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊的破壞，對(duì)核心設(shè)備要進(jìn)行嚴(yán)格管理。建立本地、異地?cái)?shù)據(jù)備份及恢復(fù)規(guī)范方案，對(duì)系統(tǒng)建設(shè)過(guò)程中的成果進(jìn)行及時(shí)備份，防止因?yàn)檎`操作或機(jī)器故障導(dǎo)致數(shù)據(jù)丟失，切實(shí)保證數(shù)據(jù)的安全。

第四，防火墻與入侵監(jiān)測(cè)，構(gòu)筑網(wǎng)絡(luò)屏障。在互聯(lián)網(wǎng)（Internet）和校園網(wǎng)之間以及校園網(wǎng)和信息系統(tǒng)服務(wù)器之間架設(shè)兩層防火墻，防止校內(nèi)外用戶對(duì)服務(wù)器的攻擊;部署網(wǎng)絡(luò)分析系統(tǒng)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量、網(wǎng)絡(luò)攻擊和病毒傳播，為網(wǎng)絡(luò)安全事件的定位和取證提供支持;禁止從公網(wǎng)訪問(wèn)關(guān)鍵信息系統(tǒng)，用戶需要通過(guò)VPN加密鏈路才能實(shí)現(xiàn)從校外訪問(wèn)關(guān)鍵信息系統(tǒng)。

第五，漏洞掃描與日志分析，促進(jìn)應(yīng)用安全的不斷提升。在應(yīng)用系統(tǒng)層，采用系統(tǒng)日志分析平臺(tái)對(duì)應(yīng)用進(jìn)行日志分析，捕捉和定位異常事件;定期對(duì)應(yīng)用服務(wù)執(zhí)行漏洞掃描，對(duì)出現(xiàn)的SQL注入、跨站腳本攻擊、網(wǎng)頁(yè)非法篡改、強(qiáng)制訪問(wèn)等系統(tǒng)安全風(fēng)險(xiǎn)及時(shí)進(jìn)行分析和整改。

第六， 主動(dòng)式監(jiān)控及時(shí)追蹤問(wèn)題。對(duì)服務(wù)器軟硬件運(yùn)行狀態(tài)進(jìn)行監(jiān)控，實(shí)現(xiàn)對(duì)服務(wù)器運(yùn)行狀態(tài)及各信息系統(tǒng)狀態(tài)進(jìn)行主動(dòng)監(jiān)聽(tīng)和預(yù)警;建立統(tǒng)一日志服務(wù)器，對(duì)所有系統(tǒng)的日志進(jìn)行集中管理和備份，確保問(wèn)題發(fā)生時(shí)通過(guò)日志進(jìn)行定位和追蹤。

網(wǎng)絡(luò)安全管理問(wèn)題需要從管理和技術(shù)兩方面考慮和解決，只有依靠有效的組織保障、規(guī)范的管理流程、安全可靠的系統(tǒng)工具及技術(shù)的支撐，才能達(dá)到以較小的代價(jià)、利用有限資源控制安全風(fēng)險(xiǎn)的目標(biāo)，更好地保證信息化建設(shè)和應(yīng)用的成果。

6.加強(qiáng)對(duì)用戶的教育和培訓(xùn)。通過(guò)網(wǎng)絡(luò)安全教育使用戶對(duì)校園網(wǎng)絡(luò)所面臨的各類(lèi)威脅有較為系統(tǒng)、全面的認(rèn)識(shí)，明確這些威脅對(duì)他們的危害，增強(qiáng)他們的網(wǎng)絡(luò)安全意識(shí)，讓所有校園網(wǎng)用戶都來(lái)關(guān)心、關(guān)注網(wǎng)絡(luò)安全。通過(guò)對(duì)校園網(wǎng)用戶的培訓(xùn)，使他們能盡量保證自己使用的計(jì)算機(jī)安全，能處理一些簡(jiǎn)單的安全問(wèn)題，從而減少網(wǎng)絡(luò)安全事故的發(fā)生。遇到網(wǎng)絡(luò)安全問(wèn)題時(shí)，能做好記錄并及時(shí)向有關(guān)部門(mén)報(bào)告。

加強(qiáng)對(duì)網(wǎng)絡(luò)內(nèi)容的監(jiān)控和輿情分析，改進(jìn)網(wǎng)絡(luò)文化建設(shè)，主動(dòng)占領(lǐng)網(wǎng)絡(luò)陣地，推進(jìn)思想政治教育網(wǎng)絡(luò)工程建設(shè)，針對(duì)學(xué)生關(guān)心的熱點(diǎn)問(wèn)題，積極開(kāi)展網(wǎng)上正面的宣傳和正確的信息傳播，不斷拓展網(wǎng)絡(luò)思想政治教育的覆蓋面，增強(qiáng)網(wǎng)絡(luò)思想政治教育工作的影響力。加強(qiáng)對(duì)校內(nèi)論壇等網(wǎng)絡(luò)交流平臺(tái)的監(jiān)管，組建網(wǎng)絡(luò)信息員隊(duì)伍，在學(xué)校統(tǒng)一指導(dǎo)下，定期整理網(wǎng)絡(luò)上的討論熱點(diǎn)及主要觀點(diǎn)，捕捉和反饋重要信息，掌握網(wǎng)上動(dòng)態(tài)，以適當(dāng)方式制作和發(fā)布積極信息，及時(shí)處理消極信息。以學(xué)生社團(tuán)或者類(lèi)似形式建設(shè)兩支隊(duì)伍：一是網(wǎng)絡(luò)日常管理與技術(shù)維護(hù)隊(duì)伍;二是“網(wǎng)紅”和評(píng)論員隊(duì)伍。

網(wǎng)絡(luò)安全與諸多方面都有聯(lián)系，它不是孤立存在的。高校網(wǎng)絡(luò)安全是一個(gè)長(zhǎng)期、復(fù)雜、深遠(yuǎn)而又龐大的系統(tǒng)工程。本文從高校網(wǎng)絡(luò)安全面臨的問(wèn)題出發(fā)，遵從風(fēng)險(xiǎn)管理的理念，借鑒國(guó)際上網(wǎng)絡(luò)安全工程理論和最佳實(shí)踐經(jīng)驗(yàn)，就高校如何提高信息安全工程能力成熟度和落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)政策法規(guī)展開(kāi)研究，從校級(jí)、院系部處和師生用戶三個(gè)維度積極應(yīng)對(duì)，探討了高校如何加強(qiáng)用戶網(wǎng)絡(luò)安全素養(yǎng)、建立全局性的網(wǎng)絡(luò)安全防護(hù)體系，以達(dá)到依法辦網(wǎng)、依法管網(wǎng)和依法用網(wǎng)的要求。

參考文獻(xiàn)：

[1]鄧若伊，余夢(mèng)瓏，丁藝，等.以法制保障網(wǎng)絡(luò)空間安全 構(gòu)筑網(wǎng)絡(luò)強(qiáng)國(guó)—《網(wǎng)絡(luò)安全法》和《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》解讀[J].電子政務(wù)，2017（2）：2-4.

[2]孫瑞婷.總體國(guó)家安全觀視域下我國(guó)網(wǎng)絡(luò)意識(shí)形態(tài)安全問(wèn)題研究[J].廣東行政學(xué)院學(xué)報(bào)，2017（3）：31-35.

[3]張賽男，孫彪.網(wǎng)絡(luò)信息安全現(xiàn)狀與對(duì)策分析[J].無(wú)線互聯(lián)科技，2015（21）：28-29.

[4]李曉玉.國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)研究現(xiàn)狀綜述[A].現(xiàn)代通信國(guó)家重點(diǎn)實(shí)驗(yàn)室、《信息安全與通信保密》雜志社.第十一屆保密通信與信息安全現(xiàn)狀研討會(huì)論文集[C].現(xiàn)代通信國(guó)家重點(diǎn)實(shí)驗(yàn)室、《信息安全與通信保密》雜志社：四川信息安全與通信保密雜志社，2009：5.

[5]賈鐵軍.網(wǎng)絡(luò)安全技術(shù)與實(shí)踐[M].北京：高等教育出版社，2014.

[6]石崢嶸，高校網(wǎng)絡(luò)安全管理問(wèn)題分析與對(duì)策研究[J].信息與電腦（理論版），2016（10）：147-148.

[7]高校信息化安全管理布局[EB/OL].（2012-05-23）[2019-01-02].http：//security.ctocio.com.cn/298/12340798.shtml.

[8]ISO/IEC 21827-2008 Information technology-Security techniques-Systems Security Engineering-Capability Maturity Model（SSE-CMM）《信息技術(shù)—安全技術(shù)—系統(tǒng)安全工程—能力成熟模型》.

[9]全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息技術(shù)：系統(tǒng)安全工程：能力成熟度模型：GB/T 20261-2006[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2006：3.

[10]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息安全技術(shù)：信息系統(tǒng)安全等級(jí)保護(hù)基本要求：GB/T 22239-2008[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2008：9.

[11]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息安全技術(shù)：信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南：GB/T 25058-2010[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2010：9.

[12]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).信息技術(shù)：安全技術(shù)：信息技術(shù)安全評(píng)估準(zhǔn)則：GB/T 18336-2015[S].北京：中國(guó)標(biāo)準(zhǔn)出版社，2015：5.

（作者單位：北京信息科技大學(xué)信息與網(wǎng)絡(luò)管理中心）

[責(zé)任編輯：于 洋]