摘 ?要： 針對(duì)高校網(wǎng)站安全管理現(xiàn)狀和普遍存在的問(wèn)題，遵從風(fēng)險(xiǎn)管理的理念，結(jié)合實(shí)踐經(jīng)驗(yàn)，將高校網(wǎng)站安全管理劃分為PDCA四個(gè)階段。提出通過(guò)P階段加強(qiáng)頂層規(guī)劃設(shè)計(jì)，D階段完善網(wǎng)站資產(chǎn)日常管理，C階段建立網(wǎng)絡(luò)安全工作內(nèi)外聯(lián)動(dòng)機(jī)制，A階段加強(qiáng)人才隊(duì)伍建設(shè)，使整個(gè)管理過(guò)程形成一個(gè)可持續(xù)改進(jìn)的循環(huán)過(guò)程，以期不斷提升高校網(wǎng)站安全管理的能力和水平。

關(guān)鍵詞： 高校網(wǎng)站; 網(wǎng)站安全; 安全管理; PDCA

中圖分類(lèi)號(hào)：X931 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A ? ? 文章編號(hào)：1006-8228（2021）08-42-05

Research on the application of PDCA cycle in university website security management

Xu Wei

（Information Construction and Management Office， Nanjing University of Posts and Telecommunications， Nanjing， Jiangsu 210023， China）

Abstract： In view of the current situation of university website security management and the common problems existed in， following the concept of risk management and combining with the practical experience， the university website security management is proposed to be divided into four stages of PDCA. It is proposed to strengthen the top-level planning and design in stage P， improve the daily management of website assets in stage D， establish the internal and external linkage mechanism of network security in stage C， and strengthen the construction of talent team in stage A， so as to form a sustainable improvement cycle in the whole management process， in order to constantly improve the ability and level of university website security management.

Key words： university website; website security; security management; PDCA

0 引言

近幾年，高校在進(jìn)行數(shù)字化校園建設(shè)的過(guò)程中，由于互聯(lián)網(wǎng)的開(kāi)放性，曾發(fā)生不少重大的網(wǎng)絡(luò)安全事件?！毒W(wǎng)絡(luò)安全法》出臺(tái)后，教育部門(mén)對(duì)網(wǎng)絡(luò)信息安全高度重視。2017年3月教育部辦公廳下發(fā)《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)方案》（教技廳〔2017〕3號(hào)文），明確要求：治理網(wǎng)站亂象，強(qiáng)化主體責(zé)任——統(tǒng)一標(biāo)識(shí)，信息發(fā)布，域名清理;堵塞安全漏洞，增強(qiáng)防護(hù)能力——監(jiān)測(cè)預(yù)警，檢測(cè)風(fēng)險(xiǎn);補(bǔ)齊等保短板，履行安全保護(hù)義務(wù)——定級(jí)備案，測(cè)評(píng)整改;規(guī)范安全管理，提升治理水平——數(shù)據(jù)管理，關(guān)鍵設(shè)施，應(yīng)急響應(yīng)[1]。由此可見(jiàn)，高校網(wǎng)站的安全性問(wèn)題亟需引起重視，研究如何提升高校網(wǎng)站安全管理水平意義重大[2]。本文將依照國(guó)家及教育主管部門(mén)制定的相關(guān)政策法規(guī)，結(jié)合多年的信息安全工作經(jīng)驗(yàn)，探討在高校網(wǎng)站安全管理中運(yùn)用PDCA循環(huán)的新方法，以提升高校網(wǎng)站安全管理水平和能力。

1 高校網(wǎng)站安全管理的現(xiàn)狀分析

根據(jù)《2018年高校網(wǎng)站安全脆弱性白皮書(shū)》，全國(guó)高等學(xué)校建立的互聯(lián)網(wǎng)站多達(dá)數(shù)萬(wàn)個(gè)（含二級(jí)院系網(wǎng)站），其中只有30%左右的高校網(wǎng)站安全級(jí)別判定為非常安全，有超過(guò)60%的高校網(wǎng)站存在高風(fēng)險(xiǎn)安全漏洞[3-4]。由此可見(jiàn)，高校網(wǎng)站往往面臨著較高的安全威脅，很容易引發(fā)安全事件，給學(xué)校和學(xué)生造成危害，并造成不良的社會(huì)影響。根據(jù)自身工作經(jīng)歷及深入其他高校調(diào)研搜集到的情況，發(fā)現(xiàn)高校網(wǎng)站安全管理普遍存在如下四方面問(wèn)題。

1.1 重建設(shè)、輕管理、安全意識(shí)薄弱

目前大部分高校網(wǎng)絡(luò)安全責(zé)任制落實(shí)不到位，各二級(jí)單位或?qū)W院的領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)安全不夠重視，大多數(shù)高校的網(wǎng)站管理相對(duì)來(lái)說(shuō)比較分散，網(wǎng)站大多是由高校老師或者在校學(xué)生自己開(kāi)發(fā)的，負(fù)責(zé)人往往缺乏安全管理意識(shí)，一般只關(guān)心網(wǎng)站功能的實(shí)現(xiàn)，很少去考慮網(wǎng)站安全問(wèn)題，網(wǎng)站建好后又疏于管理維護(hù)，很容易成為黑客攻擊的首選目標(biāo)[5]。

1.2 網(wǎng)站安全管理難度大

目前高校網(wǎng)站數(shù)量較多，管理難度大，管理成本高，且無(wú)長(zhǎng)效的管理工具[6]。在被通報(bào)的各類(lèi)高校網(wǎng)站安全事故中，出現(xiàn)問(wèn)題的大部分網(wǎng)站缺乏統(tǒng)一的安全管理，為高校的網(wǎng)站安全管理帶來(lái)了較大的安全隱患。校內(nèi)網(wǎng)站私搭亂建現(xiàn)象嚴(yán)重，且不易監(jiān)測(cè);一些退運(yùn)的網(wǎng)站，缺乏有效管理手段，常常成為孤島網(wǎng)站，容易成為被攻擊的目標(biāo)[7]。

1.3 缺少安全監(jiān)控機(jī)制和應(yīng)急處置的工具

高校網(wǎng)站85%以上的攻擊是利用安全漏洞發(fā)起的，但由于缺乏監(jiān)測(cè)機(jī)制，高校相關(guān)部門(mén)往往無(wú)法及時(shí)發(fā)現(xiàn)下設(shè)網(wǎng)站或業(yè)務(wù)系統(tǒng)存在的漏洞和風(fēng)險(xiǎn)[8]。此外，很多高校沒(méi)有監(jiān)控網(wǎng)站頁(yè)面內(nèi)容的工具，可能會(huì)導(dǎo)致網(wǎng)站掛馬從而產(chǎn)生不利的影響或造成較大的損失;缺少監(jiān)控網(wǎng)站是否存在敏感信息的工具，無(wú)法對(duì)于網(wǎng)站的敏感信息內(nèi)容自行配制告警功能，不能對(duì)網(wǎng)站的安全事件進(jìn)行及時(shí)的告警。

1.4 高校網(wǎng)站維護(hù)技術(shù)力量缺失

許多高校二級(jí)網(wǎng)站的維護(hù)工作都是由教師兼職完成的，他們往往只負(fù)責(zé)維護(hù)、更新網(wǎng)站的內(nèi)容信息，對(duì)網(wǎng)站安全管理投入的精力少之又少;維護(hù)人員通常也沒(méi)有參加過(guò)專(zhuān)門(mén)的技術(shù)和安全管理培訓(xùn)，即便網(wǎng)站被通報(bào)了有安全漏漏洞，也是無(wú)從下手，不知如何修復(fù)漏洞[9]。高校從事網(wǎng)絡(luò)安全管理的專(zhuān)業(yè)人才普遍缺乏，特別是高精尖人才鳳毛麟角，嚴(yán)重制約了高校網(wǎng)站安全的管理質(zhì)量及水平。

針對(duì)上述問(wèn)題，可引入PDCA循環(huán)模型進(jìn)行信息安全管理，提出相應(yīng)的改進(jìn)措施?；诜蠈?shí)際安全管理的循環(huán)模型，將循環(huán)后總結(jié)得到的高校網(wǎng)站安全管理經(jīng)驗(yàn)再指導(dǎo)后期的實(shí)際工作，在螺旋式的循環(huán)過(guò)程中，逐步提升高校網(wǎng)站安全管理能力和水平[10]。

2 PDCA循環(huán)簡(jiǎn)介

2.1 PDCA循環(huán)概述

信息安全管理（Information Security Management，ISM），是管理者為實(shí)現(xiàn)信息安全目標(biāo)（信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運(yùn)作的持續(xù)性）而進(jìn)行計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)[11]。信息安全管理是組織整體管理的重要、固有組成部分，它是組織實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)的重要保障。同時(shí)，信息安全管理是信息安全技術(shù)的融合劑，是各項(xiàng)技術(shù)措施能夠發(fā)揮作用的保障。

通過(guò)科學(xué)的方法，才能有效實(shí)施信息安全管理和信息安全防護(hù)，進(jìn)而為業(yè)務(wù)的安全運(yùn)營(yíng)提供保障。信息安全管理的基本方法就是PDCA循環(huán)模型，它是基于過(guò)程方法制定的一種持續(xù)改進(jìn)模型[12]。PDCA是英語(yǔ)單詞Plan，Do，Check和Act的首字母，PDCA循環(huán)是按照計(jì)劃、執(zhí)行、檢查、改進(jìn)的順序進(jìn)行質(zhì)量管理，并且循環(huán)進(jìn)行下去的科學(xué)程序[13]。

2.2 PDCA循環(huán)特點(diǎn)

PDCA循環(huán)，是一個(gè)基于業(yè)務(wù)風(fēng)險(xiǎn)，并通過(guò)規(guī)劃、實(shí)施、監(jiān)視和改進(jìn)信息安全過(guò)程，來(lái)管理組織的信息安全，它是一套科學(xué)的工作程序，有如下三個(gè)特點(diǎn)。

⑴ 按順序進(jìn)行。PDCA循環(huán)靠組織的力量來(lái)推動(dòng)，按順序完成每一階段的工作，像車(chē)輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)。

⑵ 大環(huán)套小環(huán)。組織中的每個(gè)部分，甚至個(gè)人，均可以PDCA循環(huán)。也就是說(shuō)，在PDCA運(yùn)用過(guò)程中，應(yīng)把整個(gè)組織看作是一個(gè)大循環(huán)，而組織中各個(gè)部分則是一個(gè)小循環(huán)，每一個(gè)部分的個(gè)人又是更小的循環(huán)，大環(huán)套小環(huán)，一層一層地解決問(wèn)題。

⑶ 逐層提升。每完成一次PDCA循環(huán)，質(zhì)量水平都會(huì)有新的提高，再進(jìn)行第二次PDCA循環(huán)。也就是說(shuō)，每一次PDCA循環(huán)都有新的目標(biāo)和內(nèi)容，安全管理就是將PDCA循環(huán)多次展開(kāi)，不斷完善與優(yōu)化，順利完成管理目標(biāo)。

3 PDCA循環(huán)運(yùn)用于高校網(wǎng)站安全管理

結(jié)合高校網(wǎng)站安全管理的過(guò)程來(lái)看，其網(wǎng)站資產(chǎn)的脆弱性、安全防護(hù)技術(shù)的多樣性、多部門(mén)配合的復(fù)雜性和管理人員安全意識(shí)的薄弱性，決定了高校網(wǎng)站安全管理的過(guò)程是一個(gè)有規(guī)劃、有實(shí)施、有監(jiān)視、有改進(jìn)，而且不斷改進(jìn)的過(guò)程。因此，在高校網(wǎng)站安全管理中，可以運(yùn)用PDCA循環(huán)模型，將高校網(wǎng)站安全管理的需求和目標(biāo)作為輸入，并通過(guò)必要的行動(dòng)和過(guò)程（P-D-C-A），生成滿足這些需求和目標(biāo)的結(jié)果，得到預(yù)期的輸出，使得高校網(wǎng)站安全管理工作形成閉環(huán)，構(gòu)建出高校網(wǎng)站安全管理模型，如圖1所示。

解決信息安全問(wèn)題，成敗通常取決于兩個(gè)因素，一個(gè)是技術(shù)，另一個(gè)是管理。高校網(wǎng)站安全管理也不例外，在高校網(wǎng)站安全管理模型的基礎(chǔ)上，將管理安全和技術(shù)安全的改進(jìn)措施進(jìn)一步細(xì)化到PDCA循環(huán)的每個(gè)階段，構(gòu)成高校網(wǎng)站安全管理的PDCA結(jié)構(gòu)化過(guò)程管理框圖如圖2所示。此圖亦描述了做好高校網(wǎng)站安全管理的基礎(chǔ)、前提、保障和關(guān)鍵與4個(gè)階段之間的聯(lián)系，下面將具體探討。

3.1 P階段——基礎(chǔ)

這個(gè)階段的工作是加強(qiáng)高校網(wǎng)站安全管理頂層規(guī)劃設(shè)計(jì)，確保安全管理制度落地實(shí)施，增強(qiáng)全員安全意識(shí)，是做好高校網(wǎng)站安全管理的基礎(chǔ)。

⑴ 加強(qiáng)高校網(wǎng)絡(luò)安全工作頂層規(guī)劃設(shè)計(jì)。必須充分認(rèn)識(shí)網(wǎng)絡(luò)安全的重要性，明確網(wǎng)絡(luò)安全的目標(biāo)，了解實(shí)現(xiàn)目標(biāo)的困難并找到解決措施，處理好單點(diǎn)防護(hù)與整體防護(hù)的關(guān)系。要堅(jiān)持系統(tǒng)思維、整體謀劃，轉(zhuǎn)變各自為戰(zhàn)、畫(huà)地為牢的防護(hù)理念，加強(qiáng)學(xué)校層面的綜合統(tǒng)籌，健全完善信息系統(tǒng)分級(jí)分層防護(hù)機(jī)制，統(tǒng)籌利用各部門(mén)、各系統(tǒng)的防護(hù)力量，增強(qiáng)全校網(wǎng)絡(luò)安全綜合防護(hù)能力。

⑵ 完善網(wǎng)絡(luò)安全管理制度建設(shè)。制定涵蓋網(wǎng)絡(luò)安全方針、政策、標(biāo)準(zhǔn)、規(guī)范、實(shí)施細(xì)則等層面的校園網(wǎng)絡(luò)安全管理制度，使網(wǎng)絡(luò)安全管理有規(guī)可依、有章可循。建立完善網(wǎng)絡(luò)安全責(zé)任追究制度、明確職責(zé)，細(xì)化各項(xiàng)管理制度，完善管理機(jī)制，全面梳理、修訂完善學(xué)校建網(wǎng)、管網(wǎng)、用網(wǎng)規(guī)范，重點(diǎn)建立針對(duì)安全責(zé)任、資產(chǎn)備案、監(jiān)測(cè)通報(bào)等制度。加強(qiáng)網(wǎng)站IP地址和域名規(guī)范管理，建立科學(xué)的考核評(píng)價(jià)、督導(dǎo)檢查機(jī)制，確保各項(xiàng)制度不折不扣落實(shí)到位。

⑶ 加強(qiáng)思想防線的建設(shè)。思想防線是最廉價(jià)和最有效的防線，做好高校網(wǎng)站安全管理的基礎(chǔ)，就是增強(qiáng)高校全員的網(wǎng)絡(luò)安全意識(shí)。要加大對(duì)高校網(wǎng)絡(luò)安全的宣傳教育，利用線上線下多種模式，開(kāi)展網(wǎng)絡(luò)安全知識(shí)培訓(xùn)，上好網(wǎng)絡(luò)安全教育第一課。大力加強(qiáng)網(wǎng)絡(luò)安全法治教育，深入宣傳《網(wǎng)絡(luò)安全法》，在高校開(kāi)設(shè)網(wǎng)絡(luò)安全法治教育課堂，普及網(wǎng)絡(luò)安全相關(guān)法律知識(shí)，提升大家的法律意識(shí)。

結(jié)合高校網(wǎng)站安全管理實(shí)際，調(diào)整完善當(dāng)前高校網(wǎng)站安全管理制度，使得相關(guān)制度與國(guó)家監(jiān)管部門(mén)和教育主管部門(mén)相關(guān)政策銜接，優(yōu)化網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，不定期進(jìn)行安全事件應(yīng)急演練，提高師生的網(wǎng)絡(luò)安全意識(shí)。

3.2 D階段——前提

這個(gè)階段的工作是“摸清家底”，完善網(wǎng)站資產(chǎn)日常管理，形成網(wǎng)站管理的長(zhǎng)效機(jī)制，是做好高校網(wǎng)站安全管理的前提。

⑴ 統(tǒng)籌管理全校網(wǎng)絡(luò)資源。按照“摸清家底，落實(shí)責(zé)任，強(qiáng)化抓手”的工作思路，摸清學(xué)校網(wǎng)站資源的基本情況。包括已知和未知網(wǎng)站，網(wǎng)站可識(shí)別域名（包含二級(jí)域名）、 IP和網(wǎng)站名稱(chēng)。查找可能存在的網(wǎng)絡(luò)安全管理疏漏點(diǎn)，清理私搭濫建、歷史遺留、僵尸網(wǎng)站（不可訪問(wèn)或長(zhǎng)期無(wú)人維護(hù)更新內(nèi)容的網(wǎng)站）、不合規(guī)的網(wǎng)站;完善網(wǎng)站資產(chǎn)日常管理制度，明晰責(zé)權(quán);建立完善的網(wǎng)站管理機(jī)制，對(duì)網(wǎng)站資產(chǎn)信息進(jìn)行全生命周期的安全管理。

⑵ 網(wǎng)站資產(chǎn)信息的全生命周期安全管理，不是靜態(tài)的，而是動(dòng)態(tài)的，要做到可知、可管、可控、可關(guān)?？芍褪鞘崂砼挪閷W(xué)校網(wǎng)站資產(chǎn)信息，包括網(wǎng)站數(shù)量，網(wǎng)站的建設(shè)和管理單位，網(wǎng)站的用途，網(wǎng)站指紋信息（服務(wù)器操作系統(tǒng)、中間件、網(wǎng)站編碼方式、物理地址等），網(wǎng)站責(zé)任單位和責(zé)任人員信息等?？晒芫褪墙柚脚_(tái)化的技術(shù)手段完成網(wǎng)站資產(chǎn)信息的備案登記，并支持新增、刪除、修改網(wǎng)站資產(chǎn)信息，便于后期管理維護(hù)。針對(duì)備案登記的網(wǎng)站，定期自動(dòng)化檢測(cè)網(wǎng)站的訪問(wèn)情況，清除僵尸網(wǎng)站資產(chǎn)信息?？煽鼐褪沁M(jìn)行漏洞掃描和威脅分析，發(fā)現(xiàn)潛在的安全漏洞和威脅，并及時(shí)進(jìn)行補(bǔ)丁修復(fù)，消除安全隱患。新建的網(wǎng)站要經(jīng)過(guò)上線前的安全檢測(cè)，達(dá)到上線安全要求才可開(kāi)放互聯(lián)網(wǎng)訪問(wèn)。經(jīng)檢測(cè)發(fā)現(xiàn)有安全漏洞且沒(méi)有及時(shí)修復(fù)的網(wǎng)站，將斷開(kāi)與互聯(lián)網(wǎng)的連接，降低網(wǎng)站安全風(fēng)險(xiǎn)。可關(guān)就是在發(fā)生安全事件時(shí)可以快速定位問(wèn)題網(wǎng)站，第一時(shí)間采取措施控制事態(tài)，及時(shí)報(bào)告并處理，切斷與互聯(lián)網(wǎng)的連接，將影響面控制在最小范圍內(nèi)?？赏ㄟ^(guò)防火墻、WAF等網(wǎng)絡(luò)安全設(shè)備實(shí)現(xiàn)一鍵斷網(wǎng)，配置阻斷策略，一旦觸發(fā)策略閾值，即可通過(guò)郵件、短信實(shí)時(shí)通知網(wǎng)站責(zé)任人并對(duì)網(wǎng)站進(jìn)行緊急關(guān)停。

3.3 C階段——保障

這個(gè)階段的工作是建立網(wǎng)絡(luò)安全工作內(nèi)外聯(lián)動(dòng)機(jī)制，形成常態(tài)化的良性循環(huán)，是做好高校網(wǎng)站安全管理的保障。

⑴ 高校要積極爭(zhēng)取國(guó)家監(jiān)管部門(mén)和教育主管部門(mén)的指導(dǎo)和支持。網(wǎng)絡(luò)安全最大的風(fēng)險(xiǎn)是潛在的、未知的隱患。網(wǎng)絡(luò)安全政府監(jiān)管部門(mén)和教育主管部門(mén)信息來(lái)源廣，資源豐富，網(wǎng)絡(luò)安全預(yù)知預(yù)警能力強(qiáng)，只有加強(qiáng)與他們的信息共享，建立信息通報(bào)機(jī)制，才能更好地做到先知先覺(jué)，防患于未然。

⑵ 做好定級(jí)備案工作。全面落實(shí)重要系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施等級(jí)保護(hù)制度，主動(dòng)到公安機(jī)關(guān)登記備案，將學(xué)校網(wǎng)站納入公安監(jiān)管范疇，嚴(yán)格進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施等級(jí)保護(hù)測(cè)評(píng)。積極探索關(guān)鍵信息基礎(chǔ)設(shè)施保衛(wèi)平臺(tái)建設(shè)，切實(shí)加強(qiáng)重要信息系統(tǒng)的日常安全監(jiān)測(cè)預(yù)警，努力將各類(lèi)隱患消除在萌芽狀態(tài)。將開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作列為安全管理的常規(guī)工作，對(duì)高校網(wǎng)站開(kāi)展等級(jí)保護(hù)測(cè)評(píng)，及早發(fā)現(xiàn)并消除安全風(fēng)險(xiǎn)。

⑶ 做好日常安全監(jiān)測(cè)工作。隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)站攻擊的門(mén)檻不斷降低。各類(lèi)型網(wǎng)站受到的安全威脅越來(lái)越多，影響各網(wǎng)站的正常使用。通過(guò)購(gòu)買(mǎi)專(zhuān)業(yè)安全公司的信息安全服務(wù)，協(xié)助相關(guān)部門(mén)對(duì)高校網(wǎng)站進(jìn)行全生命周期的動(dòng)態(tài)安全管理。利用安全公司提供的可用性監(jiān)測(cè)、內(nèi)容監(jiān)控、漏洞監(jiān)測(cè)、弱口令檢查及Webshell監(jiān)控等產(chǎn)品，實(shí)現(xiàn)對(duì)網(wǎng)站的全方位安全監(jiān)測(cè)，采取多種形式的通知功能對(duì)監(jiān)控結(jié)果進(jìn)行通報(bào)預(yù)警。在安全公司監(jiān)測(cè)到威脅時(shí)，可及時(shí)響應(yīng)，采取應(yīng)急處置，降低危害。

通過(guò)定期的等級(jí)保護(hù)測(cè)評(píng)工作和日常安全監(jiān)測(cè)工作，發(fā)現(xiàn)高校網(wǎng)站安全管理過(guò)程中仍存在的問(wèn)題，對(duì)照等級(jí)保護(hù)測(cè)評(píng)要求有針對(duì)性地完善相關(guān)安全管理制度和日常維護(hù)工作機(jī)制，通過(guò)優(yōu)化小循環(huán)來(lái)提升大循環(huán)，形成常態(tài)化的良性循環(huán)[16]。

3.4 A階段——關(guān)鍵

這個(gè)階段的工作要落實(shí)到人，加強(qiáng)對(duì)管理人員的培訓(xùn)，打造高水平工作隊(duì)伍，形成長(zhǎng)效化工作機(jī)制，是做好高校網(wǎng)站安全管理的關(guān)鍵。

⑴ 提高網(wǎng)絡(luò)安全管理人員的技術(shù)水平。建立主副崗制度，做好對(duì)系統(tǒng)的日常維護(hù)、常見(jiàn)故障的排查處理、突發(fā)事件的應(yīng)急保護(hù)等。建立二級(jí)單位信息管理員制度。定期進(jìn)行信息管理員的培訓(xùn)及交流，明確工作規(guī)范，為二級(jí)部門(mén)信息管理員提供各種安全幫助。 高校應(yīng)加大人才保障力度，調(diào)整充實(shí)網(wǎng)絡(luò)安全管理職能部門(mén)人員的力量，組建校級(jí)網(wǎng)絡(luò)安全技術(shù)團(tuán)隊(duì)、應(yīng)急響應(yīng)團(tuán)隊(duì)，全面加強(qiáng)網(wǎng)絡(luò)安全技術(shù)培訓(xùn)交流，提升高校網(wǎng)絡(luò)安全整體技術(shù)水平。

⑵ 用足、用好學(xué)校的資源。喜歡上網(wǎng)、善于用網(wǎng)的在校大學(xué)生，以及為數(shù)不少的信息安全相關(guān)專(zhuān)業(yè)高校教師，是高校做好網(wǎng)絡(luò)安全工作得天獨(dú)厚的優(yōu)勢(shì)。高校網(wǎng)絡(luò)安全工作要善于走群眾路線，充分挖掘資源優(yōu)勢(shì)，團(tuán)結(jié)在校師生，形成高校網(wǎng)絡(luò)安全工作的重要補(bǔ)充力量。要積極動(dòng)員組織高校學(xué)生成為網(wǎng)絡(luò)安全志愿者、網(wǎng)絡(luò)安全信息員、情報(bào)員，豐富高校網(wǎng)絡(luò)安全信息來(lái)源。要善于遴選學(xué)生參與學(xué)校網(wǎng)絡(luò)安全管理，彌補(bǔ)學(xué)校專(zhuān)業(yè)技術(shù)人員缺口少的短板。要充分利用高校信息安全相關(guān)專(zhuān)業(yè)的教師資源，組建專(zhuān)家團(tuán)隊(duì)，強(qiáng)化專(zhuān)業(yè)培訓(xùn)，為高校網(wǎng)絡(luò)安全提供智力支撐。

高校網(wǎng)絡(luò)安全工作是一個(gè)系統(tǒng)工作，需要整合學(xué)校各部門(mén)的力量，同時(shí)也要統(tǒng)籌協(xié)調(diào)外部力量和社會(huì)資源，推動(dòng)建立共建共治共享的校園網(wǎng)絡(luò)安全工作格局。建立高水平工作隊(duì)伍，才能更好地總結(jié)PDCA在高校網(wǎng)站安全管理和運(yùn)用中的經(jīng)驗(yàn)和問(wèn)題，積極探索更科學(xué)有效的高校網(wǎng)站安全管理模式。

4 結(jié)束語(yǔ)

高校網(wǎng)站安全管理是一個(gè)長(zhǎng)期、復(fù)雜而又龐大的系統(tǒng)工程，通過(guò)運(yùn)用PDCA循環(huán)，為高校網(wǎng)站安全管理打好基礎(chǔ)、抓好前提、提供保障和強(qiáng)化關(guān)鍵。在螺旋式的循環(huán)過(guò)程中，高校網(wǎng)站安全管理工作得到改進(jìn)，高校網(wǎng)站安全管理能力得到有效提升。PDCA循環(huán)的應(yīng)用，對(duì)于提高高校網(wǎng)站安全管理水平具有較好的實(shí)際作用。

接下來(lái)還要多從“人的因素”去考慮高校網(wǎng)站安全管理的體系設(shè)計(jì)以及相應(yīng)的技術(shù)實(shí)現(xiàn)，而不僅僅是從政策要求或是純技術(shù)發(fā)展的視角去看待這個(gè)問(wèn)題，從而為提升高校整體安全防護(hù)能力奠定良好的基礎(chǔ)。

參考文獻(xiàn)（References）：

[1] 劉振昌.高校網(wǎng)站安全管理模式的探索與實(shí)踐[J].華東師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2015.A1：224-231

[2] 王左利.解讀《教育行業(yè)網(wǎng)絡(luò)綜合治理行動(dòng)方案》[J].中國(guó)教育網(wǎng)絡(luò)，2017.6：15-16

[3] 賽爾網(wǎng)絡(luò)，綠盟科技.2018年高校網(wǎng)站安全脆弱性白皮書(shū)[EB/OL].[2019-11-12].https：//download.csdn.net/download/goldberg/10818222.

[4] 中國(guó)高等教育學(xué)會(huì)教育信息化分會(huì)網(wǎng)絡(luò)安全信息工作組.2015高校網(wǎng)絡(luò)信息安全調(diào)研報(bào)告[J].中國(guó)教育網(wǎng)絡(luò)，2015.11：56-59

[5]李亞平.多主體協(xié)同的網(wǎng)絡(luò)個(gè)人信息使用控制方案研究[J].重慶工商大學(xué)學(xué)報(bào)（自然科學(xué)版），2018.5：1-6

[6] 徐偉.基于廣電IMS業(yè)務(wù)的仿真測(cè)試系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].南京郵電大學(xué)學(xué)報(bào)（自然科學(xué)版），2020.6：78-84

[7]施暢，張璐.高校網(wǎng)絡(luò)空間安全人才培養(yǎng)思想政治教育工作研究—以東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院為例[J].網(wǎng)絡(luò)空間安全，2020.8：114-118

[8] 吳世忠，江長(zhǎng)青，孫成昊.信息安全保障[M].機(jī)械工業(yè)出版社，2017.

[9] 林振調(diào)，陳秀.基于PDCA的研究生管理信息系統(tǒng)設(shè)計(jì)研究[J].電腦知識(shí)與技術(shù)，2018.24：66-67

[10] 張小慧.基于AHP和PDCA的科研企業(yè)信息安全管理研究[J].管理創(chuàng)新，2019.6：324-325

[11] 袁粒星.基于PDCA模式的醫(yī)院科研實(shí)驗(yàn)室安全管理實(shí)踐[J].教育教學(xué)論壇，2019.11：10-11

[12] 劉春蘭.系統(tǒng)論視域下高校黨建網(wǎng)站建設(shè)的思考[J].湖北開(kāi)放職業(yè)學(xué)院學(xué)報(bào)，2018.21：28-29

[13] 陳青民，方莉莉.構(gòu)建電子政務(wù)網(wǎng)絡(luò)安全運(yùn)營(yíng)體系[J].中國(guó)信息安全，2019.3：80-82