十大措施構建高校網絡安全防護體系

文/薛靜 張紅玲

高校面臨的網絡與信息安全挑戰

高校的環境就是一個典型的小社會模式，所以面臨的網絡與信息化問題和挑戰也要比企業復雜得多。

一是面臨技術的挑戰。在網絡與信息安全的攻防對抗中，技術是關鍵因素，技術力量的強弱在很大程度上決定了勝負。而網絡與信息安全又是一個多范疇的學科，涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等方方面面，很難做到由一個人完全駕馭，因此給網絡安全工作提出了非常大的挑戰。

二是面臨防范策略的挑戰。在網絡與信息安全的防范中，攻方占有主動權，具有主導優勢。攻方可以決定在什么時候、用什么技術、從什么地方、對什么目標、動用多少資源發起攻擊，因此他們具有對抗中的主動性，而防守一方則只有做好全方位的防御才有可能抵御這樣一場網絡戰爭，所以說是極具挑戰性。

三是面臨設備或軟件方面的挑戰。由于高校業務的復雜性，決定了高校的信息化產品是多元化和具有異構特征的，其硬件設施和軟件產品一定是由多品牌、多型號和不同架構組成的，因此需要防護的范圍不僅僅是網絡安全，還要防范異構產品自身漏洞、缺陷帶來的風險，可以說是一個泛在的安全防護。同時，由于軟硬件產品對用戶是不透明的，所以存在問題用戶也不得而知，因此帶來了很大的不確定性。

網絡與信息安全是一個多范疇的學科，涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等方方面面，很難做到由一個人完全駕馭，因此給網絡安全工作提出了非常大的挑戰。

四是面臨管理的挑戰。因高校的業務復雜，構成其業務支撐的信息化系統也多為各業務單位自行防護，這樣就構成了二級甚至是三級的網絡與信息安全防護責任體系，所以在管理上要充分協調才能夠步調一致、水平一致。但由于信息化部門的性質和地位決定了其輔助和服務性質，要想充分發揮管理職能還會面臨巨大的挑戰。

五是面臨人員挑戰。由于高校從事信息化的專業人才短缺，加上二級和三級單位的信息化人員一般是兼職和非專業人員，因此在管理和技術溝通上都存在一定困難。同時，由于人員一般非安全專業人才，所以在能力上也存在著巨大的差距和挑戰。

高校網絡與信息安全問題及原因

雖然高校是人才培養的搖籃，但由于高等教育信息化在近幾年才得到迅猛發展，因此網絡與信息安全工作也處于起步階段，總體形勢不容樂觀。教育行業面臨著日益增長的網絡安全威脅和信息安全挑戰，形勢嚴峻。其主要問題表現為以下幾個方面：

一是管理機構缺失。在2017年《網絡安全法》出臺之前，很多高校沒有專門機構負責網絡與信息安全，之后情況有極大改善，但很多高校只是設立了部門，其職能和監管工作開展還不到位。

二是專業人才缺失。在全社會都缺少網絡與信息安全專業人才的的背景下，高校也面臨著缺少安全專業人才的問題。很多高校的技術人才非常少，尤其是能將管理、技術和安全緊密結合并充分利用的人才則更緊缺。

三是管理不到位。很多高校還停留在基礎網絡與信息安全工作的硬件防護層面，沒有意識到網絡與信息安全是一個系統性的安全防護體系，需要從管理、技術等多方面開展工作，所以很多管理工作開展不到位甚至是沒有開展。

四是防護不到位。在國家出臺《網絡安全法》以后，很多高校雖然加強了防護手段和硬件投入，按照等級保護的要求做了必要的防護，但在這場矛與盾的斗爭中只有不斷加強力度和手段，才能應對技術的日益發展和安全的不斷需求，需要不斷投入和持續建設。但很多高校存在安于現狀或局限于技術及資金等原因而止步不前的現象。

造成目前高校普遍存在的網絡與信息安全問題及原因可以歸納為以下幾個方面：一是單位重視不夠。各單位都是先完成本職工作，在有精力的情況下才去抓網絡與信息安全工作；二是管理體系不健全。有些單位沒有設置網絡與信息安全工作崗位，沒有設專人管理，沒有完全落實職責；三是人力投入不足。各單位從事網絡安全的人力資源不足，即便安排了人員也普遍存在技術防護能力偏弱的情況；四是人員能力不足。各單位基本都是工作人員兼職管理網絡及信息安全工作，專業技術能力不足；五是防護經費投入不足。各高校普遍存在經費投入不足現象，尤其是人員技防經費投入嚴重不足；六是安全意識薄弱及日常運維缺失。普遍存在安全保護意識差、弱口令、日常維護缺失等問題，導致安全漏洞比比皆是。

系統性網絡安全防護體系初探

從上面的分析可以看出，當前高校網絡與信息安全的問題，不僅是技術問題和資金問題，也是管理問題，更是一個復雜的系統工程。這種特性決定了我們不能采取單一的硬件防護措施或者單一的購買外包服務來加以防范，而是必須整體聯動、技術與管理相結合。

筆者認為，網絡與信息安全應該至少包含設備防護、安全管理、安全策略、安全檢查和應急處置等五個方面。按照木桶理論原理，決定網絡與信息安全狀況的不是最強的能力，而是那個最弱的能力，如果我們有一個方面開展不到位，則勢必會被具有高智商的不法分子所利用，從而導致“千里大堤毀于蟻穴”的慘劇發生。那么怎么建設一套符合高校實際需求的安全架構體系，更加均衡地進行合理投入，不讓不法分子從最短板入手制造出安全事件呢？這需要從五個層面、十項措施入手，為不法分子布下一個層層設防的“十面埋伏”，從而系統性地構建一個網絡與信息安全防護體系。

構成網絡與信息安全的五個層面

網絡與信息安全是一個系統性的工作，需要建設一個立體的防護體系，應從以下五個層面做好工作：

一是設備防護。這是開展網絡與信息安全的基礎。利用各種現代化的網絡與信息安全防護設備對各種信息化活動進行甄別與防范，可以有效地處理絕大多數非法攻擊，必須按照國家等級保護的要求做好各項設備防護工作。

二是安全管理。這是開展網絡與信息安全的保障。只有建立了立體有效的網絡與信息安全管理體系，將職責明確劃分、將責任落實到位、將獎懲清晰告知，從而充分落實各項安全工作，確保安全管理穩步開展。

三是安全策略。所有的設備防護和安全管理都是基于一定策略的，策略過緊則防范工作量劇增且不利于正常開展信息化工作，策略過松則相當于不設防，起不到相應的作用，因此根據各單位具體情況制定相應的策略是安全工作的重要環節之一。

四是安全檢查。在安全管理中含有安全檢查一部分內容，多為自查。但安全檢查不僅僅局限于自查，也不局限于單一的手段，應該是從管理、滲透、測試等多方面開展，目的是及時發現存在的問題并加以彌補。

五是應急處置。網絡與信息安全工作是攻與防的對抗，是矛與盾的競爭，在這場技術競賽中會隨著不斷進步產生新的方法，因此也就可能導致安全事件的發生，所以必須做好應急處置預案并熟練演練，一旦發生安全事件則采取相應應急處置，將危害降到最小范圍。

構建系統性網絡安全防護體系的十大措施

為了做到這五個方面，構建系統性網絡安全防護體系，我們提出通過采取十大措施推動該項工作，具體措施為：轉觀念、立規矩、變可視、建防護、定策略、做檢查、促整改、找幫手、推等保、報預警。

一是轉觀念。這是一個非常重要而且過程漫長的工作，主要包括變被動為主動、推動兩個意識轉變和劃清安全工作邊界。變被動為主動是一種工作意識的轉變，從不得不根據信息技術的發展被迫地進行防護到主動開展防控，積極開展安全檢查和防護；在兩個意識轉變中，其一是網絡與信息系統與硬件產品一樣，它是有生命周期的，需要隨著需求和技術的不斷發展而更新，必要的時候甚至要根據安全的要求進行必要的更新換代。其二是網絡與信息系統和汽車產品一樣，需要運維并經常地進行系統維護，進行必要的備份、漏洞修復、軟件升級等，這樣才能保障信息系統能長期安全有效的運行；劃清安全工作的邊界就是杜絕推諉扯皮。一般來說信息部門就像學校的保衛隊，保護的是學校的大門，要做好外圍的防護。各個單位相當于圍墻之內的各家各戶，他們有自己的戶型、結構和私有的鑰匙，所以只有各單位才能做好內部防護。為了落實各單位履行安全管理職責，需要給他們配套相應的經費，促使管理員監管信息系統建設單位或者專業的安全運維公司進行防護，從而將自己的責任逐級落實下去。

二是立規矩。無規矩不成方圓，必須有一套能落實主體責任的文件，才能有效的落實安全責任。為了規范和明確信息化建設中各單位的工作范圍和職責，學校必須建立一套與網絡與信息安全管理制度，并通過這些制度對安全管理工作和職責進行劃分。制度應明確網絡與信息系統安全必須要貫穿學校的信息化建設始終，做到同步規劃，同步建設和同步運行，應確定信息管理部門和各二級單位之間的具體職責以及必須開展的工作等。

三是變可視。為了引起各級領導和各單位對安全工作的重視，將安全工作可視化，讓安全量化并走進每個人的生活，是一件非常重要的事情。如果網絡與信息安全總是處于一種摸不到、看不著的狀態，是很難真正將安全工作落實到位的，因為只有怕了才能真正動起來。為了實現可視化，學校可以引入安全監測設備，并利用這些設備產生的數據制作學校信息化安全簡報，以量化的數據和圖文并茂的形式將學校網絡安全的狀況、網絡漏洞的危害和防范知識展現給各位領導和師生。通過這些數字可以讓他們了解到真實的現狀，并充分意識到面臨的風險和責任。

四是建防護。學校要從技術方面入手做好整個校園環境的基礎信息安全防護，這里主要包括建立全校網絡防火墻、堡壘機、Web應用防火墻、抗DDoS攻擊、數據庫審計、遠程管理審計、云防護、網站及信息系統監控平臺、漏掃設備、網絡防病毒軟件等公共平臺設施，確保有防護、有數據、有痕跡，為網絡與信息安全工作提供必須的、完備的環境和條件保障。

五是定策略。確定防范策略是一個重要的環節，需要結合學校自身實際進行考量。其中最重要的策略之一就是推行白名單制度。因學校很多網絡與信息服務屬于科研或內部工作性質，通過白名單制度將這些內部系統限制在內網中使用，而僅僅將有限的公共服務對外網開放，可以在很大程度上減少風險和防護的工作量，增加安全系數。在歷次的重要時期安全工作中，白名單制度起到了重要的作用。

如果網絡與信息安全總是處于一種摸不到、看不著的狀態，是很難真正將安全工作落實到位的，因為只有怕了才能真正動起來。

六是做檢查。在完善了外圍防護的基礎上，學校要建立安全檢查機制，監督和幫助各單位管好、防好各自所負責的信息系統安全。學校主要是利用專業的漏洞檢測設備工具，采用每月定期檢測和平時檢測相結合的安全檢測機制，對所有的網站及應用系統進行安全檢查。當檢查完成后，生成該信息系統的專項檢查報告，并提出相應的具體解決方案，以便系統管理員能夠指導專業運維人員很快地處理各種安全威脅。另外，還應該不定期地引入滲透等措施開展安全檢查。通過這些常態工作，可以有效地及時發現問題并加以處理。

七是促整改。只做檢查不落實整改結果就不能形成安全工作閉環，就無法保證安全防護的效果，因此必須采取強有力的措施促使責任單位進行整改。學校需要根據正式出臺的信息化制度嚴格落實相應的管理和監督職責，可以對出現高危問題的網站及信息系統進行先關停再整改的措施，同時通過“信安字”文件形式下發整改通知，要求各單位針對發現的問題進行整改，整改合格后方可恢復上線。

八是找幫手。單靠管理是不夠的，還需要專業的技術支持。為了克服人員少和人員能力不足的狀況，需要擴展渠道、找幫手，引入專業的技術人員支持，共同做好學校的安全防護。一方面，學校通過與安全公司進行合作，購買安全服務，引進一批專業的技術支持。另一方面，充分利用有能力的學生做安全方面的測試、攻擊、滲透等工作，讓他們能為學校的安全貢獻出自己的力量。同時，也可以給學生出具工作證明，對他們的白帽子工作給予肯定。

九是推等保。等保工作是一個嚴密的信息化防護工作，真正落實到位以后會極大提升學校的網絡與信息安全水平。學校需要落實《網絡安全法》要求，對所有設施做好等保評測并取得通過資質。同時，也要將等保要求落實到今后新建系統的合同里，要求后續所有新建系統在上線之前必須完成等級備案及等保評測。

十是報預警。一味地防不是辦法，也需要變被動為主動。學校需要和專業的安全公司開展合作，建設軟件預警平臺，對各種新發生的安全事件實施及時的全校預警，也需要充分開展大數據應用，對有風險的行為做預警，及時阻斷各種網絡安全風險，為師生提供增值的信息化服務。

通過以上十項舉措，可以讓學校初步構建系統性的網絡安全防護體系，為學校信息化工作提供網絡與信息安全保障。但由于信息技術在不斷發展和突破，所以安全問題永遠在路上，我們也需要不斷地探索和完善工作辦法，努力為學校的發展保駕護航。