網絡安全工作要技管并重 管理先行

高校網絡安全管理工作應遵循何種原則？網絡安全工作的難點是什么?如何進一步完善網絡安全管理體系？如何使用戶理解并配合學校的網絡安全工作?

“2019中國高校信息化主任論壇”上，天津大學信息與網絡中心主任劉峰、華南理工大學副首席信息官兼網信辦主任陸以勤、電子科技大學信息中心主任侯孟書、西北工業大學信息化建設與管理處處長薛靜、清華大學信息化工作辦公室副主任劉沐就上述問題，以“網絡安全建設”為主題展開了深入討論，華中科技大學網絡與信息化辦公室主任于俊清主持了研討。

左起：劉沐、侯孟書、劉峰、陸以勤、薛靜、于俊清

陸以勤：網信部主任是網絡空間的“保安隊長”

陸以勤華南理工大學副首席信息官兼網信辦主任

網絡安全工作是不對等的博弈，它有三個“苦”：第一，對方，也就是網絡攻擊者在暗處，需要我們保護的對象即被攻擊者在明處；第二，攻擊者是“武裝到牙齒”的職業選手，被攻擊者是“手無寸鐵”的平民；第三，網絡攻擊在網絡空間角度經常是有組織的，如DDoS，而被攻擊者通常是個體防御。

然而，網絡安全恰恰也給了信息化工作一個機會。如果把網絡空間和實體空間做對比，網信部門負責人在網絡空間就相當于實體空間“保安隊隊長”的角色。網信部門負責人可以結合這一重要角色，將信息化和網絡安全同步進行，例如，可以以“保安隊隊長”的身份在信息化項目的流程管理過程中，在處理數據安全的同時，處理好數據共享的問題。

華南理工大學在網信工作方面，建立了信息化和網絡安全工作的同步機制，在制度化的同時進行流程化處理。學校所有的信息化項目都由網信辦進行流程管理，網信辦在審核相關項目時，著重審核網絡安全和數據共享兩方面，如果達不到這兩項要求，就不能上線。這種方式將網絡安全和信息化工作“綁定”，讓網絡安全和信息化成為“一體之兩翼、驅動之雙輪”，統一部署、統一實施，在解決網絡安全問題的同時解決數據共享問題。

劉峰：找準信息資產抓手實施安全管理

劉峰天津大學信息與網絡中心主任

由于學院、部處各單位在管理上相對獨立，因而內部機制不盡相同，造成了信息資源梳理方面的困境，各系統之間的管理也缺乏一致的流程和規范。

解決這些問題的途徑有三：第一，依據政策，將安全管控與學校組織架構相結合；第二，找準信息資產這個抓手，將校園信息資產全生命周期的梳理管控貫徹到底，實現雙維度的完美結合；第三，廠校協作，學校與社會融合，搭建安全問題從發現到解決的閉環流程。

天津大學校園網絡安全管理體系的建設思路是高占位、建體系、理資產、搭平臺，建立信息安全的管理體系、運營體系和技術體系。

侯孟書：網絡安全遵循最小化原則

侯孟書電子科技大學信息中心主任

從大的方面說，國家進入新時代，習總書記針對網絡安全和信息化發表了一系列講話，如沒有信息化就沒有現代化、沒有網絡安全就沒有國家安全等。正如吳建平院士所言，只有真正掌握互聯網的核心技術，才能從根本上解決網絡安全問題。

關于網絡安全，我有三點體會：第一，網絡安全要遵循最小化原則；第二，網絡安全建設中，人才要素非常重要；第三，網絡安全與信息系統的開放性從某種程度上是有矛盾的，如何兼顧開放和安全，需要我們每個人深入思考。

薛靜：網絡安全工作 痛并快樂著

薛靜西北工業大學信息化建設與管理處處長

西北工業大學的網絡安全工作圍繞三個方面開展。技術上，要讓所有的安全問題看得見、防得住；管理上，要定責任、抓落實；人員上，要強意識、建隊伍。

當前，網絡安全1.0 亟需向網絡安全2.0時代發展。2.0 時代應該有人員的實時安全防護，在此基礎上，努力將安全工作實時化、主動化。

網絡安全工作的重要作用有三個：一是能提升應用系統的建設水平；二是能進一步提升對數據的安全管理；三是可以拉近信息化部門與師生之間的距離，因為師生是網絡安全的主要參與者。

網絡安全工作責任重大，任務艱巨，但只要大家努力去做，就是痛并快樂著的。

于俊清：網絡安全工作七分管理 三分技術

于俊清華中科技大學網絡與信息化辦公室主任

華中科技大學高度重視網絡安全，在國內高校率先成立了網絡安全和信息化領導小組，組長由書記和校長擔任，分管信息化和宣傳工作的校領導任副組長，各職能部門均為成員單位。學校提出并建設了“攻擊能防護、問題能追溯”的網絡安全防護系統，獲批建設湖北省網絡安全和信息化創新研究中心。

網絡安全為師生，網絡安全靠師生；七分管理，三分技術，只有管得住，才能放得開；摸清家底，堅持到底！信息化管理者不僅要懂技術，更要懂管理，要提高政治站位，認真領會國家領導人關于網絡安全和信息化工作的重要論述，用理論武裝頭腦，用理論指導實踐，讓師生、各職能部門、院系都能夠充分享受信息化發展的成果。

劉沐：向內發力 打造信息安全體系

劉沐清華大學信息化工作辦公室副主任

高校的信息安全工作應處理好兩點：第一，技管并重，管理先行。管理要有更多的責任和擔當，為技術的落地穿針引線，鋪路搭橋，為技術的實施爭取更大的共識，創造更好的輿論環境；第二，內涵式發展。高校應該通過向內發力打造信息化安全體系，全面提升網絡安全防護能力。

在網絡安全工作中，有許多制度需要執行，執行時應當設身處地為不同人群制定不同的方案。必要時需要適度引導，只有讓老師們認同方案，他們才會支持學校的決策。