江蘇科技大學：打造網信安全立體化管理模式

陳宓宓

江蘇省高校信息化建設先進單位、中國教育科研網優秀會員單位、鎮江市信息安全等級保護先進集體……這是江蘇科技大學近年來在落實網信安全立體化管理模式中曬出的成績單。

近年來， 江蘇科技大學以貫徹落實《中華人民共和國網絡安全法》及學校有關網絡和信息安全相關制度為主線，以開展校園網、信息系統和網站安全檢查為基礎，以強化網絡和信息安全教育培訓為抓手，緊緊圍繞網信安全怎么創新、怎么做實、怎么干好三個方面， 通過調整組織架構、改進工作方式、創新聯動機制， 全力打造“制度先行、定期排查、定時掃描、承諾保障、及時整改”的立體化管理模式在實踐中收到了良好的效果。

一、實施CIO制度，強化網絡安全責任

2017年4月，江蘇科技大學成立了以校黨委書記和正校長為組長、分管信息化和輿情的副校長為副組長的網絡安全和信息化領導小組；同年9月，頒布《江蘇科技大學首席信息官制度》，確定二級部門信息主管和干事；構架以“網絡安全和信息化領導小組”為決策層、“網絡安全和信息化領導小組辦公室”為協調層、各部門信息主管（干事）為執行層的三層隊伍體系。加強二級部門對網絡信息安全的重視和自查自糾，簽署《安全承諾書》。督促二級部門參照《江蘇科技大學信息安全應急預案》，組織制定本部門應急預案，提高應急處置能力，確保業務部門信息系統和網站的正常運行和有效維護。

二、梳理網絡拓撲，優化校園網絡結構

優化網絡設備的安全策略，強化網絡安全的軟硬件建設（核心交換機、出口防火墻、Web應用防火墻、網管軟件等）。通過安全策略實現部分專網與校園網的隔離。關閉核心交換機上二級部門可接入服務器地址的端口，優化WAF安全配置，優化數據中心防火墻配置，通過購置備份、容災設備，提高數據安全等級。合理部署入侵防御系統，進一步提升應用系統（網站）的安全級別。為解決現有校園網三層架構網絡環境下，局域網內存在ARP欺騙、用戶上網行為管理只能在出口認證網關處進行管理的不足，對校園網絡進行了扁平化改造，實現了精細化網絡管理。

三、施行“白名單”制度，嚴控服務器訪問

嚴格控制公網至校園網的訪問入口、梳理并規范現有應用系統的對外開放端口；加強信息系統（網站）域名和IP地址管理，清理非官方信息系統（網站），關斷各信息系統（網站）的外部訪問，僅開放有特殊需要的。頒布《信息系統（網站）安全管理辦法》等制度、對所有信息系統（網站）逐個排查、清理“僵尸”信息系統，對可能聯網的信息發布終端進行了徹底排查，確保網絡和信息安全工作縱向到底、橫向到邊。

四、定期掃描網站，及時查堵安全漏洞

通過等保、云盾服務、日常掃描等手段，明確現有應用系統存在的安全漏洞。對外開放訪問權限的重要應用系統（網站）每月掃描一次，其他應用系統（網站）每兩個月掃描一次。針對責任部門下發《網絡和信息安全隱患整改通知單》、限時完成高危漏洞的整改。利用“可視化管理軟件”加強網絡攻擊行為的監控；運用“運維管理軟件”深化虛擬服務器、存儲等基礎硬件運行狀態的監控。

五、實施網絡安全報告制度，及時通報安全動態

發布《江蘇科技大學網絡與信息安全事件報告制度》《江蘇科技大學網絡與信息安全問題通報制》，實現網絡和信息安全問題的早發現、早處置。信息化中心會根據對網站、信息系統的常態化監測，通過電話、短信、電子郵件和書面通知等方式，以季度報告、月度簡報、不定期通報等方式向網絡安全和信息化領導小組和各部門通報存在的漏洞、后門、暗鏈、弱口令等安全隱患，并負責跟蹤核查整改結果。

六、評估信息系統風險，加強數據安全管理

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一項工作。今年順利完成了數字化校園系統、云平臺信息系統、校園主頁及站群系統的二級等保測評，以及電子郵件系統的三級等保測評工作，獲得鎮江市網安支隊和同行的廣泛認可。嚴格按照數據標準對各業務系統中不符合要求的數據進行了清洗和轉換。對數據容災、備份開展深入調研思考，探索進一步加強數據層面安全管理的工作方向。

七、開展培訓與教育，提高安全意識和技能

根據我校網絡和信息安全薄弱環節以及網絡和信息安全工作年度重點，制定針對不同對象的網絡和信息安全教育計劃，重點開展面向信息主管、信息干事和系統管理員的專題培訓，切實提高廣大師生的網絡安全意識和防護能力。推行網信安全工作例會制和項目研討制。利用新生入學教育、新教師入職教育、網絡安全宣傳周、信息化建設與管理中心黨支部特色活動等契機，通過形勢政策課、講座、報告會等方式面向廣大師生開展網絡安全宣傳教育，提高網絡和信息安全意識和素養。以增強各部門網絡和信息安全責任和意識為目標，以促進信息化項目使用和信息資源共享為出發點，對二級部門網絡安全和信息化工作開展年度考核，通過評選先進的方式進一步激勵網絡和信息安全工作的實效。