高校網絡安全治理及應用研究探討

湯其妹

(安徽醫科大學 網絡與信息化管理處,安徽 合肥 230032)

如今,云計算、物聯網、大數據、移動計算等新技術被廣泛應用,隨著高校信息化建設步伐不斷加快,整體信息化程度逐步深入,也帶來了新的網絡安全風險點和挑戰。為積極落實高校網絡安全工作職責,建立健全高校網絡安全工作責任制,有效推動“十四五”期間高校網絡安全治理架構的不斷優化,指導高校從戰略角度提升網絡安全保障能力,需要結合學校信息化發展情況,充分考慮未來發展,以全局視角,對學校網絡安全保障工作進行整體戰略規劃[1]。

根據《中華人民共和國網絡安全法》(下稱《網絡安全法》)中關于網絡安全與信息化“同步規劃、同步建設、同步使用”[2]的要求,加強網絡安全與信息化的融合發展,需要相關負責人樹立正確的網絡安全觀,增強網絡安全意識。同時,也需要高校壓實網絡安全責任,落實網絡安全工作的人、財、物保障要求,建立人才選拔機制和績效評價體系,積極推動落實常態化網絡安全建設和網絡安全運營及管理工作,建構體系化網絡安全治理架構,從而保障學校重要教學、辦公系統和基礎網絡設施的安全,為教學科研管理提供有力安全能力支撐[3]。最終建成體系完備、技術先進、責任明晰、監管嚴格、能力成熟的網絡信息安全工作機制。

1 網絡安全治理架構

1.1 頂層設計

《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二○三五年遠景目標的建議》中明確提出要“全面加強網絡安全保障體系和能力建設”[4]。因此,高校要堅持網絡安全治理在高校“十四五”網絡安全戰略規劃全局中的核心地位,把網絡安全保障能力作為學校發展的戰略支撐。要面向等級保護和關鍵信息基礎設施保護合規要求、面向網絡安全的實戰化要求、面向高校網絡安全協同需求、面向安全體系創新要求,構建全方位網絡安全治理體系,完善保障機制,強化網絡安全監管,引導建設適應新技術發展的網絡安全防護體系[5]。

網絡安全防護體系主要包含網絡安全治理架構和網絡安全保障能力兩部分內容。網絡安全治理架構以安全管理體系統籌全局,通過網絡安全技術體系和網絡安全運營體系構建安全業務的中臺;同時,通過網絡安全評價體系檢驗網絡安全建設和運營效果。網絡安全保障能力主要包括網絡安全合規能力、網絡安全實戰能力、網絡安全協同能力和網絡安全創新能力。

圖1 校園網安全建設規劃圖

1.2 管理體系

高校應從決策者和管理者的角度出發,明確權責,統籌協調,確立具體清晰的安全保護工作閉環,構建多方盡責、齊抓共管、共同協作的網絡安全工作生態。

1.2.1 加強組織領導,落實主體責任

高校應認真貫徹落實習近平總書記關于網絡安全工作的重要指示精神,按照《網絡安全法》、黨委網絡安全責任制、等級保護系列標準等規定,全面梳理其在組織領導、建章立制、工作實施等方面責任落實情況,建立健全網絡安全責任制。學校主要負責人是網絡安全第一責任人,應明確其網絡安全保障工作責任邊界,強化其網絡安全管理責任和擔當,健全對責任人的考核機制,嚴格責任追究,確保網絡安全責任全覆蓋。

1.2.2 落實“三同步”要求

高校應落實網絡安全與信息化“三同步”(同步規劃、同步建設、同步使用)的要求,積極推動網絡安全能力對信息化的全面覆蓋,實現網絡安全規劃、建設、運營與信息化建設的全周期同步,使網絡安全成為信息化業務的內在屬性。伴隨信息化水平的持續升級,最終實現整體網絡安全能力同步階梯式上升。因此,建議高校每年投入不低于信息化建設經費的5%用于網絡安全建設。

1.2.3 強化內外部溝通合作

高校應加強網絡安全工作部門與各二級學院、職能部門的協同聯動,打破部門壁壘,建立高效暢通的應急協調和信息共享機制,推動網絡安全工作有效融入日常業務工作。例如,學校可以定期組織召開由校領導主持、學校網絡安全領導小組成員參與的網絡安全會議,對學校網絡安全相關制度文件進行審議,保障網絡安全工作的持續推進和方案可落地。

2 網絡安全建設

2.1 網絡安全基礎設施建設

網絡安全基礎設施主要包括資產管理、漏洞管理、威脅情報服務等支撐網絡安全技術體系的基礎性平臺。

網絡空間測繪體系包括網絡資源與安全風險自適應感知技術、網絡威脅常態化攻防模擬及反饋技術、核心資源分類分級定標技術、大數據處理技術和網絡風險AI輔助自動化探測技術。學校應建立可以對全校網絡空間資產進行掃描和查詢的資產測繪與管理平臺,并通過該平臺主動探測網絡空間的資產數據,對全校目標區域進行網絡空間測繪,并將海量的資產數據與安全漏洞庫進行比對分析,定位漏洞資產,從而實現基于網絡空間資產測繪的全網漏洞態勢感知。

同時,學校要建立網絡安全漏洞資源庫,收集匯總從外部獲取的或國家有關部門通報的漏洞信息。及時分析網絡攻擊常用的漏洞,研究常見漏洞在應用類型、漏洞分類、危害程度、利用方法、發布時間、披露狀態、檢測方法等方面的特征,并分析其規律及檢測手段。

此外,學校還應建立網絡安全威脅情報庫,通過實時聯動的模式,對接第三方威脅情報平臺的基礎數據、信譽數據以及知識數據。利用高級威脅情報進行實時或離線的關聯拓線,分析IP、域名、文件Hash等目標線索,掌握其所屬的惡意軟件家族、網絡攻擊團伙以及曾經的攻擊行為。對多源情報數據進行分析處理,為網絡安全管理部門提供威脅情報查詢、線索查詢、線索基本信息展示、多線索節點關聯、圖線索分析關聯、服務訂閱等服務,為開展網絡攻擊識別與追蹤溯源提供支撐。

2.2 意識形態安全監管

意識形態安全監管是高校一項重要工作。在技術方面,需要重點做好“雙非”系統和“僵尸”系統管理、學校門戶網站內容監測、互聯網輿情監管工作,促進學校意識形態安全機制的構建。

2.2.1 抓好“雙非”和“僵尸”系統管理

“雙非”信息系統是指IP地址和域名均不屬于學校但內容與學校業務相關或帶有學校標識的信息系統。對“雙非”系統,原則上要先關停,對于確實需要運行的應遷移至校內統一管理。同時,按照“誰建設誰負責”的原則,厘清網絡安全保護邊界,明確信息系統管理者的安全責任,落實信息系統的安全措施并及時辦理備案手續。“僵尸”系統是指長期不使用、長期不維護、長期不更新、存在安全威脅隱患長期不修復、占用資源并長期處于閑置狀態的信息系統。學校網絡安全管理部門應定期對“僵尸”系統及其占用的固定IP和服務器進行清理,對不再使用的系統,采取限制網絡訪問或關停等措施,及時收回占用的IP地址、服務器、存儲等資源。

2.2.2 學校門戶網站內容監測

高校應嚴格信息發布審核,加強對學校門戶網站的管理,強化對網站目錄內容的分類管理,并為學校官網設置三級審核功能,對發布的信息內容和上傳的文件進行嚴格審查。強化在線內容監測,實時監測學校門戶網站、數據中心、備份中心、緩存系統等,對文本、圖片、視頻等內容進行智能分析,防止非法信息內容帶來的安全隱患。

2.2.3 互聯網輿情監管

如今,突發事件帶來的輿情傳播環境異常復雜,如何及時有效地處置輿情危機成為高校網絡輿情治理的核心問題。高校應建設能夠自動采集和過濾信息、按主題檢測信息、分類統計分析信息的輿情監控系統[6]。同時,學校應建立自上而下、分層分級的研判工作制度,及時研判、處理輿情監控系統抓取的師生訴求動態。網絡輿情處置是整個輿情管理工作的核心環節,高校應建立工作檔案、做好后續跟進、健全考核機制、嚴格開展評估,做到盡可能減少輿情事件的發生,降低不良輿情的影響,保障校園良好、文明的網絡氛圍。

2.3 數據安全治理和個人信息保護

2.3.1 數據安全治理

《中華人民共和國數據安全法》(下稱《數據安全法》)提出:“維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。”[7]數據安全治理是指將數據安全技術與數據安全管理相融合,在數據安全戰略的指導下,保證數據得到有效保護和合法、合規使用的多部門協同活動,主要包括組織機構建設、資產梳理、制度制定、技術體系構建等。它以保障數據安全、促進數據使用為原則,圍繞數據生命周期,構建相應的數據安全治理體系。這需要學校統一共識,協同工作,平衡數據安全與發展。數據安全治理的體系化結構包括數據安全戰略、數據生命周期安全、基礎安全三部分(圖2)[8-10]。

圖2 數據安全治理體系

2.3.2 個人信息保護

《中華人民共和國個人信息保護法》(下稱《個人信息保護法》)明確指出要“對個人信息實行分類管理”[11]。個人信息保護的具體合規要求包括數據最小化、數據分類分級、數據匿名化、知情同意、規范操作、應急補償等。其中有三個與隱私保護計算相關且相對重要的合規要點分別是數據最小化、數據分類分級和數據匿名化。

數據最小化強調對個人數據的收集要盡量克制,要與收集和使用目的保持一致。評估是否滿足數據最小化的方法:首先,評估是否僅收集了實現數據處理目的的數據;其次,評估是否有足夠數據實現該特目的;最后,周期性檢查持有數據,并刪除不需要的數據。高校應積極探索聯邦學習、差分隱私、安全多方計算、同態加密等隱私保護計算技術,在數據最小化與其他合規或效用目標之間取得平衡。

數據分類分級強調對不同數據的管理與保護應有所區別,要對敏感、重要的數據加強保護。數據分類分級工作是開展數據安全治理的基礎,也是數據精細化管控的重要手段。引入數據分類分級這一基礎性數據安全管理方法,需要高校綜合考慮數據的特點、屬性、質量、敏感度等因素,對源數據資源進行分類分級,從而更好地做好角色權限控制,明確不同類別不同級別的數據在使用過程中應有的安全保護措施,在最大程度釋放數據價值的同時,又兼顧數據安全和對個人隱私的保護。

經過匿名化處理的數據無法被用來與任何個人關聯,一般采用泛化處理和添加噪聲兩項技術。泛化處理技術一般通過移除或替代部分容易與特定個人關聯的數據元素實現匿名效果;向數據中添加噪聲,就無法確定特定個人歸屬的數據集。

2.4 網絡安全運營團隊建設

網絡安全團隊的工作涉及面廣、安全保障級別高,對安全團隊的能力建設也提出了更高的要求。高校需要通過恰當的專業分工,一方面讓每個成員各司其職,使個人職責范圍內的知識和技能提升最大化,另一方面讓團隊成員之間優勢互補,促進團隊的整體效率。需要首先確認網絡安全運營團隊工作目標、關鍵職責等方向性的內容,再對團隊職能開展進一步的細化,明確具體的工作任務。

2.4.1 網絡安全管理職能

高校一方面要負責網絡安全管理策略、制度、流程的制定和優化,確保各項信息監管要求在制度和流程中得到貫徹,即“有章可循”;另一方面要對各種監管合規的要求、制度流程的執行情況進行檢查和監督,確保制度流程落實到位,即“有章必循”。

2.4.2 網絡安全技術職能

網絡安全技術人員一方面要“練內功”,努力提高信息系統的健壯性和免疫力,通過制定安全技術規范,確保信息系統在設計、開發和運維階段都遵循技術規范,減少系統運行的風險和漏洞;另一方面要“防外賊”,要在信息系統外圍建立“籬笆墻”,通過設計安全技術架構,使用專門的安全技術工具,保護學校IT基礎設施和信息系統、業務數據免遭破壞或泄露。

3 網絡安全治理實施保障

3.1 加強組織領導

學校各相關單位應結合自身實際,落實網絡安全主體責任,制定具體實施方案,定期聽取網絡安全落實情況匯報;壓實領導責任,建立網絡安全領導小組領導親自抓、部門分管領導具體抓、其他人員協同抓的工作責任體系。網絡與信息化管理部門要牽頭負責網絡安全具體實施,相關部門要按照職責協同推進。

3.2 加大安全投入

學校要嚴格落實網絡安全投入,保障網絡安全建設成效,合理規劃網絡安全專項經費,優化支出結構,重點向薄弱環節、關鍵領域傾斜。

3.3 加強考核督導

主管部門要依托高校網絡安全評價體系,把網絡安全工作落實情況作為全校工作考核的重點任務,嚴格落實問責制度。

3.4 營造良好氛圍

網絡安全責任單位應積極組織網絡安全、信息安全教育,面向全校師生逐級開展網絡安全意識培訓,加大網絡安全法律法規的綜合宣傳和解讀力度,讓全體師生及時了解網絡安全工作的重要性,為戰略規劃的順利實施創造良好的環境和氛圍。

高校應在《網絡安全法》《數據安全法》《個人信息保護法》的指引下,通過樹立全面數據合規理念,構建本校數據治理的宏觀策略;根據各項法律制度,結合教育行業監管規則、高校業務流程與場景,構建相應的管理制度。同時,通過流程管理、崗位職責管理、激勵約束機制建設,逐步達到數據合規治理的目標,從而實現個人信息安全和高校數據安全的保護。

4 結語

研究通過對高校網絡安全建設現狀的分析,給出未來五年高校網絡安全治理架構及規劃建議。從管理、建設、實施等多個維度詳細全面的分析,并給出落地建議。能夠為兄弟院校網絡安全建設提供有效參考,由于校情不同,各高校信息化主管部門應認真分析本校網絡安全工作現狀,借鑒其他高校成功經驗,找到適合校情的建設規劃。