關于普通高校發展網信事業的實施對策

摘要：隨著信息技術的飛速發展和互聯網的普及，社會各行業、各領域都在朝著信息化、數字化的方向發展，但同時也面臨著諸多網絡安全問題。在高校領域內，同樣也出現過網絡安全事件，為高校網絡安全治理敲響了警鐘。普通高校如何按照國家和上級部門的要求，依法治網，高效治網，通過監督并管理好學校網絡安全，來維持學校的安全穩定，為學校的教學和科研保駕護航，同時推動地區網信事業進一步發展，成了高校的重要任務，值得深入研究。

關鍵詞：網信事業；高校信息安全；信息治理

一、引言

為了通過對普通高校網信事業建設和安全治理的研究，來進一步提高高校信息化領域的安全治理能力，筆者作為常州市第二十屆社會科學研究立項課題《網信事業推動地區高校安全治理——關于普通高校網信事業建設和安全治理的研究》的負責人，于2024年3月組織對常州、鎮江、無錫等地區的共計24所高校的網信事業開展了調查研究，并結合本人長期從事網信事業的經驗，從多個維度展開研究，提出相應的解決方案，以期為普通高校網信事業的建設發展提供參考。

二、普通高校在網絡安全與信息化治理領域中存在的共性問題和困難

目前，普通高校在網絡安全與信息化治理領域中存在的共性問題，主要集中在領導責任制、機構人員配置、經費保障、信息系統等級保護備案、網絡安全檢查、應急管理、網絡安全培訓與教育等七大方面。表現如下：

第一，學校內部未按照政策要求，建立網絡安全和信息化委員會及辦公室以及分級網絡安全責任制。第二，機構人員配置不到位，信息化部門專業管理人員偏少，網絡安全專職人員不足。第三，網絡安全建設經費在信息化建設總投入中占比縮小。第四，信息系統中未進行定級備案的數量較多。第五，開展網絡安全檢查的力度不夠，開展網絡安全自查的次數太少，暗鏈和個人隱私信息泄露問題嚴重。第六，網絡安全應急管理存在問題，應急演練次數太少，難以應對重大網絡安全事件的發生。第七，網絡安全培訓與教育未落實到位，對教職工的網絡安全普及教育開展不足，對信息化專業人員網安培訓次數不夠。

三、解決普通高校網絡安全與信息化治理共性問題和困難的策略

（一）建立與完善領導責任制

1.加快從“網絡安全和信息化領導小組”到“網絡安全和信息化委員會”過渡的進程

根據中央印發的《深化黨和國家機構改革方案》要求，高校應加快機構改革，將“網絡安全和信息化領導小組”升級為“網絡安全和信息化委員會”，委員會應在黨委的領導下開展工作。有關“網絡安全和信息化委員會”的成立文件，應以文件的形式進行部門簽發。委員會的成員要具體到人員。除學校主要領導擔任委員長、副委員長外，其他成員可定為校辦主任、信息化建設處長、教務處長、財務處長、各二級學院院長等。

2.簽訂網絡安全承諾書

為了加強學校的總體把控，學校與各部門應簽訂“網絡安全承諾書”，只有通過承諾書的簽訂，才能讓各部門將網絡安全工作放在首位；各部門與教職工簽訂“網絡安全承諾書”，使全體教職工時刻都有網安意識。

（二）加強網信機構和隊伍建設

1.建立嚴格的責任追究制度

只有建立責任追究制度，才能更好地開展網絡安全保障工作。建立“網絡安全工作責任制實施辦法或細則”“網絡安全責任制考核制度”兩個制度文件。前者是責任制的具體落實，后者是責任制與績效的關系。兩個制度文件應以公文的形式簽發（包括文頭、文號、印發單位、責任制內容等）。只有通過這種責任追究制度，將網絡安全與負責人的績效掛鉤，才能發揮責任人的主觀能動性。

2.明確網絡安全工作機構和崗位

通過制度文件明確負責本單位的網絡安全工作的處室及其職責，并按崗位情況配置網絡安全專職人員。將高校網絡安全工作歸屬學校信息中心、信息化建設管理處或學校宣傳部門。關于網絡安全專職工作人員，有兩點需要說明：第一，學校要發布網絡安全專業技術崗位工作人員認定的正式公文；第二，網絡安全專職工作人員上崗必須有網絡安全方面的專業技術證書，教育部和江蘇省教育廳官方認可的證書有兩種：ECSP和CISP。

3.明確網絡安全工作負責人和聯絡人

校內部門需明確本部門的網絡安全分管負責人和聯絡員，明確分工和責任。哪個部門出現網絡安全事件，哪個部門的分管負責人需要負主要責任。學校向省負責，各部門向學校負責，分級管理，分級細化。各部門的聯絡員主要負責處理學校日常的有關網信業務信息的傳遞和報送工作，只有明確了聯絡員，才會讓網信工作真正做到專人負責。

（三）制訂年度計劃，定期召開網絡安全相關工作會議

年初，制訂并印發本單位網絡安全和信息化委員會的年度工作要點。主要內容是本年度單位網信工作的計劃和安排。第一季度，召開一次“網絡安全工作專題會議”。會議成員由黨組織領導班子主要負責人參加，會議的主題必須是網絡安全，研究落實本年度網信工作的具體計劃和安排。年底，由網絡安全職能處室總結網絡安全工作年度進展情況，形成總結報告，上報本單位網絡安全和信息化委員會。

（四）網絡安全經費要保障

根據中共中央辦公廳《黨委（黨組）網絡安全工作責任制實施辦法》的要求，各單位制定全年信息化建設經費預算時，網絡安全經費占比不得低于年度信息化建設總經費的5%[1]。網絡安全建設經費主要由5部分組成：網絡安全等級保護備案測評費用、網絡安全監測和檢測評估費用、信息系統安全升級改造和防護加固費用、網絡安全教育培訓費用、網絡安全事件處置和安全運維費用。如有第三方服務商的參與，每項建設項目都應有合同和協議書的支撐。

（五）及時梳理信息資產并加強日常更新管理

高校信息資產梳理刻不容緩，及時關停一些不必要和不再使用的信息系統，將有限的網信建設經費用于必須使用的信息系統。①定期對全校的信息資產進行排查，關停“無人運維”“無人負責”“無人使用”的三無信息系統。②將正在使用的信息系統或新建的系統，錄入自建的信息資產統計平臺或江蘇省信息資產管理平臺，并指定專人負責更新。建議未開展與第三方網絡安全服務商簽訂網絡安全監測預警工作的高校，將校內信息系統資產信息，錄入江蘇省信息資產管理平臺。可以獲得免費定期檢測信息系統的安全性服務。

（六）嚴格落實網絡安全監測預警和威脅處置工作

1.開展網絡安全監測預警工作

應建立網絡安全監測工作的相關制度文件，對本單位的信息系統進行監測。網絡安全監測預警工作，可以依靠兩大信息網絡監測平臺和一類服務外包來實現。第一個平臺是高校信息網絡安全通報合作單位——由江蘇省教育網信辦建立的“江蘇省教育網絡和信息安全通報監測平臺”。該平臺通過針對各單位上報的信息資產信息，定期進行掃描，發現安全威脅后，將監測結果發送至高校。另一個平臺是運營單位——各高校自建的“網絡安全監測預警平臺”，可以采用專業漏掃設備，24小時不間斷地對單位內的信息系統進行安全掃描，發現安全威脅，及時進行處置。除了以上兩種專用平臺服務方式之外，也可以以服務外包的方式，委托第三方服務商來進行監測預警，通過簽署合同來展開。

2.及時處置安全漏洞威脅

對于監測預警發現的威脅，稱其為“安全通報”。對于“安全通報”要及時處理，需要限期完成的，江蘇省委網信辦規定整改期限為3日（含工作日和非工作日）[2]。通過近幾年各高校發現和處置的網絡安全威脅情況來看，安全威脅主要分布在“暗鏈-外鏈”“個人隱私信息泄露”“漏洞-未授權訪問”等方面。對于這三類威脅中的安全等級為高危的威脅，必須做到當日發現，當日解決。

在網絡與信息安全威脅中，除了上面比較常見的安全威脅外，還有一類比較特殊的安全威脅，稱為0-Day漏洞。漏洞0-Day漏洞是指廠商生產的信息系統或硬件產品已經被發現存在安全漏洞，但生產廠商還未找到有效的解決方案。這時使用含有0-Day漏洞廠商產品的高校，就應加強對含有0-Day漏洞的信息系統或硬件產品的訪問控制，通過在防火墻等硬防設備上，編制訪問控制安全策略，限制不必要的服務和訪問，進一步壓縮受到威脅的可能。

在建設信息系統時，漏洞修復必須寫進合同內，注明修復Bug的規定時間和修復費用問題，修復費用問題可以注明為免費服務，因系統漏洞是軟件本身的Bug，屬產品質量問題，信息系統廠家應提供免費解決方案。

（七）加強網絡安全應急管理和事件處置

1.開展網絡安全應急演練

制定或修訂本單位的教育系統網絡安全事件應急預案，并定期開展應急演練，根據演練情況及時修訂預案。每年至少要開展三次網絡安全應急演練。應急演練內容要以文件的形式進行保存，內容包括：演練通知、應急演練腳本（實施方案）等。演練方式，可采用以下兩種方式：一種是有技術支撐的單位，自行組織相關人員，按應急預案進行演練，包括演練腳本的編寫等；另一種是與第三方安全服務商簽署合同，委托開展本單位的網絡安全事件應急演練。無論哪種方式，都需嚴格按照應急預案開展。

2.及時處置和上報安全事件

當單位發生重大網絡安全事件時，應根據《信息技術安全事件報告與處置流程》進行處置，及時斷開外網連接，第一時間保護現場，并上報江蘇省教育廳網絡安全和信息化委員會辦公室。對于已發生的網絡安全事件，要快速響應，科學處置，將影響降至最低。不得漏報、瞞報、謊報、遲報。

（八）落實信息系統等級保護備案工作

高校都會有諸多信息系統，學校正是通過這些信息系統的運行，來維持正常的教學和各種業務的展開。信息系統必須完成等級保護備案測評[3]，這是我國網絡安全法所強制規定的，是每個單位網信事業中必須要完成的一項工作。高校中存在的未定級信息系統，都必須通過定級、安全測評、整改、再測評、上線等一系列操作流程，獲得公安部門出具的信息系統安全等級保護備案證明，從法律層面，獲得國家安全許可。定級為二級，每兩年進行一次等保測評；三級，則每年進行一次等保測評。等保測評報告的關鍵頁要注意保留。

（九）加大網絡安全檢查的力度

網絡安全檢查也稱“開展網絡安全自查”。全年必須開展3次以上的網絡安全檢查工作，由學校網絡安全分管領導主持，責任部門具體實施，梳理和排查全校的網絡數量及安全隱患，包括基礎網絡、信息系統等的實際情況，統計出單位的網絡等級測評數量、網絡安全建議整改數量，以及各級網絡存在的安全隱患等。

除了教育系統規定的自查工作之外，地區公安也會提出自查工作的要求，要認真開展公安組織的自查，并填寫自查情況表。根據自查結果，書寫網絡安全自查總結報告，以文件的形式進行存檔備案。

（十）組織開展宣傳教育培訓

1.開展在職人員網絡安全培訓

為加強教職工的網絡安全防護意識和技能，高校每年都應開展網絡安全專題講座或專業培訓等集中學習。年度開展教育培訓不得少于3次，每次人均不少于4個學時（半天），培訓結束發放學習證書。學習證書與績效、職稱晉升等掛鉤。通過這一舉措，提高單位全體人員的網絡安全防護意識。

2.開展信息化專業人員網絡安全培訓

為提高專業技術人員的技術水平和業務能力，應對信息化管理人員和技術人員開展網絡安全培訓，年度開展不少于3次，每次人均接受網絡安全培訓時間不得少于8個學時（一天）。在培訓方式上，可針對實際情況，采取線上或線下方式，所有培訓資料均需要存檔，備查。

（十一）落實國家重要時期的網絡安全保障工作

國家重要時期是指對國家生產和人民生活比較重要的時期，這些時期一旦出現網絡安全事件，會造成非常嚴重的后果。這些重要時間節點，包括每年的元旦假期、春節假期、等時間段；還包括國家重要活動時間段，例如：我國舉辦的運動會、世界領導人峰會。在這些重要時期，特別做好網絡安全保障工作，嚴格落實相關工作要求，執行24小時值班制度，并按需調整防護策略，對重要時期無業務加載、無專人運維的信息系統采取訪問控制的措施，使網絡安全風險降至最低。

四、結束語

通過對常州、無錫、鎮江等地區24所普通高校的信息化部門網信事業的調研分析，總結歸納了對該區域普通高校網信事業目前已存在的共性問題，并結合國家和江蘇省下達的政策和指導性文件，以及課題組成員的從業經驗，提出了現階段可行的、有建設意義的解決措施與實施對策。

作者單位：顧留鎖 建東職業技術學院智能制造與計算機學院

參考文獻

[1]中共中央辦公廳.黨委（黨組）網絡安全工作責任制實施辦法.2017-09-15.

[2]江蘇省教育廳. 關于印發《江蘇省教育系統網絡安全事件應急預案》的通知：蘇教信 〔2018〕 4號. 2018-12-24.

[3]全國人民代表大會常務委員會.中華人民共和國網絡安全法.2016-11-07.