東北大學多舉措用好“等保指揮棒”

文 /王宇 王佳楠 趙佳鑫 吳煒鑫

網絡安全保障體系作為智慧校園建設體系的重要組成部分，是保障高校網絡運行安全和網絡信息安全，確保高校信息化基礎軟硬件環境和應用信息系統安全、穩定、有序運行的基礎保證。推進高校智慧校園網絡安全保障體系建設也是整體上系統化提升高校網絡安全工作水平的重要切入點。

智慧校園網絡安全保障體系建設

智慧校園網絡安全保障體系建設應依據國家和教育行業網絡安全保障要求，結合高校信息化工作的特點和具體的安全需求，建設符合網絡安全等級保護和關鍵信息基礎設施要求、覆蓋高校信息化建設各領域、貫穿信息系統等信息資產全生命周期的網絡安全一體化防護體系，支持高校信息化應用系統穩定運行，保障高校網絡環境可控、隱私信息保護、數據信息安全，有力支撐高校網絡空間安全治理要求。

圖1 智慧校園系統層次邏輯

智慧校園網絡安全保障體系建設應遵循緊密協同、同步建設、綜合防范、動態調整、持續投入、合法合規的原則，參考網絡安全保障相關法律法規及標準規范，基于信息系統生命周期從組織、管理和技術等方面構建高校網絡安全保障體系。網絡安全保障體系建設要將規劃立項、系統建設（開發采購、實施交付）、運行維護和系統廢棄四個階段的信息系統生命周期貫穿始終，同時需要從組織體系、管理體系和技術體系全方位協調配合和推進。

等級保護助力保障體系建設推進

高校網絡安全工作普遍存在以下共性問題和短板，如何推進網絡安全保障體系建設，如何找到網絡安全工作開展的立足點，是智慧校園建設中無法回避的問題。

1.信息化統籌管理和建設基礎薄弱。信息化管理、技術、業務部門間的溝通協作、合作共贏的關系有待建立，業務系統建設和應用走在整體信息化環境建設前面，不斷涌現的師生信息化應用需求持續增加網絡安全風險。

2.信息資產全生命周期管理滯后。網站和信息系統梳理不足，缺乏校級管理制度和流程，域名、互聯網IP地址、信息服務等管控力度不足，跟不上信息化發展和網絡安全管控要求。

3.網絡安全工作仍處于初級階段。網絡安全工作側重漏洞信息和安全事件的應急處置和整改監督，事前預警和管控、網站和信息系統上線檢測和持續監控都有待加強。

4.網絡安全主動性工作羈絆掣肘。學校網絡安全團隊技術能力不足，缺乏專業團隊支撐，技術部門責任擔當不夠，配套整體統籌環境不清晰，管控推進力度不足。

智慧校園網絡安全保障體系建設是解決高校網絡安全工作存在問題和短板的有效途徑，但是由于其內容囊括組織、制度到技術領域，與高校信息化建設的組織和管理模式密切相關，無法在短期內一蹴而就，需要找到強有力的政策抓手來持續指導和推動體系建設。

國家明確要求高校推進網絡安全等級保護建設，切實做好網絡安全等級保護工作正好可以成為推進智慧校園網絡安全保障體系建設的切入點和指揮棒，擺脫前期“合規為主”思想，通過等保定級、備案、測評、整改等一系列閉環管理和技術要求，真實推進網絡安全治理體系的初始建立和優化提升。建議方案路徑包括：

1.等保建設全局觀確立。通過等保定級、備案、測評、加固和整改等來建設網絡安全管控體制。等保測評整改是包括在定級備案的基礎上開展的等保測評服務、系統加固服務、整改設備采購與部署、管理制度和流程建議、信息資產梳理等系列工作，是推進網絡安全治理體系建立的抓手，也將切實推進學校網絡安全保障體系從組織到管理、技術等各個環節的建立和加強。

2.前期準備工作

（1）網絡安全管理和技術支撐部門整合或利益共擔機制確立，讓管理和技術形成合力，高效率推進網絡安全相關工作。

（2）信息化建設整體規劃提供指導，從頂層設計上對組織協調、管理制度、人員配備等進行整體部署，統一思想，明確方向。

（3）建立必要的項目制管理體制，配備項目管理專職人員，以項目制方式推進等級保護測評整改工作。

（4）建立和完善技術部門內部、技術部門與業務部門的溝通機制，降低項目實施過程中的溝通延遲風險，遇到問題節點及時顯現和上升解決層級，提高信息反饋效率。

3.測評整改推進階段措施

（1）以“起而行之”替代“坐而論道”，用行動去推動等保測評整改工作。

（2）對等保測評整改服務商、對信息化管理和技術部門內部、對二級單位都采用項目制度管理，嚴格管控節點和目標，及時處置影響項目推進的關鍵問題。

（3）校內溝通組織和協調要在界面、方式、文檔等方面規范有序。測評整改過程服務于學校整體安全水平提升，也是網絡安全和信息化相關部門樹立管理和技術威信的過程，要充分體現合作意愿和技術專業。

（4）統籌管控的軟硬件環境（站群、物理和虛擬托管）要提供有效支撐，切實關注業務部門的實際需求，通過疏堵結合策略進行信息資源梳理和整合，從學校層級關注信息化和網絡安全基礎環境建設。

（5）管理制度和規范流程要相配合，同步推出包括《互聯網域名管理辦法》、《網絡與信息安全管理辦法》、《信息資產梳理和流程資源整合規范》、《虛擬主機（私有云）管理辦法》等系列網絡安全和信息化建設相關制度，將工作推進成果固化和可持續。

4.測評整改推進后期，要對信息資產、管理制度、操作流程、技術要求等進行全面的文檔化和在線化，形成信息系統全生命周期管理體系，將等保工作成果沉淀，形成網絡安全保障體系建設“原點”的不斷完善和提升。

實踐與展望

學校依托等保測評整改工作，有效助力智慧校園網絡安全保障體系建設。信息化管理和技術部門責任擔當形象初步確立，二級部門物理設備集中管控制度確立，二級部門物理和虛擬托管環境初步建成，信息技術部門資源利用率明顯提升，校內信息資產摸底進展順利，信息化軟硬件預算統籌管理逐步形成，軟件項目招標、采購、開發、實施、運維等明確要求包括技術要求、定級要求、測評要求、域名管理、互聯網訪問等網絡安全相關內容形成，信息化建設人員積極性、主動性、能動性明顯提升。后續，學校將從提升信息資產管理水平和網絡安全防護能力出發，完成整改測評工作，建立、完善和出臺完整的網絡安全工作制度和流程，并通過站群、流程平臺、移動APP整合精簡網站和信息系統數量，減少信息系統入口，降低網絡安全風險。