“技防+人防”的高校網絡安全管理體系探究*

潘 卿 顧煒江 竇立君

隨著互聯網技術的飛速發展，網絡安全日益受到社會各方的重視。習近平總書記多次發表關于網絡安全的重要講話。他指出：“過不了互聯網這一關，就過不了長期執政這一關。”［1］“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。”［2］“網絡安全和信息安全牽涉到國家安全和社會穩定，是我們面臨的信息綜合性挑戰。”［3］“要落實網絡安全責任制，制定網絡安全標準，明確保護對象、保護層級、保護措施。”［4］高校作為我國高等教育的施教主體和科研的主要載體，在充分享受網絡帶來的便利的同時，也存在很大的網絡安全隱患。［5］同時，由于高校具有個人敏感信息密集、教學科研數據多等特點，一旦出現網絡安全問題如數據泄露事件，帶來的社會影響和經濟損失不可估量。

一、高校網絡安全管理現狀及主要問題

隨著《教育信息化2.0 行動計劃》的逐步落實，各省智慧校園建設如火如荼地開展，高校的信息化水平已經有了長足的發展，基礎網絡、核心設備、數據機房、一卡通系統等已經在各高校普及，各類教學、科研、管理以及服務類的前端應用也百花齊放。但是高校在信息化建設過程中存在技術相對滯后、資金缺乏、規劃滯后、建設和運維職責模糊等現實困難，使得網絡安全管理仍然問題重重。

（一）缺乏網絡安全權威管理機構

相較于教學、科研和管理部門，大部分高校的信息化管理機構仍然處于從屬位置，缺乏權威的管理機構，更多的是提供服務和保障，而沒有在信息化建設尤其是網絡安全建設方面起到真正的統籌規劃作用。事實上，不少高校內部沒有很好地遵循信息化和網絡安全建設的統一標準和流程，信息化項目的建設資金來源不一，項目實施過程和日常運維缺乏監督和指導。一旦出現網絡安全問題，信息化管理機構則以“救火隊員”的身份被推上前臺。

缺乏網絡安全權威管理機構造成的后果之一是信息化建設和網絡安全沒有同步規劃。一方面，絕大多數的高校在信息化建設過程中都缺乏頂層設計，各部門按照自身訴求建設信息系統，由于缺乏專業技術能力和專項資金，基本沒有考慮配套網絡安全的建設。另一方面，中心機房和核心網絡設備體系由學校信息化管理部門集約管理，便于進行網絡安全的統一規劃、建設、維護和保障；分散在各個二級單位的應用型信息系統，則由于缺少專人管理、管理人員專業技術欠缺和網絡安全意識淡薄等問題，使用部門幾乎沒有網絡安全防護能力；而信息化管理部門也因為這些系統建設標準參差不齊、技術參數不同而難以構建整體防護策略。

缺乏網絡安全權威管理機構造成的另一個后果是網絡安全職責不清。信息化管理部門通常被認定為是高校網絡安全問題的責任部門，而實際使用和運維信息系統的二級單位普遍只管使用。從科學的角度來劃分，網絡安全管理的職責應該從整體到局部、從上層到基層綜合考慮，使其各司其職。

（二）缺乏網絡安全專業技術人員

網絡安全管理是多學科、綜合性、技術性并存的綜合管理工作，專業技術人員是必不可少的基礎支撐，但高校中相關技術人才缺乏的情況很普遍。南京林業大學網絡安全和信息化辦公室于2020 年對江蘇省及北京市共30 所高校發起調查，數據顯示，高校信息化管理部門的平均人數是26 人，約占在校師生人數的1%，這與國際上高校信息化工作人員占比30%以上相比，存在較大差距。另外，如果把具備計算機及相關專業背景視同具備網絡安全專業背景，那么各高校信息化管理部門的專技人員與總工作人員比例為30%～50%，與管理全校數十個部門的數百個信息系統相比，這個比例也是遠遠不夠的。再者，高校中各個二級單位幾乎沒有專職的、具有專業背景的信息技術管理人員，在執行上一級管理部門的網絡安全工作要求方面存在較大的難度。

（三）廣大師生信息化素養還有待提高

近幾年，互聯網詐騙、個人隱私信息泄露等高校網絡安全事件頻發。據國家互聯網應急中心2021 年上半年發布的統計報告和國家信息安全漏洞共享平臺漏洞統計數據可知，高校信息系統漏洞中“弱口令”“釣魚木馬”等仍然是主要的網絡安全隱患。這說明廣大師生網絡安全意識不強，對網絡安全防護技能科普的接受度還有較大的提升空間。

（四）信息化管理部門忙于堵漏，預警能力不強

高校信息化管理部門被動充當“守門員”的角色，一方面要到處“救火”、到處“補漏”，力爭做到網絡安全零事故；另一方面作為高校網絡安全的最后一道防線，還要承擔絕大部分的責任。信息化管理部門基于現有條件很難對整個學校的網絡安全做有效、整體的把控，更沒有精力去做好整體網絡安全預警工作。而實際上，事先預防的成本是最小的，效果也是最好的。

二、構建“技防+人防”相融合的高校網絡安全管理體系

（一）建立高校網絡安全權威管理機構

網絡安全權威管理機構是一個在校黨委領導下統籌全校網絡安全工作的校級層面組織，一般稱作網絡安全和信息化委員會或者網絡安全和信息化領導小組（以下簡稱“領導小組”）。成立領導小組是構建高校網絡安全管理體系的核心。組內成員除信息化管理機構主要負責人外，還應當包括學校黨政機關和信息系統應用比較多的部門（如學生處、教務處、科研處、圖書館等）的主要負責人。

領導小組的主要職責在于領導和規劃校內網絡安全和信息化建設工作。首先應指導信息化管理機構建立健全網絡安全管理體系、識別網絡安全問題、明確網絡安全管理的范圍和內容等。其次，信息化管理機構在領導小組的指導下，須制定符合高校的網絡安全管理制度，修訂、完善原有的信息化管理制度，規范高校信息化建設流程。網絡安全的管理必須全流程融于信息化項目的建設中，因此，要建立健全網絡安全管理體系，必須糾正先前信息化建設過程中的不規范之處。只有將網絡安全的具體要求落實到信息化項目立項、采購、實施、驗收及后期運維中，網絡安全管理體系才能真正落地。最后，領導小組要統籌網絡安全經費管理，制定并完善全校網絡安全防護策略，提升網絡安全專業技術水平，加大管理隊伍的人才培養力度等。

（二）建設全方位的“技防”平臺

完善的網絡安全管理體系應以全面、開放的思路建設技術防護平臺，以網絡安全等級保護2.0 標準（簡稱“等保2.0”）為核心指導，以強化信息資產管理為基礎，以補全關鍵網絡安全防護設施設備為重點，以優化網絡安全技術防護策略為依托，以具備較強的網絡安全預警和應急能力為目的，最終形成網絡安全技術防護閉環。

等保2.0是我國最新、最權威的網絡安全保護標準體系，可以看作《網絡安全法》的實施細則，因此，高校的網絡安全技術防護平臺必須以等保2.0的高標準和嚴要求為指導，不論是硬件設備、軟件系統還是綜合性信息化平臺，上線運行的前提都應是科學定級并進行備案。高等級的信息系統還應當按照公安機關的規定進行等級保護測評，不符合條件的應當嚴格按照等保2.0標準整改到位方可繼續運行。

信息資產作為網絡安全管理的主要對象，其關系的理順是建立健全網絡安全技防平臺的基礎。高校應當完善信息資產臺賬管理制度，明確信息系統（網站）的資產歸屬部門，定期開展信息資產巡查，進行資產摸底、排查和清理，重點關注長期不使用、長期不更新和無人認領的“僵尸”信息系統，按照程序進行關停、下線，在回收服務器資源的同時，又能降低網絡安全風險。對于“雙非”信息系統（網站），應秉持堅決遷回的態度，如因特殊原因無法遷回，則應重點加強網絡安全監控和防護。

技術支撐體系是網絡安全工作的關鍵所在，其技術水平決定著網絡安全水平。［6］在全面梳理網絡安全設備部署情況后，高校應當補充、補強重點區域的關鍵防護設備設施，如中心機房、虛擬化平臺等。出口防火墻、入侵防御系統、數據中心區域Web 應用防火墻、數據庫審計系統等網絡基礎安全防護設備要定期升級加固并優化防護策略。加強主機防護能力，部署主機防護系統，除了厘清各類主機的操作系統、應用、中間件、數據庫等信息和定期進行掃描、修復外，更重要的是加強服務器流量監控和數據分析，預判可能存在的風險并倒查問題主機，提前進行干預和處置，逐步形成預警機制。增強前端應用的安全防護手段，可對校內網絡資源進行分類管理，一般的網站和不涉及敏感數據的信息系統可對互聯網開放訪問，而OA 系統、財務管理系統、教務管理系統、圖書資源等平臺則限制局域網訪問，互聯網須使用VPN 系統訪問。為了達到等保2.0 標準對信息系統運維過程提出的“事前預防、事中控制、事后審計”的要求，高校須部署堡壘機監督審計系統，系統運維人員需要通過訪問堡壘機才能維護被授權管理的系統。堡壘機對授權人員的運維操作行為進行記錄、控制和審計，以此加強對校園內部運維管理行為的規范和監管。

（三）建設高效率的“人防”平臺

“人防”的作用除了體現在專技人員的專業素養方面，更應當體現在管理層面。一方面所有網絡安全規章制度都是靠人執行的，防護設備的定期維護、檢修和升級也要靠人實施，對于防護體系預警提示的各類隱患和問題，目前絕大部分也都要靠人去解決。另一方面，對于可能發生的網絡安全事故或事件，相關人員的應急響應速度和能力直接決定了處置問題的水平，也在很大程度上決定了該事故或事件造成的最終后果。“人防”平臺的運行情況直接決定高校整個網絡安全管理體系的實際運行效率和效果。

“人防”平臺建設的核心是以網絡安全責任制為主線，加強專技人員和網絡安全管理人員隊伍建設，嚴格落實校內網絡安全各項制度，加大校內師生特別是參與網絡安全管理的一線教師的信息化素養培訓力度。領導小組應依據“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，結合本校實際情況制定校內網絡安全責任制落實細則。細則至少包含以下內容：確定各二級單位的網絡安全責任人，同時確定網絡安全聯系人。具體來說，責任人對本單位的網絡安全負總責；聯系人則負責配合信息化管理機構開展各項網絡安全工作，向本單位網絡安全責任人直接匯報工作；有條件的部門可以另外確定一名部門負責人擔任網絡安全分管領導，負責具體指導聯系人開展本部門的網絡安全工作。

為強化人才隊伍建設，信息化管理機構要定期開展對各單位網絡安全責任人、網絡安全分管領導和網絡安全聯系人的業務培訓，從網絡安全意識、網絡安全責任制、信息化和網絡安全管理制度、網絡安全應急處置等幾個方面進行系統的校內培訓，分批選送網絡安全管理人員參加校外專業培訓、學習，鼓勵其參加專業認證考試。信息化管理機構的專技人員須持證上崗。定期選派專技人員、有條件的二級單位網絡安全聯系人和其他具備條件的師生參加各級網信辦、公安機關和教育主管部門開設的專業技能培訓班、學習班，積極組織教師和學生參加各類網絡安全技能大賽，不斷提高專技人員的業務能力。最后，領導小組應積極推動形成校內外網絡安全選人、用人機制，形成用好高校網絡安全管理人才的新局面。

（四）“技防”和“人防”相互融合

筆者認為，不同的高校資源稟賦各不相同，須進一步完善網絡安全管理體系，提升“技防”和“人防”融合度。“技防”無法完全解決的難題用“人防”來彌補，“人防”需要提升效率的地方用技術手段來輔助，兩者相輔相成，共同促進網絡安全管理體系的完善。

一方面，5G、大數據、云計算和AI等新技術勢必在不久的將來融入現有的智慧校園體系，越來越多的信息化設備和應用可能會帶來較多的網絡安全問題。另一方面，網絡安全是一個動態的過程，外在的威脅和隱患在不斷暴露，構建“技防”平臺的核心技術支撐體系、提高“技防”和“人防”融合度等舉措還需要進一步開展深入研究。