淺析普通高校網信事業的現狀與存在的問題

摘要：目前，網絡已進入高速發展時期，高校作為教學科研機構，處處需要使用網絡。隨著網絡應用的深入，各種信息系統不斷加入，不可避免地會產生各種網絡安全和信息化方面的問題，嚴重影響高校的網絡安全防護體系。這就需要對高校的網絡事業現狀進行深入研究，及時發現現階段存在的問題，為應對措施的提出奠定基礎和方向。

關鍵詞：普通高校；網信事業；網絡安全；現狀分析

一、引言

為了能夠針對性地提升高校信息化領域的安全治理能力，本人作為常州市社會科學研究立項課題《網信事業推動地區高校安全治理——關于普通高校網信事業建設和安全治理的研究》的負責人，于2024年3月，組織了對常州、鎮江、無錫等地的24所高校，開展關于網信事業五大方面11個項目的調查研究，采集了大量的寶貴數據，并以這些第一手調查數據為樣本進行分析，歸納和總結出目前蘇南地區普通高校在網絡安全與信息化治理領域中，已取得的成績和存在的問題和困難，為進一步解決普通高校網信事業建設和安全治理的共性問題的研究做好了鋪墊，指明了方向。

二、蘇南地區普通高校網信事業建設和安全治理目前取得的成績

自從2017年有關信息化安全方面的法律相繼出臺后，很多高校都加快了網絡安全與信息化方面的建設步伐，并取得了一定的成績。主要集中表現在以下三個方面：

（一）成立了獨立的信息化建設管理職能部門

信息化建設管理部門，在高校的機構設置中不可或缺。調查數據顯示，被調研的大多數高校在2020年前均已成立了獨立的信息化建設管理部門，占比79.17%；至2023年時，這一數據達到了95.83%；至2024年時，這一數據達到了100%。由此可見，江蘇省普通高校在獨立設置信息化管理職能處室，加快學校網信事業建設步伐方面，認識比較到位并在不斷加強。

（二）進一步落實了網絡安全監測預警工作的部署

江蘇省內，向高校信息系統網絡安全提供監測預警服務的，大致可以分為兩類：一類是以我國教育部和江蘇省教育廳為主導、以各校上報的信息資產條目為監測對象的定期滲透測試和監測預警，這種方式是免費提供的；另一類是各高校主動聯系第三方網絡安全服務商，簽訂網絡安全監測預警合同，開展24小時不間斷的安全監測服務，從而保證學校的各類信息系統和內部網絡的安全性。

調查數據顯示，主動與第三方網絡安全服務商簽訂網絡安全監測預警服務的高校，占比達到了87.5%。這充分說明了江蘇省，特別是蘇南地區的高校，在網絡監測預警這一方面，網絡安全防御狀態已由傳統的被動防御升級為主動防御的模式，從而更好地保證信息資產的穩定性和安全性。

（三）嚴格落實了國家重要時期的網絡安全保障工作

國家重要時期，是指國家在進行重大活動時的時間段[1]，例如：傳統節日、政治會議、大型教育活動和體育活動等。在國家重要時期，根據中共江蘇省委網絡與信息安全委員會、江蘇省教育廳網絡與信息安全委員會、江蘇省公安廳網安總隊的要求，各高校均需加強自身的網絡安全管理工作，做好網絡安全保障。

調查數據顯示，各高校在國家重要時期，均開展了網絡安全保障工作，并且采取了多種保障措施。87.5%的高校采用“限制訪問校內資源”來達到保護目的；83.33%的高校采取了“關停不必要的系統”這一類保護措施；75%的高校有“專職人員24小時值班”。此外，根據學校自身的實際情況，有80%以上的高校同時選擇了“限制訪問校內資源”和“關停不必要的系統”；有75%的高校，同時采取了“限制訪問校內資源”、“關停不必要的系統”和“專職人員24小時值班”三種保護措施。

三、高校網信事業現階段存在的問題和困難

（一）領導責任制的建立有待完善

1.未按政策要求，及時建立網絡安全和信息化委員會及辦公室

2018年3月，中共中央印發《深化黨和國家機構改革方案》，將中央網絡安全和信息化領導小組改為中央網絡安全和信息化委員會。高校的網信事業管理，也應及時根據政策要求，建立和更新校級網絡安全和信息化管理機構，從而加強和完善網絡安全方面的管理職能。

但調查數據顯示，只有4.17%的高校，建立了網絡安全與信息化委員會及其管理辦公室；95.83%的高校，未及時建立和更新網信管理機構，其網信管理機構仍為網絡安全和信息化領導小組。

2.學校內部未建立分級網絡安全責任制

為了加強學校內部網絡安全責任方面的總體把控，學校與各職級處室之間、各處室與內部教職員工之間，都需要簽訂網絡安全責任書或者網絡安全承諾書。

但調查數據顯示，大多數高校均未落實分級網絡安全責任制，內部管理較松散，網絡安全責任未落實到下級職能部門和全體教職員工，網絡安全意識未深入到每一位教職工之中，給網絡安全埋下了一定的安全隱患。

（二）機構人員配置不到位

1.信息化部門專業管理人員偏少

高校的現代化發展之路，離不開現代信息技術的應用，而信息技術的應用也離不開信息化專業管理人員。因此，高校管理信息化的專業人員按比例配置必不可缺。

但調查數據顯示，信息化部門專業人員少于5人的高校，達到了33.33%；在5～10人之間的，有37.5%；在11～20人之間的，有20.83%；大于20人的高校，僅占8.33%。信息化部門中專業管理人員少于10人的高校，竟占到了70.83%的比例。

2.網絡安全專職人員不足

高校在進行現代化的管理過程中，會采取多種先進的教學技術和管理方法，從而引進各種教學和管理的應用系統。各種系統在使用過程中，其聯網特性不可避免地會引發一些網絡安全問題，這就需要網絡安全專業技術人員進行處理。

但調查數據顯示，未配置專職網絡安全管理人員，由其他人員兼任的高校，達到了12.5%；配備小于3人的網絡安全專職人員的高校，占比75%; 配置3～5名網絡安全專職人員的高校，占比只有12.5%。這一數據說明，有87.5%高校只配備了少于3人的專職網絡安全技術人員或兼職網絡管理人員。

由此可見，大部分高校在網絡安全方面，還沒有引起足夠的重視。雖然減少網絡安全技術人員的配置，在一定程度上可以節省部分經費，但同時，也會帶來更多網絡安全事件發生的可能性。

（三）網絡安全建設經費在信息化建設總投入中占比縮小

高校信息化建設總投入，包含網絡安全建設經費和學校進行信息化方面相關建設和維護費用。根據中共中央辦公廳發布的文件《黨委（黨組）網絡安全工作責任制實施辦法》、江蘇省教育廳機要文件《黨委領導下的網絡安全責任制》的要求，省內高校網絡安全建設經費占比不得低于學校信息化建設總投入費用的5%。[1]

但調查數據顯示，在網絡安全建設經費方面，投入低于10萬元的高校，2023年占比25%，2024年占比45.83%。數據顯示，一些被調研高校的網絡安全建設經費正在減少，投入低于10萬元的高校明顯增多。

調查數據還顯示，在信息化建設總投入方面，2023年，投入低于100萬元的高校占比為54.17%，投入在100萬-200萬之間的高校占比為16.67%；低于200萬元的高校，總占比為70.84%。2024年，投入低于100萬元的高校占比為45.83%，投入在100萬～200萬元之間的高校占比上升至25%；低于200萬元的高校，總占比為70.83%。數據顯示， 2024年信息化建設總投入低于200萬元的高校占比基本與2023年持平，但學校投入有小幅增長的趨勢。

以上數據分析顯示，在2024年相比2023的信息化建設總投入未有大幅改變的前期下，網絡安全建設經費低于10萬元的高校，由2023年的占比25%，上升至2024年的45.83%。說明三地高校在2024年的網絡安全建設經費投入總體不足，有明顯的縮水現象發生。

網信事業的開展離不開經費的支持。學校網絡安全建設經費的不足，會直接增大引發網絡安全威脅事件發生的可能性，不利于高校開展網絡安全與信息化管理工作的開展。

（四）信息系統中未進行定級備案的數量較多

在高校中，為了更好地開展教學和管理工作，都會上線多種應用信息系統。按《中華人民共和國網絡安全法》《信息系統等級保護備案2.0》，以及教育部出臺的相關文件的要求，信息系統在上線之前，都要進行強制定級備案，做好等保工作，才能上線運行[2]。

調查數據顯示，未定級備案的信息系統大于15個的高校，占比達到了100%。這說明在被調研的所有高校中，都存在著大量的未進行定級備案的信息系統，并且這些信息系統都處于運行狀態。信息系統定級備案，必須每2年進行一次，學校存在這么多未定級備案的系統，對各校日常的正常教學和管理，構成了嚴峻的挑戰。

（五）高校開展網絡安全檢查的力度不夠

1.學校全年開展網絡安全自查的次數太少

網絡安全的保障，重在提前發現問題，而不是發生安全事件后的處理。這就要求我們重在安全隱患的排查，及時發現安全漏洞，及時進行漏洞修復。但調查數據顯示，全年開展網絡安全自查次數少于3次的高校，占比75%；開展3～5次的高校，占比8.33%；開展6～10次的高校，占比4.17%；開展多于10次的，占比12.5%。從這些數據中可以發現，全年開展網絡安全自查次數，超過6次的高校，僅占16.67%。網絡安全自查次數的減少，將導致高校無法及時發現網絡和系統中的安全威脅，發生網絡安全事件的可能性也將隨之增加。

2.暗鏈和個人隱私信息泄露問題日益嚴重

暗鏈，是指在網頁中看不見的網站鏈接。在網絡安全領域，一般指服務器的網站系統被非法篡改，指向未知外部頁面。暗鏈有一定的隱蔽性，不易被人察覺。

個人隱私信息泄露，主要分為兩類：一類是被動信息泄露，指個人計算機感染病毒和木馬軟件造成個人信息的泄露；或者是攻擊者利用網站漏洞入侵保存個人信息的數據庫，造成個人信息泄露。另一類是主動信息泄露，指信息發布部門，在網站上發布有關個人隱私信息的文章時，未對關鍵信息進行脫敏處理，造成個人身份信息的泄露。從被調研的高校發現，近兩年，從江蘇省教育廳和教育部網信部門進行安全通報的數據來看，有83.33%的高校發生過暗鏈安全威脅，暗鏈問題已經非常嚴重；有66.67%的高校發生過個人隱私信息泄露，存在主動和被動泄露問題。

（六）網絡安全應急管理存在重大問題

1.重大網絡安全事件的發生

根據網絡信息安全事件的分級考慮要素，網絡信息安全事件可劃分為四個級別：特別重大事件、重大事件、較大事件和一般事件[3]。根據本次調研數據發現，近3年，被調研的高校中，發生重大網絡安全事件的占比為4.17%；未發生的占比為95.83%。這一數據表明，重大網絡安全事件離我們并不遙遠，現在未發生的，并不表示將來不會發生。

2.網絡安全應急演練次數太少

網絡安全事件誰都不愿意發生，要想網絡安全事件發生的影響程序控制在最低點，只有通過熟練掌握網絡安全事件的處置流程才有可能解決。必須不斷進行網絡安全應急演練，來達到這一目標。

調查數據顯示，被調研高校在網絡安全應急處置方面較為薄弱，每年開展少于3次網絡安全應急演練的高校，占比達到了83.33%；每年演練達3～5次的高校，占比8.33%；每年演練達6—10次的高校，占比僅4.17%；多于10次的高校，占比為0%。由此可見，被調研高校中，有83.33%的高校全年僅開展了1～2次的網絡安全應急演練。

（七）網絡安全培訓與教育未落實到位

1.針對全體教職工的網絡安全普及教育開展不足

只有普及教職員工的網絡安全技能，增強他們的網絡安全意識，才能保障高校的網絡安全健康發展。因此，必須開展針對全體教職工的網絡安全專題培訓。

調查數據顯示，被調研高校中，有4.17%的高校未開展針對全體教職工的網絡安全培訓；開展少于3次的高校，占比70.83%；開展3～5次的，占比為20.83%；開展6～10次的，占比僅有4.17%。從以上數據可知，在這些被調研的高校里，未開展和僅進行1～2次全體教職工網安普及教育的，占比達75%，這說明現階段，在高校內針對全體教職工的網絡安全普及教育開展不足，落實不到位。

2.信息化專業人員網安培訓次數不夠

信息化專業技術人員，是開展高校網絡安全和信息化工作的主要保障力量之一。只有通過不斷地繼續教育和深入學習，才能更好地保障高校信息化教學與管理活動的正常開展。

調查數據顯示，被調研高校中，全年進行信息化專業人員網絡安全培訓的少于3次的高校，占比達75%；開展3～5次的高校，占比為16.67%；開展6～10次的高校，占比僅8.33%。全年開展3次以上信息化專業人員網安培訓的高校，僅占比25%。通過這些數據不難發現，大部分高校，對信息化專業技術人員的繼續教育不夠重視。

四、結束語

本文通過對常州、無錫、鎮江等蘇南地區的24所普通高校，展開針對網信事業方面的調查研究，在領導責任制的建立與完善、機構和隊伍建設、工作研究部署、安全經費、信息資產管理、安全威脅監測預警、應急管理、等級保護工作、網絡安全檢查、宣傳教育培訓、重要時期網絡安全保障等方面，采集了大量有效的第一手數據，通過梳理、歸納、分析，從而總結出普通高校網信事業建設和安全治理方面的現狀和存在的共性問題。通過這些共性問題的提出，為后續進一步提出針對性的解決策略來提高普通高校信息化領域的安全治理能力奠定了基礎和方向，對江蘇省乃至全國的普通高校發展網信事業，有很好的參考價值。

作者單位：顧留鎖 建東職業技術學院智能制造與計算機學院

參考文獻

[1]中共中央辦公廳. 黨委（黨組）網絡安全工作責任制實施辦法.2017-09-15.

[2]中華人民共和國教育部. 關于印發《教育行業信息系統安全等級保護定級工作指南（試行）》的通知：教技廳函〔2014〕74號.2014-10-27.

[3]江蘇省教育廳. 關于印發《江蘇省教育系統網絡安全事件應急預案》的通知：蘇教信〔2018〕4號. 2018-12-24.