高校網絡服務安全體系建設思路探討與實踐

一、引言

互聯網時代，越來越多的高校將信息系統開放到互聯網，在為師生提供了便利服務的同時，也面臨著來自互聯網的各種安全威脅。信息系統可能因存在漏洞或高校自身的網絡安全管理策略和防護措施不當，導致系統遭受攻擊，進而引發業務中斷、系統宕機、網絡癱瘓等安全事件，對高校的發展、教學、科研和管理等方面[1造成負面影響。高校應以國家安全觀為統領，堅持安全可控與開放創新相結合，建立與高校相適應的網絡服務安全體系，以應對復雜多變的網絡安全挑戰。

二、網絡服務安全體系

網絡服務安全體系建設的根本目標是保障各類信息網絡和信息系統能夠安全可靠地運行，確保在其傳輸、存儲、處理和使用的信息不被泄露、篡改和濫用，保證學校的合法權益和校園網絡空間的正常秩序。高校網絡服務安全體系的建設和完善，對確保信息系統的安全穩定運行和業務順利開展至關重要，是推動高校數字化轉型的重要保障[3]。其可分為網絡安全技術體系和網絡安全管理體系。

網絡安全技術體系包括兩方面內容：一是建設網絡安全基礎設施和系統（如防火墻、入侵防御系統及Web應用防火墻等），以具備解決相關安全問題的能力。二是要具備網絡安全運營能力，只有正確部署并運營這些設備，才能真正保障網絡信息安全落地。

網絡安全管理體系能否落地是衡量高校網絡安全管理能力的重要標準，其同樣包括兩方面內容：一是具備網絡安全相關制度、規范、業務流程及策略，并在學校正式發布，這是網絡安全管理體系的建立基礎。二是確保網絡安全管理體系落地實施、維護和持續優化，以促進安全管理能力的提升。而高校常常面臨的問題是安全管理制度或策略流程無法落地。

三、網絡服務安全面臨的風險

第一，外部安全風險高校網絡安全經常受到各種外部威脅的影響[4，常見的包括黑客攻擊、竊取數據、拒絕服務攻擊、惡意破壞、釣魚和仿冒欺詐、挖礦病毒等。外部的攻擊歸根結底是利益驅動，獲利空間越大，風險也越高。

第二，內部安全風險高校工作人員安全意識淡薄，容易引起數據泄露，如將賬號密碼、重要文件上傳到外部平臺，或隨意將高危端口和服務開放到外網，被外部黑客利用后，進一步滲透到內網，獲取學校的敏感信息。無論是主觀故意還是無意泄露，內部安全風險均難以有效預防。

第三，安全合規風險高校面臨的安全合規監管越來越嚴格，如果不符合國家《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《關鍵信息基礎設施安全保護條例》以及《中華人民共和國個人信息保護法》等法律法規的監管要求，相關系統可能被要求下線，不僅影響學校業務，甚至可能會受到行政處罰。

四、網絡服務安全建設需求

網絡服務是數據產生、存儲、使用、傳輸的載體和根基，如果網絡服務安全得不到保障，數據安全也就無從談起。網絡服務安全建設的主要內容包括安全基礎設施和系統建設、安全運營體系建設和安全管理體系建設。

（一）安全基礎設施和系統建設

安全基礎設施與系統建設構成了高校安全工作的基石，是開展各項安全工作的前提。從建設內容上，安全建設主要分為辦公安全、數據中心（或云服務器環境）安全、業務安全和網絡系統。安全建設需求隨著高校業務發展階段的不同而有所不同，初期可能更關注線上業務的安全防護，到后期會逐步重視內部安全建設。安全建設會根據風險危害的嚴重程度或緊急程度而變化，因此，學校需要不斷改進和完善網絡安全保障體系，為數字化轉型保駕護航[。

（二）安全運營體系建設

僅有安全基礎設施和系統而沒有進行運營和維護，那么安全基礎設施和系統很難發揮作用。所以在高校網絡服務安全體系建設中，安全運營體系建設同樣重要，也是真正需要投入人力來持續運營的。安全運營體系建設主要包括安全設備和系統運行維護、定期開展安全工作、安全生命周期管理、安全事件響應與處置、安全自動化能力等。通過持續的網絡安全運營，打造實戰化能力，確保全面覆蓋、深度整合、有效監控和協同響應的網絡安全態勢。

（三）安全管理體系建設

網絡安全管理體系涵蓋網絡安全制度建設、網絡安全流程建設、安全培訓的開展、安全考核等多個方面。網絡安全制度建設包括安全組織、安全方針、人員安全、系統安全、主機安全、開發安全、安全審計、風險評估等多個維度，需緊密結合學校實際，適時發布并不斷更新完善。

網絡安全流程建設包括安全工作流程和表單、安全應急響應流程、安全預案和演練等方面的內容。安全工作流程和表單是日常安全工作開展的基礎；安全應急響應流程可以確保應急預案為安全事件的處置提供指導，定期開展演練可以檢驗預案的有效性，并進行不斷改進。

安全培訓的主要目的是提升安全意識和安全技術能力，主要包括學生、教職工、管理人員等安全意識培訓，引導師生正確認識當前網絡安全形勢的嚴峻性，加深對網絡風險與自身關系的認知，增強師生網絡安全意識與自我保護能力[。另外，還可以開展安全技術培訓，提升開發人員的安全技術水平。

安全考核是考核校級、院系級、系統級多級責任人的安全績效，實現安全問題閉環管理[。比如，安全漏洞修復及時率、安全漏洞同比或環比情況。安全考核除了可以顯示安全工作的成效，也可以通過考核讓校內各部門重視網絡安全工作。

五、網絡服務安全工作開展思路

（一）安全風險評估

網絡服務安全風險評估是開展安全工作的有效手段，通過風險評估可以全面了解學校的安全現狀，為解決問題和網絡安全建設規劃做準備。風險評估應由網絡安全團隊負責，借助外部安全服務廠商的力量，通過梳理資產、現場調研、技術評估等方式開展。

1.梳理資產

風險評估時，應盡可能多地獲取學校的信息系統資產相關信息，了解學校重要資產、重要數據的分布情況，方便安全團隊對信息資產進行等級劃分；建立詳細的資產清單，確定每個資產對應的負責人；跟蹤和管理資產，以提高安全管理的可行性[8]。

2.現場調研

網絡服務安全調研對象包含運維負責人、IT負責人、各業務應用系統開發對接負責人、測試負責人、業務負責人、信息系統運維人員等。

3.技術評估

通過資產梳理和現場調研明確每個資產的網絡安全責任部門和負責人，但更多的安全風險還需要通過技術評估獲取，技術評估的思路如下。

（1）安全滲透測試。安全滲透測試是揭示安全漏洞的最有效方法，高校可自行執行，亦可借助社會上的網絡安全服務廠商來測試。一般滲透思路是先通過輕量掃描獲取資產信息，然后再通過人工測試發現漏洞。

（2）安全基線檢查。安全基線檢查旨在掌握主機（Linux、Windows）的安全狀態，如賬號、密碼強度、密碼定期更改機制、程序部署目錄、賬號權限等情況。

（3）數據流分析。網絡安全的核心是數據安全，對于跨系統數據交互（如運維工作流、業務數據流等），需評估潛在的數據泄漏風險，并考慮實施邊界以監控和檢查數據流向。這是需要重點關注和改善的地方。

（4）輸出安全風險列表

通過安全和技術評估，可以全面了解目前學校的網絡服務安全風險，并對風險進行等級標記，為下一步工作打好基礎。常見的安全風險如表1所示。

（二）網絡安全工作機制建立

通過風險評估，充分掌握存在的網絡服務安全風險后，就要建立安全工作機制，確保安全人員能應對各類緊急事件，為開展長期網絡安全規劃打下基礎。

建立安全對接人機制安全對接人就是每個部門負責對接網絡安全部門的人員，其能夠協調推動部門內部的網絡安全相關事務，提高網絡安全事件處置效率，并協助排查安全漏洞，及時修復、發布安全要求和相關通知、安全相關整改的落實和推動、上報安全事件或異常，以及反饋安全相關問題等。

建立安全應急響應機制網絡安全應急響應是為了保護網絡基礎設施的安全性，降低網絡安全的脆弱性，確保網絡攻擊事件發生后能在最短時間內恢復網絡運行，減少損失和影響[]。應急響應是保障網絡和信息系統安全的重要手段，需要建立完備的應急響應框架和預案體系，明確網絡安全事件分類分級機制、應急組織架構及職責、預警機制、安全對接人名單、上報和審批流程、處置措施等，高效利用學校內部有限的資源、配置，落實專人職責，迅速取得外界援助，快速協調響應，遏制危害網絡安全事件的發生。

（三）安全工作規劃

網絡安全是服務于學校發展的，安全規劃應該是動態的，堅持系統觀念，樹立“一盤棋”思想，規劃應與業務同步，適應學校業務的未來發展。具體可以根據學校的實際情況開展，分為短期規劃、中期規劃和長期規劃。短期規劃主要關注需要解決的緊急和重要的安全問題，這些問題可能會導致學校網絡被攻擊、入侵，或導致學校遭受損失，或有安全合規風險，這個階段以能獨立解決問題為主。中期規劃重點關注安全基礎設施和系統建設，通過系統化建設，解決主要的安全問題，同時開始建立基礎安全管理制度和體系。長期安全規劃除繼續開展相關安全基礎設施建設外，有條件的高校可以探索安全自動化系統的研發與應用，并對系統進行部署和推廣應用，并逐步動態更新的安全管理機制。

六、網絡服務安全落地的保障措施

隨著國家層面越來越重視信息安全，高校網絡服務安全的建設重點也由是否合規逐步轉變到是否能應對互聯網高強度、高復雜性的網絡攻擊上。僅僅防守是不能滿足安全建設需求的。在實際攻防演練中，很多高校外網防線往往相對穩固，內網保護力度不足，只要控制某個內網終端就能進行內網漫游，突破網絡邊界（從辦公網進入業務網），再進一步橫向移動，直到控制大量業務服務器。原因中很重要的一點就是高校沒有真正做到安全技術和管理措施落地。要想真正落地并能應對未來復雜多變的網絡安全威脅和挑戰，至少需要實施以下關鍵保障措施。

（一）學校管理層的重視及參與

安全是“一把手”工程，需要管理層的重視和參與。盡管大多數高校管理者對網絡安全相關的報告和事件保持高度關注，但他們對安全技術的細節并不關心。因此，安全部門必須提前與業務部門進行充分溝通，確保對安全事件的原因、影響及處理方法達成共識。在匯報時，應妥善管理管理層的期望值，并更多地從業務角度進行分析，有選擇性地匯報關鍵信息。合理利用合規要求和安全事件的影響，以爭取管理層的認同與支持，促使他們愿意推動并支持網絡安全管理，愿意投入必要的資金，愿意成立專門的網絡安全團隊，并賦予該團隊較高的權限。

（二）樹立網絡安全部門權威

網絡安全部門需要樹立一定的權威，必須通過規范和制度明確要求覆蓋學校所有項目，執行不備案、不上線的工作機制。對于急于上線的信息系統，可能會因此削減或省略部分安全需求，或延期修補漏洞，從而導致風險增加。權威的樹立需要自上而下地推動，由負責安全或信息化的領導層確認，并由安全部門執行，同時需根據業務部門的具體情況，在相應的流程中明確安全措施。

（三）網絡安全團隊要具備工程化應用能力

網絡安全團隊推動著學校安全策略的落實執行，安全團隊的能力決定了學校網絡安全水平的高低。工程化應用能力指的是能將安全策略通過系統自動化實施的能力，眾多高校安全人員雖擁有很好的見解與創意，但難以將其轉化為實際行動。安全體系的構建絕非安全團隊之力所能獨擔，它需要依賴高校各層面的堅實支撐，借助安全自動化平臺的開發區域建設，經由持續優化與迭代，逐步邁向安全自動化的理想境界。

（四）溝通渠道暢通

一個項目的安全評估，在項目建設的不同環節有著不同的安全要求，而這些安全要求都需要占用項目建設團隊的時間。在項目各個階段與業務部門保持溝通是非常有必要的，需要明確安全團隊介入的階段，多久能夠完成安全檢查工作，同時預留出足夠時間給項目建設團隊修復安全漏洞。

絡服務安全運營工作，安全策略沒有及時更新或已經失效。安全運營是實現安全有效性的唯一途徑，需要高校安全相關人員具有高度責任感，并能腳踏實地地落實，深度參與安全運營工作。

（六）與專業機構合作

高校網絡服務安全涉及的業務范圍較廣，通常情況下安全工作部署很難覆蓋學校的全部業務系統，需與外部專業機構（如公安與網信部門、教育主管部門、網絡安全行業組織以及安全服務廠商等）建立合作關系。具體包括辦公與業務網絡安全、基礎安全產品、威脅情報共享、安全咨詢服務等方面。同時，應緊跟最新安全動態，適時引入創新以彌補安全短板。

七、結束語

網絡安全是校園安全的重要組成部分，近期網絡安全事件頻發的嚴峻形勢對高校網絡服務安全從業人員提出了更高的要求，而檢驗網絡安全團隊和安全人員能力的標準就是高校安全建設規劃能真正落地。雖然網絡安全設備廠商和網絡安全服務商可以為高校提供專業的安全設備或網絡安全服務，但最終效果往往不盡如人意。因為網絡服務安全不僅取決于網絡層本身的安全性，還依賴基于網絡構建的各類信息系統及服務的安全性，以及高校管理層支持、資金和人員投入，更需要有效的安全規劃和落地執行策略與方案，才能持續運營，并最終建成適合學校的網絡服務安全風險防控體系。

（五）精細化安全運營

盡管很多高校已經部署了完整的網絡安全設備，但是在面對安全攻擊時，這些設備往往未能發揮應有的作用。這并非設備本身的問題，而是高校沒有真正開展網

作者單位：馬威風常州大學信息化建設與大數據處

馮波中國移動通信集團江蘇有限公司常州分公司

參考文獻

[1]覃肖云.大數據下高等院校信息網絡安全及其防護策略[C]/中國智慧城市經濟專家委員會.2023年智慧城市建設論壇西安分論壇論文集.廣西醫科大學信息中心；，2023：2

[2]任彥龍，魏楚元，李欣.通過實戰攻防演練探析高校網絡安全體系建設[C]/中國計算機用戶協會網絡應用分會.中國計算機用戶協會網絡應用分會2023年第二十七屆網絡新技術與應用年會論文集.北京建筑大學網絡信息管理服務中心;，2023：6.

[3]吳英策，李賓，李燕.高校數字化轉型中的網絡安全建設[J].中國信息安全，2023.（06）：34-36.

[4]馮宗傳.高校網絡安全管理[J].信息與電腦（理論版），2023，35（10）：218-220.

[5]王宇，王衛東，溫占考.數字化轉型背景下高校網絡安全保障研究與實踐[J].北京聯合大學學報，2023，37（02）：1-6.

[6]劉田博.高校網絡安全教育策略[J].山西財經大學學報，2023，45（S2）：198-200.

[7]李雨航，徐亭，郭鵬程.網絡服務安全與監控[M].北京：電子工業出版社，2021.

[8]樊新武，杜香燕.高校網絡安全態勢感知建設實踐與探索[C]//中國計算機用戶協會網絡應用分會.中國計算機用戶協會網絡應用分會2023年第二十七屆網絡新技術與應用年會論文集.北京林業大學信息化建與管理辦公室;，2023：5.

[9]黃麗麗.高校網絡安全管理：挑戰與應對[J].網絡安全技術與應用，2024，（08）：75-77.

[10]蔣遠宏.信息時代高校網絡安全教育策略——評《高校網絡安全教育與管理研究》[J].安全與環境學報，2023，23（09）：381-3382.