潘卿 顾炜江 窦立君

【摘 要】“技防+人防”的高校网络安全管理体系是解决部分高校在信息化建设过程中缺乏顶层设计、各级主体权责不明等问题的有效手段。“技防”平台的建设可以弥补网络安全专业技术人员的缺乏，“人防”平台以网络安全责任制为抓手，有助于切实提高师生网络安全意识和基本防护、处置能力。“技防”与“人防”两者相辅相成，共同促进网络安全管理体系的建设与发展。

【关键词】高校网络安全;技防+人防;管理体系

【中图分类号】G47  【文献标志码】A  【文章编号】1005-6009（2022）20-0047-04

【作者简介】1.潘卿，南京林业大学（南京，210037）网络安全和信息化办公室综合科科长，讲师，主要研究方向为网络安全和信息化管理;2.顾炜江，南京林业大学（南京，210037）网络安全和信息化办公室主任，高级工程师，主要研究方向为计算机网络技术;3.窦立君，南京林业大学（南京，210037）网络安全和信息化办公室网络安全科科长，高级工程师，主要研究方向为计算机网络技术。

随着互联网技术的飞速发展，网络安全日益受到社会各方的重视。习近平总书记多次发表关于网络安全的重要讲话。他指出：“过不了互联网这一关，就过不了长期执政这一关。”[1]“没有网络安全就没有国家安全，没有信息化就没有现代化。”[2]“网络安全和信息安全牵涉到国家安全和社会稳定，是我们面临的信息综合性挑战。”[3]“要落實网络安全责任制，制定网络安全标准，明确保护对象、保护层级、保护措施。”[4]高校作为我国高等教育的施教主体和科研的主要载体，在充分享受网络带来的便利的同时，也存在很大的网络安全隐患。[5]同时，由于高校具有个人敏感信息密集、教学科研数据多等特点，一旦出现网络安全问题如数据泄露事件，带来的社会影响和经济损失不可估量。

一、高校网络安全管理现状及主要问题

随着《教育信息化2.0行动计划》的逐步落实，各省智慧校园建设如火如荼地开展，高校的信息化水平已经有了长足的发展，基础网络、核心设备、数据机房、一卡通系统等已经在各高校普及，各类教学、科研、管理以及服务类的前端应用也百花齐放。但是高校在信息化建设过程中存在技术相对滞后、资金缺乏、规划滞后、建设和运维职责模糊等现实困难，使得网络安全管理仍然问题重重。

（一）缺乏网络安全权威管理机构

相较于教学、科研和管理部门，大部分高校的信息化管理机构仍然处于从属位置，缺乏权威的管理机构，更多的是提供服务和保障，而没有在信息化建设尤其是网络安全建设方面起到真正的统筹规划作用。事实上，不少高校内部没有很好地遵循信息化和网络安全建设的统一标准和流程，信息化项目的建设资金来源不一，项目实施过程和日常运维缺乏监督和指导。一旦出现网络安全问题，信息化管理机构则以“救火队员”的身份被推上前台。

缺乏网络安全权威管理机构造成的后果之一是信息化建设和网络安全没有同步规划。一方面，绝大多数的高校在信息化建设过程中都缺乏顶层设计，各部门按照自身诉求建设信息系统，由于缺乏专业技术能力和专项资金，基本没有考虑配套网络安全的建设。另一方面，中心机房和核心网络设备体系由学校信息化管理部门集约管理，便于进行网络安全的统一规划、建设、维护和保障;分散在各个二级单位的应用型信息系统，则由于缺少专人管理、管理人员专业技术欠缺和网络安全意识淡薄等问题，使用部门几乎没有网络安全防护能力;而信息化管理部门也因为这些系统建设标准参差不齐、技术参数不同而难以构建整体防护策略。

缺乏网络安全权威管理机构造成的另一个后果是网络安全职责不清。信息化管理部门通常被认定为是高校网络安全问题的责任部门，而实际使用和运维信息系统的二级单位普遍只管使用。从科学的角度来划分，网络安全管理的职责应该从整体到局部、从上层到基层综合考虑，使其各司其职。

（二）缺乏网络安全专业技术人员

网络安全管理是多学科、综合性、技术性并存的综合管理工作，专业技术人员是必不可少的基础支撑，但高校中相关技术人才缺乏的情况很普遍。南京林业大学网络安全和信息化办公室于2020年对江苏省及北京市共30所高校发起调查，数据显示，高校信息化管理部门的平均人数是26人，约占在校师生人数的1%，这与国际上高校信息化工作人员占比30%以上相比，存在较大差距。另外，如果把具备计算机及相关专业背景视同具备网络安全专业背景，那么各高校信息化管理部门的专技人员与总工作人员比例为30%～50%，与管理全校数十个部门的数百个信息系统相比，这个比例也是远远不够的。再者，高校中各个二级单位几乎没有专职的、具有专业背景的信息技术管理人员，在执行上一级管理部门的网络安全工作要求方面存在较大的难度。

（三）广大师生信息化素养还有待提高

近几年，互联网诈骗、个人隐私信息泄露等高校网络安全事件频发。据国家互联网应急中心2021年上半年发布的统计报告和国家信息安全漏洞共享平台漏洞统计数据可知，高校信息系统漏洞中“弱口令”“钓鱼木马”等仍然是主要的网络安全隐患。这说明广大师生网络安全意识不强，对网络安全防护技能科普的接受度还有较大的提升空间。

（四）信息化管理部门忙于堵漏，预警能力不强

高校信息化管理部门被动充当“守门员”的角色，一方面要到处“救火”、到处“补漏”，力争做到网络安全零事故;另一方面作为高校网络安全的最后一道防线，还要承担绝大部分的责任。信息化管理部门基于现有条件很难对整个学校的网络安全做有效、整体的把控，更没有精力去做好整体网络安全预警工作。而实际上，事先预防的成本是最小的，效果也是最好的。

二、构建“技防+人防”相融合的高校网络安全管理体系

（一）建立高校网络安全权威管理机构

网络安全权威管理机构是一个在校党委领导下统筹全校网络安全工作的校级层面组织，一般称作网络安全和信息化委员会或者网络安全和信息化领导小组（以下简称“领导小组”）。成立领导小组是构建高校网络安全管理体系的核心。组内成员除信息化管理机构主要负责人外，还应当包括学校党政机关和信息系统应用比较多的部门（如学生处、教务处、科研处、图书馆等）的主要负责人。

领导小组的主要职责在于领导和规划校内网络安全和信息化建设工作。首先应指导信息化管理机构建立健全网络安全管理体系、识别网络安全问题、明确网络安全管理的范围和内容等。其次，信息化管理机构在领导小组的指导下，须制定符合高校的网络安全管理制度，修订、完善原有的信息化管理制度，规范高校信息化建设流程。网络安全的管理必须全流程融于信息化项目的建设中，因此，要建立健全网络安全管理体系，必须纠正先前信息化建设过程中的不规范之处。只有将网络安全的具体要求落实到信息化项目立项、采购、实施、验收及后期运维中，网络安全管理体系才能真正落地。最后，领导小组要统筹网络安全经费管理，制定并完善全校网络安全防护策略，提升网络安全专业技术水平，加大管理队伍的人才培养力度等。

（二）建设全方位的“技防”平台

完善的网络安全管理体系应以全面、开放的思路建设技术防护平台，以网络安全等级保护2.0标准（简称“等保2.0”）为核心指导，以强化信息资产管理为基础，以补全关键网络安全防护设施设备为重点，以优化网络安全技术防护策略为依托，以具备较强的网络安全预警和应急能力为目的，最终形成网络安全技术防护闭环。

等保2.0是我国最新、最权威的网络安全保护标准体系，可以看作《网络安全法》的实施细则，因此，高校的网络安全技术防护平台必须以等保2.0的高标准和严要求为指导，不论是硬件设备、软件系统还是综合性信息化平台，上线运行的前提都应是科学定级并进行备案。高等级的信息系统还应当按照公安机关的规定进行等级保护测评，不符合条件的应当严格按照等保2.0标准整改到位方可继续运行。

信息资产作为网络安全管理的主要对象，其关系的理顺是建立健全网络安全技防平台的基础。高校應当完善信息资产台账管理制度，明确信息系统（网站）的资产归属部门，定期开展信息资产巡查，进行资产摸底、排查和清理，重点关注长期不使用、长期不更新和无人认领的“僵尸”信息系统，按照程序进行关停、下线，在回收服务器资源的同时，又能降低网络安全风险。对于“双非”信息系统（网站），应秉持坚决迁回的态度，如因特殊原因无法迁回，则应重点加强网络安全监控和防护。

技术支撑体系是网络安全工作的关键所在，其技术水平决定着网络安全水平。[6]在全面梳理网络安全设备部署情况后，高校应当补充、补强重点区域的关键防护设备设施，如中心机房、虚拟化平台等。出口防火墙、入侵防御系统、数据中心区域Web应用防火墙、数据库审计系统等网络基础安全防护设备要定期升级加固并优化防护策略。加强主机防护能力，部署主机防护系统，除了厘清各类主机的操作系统、应用、中间件、数据库等信息和定期进行扫描、修复外，更重要的是加强服务器流量监控和数据分析，预判可能存在的风险并倒查问题主机，提前进行干预和处置，逐步形成预警机制。增强前端应用的安全防护手段，可对校内网络资源进行分类管理，一般的网站和不涉及敏感数据的信息系统可对互联网开放访问，而OA系统、财务管理系统、教务管理系统、图书资源等平台则限制局域网访问，互联网须使用VPN系统访问。为了达到等保2.0标准对信息系统运维过程提出的“事前预防、事中控制、事后审计”的要求，高校须部署堡垒机监督审计系统，系统运维人员需要通过访问堡垒机才能维护被授权管理的系统。堡垒机对授权人员的运维操作行为进行记录、控制和审计，以此加强对校园内部运维管理行为的规范和监管。

（三）建设高效率的“人防”平台

“人防”的作用除了体现在专技人员的专业素养方面，更应当体现在管理层面。一方面所有网络安全规章制度都是靠人执行的，防护设备的定期维护、检修和升级也要靠人实施，对于防护体系预警提示的各类隐患和问题，目前绝大部分也都要靠人去解决。另一方面，对于可能发生的网络安全事故或事件，相关人员的应急响应速度和能力直接决定了处置问题的水平，也在很大程度上决定了该事故或事件造成的最终后果。“人防”平台的运行情况直接决定高校整个网络安全管理体系的实际运行效率和效果。

“人防”平台建设的核心是以网络安全责任制为主线，加强专技人员和网络安全管理人员队伍建设，严格落实校内网络安全各项制度，加大校内师生特别是参与网络安全管理的一线教师的信息化素养培训力度。领导小组应依据“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，结合本校实际情况制定校内网络安全责任制落实细则。细则至少包含以下内容：确定各二级单位的网络安全责任人，同时确定网络安全联系人。具体来说，责任人对本单位的网络安全负总责;联系人则负责配合信息化管理机构开展各项网络安全工作，向本单位网络安全责任人直接汇报工作;有条件的部门可以另外确定一名部门负责人担任网络安全分管领导，负责具体指导联系人开展本部门的网络安全工作。

为强化人才队伍建设，信息化管理机构要定期开展对各单位网络安全责任人、网络安全分管领导和网络安全联系人的业务培训，从网络安全意识、网络安全责任制、信息化和网络安全管理制度、网络安全应急处置等几个方面进行系统的校内培训，分批选送网络安全管理人员参加校外专业培训、学习，鼓励其参加专业认证考试。信息化管理机构的专技人员须持证上岗。定期选派专技人员、有条件的二级单位网络安全联系人和其他具备条件的师生参加各级网信办、公安机关和教育主管部门开设的专业技能培训班、学习班，积极组织教师和学生参加各类网络安全技能大赛，不断提高专技人员的业务能力。最后，领导小组应积极推动形成校内外网络安全选人、用人机制，形成用好高校网络安全管理人才的新局面。

（四）“技防”和“人防”相互融合

笔者认为，不同的高校资源禀赋各不相同，须进一步完善网络安全管理体系，提升“技防”和“人防”融合度。“技防”无法完全解决的难题用“人防”来弥补，“人防”需要提升效率的地方用技术手段来辅助，两者相辅相成，共同促进网络安全管理体系的完善。

一方面，5G、大数据、云计算和AI等新技术势必在不久的将来融入现有的智慧校园体系，越来越多的信息化设备和应用可能会带来较多的网络安全问题。另一方面，网络安全是一个动态的过程，外在的威胁和隐患在不断暴露，构建“技防”平台的核心技术支撑体系、提高“技防”和“人防”融合度等举措还需要进一步开展深入研究。

【参考文献】

[1]习近平.论党的宣传思想工作[M].北京：中央文献出版社，2020：183.

[2]习近平在中央网络安全和信息化领导小组第一次会议上的讲话[N].华北电力大学报，2016-10-15（1）.

[3]习近平.论坚持全面深化改革[M].北京：中央文献出版社，2018：39.

[4]习近平.在网络安全和信息化工作座谈会上的讲话[M].北京：人民出版社，2016：18-19.

[5]谢克武.高校校园网络安全现状及防范对策[J].电子技术与软件工程，2017（1）：195-196.

[6]魏楚元，任彦龙，李欣.高校网络安全治理体系构建研究[J].网络安全技术与应用，2021（1）：96-98.

本文系2020年教育部产学合作协同育人项目“智慧林业网络安全人才培养体系研究”（202002125002）和江苏省现代教育技术研究智慧校园专项课题“疫情防控期间高校舆情监督与隐私保护对策研究”（2020-R-84337）的阶段性研究成果。