◆摘  要：校园信息网络安全建设是一项系统性的工程，各高校信息化建设经过长时间的建设，网络安全已经取得了一定的成效，但随着等保2.0新标准的提出，信息网络安全质量还需要进行很大的提升。本文利用PDCA戴明环模式，提出了校园信息网络安全质量建设的探索思路。

◆关键词：信息安全;网络安全;PDCA;等保测评

2017年6月1日《中华人民共和国网络安全法》已经开始实施，标志着等级保护2.0的正式启动。全面推进校园信息系统等级保护及测评工作，加强关键基础设施管控能力，强化网络安全监测预警和技术防护，增强应急处置和灾难恢复能力，有效防范、控制和抵御网络安全风险。建成完备网络信息安全体系，开展上网行为审计，建立系统性安全防御体系，提高整体网络安全防护水平，构建可信、可控、可查的网络环境空间成为了校园信息网络安全建设的工作目标。

一、校园信息网络安全质量现状

对照等保2.0标准要求，校园信息网络安全整体质量依然不足，人员防护体系、技术防护体系、安全评估体系、演练加固体系等均不完善，信息网络安全整体质量均需要进行有效改进和提升。

1.技术安全防护体系需要增强，安全防护范围需要扩大

技术安全防护体系简称“技防”，是网络与信息安全建设体系的重要内容。等保2.0的保护对象在范围上有了很大的扩充，在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等。因此1.0标准下的安全防护体系均出现了防护范围不足，技术手段有限、关键位置防控不到位等问题。

2.安全管理制度体系依然不健全，安全培训和安全教育还有待加强。

“人防”是网络与信息安全建设体系的重要保障，等保2.0在控制措施分类上有了新的变化。现有安全管理体系和服务支撑体系存在通讯控制不严格、安全策略不严谨、系统管理不健全等问题。安全服务体系方面缺乏有效安全培训和教育机制。全员安全意识、法律意识和风险意识还有待加强。

3.安全评估存在不全面、不及时、不到位的问题

信息系统安全评估是一项周期性工作，各单位需要对信息系统及时进行定级备案和测评加固。由于信息系统随着应用和需求的调整，经常发生变化，导致备案和测评工作很难及时跟进处理。

4.系统加固和演练能力依然脆弱

随着新漏洞的发现，系统加固需专业技术团队长期跟进。应急演练作为模拟事件，需要调动各项资源积极参与演练，以充分发挥应急演练效果和效能。但往往由于制度设计缺陷，无法整体协同，导致演练效果不足。

二、基于PDCA原理的网络安全体系设计思路

PDCA循环是美国质量管理专家休哈特博士首先提出的，由戴明采纳、宣传，获得普及，所以又称戴明环。全面质量管理的思想基础和方法依据就是PDCA循环。基于PDCA原理，围绕着校园网络安全整体工作质量目标，通过技术防护实施计划（P），人员防护实施执行（D），安全评估检查效果（C），加固演练总结处理（A），可形成有效的安全质量提升路径，不断循环，不断检查，不断总结，循序渐进推进安全质量建设工作。

1.技术防护实施计划

技术防护实施计划要根据经济性、安全性、可行性等几个方面进行规划设计，经济性方面要结合学校信息化整体规模及防护要求，合理利用现有资源，合理进行设计规划和防护体系设计。安全性要从总体上做到相对安全，要覆盖全、要全面涵盖物理环境安全、网络安全、主机安全、应用安全和数据安全等五个层面。可行性要从有效果、能落地、易检查方面进行设计，要实现不同防护层面所采用的技术防护支撑工具要能实际产生防护作用，要防止出现木桶效应，要实现日常防护监控和管理能做到及时监控、精准定位，出现问题要能够第一时间进行技术响应。

2.人员防护实施执行

人员防护体系的建设，首先要建立安全管理体系和安全服务体系。安全管理体系通过规章制度的形式进行责权利的划分，安全服务体系通过培训教育的形式进行思想意识引领。

安全管理体系要从安全方针和安全策略总体设计。安全方针要明确管理责任、使用责任和运营责任。安全策略要从组织、人员、系统建设、系统运维等方向进行设计，要明确安全事件决策机制和处置流程，要合理划分职责和分工，要明确沟通模式，要制定安全人员任用条件、培训和处罚条例，系统建设要制定有效项目管理制度，系统运维要制定运维策略和应急处置预案。

安全服务体系要从全员参与，人人相关角度出发。合理制定安全培训方案和计划，针对不同岗位和不同用户定期进行安全培训教育和意识宣传，及时跟踪安全培训效果，并改进培训方案。

3.安全评估检查效果

依据《等级保护管理办法》，信息系统建成后，需及时进行备案工作，并获得《备案证书》。按照等保相关指标要求和流程规范进行评估检查工作。等保测评工作从信息系统调研和资产识别开始，要做好详细的资产梳理，需结合系统的相关性、一致性和有效性详细开展。资产梳理内容包括信息系统基本情况、物理环境、承载业务、网络结构、外联线路及设备端口、网络设备、安全设备、服务器设备、终端设备等等多项关联性内容。根据资产数情况，开展定级初测和复测工作，并出具初测和复测报告，结合等保测评标准得出差距分析报告。

4.加固演练总结处理

加固演练总结是针对系统加固和应急演练的最后总结。具体内容可包括系统加固、制度体系完善，舆情管控，攻防演练和应急演练等等。加固是根据发现的漏洞进行技术或制度的升级和策略修改。演练是根据制定的流程进行协同化安全事件模拟处置，以提升应急响应能力。

系统加固可根据差距分析编写安全加固整改方案并进行系统加固整改。整改结束，再进行复測，直至问题消除。安全制度体系加固主要针对人员防护方面进行管理提升，舆情管控主要针对信息内容方面进行进行管理提升，攻防演练主要模拟事件未发生时的处置能力提升，应急演练主要模拟事件发生后的处理能力进行提升。

三、结语

校园安全防护体系建设是一项综合性的系统化工程，基于PDCA原理的校园信息网络安全质量建设思路，能够通过体系规划、人员执行、评估检查、演练加固等四个阶段有效衔接，从而形成工作质量提升闭环，螺旋式提升信息网络安全整理治理能力和水平，有效提升校园信息网络整体安全建设质量。

作者简介

喻民权（1975—），男，云南省人，北京经济管理职业学院信息与网络中心工程师。