“互联网+”已成为高校教育的“新常态”,在弥补传统教授模式不足的同时,对教学科研、管理都起到了促进作用,进而改变了师生的工作与学习方式,成为校园生活中不可或缺的重要组成部分。随着互联网技术不断更新与《教育信息化2.0》的稳步推进,高校信息化出现了多样性和复杂性,同时校园网络安全问题也日益凸显,而大多高校对校园网安全仍旧采取大水漫灌式管理,使得校内教学科研活动得不到有效的保障,就近几年高校网络安全工作来看,如何清晰合理构建网络安全管理体系以保障校园网师生个人信息安全及重要核心业务稳定、安全、可靠的运行已成为各个高校信息化的当务之急。
1、高校网络安全管理存在问题
高校网络安全管理的本质即在网络服务不中断的情况下有效地对通信链路、网络系统硬件、软件及系统中的数据进行防护提高其保密性、完整性、和可用性,不因偶然性或者恶意性等原因而遭受破坏、更改、泄露,保障系统连续可靠正常地运行,为在校师生及管理者提供可靠便利的服务,做到轻松享受教育信息化2.0建设带来的便捷服务。
1.1校园网络安全管理滞后应用系统建设
由于业务部门系统建设需求旺盛且建设周期短,建设成效易显现,而大多数高校信息化部门主要从事常规性运维工作,且校园网络安全管理建设缺乏体系指导,网络安全风险防范评估能力不足,网络安全队伍建设缺乏合理性,各业务部门缺乏网络安全风险防范意识等原因,导致校园网络安全建设及管理存在随意性、重复性、盲目性、科学性等问题。
image.png
1.2个人信息泄露频繁
2017年勒索病毒肆虐全球,国内高校成为重灾区;2018年9月华住集团涉及5亿条个人信息泄露;2018年8月,浙江省1000万条学籍数据疑似泄露等安全事件的发生,加速了我国网络安全治理工作的步伐,如2017年出台《网络安全法》、2019年5月出台《信息安全技术网络安全等级保护基本要求》、2019年全国信息安全标准化技术委员会面向全社会公开征求《信息安全技术个人信息安全规范(草案)》意见等。如何将法律法规与高校实际业务需求结合提高政府资金利用率,构建合理合规可管可控的网络安全管理体系,避免校园网络安全建设出现随意性及粗分散性显得尤为重要。
1.3网络安全威胁不断增大
近几年网络犯罪数量及犯罪手段不断翻新,网络威胁行为造成的破坏不断增大,就近几年高校所面临的网络安全威胁来看,主要有网站篡改,数据盗取,木马种植、恶意挖矿、病毒破坏、DDOS攻击等威胁。
2、高校网络安全管理体系架构设计
2.1高校网络安全管理体系架构简介
image.png
由图1可见,从自身信息化资产实际出发,为保障师生个人隐私安全和核心业务稳定运行为目标,以人和信息资产作為管理对象,建立以安全形势、国家政策法规及上级部门工作要求为指引,研究制定符合高校网络安全的工作方针、政策、规划,在安全管理机构、网络安全人才队伍、资金支持及领导支持的基础支撑上,从技术管理体系与制度管理体系相结合的方式保障高校信息资产的网络安全。
2.2提高认识、建立网络安全领导机构
大多高校网络信息管理部门主要从事校园网络及信息系统的日常运行、技术维护、安全保障工作。在校园网络安全统筹规划、建设、管理及应急处置时由于网络基础设施安全管理不统一、信息资产不清、用户信息不完整等原因存在巨大的风险隐患。建立以校领导为高校网络安全第一负责人的领导机构,健全机构职能及制度,从思想上高度重视,做到统一规划、统一建设、统一技术标准、统一管理,做到网络安全与信息化项目同步建设、同步实施、同步发展;突出校园网络安全工作重点有效整合校内外资源、推动校园网络整体安全运行。
2.3完善网络安全管理制度
按照”谁主管、谁负责;谁使用、谁负责;谁运营、谁负责“的基本原则,重点完善部门网络安全责任制度,校园网用户所在部门职能、人员职能,同步制定相关的网络安全责任考核制度和责任追究制度;对校内信息化项目进行风险评估管理,建全校内信息备案制度、网络安全管理台账、应急预案及应急保障,规范运维及外包安全管理制度,加大网络安全专业技术人员考核指标,针对校园网用户开展网络安全相关政策文件法规的宣传工作。制定关键信息资产涉及产品的运维管理制度,定期开展安全巡检工作,对可能出现的风险隐患进行及时有效管理。
2.4建立重要信息资产分类分级识别备案
对高校重要信息资产进行识别、分类及分级备案,做到网络安全管理对象更加明确清晰;依照图1-高校网络安全管理体系架构图可见,高校重要信息资产分为两类;分别是网络基础设施资产、信息系统资产。
网络基础设施资产包含:路由器、网关等网络设备;存储设备、光纤等传输线路、UPS、空调、门禁等保障设备;防火墙、上网行为审计、入侵检测系统(IDS)、入侵防御系统(IPS)、WAF、网络准入认证系统、VPN等安全设备;PC、电子屏、自助终端业务机等终端设备。网络基础设施资产从设备名称、品牌、供货时间、质保期、责任部门等方面进行备案登记管理,主要解决网络基础设施资产不清、重复建设、产权归属不明确,责任推诿等问题。
信息系统资产包含招生、学籍、宿管、教务、研究生、OA办公等关键业务应用系统,和移动端应用、大数据、云计算等新技术应用系统。主要从互联网开放情况、IP地址、域名、业务范围、存放位置、开放端口、操作系统、中间件、定等级别、备案号、所属部门、网络安全责任人等方面建立信息系统备案登记表,建立信息安全管理基线,对互联网接入、端口管理、操作系统正版化、系统漏洞及其他风险防范管理提供支撑。
2.5校园网络安全技术体系架构规范
以应用型高校为例,网络安全技术体系机构可以依据《信息安全技术网络安全等级保护基本要求》GB∕T 22239-2019,针对信息系统定等级别和应用实际出发,从物理和环境安全、业务拓展安全、安全管理与监测、计算环境安全、区域边界安全、通信网络安全和云端安全七个层次建立校园网络安全技术防范体系框架,可依照色彩深度分三个批次对信息资产安全保护建设进行模块化阶段性划分,即白色为等级保护二级安全建设要求,浅灰色为等级保护三级建设要求,深灰色为等级保护四级安全建设要求。
image.png
2.6高校安全应急预灾备保障
建全高校网络安全应急与灾备保障机制,同城高校之间建立异地灾备中心,搭建高校与企业“协同行动”的工作机制。制定高校网络安全应急响应计划、灾难恢复策略、灾难恢复预案,并对其有效性和实时性进行修正完善。定期组织校内网络安全应急响应、灾备培训并开展应急演练,保障高校信息化健康持续发展。
2.7重视网络安全技术人员队伍建设
持续把校园网络安全队伍能力建设作为强化网络安全管理的根本。严格执行国家、地区和校内有关规定,制定年度网络安全管理从业人员技能培训计划,坚持以保障校内重要信息资产安全为依据有序开展网络安全技能及知识培训,注重培养校内网络安全核心人员发展,进一步建设校内网络安全人才培养管理工作,努力打造校内专业技术人员,现场事故处置、综合安全管理“三个能力”的网络安全管理人才队伍,为高校网络安全管理可持续提升提供良好的人力资源保障。
总的来说,高校信息化程度越高,网络安全的影响也就越为深刻;在大数据、人工智能、物联网技术等新技术快速发展的大背景下,高校网络安全管理体系应本着问题导向、目标导向、结果导向,依照政策法规及互联网安全形势变化将管理体系与技术体系进行合理有效融合是高校网络安全管理体系构建的根本。
