高校网络安全体系建设与实践探析
作者: 张光勇
摘要:随着教育数字化转型的深入推进,信息技术已成为教育管理、教学及校园运营等各环节的基本手段。信息技术在为数字教育、智慧校园带来巨大便捷与效率的同时,也带来了严峻的安全挑战。文章分析了当前高校网络安全建设中存在的问题,提出了高校网络安全体系的构建思路,并结合工作实践,给出了高校网络安全体系的建设措施。
关键词: 网络安全;等级保护; 安全体系
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2025)05-0078-03 开放科学(资源服务) 标识码(OSID) :
0 引言
随着信息化技术的快速发展,高校信息化已成为提高教学质量、推动科研创新、优化管理服务的重要手段。然而,在信息化进程中,网络安全问题的日益凸显给高校的发展和稳定带来了严峻挑战。高校网络安全事件频发,不仅影响了校园信息化进程,也凸显了网络安全工作的严峻性与复杂性。在此背景下,本文旨在通过深入研究山东理工大学网络安全体系的建设及实践,探讨现有网络安全工作中存在的挑战与问题,提出相应的改进策略,以期为高校及其他组织的网络安全建设提供有益的借鉴和启示。
1 背景介绍
党中央高度重视网络安全工作,提出了一系列政策和战略以应对不断演变的网络威胁。《中华人民共和国网络安全法》(以下简称《网络安全法》) 明确规定了网络基础设施的保护、网络运营者的责任等方面,为高校网络安全奠定了法律基础。信息化发展战略的实施也将高校纳入国家信息化建设的重点领域,强调了信息技术在教育中的重要作用。通过多项政策文件,明确支持高校网络安全建设,包括提供专项资金用于网络安全设备更新、技术培训等。这些都为高校信息化的发展提供了必要的资源,以应对不断演变的网络威胁[1]。
当前,高校网络面临着日益增多的复杂威胁,包括频繁的网络攻击和信息系统漏洞等问题。为了应对这些挑战,高校可以通过建立健全的网络安全管理体系、加大人才培养力度、引入第三方安全服务等措施,提升网络安全防护水平。
2 高校网络安全工作普遍存在的问题与挑战
1) 机制不健全,制度“落地难”。大部分学校成立了网络安全和信息化领导小组,但一些单位没有明确网络安全统筹负责部门(即网信领导小组办公室) ,网络安全责任不明晰。
2) 系统建设方重建设、轻安全。按照《网络安全法》的要求,网络安全与信息化建设应遵循“同步规划、同步建设、同步使用”的原则。但部分单位信息化投入不达标,信息化项目缺乏配套网络安全设施和要求,验收环节很少包含网络安全内容。
3) 安全防护体系不健全。高校普遍部署了IDS、WAF等必要安全设施,但有的存在东西向防护能力不足的问题。一旦某点失守,内网将通行无阻[2]。
4) 安全漏洞处置不及时。常见漏洞处置不及时,如弱口令漏洞、struts2漏洞、永恒之蓝漏洞等一直存在而未及时整改。源代码泄露频发,将源代码或账号密码上传到互联网平台,造成严重安全威胁。未对安全事件进行溯源分析,根因未除,事件处置不彻底,病毒反复发作,总是被动响应。
5) 数据安全事件频发。针对高校师生的电信诈骗案件频发,造成大量个人敏感信息泄露,重要信息系统被攻破导致重要数据泄露。
6) 师生安全意识不足。上传发布包含敏感个人信息的文件,不能识别钓鱼等社交工程手段;网络安全责任感低,甚至出现账号主动外借的情况。
7) 应急预案不合理、缺乏实战演练。部分单位预案不完整、不合理,场景不全,或者出事后只会层层汇报,缺乏紧急处置手段。个别单位有预案但没有演练记录,出了问题手忙脚乱[3]。
8) 缺乏专职安全人员。针对隐患进行事前预防加固的能力不足,被动响应安全事件,陷入繁杂的告警处置工作中。
3 网络安全体系构建
3.1 建设组织与管理体系
落实网络安全责任制,学校成立了网络安全与信息化工作领导小组,该小组全面负责学校的网络安全与信息化工作。学校构建了由“学校党委、网络安全与信息化领导小组、二级单位、个人”组成的四级网络安全管理组织体系,建立了统筹协调有力、部门协同高效、上下联动顺畅的工作机制,明确了各级管理人员和部门在网络安全工作中的职责和权限,确保责任到人、责任到位。学校网络安全与信息化工作领导小组办公室(网信办) 负责统筹协调全校网络安全工作,并建立了定期汇报制度,监督和评估网络安全工作的执行情况。
3.2 建设网络安全工作体系
按照四级管理组织结构进行网络安全责任考核,遵循“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则落实网络安全责任。学校与二级单位签订《网络安全责任书》,将网络安全纳入二级单位年度考核范围。
完善网络安全规章制度,为网络安全管理工作提供法律依据。学校出台了《山东理工大学网络安全管理规定》,对管理机构与职责、网络系统安全、信息系统安全、数据安全、应急处置、奖惩等方面进行了详细说明,形成了系列管理规范,并在实践中不断修订完善。这些文件以党办发、政发、校办发、网信办函等正式文件形式发布,体现了其严肃性和权威性[4]。
依据相关标准和规范,学校建立了网络安全管理的标准和流程,明确了网络安全的各项要求和操作步骤,实现了虚拟机申请、网站申请、信息系统备案、网络安全风险预警通报、个人安全风险处置、安全检查工作等工作的流程化,确保了网络安全工作的规范化和标准化。学校还制定了网络安全管理手册或操作指南,详细描述了各项网络安全管理工作的操作流程和具体方法,为管理人员和从业人员提供了实用的操作指引。
对标等级保护2.0标准,学校落实了网络安全等级保护工作,设立了等保专项经费,制定了等级保护工作制度,确保了等级保护等网络安全工作的持续开展。学校根据信息系统的重要性和敏感程度,建立了信息系统等级保护机制,按照规定开展了网络定级、备案、测评、整改、自查工作。对较高等级的信息系统实施了严格的安全管理和监控,确保其安全可靠地运行,并保护了重要信息资产的安全。
3.3 建设技术保障体系
学校加强了网络安全基础设施建设,建立了多层级的纵深防御体系,包括边界防御、内部防御和终端防御,提高了网络安全的整体防护能力。学校配置了网络设备,实现了网络流量监测和分析,能够及时发现异常行为和攻击流量,并采取了相应的防御措施。学校还引入了人工智能和机器学习技术,对网络流量进行智能分析和行为识别,提高了攻击检测的准确性和效率。学校初步建立了以网络安全态势感知平台为核心,安全扫描器、防火墙、云防护平台、WAF、VPN、网络行为管理、数据库审计等联动的网络安全基础设施保障机制,确保了网络安全“看得见、防得住”。
学校建立了以“信息资产+风险管控”为核心的信息资产安全保障体系。制定了详细的信息资产清单和分类标准,根据不同级别的敏感性和重要性,采取了相应的安全保护措施。学校建立了访问控制机制,限制了用户对敏感信息的访问权限。同时,学校加强了数据保护,对敏感数据进行了加密保护,防止了数据泄露和非法访问。信息系统等资产上线前必须通过网络安全检查流程,去除风险后按需开放。
学校建立了以“预防为主、及时发现、迅速处置”为核心的安全风险管理工作体系。进行了全面的安全风险评估,包括对网络设备、应用系统和人员行为等方面的风险进行了识别和评估。学校建立了安全事件响应机制,包括安全事件的报告、分析、处置和总结,及时应对了各类安全威胁和事件。学校形成了以网络安全态势感知平台为核心的网络安全风险监测预警机制,构建了态势感知平台与安全基础设施联动机制,实现了安全风险的自动处置。通过网络安全排查/检查、攻防演练、安全评估等方式,学校了解并把握了存在的突出问题、薄弱环节和潜在风险,开展了不同类别的专项安全整治工作,将安全风险处理前置。
学校建立了覆盖各部门的数据安全工作体系,制定了数据安全相关制度及规范,明确了数据安全负责人和管理机构,建立了常态化沟通与协作机制。学校开展了数据分级保护工作,定期对重要数据进行备份,并建立了完善的灾难恢复计划,确保了数据在灾难事件发生时能够迅速恢复。同时,学校还建立了数据安全风险监测机制,形成了监测、预警、处置、溯源等能力,并与相关部门加强了信息共享。
学校加强了终端安全管理工作,配置了终端设备的安全策略,禁用了不必要的服务和端口、限制了外部设备的接入、加强了系统账户和密码的管理等。学校安装了终端安全软件,包括防病毒软件、防火墙、反间谍软件等,并及时进行了更新和维护,保障了终端设备的安全性。同时,学校还实施了终端安全管理和监控工作,对终端设备进行了实时监测和远程管理,及时发现了并应对了安全威胁和事件。
3.4 建设应急响应体系
按照“分级管理、强化责任、预防为主、快速响应”的原则,学校建立了网络安全应急工作体系。印发了《山东理工大学网络与信息安全应急预案》,明确了二级单位的网络安全责任,切实做好了学校网络安全应急响应工作,加强了学校网络安全保障,提高了网络安全应急处置能力。
针对各个关键业务系统及网络基础设施,学校形成了专属应急预案及应急演练方案,并不定期组织网络安全应急响应演练,模拟各类安全事件的发生和应对过程,评估预案的有效性及应急团队的应变能力。演练结束后,对演练过程进行全面的评估和总结,发现问题和不足之处,并及时进行改进和完善。
学校还组织了网络安全攻防演练,模拟恶意攻击和渗透测试,及时发现学校网络安全存在的深层次问题和隐患,增强了应对重大网络攻击等威胁风险的能力,并持续改进。通过演练,师生们进一步熟悉了应急响应的整个流程,检验了学校网络安全应急机制,提高了重要安保节点网络信息安全事件的应急处置能力,同时也积累了应对突发网络安全事件的实战经验。在重要时期(如招生录取、校园活动等) ,学校加强了网络安全的监控和保障,提高了安全防护水平,防范了网络攻击和安全事件的发生。
3.5 建设人员能力提升体系
学校定期开展针对教职工和学生的网络安全意识教育培训,向他们普及网络安全的基本知识、常见威胁和防范措施。通过网络安全讲座、培训课程、在线学习资源等多种形式的教育培训活动,提高了广大师生对网络安全的认识和重视程度。同时,学校还定期通过企业微信、官方网站等渠道推广网络安全知识。每年开展网络安全宣传周系列活动,将新生入学网络安全知识竞赛纳入必学教育,定期举行信息安全知识讲座,开展钓鱼邮件演练,增强了师生的防范意识。学校鼓励师生积极参与网络安全活动和演练,提高了他们应对安全威胁的能力和自我保护意识。针对校园信息化建设和运维人员,学校开展了网络安全技术培训和能力提升计划,提升了他们的网络安全防护和应急响应能力。同时,推动从业人员参加网络安全认证考试,如注册信息安全专业人员(CISP) 、网络与信息安全工程师(CISE) 等,提升了他们的专业技能和资质水平。此外,学校还建立了学生网络安全队伍,定期开展网络安全知识和技能培训,促进了学生队伍的建设和成长。
4 网络安全建设实践
网络安全在当前高校信息化发展中扮演着不可替代的重要角色,是保障信息资产安全、维护教学与科研秩序、保障师生权益、维护高校声誉与形象以及符合法律法规和政策要求的必要手段。
以山东理工大学为例,校园网平台运行着数字校园、一站式服务大厅、财务、科研、教务等大量关键业务系统,且不断有新的应用系统上线运行,在支撑教学、科研、人事、学工和后勤等各方面发挥了不可替代的作用。经过“十三五”期间的持续建设,以《网络安全法》为基石,参照等保2.0标准,依据教育主管部门的相关政策和规定,结合山东理工大学的具体情况,学校构建了完善的网络安全体系。通过网络安全体系化建设,山东理工大学进一步强化了网络安全工作,完善了网络安全管理体制和运行机制,压实了各级单位、部门的网络安全工作责任,提升了师生的网络安全意识和技能,切实提高了学校的网络安全能力。
5 结束语
“安全是发展的前提,发展是安全的保障”。安全与发展是信息化建设事业中相辅相成的两个主题。网络安全工作应该在信息化推进过程中全生命周期统筹考虑。网络安全工作涉及方方面面,体系化的网络安全机制是网络安全工作的必经之路。高校应结合实际,发展出一套适合自身的网络安全体系。新形势下,高校应加强对网络安全的重视和投入,加快建成安全可信的网络安全体系,以确保信息化发展的顺利进行和高校各项活动的安全稳定。
参考文献:
[1] 陆晔,俞伟.江南大学网络安全管理体系建设[J].中国教育网络,2022(9):50-51.
[2] 程五生.基于等保2.0标准的高校网络信息安全管理体系研究与实践[J].长春师范大学学报,2022,41(8):60-64.
[3] 陈瑛,王晓震,于春生,等.高校网络安全管理和技术支撑体系构建研究[J].北京联合大学学报,2021,35(2):53-57.
[4] 周立志,朱尚明.高校网络信息安全体系建设实践和思考[J].深圳大学学报(理工版),2020,37(S1):73-77.
【通联编辑:代影】