|
編者按 2015年7月1日�����,新國(guó)家安全法施行�����,規(guī)定每年4月15日為全民國(guó)家安全教育日��。聚焦網(wǎng)絡(luò)安全現(xiàn)狀及高校網(wǎng)絡(luò)安全建設(shè)�,《中國(guó)教育網(wǎng)絡(luò)》特邀多位專家學(xué)者撰文��,針對(duì)網(wǎng)絡(luò)安全領(lǐng)域的現(xiàn)狀與挑戰(zhàn)�����、網(wǎng)絡(luò)安全領(lǐng)域?qū)W科建設(shè)和人才培養(yǎng)等話題進(jìn)行了分析與探討����。
高校網(wǎng)絡(luò)安全工作總體現(xiàn)狀 近年來,在國(guó)家制定��、發(fā)布、貫徹和執(zhí)行《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》的大背景下����,隨著網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等國(guó)家網(wǎng)絡(luò)安全總體部署不斷推進(jìn)�����,特別是在2017年6月1日正式實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)的有力保障和促進(jìn)下��,教育主管部門對(duì)高校網(wǎng)絡(luò)安全工作進(jìn)行了持續(xù)有效的指導(dǎo)�����、推進(jìn)和監(jiān)督�,高校網(wǎng)絡(luò)安全工作取得較顯著的進(jìn)展,安全意識(shí)顯著提高�����,形勢(shì)明顯好轉(zhuǎn)��,機(jī)制基本建立�����,防控能力也不斷加強(qiáng)����,較高質(zhì)量完成各重點(diǎn)時(shí)期網(wǎng)絡(luò)安全保障工作,也積累了不少有益的經(jīng)驗(yàn)和成果��。 總體來看�,高校目前的網(wǎng)絡(luò)安全狀況如下: 1.2017年3月至8月教育部在全行業(yè)開展以“治亂、堵漏��、補(bǔ)短����、規(guī)范”為目標(biāo)的網(wǎng)絡(luò)安全綜合治理行動(dòng),該綜合治理行動(dòng)方案從單位網(wǎng)站管理�����、安全漏洞處置��、加強(qiáng)等級(jí)保護(hù)�����、安全體制建設(shè)等多方面重點(diǎn)推動(dòng)高校網(wǎng)絡(luò)安全工作����,取得明顯的工作成效��,建立起常態(tài)的漏洞發(fā)現(xiàn)�����、通報(bào)��、處置整改等制度和流程����,使得高校網(wǎng)絡(luò)安全工作可以有序開展��。 2.高校比較普遍地建立了校級(jí)網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組��,負(fù)責(zé)學(xué)校網(wǎng)絡(luò)安全工作的組織協(xié)調(diào)�,確定了學(xué)校網(wǎng)絡(luò)安全工作管理歸口部門和技術(shù)支撐部門,逐步確立了學(xué)校網(wǎng)絡(luò)安全管理體制和流程����。 3.部分高校已經(jīng)組建校級(jí)網(wǎng)絡(luò)安全技術(shù)支撐團(tuán)隊(duì)和事件應(yīng)急響應(yīng)團(tuán)隊(duì)�,設(shè)置了專職的網(wǎng)絡(luò)安全管理崗位和技術(shù)崗位,在經(jīng)費(fèi)和人員方面對(duì)網(wǎng)絡(luò)安全工作提供了較高程度保障��;也積極與學(xué)校信息化建設(shè)相配合,在信息系統(tǒng)生命周期各個(gè)階段實(shí)施網(wǎng)絡(luò)安全管控要求��。 4.在高教學(xué)會(huì)信息化分會(huì)網(wǎng)絡(luò)信息安全工作組��、中國(guó)教育和科研計(jì)算機(jī)網(wǎng)等組織的協(xié)助下����,高校網(wǎng)絡(luò)安全工作相關(guān)人員得以組織在一起,開展網(wǎng)絡(luò)安全管理制度����、技術(shù)知識(shí)等的分享、學(xué)習(xí)和提高����,對(duì)于提升高校網(wǎng)絡(luò)安全整體技術(shù)水平有很大幫助。 5.部分有條件的高校與校內(nèi)安全學(xué)科團(tuán)隊(duì)��、學(xué)生安全團(tuán)隊(duì)合作�,一方面通過各類網(wǎng)絡(luò)安全競(jìng)賽提升師生網(wǎng)絡(luò)安全技術(shù)實(shí)踐能力、提高網(wǎng)絡(luò)安全專業(yè)人才培養(yǎng)水平����,另一方面也通過學(xué)生團(tuán)隊(duì)參與學(xué)校網(wǎng)絡(luò)安全管理彌補(bǔ)專職技術(shù)人員缺口。 依舊面臨嚴(yán)峻形勢(shì)和諸多挑戰(zhàn) 雖然高校網(wǎng)絡(luò)安全綜合水平有較顯著的提升����,但是由于網(wǎng)絡(luò)信息技術(shù)的迅猛發(fā)展��,新情況�、新問題不斷涌現(xiàn)�,而我國(guó)信息技術(shù)和產(chǎn)品的自主水平和網(wǎng)絡(luò)安全領(lǐng)域的綜合防護(hù)能力較低的現(xiàn)狀還沒有根本改變,因此高校網(wǎng)絡(luò)安全工作依舊面臨嚴(yán)峻形勢(shì)和諸多挑戰(zhàn)����。 1.教育行業(yè)內(nèi)的網(wǎng)頁(yè)篡改情況仍時(shí)有發(fā)生,感染勒索病毒�����、竊取師生數(shù)據(jù)�����、入侵主機(jī)挖礦�����、網(wǎng)站被掛廣告暗鏈等網(wǎng)絡(luò)黑產(chǎn)相關(guān)的安全事件頻發(fā)����,整體網(wǎng)絡(luò)安全態(tài)勢(shì)依舊緊張。 2.高校信息資產(chǎn)情況復(fù)雜��,信息資產(chǎn)全生命周期管理還很不完善��,機(jī)構(gòu)多�����、系統(tǒng)多�����、數(shù)據(jù)多�,相當(dāng)數(shù)量的高校仍存在安全責(zé)任不落實(shí)、管理不規(guī)范�、安全隱患修復(fù)不及時(shí)等情況,網(wǎng)絡(luò)安全事件在線監(jiān)測(cè)預(yù)警和應(yīng)急響應(yīng)能力也亟待提高��。 3.高校信息化建設(shè)普遍向智慧校園建設(shè)過渡�,IPv6、無線網(wǎng)��、云計(jì)算�����、物聯(lián)網(wǎng)、大數(shù)據(jù)����、移動(dòng)互聯(lián)、社交網(wǎng)絡(luò)����、人工智能等新技術(shù)引入到高校信息化建設(shè)場(chǎng)景中后對(duì)網(wǎng)絡(luò)安全工作提出新要求、新挑戰(zhàn)��。 4.網(wǎng)絡(luò)安全行業(yè)人員數(shù)量缺口嚴(yán)重�,高素質(zhì)網(wǎng)安人才需求旺盛,造成高校招聘網(wǎng)安技術(shù)人員困難��,自主人才培養(yǎng)有待推動(dòng)����,這些都對(duì)高校網(wǎng)絡(luò)安全工作開展有制約影響。 5.高校各項(xiàng)事業(yè)開展離不開信息化建設(shè)�,而網(wǎng)絡(luò)安全與信息化建設(shè)關(guān)聯(lián)緊密;如何處理網(wǎng)絡(luò)安全與信息化建設(shè)之間的關(guān)系�,是高校網(wǎng)絡(luò)安全工作中不能回避的問題。 6.《網(wǎng)絡(luò)安全法》關(guān)注的關(guān)鍵信息基礎(chǔ)設(shè)施和個(gè)人數(shù)據(jù)保護(hù)�,在高校范圍內(nèi)都還缺少有效的識(shí)別標(biāo)準(zhǔn)和保護(hù)制度����,從法律合規(guī)角度著眼也是亟待有實(shí)質(zhì)性推進(jìn)的����。 7.國(guó)家推動(dòng)實(shí)施國(guó)家大數(shù)據(jù)戰(zhàn)略�,加快完善數(shù)字基礎(chǔ)設(shè)施,推進(jìn)數(shù)據(jù)資源整合和開放共享����,保障數(shù)據(jù)安全成為重要工作;2017年12月教育部下發(fā)《教育部關(guān)于推進(jìn)直屬高等學(xué)校內(nèi)部審計(jì)信息化建設(shè)的意見》�����,內(nèi)部審計(jì)信息化建設(shè)對(duì)高校數(shù)據(jù)管理提出新要求��;2018年3月國(guó)務(wù)院辦公廳關(guān)于印發(fā)《科學(xué)數(shù)據(jù)管理辦法》����,高校科研項(xiàng)目相關(guān)數(shù)據(jù)的管理也擺上了日程����。 高校信息化建設(shè)����、數(shù)據(jù)管理與網(wǎng)絡(luò)安全工作之間的關(guān)系越發(fā)密切����,從學(xué)校層面統(tǒng)籌推進(jìn)信息技術(shù)相關(guān)的管理體制和技術(shù)支撐就變得越發(fā)急迫。 邁向“數(shù)據(jù)安全管控”和“治理體系建設(shè)”深水區(qū) 高校各項(xiàng)事業(yè)開展已經(jīng)離不開信息化建設(shè)提供的IT支撐環(huán)境����,而信息化建設(shè)涉及師生個(gè)人、學(xué)校各項(xiàng)業(yè)務(wù)相關(guān)的數(shù)據(jù)采集����、存儲(chǔ)、處理����、交換、分享��,因此數(shù)據(jù)安全管控將會(huì)成為高校網(wǎng)絡(luò)安全工作的一個(gè)重要組成部分����。由于高校數(shù)據(jù)管理水平很大程度上和學(xué)校信息化建設(shè)水平正相關(guān),數(shù)據(jù)安全管控也就離不開信息化統(tǒng)籌推進(jìn)和實(shí)施的支撐����,也離不開學(xué)校層面的數(shù)據(jù)統(tǒng)一集中存儲(chǔ)和交換��,工作難度可想而知��。同時(shí)�,高校網(wǎng)絡(luò)安全工作從最初的網(wǎng)站整合�、漏洞處置和應(yīng)急響應(yīng),逐步向?qū)W校整體的安全治理體系階段邁進(jìn)�����,只有對(duì)學(xué)校網(wǎng)絡(luò)和信息基礎(chǔ)設(shè)施實(shí)現(xiàn)依法依規(guī)有序治理�,處理好信息系統(tǒng)相關(guān)的各部門之間的責(zé)任權(quán)利����,才是符合事物健康發(fā)展的辯證規(guī)律和邏輯。因此��,高校網(wǎng)絡(luò)安全工作下階段應(yīng)該以“數(shù)據(jù)安全管控”和“治理體系建設(shè)”為主要方向�����,迎難而上����,解決核心問題����,全面提升網(wǎng)絡(luò)安全綜合能力�����。 數(shù)據(jù)安全管控 1.數(shù)據(jù)安全管理相關(guān)的教育行業(yè)管理機(jī)制�����、流程和要求亟待出臺(tái)�����,以明確高校數(shù)據(jù)管理的主要內(nèi)容�����、師生隱私數(shù)據(jù)定義�、數(shù)據(jù)分析授權(quán)機(jī)制等重要管控節(jié)點(diǎn)。 2.數(shù)據(jù)安全工作應(yīng)與信息化建設(shè)同步推進(jìn)�����,高校應(yīng)加強(qiáng)信息化建設(shè)統(tǒng)籌力度,在信息系統(tǒng)生命周期的各個(gè)階段保障數(shù)據(jù)質(zhì)量�����、安全可控和有序共享��。 3.高校應(yīng)建立集中的校級(jí)數(shù)據(jù)管理平臺(tái)��,采取必要的體系化的網(wǎng)絡(luò)安全軟硬件保障措施��,提供必要的數(shù)據(jù)備份和容災(zāi)保護(hù)�����,制定統(tǒng)一的數(shù)據(jù)交換和共享管理制度和解決方案��,并考慮數(shù)據(jù)審計(jì)相關(guān)的技術(shù)部署��,在保障數(shù)據(jù)安全可控的情況下促進(jìn)數(shù)據(jù)共享和有序利用�。 4.高校應(yīng)針對(duì)科研數(shù)據(jù)建立滿足國(guó)家各項(xiàng)法律法規(guī)管理要求的制度流程和支撐環(huán)境����,信息化和網(wǎng)絡(luò)安全的技術(shù)支撐部門應(yīng)積極主動(dòng)與科研管理部門一道為學(xué)校科研人員做好服務(wù)支撐��。 5.高校應(yīng)建立專業(yè)的數(shù)據(jù)管理和技術(shù)團(tuán)隊(duì),網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)針對(duì)數(shù)據(jù)安全進(jìn)行技術(shù)儲(chǔ)備����,提供全方位的數(shù)據(jù)安全保障措施建議。 治理體系建設(shè) 1.高校網(wǎng)絡(luò)安全應(yīng)該納入學(xué)校整體安全大平臺(tái)管理范疇����,日常管理制度、措施執(zhí)行����、績(jī)效評(píng)價(jià)等都可以參照學(xué)校安全保障體系,切實(shí)將網(wǎng)絡(luò)安全工作作為學(xué)校安全穩(wěn)定工作的重要組成部分�����。 2.高校有必要建立起完善的能適應(yīng)網(wǎng)絡(luò)安全形勢(shì)變化的網(wǎng)絡(luò)安全保障體系��,明確網(wǎng)絡(luò)安全保障體系的建設(shè)目標(biāo)和建設(shè)原則����、總體框架、組織保障體系����、管理保障體系��、技術(shù)保障體系等內(nèi)容�����,對(duì)各類信息資產(chǎn)進(jìn)行全生命周期管理����,保障高校網(wǎng)絡(luò)運(yùn)行安全和網(wǎng)絡(luò)信息安全��,確保高校信息化基礎(chǔ)軟硬件環(huán)境和應(yīng)用信息系統(tǒng)安全�、穩(wěn)定、有序運(yùn)行����。 3.高校作為事業(yè)法人單位,在網(wǎng)絡(luò)安全工作中是以一個(gè)整體來應(yīng)對(duì)的����,因此學(xué)校層面在工作部署和績(jī)效考核中要明確網(wǎng)絡(luò)安全工作中的信息系統(tǒng)主管部門����、信息化建設(shè)管理部門、信息系統(tǒng)使用部門和技術(shù)部門之間的責(zé)任整體擔(dān)當(dāng)理念,特別是在如何加強(qiáng)應(yīng)用安全建設(shè)����、如何處置信息系統(tǒng)漏洞、如何處置網(wǎng)絡(luò)安全事件上��,要盡可能避免信息溝通不暢��、責(zé)任互相推諉等影響學(xué)校整體安全能力的情況發(fā)生�����,主管部門����、管理部門、使用部門和技術(shù)部門都應(yīng)該主動(dòng)擔(dān)當(dāng)����,從自身專業(yè)能力角度為學(xué)校整體安全水平提升盡職盡力。 高校網(wǎng)絡(luò)安全工作�,需要持之以恒;黨的十九大報(bào)告明確提出要“打造共建共治共享的社會(huì)治理格局”����,在技術(shù)自主可控、安全治理體系等還有待進(jìn)一步提高的背景下,高校網(wǎng)絡(luò)安全工作很有必要建立可持續(xù)的長(zhǎng)效機(jī)制來有效應(yīng)對(duì)����。高校網(wǎng)絡(luò)安全工作一直在路上,在國(guó)家網(wǎng)絡(luò)空間治理的方針指引下�����,在教育主管部門的悉心指導(dǎo)和監(jiān)督下����,高校網(wǎng)絡(luò)安全工作一定會(huì)擺脫被動(dòng)局面,取得更顯著的成效��。(責(zé)編:王左利) (作者單位為東北大學(xué)) 本文刊載于《中國(guó)教育網(wǎng)絡(luò)》2018年5月刊
|
