迈向深水区：高校网络安全治理的现状、实践和挑战

高校网络安全工作总体现状

近年来，在国家制定、发布、贯彻和执行《国家网络空间安全战略》的大背景下，随着网络安全等级保护、关键信息基础设施保护等国家网络安全总体部署不断推进，特别是在2017年6月1日正式实施的《中华人民共和国网络安全法》（以下简称《网络安全法》）的有力保障和促进下，教育主管部门对高校网络安全工作进行了持续有效的指导、推进和监督，高校网络安全工作取得较显著的进展，安全意识显著提高，形势明显好转，机制基本建立，防控能力也不断加强，较高质量完成各重点时期网络安全保障工作，也积累了不少有益的经验和成果。

总体来看，高校目前的网络安全状况如下：

1.2017年3月至8月教育部在全行业开展以“治乱、堵漏、补短、规范”为目标的网络安全综合治理行动，该综合治理行动方案从单位网站管理、安全漏洞处置、加强等级保护、安全体制建设等多方面重点推动高校网络安全工作，取得明显的工作成效，建立起常态的漏洞发现、通报、处置整改等制度和流程，使得高校网络安全工作可以有序开展。

2.高校比较普遍地建立了校级网络安全工作领导小组，负责学校网络安全工作的组织协调，确定了学校网络安全工作管理归口部门和技术支撑部门，逐步确立了学校网络安全管理体制和流程。

3.部分高校已经组建校级网络安全技术支撑团队和事件应急响应团队，设置了专职的网络安全管理岗位和技术岗位，在经费和人员方面对网络安全工作提供了较高程度保障；也积极与学校信息化建设相配合，在信息系统生命周期各个阶段实施网络安全管控要求。

4.在高教学会信息化分会网络信息安全工作组、中国教育和科研计算机网等组织的协助下，高校网络安全工作相关人员得以组织在一起，开展网络安全管理制度、技术知识等的分享、学习和提高，对于提升高校网络安全整体技术水平有很大帮助。

5.部分有条件的高校与校内安全学科团队、学生安全团队合作，一方面通过各类网络安全竞赛提升师生网络安全技术实践能力、提高网络安全专业人才培养水平，另一方面也通过学生团队参与学校网络安全管理弥补专职技术人员缺口。

依旧面临严峻形势和诸多挑战

虽然高校网络安全综合水平有较显著的提升，但是由于网络信息技术的迅猛发展，新情况、新问题不断涌现，而我国信息技术和产品的自主水平和网络安全领域的综合防护能力较低的现状还没有根本改变，因此高校网络安全工作依旧面临严峻形势和诸多挑战。

1.教育行业内的网页篡改情况仍时有发生，感染勒索病毒、窃取师生数据、入侵主机挖矿、网站被挂广告暗链等网络黑产相关的安全事件频发，整体网络安全态势依旧紧张。

2.高校信息资产情况复杂，信息资产全生命周期管理还很不完善，机构多、系统多、数据多，相当数量的高校仍存在安全责任不落实、管理不规范、安全隐患修复不及时等情况，网络安全事件在线监测预警和应急响应能力也亟待提高。

3.高校信息化建设普遍向智慧校园建设过渡，IPv6、无线网、云计算、物联网、大数据、移动互联、社交网络、人工智能等新技术引入到高校信息化建设场景中后对网络安全工作提出新要求、新挑战。

4.网络安全行业人员数量缺口严重，高素质网安人才需求旺盛，造成高校招聘网安技术人员困难，自主人才培养有待推动，这些都对高校网络安全工作开展有制约影响。

5.高校各项事业开展离不开信息化建设，而网络安全与信息化建设关联紧密；如何处理网络安全与信息化建设之间的关系，是高校网络安全工作中不能回避的问题。

6.《网络安全法》关注的关键信息基础设施和个人数据保护，在高校范围内都还缺少有效的识别标准和保护制度，从法律合规角度着眼也是亟待有实质性推进的。

7.国家推动实施国家大数据战略，加快完善数字基础设施，推进数据资源整合和开放共享，保障数据安全成为重要工作；2017年12月教育部下发《教育部关于推进直属高等学校内部审计信息化建设的意见》，内部审计信息化建设对高校数据管理提出新要求；2018年3月国务院办公厅关于印发《科学数据管理办法》，高校科研项目相关数据的管理也摆上了日程。

高校信息化建设、数据管理与网络安全工作之间的关系越发密切，从学校层面统筹推进信息技术相关的管理体制和技术支撑就变得越发急迫。

迈向“数据安全管控”和“治理体系建设”深水区

高校各项事业开展已经离不开信息化建设提供的IT支撑环境，而信息化建设涉及师生个人、学校各项业务相关的数据采集、存储、处理、交换、分享，因此数据安全管控将会成为高校网络安全工作的一个重要组成部分。由于高校数据管理水平很大程度上和学校信息化建设水平正相关，数据安全管控也就离不开信息化统筹推进和实施的支撑，也离不开学校层面的数据统一集中存储和交换，工作难度可想而知。同时，高校网络安全工作从最初的网站整合、漏洞处置和应急响应，逐步向学校整体的安全治理体系阶段迈进，只有对学校网络和信息基础设施实现依法依规有序治理，处理好信息系统相关的各部门之间的责任权利，才是符合事物健康发展的辩证规律和逻辑。因此，高校网络安全工作下阶段应该以“数据安全管控”和“治理体系建设”为主要方向，迎难而上，解决核心问题，全面提升网络安全综合能力。

数据安全管控

1.数据安全管理相关的教育行业管理机制、流程和要求亟待出台，以明确高校数据管理的主要内容、师生隐私数据定义、数据分析授权机制等重要管控节点。

2.数据安全工作应与信息化建设同步推进，高校应加强信息化建设统筹力度，在信息系统生命周期的各个阶段保障数据质量、安全可控和有序共享。

3.高校应建立集中的校级数据管理平台，采取必要的体系化的网络安全软硬件保障措施，提供必要的数据备份和容灾保护，制定统一的数据交换和共享管理制度和解决方案，并考虑数据审计相关的技术部署，在保障数据安全可控的情况下促进数据共享和有序利用。

4.高校应针对科研数据建立满足国家各项法律法规管理要求的制度流程和支撑环境，信息化和网络安全的技术支撑部门应积极主动与科研管理部门一道为学校科研人员做好服务支撑。

5.高校应建立专业的数据管理和技术团队，网络安全团队应针对数据安全进行技术储备，提供全方位的数据安全保障措施建议。

治理体系建设

1.高校网络安全应该纳入学校整体安全大平台管理范畴，日常管理制度、措施执行、绩效评价等都可以参照学校安全保障体系，切实将网络安全工作作为学校安全稳定工作的重要组成部分。

2.高校有必要建立起完善的能适应网络安全形势变化的网络安全保障体系，明确网络安全保障体系的建设目标和建设原则、总体框架、组织保障体系、管理保障体系、技术保障体系等内容，对各类信息资产进行全生命周期管理，保障高校网络运行安全和网络信息安全，确保高校信息化基础软硬件环境和应用信息系统安全、稳定、有序运行。

3.高校作为事业法人单位，在网络安全工作中是以一个整体来应对的，因此学校层面在工作部署和绩效考核中要明确网络安全工作中的信息系统主管部门、信息化建设管理部门、信息系统使用部门和技术部门之间的责任整体担当理念，特别是在如何加强应用安全建设、如何处置信息系统漏洞、如何处置网络安全事件上，要尽可能避免信息沟通不畅、责任互相推诿等影响学校整体安全能力的情况发生，主管部门、管理部门、使用部门和技术部门都应该主动担当，从自身专业能力角度为学校整体安全水平提升尽职尽力。

高校网络安全工作，需要持之以恒；党的十九大报告明确提出要“打造共建共治共享的社会治理格局”，在技术自主可控、安全治理体系等还有待进一步提高的背景下，高校网络安全工作很有必要建立可持续的长效机制来有效应对。高校网络安全工作一直在路上，在国家网络空间治理的方针指引下，在教育主管部门的悉心指导和监督下，高校网络安全工作一定会摆脱被动局面，取得更显著的成效。

（王宇 易秀双 王兴伟，作者单位为东北大学）

本文刊载于《中国教育网络》2018年5月刊

声明：本文来自中国教育网络，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。