随着互联网技术的快速发展,高校信息化建设在为高校师生的工作、生活及学习带来极大便利的同时,也使得校园网络安全问题日益突出,高校网络安全保障建设迫在眉睫。

2017年6月1日开始施行的《网络安全法》明确了网络安全与信息化发展并重的原则,并从法律层面对网络安全等级保护工作做出了明确要求,为高校开展相关工作提供了根本遵循、指明了方向。

等级保护测评工作的必要性与存在的问题

近年来,高校信息化系统数量及规模迅猛增长,学校的教务、教学、管理、科研等工作越来越依赖于各自系统、平台的稳定运行,对信息化系统的网络安全保障工作提出了更高要求。高校亟需对学校信息化系统的网络安全防护能力进行分析和确认,有效提升其防护水平。

通过网络安全等级保护测评工作可以掌握学校信息化系统的整体安全状况,了解具体系统存在的安全隐患和薄弱的环节,进一步明确信息化系统安全建设整改的需求。

同时,通过测评可以衡量信息化系统的安全保护管理及技术能力是否可以达到等级保护的基本要求,并通过安全规划及安全整改有效提高其网络安全防护能力。

总体而言,当前高校整体的网络基础设施、安全服务措施普遍比较到位,校级安全及信息化建设管理制度相对健全。但在系统的运维管理上仍存在较多问题,如应用、服务器的安全以及系统的管理制度缺失等,部分系统负责单位没有能力在限定时间内真正有效地完成系统的测评整改。究其根本,还是网络安全责任意识不强、网络安全技术能力不足、运维管理缺失等原因造成。

此外,尽管高校的网络安全工作实行“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,但实际上高校信息化系统多为各二级单位使用、管理。责任单位更偏向于业务管理,很难独立完成信息化系统的网络安全等级保护测评及整改任务。

大连理工大学等级保护测评工作的管理实践

针对上述问题,大连理工大学针对学校网络安全工作进行了深度思考和规划,高度重视网络安全等级保护测评工作,全面推进校内信息化系统网络安全等级保护测评工作。

1.进一步落实责任制

学校在多年的网络安全工作中不断探索和实践,进一步落实网络安全主体责任制,从管理制度上明确二级单位的网络安全主体责任,并与其签署网络安全责任书。

学校网络与信息化部门负责网络安全日常规划、组织协调、管理监督工作,各二级单位负责信息化系统的安全建设和运维工作。

以往高校二级单位在信息化系统建设和运维过程中,更多的是参与到信息化建设、业务管理及运维等工作中。对于网络安全工作知之甚少,通过负责网络安全等级保护测评工作,让责任单位真正地参与到信息化系统的网络安全工作中,切身体会到了网络安全工作的重要性,对后期学校网络安全相关工作的开展起到了积极的作用。

2.开展宣传培训

学校全面开展网络安全宣传培训(图1),采取多种方式不断提高学校师生的网络安全意识;针对网络安全等级保护工作对校内的信息化人员开展专项培训,在其获取相关的网络安全知识的同时,加强自身对威胁相关知识的掌握并提升其发现可能存在的威胁、判断危害性并及时预防或化解威胁的能力;不断完善学校信息化人员的网络安全知识结构,提高其网络安全技术水平及运维能力。

图1 学校网络安全宣传培训

3.定期自查

定期开展学校信息化系统自查工作。针对将要开展测评工作的信息化系统,在第三方网络安全等级保护测评工作开展之前,进行等级保护安全自查工作,对系统的业务安全、服务安全以及网络安全管理制度的落实情况开展自查,完善信息化系统的运维管理人员以及运维管理制度;从而能更有效地开展网络安全等级保护测评及整改工作。

4.集中测评、划分责任

学校针对校内信息化系统每年组织开展网络安全等级保护集中测评工作,针对学校已完成等级保护定级备案的二级及三级系统,由学校统一规划网络安全等级保护测评工作,网络与信息化部门负责组织、协调,协助学校二级单位将校内信息化系统的网络安全等保测评工作真正地实施开展起来。

将负责信息化系统的二级单位、网络与信息化部门以及第三方的测评公司的责任明确。

二级单位信息化项目组作为主管、运维、使用单位是网络安全的责任主体,负责网络安全等级保护测评的具体工作,包括前期的数据采集、现场测评到后续的整改等工作,确保整个工作的有效开展。

学校网络与信息化部门了解学校的整体信息化情况及规划,熟悉学校信息化建设及网络安全管理制度,管理着学校的网络、数据中心等基础设施,并且具备网络安全相关技术能力,因此负责学校等级保护集中测评工作的组织、规划、协调、监督及测评过程中具体问题的协助工作;并具体负责测评工作中网络、物理、安全和校级管理制度等方面的测评工作。

第三方测评公司除提供专业的测评服务外,需协助学校召开启动会、验收会等,帮助二级单位尽快进入角色并确保测评工作有序进行。

根据学校的实际情况,通过校内责任划分,一方面充分发挥了学校网络与信息化部门的能力及优势,另一方面也在一定程度上解决了系统运维人员“工作繁重”、“不懂技术”等问题,有效地推进了学校网络安全等级保护测评具体管理实施工作。

目前,大连理工大学已经将网络安全等级保护工作作为一项常规工作长期开展,这项工作也逐渐进入螺旋状上升的良性循环。

未来学校将进一步把网络安全工作与信息化项目管理密切结合,网络安全与信息化建设同步规划,在信息化系统建设时完成网络安全等级保护定级备案工作并同步推进安全建设,使用过程中持续开展等级保护测评和整改工作,将等级保护工作贯穿于信息化系统的全生命周期,不断提升学校的网络安全防护水平。

参考文献

[1]习近平.在中央网络安全与信息化领导小组第一次会议上的讲话.人民日报,2014-02-28(1).

[2]张巍,于广辉,李先毅.管理视角下的高效网络安全工作实践.中国教育信息化,2018(5):81-83.

作者:刘瑾、于广辉、李先毅、郑维(大连理工大学网络与信息中心)

声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。