龔漢明

摘 要：在高校信息化應(yīng)用日益深化的今天，人、信息和資源的整合日益密切，如何提升用戶網(wǎng)絡(luò)安全素養(yǎng)、保障信息系統(tǒng)的持續(xù)穩(wěn)定運行、落實總體國家安全觀要求等，是當前亟待解決的關(guān)鍵問題。公開資料顯示：我國高校存在諸多網(wǎng)絡(luò)安全問題，如用戶網(wǎng)絡(luò)安全意識淡薄、組織機構(gòu)不健全、非授權(quán)訪問系統(tǒng)、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行和利用網(wǎng)絡(luò)傳播病毒等。從高校網(wǎng)絡(luò)安全面臨的問題出發(fā)，遵從風險管理的理念，在信息化戰(zhàn)略規(guī)劃的基礎(chǔ)上，借鑒國際上網(wǎng)絡(luò)安全工程理論和最佳實踐經(jīng)驗，探討了高校如何加強用戶網(wǎng)絡(luò)安全素養(yǎng)、建立全局性的網(wǎng)絡(luò)安全防護體系，為高校網(wǎng)絡(luò)安全管理工作提供借鑒和參考。

關(guān)鍵詞：網(wǎng)絡(luò)安全;等級保護;系統(tǒng)安全工程;能力成熟模型;網(wǎng)絡(luò)意識形態(tài)

高校網(wǎng)絡(luò)安全的總體狀況與問題分析

1.用戶群體巨大，師生網(wǎng)絡(luò)安全意識不強，安全素養(yǎng)和技能參差不齊。據(jù)統(tǒng)計，截至2016年，我國共有高校2，879所，在校學生約3，700萬人。高校學生作為我國公民中的一大群體，受教育程度高，對信息化比較了解，上網(wǎng)率接近100%。師生們享受著信息化所帶來便捷的同時，網(wǎng)絡(luò)安全問題也在高校師生中頻繁出現(xiàn)，成為高校管理的一大難題。近幾年，高校師生被網(wǎng)絡(luò)詐騙、信息被竊取販賣等新聞不斷見諸報端，網(wǎng)絡(luò)上這類信息更是屢見不鮮。網(wǎng)絡(luò)詐騙類問題，是全國各種類型高校面對的一類普遍性問題。2016年8月，發(fā)生在山東的“徐玉玉助學金欺詐事件”震驚全國，與個人信息泄露直接有關(guān)。雖然在輿論高壓下順利破案，但在這一案件中，高校管理的個人信息大面積、高精度泄露，可以說是騙子行騙成功不可或缺的一環(huán)。當然，信息泄露問題不僅存在于學校，而且在很多大型互聯(lián)網(wǎng)公司，甚至包括國際知名互聯(lián)網(wǎng)公司，都不同程度存在信息泄露等安全問題。據(jù)統(tǒng)計，2016年公安部門辦理了1，800多起涉網(wǎng)的侵犯公民個人信息的案件，涉及犯罪嫌疑人4，200多人。信息技術(shù)廣泛應(yīng)用和網(wǎng)絡(luò)空間興起發(fā)展，極大促進了經(jīng)濟社會繁榮進步，同時也帶來了新的安全風險和挑戰(zhàn)。

2.網(wǎng)絡(luò)安全建設(shè)滯后于信息化應(yīng)用，重建設(shè)、輕運維，缺乏行之有效的全局性網(wǎng)絡(luò)安全防護體系。應(yīng)用交付重視功能實現(xiàn)，系統(tǒng)投入運行后運維保障不足，安全防護未能得到應(yīng)有的重視。高校的網(wǎng)絡(luò)應(yīng)用系統(tǒng)和管理系統(tǒng)，大多是由不同的服務(wù)商獨立建設(shè)，在網(wǎng)絡(luò)安全保防方面相對獨立，服務(wù)商的水平直接決定了網(wǎng)絡(luò)安全的水平。軟硬件系統(tǒng)上線運行或者部署相關(guān)的網(wǎng)絡(luò)防護工具之后，只要系統(tǒng)功能正常，對網(wǎng)絡(luò)安全問題關(guān)注度不夠，主要體現(xiàn)在兩個方面：一是學校認為沒有做更高級別安全防護的必要性，認為學校的網(wǎng)站（信息系統(tǒng)）沒有那么重要，沒有什么可“偷”的;二是從整個網(wǎng)絡(luò)安全行業(yè)來講，政府機構(gòu)和事業(yè)單位等組織推動力主要源自于行政性要求和事件驅(qū)動，更多的是關(guān)停訪問、事后修補漏洞等，帶病運行的網(wǎng)站較多，尚未建立相對完整的全局性網(wǎng)絡(luò)安全防護體系，并不能做到防患于未然。

3.技術(shù)防范建設(shè)系統(tǒng)性不足，安全對抗能力較弱。高校普遍建成了軟硬件功能較為齊全的信息化基礎(chǔ)設(shè)施和公共信息服務(wù)環(huán)境，校園網(wǎng)絡(luò)安全承擔著保障成千上萬臺計算機、交換機和服務(wù)器等終端設(shè)備的運行，這些設(shè)備分布在校園的各個位置，用途不同，操作的用戶也不同。有的用戶網(wǎng)絡(luò)安全意識薄弱，對網(wǎng)絡(luò)安全問題不重視，一旦網(wǎng)絡(luò)安全出現(xiàn)問題，處理不及時，沒能采取安全可靠的技術(shù)措施，就會造成嚴重的損失。

首都高校網(wǎng)絡(luò)安全調(diào)查研究

黨的十八大以來，以習近平同志為核心的黨中央高度重視網(wǎng)絡(luò)安全工作，成立中央網(wǎng)信領(lǐng)導(dǎo)小組，明確了“安全是發(fā)展的前提，發(fā)展是安全的保障”，這一安全和發(fā)展的重大關(guān)系。筆者于2017年主持北京市互聯(lián)網(wǎng)辦公室“網(wǎng)絡(luò)安全保障指標體系研究”項目，對首都各高校網(wǎng)絡(luò)安全情況的調(diào)研結(jié)果表明：近五年以來，各校對網(wǎng)絡(luò)安全的重視程度顯著提升，“重建設(shè)、輕運維”的情況正在逐漸改變，但網(wǎng)絡(luò)安全全局統(tǒng)籌仍然存在較大困難，建立全局性防范體系進展緩慢。具體來說，各高校開展的工作可歸納為如下幾個方面。

1.網(wǎng)絡(luò)安全教育活動逐漸開展，師生網(wǎng)絡(luò)安全意識有所提高。參與調(diào)研的高校利用國家安全日、國家網(wǎng)絡(luò)安全宣傳周等契機，開展“網(wǎng)絡(luò)安全知識競賽”和“網(wǎng)絡(luò)安全知識進校園”等活動，充分利用校園網(wǎng)絡(luò)和新媒體開展全員、全方位的網(wǎng)絡(luò)安全宣傳教育，一定程度上提高了師生網(wǎng)絡(luò)安全認識水平。

2.建章立制，正在逐步形成網(wǎng)絡(luò)安全制度體系。參與調(diào)研的高校普遍建立了網(wǎng)絡(luò)安全管理制度，明確了領(lǐng)導(dǎo)機構(gòu)和網(wǎng)絡(luò)安全責任部門，對網(wǎng)絡(luò)安全工作予以高度重視，正在逐步建立和完善網(wǎng)絡(luò)安全制度體系。

3.履行網(wǎng)絡(luò)安全義務(wù)，逐步補齊短板。《中華人民共和國網(wǎng)絡(luò)安全法》明確提出國家實行網(wǎng)絡(luò)安全等級保護制度，在原來的信息安全等級保護制度基礎(chǔ)上進一步上升到了法律層面。網(wǎng)絡(luò)安全等級保護包括定級、備案、測評、整改四個步驟。教育部、首都教育行政主管部門多次印發(fā)推進教育行業(yè)信息安全等級保護工作的通知，參與調(diào)研的高校均不同程度地開展了等級保護工作，大部分高校定期開展等級測評和整改工作。

4.規(guī)范安全管理，逐步提升治理水平。保障信息系統(tǒng)和網(wǎng)絡(luò)安全的根本目的是要保障數(shù)據(jù)的安全。教育行業(yè)有大量的師生信息，涉及個人隱私，保障數(shù)據(jù)安全任務(wù)艱巨。參與調(diào)研的高校尚未發(fā)現(xiàn)有個人隱私信息泄露的情況，均制定了網(wǎng)絡(luò)安全應(yīng)急預(yù)案或類似文件，開展應(yīng)急演練，逐步規(guī)范和滿足等級保護的工作要求，加強網(wǎng)絡(luò)安全防護水平。

5.主體責任明確，網(wǎng)站小、散、亂情況明顯下降。中央機構(gòu)編制委員會和中央網(wǎng)信辦于2014年出臺《關(guān)于做好黨政機關(guān)網(wǎng)站開辦審核、資格復(fù)核和網(wǎng)站標識管理工作的通知》，在首都教育行政主管部門的指導(dǎo)下，參與調(diào)研的高校普遍落實了網(wǎng)站標識制度，統(tǒng)一了信息系統(tǒng)（網(wǎng)站）標識，規(guī)范了信息發(fā)布管理制度，進行了網(wǎng)站域名清理，絕大多數(shù)采用“.edu.cn”域名。

6.信息共享，逐步形成協(xié)同工作機制。首都高校依托學會等社團組織，通過微信群等方式實現(xiàn)了與上級主管部門、專業(yè)機構(gòu)、安全企業(yè)等單位的信息共享合作，逐步形成多層次的、覆蓋首都高校的安全威脅信息共享機制。在首都教育行政主管部門的指導(dǎo)下，參與調(diào)研的高校普遍落實了定期安全漏洞掃描通報制度，提升了網(wǎng)絡(luò)安全防護能力。高校使用的信息系統(tǒng)中有一類是具有教育特色的通用軟件，如學生管理、教務(wù)管理、財務(wù)管理系統(tǒng)等。調(diào)研發(fā)現(xiàn)：直接使用通用型軟件及基于通用型軟件的個性化定制已成為學校開發(fā)系統(tǒng)的主要手段。

應(yīng)對策略與措施

《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《中華人民共和國網(wǎng)絡(luò)安全法》等政策法規(guī)的出臺，奠定了網(wǎng)絡(luò)安全和網(wǎng)絡(luò)強國建設(shè)的戰(zhàn)略基石和法律基礎(chǔ)，網(wǎng)絡(luò)安全發(fā)展進入“快車道”，加速形成網(wǎng)絡(luò)強國建設(shè)的“中國道路”。2016年11月，教育部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，標志著國家層面對教育行業(yè)網(wǎng)絡(luò)安全的重視程度日益增加，面對嚴峻的網(wǎng)絡(luò)安全形勢和層出不窮的安全問題，高校網(wǎng)絡(luò)安全建設(shè)也將步入一個新的發(fā)展階段。借鑒信息安全工程能力成熟模型（SSE-CMM）和信息系統(tǒng)安全等級保護實施指南，結(jié)合高校網(wǎng)絡(luò)安全面臨的實際問題，運用“三分技術(shù)、七分管理”的計算機網(wǎng)絡(luò)信息系統(tǒng)運行管理理念，從校級、院系部處和師生用戶等維度探索如何提升師生用戶的網(wǎng)絡(luò)安全素養(yǎng)，建立全局性的網(wǎng)絡(luò)安全防護體系。

1.規(guī)劃網(wǎng)絡(luò)安全管理體系。網(wǎng)絡(luò)安全管理體系規(guī)劃是高校安全體系建立的第一步，目的是識別安全問題，明確安全管理的范圍和內(nèi)容，建立安全管理的組織管理機制，從管理和技術(shù)兩個角度，分層次規(guī)劃各環(huán)節(jié)的安全管理制度和技術(shù)防范手段，形成完整、可行的網(wǎng)絡(luò)安全管理體系。網(wǎng)絡(luò)安全建設(shè)是“一把手”工程，學校要強化組織領(lǐng)導(dǎo)、強化制度建設(shè)，落實責任，堅持技術(shù)安全與內(nèi)容安全“兩手抓”，不要存在僥幸心理。決策層對網(wǎng)絡(luò)安全工作的重視程度直接決定了網(wǎng)絡(luò)安全工作開展的難易程度?？蓪⒏咝＞W(wǎng)絡(luò)安全管理規(guī)劃過程歸納為以下八個步驟：

第一，建立安全管理組織。網(wǎng)絡(luò)安全和信息化是相輔相成的，要加強頂層設(shè)計和統(tǒng)籌協(xié)調(diào)，實現(xiàn)學校網(wǎng)絡(luò)安全“整體一盤棋”。在信息化建設(shè)過程中，既要考慮功能、性能方面的需求，更應(yīng)該重視安全方面的需求。確保安全與發(fā)展之間的平衡，有機、動態(tài)的發(fā)展，更好地為教學、科研服務(wù)。安全管理組織的成員由機構(gòu)的戰(zhàn)略影響者組成，包括來自行政、技術(shù)、業(yè)務(wù)、安全、風險和規(guī)劃等部門的人員。

第二，識別保護對象。識別學校面臨的風險及威脅，分析它們存在的原因，將分析結(jié)果納入安全管理體系的規(guī)劃中重點考慮。

第三，評估現(xiàn)有措施。了解學校目前的安全管理措施并評估它們的效力。

第四，考慮長期需要。安全整體規(guī)劃應(yīng)考慮長期的需要，具有一定的前瞻性，如長期的制度適應(yīng)性、設(shè)備老化、安全人員的發(fā)展需要等。

第五，納入學校的建設(shè)規(guī)劃。了解學校新建項目，如辦公樓、教學樓、停車場等項目，是否會影響現(xiàn)有的物理安全規(guī)劃，如有影響，就將安全規(guī)劃納入學校建設(shè)規(guī)劃中通盤考慮。

第六，建立安全工作機制。形成文件化的制度體系和工作條例，明確各崗位的責任、應(yīng)提供的服務(wù)和交付物。

第七， 融合運用新老技術(shù)。新技術(shù)的規(guī)劃應(yīng)考慮對老技術(shù)的沖擊，新老技術(shù)的融合運用將是一個挑戰(zhàn)。

第八，關(guān)鍵設(shè)施重點布局。關(guān)鍵設(shè)施指校園中那些需要連續(xù)、可靠運行而又相互關(guān)聯(lián)的復(fù)雜設(shè)施集合，這些設(shè)施的安全尤為重要，風險也最為突出。

上述的規(guī)劃步驟從組織、管理和技術(shù)三方面較全面地考慮高校網(wǎng)絡(luò)安全管理的具體問題，有助于形成完整有效的網(wǎng)絡(luò)安全體系，包括安全組織體系、安全管理體系和安全技術(shù)體系。

2.完善網(wǎng)絡(luò)安全管理體系。從組織、管理、技術(shù)三方面入手進行一系列的整改，形成較為完善的組織體系、管理體系和技術(shù)體系。對學?，F(xiàn)有網(wǎng)絡(luò)安全管理的組織結(jié)構(gòu)進行重新梳理，形成包含決策、管理、運營和應(yīng)用四個層次在內(nèi)的較為完善的網(wǎng)絡(luò)安全管理組織機構(gòu)，明確工作職責。

第一，決策層。組建校級層面的網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，宣傳和貫徹落實國家網(wǎng)絡(luò)安全和信息化建設(shè)的方針、政策;根據(jù)學校建設(shè)、改革與發(fā)展的需要，統(tǒng)籌協(xié)調(diào)學校網(wǎng)絡(luò)安全和信息化重要問題;研究制定學校網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、規(guī)劃和政策;組織推進學校網(wǎng)絡(luò)安全和信息化建設(shè)整體工作。

第二，管理層。組建安全工作小組作為網(wǎng)絡(luò)安全工作的執(zhí)行機構(gòu)，工作小組由信息化相關(guān)部門領(lǐng)導(dǎo)及專業(yè)技術(shù)人員和部分管理人員組成。

第三，運營層。完善系統(tǒng)運營各崗位人員的工作職責，包括機房管理員、網(wǎng)絡(luò)及服務(wù)器管理員、數(shù)據(jù)庫管理員和信息系統(tǒng)管理員。

第四，應(yīng)用層。進一步明確各院系部處及用戶的安全責任，與各院系部處簽訂安全責任書，同時明確各院系部處信息員的網(wǎng)絡(luò)安全工作職責，使其成為網(wǎng)絡(luò)安全工作的基礎(chǔ)支持隊伍。

3.形成文件化的網(wǎng)絡(luò)安全整體策略。組織制定涉及到網(wǎng)絡(luò)安全的各類管理辦法，從場地與設(shè)施、設(shè)備、系統(tǒng)、信息、建設(shè)、運行維護和技術(shù)文檔等多個方面詳細制定安全管理規(guī)定，并明確系統(tǒng)建設(shè)和系統(tǒng)運維過程中相關(guān)人員的工作流程和操作規(guī)范，為學校的網(wǎng)絡(luò)安全管理提供依據(jù)。

明確和建立學校的網(wǎng)絡(luò)安全策略，學校制定網(wǎng)絡(luò)安全管理總體方案，為各部門制定操作規(guī)范和開展安全工作提供指導(dǎo)。針對網(wǎng)絡(luò)安全問題對管理規(guī)章制度進行不斷的更新，推動管理制度的完善。網(wǎng)絡(luò)安全管理人員要提高網(wǎng)絡(luò)安全管理水平，權(quán)限較高的網(wǎng)絡(luò)使用者要嚴格規(guī)范操作，網(wǎng)絡(luò)使用人員要嚴格遵守有關(guān)規(guī)章制度。

互聯(lián)網(wǎng)技術(shù)發(fā)展快，網(wǎng)絡(luò)病毒和木馬攻擊也在不斷更新，面對新的安全漏洞和病毒，要加強日常防控來減少網(wǎng)絡(luò)安全突發(fā)事件的發(fā)生。由學校信息技術(shù)部門制定對硬件、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)維護的各個環(huán)節(jié)的工作流程和操作規(guī)程，進行更加詳細的規(guī)定，及時發(fā)布安全威脅通知，讓校園網(wǎng)用戶了解，并注意防范。

4.網(wǎng)絡(luò)安全與信息系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)，應(yīng)用交付前進行合規(guī)性審查，先體檢、后上線。網(wǎng)絡(luò)安全是一項長期的工作，必須將其納入日常管理中常抓不懈，防患于未然。信息系統(tǒng)建設(shè)除了系統(tǒng)功能和性能滿足業(yè)務(wù)要求外，安全性、可靠性、可用性也必須進行質(zhì)量控制。在院系部處層面，將其二級網(wǎng)站納入學校網(wǎng)站群統(tǒng)籌建設(shè)，定期進行等保測評、滲透測試、漏洞掃描;強化綜合治理，清理長期無人維護的網(wǎng)站或信息系統(tǒng);對于各院系部處為推動業(yè)務(wù)開展而開發(fā)的信息系統(tǒng)，在分解落實責任的同時，實行過程控制。過程控制可采取如下三方面的措施。

第一， 增加建設(shè)過程中的評審環(huán)節(jié)。在項目設(shè)計、開發(fā)階段成果接近完成時，由項目組會同相關(guān)業(yè)務(wù)部門共同組織技術(shù)評審，包括對系統(tǒng)安全性的審查。評審以項目前期形成的方案、文檔及學校的相關(guān)標準和規(guī)范為依據(jù)，對該階段形成的方案、技術(shù)文檔及系統(tǒng)進行審查、確認等工作，并形成評審結(jié)論。

第二， 進行內(nèi)部測試和第三方測試。在項目驗收前，除了由項目內(nèi)部和業(yè)務(wù)部門參與的集成測試外，聘請專業(yè)的第三方測試機構(gòu)進行測試。

第三， 安全檢測與審計雙管齊下，全方位監(jiān)控安全事件。對應(yīng)用系統(tǒng)和服務(wù)器進行定期安全檢測，有效消除潛在的安全隱患;定期進行應(yīng)用系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、配置管理等的安全審計，避免越權(quán)操作及數(shù)據(jù)泄漏事件的發(fā)生。

5.加強技術(shù)防護體系建設(shè)。由于網(wǎng)絡(luò)具有信息發(fā)布平臺開放、信息發(fā)布來源隱蔽等特點，加之各種安全漏洞、不良網(wǎng)站及“網(wǎng)絡(luò)黑客”的存在，給高校網(wǎng)絡(luò)安全工作帶來諸多挑戰(zhàn)。尤其是在對匿名用戶缺乏有效控制的情況下，一些不宜宣傳或不健康的內(nèi)容極有可能通過網(wǎng)絡(luò)滲透進校園。系統(tǒng)建設(shè)與日常運行管理中，需構(gòu)建自動化防控系統(tǒng)加強系統(tǒng)的安全防范，為應(yīng)用系統(tǒng)和用戶構(gòu)筑起堅實的安全堡壘，包括但不限于以下措施：

第一， 訪問控制。高校校園網(wǎng)最常用的網(wǎng)絡(luò)安全技術(shù)有殺毒軟件、防火墻技術(shù)、身份驗證等。網(wǎng)絡(luò)安全防范保護首先要設(shè)置訪問控制，網(wǎng)絡(luò)訪問控制的目的是保證內(nèi)部網(wǎng)絡(luò)資源不被非法訪問和非法使用，校園網(wǎng)用戶入網(wǎng)口令要保證唯一性，通過訪問控制對用戶口令密碼進行驗證。在外網(wǎng)和內(nèi)網(wǎng)之間用防火墻隔離，對數(shù)據(jù)流進行嚴格的監(jiān)控，在防火墻上做好詳細的日志記錄，為安全事件的事后取證提供依據(jù)。

第二，構(gòu)建三套獨立環(huán)境，保證正式環(huán)境安全。將系統(tǒng)開發(fā)、測試和正式運行三個環(huán)境分離，確保開發(fā)階段和測試階段的工作不影響正式系統(tǒng)的使用。搭建版本控制系統(tǒng)，確保開發(fā)中源代碼的安全;在程序開發(fā)的過程中，需要多人同時參加和協(xié)作，記錄系統(tǒng)建設(shè)過程中相關(guān)文檔和源代碼的變更過程，防止代碼意外丟失、被覆蓋等情況的出現(xiàn)。

第三， 注意物理環(huán)境安全，建立備份與恢復(fù)機制， 保護系統(tǒng)建設(shè)成果。物理安全防護是確保校園網(wǎng)絡(luò)安全工作的基礎(chǔ)，避免網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線纜等硬件設(shè)備受自然災(zāi)害、物理損壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊的破壞，對核心設(shè)備要進行嚴格管理。建立本地、異地數(shù)據(jù)備份及恢復(fù)規(guī)范方案，對系統(tǒng)建設(shè)過程中的成果進行及時備份，防止因為誤操作或機器故障導(dǎo)致數(shù)據(jù)丟失，切實保證數(shù)據(jù)的安全。

第四，防火墻與入侵監(jiān)測，構(gòu)筑網(wǎng)絡(luò)屏障。在互聯(lián)網(wǎng)（Internet）和校園網(wǎng)之間以及校園網(wǎng)和信息系統(tǒng)服務(wù)器之間架設(shè)兩層防火墻，防止校內(nèi)外用戶對服務(wù)器的攻擊;部署網(wǎng)絡(luò)分析系統(tǒng)，實時監(jiān)控網(wǎng)絡(luò)流量、網(wǎng)絡(luò)攻擊和病毒傳播，為網(wǎng)絡(luò)安全事件的定位和取證提供支持;禁止從公網(wǎng)訪問關(guān)鍵信息系統(tǒng)，用戶需要通過VPN加密鏈路才能實現(xiàn)從校外訪問關(guān)鍵信息系統(tǒng)。

第五，漏洞掃描與日志分析，促進應(yīng)用安全的不斷提升。在應(yīng)用系統(tǒng)層，采用系統(tǒng)日志分析平臺對應(yīng)用進行日志分析，捕捉和定位異常事件;定期對應(yīng)用服務(wù)執(zhí)行漏洞掃描，對出現(xiàn)的SQL注入、跨站腳本攻擊、網(wǎng)頁非法篡改、強制訪問等系統(tǒng)安全風險及時進行分析和整改。

第六， 主動式監(jiān)控及時追蹤問題。對服務(wù)器軟硬件運行狀態(tài)進行監(jiān)控，實現(xiàn)對服務(wù)器運行狀態(tài)及各信息系統(tǒng)狀態(tài)進行主動監(jiān)聽和預(yù)警;建立統(tǒng)一日志服務(wù)器，對所有系統(tǒng)的日志進行集中管理和備份，確保問題發(fā)生時通過日志進行定位和追蹤。

網(wǎng)絡(luò)安全管理問題需要從管理和技術(shù)兩方面考慮和解決，只有依靠有效的組織保障、規(guī)范的管理流程、安全可靠的系統(tǒng)工具及技術(shù)的支撐，才能達到以較小的代價、利用有限資源控制安全風險的目標，更好地保證信息化建設(shè)和應(yīng)用的成果。

6.加強對用戶的教育和培訓。通過網(wǎng)絡(luò)安全教育使用戶對校園網(wǎng)絡(luò)所面臨的各類威脅有較為系統(tǒng)、全面的認識，明確這些威脅對他們的危害，增強他們的網(wǎng)絡(luò)安全意識，讓所有校園網(wǎng)用戶都來關(guān)心、關(guān)注網(wǎng)絡(luò)安全。通過對校園網(wǎng)用戶的培訓，使他們能盡量保證自己使用的計算機安全，能處理一些簡單的安全問題，從而減少網(wǎng)絡(luò)安全事故的發(fā)生。遇到網(wǎng)絡(luò)安全問題時，能做好記錄并及時向有關(guān)部門報告。

加強對網(wǎng)絡(luò)內(nèi)容的監(jiān)控和輿情分析，改進網(wǎng)絡(luò)文化建設(shè)，主動占領(lǐng)網(wǎng)絡(luò)陣地，推進思想政治教育網(wǎng)絡(luò)工程建設(shè)，針對學生關(guān)心的熱點問題，積極開展網(wǎng)上正面的宣傳和正確的信息傳播，不斷拓展網(wǎng)絡(luò)思想政治教育的覆蓋面，增強網(wǎng)絡(luò)思想政治教育工作的影響力。加強對校內(nèi)論壇等網(wǎng)絡(luò)交流平臺的監(jiān)管，組建網(wǎng)絡(luò)信息員隊伍，在學校統(tǒng)一指導(dǎo)下，定期整理網(wǎng)絡(luò)上的討論熱點及主要觀點，捕捉和反饋重要信息，掌握網(wǎng)上動態(tài)，以適當方式制作和發(fā)布積極信息，及時處理消極信息。以學生社團或者類似形式建設(shè)兩支隊伍：一是網(wǎng)絡(luò)日常管理與技術(shù)維護隊伍;二是“網(wǎng)紅”和評論員隊伍。

網(wǎng)絡(luò)安全與諸多方面都有聯(lián)系，它不是孤立存在的。高校網(wǎng)絡(luò)安全是一個長期、復(fù)雜、深遠而又龐大的系統(tǒng)工程。本文從高校網(wǎng)絡(luò)安全面臨的問題出發(fā)，遵從風險管理的理念，借鑒國際上網(wǎng)絡(luò)安全工程理論和最佳實踐經(jīng)驗，就高校如何提高信息安全工程能力成熟度和落實國家網(wǎng)絡(luò)安全等級保護政策法規(guī)展開研究，從校級、院系部處和師生用戶三個維度積極應(yīng)對，探討了高校如何加強用戶網(wǎng)絡(luò)安全素養(yǎng)、建立全局性的網(wǎng)絡(luò)安全防護體系，以達到依法辦網(wǎng)、依法管網(wǎng)和依法用網(wǎng)的要求。

參考文獻：

[1]鄧若伊，余夢瓏，丁藝，等.以法制保障網(wǎng)絡(luò)空間安全 構(gòu)筑網(wǎng)絡(luò)強國—《網(wǎng)絡(luò)安全法》和《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》解讀[J].電子政務(wù)，2017（2）：2-4.

[2]孫瑞婷.總體國家安全觀視域下我國網(wǎng)絡(luò)意識形態(tài)安全問題研究[J].廣東行政學院學報，2017（3）：31-35.

[3]張賽男，孫彪.網(wǎng)絡(luò)信息安全現(xiàn)狀與對策分析[J].無線互聯(lián)科技，2015（21）：28-29.

[4]李曉玉.國內(nèi)外信息安全標準研究現(xiàn)狀綜述[A].現(xiàn)代通信國家重點實驗室、《信息安全與通信保密》雜志社.第十一屆保密通信與信息安全現(xiàn)狀研討會論文集[C].現(xiàn)代通信國家重點實驗室、《信息安全與通信保密》雜志社：四川信息安全與通信保密雜志社，2009：5.

[5]賈鐵軍.網(wǎng)絡(luò)安全技術(shù)與實踐[M].北京：高等教育出版社，2014.

[6]石崢嶸，高校網(wǎng)絡(luò)安全管理問題分析與對策研究[J].信息與電腦（理論版），2016（10）：147-148.

[7]高校信息化安全管理布局[EB/OL].（2012-05-23）[2019-01-02].http：//security.ctocio.com.cn/298/12340798.shtml.

[8]ISO/IEC 21827-2008 Information technology-Security techniques-Systems Security Engineering-Capability Maturity Model（SSE-CMM）《信息技術(shù)—安全技術(shù)—系統(tǒng)安全工程—能力成熟模型》.

[9]全國信息技術(shù)標準化技術(shù)委員會.信息技術(shù)：系統(tǒng)安全工程：能力成熟度模型：GB/T 20261-2006[S].北京：中國標準出版社，2006：3.

[10]全國信息安全標準化技術(shù)委員會.信息安全技術(shù)：信息系統(tǒng)安全等級保護基本要求：GB/T 22239-2008[S].北京：中國標準出版社，2008：9.

[11]全國信息安全標準化技術(shù)委員會.信息安全技術(shù)：信息系統(tǒng)安全等級保護實施指南：GB/T 25058-2010[S].北京：中國標準出版社，2010：9.

[12]全國信息安全標準化技術(shù)委員會.信息技術(shù)：安全技術(shù)：信息技術(shù)安全評估準則：GB/T 18336-2015[S].北京：中國標準出版社，2015：5.

（作者單位：北京信息科技大學信息與網(wǎng)絡(luò)管理中心）

[責任編輯：于 洋]