摘 ?要： 針對高校網(wǎng)站安全管理現(xiàn)狀和普遍存在的問題，遵從風險管理的理念，結合實踐經(jīng)驗，將高校網(wǎng)站安全管理劃分為PDCA四個階段。提出通過P階段加強頂層規(guī)劃設計，D階段完善網(wǎng)站資產(chǎn)日常管理，C階段建立網(wǎng)絡安全工作內(nèi)外聯(lián)動機制，A階段加強人才隊伍建設，使整個管理過程形成一個可持續(xù)改進的循環(huán)過程，以期不斷提升高校網(wǎng)站安全管理的能力和水平。

關鍵詞： 高校網(wǎng)站; 網(wǎng)站安全; 安全管理; PDCA

中圖分類號：X931 ? ? ? ? ?文獻標識碼：A ? ? 文章編號：1006-8228（2021）08-42-05

Research on the application of PDCA cycle in university website security management

Xu Wei

（Information Construction and Management Office， Nanjing University of Posts and Telecommunications， Nanjing， Jiangsu 210023， China）

Abstract： In view of the current situation of university website security management and the common problems existed in， following the concept of risk management and combining with the practical experience， the university website security management is proposed to be divided into four stages of PDCA. It is proposed to strengthen the top-level planning and design in stage P， improve the daily management of website assets in stage D， establish the internal and external linkage mechanism of network security in stage C， and strengthen the construction of talent team in stage A， so as to form a sustainable improvement cycle in the whole management process， in order to constantly improve the ability and level of university website security management.

Key words： university website; website security; security management; PDCA

0 引言

近幾年，高校在進行數(shù)字化校園建設的過程中，由于互聯(lián)網(wǎng)的開放性，曾發(fā)生不少重大的網(wǎng)絡安全事件?！毒W(wǎng)絡安全法》出臺后，教育部門對網(wǎng)絡信息安全高度重視。2017年3月教育部辦公廳下發(fā)《教育行業(yè)網(wǎng)絡安全綜合治理行動方案》（教技廳〔2017〕3號文），明確要求：治理網(wǎng)站亂象，強化主體責任——統(tǒng)一標識，信息發(fā)布，域名清理;堵塞安全漏洞，增強防護能力——監(jiān)測預警，檢測風險;補齊等保短板，履行安全保護義務——定級備案，測評整改;規(guī)范安全管理，提升治理水平——數(shù)據(jù)管理，關鍵設施，應急響應[1]。由此可見，高校網(wǎng)站的安全性問題亟需引起重視，研究如何提升高校網(wǎng)站安全管理水平意義重大[2]。本文將依照國家及教育主管部門制定的相關政策法規(guī)，結合多年的信息安全工作經(jīng)驗，探討在高校網(wǎng)站安全管理中運用PDCA循環(huán)的新方法，以提升高校網(wǎng)站安全管理水平和能力。

1 高校網(wǎng)站安全管理的現(xiàn)狀分析

根據(jù)《2018年高校網(wǎng)站安全脆弱性白皮書》，全國高等學校建立的互聯(lián)網(wǎng)站多達數(shù)萬個（含二級院系網(wǎng)站），其中只有30%左右的高校網(wǎng)站安全級別判定為非常安全，有超過60%的高校網(wǎng)站存在高風險安全漏洞[3-4]。由此可見，高校網(wǎng)站往往面臨著較高的安全威脅，很容易引發(fā)安全事件，給學校和學生造成危害，并造成不良的社會影響。根據(jù)自身工作經(jīng)歷及深入其他高校調(diào)研搜集到的情況，發(fā)現(xiàn)高校網(wǎng)站安全管理普遍存在如下四方面問題。

1.1 重建設、輕管理、安全意識薄弱

目前大部分高校網(wǎng)絡安全責任制落實不到位，各二級單位或學院的領導對網(wǎng)絡安全不夠重視，大多數(shù)高校的網(wǎng)站管理相對來說比較分散，網(wǎng)站大多是由高校老師或者在校學生自己開發(fā)的，負責人往往缺乏安全管理意識，一般只關心網(wǎng)站功能的實現(xiàn)，很少去考慮網(wǎng)站安全問題，網(wǎng)站建好后又疏于管理維護，很容易成為黑客攻擊的首選目標[5]。

1.2 網(wǎng)站安全管理難度大

目前高校網(wǎng)站數(shù)量較多，管理難度大，管理成本高，且無長效的管理工具[6]。在被通報的各類高校網(wǎng)站安全事故中，出現(xiàn)問題的大部分網(wǎng)站缺乏統(tǒng)一的安全管理，為高校的網(wǎng)站安全管理帶來了較大的安全隱患。校內(nèi)網(wǎng)站私搭亂建現(xiàn)象嚴重，且不易監(jiān)測;一些退運的網(wǎng)站，缺乏有效管理手段，常常成為孤島網(wǎng)站，容易成為被攻擊的目標[7]。

1.3 缺少安全監(jiān)控機制和應急處置的工具

高校網(wǎng)站85%以上的攻擊是利用安全漏洞發(fā)起的，但由于缺乏監(jiān)測機制，高校相關部門往往無法及時發(fā)現(xiàn)下設網(wǎng)站或業(yè)務系統(tǒng)存在的漏洞和風險[8]。此外，很多高校沒有監(jiān)控網(wǎng)站頁面內(nèi)容的工具，可能會導致網(wǎng)站掛馬從而產(chǎn)生不利的影響或造成較大的損失;缺少監(jiān)控網(wǎng)站是否存在敏感信息的工具，無法對于網(wǎng)站的敏感信息內(nèi)容自行配制告警功能，不能對網(wǎng)站的安全事件進行及時的告警。

1.4 高校網(wǎng)站維護技術力量缺失

許多高校二級網(wǎng)站的維護工作都是由教師兼職完成的，他們往往只負責維護、更新網(wǎng)站的內(nèi)容信息，對網(wǎng)站安全管理投入的精力少之又少;維護人員通常也沒有參加過專門的技術和安全管理培訓，即便網(wǎng)站被通報了有安全漏漏洞，也是無從下手，不知如何修復漏洞[9]。高校從事網(wǎng)絡安全管理的專業(yè)人才普遍缺乏，特別是高精尖人才鳳毛麟角，嚴重制約了高校網(wǎng)站安全的管理質量及水平。

針對上述問題，可引入PDCA循環(huán)模型進行信息安全管理，提出相應的改進措施。基于符合實際安全管理的循環(huán)模型，將循環(huán)后總結得到的高校網(wǎng)站安全管理經(jīng)驗再指導后期的實際工作，在螺旋式的循環(huán)過程中，逐步提升高校網(wǎng)站安全管理能力和水平[10]。

2 PDCA循環(huán)簡介

2.1 PDCA循環(huán)概述

信息安全管理（Information Security Management，ISM），是管理者為實現(xiàn)信息安全目標（信息資產(chǎn)的CIA等特性，以及業(yè)務運作的持續(xù)性）而進行計劃、組織、指揮、協(xié)調(diào)和控制的一系列活動[11]。信息安全管理是組織整體管理的重要、固有組成部分，它是組織實現(xiàn)其業(yè)務目標的重要保障。同時，信息安全管理是信息安全技術的融合劑，是各項技術措施能夠發(fā)揮作用的保障。

通過科學的方法，才能有效實施信息安全管理和信息安全防護，進而為業(yè)務的安全運營提供保障。信息安全管理的基本方法就是PDCA循環(huán)模型，它是基于過程方法制定的一種持續(xù)改進模型[12]。PDCA是英語單詞Plan，Do，Check和Act的首字母，PDCA循環(huán)是按照計劃、執(zhí)行、檢查、改進的順序進行質量管理，并且循環(huán)進行下去的科學程序[13]。

2.2 PDCA循環(huán)特點

PDCA循環(huán)，是一個基于業(yè)務風險，并通過規(guī)劃、實施、監(jiān)視和改進信息安全過程，來管理組織的信息安全，它是一套科學的工作程序，有如下三個特點。

⑴ 按順序進行。PDCA循環(huán)靠組織的力量來推動，按順序完成每一階段的工作，像車輪一樣向前進，周而復始，不斷循環(huán)。

⑵ 大環(huán)套小環(huán)。組織中的每個部分，甚至個人，均可以PDCA循環(huán)。也就是說，在PDCA運用過程中，應把整個組織看作是一個大循環(huán)，而組織中各個部分則是一個小循環(huán)，每一個部分的個人又是更小的循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。

⑶ 逐層提升。每完成一次PDCA循環(huán)，質量水平都會有新的提高，再進行第二次PDCA循環(huán)。也就是說，每一次PDCA循環(huán)都有新的目標和內(nèi)容，安全管理就是將PDCA循環(huán)多次展開，不斷完善與優(yōu)化，順利完成管理目標。

3 PDCA循環(huán)運用于高校網(wǎng)站安全管理

結合高校網(wǎng)站安全管理的過程來看，其網(wǎng)站資產(chǎn)的脆弱性、安全防護技術的多樣性、多部門配合的復雜性和管理人員安全意識的薄弱性，決定了高校網(wǎng)站安全管理的過程是一個有規(guī)劃、有實施、有監(jiān)視、有改進，而且不斷改進的過程。因此，在高校網(wǎng)站安全管理中，可以運用PDCA循環(huán)模型，將高校網(wǎng)站安全管理的需求和目標作為輸入，并通過必要的行動和過程（P-D-C-A），生成滿足這些需求和目標的結果，得到預期的輸出，使得高校網(wǎng)站安全管理工作形成閉環(huán)，構建出高校網(wǎng)站安全管理模型，如圖1所示。

解決信息安全問題，成敗通常取決于兩個因素，一個是技術，另一個是管理。高校網(wǎng)站安全管理也不例外，在高校網(wǎng)站安全管理模型的基礎上，將管理安全和技術安全的改進措施進一步細化到PDCA循環(huán)的每個階段，構成高校網(wǎng)站安全管理的PDCA結構化過程管理框圖如圖2所示。此圖亦描述了做好高校網(wǎng)站安全管理的基礎、前提、保障和關鍵與4個階段之間的聯(lián)系，下面將具體探討。

3.1 P階段——基礎

這個階段的工作是加強高校網(wǎng)站安全管理頂層規(guī)劃設計，確保安全管理制度落地實施，增強全員安全意識，是做好高校網(wǎng)站安全管理的基礎。

⑴ 加強高校網(wǎng)絡安全工作頂層規(guī)劃設計。必須充分認識網(wǎng)絡安全的重要性，明確網(wǎng)絡安全的目標，了解實現(xiàn)目標的困難并找到解決措施，處理好單點防護與整體防護的關系。要堅持系統(tǒng)思維、整體謀劃，轉變各自為戰(zhàn)、畫地為牢的防護理念，加強學校層面的綜合統(tǒng)籌，健全完善信息系統(tǒng)分級分層防護機制，統(tǒng)籌利用各部門、各系統(tǒng)的防護力量，增強全校網(wǎng)絡安全綜合防護能力。

⑵ 完善網(wǎng)絡安全管理制度建設。制定涵蓋網(wǎng)絡安全方針、政策、標準、規(guī)范、實施細則等層面的校園網(wǎng)絡安全管理制度，使網(wǎng)絡安全管理有規(guī)可依、有章可循。建立完善網(wǎng)絡安全責任追究制度、明確職責，細化各項管理制度，完善管理機制，全面梳理、修訂完善學校建網(wǎng)、管網(wǎng)、用網(wǎng)規(guī)范，重點建立針對安全責任、資產(chǎn)備案、監(jiān)測通報等制度。加強網(wǎng)站IP地址和域名規(guī)范管理，建立科學的考核評價、督導檢查機制，確保各項制度不折不扣落實到位。

⑶ 加強思想防線的建設。思想防線是最廉價和最有效的防線，做好高校網(wǎng)站安全管理的基礎，就是增強高校全員的網(wǎng)絡安全意識。要加大對高校網(wǎng)絡安全的宣傳教育，利用線上線下多種模式，開展網(wǎng)絡安全知識培訓，上好網(wǎng)絡安全教育第一課。大力加強網(wǎng)絡安全法治教育，深入宣傳《網(wǎng)絡安全法》，在高校開設網(wǎng)絡安全法治教育課堂，普及網(wǎng)絡安全相關法律知識，提升大家的法律意識。

結合高校網(wǎng)站安全管理實際，調(diào)整完善當前高校網(wǎng)站安全管理制度，使得相關制度與國家監(jiān)管部門和教育主管部門相關政策銜接，優(yōu)化網(wǎng)絡安全事件應急預案，不定期進行安全事件應急演練，提高師生的網(wǎng)絡安全意識。

3.2 D階段——前提

這個階段的工作是“摸清家底”，完善網(wǎng)站資產(chǎn)日常管理，形成網(wǎng)站管理的長效機制，是做好高校網(wǎng)站安全管理的前提。

⑴ 統(tǒng)籌管理全校網(wǎng)絡資源。按照“摸清家底，落實責任，強化抓手”的工作思路，摸清學校網(wǎng)站資源的基本情況。包括已知和未知網(wǎng)站，網(wǎng)站可識別域名（包含二級域名）、 IP和網(wǎng)站名稱。查找可能存在的網(wǎng)絡安全管理疏漏點，清理私搭濫建、歷史遺留、僵尸網(wǎng)站（不可訪問或長期無人維護更新內(nèi)容的網(wǎng)站）、不合規(guī)的網(wǎng)站;完善網(wǎng)站資產(chǎn)日常管理制度，明晰責權;建立完善的網(wǎng)站管理機制，對網(wǎng)站資產(chǎn)信息進行全生命周期的安全管理。

⑵ 網(wǎng)站資產(chǎn)信息的全生命周期安全管理，不是靜態(tài)的，而是動態(tài)的，要做到可知、可管、可控、可關?？芍褪鞘崂砼挪閷W校網(wǎng)站資產(chǎn)信息，包括網(wǎng)站數(shù)量，網(wǎng)站的建設和管理單位，網(wǎng)站的用途，網(wǎng)站指紋信息（服務器操作系統(tǒng)、中間件、網(wǎng)站編碼方式、物理地址等），網(wǎng)站責任單位和責任人員信息等?？晒芫褪墙柚脚_化的技術手段完成網(wǎng)站資產(chǎn)信息的備案登記，并支持新增、刪除、修改網(wǎng)站資產(chǎn)信息，便于后期管理維護。針對備案登記的網(wǎng)站，定期自動化檢測網(wǎng)站的訪問情況，清除僵尸網(wǎng)站資產(chǎn)信息?？煽鼐褪沁M行漏洞掃描和威脅分析，發(fā)現(xiàn)潛在的安全漏洞和威脅，并及時進行補丁修復，消除安全隱患。新建的網(wǎng)站要經(jīng)過上線前的安全檢測，達到上線安全要求才可開放互聯(lián)網(wǎng)訪問。經(jīng)檢測發(fā)現(xiàn)有安全漏洞且沒有及時修復的網(wǎng)站，將斷開與互聯(lián)網(wǎng)的連接，降低網(wǎng)站安全風險?？申P就是在發(fā)生安全事件時可以快速定位問題網(wǎng)站，第一時間采取措施控制事態(tài)，及時報告并處理，切斷與互聯(lián)網(wǎng)的連接，將影響面控制在最小范圍內(nèi)?？赏ㄟ^防火墻、WAF等網(wǎng)絡安全設備實現(xiàn)一鍵斷網(wǎng)，配置阻斷策略，一旦觸發(fā)策略閾值，即可通過郵件、短信實時通知網(wǎng)站責任人并對網(wǎng)站進行緊急關停。

3.3 C階段——保障

這個階段的工作是建立網(wǎng)絡安全工作內(nèi)外聯(lián)動機制，形成常態(tài)化的良性循環(huán)，是做好高校網(wǎng)站安全管理的保障。

⑴ 高校要積極爭取國家監(jiān)管部門和教育主管部門的指導和支持。網(wǎng)絡安全最大的風險是潛在的、未知的隱患。網(wǎng)絡安全政府監(jiān)管部門和教育主管部門信息來源廣，資源豐富，網(wǎng)絡安全預知預警能力強，只有加強與他們的信息共享，建立信息通報機制，才能更好地做到先知先覺，防患于未然。

⑵ 做好定級備案工作。全面落實重要系統(tǒng)和關鍵信息基礎設施等級保護制度，主動到公安機關登記備案，將學校網(wǎng)站納入公安監(jiān)管范疇，嚴格進行關鍵信息基礎設施等級保護測評。積極探索關鍵信息基礎設施保衛(wèi)平臺建設，切實加強重要信息系統(tǒng)的日常安全監(jiān)測預警，努力將各類隱患消除在萌芽狀態(tài)。將開展等級保護測評工作列為安全管理的常規(guī)工作，對高校網(wǎng)站開展等級保護測評，及早發(fā)現(xiàn)并消除安全風險。

⑶ 做好日常安全監(jiān)測工作。隨著互聯(lián)網(wǎng)技術的快速發(fā)展，網(wǎng)站攻擊的門檻不斷降低。各類型網(wǎng)站受到的安全威脅越來越多，影響各網(wǎng)站的正常使用。通過購買專業(yè)安全公司的信息安全服務，協(xié)助相關部門對高校網(wǎng)站進行全生命周期的動態(tài)安全管理。利用安全公司提供的可用性監(jiān)測、內(nèi)容監(jiān)控、漏洞監(jiān)測、弱口令檢查及Webshell監(jiān)控等產(chǎn)品，實現(xiàn)對網(wǎng)站的全方位安全監(jiān)測，采取多種形式的通知功能對監(jiān)控結果進行通報預警。在安全公司監(jiān)測到威脅時，可及時響應，采取應急處置，降低危害。

通過定期的等級保護測評工作和日常安全監(jiān)測工作，發(fā)現(xiàn)高校網(wǎng)站安全管理過程中仍存在的問題，對照等級保護測評要求有針對性地完善相關安全管理制度和日常維護工作機制，通過優(yōu)化小循環(huán)來提升大循環(huán)，形成常態(tài)化的良性循環(huán)[16]。

3.4 A階段——關鍵

這個階段的工作要落實到人，加強對管理人員的培訓，打造高水平工作隊伍，形成長效化工作機制，是做好高校網(wǎng)站安全管理的關鍵。

⑴ 提高網(wǎng)絡安全管理人員的技術水平。建立主副崗制度，做好對系統(tǒng)的日常維護、常見故障的排查處理、突發(fā)事件的應急保護等。建立二級單位信息管理員制度。定期進行信息管理員的培訓及交流，明確工作規(guī)范，為二級部門信息管理員提供各種安全幫助。 高校應加大人才保障力度，調(diào)整充實網(wǎng)絡安全管理職能部門人員的力量，組建校級網(wǎng)絡安全技術團隊、應急響應團隊，全面加強網(wǎng)絡安全技術培訓交流，提升高校網(wǎng)絡安全整體技術水平。

⑵ 用足、用好學校的資源。喜歡上網(wǎng)、善于用網(wǎng)的在校大學生，以及為數(shù)不少的信息安全相關專業(yè)高校教師，是高校做好網(wǎng)絡安全工作得天獨厚的優(yōu)勢。高校網(wǎng)絡安全工作要善于走群眾路線，充分挖掘資源優(yōu)勢，團結在校師生，形成高校網(wǎng)絡安全工作的重要補充力量。要積極動員組織高校學生成為網(wǎng)絡安全志愿者、網(wǎng)絡安全信息員、情報員，豐富高校網(wǎng)絡安全信息來源。要善于遴選學生參與學校網(wǎng)絡安全管理，彌補學校專業(yè)技術人員缺口少的短板。要充分利用高校信息安全相關專業(yè)的教師資源，組建專家團隊，強化專業(yè)培訓，為高校網(wǎng)絡安全提供智力支撐。

高校網(wǎng)絡安全工作是一個系統(tǒng)工作，需要整合學校各部門的力量，同時也要統(tǒng)籌協(xié)調(diào)外部力量和社會資源，推動建立共建共治共享的校園網(wǎng)絡安全工作格局。建立高水平工作隊伍，才能更好地總結PDCA在高校網(wǎng)站安全管理和運用中的經(jīng)驗和問題，積極探索更科學有效的高校網(wǎng)站安全管理模式。

4 結束語

高校網(wǎng)站安全管理是一個長期、復雜而又龐大的系統(tǒng)工程，通過運用PDCA循環(huán)，為高校網(wǎng)站安全管理打好基礎、抓好前提、提供保障和強化關鍵。在螺旋式的循環(huán)過程中，高校網(wǎng)站安全管理工作得到改進，高校網(wǎng)站安全管理能力得到有效提升。PDCA循環(huán)的應用，對于提高高校網(wǎng)站安全管理水平具有較好的實際作用。

接下來還要多從“人的因素”去考慮高校網(wǎng)站安全管理的體系設計以及相應的技術實現(xiàn)，而不僅僅是從政策要求或是純技術發(fā)展的視角去看待這個問題，從而為提升高校整體安全防護能力奠定良好的基礎。

參考文獻（References）：

[1] 劉振昌.高校網(wǎng)站安全管理模式的探索與實踐[J].華東師范大學學報（自然科學版），2015.A1：224-231

[2] 王左利.解讀《教育行業(yè)網(wǎng)絡綜合治理行動方案》[J].中國教育網(wǎng)絡，2017.6：15-16

[3] 賽爾網(wǎng)絡，綠盟科技.2018年高校網(wǎng)站安全脆弱性白皮書[EB/OL].[2019-11-12].https：//download.csdn.net/download/goldberg/10818222.

[4] 中國高等教育學會教育信息化分會網(wǎng)絡安全信息工作組.2015高校網(wǎng)絡信息安全調(diào)研報告[J].中國教育網(wǎng)絡，2015.11：56-59

[5]李亞平.多主體協(xié)同的網(wǎng)絡個人信息使用控制方案研究[J].重慶工商大學學報（自然科學版），2018.5：1-6

[6] 徐偉.基于廣電IMS業(yè)務的仿真測試系統(tǒng)設計與實現(xiàn)[J].南京郵電大學學報（自然科學版），2020.6：78-84

[7]施暢，張璐.高校網(wǎng)絡空間安全人才培養(yǎng)思想政治教育工作研究—以東南大學網(wǎng)絡空間安全學院為例[J].網(wǎng)絡空間安全，2020.8：114-118

[8] 吳世忠，江長青，孫成昊.信息安全保障[M].機械工業(yè)出版社，2017.

[9] 林振調(diào)，陳秀.基于PDCA的研究生管理信息系統(tǒng)設計研究[J].電腦知識與技術，2018.24：66-67

[10] 張小慧.基于AHP和PDCA的科研企業(yè)信息安全管理研究[J].管理創(chuàng)新，2019.6：324-325

[11] 袁粒星.基于PDCA模式的醫(yī)院科研實驗室安全管理實踐[J].教育教學論壇，2019.11：10-11

[12] 劉春蘭.系統(tǒng)論視域下高校黨建網(wǎng)站建設的思考[J].湖北開放職業(yè)學院學報，2018.21：28-29

[13] 陳青民，方莉莉.構建電子政務網(wǎng)絡安全運營體系[J].中國信息安全，2019.3：80-82