江蘇科技大學(xué)打造網(wǎng)信安全立體化管理新模式

陳宓宓 薛云霞

近日，江蘇科技大學(xué)順利通過了數(shù)字化校園系統(tǒng)、云平臺(tái)信息系統(tǒng)、校園主頁(yè)及站群系統(tǒng)的二級(jí)等保測(cè)評(píng)以及電子郵件系統(tǒng)的三級(jí)等保測(cè)評(píng)。

這份成績(jī)正是江蘇科技大學(xué)打造網(wǎng)信安全立體化管理模式的成果之一。自《中華人民共和國(guó)網(wǎng)絡(luò)安全法》頒布以來(lái)，江蘇科技大學(xué)緊跟中央網(wǎng)信辦要求，以高屋建瓴的頂層設(shè)計(jì)、立體規(guī)范的管理、創(chuàng)新靈活的聯(lián)動(dòng)機(jī)制，圍繞網(wǎng)信安全怎么創(chuàng)新、怎么做實(shí)、怎么干好三個(gè)方面， 全力推行“制度先行、定期排查、定時(shí)掃描、承諾保障、及時(shí)整改”的立體化管理模式，在實(shí)踐中收到了良好的效果。

實(shí)施CIO制度

強(qiáng)化網(wǎng)絡(luò)安全責(zé)任

2017年在省內(nèi)高校中率先推出CIO體系，從管理組織架構(gòu)上確定能統(tǒng)籌規(guī)劃、統(tǒng)籌預(yù)算、統(tǒng)籌協(xié)調(diào)與建設(shè)信息資源和技術(shù)的學(xué)校領(lǐng)導(dǎo)崗位及其執(zhí)行體系。江蘇科技大學(xué)成立了以校黨委書記和校長(zhǎng)為組長(zhǎng)、分管信息化和輿情的副校長(zhǎng)為副組長(zhǎng)的網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組;頒布《江蘇科技大學(xué)首席信息官制度》，構(gòu)架以“網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”為決策層、“網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室”為協(xié)調(diào)層、各部門信息主管（干事）為執(zhí)行層的三層隊(duì)伍體系。

這樣的工作架構(gòu)使學(xué)校網(wǎng)信安全工作落到了實(shí)處，確保網(wǎng)絡(luò)和信息安全工作半徑縱向到底、橫向到邊。所有二級(jí)部門的信息主管精心籌劃，信息干事對(duì)部門網(wǎng)絡(luò)信息安全范疇的自查自糾，不僅簽署《安全承諾書》，還參照《江蘇科技大學(xué)信息安全應(yīng)急預(yù)案》起草制定本部門應(yīng)急預(yù)案、組織應(yīng)急處置演練。

實(shí)行CIO制度后，我校網(wǎng)信安全保障能力逐年提升。2017年以來(lái)，根據(jù)《江蘇科技大學(xué)信息系統(tǒng)（網(wǎng)站）安全管理辦法》協(xié)調(diào)處置網(wǎng)絡(luò)安全漏洞84條，清理“僵尸”信息系統(tǒng)11個(gè)，關(guān)閉有安全隱患的聯(lián)網(wǎng)信息發(fā)布終端10個(gè)。

優(yōu)化校園網(wǎng)結(jié)構(gòu)

實(shí)施網(wǎng)信安全報(bào)告制

2018年10月，學(xué)校順利通過鎮(zhèn)江市網(wǎng)絡(luò)安全執(zhí)法現(xiàn)場(chǎng)檢查。2018年年底，參加江蘇省公安廳主辦的網(wǎng)絡(luò)安全攻防演練，成功發(fā)現(xiàn)攻擊行為，并以工作規(guī)范性在全省范圍內(nèi)被表?yè)P(yáng)。這些業(yè)績(jī)折射出江蘇科技大學(xué)網(wǎng)絡(luò)和信息化安全管理思路的成效。

學(xué)校網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組高度重視網(wǎng)信安全的整體架構(gòu)和宏觀規(guī)劃，制定了“以優(yōu)化網(wǎng)絡(luò)設(shè)備的安全策略、強(qiáng)化網(wǎng)絡(luò)安全的軟硬件建設(shè)為抓手，以扁平化改造、精細(xì)化網(wǎng)絡(luò)管理為載體，施行白名單制度、嚴(yán)控服務(wù)器訪問”的管理思路。周南平校長(zhǎng)要求學(xué)校以網(wǎng)絡(luò)、安全和數(shù)據(jù)為基礎(chǔ)，信息化服務(wù)為導(dǎo)向，新校區(qū)建設(shè)為重點(diǎn)，持續(xù)增強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)能力。

信息化中心作為網(wǎng)信安全工作的核心部門，通過扁平化改造實(shí)現(xiàn)了精細(xì)化網(wǎng)絡(luò)管理，回收用戶端的教育網(wǎng)公網(wǎng)IP地址1000余個(gè)。信息化中心發(fā)布《江蘇科技大學(xué)網(wǎng)絡(luò)與信息安全事件報(bào)告制度》《江蘇科技大學(xué)網(wǎng)絡(luò)與信息安全問題通報(bào)制》，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全問題的早發(fā)現(xiàn)、早處置，具體做法為：根據(jù)對(duì)網(wǎng)站、信息系統(tǒng)的常態(tài)化監(jiān)測(cè)，一方面通過電話、短信、電子郵件和書面通知等方式，及時(shí)向責(zé)任部門下發(fā)《網(wǎng)絡(luò)和信息安全隱患限時(shí)整改通知單》，另一方面以季度報(bào)告、月度簡(jiǎn)報(bào)、不定期通報(bào)等方式向網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組和各部門通報(bào)存在的漏洞、后門、暗鏈、弱口令等安全隱患，并負(fù)責(zé)跟蹤核查整改結(jié)果。入侵行為檢測(cè)數(shù)據(jù)顯示，數(shù)據(jù)中心安全防護(hù)效果逐月增強(qiáng)。2018年隱患整改速度和整改效果與2017年同比提升四成左右，2019年上半年與2018年下半環(huán)比提升13%。

落實(shí)數(shù)據(jù)安全

捍衛(wèi)師生敏感信息

大數(shù)據(jù)時(shí)代背景下，高校信息化產(chǎn)生的各類數(shù)據(jù)成為高校最重要的資產(chǎn)之一。學(xué)校在推進(jìn)業(yè)務(wù)系統(tǒng)整合、共享數(shù)據(jù)平臺(tái)建設(shè)、智慧校園建設(shè)、數(shù)據(jù)分析與挖掘等大數(shù)據(jù)建設(shè)的同時(shí)，堅(jiān)持安全與發(fā)展并重的方針，為大數(shù)據(jù)發(fā)展構(gòu)建安全保障體系，在充分發(fā)揮大數(shù)據(jù)價(jià)值的同時(shí)，解決面臨的數(shù)據(jù)安全和個(gè)人信息保護(hù)問題。信息化中心從漏洞掃描預(yù)警、攻擊行為防護(hù)、訪問身份識(shí)別、運(yùn)維操作管控、重要數(shù)據(jù)加密、操作行為審計(jì)、數(shù)據(jù)容災(zāi)備份這七方面入手，不斷夯實(shí)數(shù)據(jù)層面安全管理工作。

這系列安全舉措，取得了明顯的成效。江蘇省高校信息化建設(shè)先進(jìn)單位、中國(guó)教育科研網(wǎng)優(yōu)秀會(huì)員單位等榮譽(yù)紛至沓來(lái)。

加強(qiáng)學(xué)科建設(shè)

創(chuàng)新網(wǎng)信人才培養(yǎng)

網(wǎng)信安全人才培養(yǎng)范疇中，江蘇科技大學(xué)育人成果喜人。學(xué)校在第十屆中國(guó)大學(xué)生計(jì)算機(jī)設(shè)計(jì)大賽中榮獲一等獎(jiǎng)1項(xiàng)、二等獎(jiǎng)5項(xiàng)、三等獎(jiǎng)1項(xiàng)。王子昂蟬聯(lián)第二屆、第三屆滴滴“信息安全高校闖關(guān)賽”冠軍，并取得在日本東京舉行的第四屆全球信息安全攻防賽第四名的好成績(jī)。學(xué)校承辦江蘇省第九屆信息安全高層論壇。

學(xué)校響應(yīng)中央網(wǎng)信辦的號(hào)召，加快網(wǎng)絡(luò)安全人才培養(yǎng)，從2016年起，設(shè)置信息安全本科專業(yè)，現(xiàn)已培養(yǎng)120名在校生。學(xué)校認(rèn)真貫徹《關(guān)于加強(qiáng)網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》，高度重視網(wǎng)絡(luò)安全人才的創(chuàng)新創(chuàng)業(yè)教育工作，構(gòu)建了“教學(xué)-實(shí)訓(xùn)-競(jìng)賽-孵化”四位一體的創(chuàng)新創(chuàng)業(yè)教育培養(yǎng)體系。以教學(xué)為基礎(chǔ)，夯實(shí)創(chuàng)新創(chuàng)業(yè)教育課程建設(shè);以實(shí)訓(xùn)為載體，課內(nèi)課外相結(jié)合，建設(shè)一系列創(chuàng)新實(shí)驗(yàn)室和創(chuàng)新創(chuàng)業(yè)社團(tuán)，持續(xù)實(shí)施大學(xué)生創(chuàng)新訓(xùn)練計(jì)劃;以賽事為抓手，積極組織學(xué)生參加高水平競(jìng)賽活動(dòng)，保證每個(gè)學(xué)生至少參加一項(xiàng)學(xué)科競(jìng)賽、創(chuàng)新訓(xùn)練項(xiàng)目或?qū)I(yè)實(shí)踐活動(dòng)。

以定期舉辦的攻防實(shí)戰(zhàn)演習(xí)為例，參與其中的學(xué)生收獲的不僅是攻防知識(shí)與技巧，使學(xué)生零距離感受到各種攻擊手段的魅力以及信息安全現(xiàn)實(shí)的殘酷，更加深了學(xué)生對(duì)專業(yè)迫切性和嚴(yán)肅性的理解，激發(fā)其社會(huì)責(zé)任感。

開展培訓(xùn)教育

提高安全意識(shí)和技能

網(wǎng)絡(luò)安全永遠(yuǎn)在路上，網(wǎng)信安全人人有責(zé)。這場(chǎng)攻堅(jiān)戰(zhàn)既是網(wǎng)信辦的戰(zhàn)斗，也是對(duì)全體師生員工的網(wǎng)信安全意識(shí)的洗禮。

首先要處理好網(wǎng)信安全和學(xué)校發(fā)展的平衡關(guān)系。網(wǎng)信安全工作可能會(huì)增加師生員工的工作量，但網(wǎng)信安全這項(xiàng)工作必不可少。為提高師生的認(rèn)識(shí)，學(xué)校網(wǎng)信辦通過推行網(wǎng)信安全工作例會(huì)制和項(xiàng)目研討制，擴(kuò)大宣傳和教育力度。2018年共召開38次工作例會(huì)，組織19個(gè)項(xiàng)目的安全專項(xiàng)討論。利用新生入學(xué)教育、新教師入職教育、網(wǎng)絡(luò)安全宣傳周、信息化建設(shè)與管理中心黨支部特色活動(dòng)等契機(jī)，通過形勢(shì)政策課、講座、報(bào)告會(huì)、參觀、一對(duì)一交流、微信推送、郵件推送、主題網(wǎng)頁(yè)等方式，面向廣大師生開展線上線下并行的網(wǎng)絡(luò)安全宣傳教育，提高其網(wǎng)絡(luò)和信息安全意識(shí)和素養(yǎng)。

其次，網(wǎng)信安全工作關(guān)系到認(rèn)識(shí)、機(jī)制、制度、管理、技術(shù)、隊(duì)伍、經(jīng)費(fèi)等各方面，而且需要調(diào)動(dòng)各種資源、要獲得全體人員的共識(shí)，需要全校上下持續(xù)不斷的努力。根據(jù)學(xué)校網(wǎng)絡(luò)和信息安全工作薄弱環(huán)節(jié)以及年度工作重點(diǎn)，網(wǎng)信辦制定了針對(duì)不同對(duì)象的網(wǎng)絡(luò)和信息安全教育計(jì)劃，重點(diǎn)開展面向信息主管、信息干事和系統(tǒng)管理員的專題培訓(xùn)，切實(shí)提高廣大師生的網(wǎng)絡(luò)安全意識(shí)和防護(hù)能力。領(lǐng)導(dǎo)小組多次召開網(wǎng)信安全工作協(xié)調(diào)會(huì)，要求切實(shí)加強(qiáng)網(wǎng)絡(luò)安全管理，全面筑牢網(wǎng)絡(luò)安全防線，營(yíng)造安全和諧網(wǎng)絡(luò)環(huán)境。信息化中心圍繞網(wǎng)信安全和用戶體驗(yàn)專題，多次召開培訓(xùn)會(huì)。今年4月，信息化中心推出“營(yíng)造風(fēng)清氣正網(wǎng)絡(luò)空間，促進(jìn)線上線下黨建融合”主題教育活動(dòng)，設(shè)立網(wǎng)絡(luò)安全宣傳月，多渠道多階段開展網(wǎng)信安全知識(shí)宣傳，掀起全校學(xué)習(xí)網(wǎng)信安全的熱潮，增強(qiáng)師生網(wǎng)絡(luò)安全意識(shí)，營(yíng)造風(fēng)清氣正的校園網(wǎng)絡(luò)空間。