高校網(wǎng)絡安全風險PDCA循環(huán)預防與控制機制研究

韋素娟

福建江夏學院公共事務學院,福建福州,350108

1 問題提出與相關研究

高校網(wǎng)絡為高校提供教學、科研和各種應用服務。但網(wǎng)絡的開放性和互聯(lián)性也使校園網(wǎng)安全工作變得越來越嚴峻，各種系統(tǒng)漏洞、黑客攻擊、病毒入侵等嚴重影響高校工作正常開展和師生身心健康。雖然校園網(wǎng)絡安全問題已普遍得到各方高度重視，但校園網(wǎng)絡安全防控現(xiàn)狀仍不容樂觀。做好高校網(wǎng)絡安全風險防控是維護校園安全穩(wěn)定，保障教學科研工作的前提。本文對網(wǎng)絡安全相關的文獻進行了梳理，結合高校網(wǎng)絡安全風險防控中遇到的實際問題，運用PDCA循環(huán)理論構建了網(wǎng)絡安全風險防控機制，為高校網(wǎng)絡安全風險防控提供決策參考。

國內(nèi)網(wǎng)絡安全工作起步較晚，網(wǎng)絡安全風險防控能力還處在初級階段，但通過學習和借鑒國外先進技術，國內(nèi)也積累不少經(jīng)驗，具備了一定的基礎和條件，與國外先進技術的差距正在不斷縮小。近年來，國家相繼出臺網(wǎng)絡安全管理相關政策、開展專項治理和部署網(wǎng)絡安全應急等多項舉措，如2017年6月《網(wǎng)絡安全法》生效，進一步確保網(wǎng)絡安全，促進信息化，維護國家安全。2016年3月，在湖北武漢舉行的“國家政治安全與網(wǎng)絡社會風險治理”研討會上，楊銳利研究員指出網(wǎng)絡空間安全已被提升到國戰(zhàn)略高度。王芳教授認為，互聯(lián)網(wǎng)安全應形成有序的社會秩序；董天策教授認為，我國網(wǎng)絡動員存在非理性一面。多位與會學者針對公眾情緒，從心理學、數(shù)據(jù)挖掘角度等做了深入研究[1-2]。

針對高校網(wǎng)絡安全問題，國內(nèi)不同專業(yè)領域的專家們從不同的視角進行了研究。聶多均等分析了高校網(wǎng)絡安全教育的近況及有待解決的問題，建議從網(wǎng)絡安全意識教育、內(nèi)容、方法和運行機制等方面來加強網(wǎng)絡安全教育[3]。博新宇等對高校網(wǎng)絡潛在的安全問題與影響因素進行探討，從網(wǎng)絡安全技術、學校用戶和學校管理層三方面提出對策[4]。羅國富等從安全策略、安全技術和安全管理三個方面構建了動態(tài)安全體制[5]。王超等從樹立高校師生的網(wǎng)絡輿情觀、思想研究教育、應對處理機制三個維度對主體能動性進行了研究[6]。馬敏等分析了圖書館網(wǎng)絡內(nèi)部和外部面臨的安全風險，并提出應對策略來保障高校數(shù)字圖書館內(nèi)部網(wǎng)絡的安全[7]。趙榮英分析和總結了中國知網(wǎng)相關網(wǎng)絡信息安全文獻中的定量信息和研究熱點，認為網(wǎng)絡環(huán)境與信息安全、信息管理與安全策略、網(wǎng)絡信息類、網(wǎng)絡技術與信息系統(tǒng)是該領域的主要研究熱點，并提出了有針對性的建議[2]。以上研究主要關注網(wǎng)絡安全教育、輿情、技術、管理等熱點問題，將PDCA循環(huán)理論應用在校園網(wǎng)絡安全風險防控工作中的研究較少。

國外在網(wǎng)絡安全方面的研究和實踐比國內(nèi)早。西方國家在強化網(wǎng)絡信息的安全教育、提高網(wǎng)絡安全意識、完善網(wǎng)絡信息的安全應急響應方面做出了很多的舉措。美國自9.11發(fā)生后，更加關注網(wǎng)絡信息安全，特別是對敏感信息的監(jiān)管和對網(wǎng)絡防御技術的研發(fā)與應用，并出臺了有關網(wǎng)絡安全政策和法規(guī)。

隨著高新技術的快速發(fā)展，網(wǎng)絡安全風險的防控將面臨更加嚴峻的形勢。因此，如何做好網(wǎng)絡安全風險防控工作，最大限度地減少或避免網(wǎng)絡安全事件的發(fā)生，是一個具有重大戰(zhàn)略意義的話題，迫切需要解決。

2 相關概念

2.1 高校網(wǎng)絡安全風險防控概念

高校網(wǎng)絡安全風險是指高校這一特定的網(wǎng)絡環(huán)境遭受自然災害、人為破壞、設備軟硬件故障、黑客攻擊、各種木馬程序和病毒傳播等，使校內(nèi)重要信息系統(tǒng)、關鍵網(wǎng)絡設施面臨的一些不良后果發(fā)生的可能性[8]。高校網(wǎng)絡安全風險防控是指針對高校網(wǎng)絡安全潛在的風險，校網(wǎng)管部門及其他監(jiān)管部門采取有效措施，對校內(nèi)網(wǎng)絡安全重點區(qū)域、關鍵環(huán)節(jié)和主管崗位的潛在安全風險進行辨別鑒定、排查整改和防控處置等。

2.2 PDCA理論基礎

PDCA即計劃、執(zhí)行、檢查、處理四個詞的英文首字母的縮寫，由Walter A.Shewhtar于19世紀30年代提出，并由美國質量管理專家戴明博士推廣和應用而得到普及，又稱戴明環(huán)，也叫質量環(huán)，簡稱PDCA。其用于質量管理過程中持續(xù)改進、提升產(chǎn)品和服務的質量，是管理學中的一個通用模型。PDCA循環(huán)要求每個工作計劃在P階段、實施過程D階段、實施效果C階段、最終總結和行動階段A將成功經(jīng)驗或實踐進入標準，未解決和新發(fā)現(xiàn)的問題留待下一個循環(huán)去解決的持續(xù)改進的反復循環(huán)過程。

PDCA循環(huán)被企業(yè)廣泛應用，可有效辨別、防范和治理企業(yè)運營中的各種風險，規(guī)范企業(yè)運營管理流程，提高產(chǎn)品和服務的質量。高校網(wǎng)絡安全風險防控是一項復雜的系統(tǒng)工程，需事前做好預防、事中進行監(jiān)控、事后妥善處置等，這個流程需經(jīng)過不斷改進?；谝陨系闹笇枷?，可將PDCA循環(huán)理論應用于高校網(wǎng)絡安全風險防控方案設計、運行和維護、考查評價、處置改進等工作流程中。動態(tài)循環(huán)使網(wǎng)絡安全風險防控工作得到持續(xù)改進，有效降低網(wǎng)絡安全風險發(fā)生的可能性，提高網(wǎng)絡安全風險防控質量[9]。

3 高校網(wǎng)絡安全風險分析

高校網(wǎng)絡面臨諸多安全風險，目前校園網(wǎng)面對的風險主要包括以下幾方面。

3.1 入侵風險

入侵風險是指黑客利用高新技術手段，未經(jīng)許可獲取對方計算機的管理權限，進行窺視、惡意篡改或竊取他人數(shù)據(jù)等非法操作。非法入侵是黑客利用軟硬件上存在的安全漏洞進行攻擊，對網(wǎng)絡用戶的信息進行采集、竊取、販賣和利用。如設計上存在的缺陷、未知的漏洞、操作上的失誤和設置上的疏忽等都為非法入侵提供便利。利用計算機高新技術進行的犯罪愈來愈新穎化、隱蔽化。近年來抓獲的通過計算機進行犯罪的嫌疑人中，大多是計算機技術較精通的年輕學生。從他們的犯罪動機來看有兩類：一類是計算機愛好者抱著好奇或炫耀自己在計算機技術方面的特長，制造和傳播計算機病毒，侵入他人的計算機系統(tǒng)。第二類是被他人利用，違反國家網(wǎng)絡安全規(guī)定，入侵他人計算機系統(tǒng)，竊取商業(yè)情報、資料，甚至國家秘密。

3.2 病毒風險

病毒風險是一組指令或程序代碼，它們在計算機系統(tǒng)運行時自我復制并感染和侵犯計算機系統(tǒng)功能和程序。當前計算機流行病毒傳播的重要媒介是網(wǎng)絡。攻擊者向系統(tǒng)中侵入病毒,并利用病毒自身具有的破壞性、傳播性、潛伏性和隱蔽性等來破壞系統(tǒng)正常工作。病毒傳播呈現(xiàn)出多樣化、動態(tài)化和變異化，如新型網(wǎng)絡病毒的不斷升級和變異、擴散面廣、難于控制等特點，給防控工作不論從技術還是管理上都增加了難度。

多數(shù)高校的數(shù)據(jù)中心安全架構無法監(jiān)控整個應用層的攻擊行為和檢測終端是否感染了病毒，或是否受到特洛伊木馬的控制。校園內(nèi)有兩種重要的網(wǎng)絡病毒來源：一種是數(shù)據(jù)信息下載，另一種是Email傳播，輕則導致數(shù)據(jù)傳輸速度變慢或數(shù)據(jù)丟失，重則使服務器癱瘓，校園內(nèi)部網(wǎng)絡無法正常運行，影響學校工作秩序。

3.3 環(huán)境風險

環(huán)境風險主要是指高校網(wǎng)絡中心機房或是實驗室機房內(nèi)的溫濕度、灰塵、安全照明、腐蝕、不間斷供電、防火防盜、防靜電等工作環(huán)境。工作環(huán)境的變化可能會導致正在工作的電子設備出現(xiàn)故障。如服務器中心機房溫度驟升且散熱不通暢時，有可能導致元器件引腳間漏電，出現(xiàn)電?。辉骷砻姘l(fā)霉、觸點腐蝕，可能導致信息讀取錯誤;若工作環(huán)境溫濕度過低，則會產(chǎn)生較大的靜電，威脅設備和人員安全。工作環(huán)境對硬件設備的影響非常大，不良的工作環(huán)境會加速部件老化并縮短其使用壽命。

3.4 設備風險

設備風險是指系統(tǒng)設備及相關網(wǎng)絡設施可能受到破壞、丟失等。計算機終端、服務器、其他網(wǎng)絡輔助設備等若防護不當則有可能受到人為或自然災害破壞。加強設備基礎設施保護，可以有效減少網(wǎng)絡安全事件的發(fā)生。受成本和其他因素的影響，高校網(wǎng)絡設備配置參差不齊，但數(shù)量和種類眾多、網(wǎng)絡覆蓋面積大。設備的質量、兼容性、防火防盜、防靜電、防磁場干擾等配置不夠均可留下風險。

3.5 軟件風險

軟件風險是指高校內(nèi)使用的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)等本身存在漏洞或缺陷帶來的安全問題。這些漏洞或缺陷為非法入侵和病毒攻擊留下安全隱患，一旦計算機病毒入侵后，就有可能造成校內(nèi)重要數(shù)據(jù)丟失、破壞、不能訪問甚至癱瘓等安全問題。

Windows和Linux操作系統(tǒng)軟件、辦公軟件、教務軟件，財務軟件和科研軟件通常用于高校。防火墻技術有效隔離了內(nèi)網(wǎng)和校外網(wǎng)絡，但校園內(nèi)的用戶操作系統(tǒng)、數(shù)據(jù)庫和應用軟件有時無法及時從Internet上獲取補丁,致使系統(tǒng)中的漏洞得不到及時修補，易遭到校內(nèi)網(wǎng)的攻擊。據(jù)相關研究表明，有80%的網(wǎng)絡安全事件源于內(nèi)部網(wǎng)絡的進攻。黑客會利用操作系統(tǒng)和應用系統(tǒng)本身設計上存在的缺陷、漏洞和不兼容等問題，來破壞相關數(shù)據(jù)，中斷系統(tǒng)正常運行和窺探重要信息等。

3.6 人防風險

人防風險主要是校內(nèi)用戶操作技能或是安全意識不足而引發(fā)的計算機網(wǎng)絡安全風險。人防是保障校園網(wǎng)絡安全的最后一道屏障。高校人防主要由網(wǎng)絡安全管理人員和相關師生構成。

實際上，很多的高校網(wǎng)管人才欠缺，且普遍網(wǎng)絡安全知識結構層次不夠[10]。高校網(wǎng)絡安全管理人員由網(wǎng)絡中心部分人員、各部門分管人員和學生代表組成，多是非計算機專業(yè)人員，缺乏計算機綜合知識、網(wǎng)絡高新技術和相關核心技術，無法充分利用現(xiàn)有技術去合理配置和管理校內(nèi)網(wǎng)絡，及時檢測存在或未發(fā)現(xiàn)的安全問題。例如，管理員或用戶設置了資源訪問控制權限，但權限不合理，或者網(wǎng)絡配置中存在安全風險，給計算機網(wǎng)絡安全帶來風險。

網(wǎng)絡安全風險防護宣傳不到位。某些風險在高校師生群體中進行傳導和滲透，影響這類群體的思維和行為，造成不可想象的嚴重后果。有的高校擁有較好的網(wǎng)絡安全技術，如入侵檢測系統(tǒng)、防火墻和生物鑒別設備等，但一些師生的網(wǎng)絡安全風險防護意識不強，只關注網(wǎng)絡帶來的便利，忽視潛藏的安全問題。如在網(wǎng)上下載不安全的內(nèi)容、點擊不安全鏈接，沒有定期升級系統(tǒng)補丁、應用軟件和殺毒軟件的上網(wǎng)習慣，隨意泄漏個人信息等，造成個人隱私、個人信息泄露，給校園網(wǎng)絡安全留下安全隱患。

3.7 機制風險

機制風險主要是指高校網(wǎng)絡安全規(guī)章制度不健全、監(jiān)管與職責不到位、網(wǎng)絡安全風險防控體系不完善和風險應對能力不足所造成的潛在風險。目前，一些高校的網(wǎng)絡管理系統(tǒng)監(jiān)管職責落實不到位，網(wǎng)絡安全風險意識薄弱，管理上不夠重視，應用系統(tǒng)非法或者越權，造成重要的數(shù)據(jù)被破壞、丟失或篡改，嚴重影響校內(nèi)數(shù)據(jù)的完整性、安全性和保密性。高校網(wǎng)絡安全機制無法有效發(fā)揮作用，從而為非法入侵者提供了威脅高校網(wǎng)絡風險的機會。

4 PDCA循環(huán)在高校網(wǎng)絡安全風險防控中的應用

網(wǎng)絡安全風險防控是一個不斷改進的循環(huán)過程，將PDCA循環(huán)理論運用到校內(nèi)網(wǎng)絡安全風險防控工作中，可有效提升網(wǎng)絡安全風險防控工作效果，降低網(wǎng)絡安全事故的發(fā)生。如圖1所示。

圖1 高校網(wǎng)絡安全風險PDCA循環(huán)預防與控制機制模型

4.1 P(計劃)階段

依據(jù)網(wǎng)絡安全有關法律法規(guī)，現(xiàn)階段網(wǎng)絡技術和通信技術等級，并結合高校網(wǎng)絡安全現(xiàn)狀等進行分析，擬定未來一段時期內(nèi)網(wǎng)絡安全風險防控要達到的目標和具體方案的實施過程。在萬物互聯(lián)的趨勢下，做好校園網(wǎng)絡安全風險防控，將其納入網(wǎng)絡安全工作常態(tài)化。首先，找出當前高校網(wǎng)絡安全存在的具體問題，分析、判斷并組織相關人員進行討論，提出有效建議。再聘請網(wǎng)絡安全方面的專家和經(jīng)驗豐富人員對校內(nèi)網(wǎng)絡安全風險防控進行全面論證，指出當前和未來校內(nèi)網(wǎng)絡安全面臨的危險源和安全漏洞，進行預定級，更新應對預案，提前防控。其次，根據(jù)當前校園網(wǎng)安全風險產(chǎn)生的原因、可能性和后果，建立校園網(wǎng)安全風險防控目標，確定階段目標。最后，制定具體計劃，闡明具體任務時間表和時間節(jié)點。

4.2 D(行動)階段

按照P階段制定的方案和計劃在校內(nèi)開展相應的網(wǎng)絡安全排查活動的過程。一是成立校園網(wǎng)絡安全風險防控指揮小組，要求各部門的聯(lián)網(wǎng)設備嚴格執(zhí)行校內(nèi)網(wǎng)的各項網(wǎng)絡安全規(guī)章制度。定期巡查網(wǎng)絡設備運行狀況，定期升級網(wǎng)絡安全設備和病毒防護安全軟件，系統(tǒng)存在漏洞要下載補丁進行更新。強化網(wǎng)絡中的脆弱區(qū)域，有計劃地召開網(wǎng)絡安全培訓會，加強校內(nèi)各部門的溝通與協(xié)調(diào)。二是利用校內(nèi)自媒體廣播、宣傳欄等傳播網(wǎng)絡法律法規(guī)和網(wǎng)絡安全常識。從網(wǎng)絡安全風險防控專項經(jīng)費中撥出一部分來用于每學期組織一次網(wǎng)絡安全知識競賽，提高師生的網(wǎng)絡安全風險防控意識。三是面對網(wǎng)絡安全險情，網(wǎng)管部門要立即啟動相應的預案，迅速開展相關工作。

4.3 C(檢查)階段

根據(jù)計劃、方案的實施來檢驗校園網(wǎng)絡安全風險防控D階段行動效果的過程。將檢查結果與校園網(wǎng)絡安全風險防控目標一一比對，詳細標出具體目標完成情況，并客觀公正評價每個目標完成情況，對沒有完成目標的，找出具體原因。著重檢查學校網(wǎng)絡安全的各種規(guī)則和規(guī)定是否合理,責任是否得到有效落實、網(wǎng)絡安全人員保障、資金保障、網(wǎng)絡安全教育培訓、安全隱患排查整改情況和網(wǎng)絡安全運行記錄等各方面是否健全。

4.4 A(整改)階段

對校內(nèi)網(wǎng)絡安全風險防控的檢查結果進行分析和總結，延續(xù)成功做法和經(jīng)驗，重點規(guī)劃校內(nèi)網(wǎng)絡安全風險防控新目標和上輪尚未解決的問題的過程。將C階段檢查中的有效措施進行標準化、制度化，并在今后網(wǎng)絡安全工作中繼續(xù)執(zhí)行和推廣。存在的問題要及時整改，解決不了的和新防控目標轉入下一輪的PDCA循環(huán)，逐步解決學校網(wǎng)絡安全風險防控中存在的問題，不斷提高學校網(wǎng)絡安全風險防控水平。

5 高校網(wǎng)絡安全風險PDCA循環(huán)防控機制的實施保障

基礎設施和安全機制是網(wǎng)絡安全保障的基礎，技術是安全保障的核心，網(wǎng)絡安全意識與行為是保障的方向，人才配備和有效管理才是保障的關鍵[11]。PDCA循環(huán)在高校網(wǎng)絡安全風險防控過程中的應用，側重于確立校園網(wǎng)安全的總體目標，完善各種網(wǎng)絡安全規(guī)章制度，牢固樹立網(wǎng)絡安全意識，有效提高校園網(wǎng)絡安全風險防控質量。

5.1 健全高校網(wǎng)絡安全機制

健全的網(wǎng)絡安全法規(guī)是高校網(wǎng)絡安全風險PDCA周期防控機制有序發(fā)展的基本保障。通常情況下，規(guī)章制度具有滯后性，為保證規(guī)章制度具有普適性、持續(xù)性和前瞻性，可依據(jù)2017年6月1日實施的《網(wǎng)絡安全法》，對現(xiàn)有的網(wǎng)絡安全規(guī)章制度和具體的操作規(guī)程進行補充和完善。如內(nèi)網(wǎng)安全管理規(guī)則、內(nèi)網(wǎng)用戶代碼、漏洞檢測和系統(tǒng)升級管理系統(tǒng)、中央數(shù)據(jù)中心機房門禁管理系統(tǒng)和中心數(shù)據(jù)室消防安全規(guī)定等,并建立校園網(wǎng)安全領導團隊和網(wǎng)絡安全事件處理辦公室等。

5.2 加強校園網(wǎng)絡安全關鍵技術投入和網(wǎng)管隊伍的建設

學校網(wǎng)絡建設要做好統(tǒng)籌規(guī)劃，將建設后期管理納入同等重要位置來抓，特別是年度預算中應設有網(wǎng)絡安全風險防控專項經(jīng)費，保證網(wǎng)絡安全風險PDCA循環(huán)防控機制的有效實施。一部分經(jīng)費用于配備網(wǎng)絡安全配套設施和安全軟件，如購買流量控制系統(tǒng)、輿情監(jiān)控系統(tǒng)、云安全技術、用戶認證技術等一些網(wǎng)絡安全產(chǎn)品。另一部分經(jīng)費用于校內(nèi)網(wǎng)絡安全隊伍培訓工作和在校內(nèi)開展其他網(wǎng)絡安全教育、競賽活動等。

業(yè)務精與專業(yè)強的網(wǎng)絡安全隊伍是落實校園網(wǎng)絡安全風險PDCA循環(huán)防控工作的重要保證。只有專業(yè)技術強硬的網(wǎng)絡安全隊伍才能及時識別與處理正在發(fā)生或潛在的網(wǎng)絡安全威脅，并采取有效措施控制并降低網(wǎng)絡安全帶來的不良影響。一方面，學校要積極建設網(wǎng)絡安全隊伍，定期進行專業(yè)培訓和工作考核。選派核心人員深入相關企業(yè)鍛煉，學習前沿科技，或請網(wǎng)絡安全專家到校指導工作。另一方面，鼓勵和引導各部門的信息安全員、輔導員和學生骨干參與校內(nèi)網(wǎng)絡安全管理工作[12]，全方位協(xié)同合作，做好網(wǎng)絡安全風險跟蹤監(jiān)測，并及時報送校園網(wǎng)絡中存在的安全隱患，應對突發(fā)事件，消除不利影響。

5.3 加大網(wǎng)絡安全風險防范意識的宣傳力度

高校網(wǎng)絡是高校師生學習、工作和生活的重要平臺，師生的網(wǎng)絡安全風險防范意識與他們的上網(wǎng)行為有直接關系。校內(nèi)網(wǎng)絡安全風險PDCA循環(huán)防控實施過程需師生人人參與、共同防范。一是校內(nèi)網(wǎng)管部門帶頭抓好師生網(wǎng)絡安全教育和宣傳工作，引導廣大師生學習網(wǎng)絡安全相關政策法規(guī)，注重網(wǎng)絡安全，防范各類網(wǎng)絡詐騙行為，提高網(wǎng)絡安全風險防范意識。如每學期定期向全校師生開展網(wǎng)絡安全知識講座；在教師和學生集中的區(qū)域設立網(wǎng)絡安全公告，發(fā)布網(wǎng)絡安全標語，宣傳基本網(wǎng)絡安全法律法規(guī)和網(wǎng)絡安全基礎知識;從網(wǎng)絡安全管理經(jīng)費中拿出一部分經(jīng)費來舉辦網(wǎng)絡安全知識有獎競賽等。二是加強對師生日常上網(wǎng)行為的監(jiān)管，將校內(nèi)網(wǎng)絡用戶實行實名制，并將實名制體系建設與輿情監(jiān)管有效整合[4]，使每一位師生自覺規(guī)范言論，加強自我隱私保護，有效辨識網(wǎng)絡中各種欺詐行為，提升基本防護技能，養(yǎng)成良好的上網(wǎng)習慣，將網(wǎng)絡安全防控意識植根于每一位師生的深層思想[13]，有效提高師生的網(wǎng)絡安全意識。

6 結 語

網(wǎng)絡安全風險防控是一項長期而復雜的系統(tǒng)工程，在網(wǎng)絡空間和現(xiàn)實空間的相互融合的大數(shù)據(jù)時代，面對變幻莫測的網(wǎng)絡安全風險，高校網(wǎng)絡安全風險防控工作需要與時俱進，不斷改進和完善。