马新科吴 爽2.华北电力大学信息化建设与管理办公室；2.华北电力大学网络与信息中心马新科，男，硕士，华北电力大学信息化建设与管理办公室，主要研究方向为信息化推进管理、网络信息安全。



大安全观下高校网络信息安全建设

马新科1吴 爽2
1.华北电力大学信息化建设与管理办公室；2.华北电力大学网络与信息中心
马新科，男，硕士，华北电力大学信息化建设与管理办公室，主要研究方向为信息化推进管理、网络信息安全。

link

随着大学信息化建设的深入推进，网络信息安全体系建设也逐渐融合并发展进来。该文以华北电力大学网络信息安全体系构建过程为基础，从技术安全和内容安全两个视角全面分析了学校的信息安全现状和面临的问题，扩展了网络信息安全的管控内涵。最后，结合学校工作实际，从信息安全等级保护和内容安全管理的角度介绍了学校网络信息安全体系建设的过程。

随着大互联网的迅猛发展以及信息化水平的不断提高，教育信息化已成为高水平大学建设的一个发力点和“弯道超车点”，各大高校也积极抓住发展的契机，不断推进数字校园向智慧校园和智能校园的转变。同时，高校越来越多的教学资源、图书资源、管理数据也进了数据中心，信息化的发展与网络的发展已经和大学前进的步伐逐渐同步。但是，在大学信息化向纵深发展的同时，网络信息安全问题越来越突出，目前高校网站被黑客攻击、挂马、信息系统数据泄露、不实信息传播等问题层出不穷，大学网络空间墙壁的可靠性和坚强性受到了极大的挑战。

本文从华北电力大学网络信息安全体系建设工作的实际出发，以大安全观的角度详细阐述了我校信息安全体系建设的步骤和内容、经验。

高校网络信息大安全观的内涵及重要性

一般意义上，高校网络信息安全是指：在高校网络空间中，运行的各类软硬件、信息系统、用户数据能够被有效地保护，不会被攻击者破坏并泄露数据，各系统服务和网络服务稳定地运行支持学校各项业务的开展。随着高校网络信息化的深入发展，安全概念及安全领域的拓展，由于高校思想阵地的特殊性，高校网络信息安全的涵义也不仅仅局限于技术安全领域，而是突破了一般概念的束缚，将网络信息内容安全及传播安全也同时容纳进来。另外，由于网络信息安全涉及部门众多，一旦出现问题，联动效应明显，因此从某种意义上来说，这也拓宽了高校网络信息安全的内涵。

高校网络信息大安全观的内容包括：系统运行安全、系统信息内容安全、网络信息传播安全。大安全观的“大”主要体现在它突破了一般意义上的安全，将信息传播安全纳入进来了，另外由于网络信息安全问题涉及的部门众多，也是“大”的一方面体现。因此，高校网络信息安全又可以分为技术安全和内容安全，技术安全是从网络信息技术层面保证的系统安全和数据安全，内容安全是从信息传播层面，数据信息的真实性、完整性被较好的保护，未受到“脏信息”的传播干扰，最终保证信息数据在校园网络上的安全运行和传输、传播。

2014年2月27日，中央网络安全和信息化领导小组成立，这表明网络信息安全问题已经从国家层面开始，自上而下的被重视起来。习近平总书记作为小组组长，在会议上强调：“没有网络安全就没有国家安全，没有信息化就没有现代化。”高校网络信息大安全观的实质就是要保证学校网络空间中的各类资源被安全的获取并传播，事关学校的各类信息未经恶意传播，最终确保学校网络空间的安全稳定。由于高校的发展牵动着社会的神经，一旦事关高校的数据信息受到破坏、泄露或者不实扩散传播，造成的后果将十分严重，所以高校网络信息安全体系的建设一直都是各高校在信息化发展的同时考虑的重要前提。

高校网络信息安全现状分析及面临的问题

现状分析

目前高校网络信息安全问题形势严峻，首先是黑客对高校门户网站的攻击，一旦高校主页被篡改，贴上反动标语，这种影响将是巨大的。其次是对高校应用系统的威胁，高校的信息门户、财务、教务、一卡通等应用系统的重要数据一旦被篡改或者丢失，将严重影响学校的正常运转。再者是网络信息的快速传播对信息监管带来的挑战，由于信息发布平台的多样性和复杂性，信息的传播渠道十分宽广，尤其是在高校这种环境下，大学生群体的思想比较活跃，这给信息监管部门的工作增加了极大的难度。目前高校整体网络信息安全形势严峻，仍存在多方面影响因素。

（1）安全意识淡薄。高校网络信息系统（网站）的管理者、使用者的技术水平以及安全道德素养对信息安全有很大影响。在高校网络及应用系统建设中，建设主导者一般为具体业务部门的人员，信息化部门的人员一般负责协调，这就导致系统在建设过程中更多的考虑功能性的问题，而忽略了系统安全。在高校网络信息内容监管方面，由于涉及部门多，人员广，每个人的网络信息安全意识较难统一并形成合力，从大安全观的角度共同解决网络信息安全事件。

（2）技术水平有限。目前，大多数高校网络及信息平台的数据和信息主要靠具体的业务部门自行管理，虽然大多数高校均已建设了数字化校园，对校园信息数据进行了集成，但这种源数据的安全仍然依赖于具体业务部门的工作人员的技术水平。在网络及信息系统的日常管理维护中，高校由于技术力量的薄弱，往往容易成为受害的对象；在有损学校正面形象的不实信息扩散传播时，技术人员往往缺乏对应的手段进行及时处理，从而导致网络信息安全事件的发生。

（3）管理模式落后。高校网络信息安全并不单纯涉及技术问题，同时与管理有很大关联，尤其是“云大物移”的快速发展对高校网络安全管理体系的冲击十分巨大。高校网络信息安全管理涉及部门多、范围广，建立一体化的管控机制比较困难，这导致在处理信息安全事件时，分工混乱，权责模糊，容易造成“踏空现象”的发生。高校网络是一个极其开放的环境，高校用户是一个活跃的大规模群体，在这种环境下实施统一的安全策略是不现实的，仍然需要创新管理模式，适应大互联网时代学校网络信息安全空间发展的新需求。

面临的问题

大互联网的迅速发展对高等教育行业产生了巨大的影响，在带来资源便捷访问的同时，新的安全问题也同时诞生。目前，高校信息网络承载着越来越多的应用系统，如教务管理系统、科研协同系统、网上办事系统等，这些系统的使用都隐藏着一定的安全问题。从大安全观的角度，高校网络信息安全面临的问题主要在于漏洞、病毒传播和攻击、非法入侵和攻击、恶意破坏应用系统、不实信息非法传播等方面。

华北电力大校园网注册用户2万，全校采用网关实名认证方式上网，校园网为万兆主干网络，出口带宽共计2.5G，所有教学办公区开通了无线网络。在技术安全防护方面，我校采取了多域多级防火墙、上网行为管理系统、VPN系统、网络防病毒系统、流量监控系统、网络管理系统、环境监控系统、实名制认证上网系统、网络备份与恢复系统等多项网络安全措施，为校园网的安全稳定提供了一定的保障。

我校的网络信息系统主要包括：上网认证计费系统、校园“一卡通”系统、邮件、网站群、OA、教务管理系统、大财务管控等。通过与国内外其他高校的网络信息安全整体建设和保障水平进行对比，并结合等级保护差距分析和风险评估，发现我校在网络信息系统（网站）技术安全方面，面临的风险和问题如下：

（1）网络信息安全体系建设规划不完善，落实起来难度较大；

（2）网络信息安全体系管理条块划分界限模糊；

（3）信息化服务对象安全意识淡薄，系统安全使用素养水平较低；

（4）信息化技术和管理方面均缺乏安全评估、监管检查反馈机制；

（5）网络信息安全建设投入不足，人员流动性大。

高校是十分活跃的思想阵地，大学生是这一阵地的主角，怎样更好的守卫并引导这一思想阵地的发展，使其更好的服务大学的发展，是一项重要的研究课题。由于网络的快速发展，高校传播的阵地延伸到了网络空间，网络思想阵地也迅速成为大学生热议各类话题的平台。由于该平台的开放性，故其很容易被不法分子利用，成为不实信息传播扩散的源头。一旦某些不实信息通过各大社交平台迅速传播，若高校不能快速的进行危机公关处理，将造成高校网络信息安全事故，对学校的形象造成损失。经过总结分析，我校网络信息内容安全面临的问题，主要有以下三种表现形式。

（1）境外不实信息对高校的信息安全冲击。由于网络的便捷性和信息的传播快速，网络上一些不法分子常利用微博、论坛、贴吧等信息发布平台，发布关于学校的小道消息和谣言。境外各种势力也常常打着“内幕曝光”、“敏感事件”剖析的旗号，通过网络向高校师生传播信息。这些信息隐蔽性强，欺骗性大，容易引起大学生的好奇心。这种有害信息还经常会通过信箱搜索，自动发送垃圾邮件给在校师生，充斥着学校的邮箱系统，这给学校的网络安全防护工作带来了新的困难。

（2）不法分子借助新媒体对高校师生和谐氛围的信息安全攻击。高校作为一种特殊性的组织，在社会中扮演着很多交叉角色，各种因素交织影响着学校的发展。在网络越来越普及的现实情形下，社会上各类群体在网络上的发声对高校形象的影响越来越大，很多细微的话题经过网络的放大、扩散，容易造成信息的不实传播。如一些破坏高校和谐的不法分子，常在论坛、贴吧、自媒体平台中发布高校人事、招生、教学、科研等方面的不实信息，或恶意诋毁学校某领导、教授等公众人物，借此营造一种不利于学校的氛围，给学校施加社会舆论压力，阻碍学校的正常发展。

（3）高校内部恶意信息的传播带来的信息内容安全问题。有些师生凭着自己一时的情绪，在社交媒体上传播恶行恶言，捏造事实，对学校领导、教师和学生进行信息泛滥攻击。这种带有严重个人情绪的信息会通过网络恶意扩散，十分不利于学校正面形象的展示。归根结底，这都是由于我校缺乏教师和学生活跃参与的网络阵地，他们只能借助于其他平台发泄自身的情绪。

上述三类网络信息内容安全的表现形式，还会以其他形式演变发展并影响着高校的正常运转，这仍需网络信息安全工作者在实际问题中，具体问题具体分析。

我校网络信息安全体系建设思路

网络信息安全体系建设涉及的部门多、范围大、人员广，必须坚持从大安全观的角度出发，遵循“统一规划，分步实施，需求为主，突出重点” 的总体原则，才能将网络信息安全体系建设落到实处。我校的网络信息安全体系建设分别从以下两点展开：信息技术安全和信息内容安全，两条主线在网络信息安全体系建设的过程中相互交织和融合，依托学校的信息技术安全和管理实际，具体开展工作。技术路线如图1所示。

依据上述原则和技术路线，我校的网络信息安全体系建设工作以“大安全观”为指导，运用网络信息安全工作生命周期的理念，以技术安全建设和内容安全建设为抓手，将具体方案落实在网络信息安全工作的各个环节，并在建设过程中逐步完善体系。我校网络信息安全体系建设工作按照风险评估＞体系规划＞总体方案＞体系建设实施＞常态运行的流程进行推进。

我校网络信息安全体系建设内容

我校网络信息安全体系框架依据国家相关标准和学校文件精神，强调安全规划、安全管理、安全运维、安全技术和安全传播5个核心原则，建构管控体系，并通过集约化管理，形成了以风险评估、检测为基础的体系架构。上述体系架构，从技术层面上基本满足了等级保护的要求，在实际中也满足了学校的信息安全防护需求。在大学网络信息安全体系架构的构建过程中，不仅强调网络信息系统软硬件的安全防护，同时要考虑新媒体环境下，网络信息内容的传播安全，这样体系框架才能涵盖大学网络信息安全的各个方面，从而形成真正的“大安全观”。

推进等级保护工作实质性开展，确保网络信息技术安全

图1 华北电力大学统计数据指标体系图

由于网络信息系统的业务性特征明显，信息安全领域存在多头管理现象，部门之间职责界定不清晰，管理权限交叉重叠严重，决策权不集中，各个相关管理机构之间沟通和协调存在壁垒，导致网络信息安全体系建设工作开展较为缓慢，这表明网络信息系统安全保障急需一个强有力的抓手。信息安全等级保护是我国信息安全领域的基本制度，在教育尤其是高等教育行业，实施等级保护制度，是促进高校信息化健康发展，为高水平大学建设保驾护航的重要基础工作。

我校网络信息安全技术层面的体系架构包括了安全技术、安全管理、人员组织、教育培训、资金投入等关键因素，在此框架中，应以安全策略规划顶层设计，结合技术、管理和运行三个层面构建安全体系，从而达到网络信息系统和网络的可用性、可控性、抗攻击性、完整性和保密性的安全建设目标，具体框架如图2所示。

图2 我校网络信息安全体系建设框架-技术层面

建多部门协作的信息处置平台，保障网络信息内容安全

网络信息内容的安全涉及部门多、范围大、人员广、内容杂，因此，构建一个多部门协作的信息发现、处置跟踪平台是十分必要的。通过该平台的建设，将网络信息内容安全管理工作纳入到学校的重要工作事项中，制订应急预案并根据时期不同进行演练，提高预防、应对和处理各类网络信息安全突发事件的能力；建立校园信息网络安全共享机制，监管及杜绝不良网络信息的传播，为广大师生创造文明、健康、和谐、稳定的校园信息网络环境，切实保障学校各项事业的持续健康发展。

在内容安全层面，多部门协作的网络信息内容发现、处置、跟踪平台的建设在学校网络与信息安全工作小组的领导下，校外与北京市公安局文保总队网安大队、中电联，构建校园-社会网络信息内容安全联动机制；校内联合党办校办、宣传部门、保卫部门、网络信息部门等形成校内联动机制，具体建设内容如下。

（1）建立并落实制度。在网络信息安全工作领导小组的协调下，我校已经制定了《华北电力大学网站建设与管理规范》、《华北电力大学网络与信息安全事件应急预案》、《华北电力大学信息公开保密审查暂行规定》、《华北电力大学信息依申请公开工作流程》等管理文件，但随着移动互联网和信息极速获取时代的到来，一般的网络信息安全事件通过网络的发酵，很容易形成网络舆论热点，对学校的发展造成影响。

（2）组建队伍并明确责任全校各单位联合组建信息化主管、信息化助理、学生信息员三支人员队伍，形成网络信息安全“三横一纵”的人员队伍管理体系，人员队伍间形成横向责任分级，与同一单位三个管理层级之间纵向落实责任，对于全校范围内各级网络与信息系统、公共网络上事关学校各方面的相关信息，形成信息监管、处置体系网，从而第一时间主动发现信息安全事件或舆情信息后，把握主动权，及时回应并妥善处置。

（3）齐抓共管并完善机制。网络信息内容安全管理已逐渐成为一项常态化工作，因此，应将其以制度的形式规范起来，提高工作效率和水平。根据《华北电力大学网络与信息安全事件应急预案》，定期组织相关部门和学生开展有特色、有主题的校园网络与信息安全应急演练与桌面推演，积累应对网络信息安全突发事件的经验，不断完善学校网络与信息安全应急响应处置工作机制。网络监督员对广大师生经常访问的门户网站、论坛、微博、百度贴吧、人人网、公共主页等进行信息浏览和搜索，形成日志记录与报告。依据发现的信息，网络评论员对师生集中关注的网络信息舆情内容，进行舆情处置与正面引导。二者相互配合，形成舆情管控联动机制，从而可以快速掌握校内师生思想动态和社会对学校的评价，更好的推动学校发展。

（4）保障资金并提升发声能力。创新工作方法和技术平台，充分运用现代信息化技术手段，提升网络信息内容安全防护工作的能力。根据国家和学校宣传和信息传播工作的需要，建设有特点的专题系统（网站），将师生发声讨论的平台从校外吸引到校内，一方面可以更好的倾听师生的心声，积极改进；另一方面可以更快的发现问题并及时处置，从而可以避免引起校外舆论，将舆论控制在校内，达到可管可控。

网络信息安全体系建设，涵盖内容繁多，是一项持久性地系统工程。学校在“大安全观”的指导下，不断建立并完善各类网络信息安全规章制度，制定信息安全事件应急预案，加大安全隐患自查排查与安全推演力度，提高信息安全队伍团队发声能力，应对网络信息安全事件。网络信息安全涉及学校的各个方面，需要各部门共同参与，群策群力，稳步推进，逐步形成具有华电特色的网络信息安全体系，保障学校信息网络的稳定运行，促进校园平安和谐。

基于大安全观的网络信息安全体系建设，会随着新的信息化技术的发展不断发展，大安全观的概念从广度和深度上也会不断拓展，这就需要网络信息安全从业人员不断学习和创新，顺应“云大物移”的发展潮流，群策群力，保护校园网络空间的这片净土。

10.3969/j.issn.101- 8972.2016.12.044