高校网站安全管理中PDCA循环的应用研究

2021-09-05徐伟

计算机时代 2021年8期

摘要：针对高校网站安全管理现状和普遍存在的问题，遵从风险管理的理念，结合实践经验，将高校网站安全管理划分为PDCA四个阶段。提出通过P阶段加强顶层规划设计，D阶段完善网站资产日常管理，C阶段建立网络安全工作内外联动机制，A阶段加强人才队伍建设，使整个管理过程形成一个可持续改进的循环过程，以期不断提升高校网站安全管理的能力和水平。

关键词：高校网站; 网站安全; 安全管理; PDCA

中图分类号：X931 文献标识码：A 文章编号：1006-8228（2021）08-42-05

Research on the application of PDCA cycle in university website security management

Xu Wei

（Information Construction and Management Office， Nanjing University of Posts and Telecommunications， Nanjing， Jiangsu 210023， China）

Abstract： In view of the current situation of university website security management and the common problems existed in， following the concept of risk management and combining with the practical experience， the university website security management is proposed to be divided into four stages of PDCA. It is proposed to strengthen the top-level planning and design in stage P， improve the daily management of website assets in stage D， establish the internal and external linkage mechanism of network security in stage C， and strengthen the construction of talent team in stage A， so as to form a sustainable improvement cycle in the whole management process， in order to constantly improve the ability and level of university website security management.

Key words： university website; website security; security management; PDCA

0 引言

近几年，高校在进行数字化校园建设的过程中，由于互联网的开放性，曾发生不少重大的网络安全事件。《网络安全法》出台后，教育部门对网络信息安全高度重视。2017年3月教育部办公厅下发《教育行业网络安全综合治理行动方案》（教技厅〔2017〕3号文），明确要求：治理网站乱象，强化主体责任——统一标识，信息发布，域名清理;堵塞安全漏洞，增强防护能力——监测预警，检测风险;补齐等保短板，履行安全保护义务——定级备案，测评整改;规范安全管理，提升治理水平——数据管理，关键设施，应急响应[1]。由此可见，高校网站的安全性问题亟需引起重视，研究如何提升高校网站安全管理水平意义重大[2]。本文将依照国家及教育主管部门制定的相关政策法规，结合多年的信息安全工作经验，探讨在高校网站安全管理中运用PDCA循环的新方法，以提升高校网站安全管理水平和能力。

1 高校網站安全管理的现状分析

根据《2018年高校网站安全脆弱性白皮书》，全国高等学校建立的互联网站多达数万个（含二级院系网站），其中只有30%左右的高校网站安全级别判定为非常安全，有超过60%的高校网站存在高风险安全漏洞[3-4]。由此可见，高校网站往往面临着较高的安全威胁，很容易引发安全事件，给学校和学生造成危害，并造成不良的社会影响。根据自身工作经历及深入其他高校调研搜集到的情况，发现高校网站安全管理普遍存在如下四方面问题。

1.1 重建设、轻管理、安全意识薄弱

目前大部分高校网络安全责任制落实不到位，各二级单位或学院的领导对网络安全不够重视，大多数高校的网站管理相对来说比较分散，网站大多是由高校老师或者在校学生自己开发的，负责人往往缺乏安全管理意识，一般只关心网站功能的实现，很少去考虑网站安全问题，网站建好后又疏于管理维护，很容易成为黑客攻击的首选目标[5]。

1.2 网站安全管理难度大

目前高校网站数量较多，管理难度大，管理成本高，且无长效的管理工具[6]。在被通报的各类高校网站安全事故中，出现问题的大部分网站缺乏统一的安全管理，为高校的网站安全管理带来了较大的安全隐患。校内网站私搭乱建现象严重，且不易监测;一些退运的网站，缺乏有效管理手段，常常成为孤岛网站，容易成为被攻击的目标[7]。

1.3 缺少安全监控机制和应急处置的工具

高校网站85%以上的攻击是利用安全漏洞发起的，但由于缺乏监测机制，高校相关部门往往无法及时发现下设网站或业务系统存在的漏洞和风险[8]。此外，很多高校没有监控网站页面内容的工具，可能会导致网站挂马从而产生不利的影响或造成较大的损失;缺少监控网站是否存在敏感信息的工具，无法对于网站的敏感信息内容自行配制告警功能，不能对网站的安全事件进行及时的告警。

1.4 高校网站维护技术力量缺失

许多高校二级网站的维护工作都是由教师兼职完成的，他们往往只负责维护、更新网站的内容信息，对网站安全管理投入的精力少之又少;维护人员通常也没有参加过专门的技术和安全管理培训，即便网站被通报了有安全漏漏洞，也是无从下手，不知如何修复漏洞[9]。高校从事网络安全管理的专业人才普遍缺乏，特别是高精尖人才凤毛麟角，严重制约了高校网站安全的管理质量及水平。

针对上述问题，可引入PDCA循环模型进行信息安全管理，提出相应的改进措施。基于符合实际安全管理的循环模型，将循环后总结得到的高校网站安全管理经验再指导后期的实际工作，在螺旋式的循环过程中，逐步提升高校网站安全管理能力和水平[10]。

2 PDCA循环简介

2.1 PDCA循环概述

信息安全管理（Information Security Management，ISM），是管理者为实现信息安全目标（信息资产的CIA等特性，以及业务运作的持续性）而进行计划、组织、指挥、协调和控制的一系列活动[11]。信息安全管理是组织整体管理的重要、固有组成部分，它是组织实现其业务目标的重要保障。同时，信息安全管理是信息安全技术的融合剂，是各项技术措施能够发挥作用的保障。

通过科学的方法，才能有效实施信息安全管理和信息安全防护，进而为业务的安全运营提供保障。信息安全管理的基本方法就是PDCA循环模型，它是基于过程方法制定的一种持续改进模型[12]。PDCA是英语单词Plan，Do，Check和Act的首字母，PDCA循环是按照计划、执行、检查、改进的顺序进行质量管理，并且循环进行下去的科学程序[13]。

2.2 PDCA循环特点

PDCA循环，是一个基于业务风险，并通过规划、实施、监视和改进信息安全过程，来管理组织的信息安全，它是一套科学的工作程序，有如下三个特点。

⑴ 按顺序进行。PDCA循環靠组织的力量来推动，按顺序完成每一阶段的工作，像车轮一样向前进，周而复始，不断循环。

⑵ 大环套小环。组织中的每个部分，甚至个人，均可以PDCA循环。也就是说，在PDCA运用过程中，应把整个组织看作是一个大循环，而组织中各个部分则是一个小循环，每一个部分的个人又是更小的循环，大环套小环，一层一层地解决问题。

⑶ 逐层提升。每完成一次PDCA循环，质量水平都会有新的提高，再进行第二次PDCA循环。也就是说，每一次PDCA循环都有新的目标和内容，安全管理就是将PDCA循环多次展开，不断完善与优化，顺利完成管理目标。

3 PDCA循环运用于高校网站安全管理

结合高校网站安全管理的过程来看，其网站资产的脆弱性、安全防护技术的多样性、多部门配合的复杂性和管理人员安全意识的薄弱性，决定了高校网站安全管理的过程是一个有规划、有实施、有监视、有改进，而且不断改进的过程。因此，在高校网站安全管理中，可以运用PDCA循环模型，将高校网站安全管理的需求和目标作为输入，并通过必要的行动和过程（P-D-C-A），生成满足这些需求和目标的结果，得到预期的输出，使得高校网站安全管理工作形成闭环，构建出高校网站安全管理模型，如图1所示。

解决信息安全问题，成败通常取决于两个因素，一个是技术，另一个是管理。高校网站安全管理也不例外，在高校网站安全管理模型的基础上，将管理安全和技术安全的改进措施进一步细化到PDCA循环的每个阶段，构成高校网站安全管理的PDCA结构化过程管理框图如图2所示。此图亦描述了做好高校网站安全管理的基础、前提、保障和关键与4个阶段之间的联系，下面将具体探讨。

3.1 P阶段——基础

这个阶段的工作是加强高校网站安全管理顶层规划设计，确保安全管理制度落地实施，增强全员安全意识，是做好高校网站安全管理的基础。

⑴ 加强高校网络安全工作顶层规划设计。必须充分认识网络安全的重要性，明确网络安全的目标，了解实现目标的困难并找到解决措施，处理好单点防护与整体防护的关系。要坚持系统思维、整体谋划，转变各自为战、画地为牢的防护理念，加强学校层面的综合统筹，健全完善信息系统分级分层防护机制，统筹利用各部门、各系统的防护力量，增强全校网络安全综合防护能力。

⑵ 完善网络安全管理制度建设。制定涵盖网络安全方针、政策、标准、规范、实施细则等层面的校园网络安全管理制度，使网络安全管理有规可依、有章可循。建立完善网络安全责任追究制度、明确职责，细化各项管理制度，完善管理机制，全面梳理、修订完善学校建网、管网、用网规范，重点建立针对安全责任、资产备案、监测通报等制度。加强网站IP地址和域名规范管理，建立科学的考核评价、督导检查机制，确保各项制度不折不扣落实到位。

⑶ 加强思想防线的建设。思想防线是最廉价和最有效的防线，做好高校网站安全管理的基础，就是增强高校全员的网络安全意识。要加大对高校网络安全的宣传教育，利用线上线下多种模式，开展网络安全知识培训，上好网络安全教育第一课。大力加强网络安全法治教育，深入宣传《网络安全法》，在高校开设网络安全法治教育课堂，普及网络安全相关法律知识，提升大家的法律意识。

结合高校网站安全管理实际，调整完善当前高校网站安全管理制度，使得相关制度与国家监管部门和教育主管部门相关政策衔接，优化网络安全事件应急预案，不定期进行安全事件应急演练，提高师生的网络安全意识。

3.2 D阶段——前提

这个阶段的工作是“摸清家底”，完善网站资产日常管理，形成网站管理的长效机制，是做好高校网站安全管理的前提。

⑴ 统筹管理全校网络资源。按照“摸清家底，落实责任，强化抓手”的工作思路，摸清学校网站资源的基本情况。包括已知和未知网站，网站可识别域名（包含二级域名）、 IP和网站名称。查找可能存在的网络安全管理疏漏点，清理私搭滥建、历史遗留、僵尸网站（不可访问或长期无人维护更新内容的网站）、不合规的网站;完善网站资产日常管理制度，明晰责权;建立完善的网站管理机制，对网站资产信息进行全生命周期的安全管理。

⑵ 网站资产信息的全生命周期安全管理，不是静态的，而是动态的，要做到可知、可管、可控、可关。可知就是梳理排查学校网站资产信息，包括网站数量，网站的建设和管理单位，网站的用途，网站指纹信息（服务器操作系统、中间件、网站编码方式、物理地址等），网站责任单位和责任人员信息等。可管就是借助平台化的技术手段完成网站资产信息的备案登记，并支持新增、删除、修改网站资产信息，便于后期管理维护。针对备案登记的网站，定期自动化检测网站的访问情况，清除僵尸网站资产信息。可控就是进行漏洞扫描和威胁分析，发现潜在的安全漏洞和威胁，并及时进行补丁修复，消除安全隐患。新建的网站要经过上线前的安全检测，达到上线安全要求才可开放互联网访问。经检测发现有安全漏洞且没有及时修复的网站，将断开与互联网的连接，降低网站安全风险。可关就是在发生安全事件时可以快速定位问题网站，第一时间采取措施控制事态，及时报告并处理，切断与互联网的连接，将影响面控制在最小范围内。可通过防火墙、WAF等网络安全设备实现一键断网，配置阻断策略，一旦触发策略阈值，即可通过邮件、短信实时通知网站责任人并对网站进行紧急关停。

3.3 C阶段——保障

这个阶段的工作是建立网络安全工作内外联动机制，形成常态化的良性循环，是做好高校网站安全管理的保障。

⑴ 高校要积极争取国家监管部门和教育主管部门的指导和支持。网络安全最大的风险是潜在的、未知的隐患。网络安全政府监管部门和教育主管部门信息来源广，资源丰富，网络安全预知预警能力强，只有加强与他们的信息共享，建立信息通报机制，才能更好地做到先知先觉，防患于未然。

⑵ 做好定级备案工作。全面落实重要系统和关键信息基础设施等级保护制度，主动到公安机关登记备案，将学校网站纳入公安监管范畴，严格进行关键信息基础设施等级保护测评。积极探索关键信息基础设施保卫平台建设，切实加强重要信息系统的日常安全监测预警，努力将各类隐患消除在萌芽状态。将开展等级保护测评工作列为安全管理的常规工作，对高校网站开展等级保护测评，及早发现并消除安全风险。

⑶ 做好日常安全监测工作。随着互联网技术的快速发展，网站攻击的门槛不断降低。各类型网站受到的安全威胁越来越多，影响各网站的正常使用。通过购买专业安全公司的信息安全服务，协助相关部门对高校网站进行全生命周期的动态安全管理。利用安全公司提供的可用性监测、内容监控、漏洞监测、弱口令检查及Webshell监控等产品，实现对网站的全方位安全監测，采取多种形式的通知功能对监控结果进行通报预警。在安全公司监测到威胁时，可及时响应，采取应急处置，降低危害。

通过定期的等级保护测评工作和日常安全监测工作，发现高校网站安全管理过程中仍存在的问题，对照等级保护测评要求有针对性地完善相关安全管理制度和日常维护工作机制，通过优化小循环来提升大循环，形成常态化的良性循环[16]。

3.4 A阶段——关键

这个阶段的工作要落实到人，加强对管理人员的培训，打造高水平工作队伍，形成长效化工作机制，是做好高校网站安全管理的关键。

⑴ 提高网络安全管理人员的技术水平。建立主副岗制度，做好对系统的日常维护、常见故障的排查处理、突发事件的应急保护等。建立二级单位信息管理员制度。定期进行信息管理员的培训及交流，明确工作规范，为二级部门信息管理员提供各种安全帮助。高校应加大人才保障力度，调整充实网络安全管理职能部门人员的力量，组建校级网络安全技术团队、应急响应团队，全面加强网络安全技术培训交流，提升高校网络安全整体技术水平。

⑵ 用足、用好学校的资源。喜欢上网、善于用网的在校大学生，以及为数不少的信息安全相关专业高校教师，是高校做好网络安全工作得天独厚的优势。高校网络安全工作要善于走群众路线，充分挖掘资源优势，团结在校师生，形成高校网络安全工作的重要补充力量。要积极动员组织高校学生成为网络安全志愿者、网络安全信息员、情报员，丰富高校网络安全信息来源。要善于遴选学生参与学校网络安全管理，弥补学校专业技术人员缺口少的短板。要充分利用高校信息安全相关专业的教师资源，组建专家团队，强化专业培训，为高校网络安全提供智力支撑。

高校网络安全工作是一个系统工作，需要整合学校各部门的力量，同时也要统筹协调外部力量和社会资源，推动建立共建共治共享的校园网络安全工作格局。建立高水平工作队伍，才能更好地总结PDCA在高校网站安全管理和运用中的经验和问题，积极探索更科学有效的高校网站安全管理模式。

4 结束语

高校网站安全管理是一个长期、复杂而又庞大的系统工程，通过运用PDCA循环，为高校网站安全管理打好基础、抓好前提、提供保障和强化关键。在螺旋式的循环过程中，高校网站安全管理工作得到改进，高校网站安全管理能力得到有效提升。PDCA循环的应用，对于提高高校网站安全管理水平具有较好的实际作用。

接下来还要多从“人的因素”去考虑高校网站安全管理的体系设计以及相应的技术实现，而不仅仅是从政策要求或是纯技术发展的视角去看待这个问题，从而为提升高校整体安全防护能力奠定良好的基础。

参考文献（References）：

[1] 刘振昌.高校网站安全管理模式的探索与实践[J].华东师范大学学报（自然科学版），2015.A1：224-231

[2] 王左利.解读《教育行业网络综合治理行动方案》[J].中国教育网络，2017.6：15-16

[3] 赛尔网络，绿盟科技.2018年高校网站安全脆弱性白皮书[EB/OL].[2019-11-12].https：//download.csdn.net/download/goldberg/10818222.

[4] 中国高等教育学会教育信息化分会网络安全信息工作组.2015高校网络信息安全调研报告[J].中国教育网络，2015.11：56-59

[5]李亚平.多主体协同的网络个人信息使用控制方案研究[J].重庆工商大学学报（自然科学版），2018.5：1-6

[6] 徐伟.基于广电IMS业务的仿真测试系统设计与实现[J].南京邮电大学学报（自然科学版），2020.6：78-84

[7]施畅，张璐.高校网络空间安全人才培养思想政治教育工作研究—以东南大学网络空间安全学院为例[J].网络空间安全，2020.8：114-118