高校网络安全治理及应用研究探讨

2023-10-26汤其妹

合肥师范学院学报 2023年3期

汤其妹

(安徽医科大学网络与信息化管理处,安徽合肥 230032)

如今,云计算、物联网、大数据、移动计算等新技术被广泛应用,随着高校信息化建设步伐不断加快,整体信息化程度逐步深入,也带来了新的网络安全风险点和挑战。为积极落实高校网络安全工作职责,建立健全高校网络安全工作责任制,有效推动“十四五”期间高校网络安全治理架构的不断优化,指导高校从战略角度提升网络安全保障能力,需要结合学校信息化发展情况,充分考虑未来发展,以全局视角,对学校网络安全保障工作进行整体战略规划[1]。

根据《中华人民共和国网络安全法》(下称《网络安全法》)中关于网络安全与信息化“同步规划、同步建设、同步使用”[2]的要求,加强网络安全与信息化的融合发展,需要相关负责人树立正确的网络安全观,增强网络安全意识。同时,也需要高校压实网络安全责任,落实网络安全工作的人、财、物保障要求,建立人才选拔机制和绩效评价体系,积极推动落实常态化网络安全建设和网络安全运营及管理工作,建构体系化网络安全治理架构,从而保障学校重要教学、办公系统和基础网络设施的安全,为教学科研管理提供有力安全能力支撑[3]。最终建成体系完备、技术先进、责任明晰、监管严格、能力成熟的网络信息安全工作机制。

1 网络安全治理架构

1.1 顶层设计

《中共中央关于制定国民经济和社会发展第十四个五年规划和二○三五年远景目标的建议》中明确提出要“全面加强网络安全保障体系和能力建设”[4]。因此,高校要坚持网络安全治理在高校“十四五”网络安全战略规划全局中的核心地位,把网络安全保障能力作为学校发展的战略支撑。要面向等级保护和关键信息基础设施保护合规要求、面向网络安全的实战化要求、面向高校网络安全协同需求、面向安全体系创新要求,构建全方位网络安全治理体系,完善保障机制,强化网络安全监管,引导建设适应新技术发展的网络安全防护体系[5]。

网络安全防护体系主要包含网络安全治理架构和网络安全保障能力两部分内容。网络安全治理架构以安全管理体系统筹全局,通过网络安全技术体系和网络安全运营体系构建安全业务的中台;同时,通过网络安全评价体系检验网络安全建设和运营效果。网络安全保障能力主要包括网络安全合规能力、网络安全实战能力、网络安全协同能力和网络安全创新能力。

图1 校园网安全建设规划图

1.2 管理体系

高校应从决策者和管理者的角度出发,明确权责,统筹协调,确立具体清晰的安全保护工作闭环,构建多方尽责、齐抓共管、共同协作的网络安全工作生态。

1.2.1 加强组织领导,落实主体责任

高校应认真贯彻落实习近平总书记关于网络安全工作的重要指示精神,按照《网络安全法》、党委网络安全责任制、等级保护系列标准等规定,全面梳理其在组织领导、建章立制、工作实施等方面责任落实情况,建立健全网络安全责任制。学校主要负责人是网络安全第一责任人,应明确其网络安全保障工作责任边界,强化其网络安全管理责任和担当,健全对责任人的考核机制,严格责任追究,确保网络安全责任全覆盖。

1.2.2 落实“三同步”要求

高校应落实网络安全与信息化“三同步”(同步规划、同步建设、同步使用)的要求,积极推动网络安全能力对信息化的全面覆盖,实现网络安全规划、建设、运营与信息化建设的全周期同步,使网络安全成为信息化业务的内在属性。伴随信息化水平的持续升级,最终实现整体网络安全能力同步阶梯式上升。因此,建议高校每年投入不低于信息化建设经费的5%用于网络安全建设。

1.2.3 强化内外部沟通合作

高校应加强网络安全工作部门与各二级学院、职能部门的协同联动,打破部门壁垒,建立高效畅通的应急协调和信息共享机制,推动网络安全工作有效融入日常业务工作。例如,学校可以定期组织召开由校领导主持、学校网络安全领导小组成员参与的网络安全会议,对学校网络安全相关制度文件进行审议,保障网络安全工作的持续推进和方案可落地。

2 网络安全建设

2.1 网络安全基础设施建设

网络安全基础设施主要包括资产管理、漏洞管理、威胁情报服务等支撑网络安全技术体系的基础性平台。

网络空间测绘体系包括网络资源与安全风险自适应感知技术、网络威胁常态化攻防模拟及反馈技术、核心资源分类分级定标技术、大数据处理技术和网络风险AI辅助自动化探测技术。学校应建立可以对全校网络空间资产进行扫描和查询的资产测绘与管理平台,并通过该平台主动探测网络空间的资产数据,对全校目标区域进行网络空间测绘,并将海量的资产数据与安全漏洞库进行比对分析,定位漏洞资产,从而实现基于网络空间资产测绘的全网漏洞态势感知。

同时,学校要建立网络安全漏洞资源库,收集汇总从外部获取的或国家有关部门通报的漏洞信息。及时分析网络攻击常用的漏洞,研究常见漏洞在应用类型、漏洞分类、危害程度、利用方法、发布时间、披露状态、检测方法等方面的特征,并分析其规律及检测手段。

此外,学校还应建立网络安全威胁情报库,通过实时联动的模式,对接第三方威胁情报平台的基础数据、信誉数据以及知识数据。利用高级威胁情报进行实时或离线的关联拓线,分析IP、域名、文件Hash等目标线索,掌握其所属的恶意软件家族、网络攻击团伙以及曾经的攻击行为。对多源情报数据进行分析处理,为网络安全管理部门提供威胁情报查询、线索查询、线索基本信息展示、多线索节点关联、图线索分析关联、服务订阅等服务,为开展网络攻击识别与追踪溯源提供支撑。

2.2 意识形态安全监管

意识形态安全监管是高校一项重要工作。在技术方面,需要重点做好“双非”系统和“僵尸”系统管理、学校门户网站内容监测、互联网舆情监管工作,促进学校意识形态安全机制的构建。

2.2.1 抓好“双非”和“僵尸”系统管理

“双非”信息系统是指IP地址和域名均不属于学校但内容与学校业务相关或带有学校标识的信息系统。对“双非”系统,原则上要先关停,对于确实需要运行的应迁移至校内统一管理。同时,按照“谁建设谁负责”的原则,厘清网络安全保护边界,明确信息系统管理者的安全责任,落实信息系统的安全措施并及时办理备案手续。“僵尸”系统是指长期不使用、长期不维护、长期不更新、存在安全威胁隐患长期不修复、占用资源并长期处于闲置状态的信息系统。学校网络安全管理部门应定期对“僵尸”系统及其占用的固定IP和服务器进行清理,对不再使用的系统,采取限制网络访问或关停等措施,及时收回占用的IP地址、服务器、存储等资源。

2.2.2 学校门户网站内容监测

高校应严格信息发布审核,加强对学校门户网站的管理,强化对网站目录内容的分类管理,并为学校官网设置三级审核功能,对发布的信息内容和上传的文件进行严格审查。强化在线内容监测,实时监测学校门户网站、数据中心、备份中心、缓存系统等,对文本、图片、视频等内容进行智能分析,防止非法信息内容带来的安全隐患。

2.2.3 互联网舆情监管

如今,突发事件带来的舆情传播环境异常复杂,如何及时有效地处置舆情危机成为高校网络舆情治理的核心问题。高校应建设能够自动采集和过滤信息、按主题检测信息、分类统计分析信息的舆情监控系统[6]。同时,学校应建立自上而下、分层分级的研判工作制度,及时研判、处理舆情监控系统抓取的师生诉求动态。网络舆情处置是整个舆情管理工作的核心环节,高校应建立工作档案、做好后续跟进、健全考核机制、严格开展评估,做到尽可能减少舆情事件的发生,降低不良舆情的影响,保障校园良好、文明的网络氛围。

2.3 数据安全治理和个人信息保护

2.3.1 数据安全治理

《中华人民共和国数据安全法》(下称《数据安全法》)提出:“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”[7]数据安全治理是指将数据安全技术与数据安全管理相融合,在数据安全战略的指导下,保证数据得到有效保护和合法、合规使用的多部门协同活动,主要包括组织机构建设、资产梳理、制度制定、技术体系构建等。它以保障数据安全、促进数据使用为原则,围绕数据生命周期,构建相应的数据安全治理体系。这需要学校统一共识,协同工作,平衡数据安全与发展。数据安全治理的体系化结构包括数据安全战略、数据生命周期安全、基础安全三部分(图2)[8-10]。

图2 数据安全治理体系

2.3.2 个人信息保护

《中华人民共和国个人信息保护法》(下称《个人信息保护法》)明确指出要“对个人信息实行分类管理”[11]。个人信息保护的具体合规要求包括数据最小化、数据分类分级、数据匿名化、知情同意、规范操作、应急补偿等。其中有三个与隐私保护计算相关且相对重要的合规要点分别是数据最小化、数据分类分级和数据匿名化。

数据最小化强调对个人数据的收集要尽量克制,要与收集和使用目的保持一致。评估是否满足数据最小化的方法:首先,评估是否仅收集了实现数据处理目的的数据;其次,评估是否有足够数据实现该特目的;最后,周期性检查持有数据,并删除不需要的数据。高校应积极探索联邦学习、差分隐私、安全多方计算、同态加密等隐私保护计算技术,在数据最小化与其他合规或效用目标之间取得平衡。

数据分类分级强调对不同数据的管理与保护应有所区别,要对敏感、重要的数据加强保护。数据分类分级工作是开展数据安全治理的基础,也是数据精细化管控的重要手段。引入数据分类分级这一基础性数据安全管理方法,需要高校综合考虑数据的特点、属性、质量、敏感度等因素,对源数据资源进行分类分级,从而更好地做好角色权限控制,明确不同类别不同级别的数据在使用过程中应有的安全保护措施,在最大程度释放数据价值的同时,又兼顾数据安全和对个人隐私的保护。

经过匿名化处理的数据无法被用来与任何个人关联,一般采用泛化处理和添加噪声两项技术。泛化处理技术一般通过移除或替代部分容易与特定个人关联的数据元素实现匿名效果;向数据中添加噪声,就无法确定特定个人归属的数据集。

2.4 网络安全运营团队建设

网络安全团队的工作涉及面广、安全保障级别高,对安全团队的能力建设也提出了更高的要求。高校需要通过恰当的专业分工,一方面让每个成员各司其职,使个人职责范围内的知识和技能提升最大化,另一方面让团队成员之间优势互补,促进团队的整体效率。需要首先确认网络安全运营团队工作目标、关键职责等方向性的内容,再对团队职能开展进一步的细化,明确具体的工作任务。

2.4.1 网络安全管理职能

高校一方面要负责网络安全管理策略、制度、流程的制定和优化,确保各项信息监管要求在制度和流程中得到贯彻,即“有章可循”;另一方面要对各种监管合规的要求、制度流程的执行情况进行检查和监督,确保制度流程落实到位,即“有章必循”。

2.4.2 网络安全技术职能

网络安全技术人员一方面要“练内功”,努力提高信息系统的健壮性和免疫力,通过制定安全技术规范,确保信息系统在设计、开发和运维阶段都遵循技术规范,减少系统运行的风险和漏洞;另一方面要“防外贼”,要在信息系统外围建立“篱笆墙”,通过设计安全技术架构,使用专门的安全技术工具,保护学校IT基础设施和信息系统、业务数据免遭破坏或泄露。

3 网络安全治理实施保障

3.1 加强组织领导

学校各相关单位应结合自身实际,落实网络安全主体责任,制定具体实施方案,定期听取网络安全落实情况汇报;压实领导责任,建立网络安全领导小组领导亲自抓、部门分管领导具体抓、其他人员协同抓的工作责任体系。网络与信息化管理部门要牵头负责网络安全具体实施,相关部门要按照职责协同推进。

3.2 加大安全投入

学校要严格落实网络安全投入,保障网络安全建设成效,合理规划网络安全专项经费,优化支出结构,重点向薄弱环节、关键领域倾斜。

3.3 加强考核督导

主管部门要依托高校网络安全评价体系,把网络安全工作落实情况作为全校工作考核的重点任务,严格落实问责制度。

3.4 营造良好氛围

网络安全责任单位应积极组织网络安全、信息安全教育,面向全校师生逐级开展网络安全意识培训,加大网络安全法律法规的综合宣传和解读力度,让全体师生及时了解网络安全工作的重要性,为战略规划的顺利实施创造良好的环境和氛围。

高校应在《网络安全法》《数据安全法》《个人信息保护法》的指引下,通过树立全面数据合规理念,构建本校数据治理的宏观策略;根据各项法律制度,结合教育行业监管规则、高校业务流程与场景,构建相应的管理制度。同时,通过流程管理、岗位职责管理、激励约束机制建设,逐步达到数据合规治理的目标,从而实现个人信息安全和高校数据安全的保护。