河南科技大学：“一体防护、校园共治”网络安全综合治理体系构建

来源：本站 作者：李沛谕 河南科技大学网络信息中心 发表于：2022.09.27  367浏览

文/李沛谕  河南科技大学网络信息中心网络安全管理部副部长

摘要：本文针对网络安全综合治理体系的构建方法，提出了“同步规划、顶层设计、体系建设、共同治理”的建设理念，并列举了河南科技大学从“十三五期间”的“一体化防护”体系推进发展为“十四五期间”的“校园共治”体系过程中的一系列经验做法。网络安全综合治理体系要实现的是从校网信委、校网信办、校属各单位、全校师生和安全服务企业的逐级责任有序担当，由此，才能最终形成网络安全治理的整体合力。

关键词：网络安全综合治理；一体化安全防护；校园共治

 

河南科技大学按照“同步规划、顶层设计、体系建设、共同治理”的原则，以网络安全等级保护工作为抓手，建立了由网络安全管理制度、网络安全技术防护和网络安全运维共同构成的全方位、多层次、立体化的网络安全保障“一体化防护体系”。目前，学校正逐步着力打造一个更为全面、更为广泛的“校园共治体系”，实现校网信委、校网信办、校属各单位、全校师生团体和安全服务企业在网络安全防护方面的逐级责任有序担当，形成网络安全治理的整体合力。

一、亮点及成效

1.提出“信息资产”管理方案

首次提出“信息资产”管理的方案，将学校所有的网站、网络课程、网络资源、托管服务器等一切与网络信息有关的软硬件系统定义为“信息资产”，并将信息资产表发放到所有二级部门，落实到人，齐抓共管，共同做好信息化建设与网络信息安全工作。

2.发布“网络安全简报”

定期面向全校各部门发布《网络安全简报》（双月一期），内容包括：国家和省市以及上级管理部门出台的相关政策、国家和省市以及上级管理部门重大的活动和网络安全事件、学校内部的网络安全事件通报以及学习在网络安全和信息化建设方面的工作部署等，对加强网络信息安全工作、提高全体师生特别是领导干部的网络安全意识、落实网络安全责任制起到了积极的推动作用。

3.开展“网络安全专项行动”

 定期在全校范围内开展多项“网络安全专项行动”，有针对性地扫清网络安全隐患，成效显著。

（1）在全校范围内筛查终端（计算机）的“挖矿”行为。要求各单位对所管辖的办公室、实验室、研究室和机房等场所中所有接入校园网络的计算机和服务器开展安全自查，完成“挖矿”病毒的全面查毒杀毒。

（2）开展服务类教育移动应用(APP)专项治理。要求各单位上报所管辖的办公室、实验室、研究室和机房等使用的服务于学校教育教学和广大师生工作生活的管理服务类教育移动应用(APP)，并完成APP备案。

（3）开展面向校园网提供服务的终端专项治理。要求各单位上报“充当服务器并正在提供服务”的服务器、工作站或计算机等各种物理终端，并完成终端备案。

（4）开展校园网络终端安全使用专项治理。开展了校园网络各类终端使用情况摸排、《校园网络各类终端安全使用保证书》签署等一系列专项治理工作。校网信办联合校纪委组成专项检查组，对网络安全责任制落实和网络终端安全检查开展情况进行抽查。

二、经验做法

1.严格落实党委（党组）网络安全责任制

河南科技大学成立了以校党委书记任组长、主管宣传工作的副书记和主管信息化工作的副校长任副组长的河南科技大学网络安全和信息化领导委员会，并在校属各二级单位设立了以学院书记（行政单位党政一把手）为网络安全员、以办公室主任为网络信息员、以系统维护人员为数据管理员的“三员”管理制度，形成了从校党委、校网信办到校属二级单位共同组成的三级管理架构。学校按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，落实网络信息安全责任制。学校各单位是本单位网络安全和信息化工作的责任主体，各单位党委书记（行政单位党政一把手）是本单位网络安全和信息化工作第一责任人。校属各单位全部签署单位年度网络安全责任书。

2.日益完善网络信息安全管理规章制度建设

在河南科技大学网络安全和信息化领导委员会的统一领导下，我校积极贯彻落实国家、省网络信息安全政策法规；研究制定推进网络安全建设的工作计划和具体措施；结合我校的网络安全运维情况，建立和完善有效的管理机制。发布了《河南科技大学网络安全和信息化建设与管理办法》、《河南科技大学数据治理和数据安全管理暂行办法》、《河南科技大学网络信息安全管理办法》、《河南科技大学信息技术安全事件报告与处置流程》、《河南科技大学网络安全应急预案》、《河南科技大学通信业务与通信设施管理办法》、《河南科技大学校园网络管理规定》、《河南科技大学网站管理办法》与《河南科技大学网络与信息基础公共服务管理暂行办法》等文件，为我校网络及信息系统的安全管理提供了制度保障。

3.严格落实网络安全等级保护制度

根据《教育行业信息系统安全等级保护定级工作指南（试行）》、《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》以及《教育部公安部关于组织开展部属单位信息安全等级保护工作的通知》、《信息安全技术网络安全等级保护基本要求》等文件的要求，我校认真落实安全等级保护测评工作，2019年完成了一卡通、我i科大、网站群三个系统的网络安全等级保护测评工作，2021年完成了校务系统、邮件系统、财务系统、人员管理系统、网络教学系统、教务系统、科研管理系统、图书管理系统、仿真平台的网络安全等级保护测评工作。2022年完成了资产管理系统、档案信息综合服务系统、迎新管理系统、后勤管理系统、校园网准入系统、虚拟仿真平台、校医院信息管理系统的网络安全等级保护测评工作，并对一卡通、我i科大、网站群三个系统进行了复测。

4.全面提升校园网络安全综合治理水平

我校重点通过网络安全技术防护、数据资产排查、安全漏洞扫描与通报整改、安全简报等工作实现校园网络安全综合治理，构建网络安全纵深防御体系，实时全面掌握网络安全态势。具体措施如下：

（1）网络安全技术防护。目前在安全技术防护上，已上线使用的安全设备有：骨干网络出口防火墙、数据中心防火墙、WAF应用防火墙、态势感知平台、漏洞扫描、运维审计、安全日志分析平台、数据库审计、VPN、行为审计等，实现校园网络安全的全面技术防护。

（2）数据及信息资产排查。我校经过长时间的数据治理及信息资产台账梳理，建立了相应的信息标准、数据管理标准及数据使用标准，目前，全校核心数据已经全部纳入数据管理平台进行管理，实现了无缝对接和集成。完成了校园网站分类备案、资产信息梳理、信息系统普查等工作，建立了河南科技大学单位信息资产表。完成了我校的信息系统普查工作，并在教育行业信息资产管理平台中，完善了我校对外开放的网站相关信息。完成了全校相关二级单位所负责系统的《互联网上存储的数据资产清单》以及《在互联网上存储（含缓存）的重要数据和公民个人信息统计表》，并按照文件要求留存备档。

（3）安全事件通报整改。根据河南省《信息技术安全事件报告与处置流程（试行）》文件的要求，发现漏洞后及时通报到单位及系统安全责任人进行整改。制定了“网络安全漏洞（事件）处置流程”，针对上级部门下发的安全漏洞及我校自主发现的安全漏洞进行及时下发整改。

（4）购买第三方安全服务。对所有运行于数据中心的信息系统定期进行安全监测，排查和识别学校网络安全相关的各类隐患，对存在安全隐患的信息系统下达整改通知；对无法整改的信息系统限制其可访问范围；对新上线的信息系统进行安全评测，通过测评后方准予上线。

（5）细化网络安全运维。充分利用现有安全设备，遵循允许必要业务、阻断危险端口和协议、放通未知端口协议的方式，来完善出口防火墙、数据中心防火墙的端口防护策略。针对每月漏扫及态势感知平台报告中出现的问题，加强网络攻击地址的排查与阻断，提升僵木蠕、挂马等问题的防治能力，进一步强化账号口令管理。

（6）完成重要时期安全保障。制定《网络信息中心网络信息安全保障管理办法》，做好各类安全设备的技术调整及人员技术培训，实行24小时值班制度，圆满完成安全保障工作。

（7）加强网络安全宣传。定期召开全校网络安全工作会议，提高领导干部的网络安全意识；开展内容丰富、形式多样的网络安全宣传周活动；通过微信公众号、门户网站以及网络直播课等形式，向全校师生推送网络安全相关的知识；此外，通过下发网络安全简报的形式，向校领导及各单位的处级领导宣传国家新出台的各类网络安全法律法规，并将我校近期的网络安全工作向各单位汇报总结。

三、提升优化的思路措施

1.切实发挥领导小组的作用

在河南科技大学网络安全和信息化领导委员会的带领下，切实发挥校网信办的作用，真抓实干，求真务实，每学期召开网络安全和信息化工作会议，就网络安全建设工作计划、工作进展和存在的问题进行讨论。

2.强化业务部门间的协调配合

学校各二级部门均由学院书记（行政单位党政一把手）担任网络安全员，负责本单位的信息化工作和网络信息安全工作。指定专人作为网络信息员，负责本单位信息系统建设和维护以及重要信息的更新。与宣传部、团委和学生工作部协同管理，做好本校网络信息安全和舆情监控工作。

3.重视网络安全宣传的作用

每学期都面向全校师生举办“信息化建设与网络安全服务周”，全体网络信息的工作人员走向学生、教师和各个职能部门，讲解网络安全知识。并通过定期下发网络安全简报，提高全体师生特别是领导干部的网络安全意识。此外，在提高安全保障能力的同时，发展信息安全企业参与网络安全运维，引入优质安全服务资源，共筑河南科技大学网络信息安全堡垒。

4.定期举办网络安全应急演练

每年定期组织全校师生进行网络安全应急演练，对全体师生、各二级单位以及信息系统管理人员等不同网络用户群体进行有针对性的网络安全应急演练。针对全体师生重点演练个人信息和个人终端设备的安全防护能力；针对校属各单位，重点演练网站的安全防护及安全事件应急处置能力；针对信息系统管理人员，重点演练防攻击及系统安全防护应急处置能力。

5.加大力度引进网络安全专业人才

由于学校信息化与网络安全建设力度的大幅提升，网络安全工作量急剧增加，因此，需要增加网络安全专业、专职人员的投入，打造一支技术精湛、责任心强、技术过硬、结构合理、适应网络安全建设需要的专业技术人员队伍。完善适应网信特点的人事薪酬制度，突出专业性和实用性，培养和吸引更多优秀人才。以此确保网络安全建设及运维的发展，并推动信息安全工作的开展。

6.加强网络安全工作人员技术培训

在人员培训方面，加强有效的技术培训和实际演练，设立专门的网络安全服务以及安全培训资金，以满足网络安全技术培训、安全监测、预警、应急响应等工作的需求。通过以上方法，加强工作人员的安全运维能力，避免网络安全工作出现重建设、轻运维的现象。