▲郑州轻工业大学

文源：郑州轻工业大学深信服科技股份有限公司

作者：马照瑞徐明明江楠郭倩倩等

一、背景

近年来，随着云计算、移动互联网、大数据、物联网、人工智能等新一代数字技术的飞速发展和广泛应用，深刻影响着教育现代化进程，推动高等教育从数字校园迈入智慧校园时代。《网络安全法》、《数据安全法》、《个人信息保护法》相继实施，为网络空间综合治理提供了法律依据，高校对网络安全重视程度也越来越高，落实网络安全等级保护制度，不断加大投入力度，持续开展网络安全深度治理工作，初步形成了高校网络安全工作新模式。然而，在颗粒度越来越细，精细化管理程度越来越高的发展背景下，网络安全问题依然突出，信息系统被攻击、网站被非法篡改、隐私信息被泄露、师生被网络诈骗等安全事件频繁发生，造成极其恶劣的社会影响，甚至财产损失。如何深入践行新时代网络安全观，有效应对各种网络安全威胁，仍然是各高校需要认真研究的一项重大课题。总体而言，高校网络安全工作存在以下问题：

1、管理机制不畅。管理制度缺失或没有及时修订，时效性差；高校信息资产数量庞大、种类繁多，变化频繁，资产管理能力差；责权不明，责任边界不清晰；网络安全与信息化工作统筹协调能力差等。

2、联动防御能力差。安全产品之间缺乏统一管理和有效整合，以业务为核心的安全运营能力差，防护策略动态设置和回收联动性差；设备功能有效利用率低，安全绩效差。重设备、轻服务，应急处置的手段单一，机动性差。

3、“数据孤岛”趋增。以人脸识别系统、安防监控等为代表的物联网智能应用场景越来越多，终端数量多，分布广泛，存在非法（重复）采集，弱密码，隐私数据泄露风险，呈新“数据孤岛”趋势，数据安全风险趋增。

4、数据安全隐患大。高校作为高层次人才培养与科学研究的重要基地，在智慧校园建设过程中聚集、加工、存储、流通的数据量巨大，安全隐患大。

5、安全素养参差不齐。高校用户规模大，师生网络安全素养和技能参差不齐，安全意识淡薄，防护意识和防护能力差，被攻击、被获取隐私数据，被诈骗的案例时有发生。

6、安全保障力度不够。网络安全人才队伍不足，专业技能差；“重建设轻运维”现象依然存在；经费投入持续性差，网络安全与信息化应用建设的融合度差等。

二、成效

新时代的安全管理必须从静态防御思维转变为在动态中寻求攻防平衡，要主动有效识别风险，具备可覆盖所有物联网资产的全面实时安全监测，并可动态分析、发现安全威胁，及时处置相关安全风险的能力。郑州轻工业大学从实际出发，以国家网络安全政策法规、上级网络安全工作要求为指导，统领网络安全与信息化建设工作深入融合，以人和信息资产作为管理对象，研究制定网络安全制度规范和顶层设计，通过网络安全管理制度、安全责任体系和网络安全技术防护能力相结合的方式，建立立体应急响应防控体系，有效应对各种网络安全威胁，保障师生个人信息安全和各项业务的安全稳定运行。具体做法如下：

▲学校网络信息安全监控中心

(一)加强领导，健全网络安全制度体系和责任体系

1、机构建设。成立以校党委书记、校长为组长，其他校领导为副组长，学校各职能部门、二级单位负责人为成员的网络安全和信息化领导小组，办公室设在宣传部，由宣传部和信息化管理中心共同承担具体工作，统筹网络安全和信息化建设工作，做到分工明确，信息化管理中心负责技术和信息化建设相关工作。设立CIO首席信息官和网络安全与信息化工作专家委员会，实行信息化业务归口管理。

2、制度建设。按照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规以及上级有关政策文件要求，修订《郑州轻工业大学网络信息安全管理规定（修订）》《郑州轻工业大学信息化项目归口采购管理办法（修订）》，进一步明确了组织机构职责分工和权责，从规划建设、到上线运维，全流程落实“四个同步”安全管理规范，推动学校建立集规划、建设、防御、监测、处置全流程于一体，覆盖校内各二级单位、各类人员、各类信息系统的网络安全保障制度和责任体系。

3、责任体系。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，建立分级式网络安全责任体系，完善制度建设，组建队伍，推动网络安全日常工作。集中研究部署网络安全工作、定期召开网络安全工作会议。签订校级和校内《网络安全承诺书》，重点人员、用户部门、系统开发商等签订多安全责任书、数据保密协议，统筹好各用户部门的信息化建设与网络安全工作。对管理人员或操作人员执行的日常管理操作建立操作规程，形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。

(二)统筹规划，建设校园泛在网络服务基础设施

1、基础设施统一建设。根据学校两地三区的业务发展需求，统筹做好泛在接入网络建设规划，建设了视频监控、财务、一卡通等跨校区传输专网。出台学校《运营商业务管理制度》，实现信息化管理中心对运营商在校内开展的信息化合作等业务的归口统一管理。建设了统一的一张有线和无线网络，规范了运营商校园互联网接入服务，实现网络接入形式上统一，业务办理统一，用户服务统一，互联网出口统一，安全管控策略统一。

2、泛在接入统一管理。加强安全接入管理能力，加强物联网终端的接入管理，规划建设基于SDN的应用场景式泛在接入网络，按需设置多个虚拟物联专网,实现各个业务逻辑专网的终端主动识别、接入认证、数据传输加密、日志管理、链路监测、安全访问策略等方面的安全管理。建设DHCPv6系统，实现IPv6的各接入楼宇、接入场景的有序管理。面向全校师生搭建基于零信任架构的多途径VPN内网资源专用访问通道，以aTrust平台为核心组件，实现校内多场景的统一接入访问，提升师生访问校内资源体验。

3、计算资源统一管理。建设统一的私有云计算资源平台，按照网络安全责任制，统一对所有信息化系统和教学科研应用分配计算资源，提供基础设施平台服务,建设数据中心多条冗余链路发布策略。资源实行分级分层管理，应用系统实行分级发布、分级防护、分级备份。数据中心统一配置安全策略、统一监控运维、统一应急响应。

4、应用服务统一管理。信息系统按照学校《信息系统集成标准规范》，与公共应用集成门户、数据平台、统一身份认证平台以及其他信息系统进行对接，实现数据分类归集，分级保护、应用集成。网站和信息系统实行备案管理制度，统一使用学校edu域名、IP地址，非数据中心IP不得提供互联网服务，严格执行各系统上线的安全检测规范。

(三)多方协同，提高安全技术防护与应急响应能力

1、物理安全。加强数据中心环境建设，从物理访问控制、防盗窃防破坏、防雷击、防火、防水防潮、防静电、温湿度控制、电力供应、电磁防护等方面对物理环境进行规范管理;规范线缆标识，建设了精密空调、UPS供电、防静电、防雷、防水浸、防火等环境状态的全监控与自动报警系统；建设两校区异地容灾备份系统。

2、边界防护。校园网出口统一边界安全防护，动态设置黑名单管理策略，除数据中心和特殊审批的地址外均无法对校外提供服务；对用户区和数据中心进行网络层安全防护，加强出口防火墙等安全防护设备的差异化配置动态管理能力。

3、数据中心。强化数据中心内部防护能力，根据访问需要控制路由可达路径，及时清理过期访问策略，实现网络通信可信可控。升级对外发布业务的应用防护能力，通过Bot防护、攻防情报、机器学习、智能语义引擎WISE等实现Web攻击的漏斗化高效检测和智能化安全防护。根据信息系统定级情况，建立分级计算资源保障，分级发布，分级安全管控，分级访问控制策略。主机统一安装EDR终端防护软件，实现东西、南北向微隔离访问控制策略、系统补丁更新、禁止非法外联等安全管控措施，与下一代防火墙AF和安全感知系统SIP联动，形成动态安全防护机制。

4、资产管理。按照“谁主管，谁负责；谁运营，谁负责；谁接入，谁负责”的原则，通过主动探测的方式对目标网段进行探测，发现开放的业务系统或开放的端口，通过分析网络流量，对备案资产进行确认，以信息资产备案信息为基础，对域名、透明IP、双非网站进行清理。建立信息资产的全生命周期安全评价机制，对于安全问题频出，用户粘性不高的应用系统建立下线退出机制。通过安全态势感知系统的信息资产管理和脆弱性风险评估，全面感知信息资产中漏洞、配置、弱密码、Web明文传输等风险，实现风险资产可视化、资产责任人明确化。

5、应用防护。以零信任架构为理念，建设IOA终端安全管理平台，实现可信终端、可信身份、可信应用与CAS身份认证系统鉴权无缝对接，保障用户在任意网络环境中安全、稳定、高效地访问学校资源及数据。消减特权账号，实现APP与门户系统的

转载请注明:http://www.aideyishus.com/lkcf/1304.html