管理视角下高校网络信息安全工作实践.docVIP

管理视角下高校网络信息安全工作实践 　　摘 要：本文针对高校在网络信息安全工作中存在的问题和面临的困境，以管理者的视角提出了对高校网络信息安全工作的认识，并从组织保障、制度保障、管理保障、技术保障、平台保障五个方面介绍了高校网络信息安全工作的实践。 　　关键词：网络安全；管理模式；工作实践 　　中图分类号：TN915.08 文献标志码：B 文章编号：1673-8454（2018）05-0081-03 　　“没有信息化，就没有现代化；没有网络安全，就没有国家安全”，习近平总书记对信息化和网络安全工作的讲话充分说明了党中央国务院已经把推进信息化建设、加强网络信息安全工作摆在了国家战略的高度。2017年6月1日开始施行的《网络安全法》是我国第一部全面规范网络空间安全管理的基础性法律，明确了网络安全与信息化发展并重的原则，对网络安全工作的违法行为做出了明确的法律责任界定。在当前国内外网络信息安全形势日益严峻的基本态势下，高校也不是一片净土，高校的网络信息安全工作已成为高校信息化部门不得不面对且必须主动开展的一项常规工作。 　　一、高校网络信息安全的主要问题 　　高校网络信息安全主要面临四个方面的问题：一是网络基础设施的安全，包括网络设备安全、安全漏洞、非授权访问、拒绝服务攻击等；二是网站技术和内容安全，包括网站篡改、暗链、非法指向、恶意注册、内容安全等；三是数据安全，包括非法采集、非法窃取、非法使用、非法篡改、工作疏忽泄露数据等；四是个人网络信息安全，包括个人PC防护、补丁升级、弱密码访问、钓鱼邮件、勒索病毒、恶意网站等。 　　二、高校网络信息安全工作的困境 　　高校信息化部?T承担着繁重的信息化建设任务，同时也认识到网络信息安全工作是与信息化建设相伴而生，同等重要的工作，各高校也都在采取各种措施加强网络信息安全建设与管理，强化网络运行安全，保障数据安全。 　　高校信息化部门在开展网络信息安全工作中也面对诸多困境：一是工作压力山大，包括工作自身压力、上级监管压力、法律责任压力等。各高校信息化部门在安全人员普遍不足的情况下，要承担大量的日常安全管理工作，特别是在重大活动、敏感时期、节假日、大规模病毒爆发期间，以及《网络安全法》施行后法律责任认定方面，使信息化部门承担的压力更显突出。二是责权利不对等，信息化部门与业务部门职能定位不清。信息化部门一般作为学校的服务保障部门，管理权力有限，话语权有限，人力有限，但对网络信息安全却要承担无限的责任。尽管网络信息安全实行“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，但真正发生网络信息安全事件时，业务部门往往以“不懂技术”、“没有专职人员”为由躲得远远，信息化部门还是要承担一定的责任。三是信息化部门承担的岗位角色混淆。网络信息安全管理模式、体制机制模糊导致信息化部门对自己在网络信息安全工作中到底该做什么不甚清晰，同时担任着保镖、消防员、警察、法官等多个角色，执行每个角色都比较尴尬。 　　三、对高校网络信息安全工作的认识 　　高校网络信息安全工作的最根本任务是通过管理手段和技术手段降低安全风险，也就是进行网络信息安全的风险管理和控制。对于网络信息安全工作，我们要高度重视技术保障、技术防范，同时也要清楚地认识到漏洞和安全威胁是永远客观存在的，没有一项技术能解决所有安全问题，没有一个厂商能解决所有问题，没有一个一劳永逸的安全解决方案。网络信息安全工作归根结底还要靠信息化部门自己解决，技术解决不了的问题通过管理解决，管理解决不了的问题通过技术解决。在当前高校已经普遍配备各类网络信息安全防护技术设备的背景下，通过加强管理来提高网络信息安全防范水平就显得更为重要。 　　四、网络信息安全管理工作实践 　　1.组织保障 　　网络信息安全工作必须自上而下有一套完整的组织架构和人员队伍，这样才能在规则制定、安全防范、问题处理等各环节切实加强网络信息安全工作。大连理工大学成立的“网络安全与信息化建设管理委员会”由党委书记和校长担任主任，分管信息化、舆情安全、政治保卫安全的三位校领导担任副主任。委员会下设“网络与信息安全工作组”，由宣传部、保卫部、网信中心的负责人共同担任组长，负责全校舆情、政治保卫、网络信息安全工作的总体规划、规则制定、工作检查、网络信息安全事件处理与追责等工作。同时，学校各二级单位设有“信息化负责人”和“信息化专干”，分别由各二级单位主要负责人和信息化具体工作人员担任，负责本单位信息化和网络安全建设工作。 　　2.制度保障 　　推动网络信息安全工作必须制度先行。制度在规范工作内容、工作流程、明确责任等方面发挥着重要作用。大连理工大学近几年在加强网络信息安全工作方面陆续出台了《网络信息技术安全管理办法》、《校内网站建设管理办法》、《信息化数据资源管理办法》、《信息化