【原】網絡安全等級保護測評工作實踐

高校信息化 2022-01-25

展開全文

隨著互聯網技術的快速發展，高校信息化建設在為高校師生的工作、生活及學習帶來極大便利的同時，也使得校園網絡安全問題日益突出，高校網絡安全保障建設迫在眉睫。

2017年6月1日開始施行的《網絡安全法》明確了網絡安全與信息化發展并重的原則，并從法律層面對網絡安全等級保護工作做出了明確要求，為高校開展相關工作提供了根本遵循、指明了方向。

等級保護測評工作的

必要性與存在的問題

近年來，高校信息化系統數量及規模迅猛增長，學校的教務、教學、管理、科研等工作越來越依賴于各自系統、平臺的穩定運行，對信息化系統的網絡安全保障工作提出了更高要求。高校亟需對學校信息化系統的網絡安全防護能力進行分析和確認，有效提升其防護水平。

通過網絡安全等級保護測評工作可以掌握學校信息化系統的整體安全狀況，了解具體系統存在的安全隱患和薄弱的環節，進一步明確信息化系統安全建設整改的需求。

同時，通過測評可以衡量信息化系統的安全保護管理及技術能力是否可以達到等級保護的基本要求，并通過安全規劃及安全整改有效提高其網絡安全防護能力。

總體而言，當前高校整體的網絡基礎設施、安全服務措施普遍比較到位，校級安全及信息化建設管理制度相對健全。但在系統的運維管理上仍存在較多問題，如應用、服務器的安全以及系統的管理制度缺失等，部分系統負責單位沒有能力在限定時間內真正有效地完成系統的測評整改。究其根本，還是網絡安全責任意識不強、網絡安全技術能力不足、運維管理缺失等原因造成。

此外，盡管高校的網絡安全工作實行“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，但實際上高校信息化系統多為各二級單位使用、管理。責任單位更偏向于業務管理，很難獨立完成信息化系統的網絡安全等級保護測評及整改任務。

大連理工大學等級

保護測評工作的管理實踐

針對上述問題，大連理工大學針對學校網絡安全工作進行了深度思考和規劃，高度重視網絡安全等級保護測評工作，全面推進校內信息化系統網絡安全等級保護測評工作。

1.進一步落實責任制

學校在多年的網絡安全工作中不斷探索和實踐，進一步落實網絡安全主體責任制，從管理制度上明確二級單位的網絡安全主體責任，并與其簽署網絡安全責任書。

學校網絡與信息化部門負責網絡安全日常規劃、組織協調、管理監督工作，各二級單位負責信息化系統的安全建設和運維工作。

以往高校二級單位在信息化系統建設和運維過程中，更多的是參與到信息化建設、業務管理及運維等工作中。對于網絡安全工作知之甚少，通過負責網絡安全等級保護測評工作，讓責任單位真正地參與到信息化系統的網絡安全工作中，切身體會到了網絡安全工作的重要性，對后期學校網絡安全相關工作的開展起到了積極的作用。

2.開展宣傳培訓

學校全面開展網絡安全宣傳培訓（圖1），采取多種方式不斷提高學校師生的網絡安全意識；針對網絡安全等級保護工作對校內的信息化人員開展專項培訓，在其獲取相關的網絡安全知識的同時，加強自身對威脅相關知識的掌握并提升其發現可能存在的威脅、判斷危害性并及時預防或化解威脅的能力；不斷完善學校信息化人員的網絡安全知識結構，提高其網絡安全技術水平及運維能力。

圖1 學校網絡安全宣傳培訓

3.定期自查

定期開展學校信息化系統自查工作。針對將要開展測評工作的信息化系統，在第三方網絡安全等級保護測評工作開展之前，進行等級保護安全自查工作，對系統的業務安全、服務安全以及網絡安全管理制度的落實情況開展自查，完善信息化系統的運維管理人員以及運維管理制度；從而能更有效地開展網絡安全等級保護測評及整改工作。

4.集中測評、劃分責任

學校針對校內信息化系統每年組織開展網絡安全等級保護集中測評工作，針對學校已完成等級保護定級備案的二級及三級系統，由學校統一規劃網絡安全等級保護測評工作，網絡與信息化部門負責組織、協調，協助學校二級單位將校內信息化系統的網絡安全等保測評工作真正地實施開展起來。

將負責信息化系統的二級單位、網絡與信息化部門以及第三方的測評公司的責任明確。

二級單位信息化項目組作為主管、運維、使用單位是網絡安全的責任主體，負責網絡安全等級保護測評的具體工作，包括前期的數據采集、現場測評到后續的整改等工作，確保整個工作的有效開展。

學校網絡與信息化部門了解學校的整體信息化情況及規劃，熟悉學校信息化建設及網絡安全管理制度，管理著學校的網絡、數據中心等基礎設施，并且具備網絡安全相關技術能力，因此負責學校等級保護集中測評工作的組織、規劃、協調、監督及測評過程中具體問題的協助工作；并具體負責測評工作中網絡、物理、安全和校級管理制度等方面的測評工作。

第三方測評公司除提供專業的測評服務外，需協助學校召開啟動會、驗收會等，幫助二級單位盡快進入角色并確保測評工作有序進行。

根據學校的實際情況，通過校內責任劃分，一方面充分發揮了學校網絡與信息化部門的能力及優勢，另一方面也在一定程度上解決了系統運維人員“工作繁重”、“不懂技術”等問題，有效地推進了學校網絡安全等級保護測評具體管理實施工作。

目前，大連理工大學已經將網絡安全等級保護工作作為一項常規工作長期開展，這項工作也逐漸進入螺旋狀上升的良性循環。

未來學校將進一步把網絡安全工作與信息化項目管理密切結合，網絡安全與信息化建設同步規劃，在信息化系統建設時完成網絡安全等級保護定級備案工作并同步推進安全建設，使用過程中持續開展等級保護測評和整改工作，將等級保護工作貫穿于信息化系統的全生命周期，不斷提升學校的網絡安全防護水平。

參考文獻

[2]張巍，于廣輝，李先毅.管理視角下的高效網絡安全工作實踐.中國教育信息化，2018（5）：81-83.

作者：劉瑾、于廣輝、李先毅、鄭維（大連理工大學網絡與信息中心）