高校信息系统安全管理实践与探索

前言

随着《教育信息化2.0行动计划》、《教育信息化中长期发展规划（2021—2035年）》《教育信息化“十四五”规划》等政策文件的相继出台，各高校大力推进教育数字化转型，学校各类业务信息系统不断增多，助力学校教学科研、管理服务发展，为师生学习、工作和生活带来诸多便捷。与此同时，高校信息系统以其数量多、用户量大、社会关注度高等特点，也吸引了很多国内外的黑客关注，网络攻击、数据泄露与篡改、木马病毒、暗链后门等网络安全事件频发，威胁师生的个人人身财产安全以及校园安全稳定和正常秩序。

本文以中国地质大学（武汉）为例，在满足网络安全等级保护2.0合规性要求基础上，从信息系统的基本信息维护、脆弱性管理、威胁管理以及网络安全队伍建设等方面，探索维护信息系统安全的管理之路，促进学校网络安全和信息化工作有序推进和良性发展。

存在问题

20世纪90年代中期，我国教育信息化和数字化校园建设启动。在信息化建设早期，各高校信息系统建设多采用各自为政，分散建设^[1]的粗放管理模式。2016年前后，各高校相继成立网络安全和信息化领导小组，按照“同步规划、同步建设、同步使用”原则，统筹规划校园网络安全和信息化工作。按照网络安全等级保护2.0要求，相继开展信息资产梳理、应急演练、攻防演习等工作，有效提升了高校网络安全保障能力。在实际工作中发现，围绕信息系统的网络安全的脆弱性通报、威胁预警、攻击事件是高校网络安全风险的主要来源。因此信息系统是高校网络安全治理的关键所在。

当前信息系统治理主要存在以下几个方面的问题：

一是信息系统建设分散，管控不足。大部分高校网信职能部门因技术力量不足、人员编制、建设经费有限等原因，信息系统主要由业务部门牵头建设，导致网信职能部门难以直接掌握信息系统的建设运行情况。同时因历史原因，学校老旧系统、无人维护的僵尸系统、双非网站等，也给校园网络安全带来风险。

二是信息系统风险类型多样，防护要求高。保障信息系统的安全运行，其实要保障数据库等相关软硬件设备都处在安全稳定状态下运行。但硬件老化、兼容性、软件脆弱性、木马病毒、网络安全攻击等因素，均可造成信息系统瘫痪、网站页面篡改、数据泄露、数据篡改等网络安全事件。

三是信息系统疏于维护，人员安全能力识有待提高。学校二级单位网信工作人员多为兼职，相关网络安全知识欠缺；部分单位存在“重建设、轻安全”现象，只讲求系统可用，忽略系统的稳定性和安全性，对发现的网络安全隐患不重视，处置不及时、操作不规范，信息系统升级维护、重要信息变更不及时向网信职能部门报备，甚至延误网络安全应急处置。

总体框架

以高校信息系统作为管理对象，按照网络安全等级保护2.0等政策法规要求，结合资产基本信息管理、系统脆弱性管理、外来威胁管理的常态化保障需求和网络安全队伍保障能力要求，建立立体化网络安全管理体系，有效应对各种网络安全风险，保障师生个人信息安全和各项业务的安全稳定运行。总体架构如图1：

图1基于资产的网络安全管理体系总体架构

信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的，以处理信息流为目的的人机一体化系统^[2]。2021年教育部发布的《高等学校数字校园建设规范（试行）》中明确，信息系统泛指网站、移动应用、业务平台等软件系统^[3]。本文所指的学校的信息系统主要包括教务管理系统、科研管理系统、财务管理系统、后勤管理系统、数据中台等支撑学校的教学科研、管理服务等业务开展和校园数据处理的各类信息系统和学校门户网站、二级单位门户网站和各类会议网站等。

按照“同步规划、同步建设、同步运维”的原则，信息系统按照网络安全等级保护2.0等政策法规和上级主管部门管理要求进行建设和运维保障。根据业务和系统的重要性以及受到破坏后的影响对象和影响程度，对信息系统进行定级，并依据系统级别落实备案、整改和测评等工作。

信息系统的基本信息维护主要包含两个阶段，一是网信职能部门对系统底数的清查，明确IP地址、域名、系统的用途、是否收集师生个人数据、责任单位、责任人等基本信息，及时清理本单位的僵尸系统、双非网站等，形成本单位的信息资产名录。二是对信息资产名录的维护，随着学校数字化转型的不断推进，信息系统的迭代升级以及人员岗位变动等原因，会出现信息系统重要信息的变化、新的信息系统的产生、老旧系统的废弃或者信息系统的重组等现象，需要及时维护信息系统名录，为网络安全应急处置提供支撑，为校园数字化建设规划提供依据。

脆弱性管理主要是围绕信息系统自身存在的安全漏洞等问题开展防护工作，主要通过源代码审计、安全基线检查、漏洞扫描等技术手段进行监测检查。源代码审计主要应用在新系统上线部署前或者对系统进行升级改造时开展，目的是发现和解决潜在的安全问题，如代码注入、逻辑漏洞等，确保系统在投入使用前达到既定的安全标准。安全基线检查是对信息系统安全配置、安全策略等进行检查,通常用来排查如配置错误、策略漏洞等安全隐患，一般建议半年或一年开展一次。漏洞扫描是发现系统漏洞、排除风险的最常用方法，通常使用专用设备或者工具发现系统漏洞。

威胁管理主要是指围绕外部攻击开展的网络安全防护保障工作。各高校大多在校园网内部署了防火墙、堡垒机、VPN、IPS或IDS、数据防泄漏等各类安全防护设备，各类设备需要通过精细的网络安全策略设置才能发挥有效的保障功能。为有效的抵御外来入侵，检验策略的有效性，通常可通过安全的信息系统渗透测试、攻防演习等形式排查网络安全风险，提升网络安全应急保障能力。

网络安全队伍建设是维护信息系统安全的根本保障。按照“分级管理、逐级负责”的原则，需明确各二级单位的网信分管领导、网信员和信息系统管理员。在实际中各二级单位的网信工作人员大多为兼职，缺少必要的网络安全意识和能力，因此网信职能部门需根据不同人员的职责要求，做好网络安全意识提升和技能培训，与二级单位共同推进校园网络安全体系建设。

信息系统安全管理实践

中国地质大学（武汉） 图源学校官网

以中国地质大学（武汉）为例，高校信息系统安全管理是一项长期的工作。围绕信息系统的安全业务（如基本信息维护、脆弱性管理等）工作较为繁杂，且一般涉及多部门的、多用户、多环节，为提升工作效率，解决传统人工模式中效率低、工作闭环难等问题，建立学校网络安全工作管理平台，依靠信息化手段优化网络安全管理工作开展：

基本信息维护

为实现资产信息明确化、资产归属清晰化、资产风险可控化，保障信息系统全生命周期安全管理，2020年，学校制订《网络安全和信息化工作管理办法》组织开展网络安全信息底数清查专项工作并建立年审制度。

对于有归属的信息系统，相关责任单位填报系统名称、IP地址、域名信息、系统的用途、责任单位和责任人信息、供应链厂商相关信息等；对于无人认领的信息系统，通过关停网络访问方式，待相关人员进行主动认领，长期无人认领的信息系统则进行资源回收；对于清查出的双非网站，根据相关要求请相关责任人关停双非网站互联网访问权限，并限期迁回校内管理。

年审工作由学校网信办牵头，每年定期开展为期一月的专项资产年审，如图2所示。各二级单位收到任务后开始核对所属资产，确认资产在用情况，基础信息变更情况等内容，若有变更则及时更改并完成内部审核工作。年审结束后，则形成已下线或未使用的信息资产形成资产清单，开展服务器关停或资源回收工作。学校网络安全工作管理平台同时支持对系统责任人、IP、域名等重要信息的即时变更需求。通过年审制度，确保学校内部备案登记的信息系统来源符合唯一性、准确性、一致性原则，强化信息系统全生命周期的闭环管理。

图2信息资产年审流程图

脆弱性管理和威胁管理

为做好信息系统风险防范，形成了“一审、月扫、年检”的工作机制，学校将源代码审计作为信息系统验收的必备条件之一，每月开展安全漏洞扫描，每年开展网络安全检查和“蓝军行动”专项工作，同时结合学校工作实际和信息系统业务需求，定期进行暴露面梳理和暴露面策略优化。

每年的网络安全检查和“蓝军行动”专项中，围绕信息系统的主要包括对信息系统的基线安全检查、对指定信息系统的渗透测试。

为优化安全风险处置流程，缩短安全风险处置周期，学校将安全处置流程从线下“迁移”至线上，对于上级部门通报的、校内日常漏洞扫描、专项渗透测试以及“蓝军”行动中发现的网络安全风险问题，均通过学校网络安全管理平台完成报告下发和整改反馈的闭环。

若存在二级单位未按时整改需要督办时，提醒方式由原始人工电话、社交平台联系转变为系统自动督办，距离整改期限6小时候若还未提交整改处置情况有系统自动发送提醒短信，以此减少人工复核、督办时间。

流程优化后通过事件流程清楚记录事件处置周期，在整改过程中能快速定位到环节负责人，清晰网络安全责任，实现安全业务处置闭环追踪（如图3）。

图3安全事件处置流程优化效果图

网络安全队伍建设

人是保障信息系统网络安全的核心要素。为做好学校数字化转型，保障校园网络安全，学校建立了网信领导小组（网信专家组）、网信办、二级单位三级组织架构，并围绕职责分工和人员角色定期开展网络安全和信息化素养提升培训。

一是每年组织相关领导、工作人员参加教育系统网络安全专题培训等，学习了解国家、行业网络安全新要求、新动态和发展方向。

二是将信息化素养提升纳入到学校干部培训要求中，每年邀请网络安全和信息化领域专家为各二级单位网信分管领导、网信员、信息系统管理员开展培训，学习贯彻网络强国相关政策，增强政治站位，提高网络安全意识和基本防护能力。

三是邀请行业技术专家对学校系统管理员、开发运维人员开展专项技术提升培训，增强专业保障技能，提升应对日常运维中常见问题或突发的安全事件能力。

四是依托新生入学、“国家网络安全宣传周”、“国家安全教育日”、“全国科普日”等活动，向全校师生用户普及网络安全知识，提升师生用户的网络安全意识和基本能力。

五是学校网络安全管理平台中设置了学习园地板块，用户不仅可以随时学习网络安全法律法规、行业规定、学校制度等相关政策文件，还可以获取最新的网络安全新闻、技术分析、漏洞预警等外部资讯，不断提升网络安全保障能力。

结语

保障信息系统安全对于维护校园稳定运行、师生人身财产安全至关重要。信息系统的安全风险是高校网络安全治理长期面临的一个难题，随着云计算、区块链等新技术的发展和应用，将对维护信息系统安全、提升校园网络安全防护能力提出新的要求，需不断加强网络安全队伍建设、提升网络安全风险监测水平和应急防护能力，不断探索优化网络安全管理体系建设，助力学校数字化转型和数字校园建设。

参考文献

[1] 吴驰,龙涛,郑競力.高校信息系统建设规范化管理研究与实践[J].中国教育信息化·高教职教, 2021, 000(012):63-67.

[2] 王世伟,惠志斌.信息安全辞典[M].上海辞书出版社,2013..

[3] 无.教育部关于发布《高等学校数字校园建设规范(试行)》的通知(教科信函[2021]14号)[J].中华人民共和国教育部公报, 2021(5):14-42.

基金项目：中央高校基本科研业务费专项资金资助项目——中国地质大学（武汉）高等教育管理研究青年课题（项目名称：高校网络安全治理工作体系研究，项目批准号：2023QNB07）

作者：高浪、马峥、孙玉凤，系中国地质大学（武汉）信息化工作办公室