高校网络安全管理工作应遵循何种原则?网络安全工作的难点是什么?如何进一步完善网络安全管理体系?如何使用户理解并配合学校的网络安全工作?“2019中国高校信息化主任论坛”上,国内多所高校的专家围绕上述问题展开深入交流,回顾其中的精彩观点。

 网信部主任是网络空间的“保安队长”

网络安全工作是不对等的博弈,它有三个“苦”:第一,对方,也就是网络攻击者在暗处,需要我们保护的对象即被攻击者在明处;第二,攻击者是“武装到牙齿”的职业选手,被攻击者是“手无寸铁”的平民;第三,网络攻击在网络空间角度经常是有组织的,如DDoS,而被攻击者通常是个体防御。

然而,网络安全恰恰也给了信息化工作一个机会。如果把网络空间和实体空间做对比,网信部门负责人在网络空间就相当于实体空间“保安队队长”的角色。网信部门负责人可以结合这一重要角色,将信息化和网络安全同步进行,例如,可以以“保安队队长”的身份在信息化项目的流程管理过程中,在处理数据安全的同时,处理好数据共享的问题。

华南理工大学在网信工作方面,建立了信息化和网络安全工作的同步机制,在制度化的同时进行流程化处理。学校所有的信息化项目都由网信办进行流程管理,网信办在审核相关项目时,着重审核网络安全和数据共享两方面,如果达不到这两项要求,就不能上线。这种方式将网络安全和信息化工作“绑定”,让网络安全和信息化成为“一体之两翼、驱动之双轮”,统一部署、统一实施,在解决网络安全问题的同时解决数据共享问题。

 找准信息资产抓手实施安全管理

由于学院、部处各单位在管理上相对独立,因而内部机制不尽相同,造成了信息资源梳理方面的困境,各系统之间的管理也缺乏一致的流程和规范。

解决这些问题的途径有三:第一,依据政策,将安全管控与学校组织架构相结合;第二,找准信息资产这个抓手,将校园信息资产全生命周期的梳理管控贯彻到底,实现双维度的完美结合;第三,厂校协作,学校与社会融合,搭建安全问题从发现到解决的闭环流程。

天津大学校园网络安全管理体系的建设思路是高占位、建体系、理资产、搭平台,建立信息安全的管理体系、运营体系和技术体系。

 网络安全遵循最小化原则

从大的方面说,国家进入新时代,习总书记针对网络安全和信息化发表了一系列讲话,如没有信息化就没有现代化、没有网络安全就没有国家安全等。正如吴建平院士所言,只有真正掌握互联网的核心技术,才能从根本上解决网络安全问题。

关于网络安全,我有三点体会:第一,网络安全要遵循最小化原则;第二,网络安全建设中,人才要素非常重要;第三,网络安全与信息系统的开放性从某种程度上是有矛盾的,如何兼顾开放和安全,需要我们每个人深入思考。

 网络安全工作七分管理三分技术

华中科技大学高度重视网络安全,在国内高校率先成立了网络安全和信息化领导小组,组长由书记和校长担任,分管信息化和宣传工作的校领导任副组长,各职能部门均为成员单位。学校提出并建设了“攻击能防护、问题能追溯”的网络安全防护系统,获批建设湖北省网络安全和信息化创新研究中心。

网络安全为师生,网络安全靠师生;七分管理,三分技术,只有管得住,才能放得开;摸清家底,坚持到底!信息化管理者不仅要懂技术,更要懂管理,要提高政治站位,认真领会国家领导人关于网络安全和信息化工作的重要论述,用理论武装头脑,用理论指导实践,让师生、各职能部门、院系都能够充分享受信息化发展的成果。

 网络安全工作痛并快乐着

西北工业大学的网络安全工作围绕三个方面开展:技术上,要让所有的安全问题看得见、防得住;管理上,要定责任、抓落实;人员上,要强意识、建队伍。

当前,网络安全1.0亟需向网络安全2.0时代发展。2.0时代应该有人员的实时安全防护,在此基础上,努力将安全工作实时化、主动化。

网络安全工作的重要作用有三个:一是能提升应用系统的建设水平;二是能进一步提升对数据的安全管理;三是可以拉近信息化部门与师生之间的距离,因为师生是网络安全的主要参与者。

网络安全工作责任重大,任务艰巨,但只要大家努力去做,就是痛并快乐着的。

 向内发力打造信息安全体系

高校的信息安全工作应处理好两点:第一,技管并重,管理先行。管理要有更多的责任和担当,为技术的落地穿针引线,铺路搭桥,为技术的实施争取更大的共识,创造更好的舆论环境;第二,内涵式发展。高校应该通过向内发力打造信息化安全体系,全面提升网络安全防护能力。

在网络安全工作中,有许多制度需要执行,执行时应当设身处地为不同人群制定不同的方案。必要时需要适度引导,只有让老师们认同方案,他们才会支持学校的决策。