随着互联网技术的快速发展,高校信息化建设为高校师生的工作、生活及学习带来了极大的便利,但同时网络安全问题也日益突出。学校整体的信息化建设,如办公、教学、科研等工作越来越依赖于信息系统的稳定运行,对信息系统的安全保障也提出了更多的要求。网络安全等级保护工作将等级保护对象划分等级,按标准进行建设、管理和监督,并从管理和技术两个方面进行安全把控,这对高校网络安全保障建设作用重大。如今,怎样结合高校实际情况有效开展网络安全等级保护工作,成为高校信息化人员亟需解决的问题。
一、网络安全等级保护现状及问题
大连理工大学
近两年,大连理工大学等级保护定级备案的信息系统已超过50个,开展等级保护测评的系统达30余个。针对学校信息系统数量大的现状,学校采取集中开展等级保护工作的模式,由学校网络安全管理部门统一组织、协调、规范学校网络安全等级保护工作,学校各单位具体负责本单位信息化项目等级保护工作。但是在学校信息化建设初期,网络安全建设与信息化建设没有同步规划和实施,导致老旧系统网络安全管理水平偏低;学校网络安全等级保护工作的组织、开展和管理均采用传统的分散管控、线下管理模式,存在一系列问题。
第一,分散管控减速信息化进程。网络安全管理部门把网络安全作为一项相对独立的工作,对信息化项目开展网络安全等级保护工作的规划实施,未与项目建设管理相结合进行统一管理。一方面,对于学校各项目主管单位来说,针对同一个项目分别开展建设和安全管理,导致建设和安全脱节,增加了工作的复杂度及实施难度;另一方面,网络安全人员不了解项目的信息化建设进度,难以有效推进网络安全管理工作。此外,信息化管理人员不了解项目网络安全情况,无法对项目进行全面的掌控,沟通成本加大。
第二,线下管理带来诸多不便。当前,网络安全等级保护工作多采用线下的管理模式。等级保护工作的任务下发以及材料的搜集通常采用学校通知或者邮件的方式。这给管理和操作人员都带来了一些不便。首先,没有针对性、额外增加工作量,项目主管单位需要定期查看、筛选相关工作任务;其次,管理复杂繁琐,工作的组织开展以及材料的搜集和整理工作只能通过网络安全管理人员线下操作;最后,线下记录更新不及时,上线运行多年的系统常常由于管理员的调整变更,无法及时对接解决,一定程度上影响了工作的推进。
第三,手工台账迎来新挑战。网络安全等级保护工作台账采用手工记录的方式。随着校内信息化系统的增加以及等级保护工作日益增加的新要求,维护和管理网络安全等级保护工作记录占用了管理人员大量的时间和精力。此外,手工台账还存在不规范、无法实时更新共享、难以多人操作等问题。
第四,人工统计的方式亟待更新。近年来,教育部、公安以及学校对网络安全等级保护工作提出了更高的要求,同时网络安全等级保护相关数据信息的统计工作也日益增多,依赖人工统计汇总的方式对网络安全管理人员来说也是极大的挑战。
随着网络安全等级保护工作内容的不断增加,其重要性也不断凸显,原来的管理模式已经无法符合当前的工作需求。为了解决现存问题,学校针对网络安全等级保护工作开展实践与探索,通过与信息化建设管理工作融合实现流程上的统一管控,并与信息化建设管理系统融合实现平台的统一管理,高效开展网络安全等级保护工作,使其更加规范、易操作。
二、网络安全等级保护与信息化管理的融合路径
与管理流程的融合
信息化建设管理工作是对信息化项目的全生命周期(入库、立项、建设、运行、废止)进行管理。网络安全等级保护工作主要分为系统定级、备案、建设整改、等保测评、监督检查五个常规动作,贯穿于信息化项目的全阶段、全流程。高校信息化建设关注度较高,建设管理流程相对规范,将网络安全等级保护各个阶段的工作融入信息化建设管理流程中(如图1所示),在信息化建设过程中同步建设网络安全,保障网络安全与信息化建设相协调,更加有效地推进相关工作的开展。
图1 网络安全等级保护与信息化建设管理流程相融合
1.定级备案
网络安全等级保护备案应在系统运行30日内完成,并且建设过程中需根据定级情况展开安全建设。因此,大连理工大学将网络安全等级保护定级备案工作融合在项目建设管理的立项阶段,在立项阶段同时开展项目信息化立项及网络安全等级保护定级备案工作。针对一个信息化项目,一次性完成立项及定级备案工作,便于统一管理。网络安全等级保护定级备案与信息化立项工作结合开展,相互推进、相互制约。
2.建设整改
将网络安全等级保护建设整改工作融合在项目建设管理的建设阶段。立项阶段通过网络安全等级保护定级备案工作的开展,项目主管单位对网络安全等级保护制度的要求和工作规范有了一定的了解。对信息系统分级实施保护,在系统建设过程中同步建设网络安全,保障网络安全与信息化建设相协调;有利于为信息系统网络安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制网络安全建设成本;有利于优化网络安全资源的配置。
3.等保测评
通过网络安全等级保护测评工作,能够对信息化系统网络安全防护能力进行分析与确认,了解信息化系统存在的安全隐患和薄弱环节。学校在信息化项目运行阶段同步开展等级保护集中测评工作,通过与信息化建设管理工作融合,学校网络安全管理人员可掌握系统的运行进度,统一针对运行系统组织开展等级保护集中测评管理工作,通过安全整改来提高网络安全防护能力,同时信息化管理人员也可以了解学校信息化系统的安全状况。
4.监督检查
将网络安全等级保护监督检查工作融合在信息化建设管理年审工作中。信息化年审工作定期更新信息化项目的基本信息,在年审工作中开展网络安全等级保护监督检查工作,整理项目基本信息的同时开展网络安全自查工作,通过自查结果来监督学校整体的网络安全情况;通过自改工作,提高学校网络安全防护能力。
与管理系统的融合
大连理工大学构建了信息化建设管理系统,形成全面、完整、可充分应用的信息化项目信息库,将各类信息化项目纳入平台统一管理。基于学校现有的信息化建设管理系统和完整的信息化项目基本信息,建设网络安全等级保护工作模块,通过管理系统开展学校等级保护工作,实现网络安全等级保护工作的线上管理、记录和分析。
1.线上管理
通过平台完成等级保护工作任务的发布。基于平台的项目信息库,可定向发布到具体的项目,并且可以通过平台统一搜集相关材料,减轻了管理人员重复的工作量,提高了工作效率。
2.线上记录
通过线上平台,实现了网络安全等级保护工作台账的线上化。基于项目的基本信息,由项目主管人员和网络安全主管人员共同维护项目的网络安全等级保护信息,实现实时更新和共享,降低了网络安全等级保护工作的管理难度,使工作台账更加规范化。
3.统计分析
基于平台的项目信息库的基本信息以及等级保护的信息,通过平台可以高效地完成数据的分类搜集、汇总,并可以根据需求完成项目的等级保护工作的统计。
4.统一管理平台
利用平台完成对项目的信息化建设管理以及网络安全等级保护管理,解决了分散管理等问题,为学校信息化、网络安全主管人员以及项目主管人员和主管单位提供了统一的项目管理平台。
三、建设成效
大连理工大学通过网络安全等级保护在信息化建设管理工作中的融合,有效推进学校网络安全等级保护工作。学校基于信息化项目建设管理平台,开展网络安全等级保护工作。目前,平台已完成学校125个备案系统的录入,网络安全管理人员可通过平台查看学校所有备案系统的基本情况、备案信息、测评信息,实现等级保护工作一站式线上记录、管理;还可针对特定条件筛选,集中下发学校测评任务。同时,系统主管人员、系统主管单位的信息化负责人员可通过平台查看所管理的系统、本单位所属系统的等保备案及测评情况。学校近期正在建设基于信息化系统的网络安全管理平台,将实现学校网络安全管理工作的一站式管理。
来源:《中国教育网络》2023年10月刊
作者:刘瑾、于广辉、李先毅、郑维(大连理工大学网络与信息化中心)
责编:陈永杰