“沒有網(wǎng)絡安全就沒有國家安全。”陜西是教育大省，教育網(wǎng)站和系統(tǒng)有6800余個。做好全省教育系統(tǒng)網(wǎng)絡安全工作，是培養(yǎng)合格建設者和可靠接班人、落實立德樹人根本任務的必然要求。陜西省委教育工委、省教育廳高度重視網(wǎng)絡安全工作，建立黨委（黨組）“一把手”負總責的動態(tài)通報機制、量化考核機制和防范預警機制，依托西北工業(yè)大學成立網(wǎng)絡安全研究應用中心，建成教育網(wǎng)絡安全監(jiān)控預警平臺，實時監(jiān)測全省教育業(yè)務系統(tǒng)（網(wǎng)站），開展教育系統(tǒng)網(wǎng)絡安全攻防實戰(zhàn)演練，舉辦網(wǎng)絡安全宣傳周和專題培訓班，不斷提升全省教育系統(tǒng)網(wǎng)絡安全防護意識和應急處置水平。各級教育行政部門和各級各類學校高度重視，統(tǒng)籌力量，集聚智慧，共同構(gòu)建網(wǎng)絡安全預警、監(jiān)測、防護、處置的良性生態(tài)體系，涌現(xiàn)出一批優(yōu)秀案例。

西安交通大學從實際出發(fā)，將《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）中安全技術(shù)應遵循的“同步規(guī)劃、同步建設、同步使用”的“三同步”原則與信息系統(tǒng)建設工作深度融合，通過網(wǎng)絡安全制度、安全責任體系和網(wǎng)絡安全技術(shù)監(jiān)測和防護相結(jié)合的方式，形成了一套針對信息系統(tǒng)全生命周期的管理的方法，有效提升了信息系統(tǒng)總體安全防護水平。

一是建立健全管理細則，明確系統(tǒng)立項安全規(guī)劃。制定了《信息系統(tǒng)安全管理辦法》《信息系統(tǒng)基線安全設計要求》《數(shù)據(jù)安全管理規(guī)范》等一系列制度和技術(shù)文件。其中《信息系統(tǒng)安全管理辦法》明確提出要以“三同步”原則建立規(guī)范的信息系統(tǒng)全生命周期管理機制；《信息系統(tǒng)基線安全設計要求》為系統(tǒng)安全建設制定了包含5個大類、89個小項的WEB應用基本安全基線要求；《數(shù)據(jù)安全管理規(guī)范》為信息系統(tǒng)數(shù)據(jù)獲取、使用、傳輸、共享、存儲等過程制定了詳細安全的管理規(guī)定。明確信息系統(tǒng)業(yè)務單位和開發(fā)單位的安全責任，確保安全“同步規(guī)劃”及“同步建設”的有效落實。

二是構(gòu)建網(wǎng)絡安全“三步檢”，確保信息系統(tǒng)安全上線。為確保系統(tǒng)設計符合安全技術(shù)要求，建設時遵循了學校安全管理規(guī)定，西安交通大學建立了基線自查、漏洞掃描到滲透測試的網(wǎng)絡安全“三步檢”。其中基線自查有利于提升安全管理最短板；漏洞掃描則是用于排除低級錯誤造成的安全隱患；而滲透測試則是網(wǎng)絡安全工作人員以黑客視角，模擬真實攻擊方法，對系統(tǒng)進行攻擊測試。嚴格完成上述“三步檢”是信息系統(tǒng)安全運行的核心要求。以2022年為例，25個系統(tǒng)完成安全滲透測試并上線運行。其中18個系統(tǒng)存在高危及以上安全漏洞；共測出安全漏洞144個，其中高危漏洞55個，中危漏洞42個，低危漏洞47個。最常見的是信息泄露和各類越權(quán)漏洞，涉及10個系統(tǒng)。

三是建立“兩個”機制，破解日常安全監(jiān)測難題。網(wǎng)絡安全的動態(tài)特性決定了信息系統(tǒng)運營過程的安全管理不能放松，為了解決日常監(jiān)測的難題，西安交通大學建立了“漏洞眾測”和“安全演練”兩個機制，筑牢校園安全防線。學校建立由安全管理人員、安全廠商和具有網(wǎng)絡安全專業(yè)背景的師生組成專業(yè)的“攻防團隊”，日常性地對信息系統(tǒng)進行“漏洞眾測”，周期性地開展“安全演練”。在該過程中如發(fā)現(xiàn)安全漏洞，可利用學校的網(wǎng)絡安全漏洞管理平臺進行通報和處置。眾測活動從2020年底開始，截至目前共自主發(fā)現(xiàn)通報漏洞110個。

四是引入系統(tǒng)退出機制，避免出現(xiàn)“僵尸”系統(tǒng)。系統(tǒng)退出環(huán)節(jié)分為主動退出和被動退出。無論哪種退出方式，業(yè)務單位對應的安全責任也隨之終結(jié)。從信息系統(tǒng)出生、上線、使用到退出，四個階段層層推進，有效落實了《網(wǎng)絡安全法》對“三同步”原則的安全要求，全面提升校園信息系統(tǒng)的安全質(zhì)量。強化安全工作前移，降低后期安全運維壓力，確保了信息系統(tǒng)不“帶病上崗”，不“帶病運行”，為做好校園網(wǎng)絡安全保障起到了關鍵的作用。隨著學校信息系統(tǒng)生命周期管理的制度和架構(gòu)設計越來越完善，管理手段越來越精細，效果也逐步體現(xiàn)。針對信息系統(tǒng)漏洞的“人民戰(zhàn)爭”，有效破解日常安全監(jiān)測難題。從教育部教育漏洞監(jiān)測平臺的數(shù)據(jù)看，西安交通大學監(jiān)測到的風險全國排名從2019年的第9位下降至2022年的第36位，由此可以看出學校信息系統(tǒng)的網(wǎng)絡整體安全防護能力大幅提升。學校還構(gòu)建校企合作的“攻防團隊”，一方面最大程度地為學校爭取到網(wǎng)絡安全公司的優(yōu)質(zhì)資源，另一方面也為學校網(wǎng)絡安全人才培養(yǎng)提供了實戰(zhàn)平臺，是對高校人才培養(yǎng)的探索和補充。參與過此項工作的學生也取得了一系列成績，2021年參加中國大學生信息安全競賽CTF比賽中晉級決賽，2022年在西部賽區(qū)191支戰(zhàn)隊中取得第10名的成績。網(wǎng)絡安全管理團隊參加2021年陜西省安全技能大賽，在決賽中取得三等獎。

西北工業(yè)大學從管理、技術(shù)、人員、實戰(zhàn)四個方面建立立體化的網(wǎng)絡安全防護體系，將網(wǎng)絡安全建設與管理化“被動防護”為“主動防御”，日均抵御110萬次網(wǎng)絡攻擊，2021年全年完成10680次信息系統(tǒng)測試，印發(fā)信息安全文件81份，安全威脅最快在12分鐘內(nèi)處理完畢。

一是統(tǒng)籌“管理”，做到“定職責、抓落實”。加強組織領導，建立專項工作領導小組統(tǒng)籌負責全校的網(wǎng)絡與信息系統(tǒng)安全管理，上下聯(lián)動一盤棋。完善制度建設，構(gòu)建長效機制，制定了《西北工業(yè)大學網(wǎng)絡與信息系統(tǒng)安全管理辦法》，全面落實網(wǎng)絡安全工作責任制。堅持日常巡查和監(jiān)測預警，嚴格督查整改。

二是夯實“技術(shù)”，做到“看得見、防得住”。強化網(wǎng)絡安全態(tài)勢感知，通過自建開發(fā)結(jié)合多套網(wǎng)絡安全設備將資產(chǎn)現(xiàn)狀、威脅情報、防御效果、處置能力“可視化”，對所有信息系統(tǒng)的安全狀況進行全生命周期管理，所有過程留痕化記錄，讓安全數(shù)據(jù)看得見。加強技術(shù)防護，采用三層防御的布局結(jié)構(gòu)分級抵御各類攻擊，分別為云防護、校園網(wǎng)出口以及數(shù)據(jù)中心核心出口，建立了包括網(wǎng)絡防火墻、網(wǎng)絡防病毒軟件等一系列技術(shù)防護手段。嚴格按照國家要求開展信息系統(tǒng)等級測評，建立信息系統(tǒng)白名單，實施年審制度。

三是注重“人員”，做到“強意識、建隊伍”。關注管理者、教師和學生等三類重點人員，提升整體安全意識。建設專業(yè)隊伍，提升關鍵能力，由專業(yè)技能較強的信息化處技術(shù)團隊和兼職技術(shù)團隊共同保障網(wǎng)絡安全。將校園網(wǎng)絡安全環(huán)境逐步打造成實戰(zhàn)靶場，組織有專業(yè)特長的學生參加網(wǎng)絡安全工作，拓展技術(shù)隊伍。加強宣傳，提升全員網(wǎng)絡安全素養(yǎng)。

四是強化“實戰(zhàn)”，做到“實網(wǎng)戰(zhàn)、主動戰(zhàn)”。在網(wǎng)絡安全建設和防護中均以實網(wǎng)環(huán)境為根本，主動發(fā)現(xiàn)和消除實網(wǎng)上存在的安全隱患。建立主動防御的工作機制，主動探測攻擊來源持續(xù)實時阻斷。開展攻防對抗，建設隊伍提升能力。學校網(wǎng)絡安全建設成效顯著，五年來獲得網(wǎng)絡安全類獎項共計32次，先后在陜西省教育廳、中國高等教育學會信息化分會、高校CIO論壇等多個重要會議介紹網(wǎng)絡安全建設經(jīng)驗，受到廣大同行的關注。今后，學校將持續(xù)加強網(wǎng)絡安全建設，以實戰(zhàn)為根本，不斷完善網(wǎng)絡安全體系、培養(yǎng)網(wǎng)絡安全尖端人才。

隨著教育信息化的快速推進，教育信息系統(tǒng)面臨的網(wǎng)絡安全形勢也日趨嚴峻，做好教育系統(tǒng)網(wǎng)絡安全工作愈加重要。陜西省委教育工委、省教育廳高度重視網(wǎng)絡安全工作，從組織機制、平臺建設、實戰(zhàn)演練、宣傳培訓等方面構(gòu)建陜西教育系統(tǒng)網(wǎng)絡安全預警、檢測、防護、處置“四位一體”的管理體系。在此，建議相關單位根據(jù)自身情況和業(yè)務特點，制定有針對性的網(wǎng)絡安全防護體系化機制，推動陜西省教育系統(tǒng)網(wǎng)絡安全工作更上新臺階。

作者單位：陜西省教育廳