隨著《教育信息化2.0行動計劃》《教育信息化“十四五”規(guī)劃》等相關(guān)國家政策文件的出臺，各高校加快了智慧校園建設(shè)的步伐。然而，在建設(shè)過程中還普遍存在“重建設(shè)輕安全”的現(xiàn)象，高校信息化程度越高，面臨的安全問題也越發(fā)嚴(yán)重。當(dāng)前高校急需建立完善的網(wǎng)絡(luò)安全管理體系，提升管理人員、技術(shù)人員能力，提高網(wǎng)絡(luò)安全工作效率，降低網(wǎng)絡(luò)安全風(fēng)險，才能有效保障高校智慧校園建設(shè)。
　　高校網(wǎng)絡(luò)安全管理存在問題
　　第一，網(wǎng)絡(luò)安全工作機(jī)制仍需完善。近些年，高校普遍建立了網(wǎng)絡(luò)安全管理制度，明確了領(lǐng)導(dǎo)機(jī)構(gòu)和網(wǎng)絡(luò)安全職能部門，對網(wǎng)絡(luò)安全工作予以高度重視，正在逐步建立和完善網(wǎng)絡(luò)安全制度體系[1]，但是絕大部分高校網(wǎng)絡(luò)安全管理還只停留在歸口職能部門層級，并未下沉至二級學(xué)院/部門，缺乏相應(yīng)的責(zé)任考核，無法有效落實(shí)網(wǎng)絡(luò)安全責(zé)任制。
　　第二，網(wǎng)絡(luò)安全管理人員不足，專業(yè)能力有待提高。高校的信息化建設(shè)已初具規(guī)模，但網(wǎng)絡(luò)安全管理人員不足。諸多高校內(nèi)部校園網(wǎng)絡(luò)安全管理人員并沒有接受過定期的專業(yè)培訓(xùn)，從而導(dǎo)致其綜合工作能力一直難以得到提升，無法滿足當(dāng)前高校信息安全管理工作的需求[2]。
　　第三，網(wǎng)絡(luò)安全意識薄弱。高校信息化建設(shè)水平越高，教育教學(xué)和日常工作對信息化依賴程度也就越高，受到的安全威脅也將來自多個方面。但高校網(wǎng)絡(luò)安全防范意識普遍不足，大部分網(wǎng)絡(luò)管理者和用戶網(wǎng)絡(luò)安全管理意識不強(qiáng)，缺乏安全防范意識，導(dǎo)致不能及時有效地應(yīng)對黑客攻擊、病毒入侵或其他安全威脅，為高校網(wǎng)絡(luò)正常持續(xù)運(yùn)行埋下隱患[3]。
　　打造網(wǎng)絡(luò)安全管理體系
　　針對上述問題，江南大學(xué)信息化建設(shè)與管理中心結(jié)合實(shí)際情況建立完善的網(wǎng)絡(luò)安全管理體系。
　　確立機(jī)制，明確網(wǎng)絡(luò)安全責(zé)任
　　網(wǎng)絡(luò)安全工作機(jī)制的確立，主要從制度建設(shè)和組織結(jié)構(gòu)建設(shè)兩個方面開展。
　　第一，制度建設(shè)，規(guī)范網(wǎng)絡(luò)安全工作。依據(jù)國家相關(guān)法律法規(guī)，結(jié)合實(shí)際情況，江南大學(xué)制定了《網(wǎng)絡(luò)安全管理辦法》作為開展網(wǎng)絡(luò)安全工作的總綱，再從組織結(jié)構(gòu)建設(shè)、網(wǎng)絡(luò)安全隊伍建設(shè)、網(wǎng)絡(luò)安全教育培訓(xùn)、網(wǎng)絡(luò)資產(chǎn)管理、網(wǎng)絡(luò)安全風(fēng)險治理、網(wǎng)絡(luò)安全等級保護(hù)等多個維度進(jìn)行細(xì)化，形成管理規(guī)范。
　　第二，四級管理，明確網(wǎng)絡(luò)安全職責(zé)。江南大學(xué)建立了以校網(wǎng)信領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)全局工作，歸口職能部門統(tǒng)籌管理、技術(shù)部門技術(shù)支撐，學(xué)院/部門履行網(wǎng)絡(luò)安全主體管理職責(zé)，信息系統(tǒng)責(zé)任人履行網(wǎng)絡(luò)安全個體管理職責(zé)的四級管理組織結(jié)構(gòu)，開展學(xué)院/部門的網(wǎng)絡(luò)安全責(zé)任考核，進(jìn)一步明確和壓實(shí)網(wǎng)絡(luò)安全責(zé)任，落實(shí)“誰建設(shè)誰負(fù)責(zé)、誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的網(wǎng)絡(luò)安全管理原則。四級網(wǎng)絡(luò)安全管理組織結(jié)構(gòu)如圖1所示。
　　技術(shù)賦能，提升網(wǎng)絡(luò)安全能力
　　網(wǎng)絡(luò)安全隊伍建設(shè)，提供了人員保障和技術(shù)保障，結(jié)合網(wǎng)絡(luò)安全教育培訓(xùn)，提高網(wǎng)絡(luò)安全意識、網(wǎng)絡(luò)安全管理能力和專業(yè)技能，從而提升整體網(wǎng)絡(luò)安全能力。
　　第一，隊伍建設(shè)，提供人員和技術(shù)保障。以切實(shí)有效的網(wǎng)絡(luò)安全培訓(xùn)，提高歸口職能部門專職網(wǎng)絡(luò)安全管理員和學(xué)院/部門兼職網(wǎng)絡(luò)安全管理員的管理能力，提高技術(shù)部門專職技術(shù)人員的專業(yè)技能。同時，引入有保障的社會網(wǎng)絡(luò)安全技術(shù)力量，掌握網(wǎng)絡(luò)安全防護(hù)前沿技術(shù)，為高校保駕護(hù)航。另外，以合作加獎勵的模式，激發(fā)高校優(yōu)質(zhì)的教師、學(xué)生資源，為高校網(wǎng)絡(luò)安全工作添磚加瓦。
　　第二，教育培訓(xùn)，提升網(wǎng)絡(luò)安全能力。以高校較強(qiáng)的信息化能力為載體，實(shí)現(xiàn)線上線下相結(jié)合的教育培訓(xùn)模式；以目的為導(dǎo)向，按不同人員類型，形成多維度的高校網(wǎng)絡(luò)安全教育培訓(xùn)體系（見表1），同時加強(qiáng)部門協(xié)作，充分發(fā)揮教務(wù)處的線上教學(xué)能力、宣傳部的宣傳能力和保衛(wèi)處的安全教育能力。
　　表1高校網(wǎng)絡(luò)安全教育培訓(xùn)體系
　　技術(shù)保障，降低網(wǎng)絡(luò)安全風(fēng)險
　　網(wǎng)絡(luò)安全等級保護(hù)，規(guī)范了信息化的網(wǎng)絡(luò)安全建設(shè)與管理，同時也有了網(wǎng)絡(luò)安全風(fēng)險治理的需求。網(wǎng)絡(luò)安全風(fēng)險治理需要精準(zhǔn)的網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)和完善的治理流程，達(dá)到了提高治理效率、降低網(wǎng)絡(luò)安全威脅的目的。
　　第一，等級保護(hù)，規(guī)范信息化建設(shè)與管理。網(wǎng)絡(luò)安全等級保護(hù)制度是在我國經(jīng)濟(jì)與社會信息化的發(fā)展過程中，以維護(hù)國家安全、提高信息化水平、促進(jìn)信息化健康發(fā)展而設(shè)立的一項基本制度[4]。圍繞“1個中心”管理下的“3重防護(hù)”開展網(wǎng)絡(luò)安全等級保護(hù)工作，將網(wǎng)絡(luò)安全等級保護(hù)與智慧校園信息化建設(shè)的全生命周期管理相融合，嚴(yán)格按照網(wǎng)絡(luò)安全等級保護(hù)2.0的要求進(jìn)行網(wǎng)絡(luò)安全建設(shè)與管理，保障智慧校園建設(shè)。
　　第二，網(wǎng)絡(luò)資產(chǎn)治理，提供基礎(chǔ)數(shù)據(jù)。建立網(wǎng)絡(luò)資產(chǎn)治理平臺，摸清家底，認(rèn)清風(fēng)險，從而實(shí)現(xiàn)“資產(chǎn)發(fā)現(xiàn)—備案審核—漏洞發(fā)現(xiàn)—加固整改—事件處置”安全閉環(huán)，形成全校一本賬、學(xué)院/部門一本賬、信息系統(tǒng)責(zé)任人一本賬的分級管理模式。為防止私搭亂建現(xiàn)象，減少產(chǎn)生“僵尸”資產(chǎn)，職能部門統(tǒng)一管理信息化資源，并采取適當(dāng)?shù)氖召M(fèi)模式，讓使用者重視網(wǎng)絡(luò)資產(chǎn)管理。
　　第三，風(fēng)險治理，降低網(wǎng)絡(luò)安全威脅。高校網(wǎng)絡(luò)安全風(fēng)險治理通過網(wǎng)絡(luò)安全監(jiān)測、預(yù)警、處置等方式，降低網(wǎng)絡(luò)安全威脅。校內(nèi)通過漏洞掃描、滲透測試等手段開展自主監(jiān)測，再結(jié)合各級網(wǎng)絡(luò)安全管理單位的監(jiān)測成果，多角度保障高校網(wǎng)絡(luò)安全。同時，依托良好的組織結(jié)構(gòu)和準(zhǔn)確的網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)，從“發(fā)現(xiàn)、驗證、通報、處置、再驗證、結(jié)束”，形成一套行之有效的網(wǎng)絡(luò)安全威脅處置流程（如圖2所示）。
　　工作宣傳，提升網(wǎng)絡(luò)安全影響
　　以網(wǎng)絡(luò)安全工作簡報的形式，向?qū)W校各級領(lǐng)導(dǎo)定期匯報當(dāng)前國內(nèi)外網(wǎng)絡(luò)安全環(huán)境、學(xué)校網(wǎng)絡(luò)安全態(tài)勢和網(wǎng)絡(luò)安全工作成果，提升網(wǎng)絡(luò)安全工作影響力，提高學(xué)校對網(wǎng)絡(luò)安全工作的重視度，進(jìn)而有利于網(wǎng)絡(luò)安全工作的開展。
　　根據(jù)高校特點(diǎn)，本文形成了一套完整的高校智慧校園網(wǎng)絡(luò)安全管理體系，規(guī)范高校信息化安全建設(shè)，提升高校網(wǎng)絡(luò)安全防護(hù)能力，降低網(wǎng)絡(luò)安全風(fēng)險。實(shí)踐證明，網(wǎng)絡(luò)安全管理體系的建設(shè)達(dá)到了預(yù)期效果，也希望可以為各高校的網(wǎng)絡(luò)安全管理提供有效借鑒。