新冠疫情暴發以來,我國經受了極其嚴峻的考驗,教育領域遭受了前所未有的沖擊。疫情期間,為了減輕防控工作難度和維持教學辦公活動,相當一部分高校加強了信息應用系統建設,取得了良好效果,學校信息化建設水平也進一步提升。但是,由于校外單位難以入校工作,基建和系統集成項目普遍受到較大影響。同時,新增的業務系統或原有校內業務系統需要對外開放,也對網絡安全提出了較大挑戰。
因此,2023年高校一方面需要盡快完成在機房、網絡、硬件系統上延誤的工作,補齊“短板”;另一方面應提升網絡安全防護能力,特別是按《數據安全法》《個人信息保護法》要求對網絡安全防御體系進行升級。
當前,高校網絡安全需更加重視數據防護,注意以下四個工作要點:
首先,要實現縱深防御。
經過十余年的網絡安全建設,高校普遍完成了校園網邊界防御體系,但是原有內外網安全防護模式已經不能滿足目前網絡安全防護要求。因此,需要實現縱深防御,包括:校園網邊界防護,服務器群或數據中心的邊界防護,數據庫與應用系統的邊界防護,主機防護,態勢感知,統一日志等。同時,要注意業務流和運維流分離,網絡管理、安全管理、專網、用戶網分離,普通用戶賬號及系統管理賬號的管理流程分離。
其次,采用零信任訪問控制技術。
當前,高校主流外網訪問校內資源的解決方案是采用VPN設備。但是在縱深防御思路下,簡單的VPN訪問控制難以實現更精細訪問控制。另外,運營商推出的5G校園專網也對校內資源的訪問控制提出挑戰。零信任訪問控制技術可以在一定程度上應對這些困難。
從訪問控制需求角度,高校應當做到避免沒有經過安全設備審計的數據訪問過程,對于能獲取用戶信息的數據訪問過程,應當采用用戶信息作為訪問控制的條件;對于基于Web Service服務的應用系統,如單點登錄系統,應當采用證書方式進行服務端和客戶端的驗證。
再次,要加強總體把握的管理能力。
為此,信息化職能部門要做好“三件事”:設備層面,信息化職能部門要注意從多個設備監測中發現異常情況,而不是簡單依靠單一設備告警;崗位工作方面,要加強網絡、應用系統、運行平臺、安全管理等崗位之間的交流,形成安全防護合力,避免各崗位單打獨斗;部門溝通層面,加強與其他部門的網絡安全溝通,努力構建校園網大安全的工作體系,為建設平安校園服務。
最后,加強設備聯動。
高校信息化職能部門要注意分析不同類型網絡安全設備的功能,通過相互調用控制功能,實現集控管理、快速響應。
新的一年里,北京城市學院信息化工作中心繼續貫徹落實學校信息化“十四五”規劃,改善基礎網絡平臺,推進信息應用系統建設,提升網絡安全防護能力。具體工作計劃是:加快信息化建設、開發、調研工作進度,做好日常監測、保障、應急、培訓,加強部門工作管理體系、項目管理能力、信息系統運維規范。
高校信息化健康發展離不開合理的信息化規劃,而高校信息化規劃最核心的要求是能夠利用信息技術支撐學校發展。所以,2023年在具體工作內容方面,高校信息化職能部門應該綜合運用信息系統項目管理、信息系統項目監理、信息系統審計方法,結合制定校級規章制度、發布工作要求、現場指導、技術培訓與交流等多種工作方式,推進學校信息化“一盤棋”,避免信息化職能部門閉門造車、唯技術論、本位主義。
編撰:陳永杰
