江苏科技大学打造网信安全立体化管理新模式

单位:信息化中心 浏览次数:1466 发布时间:2019-06-07

近日,从专业等保测评机构传来好消息:我校顺利通过了数字化校园系统、云平台信息系统、校园主页及站群系统的二级等保测评以及电子邮件系统的三级等保测评,这是我校打造网信安全立体化管理模式的成果之一。自《中华人民共和国网络安全法》颁布以来,我校紧跟中央网信办要求,以高屋建瓴的顶层设计、立体规范的管理、创新灵活的联动机制,围绕网信安全怎么创新、怎么做实、怎么干好三个方面,全力推行“制度先行、定期排查、定时扫描、承诺保障、及时整改”的立体化管理模式,在实践中收到了良好效果。

实施CIO制度,强化网络安全责任

2017年,我校在省内高校中率先推出CIO体系,构架以“网络安全和信息化领导小组”为决策层、“网络安全和信息化领导小组办公室(简称网信办)”为协调层、各部门信息主管(干事)为执行层的三层队伍体系。这样的架构确保网络和信息安全工作半径纵向到底、横向到边。所有二级部门的信息主管精心筹划,信息干事对部门网络信息安全范畴的自查自纠,不仅签署《安全承诺书》,还参照《江苏科技大学信息安全应急预案》起草制定本部门应急预案、组织应急处置演练。

实行CIO制度后,我校网信安全保障能力逐年提升。2017年以来,根据《江苏科技大学信息系统(网站)安全管理办法》协调处置网络安全漏洞84条,清理“僵尸”信息系统11个,关闭有安全隐患的联网信息发布终端10个。

优化校园网结构,实施网信安全报告制

2018年10月,我校顺利通过镇江市网络安全执法现场检查。2018年底,我校在江苏省公安厅主办的网络安全攻防演练中成功发现攻击行为,并以工作规范性被表扬。一次次闪亮的业绩折射出江苏科技大学网络和信息化安全管理思路的成效。

学校网络安全和信息化领导小组高度重视网信安全的整体架构和宏观规划,制定了“以优化网络设备的安全策略、强化网络安全的软硬件建设为抓手,以扁平化改造、精细化网络管理为载体,施行白名单制度、严控服务器访问”的管理思路。周南平校长要求学校以网络、安全和数据为基础,信息化服务为导向,新校区建设为重点,持续增强关键信息基础设施防护能力。

信息化中心通过扁平化改造实现了精细化网络管理,回收用户端的教育网公网IP地址1000余个;根据对网站、信息系统的常态化监测,一方面通过电话、短信、电子邮件和书面通知等方式,及时向责任部门下发《网络和信息安全隐患限时整改通知单》,另一方面以季度报告、月度简报、不定期通报等方式向信息化领导小组和各部门通报存在的漏洞、后门、暗链、弱口令等安全隐患,并负责跟踪核查整改结果。

根据入侵行为检测数据显示,数据中心安全防护效果逐月增强。2018年隐患整改速度和整改效果与2017年同比提升四成左右,2019年上半年与2018年下半环比提升13%。

落实数据安全,捍卫师生敏感信息

大数据背景下,各类数据成为高校最重要的资产之一。学校着力构建大数据安全保障体系:在推进业务系统整合、共享数据平台建设、智慧校园建设、数据分析与挖掘等大数据建设的同时,坚持安全与发展并重的方针,在充分发挥大数据价值的同时,重点解决数据安全和个人信息保护问题。信息化中心从漏洞扫描预警、攻击行为防护、访问身份识别、运维操作管控、重要数据加密、操作行为审计、数据容灾备份这七方面入手,不断夯实数据层面安全管理工作。

这系列安全举措,取得了明显的成效。江苏省高校信息化建设先进单位、中国教育科研网优秀会员单位等荣誉纷至沓来。

开展培训教育,提高安全意识和素养

习近平总书记强调:“没有网络安全就没有国家安全”。网络安全永远在路上,网信安全人人有责。这场攻坚战既是网信办的战斗,也是对全体师生员工的网信安全意识的洗礼。

网信安全工作可能会增加教师的工作量,就如家里多了一把锁,进出就没那么方便了,但这把锁必不可少。网信办通过推行网信安全工作例会制和项目研讨制,扩大宣传和教育力度。2018年共召开38次工作例会,组织19个项目的安全专项讨论。信息化中心利用新生入学教育、新教师入职教育、国家网络安全宣传周、信息化中心党支部党日活动为契机,通过讲座、报告会、参观、一对一交流、微信推送、邮件推送、主题网页等方式,面向广大师生开展线上线下并行的宣传教育,提高师生网络和信息安全意识和素养。

网信安全工作关系到认识、机制、制度、管理、技术、队伍、经费等各方面,需要调动各种资源、需要全校上下持续不断的努力。2019年4月,信息化中心推出“营造风清气正网络空间,促进线上线下党建融合”主题教育活动,设立江科大网络安全宣传月,多渠道多阶段开展网信安全知识宣传,掀起全校学习网信安全的热潮,增强师生网络安全意识,营造风清气正的校园网络空间。