最近从专业等保测评机构传来好消息:学校顺利通过了数字化校园系统、云平台信息系统、校园主页及站群系统的二级等保测评以及电子邮件系统的三级等保测评。
这样亮眼的成绩,正是江苏科技大学打造网信安全立体化管理模式的成果之一。自《中华人民共和国网络安全法》颁布以来,江苏科技大学紧跟中央网信办要求,以高屋建瓴的顶层设计、立体规范的管理、创新灵活的联动机制,围绕网信安全怎么创新、怎么做实、怎么干好三个方面, 全力推行“制度先行、定期排查、定时扫描、承诺保障、及时整改”的立体化管理模式,在实践中收到了良好的效果。
实施CIO制度,强化网络安全责任
2017年在省内高校中率先推出CIO体系,从管理组织架构上确定能统筹规划、统筹预算、统筹协调与建设信息资源和技术的学校领导岗位及其执行体系。江苏科技大学成立了以校党委书记和校长为组长、分管信息化和舆情的副校长为副组长的网络安全和信息化领导小组;颁布《江苏科技大学首席信息官制度》,构架以“网络安全和信息化领导小组”为决策层、“网络安全和信息化领导小组办公室”为协调层、各部门信息主管(干事)为执行层的三层队伍体系。
这样的工作架构使学校网信安全工作落到了实处,确保网络和信息安全工作半径纵向到底、横向到边。所有二级部门的信息主管精心筹划,信息干事对部门网络信息安全范畴的自查自纠,不仅签署《安全承诺书》,还参照《江苏科技大学信息安全应急预案》起草制定本部门应急预案、组织应急处置演练。
实行CIO制度后,我校网信安全保障能力逐年提升。2017年以来,根据《江苏科技大学信息系统(网站)安全管理办法》协调处置网络安全漏洞84条,清理“僵尸”信息系统11个,关闭有安全隐患的联网信息发布终端10个。
优化校园网结构,实施网信安全报告制
2018年10月,我校顺利通过镇江市网络安全执法现场检查。2018年底,我校参加江苏省公安厅主办的网络安全攻防演练,成功发现攻击行为,并以工作规范性在全省范围内被表扬。一次次闪亮的业绩折射出江苏科技大学网络和信息安全管理思路的成效。
学校网络安全和信息化领导小组高度重视网信安全的整体架构和宏观规划,制定了“以优化网络设备的安全策略、强化网络安全的软硬件建设为抓手,以扁平化改造、精细化网络管理为载体,施行白名单制度、严控服务器访问”的管理思路。周南平校长要求学校以网络、安全和数据为基础,信息化服务为导向,新校区建设为重点,持续增强关键信息基础设施防护能力。
信息化中心作为网信安全工作的核心部门,通过扁平化改造实现了精细化网络管理,回收用户端的教育网公网IP地址1000余个。信息化中心发布《江苏科技大学网络与信息安全事件报告制度》《江苏科技大学网络与信息安全问题通报制》,实现网络和信息安全问题的早发现、早处置,具体做法为:根据对网站、信息系统的常态化监测,一方面通过电话、短信、电子邮件和书面通知等方式,及时向责任部门下发《网络和信息安全隐患限时整改通知单》,另一方面以季度报告、月度简报、不定期通报等方式向网络安全和信息化领导小组和各部门通报存在的漏洞、后门、暗链、弱口令等安全隐患,并负责跟踪核查整改结果。
根据入侵行为检测数据显示,数据中心安全防护效果逐月增强。2018年隐患整改速度和整改效果与2017年同比提升四成左右,2019年上半年与2018年下半环比提升13%。
落实数据安全,捍卫师生敏感信息
大数据时代背景下,高校信息化产生的各类数据成为高校最重要的资产之一。学校在推进业务系统整合、共享数据平台建设、智慧校园建设、数据分析与挖掘等大数据建设的同时,坚持安全与发展并重的方针,为大数据发展构建安全保障体系,在充分发挥大数据价值的同时,解决面临的数据安全和个人信息保护问题。信息化中心从漏洞扫描预警、攻击行为防护、访问身份识别、运维操作管控、重要数据加密、操作行为审计、数据容灾备份这七方面入手,不断夯实数据层面安全管理工作。
这系列安全举措,取得了明显的成效。江苏省高校信息化建设先进单位、中国教育科研网优秀会员单位等荣誉纷至沓来。
加强学科建设,创新网信人才培养
网信安全人才培养范畴中,江苏科技大学育人成果喜人。2019年5月,第十届“蓝桥杯”全国软件和信息技术专业人才大赛全国总决赛中,共计20名学生获奖,其中2名同学获得全国一等奖,学校捧得“优胜学校奖”。学校在第十届中国大学生计算机设计大赛中荣获一等奖1项、二等奖5项、三等奖1项。王子昂蝉联第二届、第三届滴滴“信息安全高校闯关赛”冠军,并取得在日本东京举行的第四届全球信息安全攻防赛第四名的好成绩。学校承办江苏省第九届信息安全高层论坛。
学校响应中央网信办的号召,加快网络安全人才培养,从2016年起,设置信息安全本科专业,现已培养120名在校生。学校认真贯彻《关于加强网络安全学科建设和人才培养的意见》,高度重视网络安全人才的创新创业教育工作,构建了“教学-实训-竞赛-孵化”四位一体的创新创业教育培养体系。以教学为基础,夯实创新创业教育课程建设;以实训为载体,课内课外相结合,建设一系列创新实验室和创新创业社团,持续实施大学生创新训练计划;以赛事为抓手,积极组织学生参加高水平竞赛活动,保证每个学生至少参加一项学科竞赛、创新训练项目或专业实践活动。
以定期举办的攻防实战演习为例,参与其中的学生收获的不仅是攻防知识与技巧,使学生零距离感受到各种攻击手段的魅力以及信息安全现实的残酷,更加深了学生对专业迫切性和严肃性的理解,激发其社会责任感。
开展培训教育,提高安全意识和技能
习近平总书记强调:“没有网络安全就没有国家安全”。网络安全永远在路上,网信安全人人有责。这场攻坚战既是网信办的战斗,也是对全体师生员工的网信安全意识的洗礼。
网信安全工作可能会增加师生员工的工作量,就如家里多了一把锁,进出就没那么方便了;但网信安全这把锁必不可少。因此提高师生的认识,要处理好网信安全和学校发展的平衡关系。网信办通过推行网信安全工作例会制和项目研讨制,扩大宣传和教育力度。2018年共召开38次工作例会,组织19个项目的安全专项讨论。利用新生入学教育、新教师入职教育、网络安全宣传周、信息化建设与管理中心党支部特色活动等契机,通过形势政策课、讲座、报告会、参观、一对一交流、微信推送、邮件推送、主题网页等方式,面向广大师生开展线上线下并行的网络安全宣传教育,提高其网络和信息安全意识和素养。
网信安全工作关系到认识、机制、制度、管理、技术、队伍、经费等各方面,而且需要调动各种资源、要获得全体人员的共识,需要全校上下持续不断的努力。根据学校网络和信息安全工作薄弱环节以及年度工作重点,网信办制定了针对不同对象的网络和信息安全教育计划,重点开展面向信息主管、信息干事和系统管理员的专题培训,切实提高广大师生的网络安全意识和防护能力。领导小组多次召开网信安全工作协调会,要求切实加强网络安全管理,全面筑牢网络安全防线,营造安全和谐网络环境。邀请了镇江市公安局网安支队管理大队许翔大队长做《中华人民共和国网络安全法》主题宣讲。由信息化建设与管理中心沈勇主任做了《信息安全及案例分析》的主题宣讲。信息化中心围绕网信安全和用户体验专题,多次召开培训会。2019年4月,信息化中心推出“营造风清气正网络空间,促进线上线下党建融合”主题教育活动,设立网络安全宣传月,多渠道多阶段开展网信安全知识宣传,掀起全校学习网信安全的热潮,增强师生网络安全意识,营造风清气正的校园网络空间。
值《中华人民共和国网络安全法》发布两周年之际,江苏科技大学一系列卓有成效的举措正催生着一批可喜的成果。打造网信安全立体化管理新模式,江苏科技大学砥砺前行!