《網絡安全法》實施一年 ：高校的改變與挑戰

2017年6月1日，《網絡安全法》正式實施，這部法律的實施具有里程碑式的意義，使得網絡安全有法可依，信息安全行業由合規性驅動過渡到合規性和強制性驅動并重。

那么，《網絡安全法》實施一周年，我國高校的網絡安全工作有哪些改變？

從大家的反饋可以看出過去一年中有許多改變，第一，制度的完善。網絡安全制度從無到有或是從有到優；第二，意識的改變。通過網絡安全宣傳周等活動，學校用戶群體的網絡安全素養得到大幅提升，高校各方面已意識到網絡安全工作是一件需要大家一起努力的事；第三，觀念的改變。對于安全服務外包大家都能普遍接受，當然如何更好地優化外包之后的管理顯得更加重要。

但是，最重要的一點，網絡安全中“人”的工作仍然是一個難點。人的部分怎么去做，這是大家普遍關注的問題。

上海交通大學: 網絡安全要做到“守土有責”

姜開達

上海交通大學網絡信息中心副主任

2017年對高校網絡安全工作來說，是一個機遇，更是一個挑戰?；仡欉@一年的變化，姜開達認為，網絡安全工作受重視程度在這一年得到前所未有的提升，但對高校來說，網絡安全保障體系的頂層設計和具體細化落地舉措仍然有缺失?！毒W絡安全法》和《教育行業網絡安全綜合治理行動方案》發布實施，對網絡安全整體部署進行了框架性指導，但細則內容的指導還不夠明確，比如說在教育行業中，哪些基礎設施需要定義為關鍵基礎設施？如果沒有一系列具有教育行業屬性的細則和規范，很多高校不清楚如何具體實施和執行，各自理解又帶來實際執行上的偏差，再好的政策也難以快速落地。希望未來能夠在基本框架成熟的基礎上，再多明確一些可操作性強的細則和解釋，這樣對高校更有實際指導意義。

如何做好高校的網絡安全工作？姜開達認為其核心是“守土有責”和“合作共贏”，所有高校網絡安全相關利益者都應承擔起應承擔的責任，在此基礎上互相加強合作，高校就會營造一個相對安全的整體氛圍和環境。具體來說就是：領導重視、機制保障、固定團隊、長期投入。學校要從行動上真正重視網絡信息安全；要普及提高全校各院系部門的安全意識；國家和行業主管部門加強安全監管和提供基礎指導；教育軟件廠商承擔義務和更多相應責任；安全廠商提供符合學校要求的專業化安全服務，信息化部門要做好安全管理的技術保障。

網絡安全對于信息共享和多方合作的要求，可能也是其他信息化工作不能比擬的。姜開達表示，一所學校去對抗全球黑客攻擊團隊，能力再強，也始終是弱勢，網絡空間領域安全事件和攻擊信息的高效共享至關重要，如果各校自掃門前雪，誰也不能獨善其身，唯有走向共享共治。

姜開達認為，現在虛擬網絡空間安全的重心有明顯變化，從網站內容安全到學校核心數據安全，從苦于被動防御到多面出擊掌握主動安全態勢，從混沌到有序，應建立全生命周期管理的信息資產庫，安全貫穿始終。

在網絡安全工作上，上海交通大學可以說是一個先行者，這和幾個因素有關：一是有歷史淵源，從CERNET成立之初，上海交通大學的汪為農教授就一直致力于網絡安全方面的研究，并且培養出了一批業務能力卓越的人員，奠定了技術和人才基礎。二是各層面的領導對網絡安全工作都非常重視，有一批人員長期專職負責這方面的工作。三是成立了一支非?？煽康膶W生隊伍，幫助學校做了不少基礎性的工作。這支隊伍無論是在日常的安全運維，還是在各種網絡安全攻防比賽中，都取得了非常優異的成績。

姜開達表示，缺乏專業安全團隊的支持是當前高校在網絡安全工作中存在的共性難題，這也折射出高校信息化部門專業人員緊缺的困境。上海交通大學信息化部門目前擁有60多位工作人員，在國內高校中人不算少，但是開展各項工作還是捉襟見肘。今年的機構調整將原來的五個部門調整為三個部門，分別是基礎業務部、計算業務部、數據業務部，安全工作目前尚無單列部門。

上海交通大學的學生安全團隊在學校網絡安全工作中一直發揮著重要的作用。學生畢業后是否仍會留在學校工作？實際的情況是團隊中的學生都是各大互聯網公司進行人才爭奪的對象，其優越的薪酬和待遇讓學校難以望其項背，但是也開始看到，一些有多年公司IT職業經驗的優秀人才在經過職場奮斗后，也有人希望回到學校來做一些工作。

深圳大學：積極探索多元化服務機制

江魁

深圳大學信息中心副主任

深圳大學信息中心是一個集現代教育技術、網絡技術、軟件開發、多媒體制作與應用、電話與有線數字電視、無線通訊、校園卡運行與管理、影視制作和視聽技術支持為一體的多功能機構，目前大約有80名員工，近年來隨著學校智慧校園等大型信息化項目的建設，各學院、業務部門的應用系統和云平臺資源的數量也在不斷增加，特別是學校從之前一個校區擴展到了西麗、后海北及后海南三個校區，為學校的網絡與信息系統建設和運維帶來了新的挑戰。

目前，網絡安全運維工作主要集中在網絡部門，嚴格意義上說還沒有專職人員，唯一的一名網絡安全核心技術人員還要兼顧系統運維的職責。在解決人員方面，深圳大學打算主要從三個方面著手解決。

第一，吸引并留住人才。

網絡安全工作招人難的特點是，大部分優秀的畢業生都愿意去IT企業，一是在薪酬方面，學校不可能像IT企業一樣能給與高薪待遇，二是在發展前景上，學校的工作更多是一種運維保障，不能提供公司所能提供的針對前沿技術進行研究的平臺和機會。針對這樣的現實情況，深大信息中心目前的策略是，招聘普通高校畢業的有意愿參與高校信息化工作的IT專業學生，盡量給予其個人技能和職業成長的空間，將其培養成為網絡安全工作的骨干，使其在工作中獲得成就感、歸屬感和榮譽感，并利用學校寒暑假、教職工子女入托入學等隱性福利留住人才。

第二，把學生的力量組織起來。

從2016年開始，信息中心以勤工助學的方式把對網絡安全感興趣的學生聚在一起，這批學生對學校網絡安全運維起到了很重要的補充。一方面，彌補了網絡安全人員的缺口，另一方面，讓一些有可能對學校網絡安全造成“威脅”的學生變成學校網絡安全的守護者。同時，對外，組織這批學生積極參與國內知名度較高的網絡安全競賽，對內，在老師帶領下開展對學校信息系統的滲透測試工作，使其網絡安全能力有展示和釋放的出口。學生在幫助學校做好網絡安全工作的同時，自身也得到了極大鍛煉和提高。2018年2月，在信息中心的支持下，這批學生正式成立了深圳大學學生信息網絡安全協會，目前學生隊伍已經擴充到40人左右，為學校網絡安全工作補充了新的能量。

第三，積極探索外包服務。

在現在的情況下，向人事部門申請用人編制的難度要大于申請項目資金的難度?；谶@樣的背景，尋求專業網絡公司的外包服務是一個較好的解決方案。深圳大學將在2019年申請網絡安全加固提升專項資金，其中一部分用于網絡安全服務外包，主要滿足24小時實時監測、預警、應急響應等工作的需求。

當前信息化部門面臨著許多溝通協調的工作，這是信息化部門的重要特征。信息化部門有許多工作，這些工作各具特點，所以在人員的分配上一定要注意到工作的特點與員工個人特點的匹配。

網絡安全工作是國家安全的重要組成部分，具有政治意義，這是高校做網絡安全工作面臨的首要共性背景，也是網絡安全運維的核心動力。所以做網絡安全工作，一定要如履薄冰，兢兢業業，以高度責任感去承擔這項重任。

中山大學：觀念的更新是最大的挑戰

張永強

中山大學信息化管理辦公室副主任

《網絡安全法》實施一年，明顯感覺到，大家的網絡安全意識提高了。中山大學成立了網信領導小組，負責人是書記和校長。各院系部門一把手明確了網絡安全責任，主動配合信息化職能部門和技術單位的工作。此外，網絡安全工作得到了廣泛認可及可持續的經費支持，管理制度和技術體系不斷完善。

但由于從業人員薪酬上升很快，學校安全技術人員流失，2017年我們就有一名骨干跳槽到BAT，這方面的技術又補充困難，水平高的招不進，入門級的不想要，所以我們轉而將部分工作外包。依靠外力是彌補學校網絡安全能力不足的重要手段。保護監測響應等三方面都可以引入外包服務，例如保護可以引入云防護服務、監測可以引入白盒黑盒測試服務、響應可以引入專家服務。

我認為，網絡安全工作的難點在于安全管理體系的完善和實施，尤其是安全制度的施行和落實、人員安全素質的提升、安全習慣的培養及組織安全文化的形成方面，挑戰在于隨著互聯網變革，新的安全問題不斷涌現，舊觀念、舊辦法無法適應變化。

我們對招聘人員的基本需求是：管理人員最好有法律和管理知識背景、技術人員最好有軟件開發背景。由于當前從業薪酬水平比較高，因此招聘比較困難。

從2018年開始，學校設立了安全培訓專項。初步思路是對全員進行意識教育（形式是在線教育+現場講座），對專職和兼職的安全人員進行專業技能培訓（形式是采用CISP教材的企業內訓），未來打算采購專業的培訓服務。

中國人民大學：人員分配不割裂應用

梁藝軍

中國人民大學信息技術中心

《網絡安全法》實施一年了，這一年來看，網絡安全工作中確實有許多改變。首當其沖的就是制度的建立與完善。學校高度重視，從法律層面嚴格要求和落實相關制度。在《網絡安全法》實施后，我校依據此法，逐步制定各項管理制度、規范和方法。先后建立急需的制度，比如網站管理，ICP注冊管理、保密技術管理和辦公安全等，由校長辦公會審核修改后發布執行，在實踐中不斷完善，并宣傳到位，做到有規可依。

我們在2018年成立了網絡安全與信息化領導小組，信息技術中心作為實施牽頭部門更是直接成立網絡安全科，專人負責處理和協調相關事務。

在制度的保障下，我感覺網絡和信息中心的工作比以前“好做”。首先，職權加大，原來不敢處理的，現在可以直接依法快速處理，管理的范圍亦可進行延伸。其次，學校為網絡安全的投資加大了，原來2～3年沒有相關的設備系統的技術投資，目前已經落實，尤其是服務經費。第三，人才的聚集，我們成立了網絡安全科，引入聘用人才參與建設。

目前來看，在網絡安全工作中，我認為首要的挑戰是全校師生觀念的改變。觀念的改變是困難的，如何能從《網絡安全法》的威懾執行到自覺動作，將安全觀念融入到學校規劃整體考量中，融入到項目建設運行的整個周期中比較重要。如果大家都能從心里意識到安全的重要性，做到上下一心，風險就可以降到最小。

由于學校內部人員的技術和精力的局限，外包是必不可少的。但是由于專業企業和學校的立場不同，這是個矛盾體，企業追逐利潤，學校要求穩定，因此只能依賴合作的基礎——安全進行分工，校內人員必須主導和主責，跟蹤整個服務的過程，做到第一收到和最后收尾。

我們的網絡安全人員分為在編和外聘，外聘人員主要從其他科室抽調，這樣做的好處就是不割裂應用，熟悉信息化的情況。我認為，安全隊伍不易大，小而精、勉強夠用即可，因為安全不是獨立的，要應用到各個領域，比如網絡方面的安全就與網絡密切相關，需要網絡部門配合完成；在內容安全方面，不僅是技術，還要有對內容尺度的把握人才。做安全的人員應該不僅僅懂得安全內容，還要精通安全的實施領域，比如網站安全，至少要知道網站所涉及到的所有技術環節。所以，作為一個網絡安全人員，需要經常補充各種新的知識。

北京科技大學：最難的部分還是“人”的工作

楊德斌

北京科技大學信息化辦公室主任

這一年，我們的網絡安全工作在管理、技術和人員上都有了新的改變。管理上，建立起基于微信的實時交流、互動安全群，實時發布、部署網絡安全信息和防范要求。技術上，強制所有已上線和待上線的系統進行強安全技術條件下的安全檢測和審核。人員上，建立起了各二級部門的非計算機專業管理人員共同關注的網絡安全體系，形成有效的防控、聯動隊伍。

但是，感覺最難的地方還是“人”。專職人員少，安全壓力大、任務重，而在培訓方面，缺乏有效的培訓和實際演練。當前最困難的是，我們對網絡安全人員的需求大，但招聘難，隊伍建設沒有好的政策支持。