《网络安全法解读》

肖伟

摘要：随着信息化技术的不断发展，网络安全的重要性不断提升。国家对此高度重视，专门颁布了《中华人民共和国网络安全法》。该文对《网络安全法》的重要意义做了阐述，并从高校视角出发对《网络安全法》进行了解读，进而从数据、设备、应急预案、制度建设四方面针对性地做了详细解读，提出了整改措施。

关键词：高校；网络安全法

十八大以来，以习近平总书记为核心的党中央高度重视网络安全问题，将网络安全工作上升到总体国家安全的高度。2017年6月1日起，《中华人民共和国网络安全法》（下文简称“《网络安全法》”）正式施行。《网络安全法》是我国第一部对网络领域的安全管理问题进行全面性规范的法律，是从法律方面解决网络安全和管理问题的一大利器，是我国法制建设中网络法制建设的一个阶段性标志，是我国网络能够长治久安、平稳运行的一个重要保障。

1网络安全现状

作为世界上人口数量最多的国家，虽然我国在互联网领域起步较晚，现在却已成为网络大国。中国互联网络信息中心的数据显示，到2016年12月31日为止，我国网民规模达7.31亿，普及率达到53.2%，我国网民规模已经相当于欧洲人口总量。其中，手机网民规模达6.95亿，手机网民在全体网民中的占比上升到95.1%。在使用手机的网民中，使用手机网上支付的用户达到4.69亿，占总体的67.5%。随着手机支付在各领域的铺开，传统的线下实体店被它逐渐渗透。据统计，目前有50.3%的网民在线下实体店购物时使用手机支付进行结算。

网络用车、网上慈善、线上政务、在线销售与采购等线上应用更是层出不穷。

互联网在为人们提供了便利的同时，也带来了许多安全问题。随着移动互联网的飞速发展，各种新生业务从出现到应用的周期越来越短，网民面对的网络安全环境也日趋复杂。据统计，2016年遭遇过网络安全事件的网民占到全体网民的70.5%。网民面对的网络安全威胁主要是以下几种：一.网上诈骗。这是网民们面对的首要安全问题，39.1%的网民遇到过网上诈骗。主要形式包括：虚假中奖信息诈骗、网络兼职诈骗、网络购物诈骗等；二.病毒与木马。这是自计算机诞生起就出现的伴生问题。近年来随着移动终端的普及，病毒与木马也扩散到移动终端上。据统计，2016年全国仅安卓系统感染恶意程序的就有1.08亿台；三.账号密码被盗取。账号和密码是用户在网络上的“通行证”，也是犯罪分子的一个重要目标；四.个人信息泄露。网民的信息一旦泄露出去，被不法分子获知后可以进行有针对陛的精准诈骗，造成严重后果。

2《网络安全法》颁布对高校的意义

面对严峻的网络安全形势和层出不穷的安全问题，《网络安全法》的颁布是及时且有必要的，是落实国家总体安全观的一个重要举措。十八大以来，以习近平同志为核心的党中央，高度重视国家网络安全工作的部署情况，对国家网络安全法制建设提出了明确的要求。早在2014年，习总书记就明确提出“没有网络安全就没有国家安全，没有信息化就没有现代化”。《网络安全法》是我国在互联网高速发展，网络安全问题愈发严重的新形势下，为了保障人民群众在网络空间中的生命财产安全，落实中央关于网络安全工作的重要举措。

据统计，截止2016年我国共有高等院校2879所，在校学生约3700万人。高校学生作为我国公民中的一大群体，受教育程度高，对信息化较了解，网民率接近100%。学生们享受着信息化所带来便捷的同时，网络安全问题也在高校学生中频繁出现，成为高校管理的一大难题。近几年，高校学生被网络诈骗，信息被窃取贩卖等新闻不断见诸报端，网络上这类信息更是屡见不鲜。这类网络安全问题，是全国各种类型高校面对的一类普遍性问题。以往各高校结合本校实际情况和工作经验，在规章制度、技术手段、管理手段等方面或多或少都有所举措。但限于信息不流畅、缺乏相关法律法规等因素，各高校对于网络安全问题的应对水平参差不齐，应对措施难免有所疏漏。在这种情况下，《网络安全法》的颁布不啻为一副“救世良方”。笔者作为高校信息部门工作人员，结合自身日常工作中的一些情况，从高校视角出发，对《网络安全法》做一个简要解读。

3《网络安全法》的解读及整改措施

信息化服务离不开数据的支撑，高校拥有大量学生、教职工的身份信息，科研数据等敏感数据，数据在高校网络安全中的重要性更是不言而喻。可以说，在当今高度信息化的校园中，一旦数据出现问题，校园日常教学和事务都会受到影响，整个校园都无法正常运转。鉴于数据的重要性，《网络安全法》对于数据保护提出了明确要求。《网络安全法》第二十一条，第四小条指出：“（四）采取数据分类、重要数据备份和加密等措施；”，第三十四条，第三小条指出：“（三）对重要系统和数据库进行容灾备份；”。高校作为校园网的网络运营者，在数据库及操作系统层面需要做好定期备份工作；在服务器层面，可以使用磁盘阵列技术提供存储介质的容灾配置；在整个数据中心层面，需要购置专业数据备份容灾设备，并对不同重要程度的数据提供相应的容灾备份。

如果说数据是信息化的“地基”，那么信息化应用就是“地基”上建设出的用途各异的“建筑”。在现代校园中，教学、科研、办公和生活都离不开网络应用的支持：教师通过MOOC、远程教学系统进行线上教学，运用投影仪、计算机进行线下教学；研究人员使用计算机及软件程序为科研工作提供辅助；行政人员使用办公系统进行线上发文、文件流转批阅；师生上网、饮食、购物离不开一卡通等信息系统的支持。要保障校园网及网上应用系统的正常运转，网络安全设备的配置及部署必不可少。鉴于部分单位对于网络及系统方面专业安全产品的重视度不够，《网络安全法》对此進行了规定。《网络安全法》第十条指出：“建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行”，第二十一条，第二小条指出：“（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”。俗话说得好，“工欲善其事，必先利其器”。高校应当对照《网络安全法》的要求，检查自身在网络安全设备方面的部署情况，用好现有的设备，淘汰落后的设备，增添缺少的设备，为保障高校网络安全准备好“神兵利器”。endprint

但是，网络安全仅仅寄希望于购置部署一大堆“高新尖”的安全设备是不够的，毕竟设备终究只是机器，要做好网络安全工作，关键还是在人。《网络安全法》第五十三条要求：“国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练”，第二十五条要求：“网络运营者应当制定网络安全事件应急预案”。因此，高校应当按照法律要求，制定契合本校网络安全情况的网络安全事件应急预案。预案应根据事件内容对网络安全事件进行分类，根据事件影响范围对网络安全事件进行分级，并针对细分后的安全事件制定详细的分步应急响应步骤，明确责任部门及相关人员。高校还可以结合本校历年来的网络安全状况，对网络安全事件应急预案进行适当调整，对发生频率高的安全事件制定精细化处置预案。一份网络安全事件应急预案制定完成并不代表着终点，预案只有在应急演练和实战中接受检验，不断完善，才能保障校园网正常运转，这也是《网络安全法》所要求的。高校应当在制定网络安全事件应急预案的基础上，定期组织网络安全事件应急演练。应急演练前应保持正常工作状态，不得提前进行准备，以免失去应急演练的意义；应急演练中应以对待真正网络安全事件的态度来对待演练，争取在演练中有所收获；应急演练后应严肃对待演练结果，不能“讳疾忌医”，要深刻剖析演练结果，坚持好的做法，弥补不足之处，不断完善校园网安全体系和网络安全事件应急预案，提升网络安全性。

要想校园网能够长治久安，关键还是要将网络安全设备的部署，信息项目的管理，人员的管理等一系列安全措施以制度的形式落实下来。对于网络安全方面需要制定的制度，《网络安全法》花了大量篇幅做了明确要求。《网络安全法》第二十一条，第一小条：“（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任”；第四十条：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度”；第五十二条：“负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度”。对这些篇章进行总结后，结合高校的实际情况，可以将所立制度归纳为以下几个方面：1.内部管理制度。约束校园网管理部门的工作人员不得从事违规行为，不得泄露用户信息、校园网信息等敏感信息。明确校园网安全责任人。加强对校园网用户的宣传，提高用户对于网络安全的认识，增强用户关于网络安全的意识；2.信息项目管理制度。从信息项目立项开始，对项目各个阶段的管理制定相应规定，包括：执行网络安全等级保护制度，安全技术措施需与项目同步实施，网络安全产品使用前需进行审查等；3.用户信息管理制度。从用户信息的收集、保存、使用及保密等工作进行规定；4.安全监测告警及演练制度。对网络安全状态监测，风险告知，日志保存，应急演练等方面制定对应制度。

4结束语

在教育高度发达的今天，高校之间的竞争比拼的是核心竞争力，而信息化建设恰恰是提高高校核心竞争力的一个必要途徑。网络安全作为信息化的一个组成部分，贯穿于高校信息化项目的整个流程，更是重中之重。高校信息化主管部门要抓住《网络安全法》的契机，梳理学校网络状况，掌握学校信息化资产情况，分析学校网络安全现状，查找并填补网络安全隐患，为师生们提供一个安全无忧的信息化校园，保障师生们在校园内个人信息的安全，让师生们可以放心享受信息化为他们的校园生活所带来的便利。endprint