高校网络安全工作责任制落实方法浅析

◆张先哲 李源源

高校网络安全工作责任制落实方法浅析

◆张先哲1李源源2

（1.河南牧业经济学院信息工程学院 河南 450044；2.中国烟草总公司职工进修学院 河南 450007）

随着国家层面对网络安全重视程度的不断提升，在《中华人民共和国网络安全法》实施后，教育系统也按照国家的政策法规不断提升网络安全防护能力。本文主要针对高校自身特点，讨论如何通过网络安全工作责任制的落实来提升网络安全防护水平，开创高校网络安全和信息化工作新局面。

网络安全；数据分级；责任制

按照《2019年教育信息化和网络安全工作要点》[1]要求，在2019年教育系统网络安全保障能力要显著增强。如文献[2]提出的网络安全是技术更是责任，除了采用一定的技术防范措施外，积极探索管理手段对提升网络安全防范效果也具有积极的作用。

1 高校网络安全形势分析

随着国家层面对网络安全工作的重视程度不断提升，教育行业尤其是高校的网络安全工作形势和内容都发生较大的改变，主要体现在四个方面：

1.1 主体责任发生变化

随着《党委（党组）网络安全工作责任制实施办法》的实施，按照谁主管谁负责、属地管理的原则，高校的党委（党组）需要对院校网络安全工作负主体责任，而不再仅仅是信息系统建设与运维单位，同时领导班子主要负责人是直接负责人，主管网络安全的领导班子成员是第一责任人。

1.2 工作性质发生变化

因为网络安全工作已经上升到党规、法律的高度，院校的网络安全工作也由信息化管理部门的局部性、技术性工作上升为院校的全局性、政治性工作。

1.3 信息化管理部门的职责范围发生变化

网络安全职责不仅仅局限于信息化管理部门，更是扩展至所有的信息系统和所有使用信息系统的机构及人员。

1.4 网络安全违规、违法后果变化

《中华人民共和国网络安全法》规定：网络运营者不履行法定的网络安全保护义务，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，对单位和直接负责的主管人员予以处罚。这就表明以前的不出事就是安全的已经转变为不合规就是违法。

2 高校网络安全特点

高校因为本身的特点决定了其网络安全情况具有一定的复杂性[3-4]。

2.1 应用系统数量众多，服务对象内外交叉

在高校中因为用户需求、应用场景较多，造成应用系统数量庞大。以作者单位为例，仅主要应用系统就有二十余个，其中与教学教务相关系统就达4个。同时网络系统服务对象不仅是教职工、学生，还包括其他社会人员，造成内外交叉使用的情况。同时高校内部和外部使用的系统之间也存在一定的数据交互，一旦某个外部系统出现网络安全问题，与之相连的内部系统也可能出现网络安全隐患，甚至出现数据泄露。近些年，高校出现多起冒用其他学生身份信息进行非法贷款的案例，这些都给“被贷款”的学生带来财产、人身的极大伤害，甚至导致出现家破人亡的局面。

2.2 使用对象流动性较大，不易管理，网络安全隐患大

院校的网络系统除了为较为稳定的教职工群体提供服务外，还要为广大学生提供必要的网络服务。而学生群体具有一定的流动性、较强的学习性，同时极少人员具有一定的IT知识却缺乏网络安全法律意识，极易从内部给院校的网络安全造成一定威胁。

2.3 使用对象网络安全意识不够

高校工作头绪多，业务性工作多而杂，加之网络安全教育宣传不到位，缺少营造网络安全人人有责的氛围，造成广大教职工、学生网络安全意识缺乏。在本作者对100位教职工、学生的口头调查中，80%被调查者表示网络安全是离自己很远的事情，只是在网络偶尔看到些关于不得在朋友圈散布谣言的新闻，15%的被调查者表示网络安全很重要，但是无法具体说出自己应该怎么做。这表明网络安全工作还没有深入到广大师生中间，没有完全调动最广大师生的积极性，远未达到“网络安全依靠人民，网络安全为人民”的效果。

3 高校网络安全工作责任制落实

面对高校面临的各种网络安全威胁，仅仅依靠信息化管理部门采用单一的技术手段是无法解决的。必须通过有效的管理手段落实网络安全责任制，有效的宣传动员最广大教职工和同学的参与，才能有效提升院校的网络安全水平。主要有以下建议：

3.1 明确网络安全责任。

首先要破除只有信息化管理部门才负有网络安全责任的思想，按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则识别院校各个院系、部门和关键岗位的网络安全责任，将院校的网络安全责任分解到各个部门、院系，之后再将部门的网络安全责任分解到不同岗位，确保责任识别全覆盖。其次，区分通用和专有的两个属性，服务器硬件、网络等基础运行环境可以划分为通用范畴，由院校的信息化部门负责；教务教学等各种业务系统的主责部门和人员则是各个业务部门主管部门，如院校网站应由院校的办公室负主责，教务系统有教务处负主责。第三是以此建立责任驱动的网络安全责任管理机制，将网络安全责任贯穿于整个网络安全制度体系中。

3.2 建立重要数据分级标准，落实数据安全责任

系统中最重要的资源就是数据资源，网络安全防护的核心也是数据。院校中各个业务系统包含大量的学生、教职工身份、资金等信息，这些信息的保护至关重要。需要从系统的角度对人事、劳资、学生信息等数据进行分级，按照重要程度进行分级，并以“谁创建、谁定级”为原则，确定创建信息的部门作为信息敏感度分级的主要判别部门，最终确定本院校详尽的数据分级标准。

一是按照数据的来源，对数据粒度进行划分。可以从数据使用的角度对数据划分为人事、教学、科研、招生、就业等一级数据，再对其中的一级数据细分，如教学数据可以分为学籍数据、考试等二级数据，之后对学籍数据再次进行细分，应包括姓名、年龄、学习经历等三级数据。

二是确定数据的来源、负责部门及人员。如学生的身份信息来自人事、教务等部门，保存在谁的系统里就由相应主管的部门负责，并在相应的部门确定具体负责人。

三是结合国家法律法规和高校的实际制定数据保护级别。如可以根据信息的可见范围和被泄露、篡改或受到破坏后所造成的影响程度，由低到高将数据划分为一般信息、院系信息、校级信息、敏感信息等级别。

表1 数据分级表

3.3 推动网络安全责任工作制和数据分级标准的落实。

一是遵从院校信息化建设与网络安全建设“同步规划、同步建设、同步运行”的原则，网络安全责任制、数据分级标准与信息化建设立项、开发和运维全过程相融合，通过识别重要数据，根据业务需求制定数据脱敏策略，在不影响业务系统正常使用下，对真实数据进行改造、隐藏，在开发、测试和其他非生产环境以及外包环境中安全地使用脱敏后的真实数据，从源头上防止院校敏感数据泄露。

二是加强宣传与培训。不仅要在教职工范围内开展关于“网络安全法”和“网络安全责任”的专项培训，更要面对广大学生尤其是计算机相关专业学生重点宣贯《中华人民共和国网络安全法》以及违法案例、后果等。

三是组织全体教职工进行网络安全责任签约，并把网络安全责任纳入教职工年度考核体系中，并兑换奖惩，确保网络安全责任落到实处，形成全员参与网络安全工作的良好局面。

4 结束语

通过建立网络安全工作责任制，识别、细化岗位的网络安全责任，对数据进行科学分级、保护，全面宣贯，以低成本的管理投入和技术投入不断提升高校的网络安全管理水平，为以教育信息化支撑和引领教育现代化提供安全保障。

[1]2019年教育信息化和网络安全工作要点[J].中国信息技术教育，2019.

[2]信集.网络安全是技术更是责任[J].信息化建设，2019.

[3]牛永亮.高校校园网应急响应机制研究[J].网络安全技术与应用，2019.

[4]周伟.高校校园网安全分析与对策[J].网络安全技术与应用，2009.

[5]方兵.“互联网+”时代大学生新型网络安全观培育研究[J].华北理工大学学报（社会科学版），2019.

[6]刘权.我国数据安全管理迈出重要一步[J].网络安全和信息化，2019.

[7]金辉.数据治理应符合法治要求[N].经济参考报，2019.

[8]李亚平，周伟良.有限实名网络中个人信息监管的主体责任分析[J].重庆理工大学学报（社会科学），2019.