以下内容节选自西北工业大学薛静老师在线上直播课分享的“网络与信息安全初探”报告中的部分核心内容。

各位老师大家好，很高兴能和大家交流关于信息化方面的工作体会，今天与大家分享“网络与信息安全初探”话题，因还处于初探阶段，不足之处希望大家提出来批评、指正。

信息化从业者都面临过的困惑

1、领导不知道你们在干嘛！

领导经常问：“平时你们都在干啥？有特殊情况发生时，又问你们都干什么去了？”

很多领导平时是口头上非常重视网络安全，可实际上并不关系，没有实际行动。

2、业务部门、师生不知道自己能干嘛！

很多老师、同事和学生，经常说网络信息安全都是你们信息部门的事；还有一些部门管理员不懂安全技术和业务，不知道怎么去管。

没人、没技术支持，信息部门如何开展安全工作？

一定要做好信息化顶层设计工作

先和大家介绍下我们学校信息化历程和背景，以便大家理解我后面分享的内容。

2005年前，处于计算机自由发展阶段。2006年，启动一期信息化建设，三大平台陆续上线，那时候我们还处于比较先进的地位。2009年-2012年，学校投入相对有所减小，学校发展势头有所减慢。

2013年以后，学校投入了新的一期信息化建设，所谓的“二期建设”。正是这二期建设，让我们认识到了形势的严峻性。

二期建设前，我们做了大量调研，通过调研发现：

1、清华、复旦等华东华南做得比较好的大学，发展已经越来越快，逐渐拉大了与我们之间的差距。

2、一些起步较晚学校，他们的追赶力度也非常大，超越我们就是咫尺之间的事。

我们处于前甩后追的局面，让我们认识到：我们的信息化建设任务已经非常紧迫了。

为了做好我们学校新一轮信息化建设工作，投入了2年时间，走访了30多所高校学习他们的先进经验，基于我们校情制定了信息化深度规划、建设与实施方案。

我们的信息化建设模式是：先做好整体设计，然后从局部做起，以“拼图”的方式，逐步拼出我们学校的信息化美好蓝图。整体推进思路如下：

1、首先，梳理学校现状和需求，进行顶层设计，制定规划、实施方案和制度。

2、然后，按照规划、制度和实施方案，各部门分工负责、协调配合，共同推进信息化建设。

3、最后，在各个部门建设的基础上，学校进行整体集成，确保数据通、流程通和服务通。

我们信息化整体规划框架，确定了“三个体系、五条主线”的工作思路。三个体系包括顶层规划体系、标准规范体系，和安全保障体系；这三个体系，贯穿我们后面所有的信息化建设工作，每一个建设的任务都包括这三个体系。其中安全保障体系，就是我们今天要介绍的主要内容。

五条主线包括：基础环境建设主线、数据共享及利用主线、平台建设主线、信息系统群建设主线和整体集成主线。现在开展的主要任务，基本上都涵盖在这五条主线中。

在了解我们学校信息化整体背景的前提下，开展我们本次网络与信息安全话题的分享。

作为，还是不作为？

我们在网络与信息安全方面，2013年至今，设备上累计投入近300万。

我们信息中心设立了网络安全管理岗，专门有1人负责，另有4人协助。各部门50多管理人员也都从事着网络与信息安全方面的相关工作。

我们能取得今天的网络信息安全成效，并非是一朝一夕的事，真个滴水石穿的过程。因为，无论领导、业务部门是否支持、认可，我们始终把校园信息安全当成我们工作的重点，所以不管现实多残酷，信息部门还是要有所作为才能逐步推动信息化建设良性发展。

那些年我们遇到的网络安全问题

我们学校在网络信息安全方面，通过部署安全设备、制定安全策略、加强安全检查、开展安全管理和强化应急处置等一系列安全措施，构建了一个立体的安全保护体系，并且打造了“信息安全，人人参与”的环境，才使得我们学校近些在信息安全层面取得了良好成效。

借用金庸先生笔下的大招独孤九剑，和大家分享下我们的经验：

第一招：转观念——变被动为主动，转变两个意识，划清边界。

1、变被动为主动

从被动防护逐步向主动防护进行转变，2013-2016是我们学校主动防控年，2017年将开启科学防控模式。

2、转变两个意识

1、网络与信息系统需要随着需求的不断发展而更新，必要的时候进行更新换代。

2、网络与信息系统需要运维，需要经常进行系统维护、备份、漏洞修复、安全防护、软件升级，以保障信息系统长期安全有效的运行，避免被黑客等有恶意的成员进行利用。

3、划清边界

开展信息化安全培训工作，明确信息中心和各部门的分工和职责。

信息中心就像学校的保卫队、公安处，是学校的大门门卫，核心做好学校外围的防护，做好基础的防护。

各个单位的应用系统，就相当于围墙之内的各家各户，各家各户你们有自己的户型、结构，你们有自己的钥匙，所以需要自己保护好自己家。信息中心没有各单位的信息，所以无法进入内部替各单位进行防护。

分享个小窍门给大家：

各个单位很多信息系统的管理员，不是专业计算机方面人员，如何进行防护呢？

做信息安全防护并不一定是业务单位自己做，也可以委托给专业安全运维公司进行防护；如果业务单元需要经费，他们可以向学校申请相应的运维经费；业务单元只需履行管理职责即可。

信息部门扮演着帮助布道者的角色，需要给到各单位解决方案，把信息化分工责任落实下去。对于信息部门来说，不能光下派工作，没有解决方案；没有疏导，就不会有好效果。

第二招，立规矩。

无规矩不成方圆，必须有一套能落实主体责任的文件规定，我们学校制定了《信息化建设管理办法》，《网络与信息系统的运行管理办法》，《网络与信息系统的安全管理办法》和《用户管理办法》这四个主体制度文件，对所有工作和职责进行划分，确保全校能协调一致，共同推进学校的信息化建设。

第三招：变可视。

1、借用安全公司的安全设备使得安全状况可视化，得到领导重视后，我们再向领导申请相应资金购买安全设备。

2、制订学校信息化安全简报，将学校信息方面的数据变成一种可视的内容，展现给各位领导。我们的简报已做了4期，核心包括：

1）学校网络与信息安全攻击都来自于哪些地方，对于攻击来源分析，西安本地的攻击占到了所有攻击的63%，我们瞬时攻击流量达到204G。

2）每月攻击访问量，大概在9000万次，总的攻击量在362万次，平均每个学校网络与信息技术，每天要面临的冲突大概在12万，这些数字让很多领导老师都非常震惊。

3)列举网络漏洞的危害，主要包括学校形象受损等，让领导一起感受到危机。

我们也在探索安全简报应该给老师和领导传递一个什么样的信息，不应是满篇术语的专业知识，而应是用一种简单的话语、简单的图表方式，让他们快速、清晰地了解我们信息安全做了哪些工作，我们正面临的安全形势压力。

将安全可视化以后，领导也感觉到了压力，感觉到了责任，后面的事情就好开展了。

第四招，要建防护。

从技术方面、管理方面入手，首先做好外层防护，从网络防火墙、堡垒机、WEB应用防火墙、抗DDos攻击、数据库审计、远程管理审计、云防护、网站及信息系统监控平台等方面入手。

未来，紧随安全防护技术的发展，开展针对个人用户的安全体检，如：如果中了木马，安全防护设备立即提示有风险，方便用户做好相应防护措施，从而进一步提高学校的安全防护手段，这是我们学校的安全防护策略。

第五招，督促别人。

建立安全检查机制，采用每月定期检测和平时检测相结合的安全检测机制。每个月利用漏扫机安全检测设备对所管辖的网站及应用系统进行安全检测。另外，根据乌云提供的安全威胁及漏洞报告，对学校网站信息系统进行检；另外，还需开展不定期的渗透检测。

通过执行这些机制，及时发现问题，生成相应检查报告，报告里不仅要提出问题，还要给出具体解决方案。

第六招，促整改

安全文件中，通过信安字多少号的安全文件对各单位下发，针对所有单位发现的问题，我们会督促单位进行整改，同时也会附上我们建议的解决办法。对于整改不合格的单位，会报请领导进行监督检查直至关停。

从这一制度实施开始，我们信息中心10月到12月共处理了安全事件或者安全隐患77起。2016年1月到3月，处理58起，3月到4月，处理了37起，这里面有些整改不到位的我们一共关闭了网站及系统，关闭了19个。

从安全事件处理来看，我们取得了一个良好效果，目前学校安全漏洞处理，平均时长是6小时，最快是2小时完成。在我们与各个安全公司交流中我们感觉到全国是2—3天，我们处理速度是相当惊人的。

当然，为了做好这项工作，我们必须得做好跟各个部门打官司的准备，这里举个例子。

后勤系统存在着大量漏洞，已经无法进行修补，我们下发了两次整改通知以后依旧没有整改，我们按照规定就进行了关停。关停让后勤把我们告到了校长那里，但是由于我们所有工作程序是闭环，我们有整改通知、整改办法，而且是两次整改的通知，每一次整改都有部门的签收。我们是履行职责，按照文件在履行职责，所以这一次打官司我们就赢了。

第七招，拓展渠道。

为了克服人员不足的状况，我们学校试点与“安全公司合作”，购买安全服务，安全监控服务和安全的应急处理的服务。

通过这些服务，等于为我们引进了一批专业的人员队伍，一旦有事情这些安全公司，不计代价，先帮我们解决问题，然后再根据我们的问题提出一些解决方案。

形成这么一个良好机制后，我们现在的人员尽管也不够，但是我们处理安全问题的能力大幅提升。

第八招，找帮手。

每个学校都有一帮非常有能力的学生，这些学生他们不断在学校里面做安全方面学习、测试、攻击、渗透，他们想练技术，但很多学生意识不强，自我约束能力不强，多做一步就很可能违规甚至犯法。

我们对这些学生进行改编，与学生安全团队合作进行安全防护，给学生提供一个正常的渠道，让他们能为学校安全做一些事情。和他们讲好能做哪些，该怎么做，做到什么地程度收手，让学生有安全意识，把破坏工作变为白帽子工作，帮学校进行安全防护。

学生已配合我们做了以下安全工作：

1、输出乌云安全报告：按照乌云的要求提交发现问题的安全报告和应对方案。

2、渗透测试破坏：所有新建系统在上线之前，给他们一段时间进行渗透测试、随便破坏，让学生练手，也让学生通过这种方式帮我们找到系统存在问题。

3、安全备份、安全检测：学生带动身边老师学生养成安全习惯，如：弱密码、安全升级备份等，他们之间的交流，会比我们的交流更有效、更生动。

引导和奖励学生也需要有些组合拳引导学生走入正轨，很多时候并不是说有经费就能解决全部问题，可以采取些其他方式，如：补贴流量，评年度优秀奖为他们评各种奖学金提供帮助。

另外，针对学生就业需求，给他每年制作一个证书，写明参与学校安全防护工作，挖掘了多少问题和漏洞，协助哪些单位开展了多少防护工作，取得的效果是怎么样的，这一部分其实是学生非常重视的。

第九招，就是推等保。

2013年我们就开展了等保工作，当时希望是以评促建，通过等保工作找到差距，提出需要改进的部分，让领导意识到了我们面临的问题和危机，这样才能争取到经费。

下一步，要落实教育部和国家要求，积极进行定期备案，并对重要系统进行等保评测。已对新建系统落实到合同，要求所有新建系统在上线之前必须完成等级备案及等保评测，将这项工作贯彻到平时建设中，这也是同步建设的一个方面。

通过以上的九个办法，让我们建立了一种相对来说比较立体的防护体系。

最后再说一下我们的思考，安全问题永远在路上，网络与信息系统，要么已经被攻破，要么即将被攻破。这些就是我交流的主要内容，今天就汇报这么多，谢谢大家的支持！

（听说加小智微信可获取在线直播的往期视频和PPT哦，小智微信号：wisedu2008，也可长按识别下面的二维码哦）