1 引言

网络空间和现实社会一样，既要提倡自由，也要保持秩序。自由是秩序的目的，秩序是自由的保障。网络空间不是“法外之地”。2014年2月27日，习近平总书记在中央网络安全与信息化领导小组第一次会议上提出“没有网络安全就没有国家安全，没有信息化就没有现代化”。2017年6月1日，《中华人民共和国网络安全法》正式实施，标志着网络安全进入法治时代。依法依规落实网络安全工作是高校信息化建设的必要条件，是落实教育行业主管部门对国家网络安全工作要求的重要保障。

高校在教学、科研、管理上已充分使用了信息化手段，形成了资源共享、相互协作的统一平台。随着高校数字校园、智慧校园的建设，信息化工作已经得到较好的落实，能够尽可能多地完成资源整合，为广大师生提供较好的信息化服务。然而，高校信息化建设过程中早期出现的“重建设、轻运维”现象较为严重[1]，面临的安全问题也日益凸显[2-3]，特别是党的十八大以来，以习近平总书记为核心的党中央，对网络安全工作的前瞻性，以全球视野和战略思维深刻揭示了互联网的本质特征、发展规律、发展路径。依据国家《中华人民共和国网络安全法》、教育部行业主管规定，依法依规落实责任、承担责任、保障高校网络安全成为目前高校信息化建设的一个痛点。文章结合高校网络安全工作的一些实践，提出一些合理可行的思路和方案。

2 信息系统上线前强制安全检查

由于高校信息系统数量庞大，数量级基本处于百、千这样的数量，如果对每一个系统都采用第三方的机构进行安全性验收测试，存在以下几个问题：

第一，经费数量有限。针对目前市场的现状，第三方测评机构进行安全性验收需要支付测评费用，该费用对于校内小型系统建设费用来讲，数目不小。用户单位无法支付该项费用，学校信息化部门也无法全盘接下数量较大的验收费用。

第二，人员数量有限。针对每个系统进行第三方验收的测评工作量较大，因为各二级单位建设系统基本都是各类工作人员兼职处理，二级单位没有技术能力和人员对接每个系统的安全性验收工作。高校信息化部门和网络安全部门在落实上级要求和日常工作中就已经处于人手较为紧缺的状况，因为人才匮乏依然是高校信息化建设的痛点。

同时，高校以教学和科研服务为主要目的，作为支撑学校教学、科研和管理的信息化服务机构，在经费和人员上均没有较好的话语权。

第三，第三方测评机构有限。在与第三方的合作上本身就会花费大量的沟通协调时间。假设在学校经费和人员配备都十分充足的情况下，第三方测评机构的人员配备是否能够满足教育行业如此庞大的数量级系统验收工作也是存在一定的不确定性。

由于论文报道的仅仅是研究工作的阶段内容，样本量为N=6，结构特征参数M=19，还无法构建构效关系模型，但可以进行初步分析：

因此，学校层面需要动用自己专业的技术人员对信息系统上线工作进行安全性把控，在系统合规性和高危漏洞上把好第一道关。做好信息系统上线强制安全检查工作。信息系统上线前强制安全检查是指校内新建信息系统在接入互联网、进行域名解析之前须完成高校网络安全技术部门的安全检查，对信息系统安全性检查工作包括应用系统、操作系统、数据库系统漏洞扫描，安全基线配置核查，性能测试等方面。对于重要信息系统需要组织第三方测评机构对该信息系统进行安全测评，并出具测评报告。

安全基线配置是信息化运维工作的重要组成部分，网络安全与信息化同步规划同步建设是打破目前网络安全与信息化建设各自为政的一种有效途径，强化运维管理工作，把孤立的信息进行整合，从顶层设计上把好网络安全关。网络安全是整体的不可分割的、动态的而非静态的、开放的而非封闭的、相对的而非绝对的、共同的而非孤立的。只有强化运维管理，才能更好地把网络安全与信息化工作协同至最佳。规范化安全基线配置是规范校内设施设备的重要手段，是走出以前“重建设、轻运维”的第一步。

3 规范化安全基线配置

(4)漏洞整改完毕后，安全责任单位联系网信部门、信息化部门再次组织安全检查，如安全检查未发现安全漏洞，网信部门、信息化部门通知安全责任单位重新办理备案手续、签订二级责任单位网络安全管理责任书，开通信息系统的外网服务。如安全检查依然发现安全漏洞，重复第3步操作，直至信息系统安全检查未发现安全漏洞为止，再开通信息系统的互联网服务。

以我校信息系统安全性检查为例，信息系统上线前强制安全检查由我校网络安全部门专门落实，对照我校制定的《信息系统上线前强制安全检查清单》，逐条排查分析，对不符合指标项实施一票否决制。部分清单见表1。

例如，Linux操作系统基线配置可以要求必须对登录用户进行身份标识和鉴别，必须及时删除多余的、过期的账户，避免共享账户存在等。以我校Linux操作系统安全基线配置为例，部分清单见表2。

4 信息系统生命周期管控

信息系统生命周期管控是指信息系统从系统建设到关停整个生命周期实施安全性周期管控，随着其生存环境的变化，信息系统在使用过程中要不断维护、修改，具有产生、发展、成熟、消亡(更新)的过程周期循环[5-6]，如图1所示。

在信息系统生命周期模型中，信息系统的整个生命周期抽象成规划组织、开发采购、实施交付、运行维护和废弃五个阶段，以及在运行维护阶段的变更产生的反馈，形成信息系统生命周期完整的闭环结构。在信息系统的生命周期中的任何时间点上，都需要综合信息系统安全保障的技术、管理、工程和人员保障要素对信息系统进行安全保障。

5 落实网络安全责任制

在高校信息化工作的建设推进进程中，多数信息系统的建设由二级单位自行建设或购买，信息系统的安全水平参差不齐，许多信息系统处于无人维护的状态；同时，由于许多二级单位缺乏足够的网络安全意识和防范、应对能力，部分信息系统的域名服务、服务器（IP地址）等托管在校外，运行保障服务不在网信部门、信息化部门的管控范围之内，使其安全漏洞、事件（事故）的应急处置响应更加不可控。

项目中每个任务都着重展示一个基本的知识内容，由汽车电器、电控电路等典型应用导入课程，让学生知道“为什么学？学什么？”。比如电机部分可由雨刮器、车窗升降导入，交流电部分可由汽车交流发电机导入等。将理论知识有机地融入到项目中，让学生在操作项目的学习过程中主动地学习理解，分析解决问题，从而培养学生良好的学习习惯。

(2)安全责任单位联系网信部门、信息化部门对存在安全漏洞的信息系统进行安全检查（内外网安全漏洞扫描）；

完善逐级管理的网络安全责任机制。按照“谁主管谁负责，谁运营谁负责，谁使用谁负责”原则，开展网络安全工作。网信部门作为学校网络安全职能管理机构，具有对二级责任单位进行监督、检查、指导的义务。二级责任单位务必认真落实网络安全的各项规章制度，建立二级责任单位的网络安全领导分小组、网络安全分管领导、网络安全分管总负责人、网络安全联络员、各信息系统的具体安全责任人，形成逐级管理的网络安全责任机制，落实网络安全责任到人，在安全管理上满足ISMS信息安全体系与等级保护管理的四层文件架构设计，如图3所示。

我校已于2017年开始建立了网络安全责任人清单名录，网络安全信息系统清单名录，较好地落实了责任制，二级单位党政领导为网络安全责任主体。

TRP通道的发现为疼痛治疗开辟了一个崭新的领域。与以往的镇痛药物不同，以TRP通道为靶点的新型镇痛药物能从源头上消除疼痛的产生。但我们应清楚地认识到，TRP通道组织分布广泛，生理功能多样，以此为靶点的药物在发挥镇痛作用的同时往往伴随着副作用。TRPV1拮抗剂正是因为具有体温过高的不良反应而阻碍了其在临床上的应用。因此，减少此类药物的不良反应将是研发的难点。进一步研究TRP通道在疼痛中的作用对于阐明疼痛的发生机制、治疗及相关药物研发具有重要意义。

6 网络安全漏洞和事故处置机制

高校网络安全责任主体主要包括网信领导小组、网信部门、信息化部门、二级责任单位等层级。网信领导小组统筹网络安全工作，对整体网络安全工作进行全盘战略规划，制定应急响应预案，直接指挥重大安全事件（事故）的处置，直接与上级网络安全主管单位对接；网信部门、信息化部门负责基础设施及校级平台网络安全，为网信领导小组制定策略提供技术支撑和决策建议，为二级责任单位提供技术支持；二级责任单位负责本单位的网络安全工作，承担相关系统、服务器、网络等安全责任，建立所管辖范围内的安全章程、责任分工及技术支持部门的反馈机制。

针对网络安全漏洞、事件（事故）处置经验，高校网络安全漏洞、事件（事故）的处置工作，可以按照安全漏洞来源、安全漏洞等级的不同，予以“分级分类”开展。

同样位于中国宝石城内的中国蓝宝石博物馆总面积8000平方米，共三层。博物馆的外观气魄宏伟，极为壮观，灵感源于昌乐古火山的六棱柱玄武岩形态，采用黑白灰经典色调，简洁而富有创意，象征了昌乐独特的地理环境，蕴含浓郁的现代气息。馆内收藏有大量的世界稀有宝石珍品2000多件，其中很多是绝无仅有的无价之宝，是国内收藏蓝宝石、宝玉石品种最多、最丰富的博物馆。馆内还配备了5D影院体验区，可模拟出火山喷发、风雨雷电等多种特技效果，将视觉、听觉、嗅觉、触觉和动感完美地融为一体，以超现实的视觉感受配以对身体的冲击，让游客亲身经历昌乐蓝宝石的形成、发现及加工生产的过程，最大限度地感受昌乐火山和蓝宝石的独特魅力。

(1)安全责任单位向网信部门、信息化部门提交针对修复此漏洞的详细整改报告；

根据安全漏洞来源及安全漏洞等级确认处置方式后，按照相应流程将安全漏洞详情通报至安全责任单位，并结合安全漏洞扫描工作，督促其进行整改。相关工作过程包括：

网络安全部门收到安全漏洞、事件（事故）通知后，先对安全漏洞、事件（事故）进行危险等级划分。分级工作由网络安全部门专岗工作人员拟定，上报网信领导小组审核确定。安全漏洞、事件（事故）等级分为紧急、高危、中危、低危四种类型，根据安全漏洞来源及安全漏洞等级启动相应的处置方式。对于危害较大的安全漏洞、事件（事故），予以强制关停系统互联网服务，待整改通过后，予以开通。具体分级分类情况见表3。

那个小记者为什么闹呢？田有园接着说。因为他是那学徒女朋友的姑父，听说，那女孩，已经大肚子了。在当时那个年代，出了这样的事，肯定是无脸声张的，可那家人憋着一口气无处发泄，自然找到你爸这儿了，可他们也没提这事，他们不说，你爸当然不知道……结果，就结下仇了。

我校网络安全工作体系架构，如图2所示。

(3)网信部门、信息化部门将安全检查报告反馈至安全责任单位，安全责任单位根据安全检查报告进行安全整改，最后针对安全整改结果提交详细的整改报告；

规范化安全基线配置是指形成校内各类基础设施、平台、应用系统、服务器的参考安全基线配置标准[4]，规范化安全基线配置可以参考网络安全等级保护，同时结合各高校信息化发展特点和信息化现状，有目的、有区别、有特点地形成规范化文件，指导安全性配置落到实处。

音乐剧的演唱是人物在剧情中的台词，绝不是像传统意义上的打开腔体，找到共鸣就能做到的，音乐剧的演唱还会受人物性格，故事情节等因素影响，动情的诉说就是音乐剧最打动人的演唱。

我校依据上述处置机制建立了《网络安全威胁风险预警与处置办法》，从制度制定到落地形成了一套完整方案，为我校网络安全威胁风险预警与处置提供了较好的制度支撑。

7 网络安全管理

(1)推动网络安全制度的常态化实施

历史上陈仲子实有其人，按通常说法是战国时期著名的思想家、隐士。剧中，陈仲子不愿与俗世合流而辟兄别母，只因其认为吃住都是得自兄长的俸禄，而俸禄是取自民脂民膏；他把自己在大旱天里好不容易汲满的一坛水全部分给相邻并绝食三日，只因是自己“捷足先登，抢先一步”，而他认为“人世间争名夺利， 全在那捷足先登”；他拒绝了楚国拜相的请求，只因认为自己隐居一隅，“实指望埋名晦迹， 不意竟成了沽名钓誉之捷径”；他归家探母误食他人奉承当大官的兄长的肥鹅，不惜呕清肠胃，只因认为“受馈不义，食之伤廉”。

制度不是一项落实在制定上的事，而是一项落实在实施上的事[7-8]，推动制度的常态化实施是高校行业现阶段须重视的事项，不要一直将安全停留在文件上，安全的目标是实现有安全投入，无安全事件。

(2)提升网络安全人员队伍的专业技术能力

所谓出行链，即以居住地作为1 d公交出行的起终点，将公交乘客1 d内出行的起终点连接，形成一个环. 出行链闭合即1 d内相邻2次出行的起始地和目的地重合，形成一个闭合的环，例如本次出行从A站点出发到达B站点下车，下次出行从B站点或者B邻近站点出发到达A站点或者A邻近站点下车.

网络安全关系国计民生，是国家战略的重要组成部分，内部势力和外部势力都对网络安全构成严重的威胁，完善的管理制度必不可少。但对于网络安全工作的开展实施来讲，专业的网络安全技术团队、专业网络安全人才、专业的网络安全技能才是提升网络安全工作最为有力的支撑。现阶段高校网络安全在团队、人才和技能上都十分欠缺。当然，欠缺的原因是多方面，问题解决也不是一蹴而就的。提升高校网络安全人员的专业技术能力是保障网络安全工作的基本要求。

(3)稳步推进网络安全等级保护

网络安全等级保护工作是由公安机关牵头，负责整体工作的监督、检查、指导，国家保密工作部门负责保密工作的监督、检查、指导，国家密码管理部门负责密码工作的监督、检查、指导，是国家网络安全工作中最基础性工作。

2014年教育部对教育行业等级保护工作的部署出台了相关性的指导文件，意在加强对教育行业重点网站与信息系统的安全等级保护工作。2017年6月1日《中华人民共和国网络安全法》正式实施，其第二十一条明确规定国家实行网络安全等级保护制度。至此，网络安全等级保护工作正式纳入国家法律范畴，公安执法也进行了常态化落实。2019年12月1日，网络安全等级保护标准2.0正式实施，标志着网络安全等级保护工作正式进入新时代，赋予新使命。

斯里兰卡的蓝宝石有各种各样的颜色，如无色、浅灰黄色、浅蓝色、蓝色、绿色等等，蓝色蓝宝石的颜色较浅，常为浅蓝色、灰蓝色、天蓝色、蓝紫色等。斯里兰卡蓝宝石与缅甸蓝宝石特点相似，虽然不如克什米尔和缅甸蓝宝石漂亮，但是胜在尺寸大些。

8 结语

高校网络安全建设是一个数量庞大、多部门协调合作、联防联动的全方位的网络安全管理与技术的融合，需要人员、资金、技术、教育多维度多层面的保障，不可能一蹴而就，需要一点一滴的能够落地的网络安全建设来不断强化每一个薄弱点。只有这样才能实现高校网络安全管理的最终目标，才能为网络强国战略思想贡献高校力量。

参考文献：

[1]朱圣才．大数据时代高校数据安全需求与挑战[J]．中国教育网络，2017(09)：14-15．

[2]王玉磊．高校校园网管理的研究[D]．昆明：昆明理工大学，2007．

[3]吴海燕，苗春雨，蒋东兴．美国高校信息安全管理情况分析与启示[J]．实验技术与管理，2009，26(05)：169-172．

[4]朱圣才．华东师范大学：实施数据库安全基线配置[J].中国教育网络，2017(10)：67．

[5]黄瑞，邹霞，黄艳．高校信息化建设进程中信息安全问题成因及对策探析[J]．现代教育技术，2014，24(03)：57-6363.

[6]张泽奇．高校信息安全管理策略探索[J]．产业与科技论坛，2017，16(13)：267-268．

[7]聂晶．高校信息化建设中的信息安全问题研究[J]．广西民族大学学报(自然科学版)，2017，2323(01)：86-89．

[8]王延明，许宁．高校信息安全风险分析与保障策略研究[J]．情报科学，2014，32(10)：134-138．