“没有网络安全就没有国家安全。”陕西是教育大省，教育网站和系统有6800余个。做好全省教育系统网络安全工作，是培养合格建设者和可靠接班人、落实立德树人根本任务的必然要求。陕西省委教育工委、省教育厅高度重视网络安全工作，建立党委（党组）“一把手”负总责的动态通报机制、量化考核机制和防范预警机制，依托西北工业大学成立网络安全研究应用中心，建成教育网络安全监控预警平台，实时监测全省教育业务系统（网站），开展教育系统网络安全攻防实战演练，举办网络安全宣传周和专题培训班，不断提升全省教育系统网络安全防护意识和应急处置水平。各级教育行政部门和各级各类学校高度重视，统筹力量，集聚智慧，共同构建网络安全预警、监测、防护、处置的良性生态体系，涌现出一批优秀案例。

西安交通大学从实际出发，将《中华人民共和国网络安全法》（以下简称《网络安全法》）中安全技术应遵循的“同步规划、同步建设、同步使用”的“三同步”原则与信息系统建设工作深度融合，通过网络安全制度、安全责任体系和网络安全技术监测和防护相结合的方式，形成了一套针对信息系统全生命周期的管理的方法，有效提升了信息系统总体安全防护水平。

一是建立健全管理细则，明确系统立项安全规划。制定了《信息系统安全管理办法》《信息系统基线安全设计要求》《数据安全管理规范》等一系列制度和技术文件。其中《信息系统安全管理办法》明确提出要以“三同步”原则建立规范的信息系统全生命周期管理机制；《信息系统基线安全设计要求》为系统安全建设制定了包含5个大类、89个小项的WEB应用基本安全基线要求；《数据安全管理规范》为信息系统数据获取、使用、传输、共享、存储等过程制定了详细安全的管理规定。明确信息系统业务单位和开发单位的安全责任，确保安全“同步规划”及“同步建设”的有效落实。

二是构建网络安全“三步检”，确保信息系统安全上线。为确保系统设计符合安全技术要求，建设时遵循了学校安全管理规定，西安交通大学建立了基线自查、漏洞扫描到渗透测试的网络安全“三步检”。其中基线自查有利于提升安全管理最短板；漏洞扫描则是用于排除低级错误造成的安全隐患；而渗透测试则是网络安全工作人员以黑客视角，模拟真实攻击方法，对系统进行攻击测试。严格完成上述“三步检”是信息系统安全运行的核心要求。以2022年为例，25个系统完成安全渗透测试并上线运行。其中18个系统存在高危及以上安全漏洞；共测出安全漏洞144个，其中高危漏洞55个，中危漏洞42个，低危漏洞47个。最常见的是信息泄露和各类越权漏洞，涉及10个系统。

三是建立“两个”机制，破解日常安全监测难题。网络安全的动态特性决定了信息系统运营过程的安全管理不能放松，为了解决日常监测的难题，西安交通大学建立了“漏洞众测”和“安全演练”两个机制，筑牢校园安全防线。学校建立由安全管理人员、安全厂商和具有网络安全专业背景的师生组成专业的“攻防团队”，日常性地对信息系统进行“漏洞众测”，周期性地开展“安全演练”。在该过程中如发现安全漏洞，可利用学校的网络安全漏洞管理平台进行通报和处置。众测活动从2020年底开始，截至目前共自主发现通报漏洞110个。

四是引入系统退出机制，避免出现“僵尸”系统。系统退出环节分为主动退出和被动退出。无论哪种退出方式，业务单位对应的安全责任也随之终结。从信息系统出生、上线、使用到退出，四个阶段层层推进，有效落实了《网络安全法》对“三同步”原则的安全要求，全面提升校园信息系统的安全质量。强化安全工作前移，降低后期安全运维压力，确保了信息系统不“带病上岗”，不“带病运行”，为做好校园网络安全保障起到了关键的作用。随着学校信息系统生命周期管理的制度和架构设计越来越完善，管理手段越来越精细，效果也逐步体现。针对信息系统漏洞的“人民战争”，有效破解日常安全监测难题。从教育部教育漏洞监测平台的数据看，西安交通大学监测到的风险全国排名从2019年的第9位下降至2022年的第36位，由此可以看出学校信息系统的网络整体安全防护能力大幅提升。学校还构建校企合作的“攻防团队”，一方面最大程度地为学校争取到网络安全公司的优质资源，另一方面也为学校网络安全人才培养提供了实战平台，是对高校人才培养的探索和补充。参与过此项工作的学生也取得了一系列成绩，2021年参加中国大学生信息安全竞赛CTF比赛中晋级决赛，2022年在西部赛区191支战队中取得第10名的成绩。网络安全管理团队参加2021年陕西省安全技能大赛，在决赛中取得三等奖。

西北工业大学从管理、技术、人员、实战四个方面建立立体化的网络安全防护体系，将网络安全建设与管理化“被动防护”为“主动防御”，日均抵御110万次网络攻击，2021年全年完成10680次信息系统测试，印发信息安全文件81份，安全威胁最快在12分钟内处理完毕。

一是统筹“管理”，做到“定职责、抓落实”。加强组织领导，建立专项工作领导小组统筹负责全校的网络与信息系统安全管理，上下联动一盘棋。完善制度建设，构建长效机制，制定了《西北工业大学网络与信息系统安全管理办法》，全面落实网络安全工作责任制。坚持日常巡查和监测预警，严格督查整改。

二是夯实“技术”，做到“看得见、防得住”。强化网络安全态势感知，通过自建开发结合多套网络安全设备将资产现状、威胁情报、防御效果、处置能力“可视化”，对所有信息系统的安全状况进行全生命周期管理，所有过程留痕化记录，让安全数据看得见。加强技术防护，采用三层防御的布局结构分级抵御各类攻击，分别为云防护、校园网出口以及数据中心核心出口，建立了包括网络防火墙、网络防病毒软件等一系列技术防护手段。严格按照国家要求开展信息系统等级测评，建立信息系统白名单，实施年审制度。

三是注重“人员”，做到“强意识、建队伍”。关注管理者、教师和学生等三类重点人员，提升整体安全意识。建设专业队伍，提升关键能力，由专业技能较强的信息化处技术团队和兼职技术团队共同保障网络安全。将校园网络安全环境逐步打造成实战靶场，组织有专业特长的学生参加网络安全工作，拓展技术队伍。加强宣传，提升全员网络安全素养。

四是强化“实战”，做到“实网战、主动战”。在网络安全建设和防护中均以实网环境为根本，主动发现和消除实网上存在的安全隐患。建立主动防御的工作机制，主动探测攻击来源持续实时阻断。开展攻防对抗，建设队伍提升能力。学校网络安全建设成效显著，五年来获得网络安全类奖项共计32次，先后在陕西省教育厅、中国高等教育学会信息化分会、高校CIO论坛等多个重要会议介绍网络安全建设经验，受到广大同行的关注。今后，学校将持续加强网络安全建设，以实战为根本，不断完善网络安全体系、培养网络安全尖端人才。

随着教育信息化的快速推进，教育信息系统面临的网络安全形势也日趋严峻，做好教育系统网络安全工作愈加重要。陕西省委教育工委、省教育厅高度重视网络安全工作，从组织机制、平台建设、实战演练、宣传培训等方面构建陕西教育系统网络安全预警、检测、防护、处置“四位一体”的管理体系。在此，建议相关单位根据自身情况和业务特点，制定有针对性的网络安全防护体系化机制，推动陕西省教育系统网络安全工作更上新台阶。

作者单位：陕西省教育厅