隨著《教育信息化2.0行動計劃》《教育信息化“十四五”規劃》等相關國家政策文件的出臺，各高校加快了智慧校園建設的步伐。然而，在建設過程中還普遍存在“重建設輕安全”的現象，高校信息化程度越高，面臨的安全問題也越發嚴重。當前高校急需建立完善的網絡安全管理體系，提升管理人員、技術人員能力，提高網絡安全工作效率，降低網絡安全風險，才能有效保障高校智慧校園建設。
　　高校網絡安全管理存在問題
　　第一，網絡安全工作機制仍需完善。近些年，高校普遍建立了網絡安全管理制度，明確了領導機構和網絡安全職能部門，對網絡安全工作予以高度重視，正在逐步建立和完善網絡安全制度體系[1]，但是絕大部分高校網絡安全管理還只停留在歸口職能部門層級，并未下沉至二級學院/部門，缺乏相應的責任考核，無法有效落實網絡安全責任制。
　　第二，網絡安全管理人員不足，專業能力有待提高。高校的信息化建設已初具規模，但網絡安全管理人員不足。諸多高校內部校園網絡安全管理人員并沒有接受過定期的專業培訓，從而導致其綜合工作能力一直難以得到提升，無法滿足當前高校信息安全管理工作的需求[2]。
　　第三，網絡安全意識薄弱。高校信息化建設水平越高，教育教學和日常工作對信息化依賴程度也就越高，受到的安全威脅也將來自多個方面。但高校網絡安全防范意識普遍不足，大部分網絡管理者和用戶網絡安全管理意識不強，缺乏安全防范意識，導致不能及時有效地應對黑客攻擊、病毒入侵或其他安全威脅，為高校網絡正常持續運行埋下隱患[3]。
　　打造網絡安全管理體系
　　針對上述問題，江南大學信息化建設與管理中心結合實際情況建立完善的網絡安全管理體系。
　　確立機制，明確網絡安全責任
　　網絡安全工作機制的確立，主要從制度建設和組織結構建設兩個方面開展。
　　第一，制度建設，規范網絡安全工作。依據國家相關法律法規，結合實際情況，江南大學制定了《網絡安全管理辦法》作為開展網絡安全工作的總綱，再從組織結構建設、網絡安全隊伍建設、網絡安全教育培訓、網絡資產管理、網絡安全風險治理、網絡安全等級保護等多個維度進行細化，形成管理規范。
　　第二，四級管理，明確網絡安全職責。江南大學建立了以校網信領導小組領導全局工作，歸口職能部門統籌管理、技術部門技術支撐，學院/部門履行網絡安全主體管理職責，信息系統責任人履行網絡安全個體管理職責的四級管理組織結構，開展學院/部門的網絡安全責任考核，進一步明確和壓實網絡安全責任，落實“誰建設誰負責、誰主管誰負責、誰運行誰負責、誰使用誰負責”的網絡安全管理原則。四級網絡安全管理組織結構如圖1所示。
　　技術賦能，提升網絡安全能力
　　網絡安全隊伍建設，提供了人員保障和技術保障，結合網絡安全教育培訓，提高網絡安全意識、網絡安全管理能力和專業技能，從而提升整體網絡安全能力。
　　第一，隊伍建設，提供人員和技術保障。以切實有效的網絡安全培訓，提高歸口職能部門專職網絡安全管理員和學院/部門兼職網絡安全管理員的管理能力，提高技術部門專職技術人員的專業技能。同時，引入有保障的社會網絡安全技術力量，掌握網絡安全防護前沿技術，為高校保駕護航。另外，以合作加獎勵的模式，激發高校優質的教師、學生資源，為高校網絡安全工作添磚加瓦。
　　第二，教育培訓，提升網絡安全能力。以高校較強的信息化能力為載體，實現線上線下相結合的教育培訓模式；以目的為導向，按不同人員類型，形成多維度的高校網絡安全教育培訓體系（見表1），同時加強部門協作，充分發揮教務處的線上教學能力、宣傳部的宣傳能力和保衛處的安全教育能力。
　　表1高校網絡安全教育培訓體系
　　技術保障，降低網絡安全風險
　　網絡安全等級保護，規范了信息化的網絡安全建設與管理，同時也有了網絡安全風險治理的需求。網絡安全風險治理需要精準的網絡資產數據和完善的治理流程，達到了提高治理效率、降低網絡安全威脅的目的。
　　第一，等級保護，規范信息化建設與管理。網絡安全等級保護制度是在我國經濟與社會信息化的發展過程中，以維護國家安全、提高信息化水平、促進信息化健康發展而設立的一項基本制度[4]。圍繞“1個中心”管理下的“3重防護”開展網絡安全等級保護工作，將網絡安全等級保護與智慧校園信息化建設的全生命周期管理相融合，嚴格按照網絡安全等級保護2.0的要求進行網絡安全建設與管理，保障智慧校園建設。
　　第二，網絡資產治理，提供基礎數據。建立網絡資產治理平臺，摸清家底，認清風險，從而實現“資產發現—備案審核—漏洞發現—加固整改—事件處置”安全閉環，形成全校一本賬、學院/部門一本賬、信息系統責任人一本賬的分級管理模式。為防止私搭亂建現象，減少產生“僵尸”資產，職能部門統一管理信息化資源，并采取適當的收費模式，讓使用者重視網絡資產管理。
　　第三，風險治理，降低網絡安全威脅。高校網絡安全風險治理通過網絡安全監測、預警、處置等方式，降低網絡安全威脅。校內通過漏洞掃描、滲透測試等手段開展自主監測，再結合各級網絡安全管理單位的監測成果，多角度保障高校網絡安全。同時，依托良好的組織結構和準確的網絡資產數據，從“發現、驗證、通報、處置、再驗證、結束”，形成一套行之有效的網絡安全威脅處置流程（如圖2所示）。
　　工作宣傳，提升網絡安全影響
　　以網絡安全工作簡報的形式，向學校各級領導定期匯報當前國內外網絡安全環境、學校網絡安全態勢和網絡安全工作成果，提升網絡安全工作影響力，提高學校對網絡安全工作的重視度，進而有利于網絡安全工作的開展。
　　根據高校特點，本文形成了一套完整的高校智慧校園網絡安全管理體系，規范高校信息化安全建設，提升高校網絡安全防護能力，降低網絡安全風險。實踐證明，網絡安全管理體系的建設達到了預期效果，也希望可以為各高校的網絡安全管理提供有效借鑒。