EDUCAUSE丨重构高校网络安全生态-中国教育和科研计算机网CERNET

资讯

校园信息化

技术

资源与应用

产品与装备

信息服务

首页 > 教育信息化 > 资　　讯 > 国　　际

EDUCAUSE丨重构高校网络安全生态

2026-06-18 中国教育网络-微信公众号

　　随着高等教育角色的演变，网络安全策略必须随之调整。通过协作重新审视支撑网络安全的跨职能生态系统，校领导与网络安全专业人员能够更好地使风险管理、安全保障、业务运营和技术创新等工作与学校的战略目标相协同。

　　从历史角度来看，高等教育的主要使命是人才培养。如今，这一使命已扩展至探索新知与知识传播。

　　高校通过多种途径实现这些目标，如科学研究、知识推广、健康和社会服务、人类医学和兽医学等。这些领域都需要制定个性化的战略重点，并加以审慎管理。同时，创新能力与适应变化的能力对于实现长期可持续发展也至关重要。

　　这种需要精心设计、灵活应变的战略同样适用于网络安全领域，然而高校在这一方面却显得步履维艰。尽管威胁形势日新月异，许多学校的应对方式却依然墨守成规。

　　高等教育需要提升网络安全水平。网络安全专业人员必须协助校领导及相关单位，针对各部门、单位及管理职能的具体业务需求，制定切实可行的网络安全实践方案。

　　这项工作要求从业者深入理解高校的目标与宗旨，并认识到，不存在“万能解决方案”或教科书式的标准做法。简单模仿同类学校已远远不够，实现实质性进展需要更强的创新意愿、适应能力与领导力。

　　许多高校将网络安全视为一项IT职能，而非保障关键资产安全、支撑高校成功运营的核心业务。网络安全专业人员必须协助校领导理解网络安全的关键要素（保护信息系统和数据免受未经授权的访问与攻击，确保信息的保密性、完整性和可用性，并实施融合人员、流程与技术的分层防御策略），以及为何所有数据资产都需要相应级别的保护。

　　确定保护级别不仅需要评估数据敏感性，还要考量保密性、完整性及可用性等因素。普遍存在的误解是：非敏感数据无需保护。这种认知偏差可能导致全校范围内保护措施不一致或不足，数据保护需要精心设计的网络安全计划。

理解网络安全生态系统

　　网络安全是一个生态系统，涉及高校结构与使命的方方面面。因此，不能被归入单一机构，也不能作为预算中的单项支出。网络安全必须成为全校共同承担的责任。

　　网络安全项目涵盖三个相互交叠的领域：业务、技术、风险与安全。每个领域都有各自的治理机制、职能分工和资源配置。网络安全项目的核心位于这些领域的交汇点。

　　在高校中，这些领域间的跨职能关系和互动往往缺乏充分理解。因此，将这三大领域融入更广泛的业务体系极为困难，常导致人们将网络安全视为额外成本，而非价值来源。

　　理解三者互动机制对设计能支撑全校需求的网络安全项目至关重要。下文将概述各领域的目标与范围。

业务职能

　　业务职能部门负责制定高校的优先事项和战略目标，而网络安全正是这些优先事项不可或缺的组成部分。有效的网络安全计划的终极目标在于确保高校满足业务需求并完成使命。

　　业务领导者通常负责界定高校的风险承受能力，并制定防护、检测、响应及恢复规划的策略，因此，他们的参与对于将网络安全同高校核心优先事项保持一致至关重要。

技术职能

　　高校的技术职能由首席信息官（CIO）负责管理，涵盖但不限于信息技术、组织架构、存储与处理基础设施、集中式IT服务、事件响应及资产管理。CIO必须全面理解高校的业务需求，以便高效地满足这些需求。

　　技术部门还需紧跟快速演变的IT环境，以实现高校目标。许多高校将网络安全的责任（包括管理与财务责任）交由IT部门承担。当网络安全完全归属IT部门时，高校可能无意间强化了“安全仅是技术问题而非全局性战略要害”的认知。这种认知会导致网络安全活动各自为政，削弱有效协调、共同治理及风险管理。

风险与安全职能

　　高校的风险与安全职能涵盖范围广泛，包括但不限于内部审计、法律事务、环境健康与安全、第三方风险管理、物理安全、人员安全、信息安全、IT安全、公共安全、事件响应、业务连续性等。

　　然而，许多高校的网络安全计划仅聚焦于IT安全和数字数据保护，而忽略或轻视研究安全、人员安全、物理与运营安全、公共安全及业务连续性等相关领域。

　　安全团队必须与跨职能领域的同仁紧密协作、建立良好关系，才能有效识别、评估并管理校园范围内的风险与安全问题。若未能做到这一点，重复工作、部门壁垒、冗余配置及沟通中断将导致工作量激增。

　　当这些附加安全领域与高校整体网络安全计划脱节或缺乏信息共享时，将形成显著的风险性缺口，严重阻碍安全团队有效实施威胁防护、检测、响应及恢复的能力。

　　在许多高校中，安全职能（包括合规活动）隶属于IT部门。安全与风险从业者常遭遇阻力，因为他们被视为IT部门的一部分（因而被认为效忠于该部门），而非支持整个高校。要发挥有效作用，就必须消除这种不信任，在校园内建立强有力的协作关系。必须牢记的是，安全与风险专业人员的工作出发点是为整个高校谋福祉，而非仅服务于其所属部门。

　　这种组织架构还可能引发财务紧张。网络安全项目常与优先级更高的IT项目争夺预算。这将导致技术更新和服务投入迟缓，使网络安全与高校的重大IT项目产生冲突。

　　为应对这一挑战，部分高校正转向一种治理模式，其中，首席信息安全官（CISO）的地位与首席信息官（CIO）和首席财务官（CFO）相当。这种转变有助于缓解冲突，平衡高校的IT需求与网络安全需求，将网络安全更紧密地与核心业务职能相衔接，实现更公平、可持续的资金模式。

　　高校领导层必须认识到：信息技术、安全与风险管理是相互独立的职能，它们共同构筑并影响着高校的网络安全体系。网络安全需要专项资金支持与责任共担。

　　高校必须统筹关键职能，确保其数字生态系统能在更广阔的网络环境中安全、高效运行。必须识别并理解可能影响战略目标的风险。这项工作日益重要，因为仅满足合规要求已远远不够。

　　标准法规正以更严格的风险保障要求取代传统合规模式，这使跨职能协作与可持续的协调资金模式成为必备要素。

　　高校必须明确其网络安全核心部门，建立基于扎实实践和风险管理理念的网络安全项目。通过保护高校数据与信息，使高校能够履行使命，并将重要知识安全地传递给社会。确保所有安全领域都能参与，并为网络安全项目提供支持，这对降低高校风险和增强整体韧性至关重要。

从组织架构图转向跨职能团队

　　将网络安全置于业务、技术、风险与安全三大职能领域中考量，比依赖现有的组织架构图更能清晰地展现其广度。强行将这些职能塞进传统的高校组织架构图中，不仅会令管理者困惑，更会让当前及未来的网络安全问题难以解决。

　　当今，多数现代高校的运作都依托跨职能团队开展，若缺乏高校内部不同领域的协作，任何项目和举措都难以成功。因此，领导层必须跳出现有组织架构的局限，重新审视网络安全问题，转而聚焦支撑学校战略目标的领域。

结论

　　在当今这个数字化、互联互通、技术驱动的世界里，网络安全至关重要。它是一个生态系统，涉及高校的方方面面，应融入所有运营环节。

　　为实现战略目标并在21世纪及未来取得成功，高校必须具备创新与敏捷性，必须能够防范、检测、应对网络安全事件，同时主动防范潜在攻击而非抱有“攻击永不发生”的幻想。战略规划必须立即启动，以构建支持高校使命、运营优先事项及目标的网络安全框架。

　　来源：EDUCAUSE

　　作者：伊丽莎白·科尔—沃克

　　编译：陈茜

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。