中山大学完备的信息化机制让不少学校很羡慕,因为大部分学校没有中山大学那么大的信息化队伍。尽管这样,中山大学张永强表示,“单靠本校的安全人员和队伍是无法满足学校各种安全管理需求的,需要购买信息安全服务。”华中科技大学教授于俊清也表示,“我们可以花钱买设备,也可以花钱买安全,买服务。”安全服务外包在人手不充足、技术更新换代极快的情况下已经变成一种必然选择,但仍然有许多关系需要厘清,那么,外包安全服务应该如何实施?
要制定可操作、可检查、可追责的服务标准
为弥补自身不足,学校可采用服务外包的方式引入外部人员和力量共同做好网络安全工作。服务外包合作伙伴一般都是国内知名网络安全厂商,他们的技术实力和经验积累可以协助学校做好网络安全中定期检测、日常监测、紧急处置等工作,对学校网络安全问题能早发现、快处理,发挥了积极作用。
从江南大学的实践来看,服务外包可以有效弥补自身技术人员人数不足和能力不足两方面的短板。在操作中,学校人员应加强网络安全顶层设计的谋划,将服务外包内容纳入学校网络安全统一工作体系,学校加强管理和考核。由于服务外包不如产品那样具有非常明确的实物或外在形式,做好服务外包需要学校和厂家一起对服务外包的内容和效果制定可操作、可检查、可追责的服务标准。只要多方携手一起,勇于担起网络安全责任,网络安全也不是洪水猛兽,是可防、可控的。
外包服务需要界定好法律职责
高校信息安全队伍的建设存在技术不足的困难,为了解决该问题,必须借助于外部力量。我们的外包服务主要是指系统建设、系统运维和桌面服务,尤其是桌面运维服务,安全运维贯穿其中。在上海海事大学,借助于外部力量主要是指在管理规定和操作规程的完善上借助于外部力量,制度一旦制定,外包团队必须依规操作。
另外,《网络安全法》的处罚对象没有明确说明外包团队可以担责,但明确规定校内相关人员需要担责,因此无论是否外包,校内人员必须做好各项安全工作。
网络安全工作应引入第三方安全咨询服务
目前,面向高校的信息安全产品技术水平尚需进一步提升,外包服务能力尚待进一步提高,解决方案的适应性和针对性有待进一步加强。高校网络与信息安全工作需要与政府、企业、科研机构、社会组织等多方面广泛合作与协同,特别要引入第三方安全咨询服务。网络与信息安全是一个融合技术、管理和服务的体系,应加强安全体系规划和顶层设计,针对关键和重要安全问题与安全公司开展校企合作研发、购买安全服务等,合作中应以校方为主导。
核心自主管控+全局服务外包可以是一条路
高校信息安全产品与外包服务是目前高校技术与人员储备不足的有益补充。我认为,高校信息安全应该采用核心自主管控+全局服务外包、“部分自主整体合作”模式。对于学校内部应用系统、数据中心等核心功能及核心数据信息安全首先要自主管控,同时借助第三方技术服务优势,将日常运行安全,机房运行安全等采用服务外包与第三方合作共建、风险共担。