網(wǎng)絡(luò)安全的建設(shè)并非一蹴而就,，需要過程和投入，如果缺乏系統(tǒng)思考必然會(huì)導(dǎo)致只重視解決眼前問題,，而缺乏長遠(yuǎn)的規(guī)劃,，這種短期行為的規(guī)劃最終會(huì)造成頭痛醫(yī)頭、顧此失彼,、重復(fù)建設(shè)等問題,。

縱觀現(xiàn)有文獻(xiàn)，規(guī)劃思路多以合規(guī)為出發(fā)點(diǎn),，側(cè)重于宏觀的安全框架設(shè)計(jì)和產(chǎn)品級(jí)的安全方案，缺乏整體網(wǎng)絡(luò)安全能力發(fā)展路線和建設(shè)過程規(guī)劃的論述和考量,，即僅構(gòu)建了網(wǎng)絡(luò)安全建設(shè)的遠(yuǎn)景,、目標(biāo),、框架，而未進(jìn)行任務(wù)和行動(dòng)路線的規(guī)劃,，雖然對(duì)后續(xù)建設(shè)有相關(guān)借鑒,，但是無法指導(dǎo)建設(shè)的先后次序和過程規(guī)劃，而實(shí)施路徑對(duì)網(wǎng)絡(luò)安全規(guī)劃能否順利和真正落地起著重要作用,。

因此,，本文結(jié)合等級(jí)保護(hù)合規(guī)要求和網(wǎng)絡(luò)安全能力滑動(dòng)標(biāo)尺模型，對(duì)高校網(wǎng)絡(luò)安全規(guī)劃方法進(jìn)行優(yōu)化,，特別探索了安全規(guī)劃實(shí)施路徑的設(shè)計(jì),，并以某高校為例，闡述了方法在高校網(wǎng)絡(luò)規(guī)劃編制及實(shí)踐過程中的應(yīng)用,，為其他高校的規(guī)劃工作提供借鑒,，具有一定的理論和實(shí)踐意義。

網(wǎng)絡(luò)安全法將網(wǎng)絡(luò)安全定義為：“通過采取必要措施,，防范對(duì)網(wǎng)絡(luò)的攻擊,、侵入、干擾,、破壞和非法使用以及意外事故,，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性,、保密性,、可用性的能力”。

定義中指明了網(wǎng)絡(luò)安全的目標(biāo),，即使網(wǎng)絡(luò)可靠運(yùn)行和保障網(wǎng)絡(luò)數(shù)據(jù)安全屬性,，同時(shí)將網(wǎng)絡(luò)安全描述為一種能力。在國家和教育行業(yè)相關(guān)要求中,，也均強(qiáng)調(diào)了提升網(wǎng)絡(luò)安全防護(hù)和保障能力,。

在《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》^[1]中，描述了不同級(jí)別的等級(jí)保護(hù)對(duì)象應(yīng)具備的基本安全保護(hù)能力要求,，可以發(fā)現(xiàn)標(biāo)準(zhǔn)將網(wǎng)絡(luò)安全能力分解成了防護(hù),、發(fā)現(xiàn)處置和恢復(fù)三方面；而等級(jí)保護(hù)的技術(shù)框架參考美國信息保障技術(shù)框架（IATF）設(shè)計(jì)思想,，主要強(qiáng)調(diào)“一個(gè)中心,，三重防護(hù)”，為了達(dá)到相應(yīng)級(jí)別的網(wǎng)絡(luò)安全能力,，重點(diǎn)關(guān)注安全計(jì)算環(huán)境,、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心等四個(gè)保障領(lǐng)域,，針對(duì)各領(lǐng)域制定了控制點(diǎn)和要求項(xiàng),，作為實(shí)現(xiàn)安全能力的必要條件,。

但是通過對(duì)國家網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)研究發(fā)現(xiàn)，各現(xiàn)行標(biāo)準(zhǔn)中的要求均偏靜態(tài),，雖然指明了不同級(jí)別安全防護(hù)應(yīng)具有的能力要求和措施,，但是并沒有提出建設(shè)的路線指導(dǎo)或者建議。

本節(jié)基于筆者參與的某高校網(wǎng)絡(luò)安全規(guī)劃案例,，對(duì)結(jié)合等保和網(wǎng)絡(luò)安全能力滑動(dòng)標(biāo)尺模型,，以能力為導(dǎo)向的規(guī)劃路徑實(shí)際應(yīng)用進(jìn)行討論。

該高校已經(jīng)進(jìn)行了初步的網(wǎng)絡(luò)安全建設(shè),，部分信息系統(tǒng)完成了等保的定級(jí)備案和測評(píng)工作,，在等保測評(píng)過程中依照合規(guī)要求進(jìn)行了相應(yīng)的整改，獲得了等保通過的測評(píng)結(jié)論,，但是在實(shí)際運(yùn)行過程中,，各類安全事件還是時(shí)有發(fā)生。

為了提高網(wǎng)絡(luò)安全能力,，該高校計(jì)劃配合信息化建設(shè)三年規(guī)劃,，制定網(wǎng)絡(luò)安全三年規(guī)劃，為下一步網(wǎng)絡(luò)安全建設(shè)提供具有操作性的指導(dǎo)。

該校共進(jìn)行了10個(gè)等保二級(jí)系統(tǒng)的測評(píng)工作,，其中技術(shù)方面包含物理機(jī)房1個(gè),，共22個(gè)測評(píng)項(xiàng)；網(wǎng)絡(luò)全局共計(jì)28個(gè)測評(píng)項(xiàng),；網(wǎng)絡(luò)設(shè)備8臺(tái),，安全設(shè)備13臺(tái)，共178個(gè)測評(píng)項(xiàng),；服務(wù)器55臺(tái),，495個(gè)測評(píng)項(xiàng)；數(shù)據(jù)庫10個(gè),，70個(gè)測評(píng)項(xiàng)；應(yīng)用系統(tǒng)10個(gè),，共91個(gè)測評(píng)項(xiàng),；管理方面測評(píng)覆蓋10個(gè)系統(tǒng)，共計(jì)619個(gè)測評(píng)項(xiàng),；同時(shí)根據(jù)校外訪問權(quán)限及系統(tǒng)業(yè)務(wù)特點(diǎn)等,，測評(píng)過程中從互聯(lián)網(wǎng)對(duì)其中的6個(gè)系統(tǒng)進(jìn)行了漏洞掃描，在服務(wù)器區(qū)域?qū)?個(gè)系統(tǒng)進(jìn)行了掃描,。

整個(gè)測評(píng)工作范圍覆蓋了該校主要信息系統(tǒng),，而其他未定級(jí)和測評(píng)的信息系統(tǒng)網(wǎng)絡(luò)安全運(yùn)行模式和安全防護(hù)機(jī)制與這些系統(tǒng)也基本相似，測評(píng)結(jié)果能夠基本真實(shí)地反映學(xué)校當(dāng)前的安全狀況,，因此本次規(guī)劃的現(xiàn)狀分析以等級(jí)保護(hù)測評(píng)結(jié)果為基礎(chǔ),。

依據(jù)測評(píng)結(jié)果，整體上當(dāng)前該校網(wǎng)絡(luò)安全工作路線以關(guān)注合規(guī)為主,，安全規(guī)劃建設(shè)和考核大多采用了對(duì)標(biāo),、合規(guī)等思想；組織機(jī)構(gòu)上網(wǎng)絡(luò)安全管理部門和業(yè)務(wù),、運(yùn)行部門分離,；網(wǎng)絡(luò)安全工作流程上安全制度和流程的設(shè)計(jì)和執(zhí)行分離，重建設(shè)而輕執(zhí)行,；技術(shù)上主要使用產(chǎn)品級(jí)的安全方案,，僅限于某功能“有沒有、做沒做”,，安全產(chǎn)品堆疊卻無法發(fā)揮實(shí)效,；人員上以管理和合規(guī)為主，缺乏專業(yè)安全技術(shù)人員,。

進(jìn)一步對(duì)等保具體要求項(xiàng)測評(píng)結(jié)果情況進(jìn)行匯總和統(tǒng)計(jì),，結(jié)合系統(tǒng)情況對(duì)其中不符合和部分符合項(xiàng)進(jìn)行分析，形成當(dāng)前網(wǎng)絡(luò)安全的主要問題，其中部分主要問題見表1,，對(duì)安全管理等層面也進(jìn)行了類似的匯總和分析,。

結(jié)合上文分析結(jié)果，按照規(guī)劃思路,，將當(dāng)前安全措施和相關(guān)問題映射至滑動(dòng)標(biāo)尺模型,，經(jīng)分析當(dāng)前該校的網(wǎng)絡(luò)安全基本處于滑動(dòng)標(biāo)尺模型的第一階段。

以此為出發(fā)點(diǎn),，并結(jié)合該校信息化三年規(guī)劃的建設(shè)愿景,，結(jié)合網(wǎng)絡(luò)安全能力滑動(dòng)標(biāo)尺模型的階段劃分，確定了該校網(wǎng)絡(luò)安全三年規(guī)劃的年度工作目標(biāo),，如圖3所示,。即通過三年時(shí)間，逐年提高,，最終建立具備主動(dòng)防御能力的網(wǎng)絡(luò)安全體系,。

為實(shí)現(xiàn)此年度工作目標(biāo)，將規(guī)劃內(nèi)容進(jìn)一步分解,，技術(shù)上延續(xù)等?！耙粋€(gè)中心，三重防護(hù)”的技術(shù)框架,，將等保管理要求中安全管理機(jī)構(gòu)和安全人員管理內(nèi)容整合成安全組織框架,，將等保管理要求中安全管理制度、安全建設(shè)管理和安全運(yùn)維管理內(nèi)容整合成安全體系框架,，最終將年度工作目標(biāo)具體分解到技術(shù),、組織、體系三個(gè)維度,，形成總體規(guī)劃年度建設(shè)路線,，如圖4所示。

在技術(shù),、組織,、體系三個(gè)維度的各自年度目標(biāo)基礎(chǔ)上，分別進(jìn)行具體內(nèi)容的進(jìn)一步分解,，結(jié)合圖2中技術(shù),、管理、運(yùn)行措施與網(wǎng)絡(luò)安全能力滑動(dòng)標(biāo)尺模型各階段的映射關(guān)系,，形成各維度年度具體的工作內(nèi)容,，并結(jié)合工作內(nèi)容，形成考核指標(biāo)等,。形成的安全技術(shù)規(guī)劃年度建設(shè)內(nèi)容路線如圖5所示,，其他組織,、體系、考核指標(biāo)等維度的規(guī)劃路線思路類似,。

參考等保相關(guān)要求和網(wǎng)絡(luò)安全業(yè)界最佳實(shí)踐,，將各維度年度建設(shè)內(nèi)容劃分成具體的執(zhí)行任務(wù)，并結(jié)合各具體任務(wù)的依賴關(guān)系等,，生成規(guī)劃的實(shí)施計(jì)劃路線甘特圖,，如圖6所示。

最終形成了網(wǎng)絡(luò)安全建設(shè)覆蓋從遠(yuǎn)景,、目標(biāo),、框架到任務(wù)、行動(dòng)路線的完整規(guī)劃內(nèi)容,。

實(shí)施路徑對(duì)網(wǎng)絡(luò)安全規(guī)劃能否順利和真正落地起著重要作用,，而既有研究主要構(gòu)建高校網(wǎng)絡(luò)安全建設(shè)的遠(yuǎn)景、目標(biāo),、框架,，但是缺乏對(duì)具體行動(dòng)路線和任務(wù)規(guī)劃的研究。

本文將網(wǎng)絡(luò)安全能力滑動(dòng)標(biāo)尺模型與等保相關(guān)標(biāo)準(zhǔn)要求相結(jié)合,，形成了以網(wǎng)絡(luò)安全能力疊加演進(jìn)發(fā)展為導(dǎo)向的網(wǎng)絡(luò)安全規(guī)劃方法，并結(jié)合某高校網(wǎng)絡(luò)安全三年規(guī)劃的設(shè)計(jì)實(shí)例展示了此方法的具體應(yīng)用,，豐富了現(xiàn)有的研究視角,，為高校網(wǎng)絡(luò)安全規(guī)劃思路提供可行的借鑒和參考。