眾議：高校如何筑牢數字化發展安全底線？—中國教育和科研計算機網CERNET

資訊

校園信息化

技術

資源與應用

產品與裝備

信息服務

首頁 > 教育信息化 > 資　　訊 > 觀　　點

眾議：高校如何筑牢數字化發展安全底線？

2023-11-10 中國教育網絡

　　系統化實戰化推進網絡安全治理

蔣廣學北京大學網絡安全和信息化委員會辦公室主任

　　網絡安全工作是硬件技術、機制體制、觀念意識三個維度的系統工程。

　　第一點，網絡安全事業是基礎保障。網絡安全事業是學校的基礎保障條件，要堅持以習近平總書記關于網絡強國重要思想為指導，加強黨對網絡安全的全面領導。無論是學校的發展建設還是安全穩定，沒有好的網絡安全基礎是不可能做到持續發展。習近平網絡強國思想具有認識超前性和實踐針對性，我們必須好好理解，尤其是學校中高層領導干部能加深理解的話，對于做好高校網絡安全工作有巨大的幫助和支持。

　　第二點，網絡安全工作是個系統工程。它是硬件技術、機制體制、觀念意識三個維度的集合疊加，三位一體，絕對不是哪一面就能解決問題的，三者絕對不可以偏廢。網絡安全工作具有整體性、動態性、開放性、相對性、共通性，我們要從軟硬件投入、體制機制完善、觀念意識培養三個方面，統籌謀劃一體推進網絡安全工作。

　　第三點，作為基礎保障和系統工程的網絡安全工作需要全面推進，尤其要在日常工作中夯實打牢。很多具體事情要從第一個方面和第二個方面去全面持續地推進和落實。

　　網絡安全工作是個系統工程。它不可能一蹴而就，一定要分步驟、有重點、有先后地推進。先解決急難險重的問題，之后在建立四梁八柱的過程中，不斷地豐富和完善整個觀念、制度和技術體系。對于當前重大的安全威脅和數據危機，重要的是加大技術投入和資源投入。

姜開達上海交通大學信息化推進辦公室、網絡信息中心副主任

　　安全是發展的前提，發展是安全的保障。數字化程度越高，安全風險越大，越需要網絡安全保駕護航。高校安全的整體規劃、安全運營和實戰對抗需要得到足夠重視。

　　一方面，要重視戰略與實戰的雙輪驅動。高校修建的網絡安全馬奇諾防線要通過“背靠背”“實打實”的高強度網絡安全攻防演習來檢驗，要在實戰中培養和鍛煉高校的網絡安全團隊，提高抵御有組織網絡攻擊的能力，在真刀真槍的對抗中提升能力、守住陣地，維護高校網絡安全穩定大局。

　　要以演習為契機，以演促改、以演促建，舉一反三，系統排查網絡安全風險隱患，同時也要注意功夫要下在平時，要建立“常態化、體系化、實戰化”的安全保障機制，做到防微杜漸，防范于未然。

　　另一方面，要重視技術與意識的統籌升級。孤立使用的一個個安全產品缺乏互通有無，基于傳統內置規則特征庫的IDS/IPS/防火墻/Web應用防火墻/終端安全軟件，目前看效果相對以前有所下降。資產發現普查、安全大數據分析、安全態勢感知、安全威脅情報、安全開發流程、多因素身份驗證、持續安全運營、高水平實戰對抗等都成為可選項，持續的安全投入和創新必不可少。

　　新時期網絡安全建設也需要面向廣大師生開展形式多樣的網絡安全宣傳教育，共同提升安全意識和素養，網絡安全為人民，網絡安全靠人民，共筑網絡安全防線。

　　數據安全防護是重中之重

何海濤中山大學網絡與信息中心主任

　　當前高校數據安全治理工作主要存在數據安全管理制度體系極不完善，數據底數不清、數據安全技術能力缺失，數據安全意識薄弱等問題。

　　針對高校當前的數據安全現狀，有兩方面的工作最為急迫：

　　第一，在管理層面，要盡快制定數據分類分級制度，梳理出學校重要的數據目錄，明確個人隱私和敏感數據范圍；

　　第二，在技術層面，按“核心數據安全優先、非核心數據效率優先”的原則升級優化數據交換共享平臺，建設數據使用認證和權限管理平臺，完善數據訪問控制，以保障數據最小權限使用、安全交換和共享，并盡量降低對現有業務系統改造的成本。

楊紅波北京外國語大學信息技術中心主任

　　數據安全對高校而言具有重要的意義，關系到學校的正常運營，甚至是公信力和聲譽。高校數據資產主要包括學生和教職員工的個人信息、教育記錄、研究成果等，學校應確保數據的隱私和完整性，防止未經授權的訪問、篡改或泄漏。

　　在推進數據安全保障的過程中，高校面臨一系列挑戰：校領導和管理層需要具備網絡安全和信息化素養，理解網絡安全的重要性，并積極支持網絡安全措施；確保技術防護的完備性十分關鍵，部分高校缺乏足夠的網絡安全技術投入，文科院校因預算較為有限也因此面臨更大的挑戰；資源分散、重復投入和難以維護的問題，需要更加具有統籌性和高效率的管理策略；師生網絡安全意識和素養需要持續提升，以降低社會工程學攻擊和人為失誤導致的風險。

　　總之，網絡安全在高校的數字化轉型中扮演著關鍵的角色，其價值在于保護學校的數據資產和聲譽，促進數字化校園的可持續發展。同時也要求我們不僅給予技術層面的保障，還需要領導層的支持、師生的合作以及整體的網絡安全文化的建立。

陳旭北京城市學院網絡中心副主任

　　當前，高校網絡安全需更加重視數據防護，注意以下四個工作要點：

　　首先，要實現縱深防御。經過十余年的網絡安全建設，高校普遍完成了校園網邊界防御體系，但是原有內外網安全防護模式已經不能滿足目前網絡安全防護要求。因此，需要實現縱深防御，包括：校園網邊界防護，服務器群或數據中心的邊界防護，數據庫與應用系統的邊界防護，主機防護，態勢感知，統一日志等。同時，要注意業務流和運維流分離，網絡管理、安全管理、專網、用戶網分離，普通用戶賬號及系統管理賬號的管理流程分離。

　　其次，采用零信任訪問控制技術。當前,高校主流外網訪問校內資源的解決方案是采用VPN設備。但是在縱深防御思路下，簡單的VPN訪問控制難以實現更精細訪問控制。另外，運營商推出的5G校園專網也對校內資源的訪問控制提出挑戰。零信任訪問控制技術可以在一定程度上應對這些困難。

　　從訪問控制需求角度，高校應當做到避免沒有經過安全設備審計的數據訪問過程，對于能獲取用戶信息的數據訪問過程，應當采用用戶信息作為訪問控制的條件；對于基于Web Service服務的應用系統，如單點登錄系統，應當采用證書方式進行服務端和客戶端的驗證。

　　再次，要加強總體把握的管理能力。為此，信息化職能部門要做好“三件事”：設備層面，信息化職能部門要注意從多個設備監測中發現異常情況，而不是簡單依靠單一設備告警；崗位工作方面，要加強網絡、應用系統、運行平臺、安全管理等崗位之間的交流，形成安全防護合力，避免各崗位單打獨斗；部門溝通層面，加強與其他部門的網絡安全溝通，努力構建校園網大安全的工作體系，為建設平安校園服務。

　　最后，加強設備聯動。高校信息化職能部門要注意分析不同類型網絡安全設備的功能，通過相互調用控制功能，實現集控管理、快速響應。

　　優化安全托管運營服務機制

陳文智浙江大學信息技術中心主任

　　安全托管運營服務（MSS）對高校來說是一個新的嘗試，帶來一種新的解決方案，在新技術和新服務應用上，也可以讓高校的網絡安全團隊與業界實現同步。

　　隨著數字化改革浪潮的到來，高校也在進行數字化建設和改革，諸如物聯網、大數據、云技術等新技術、新設備的運用，給高校的網絡安全、數據安全建設帶來挑戰。這些挑戰涉及多個方面，如硬件設備、軟件系統和管理方法等。對于這些挑戰，以前的做法是頭痛醫頭，腳痛醫腳，即找問題所在系統或信息資產的負責人?，F在，則更多從整體上去解決，提出一個整體的安全保障策略，這就需要有一個綜合能力比較強的服務隊伍、服務方式，從上到下系統地解決問題。

　　高校要做好網絡安全工作，首先要做好規定動作，比如要做好“等?！?、“重?！逼诘木W絡防護，以及做好平時的網絡安全管理等。同時，高校要與生態合作伙伴保持密切聯系，確保生態合作伙伴也要做好網絡完全工作，這是一個重要的前提。

楊紅波北京外國語大學信息技術中心主任

　　網絡安全專業化的管理很必要。要以向用戶提供滿意服務為導向，應不拘一格，該自研就自研，該托管就托管，該購買服務就購買服務，讓專業的人做專業的事不失為一種好的治理方式。要建立國際一流的大學，必須更加開放，不應把全部安全工作僅限制在校內，還需要與外部合作伙伴進行合作。

　　早在2008年，北京外國語大學就陸續將部分網站、信息系統業務托管到云平臺，盡管當時公有云服務可能不夠成熟，但效果非常好。2014年，學校將電子郵件業務向外托管，也取得了不錯的成效。疫情期間，學校將教學輔助平臺(鏡像)托管到云服務提供商，以確保校外學生的訪問質量。目前，我們意識到管理和保護數據更加需要專業的支撐，數據托管中心在未來非常必要，希望能在得到上級部門的支持下，根據校情合法合規的前提下，推進數據托管落地。

　　期待政府和相關管理部門能夠在數據托管方面，特別是教育部和地方教務等部門，可以起到牽線搭橋的作用，促進校企合作和產學研合作，從而推動地區級數據托管中心的發展。同時也希望托管服務機制能夠更加專業和安全，避免出現因企業內部人員因素導致的數據破壞、泄露等問題。

　　重視供應鏈安全

蔣廣學北京大學網絡安全和信息化委員會辦公室主任

　　網絡安全的很多問題是由供應鏈導致的。大多數高校的技術開發人員非常少，開發能力相當有限，高校很大程度上依賴于社會的供應商或者是商業供應鏈。北大屬于擁有較強技術開發能力的高校，也依然需要社會供應商提供輔助和補充。要規范供應鏈管理，關鍵是形成完備的制度體系，明確責任分工，形成具體有效的獎懲手段和管理機制，確定風險管理、合同管理、技術標準、人才培養等方面的管理措施，從制度機制上來保障供應商提供的產品和服務質量，應對和緩解供應鏈危機。在供應鏈安全問題上，積極探索一些能落地的機制和辦法。

姜開達上海交通大學信息化推進辦公室、網絡信息中心副主任

　　關于如何保障教育系統軟件供應鏈安全，有以下三條建議：

　　一是教育行業主管部門要進一步加強監管，提升大家對網絡安全的重視。比如及時預警安全信息，開展相關通報，安全演習和檢查也不能缺席，要定期開展監管、整改等工作。

　　二是教育軟件廠商要持續提升安全意識，將安全當作企業的生命線。軟件廠商要充分保證安全投入、規范安全開發流程、組建自身安全團隊、建立獎勵機制，鼓勵組織或個人發現安全漏洞。

　　三是各地各校要常態化安全，避免運動式安全。高校要明確對軟件供應商的安全管理和技術要求，加強對供應商安全責任要求。軟件上線前做好第三方安全測試與重要系統應用滲透測試，保障常態化安全運維的足夠投入，早期治未病避免被動救火。

　　追蹤應用新技術

姜開達上海交通大學信息化推進辦公室、網絡信息中心副主任

　　近幾年，可擴展威脅檢測與響應（XDR）技術受到行業和高校普遍關注。XDR不僅要解決全面匯集和接入終端、網絡、服務器、安全設備等不同層面獲取安全數據，同時更為重要的是自動化并輔助人工關聯分析相關數據，最終實現攻擊檢測、調查取證與響應流程的優化，加快處置速度。XDR可以充分利用高?，F有網絡安全軟硬件，從全局視角來發現安全威脅和安全事件，如果以SaaS模式給高校提供服務，可以通過集中化的云端安全專家團隊來支持大量高校業務，緩解高校安全團隊人力不足的壓力。

　　AI的快速發展，對網絡安全既是機遇又是挑戰，其背后是人類基于知識性、規則性、規律性的海量知識結晶，無論是防守方還是攻擊方，都會因為AI而變得反應更快，能力更強。AI被廣泛應用于安全態勢感知、威脅情報分析、網絡攻防對抗等領域，可以幫助實現極早期監測預警和快速應急響應。但與此同時，在各種利益驅動下，攻擊者也在學習和擁抱AI，利用其產生更智能、更隱蔽的攻擊方法和路徑。網絡安全的本質在對抗，是動態的而不是靜態的，我們要快速學習和擁抱AI，用好這個新式武器，與時俱進，才能在和攻擊者的對抗中贏得勝利。

鄭先偉中國教育和科研計算機網CERNET 應急響應組

　　網絡安全態勢感知系統能夠更為精準地感知安全態勢，識別攻擊行為，降低人工處置成本。目前雖然還未完全實現全自動化，但它已經開始與其他技術聯動，進行一體化建設。通過大數據分析結合有效的威脅情報，可以為高校提供更全面的網絡安全感知和防控能力。然而，推動這些系統建設的過程并不容易，設備的兼容性不佳、存儲和分析能力不足、日志共享度不夠等問題仍然存在。想要解決這些問題，就需打通設備之間的數據壁壘，也期待有關部門積極推動出臺相關標準，以促進更好的協同發展。

　　ChatGPT作為一種人工智能技術是未來發展的趨勢，技術自身沒有對錯，最終取決于使用者用它來干什么。假設攻擊者用它來編寫自動化攻擊腳本程序，那么它給網絡安全帶來的就是威脅，而如果它被集成到安全防護系統中自動識別攻擊并阻斷，那么它就是安全幫手。同時，我們也需注意到ChatGPT技術在網絡安全防御中的局限性。ChatGPT的優勢在于其對自然語義的理解和深度學習能力，因此它在學習處置已知攻擊時能有不錯的表現，但對未知類型攻擊的識別能力則有待考證。

　　完善網絡安全隊伍建設

黃寧玉北京大學醫學部網絡安全與信息化技術中心副主任

　　網絡安全與信息化人才隊伍建設面臨較大困難：難招人，與IT技術公司相比，待遇不占優勢；難留人，在高校的行政職務方面，信息化崗位人員的發展機會、上升通道很少，在技術職稱方面也不占優勢。

　　關于人才隊伍建設，國家也出臺了很多指導性意見?！豆I和信息化部關于加強和改進工業和信息化人才隊伍建設的實施意見》提出，要深化人才發展體制機制改革，創新人才評價機制，改進人才使用機制，健全人才激勵機制，優化人才流動機制?！秶倚畔⒒l展戰略綱要》也提出要建立適應網信特點的人事制度、薪酬制度，打破人才流動的體制界限。

楊紅波北京外國語大學信息技術中心主任

　　目前網絡安全形勢嚴峻，要求人才具有高度的專業性和技術水平。然而，高?，F有的工作者將更多地選擇從事管理職務，而非技術工作，這一代網絡安全技術人員將不得不面臨老齡化。然而，網絡安全的人才應該是對前沿技術極為敏感的“怪才”“奇才”，可遇不可求。再加上編制受限，高校招聘專業網絡安全人才難上加難。

　　解決人才問題需要政策上的傾斜和支持。學?？梢钥紤]投放職位和編制，以事業編制的形式引入網絡安全人員，確保他們充分發揮作用。相關政府部門也可以制定更具吸引力的政策，以鼓勵年輕人進入網絡安全領域。人才綜合改革才能解決網絡安全隊伍老化和技術水平下滑的問題，確保學校的數字化轉型能夠順利進行。

　　來源：《中國教育網絡》2023年8月刊

　　編撰：陳榮

　　特別聲明：本站注明稿件來源為其他媒體的文/圖等稿件均為轉載稿，本站轉載出于非商業性的教育和科研之目的，并不意味著贊同其觀點或證實其內容的真實性。如轉載稿涉及版權等問題，請作者在兩周內速來電或來函聯系。