当前位置: 首页 > 网络安全 > 正文
众议:高校网络安全 如何堵住“人”的漏洞

来源/编辑: 中国教育网络 发布日期:2022年06月02日 10:10 浏览次数:[]

        在所有网络安全解决方案中,人员都是最脆弱的元素。作为高校网络安全工作的主要服务对象和参与人员,广大师生员工的网络安全素养水平极大影响着高校网络安全防护的基础水平。

  近年来,高校网络安全事件频发,反映出高校师生员工缺乏网络安全素养的问题。面对网络安全中这最脆弱的一环,高校应如何堵住“人”的漏洞?

话题一

网络安全素养教育的重要性

  江魁:安全首要的问题就是人的问题

  以前网络安全建设更多地投入在设备、系统和数据的安全层面,但现在大家逐渐形成这样一个共识:人是网络安全中最重要的因素。安全首要的问题就是人的问题,安全策略、技术手段、管理制度再完备、人不去执行也是形同虚设。

  目前,高校出现的绝大部分安全问题并不是技术含量高的安全漏洞导致的,仍然是一些常见的安全漏洞引起的,主要原因就在于网络安全素养教育没有落实。

  周昌令:广大师生对网络安全认知不足

  网络安全虽然充满技术对抗,但很多突破点往往来自非技术方面,利用了人的安全意识弱点。系统不打补丁、使用弱口令、共享账号等行为,犹如敞开大门,再好的技术防护也不起作用。

  无论是从学校治理角度还是从个人角度来看,师生网络安全素养不足都很有可能造成不同程度的损失。目前,广大师生对于网络安全的认知远未达到理想状态,还未形成强烈的网络安全意识,因而网络安全素养教育必须要引起重视。

  张四海:网络安全素养不足将带来诸多风险

  高校师生员工缺乏网络安全素养将带来两大方面的风险。一方面是高校师生个体作为自然人,因为网络安全素养不足而遭受的网络侵害,如遭遇钓鱼邮件、恶意链接导致的个人信息、财务信息泄露,因弱口令导致个人账号被盗,进而引发电信诈骗、勒索等问题。

  另一方面是因高校师生身份所带来的安全风险和舆情风险:首先是学校的决策层,如果网络安全意识不强、重视不够,对网络安全工作的内在规律理解不到位,就会影响学校网络安全的顶层设计、资源投入、保障措施和绩效评价,这会制约高校网络安全总体水平提升。

  其次是高校各类管理信息系统和网络新媒体的管理员,他们掌握着管理员权限,如果缺乏一定的网络安全素养,其所管理的阵地一旦遭遇网络攻击就极易演变成舆情事件,潜在影响难以估量;同时,信息系统中存储着大量的师生信息数据,一旦泄露将对多数人造成广泛影响,管理员群体的网络安全素养不足,就会成为安全风险的放大器。

  最后是学生群体,其存在社会经验少、抗压能力低、易受煽动裹挟的问题,遇到网络诈骗或者网络暴力,可能会产生极端后果。

话题二

高校的实践与探索

  周昌令:积极开展网络安全攻防演练

  北京大学主要从三大方面着手进行。一是开展网络安全教育培训。学校在部分院系单位陆续开展了多场网络安全知识和安全意识的讲座,同时还有体系化的网络安全专题培训。此外,还开展了面向全校师生的网络安全知识答题活动,加强了师生对网络安全知识和安全意识的理解。

  二是开展一些网络安全科普和宣传活动。通过开设面向师生的“网络安全大讲堂”系列讲座,邀请领域内专家学者从技术发展、学术研究、产业前沿以及法律、传播等多学科交叉角度来宣传网络安全相关的内容;通过微信公众号、网络门户以及线下举行“走进网络、贴近安全”的网络安全意识科普活动,结合展板和宣传海报等多种方式,向师生分享网络安全相关的知识。

  三是开展网络安全攻防演练活动。网络安全攻防演练不仅包含了对实际业务系统的真实场景对抗,去年北京大学还率先在高校中开展了“钓鱼邮件”演练。通过高仿真、沉浸式真实场景,让广大师生切实体会“钓鱼邮件”的迷惑性和隐蔽性,从而提高警惕性。

  张凯:丰富内容和形式,让宣传教育更鲜活

  复旦大学采取了多种形式的举措。首先,采用了多样化的宣传教育形式。通过组织丰富的宣贯内容,以网络平台和媒介为载体,配合重要时点开展系列推广活动,充分利用新媒体扩大宣传覆盖面;在国家网络安全宣传周期间,邀请专家进行现场教学,通过网络安全知识展及问答、互动小游戏等形式,向师生宣传贴近生活的网络安全科普信息,让师生从受害者和黑客双视角体验网络攻击;开设面向本科生的网络安全素养教育课程,提高学生的理论知识和实践能力,将宣传、教学与实践有机结合起来,全面提升师生网络安全素养。

  其次,进行常态化的宣传教育活动。通过采购专业的网络安全宣传素材、自主拍摄网络安全小视频,以趣味漫画、短视频等鲜活方式,科普网络安全法律法规和相关知识;不定期面向师生开展钓鱼邮件演练,通过群发钓鱼邮件,测试用户是否能够有效甄别恶意行为;定期对学校各二级单位开展应急演练,如 2021 年复旦大学与杨浦区联合开展网络安全应急演练活动,模拟网络安全事件及其现实影响的应急处置过程。

  最后,针对不同对象进行专题培训。在新教工上岗培训、处级干部培训、新生入学培训中分别融入不同的培训内容,有针对性地提升用户网络安全问题处置能力。面向校内二级单位网络安全负责人、网络安全联络员定期举办系列网络安全专题培训,由各级主管单位领导和网络安全领域专家分别针对网络安全形势、法律法规解读、办公人员上网行为规范、网络安全知识等进行多方位、多角度进行实务培训。

  李先毅:面向全校进行网络威胁通报

  大连理工大学在高校目前已有举措基础上,开设过网络安全、病毒防护相关选修课,依托学科、开设相关课程是提升师生网络安全素养非常好的渠道,并且也更系统全面、效果也能得到保障。

  此外,大连理工大学于2018年开始正式将网络安全威胁通报工作确定为网络安全常规工作之一,并明确了工作目标及任务,制定了工作机制及流程。目前,威胁通报工作分威胁情报搜集和威胁信息发布两部分。

  情报搜集工作主要是每天从各种渠道搜集相关信息,由网信中心负责老师进行研判后确定处置方式。威胁信息发布主要包括网络安全公告、威胁警示邮件、网络安全专题推送,这三种威胁通报方式也会交叉重叠使用。

  对于影响范围比较广的威胁情报,将通过网信中心主页发布网络安全公告告知校内,特别重要的还会在校内信息化交流群中提醒;对于有明确特定对象的威胁情报,主要是安全监测中发现的疑似漏洞或异常,将通过威胁警示邮件的方式直接发送给相关人员,提醒及时确认并处理;对于特别突出的焦点问题,如“挖矿”活动治理等,还会整理形成网络安全专题推送,通过微信公众号和移动 App 向全校推送。

话题三

面临的问题与挑战

  张凯:教育内容单调,组织形式单一

  近几年,高校越来越重视师生的网络安全素养教育,并开展了多样化、常态化、针对性强的宣传教育工作,师生网络安全素养也得到普遍提升,取得了良好的效果。但是在互动宣传、主题测试及演练等活动中,个别人员还是体现出安全意识不足、甄别能力弱等问题。

  当前,网络安全素养教育仍然存在以下问题:一是网络安全教育内容单调,大多聚焦在技术知识和案例的宣传,缺少全面、系统化的规划和组织;二是教育的组织形式单一,仅仅通过宣传教育或者开设网络安全教育课程是远远不够的,亟需充分发挥“宣传”“课堂”与“实践”的合力,实现全过程的育人体系;三是网络安全素养教育的机制还未理顺。

  张四海:各职能部门间尚未形成合力

  客观来看,高校网络安全素养教育距离“管得住,用得好”的目标还存在一定差距,仍面临着诸多问题和挑战:第一,师生员工对网络安全素养教育的主动参与程度比较低,缺乏热情;第二,各职能部门间就网络安全素养教育问题协同程度不够,没能形成合力;第三,网络安全专职队伍人员配置不足,疲于应对网络安全日常工作,无暇顾及教育培训。

  李先毅:覆盖面和重视程度等仍需加强

  网络安全素养教育的问题主要还是聚焦在普通师生上,但受管理职能权限、人员、场地及其他客观条件限制,无法对普通师生开展更广泛、更深入的网络安全素养教育,每年有限的几次培训对于应对复杂多变的网络安全问题还是显得有些捉襟见肘。同时,与快速多变的网络安全状况相比,高校网络安全素养教育的覆盖面、重视程度等还需要不断加强。

话题四

如何实现常态化的素养教育

  张四海:从顶层设计入手完善机制体制

  整体来看,要确保高校网络安全素养教育常态化、体系化,需从顶层设计入手,完善制度机制、加强部门协同、保障经费投入、做好督查考核这些方面都是必不可少的。以下是几点具体想法:

  第一,看待网络安全素养教育,不能仅从网信工作的角度,更要从教育工作的角度,要遵循教育的规律,要让负责教育教学培训工作的部门和组织充分发挥作用。

  第二,需科学开展考核评价,不仅要定性评价也要定量评价,提出具有操作性的评价指标和评价方法,让那些运动式的、走过场的工作得不到认可,很多时候考试不失为有效手段。

  第三,要大力推广体验式的教育活动,可以是大规模的、集中的安全赛事和对抗演练,也可以是小的、日常性的模拟场景,例如钓鱼邮件演练,通过提高趣味性、广泛互动来激发师生热情,进而主动参与教育资源的生产,不断提升教育活动的质量和影响力,形成良性循环。

  江魁:纳入网络安全整体制度中

  管理层面上,高校应将网络安全素养教育作为网络安全政策中的内容固定下来,明确写进网络安全管理制度。同时,做好部门的职责划分,并建立监督机制确保落实到位,如每年可开一次网络安全工作会议,通报各学院网络安全的学习情况、参加人数、开展情况。此外,学校也需要给予一定的保障和支持,如经费保障、人员保障,以推动网络安全素养教育相关工作展开。

  执行层面上,高校要经常性地举办一些丰富多样、新颖有趣的网络安全教育活动来提升师生学习热情和兴趣,如开展网络安全比赛、在线竞答等;同时,定期邀请合作安全厂商、技术专家、甚至可以联合相关合作单位或上级网络安全部门来学校进行授课和培训;最后,有条件的高校可结合本校案例来编写网络安全教材或资料,以不断优化网络安全素养的教学内容和教育质量。

  张凯:积极协同各方力量开展素养教育

  要想网络安全素养教育能被广大师生所接受,就不能仅仅流于形式。在开展常规宣传活动的同时,还应走入广大师生中,深入了解师生的实际需求与切身的感受,以寓教于乐的方式传递素养教育的内涵,从而有效提高网络安全素养教育的效率和质量。

  同时,还要避免信息化部门单打独斗的情况,要积极协同各个院系和校内校外其他部门的力量,共同推动和开展宣传教育工作,形成多级联动的宣传教育体系。