2017年,网络安全是教育信息化工作中当之无愧的热点。网络安全是一件永远在路上的工作,重要性不言而喻,面临的挑战也多种多样。因此,这一年关于网络安全工作的探讨不绝于耳,大家都在思考、交流、互相借鉴。围绕这一热点,我们在最近的几次会议中都做了较多探讨。
本期,我们整理了几次会议的相关专家报告,将这些内容整理成“网络安全三部曲”:第一,挑战。除了人才、机制等传统意义上的挑战外,信息化部门还面临着角色的定位困扰。第二,策略。面对挑战与困境,我们该做什么?该如何去做?这里,有几个观点值得分享:1.不能总是当疲于奔命的救火英雄;2.要营造一个网络安全共同体,更加联动,更加合作;3.需要对安全体系保障进行顶层设计。第三,应急。常规时期与重大活动时期的安全重点有所不同,方法也有所不同。常规时期与重大活动时期的网络安全保障工作二者之间应当建立一个互相促进的机制。
只有各方共同努力,同舟共济,互相合作,才有教育行业安全的美好未来。
重大活动时期的应急响应备受关注。南京理工大学的做法是建立白名单机制,厦门大学则在网站防护中实施了网站静态化机制。此外,引入专业的安全服务,进行更专业的防护已成为许多高校的选择,9月~10月,一些高校试用了高校网盾,我们也对此进行了跟踪。
应急篇 重大活动时期是网络安全改善契机
重大活动时期,安全的重要性应当排在一切工作的前面。日常安全管理中,我们经常设置黑名单,到重大活动时期是设置白名单。黑白名单的不同在于对“黑”“白”不明确的疑似网站的处理上,这些不明确的疑似网站所占比例很大,采用白名单的工作模式产生的主要作用是责任真正落实到人,有隐患必须关闭、必须整改。
只有解决了安全问题,才能更好地推进应用。应用需要安全,安全为了应用。重大活动时期,应用的提供者和安全的管理者双方要相互理解、配合默契、齐心协力,能够完成平常不可能完成的任务。经过重大活动时期的历练,各方的安全意识和管理水平将得到大幅度提高。所以我认为,我们应当借助重大时期的东风,通过在重要时刻发现问题和处理问题,由此形成的及时反馈与应急处理能力将为日后的常规管理带来益处。
日常网络安全管理工作中,大家发现网站系统有漏洞、有安全隐患,但往往会有系统管理方和开发方以任务重、时间紧等各种理由和借口推托,导致系统带“病”运行。这种做法不可取,到关键时刻往往会出现很多无法估计的问题。因此,平时要把工作做细,考虑问题要全面,做到校园服务心中有数,不留缺口和死角,不给破坏者以机会,对内要铁面无私、按照流程和章程办理。尤其要重视沟通交流,做好突发情况下的危机处理准备,积极应对学校部门和个人的不理解,处理可能出现的舆情危机。
同时,平时就要加强校内外网络安全联动,信息安全共享,主动接受上级部门管理监督,在重大活动时期发挥集体智慧,为学校网络安全保驾护航。
(作者系哈尔滨工业大学网络与信息中心主任)