2017年,网络安全是教育信息化工作中当之无愧的热点。网络安全是一件永远在路上的工作,重要性不言而喻,面临的挑战也多种多样。因此,这一年关于网络安全工作的探讨不绝于耳,大家都在思考、交流、互相借鉴。围绕这一热点,我们在最近的几次会议中都做了较多探讨。
本期,我们整理了几次会议的相关专家报告,将这些内容整理成“网络安全三部曲”:第一,挑战。除了人才、机制等传统意义上的挑战外,信息化部门还面临着角色的定位困扰。第二,策略。面对挑战与困境,我们该做什么?该如何去做?这里,有几个观点值得分享:1.不能总是当疲于奔命的救火英雄;2.要营造一个网络安全共同体,更加联动,更加合作;3.需要对安全体系保障进行顶层设计。第三,应急。常规时期与重大活动时期的安全重点有所不同,方法也有所不同。常规时期与重大活动时期的网络安全保障工作二者之间应当建立一个互相促进的机制。
只有各方共同努力,同舟共济,互相合作,才有教育行业安全的美好未来。
高校网络安全工作确实存在许多挑战和困境,但在网络安全已上升为国家战略的今天,此项工作一定会得到越来越多的支持。
策略篇 网络安全要善于“乘势”和“借势”
在网络安全问题上,我们一是要高度重视,落实责任制;二是要加强管理和宣传,增强安全意识,完善安全规范,贯彻安全操作规程;三是要加强技术防护;四是要加强安全人才队伍建设,发挥学校网络安全相关的教师和学生力量;五是要加强与外部安全公司合作,增强学校的防护力量和水平,最终构建完整的学校安全防护体系。在具体的工作思路上,有几项我认为是比较重要的:
第一,顺势而为。善于乘势和借势。最近几年,国家非常重视网络安全,所以我们做网络安全工作同过去相比有更好的基础背景,这是一个“势”,我们要会借势。
第二,堵疏有道。堵——对于不符合安全规范要求的网站和系统关闭外网访问,甚至封锁IP 和域名;疏——建立培训体系, 对于问题网站和系统进行技术指导,协助排查和处理,开展网络安全专项培训。
不符合安全规范的网站,我们要把它封掉,但不能一封了之,这会很容易让信息化部门与业务部门产生矛盾,如果我们的工作达成是以牺牲与业务部门的良好沟通关系为代价,是得不偿失的。所以要疏,要给业务部门建立一个培训体系,对问题网站和系统进行技术指导,让他们自己能够认识网络安全的严峻态势。
第三,建章立制,要靠规范约束大家的行为,同时把应急预案做好,这样一旦发生安全事件将有一套行之有效的流程。
第四,集思广益。高校实际上是出人才的地方,也是培养人的地方。学生会成为一支重要的力量,要尽可能发挥学生的力量,把老师和学生社团的力量充分挖掘。另外,要学会借助外部的安全服务。特别是应急的时候,引入专业服务可以给我们有力的支撑。安全服务外包是必须要去做的事,也是未来的一个趋势。
第五,人才储备。专业人才的短缺和高校的用人制度致使高校安全团队无法“扩军”,人才储备量远远跟不上网络安全风险的增长量。我们要加强自身人员的培训和学习,提高自身防护能力。
网络安全其实和信息化一样的,它永远在路上。只有起点, 没有终点。
(作者系南京理工大学信息化处处长)