2017年,网络安全是教育信息化工作中当之无愧的热点。网络安全是一件永远在路上的工作,重要性不言而喻,面临的挑战也多种多样。因此,这一年关于网络安全工作的探讨不绝于耳,大家都在思考、交流、互相借鉴。围绕这一热点,我们在最近的几次会议中都做了较多探讨。
本期,我们整理了几次会议的相关专家报告,将这些内容整理成“网络安全三部曲”:第一,挑战。除了人才、机制等传统意义上的挑战外,信息化部门还面临着角色的定位困扰。第二,策略。面对挑战与困境,我们该做什么?该如何去做?这里,有几个观点值得分享:1.不能总是当疲于奔命的救火英雄;2.要营造一个网络安全共同体,更加联动,更加合作;3.需要对安全体系保障进行顶层设计。第三,应急。常规时期与重大活动时期的安全重点有所不同,方法也有所不同。常规时期与重大活动时期的网络安全保障工作二者之间应当建立一个互相促进的机制。
只有各方共同努力,同舟共济,互相合作,才有教育行业安全的美好未来。
高校网络安全工作确实存在许多挑战和困境,但在网络安全已上升为国家战略的今天,此项工作一定会得到越来越多的支持。
策略篇 高校网络安全五条管理策略
杜佩林 CERNET网络中心主任助理 赛尔网络有限公司副总经理
网络安全工作的难度,可以用下面三句话描述:“信息系统不可能没有漏洞,信息社会不可能没有黑客,信息安全不可能不出事”。为什么?套用武侠小说的说法就是“攻在暗处,攻在先手,攻是高手。”所以,高校的网络安全工作很难做到百分之百没有问题。
网络安全工作的要点,有以下两个方面:第一,垒高安全门槛,避免“祸水”
进门。网络安全工作的本质就是攻防,当自身安全门槛增高之后, 攻击难度的提高往往会让黑客知难而退。第二,做好安全管理, 力求问责无忧。网络安全事件发生之前,要重视安全监测和加固; 安全威胁来临,要有安全防护;安全事件发生之后,安全应急则很重要。
基于和许多高校的深入交流,我认为 , 网络安全有五条管理策略值得高校重视:
第一,提高安全意识。校内师生以及各部门网络安全意识的提高是一项非常基础的工作 , 这项工作面对的是成千上万的校园人群,他们使用网络非常活跃,但防范意识相对薄弱。
第二,规范管理制度。如果没有一套有效的管理制度,高校的网络安全工作往往会疲于应付,忙于“救火”,陷入被动甚至混乱。
第三,培养技术队伍。对高校网络安全工作来说,虽然外包可以解决部分问题,但不能解决全部问题。因此高校自己培养出一支有行动力的网络安全队伍是必需的。当然,把人招进来或者培养起来了,能不能留得住,是高校需要重点考虑的问题。
第四,完善安全设施。这里的安全设施,不是指单独的安全产品或安全设备,而是一整套有计划有步骤地实施建设的网络安全设施。学校不能被厂商牵着鼻子走,不能厂商推荐什么就买什么。否则,不仅大量经费被浪费,还耽误了工作,解决不了问题。
第五,选购安全服务。在制度上,以前学校在信息化采购方面只能购买产品,不能购买服务。这两年有很大的变化,开始鼓励购买服务。而在意识上,改变更大,大家基本都能接受引入专业服务的理念。对于学校来说,选购专业水平的网络安全服务,也就是借助专业、可信、优秀的网络安全公司,来帮助学校做好安全服务,无疑是明智的选择。