由勒索病毒淺析民辦高校網絡安全機制建設

張云濤

（三亞學院，海南三亞 572022）

2017年5月全球多個國家爆發“想哭”勒索病毒，并持續肆虐，令人驚訝的是高等學校也成為網絡病毒攻擊的重災區，僥幸未受攻擊的高校也一直惶恐不安。計算機病毒、各類網絡安全漏洞已成為阻礙高校信息化建設的一個棘手的問題。如何構建一個安全的校園網絡環境為學校健康、有序發展提供保障，是每一個高校決策者、網絡安全工作者需要直面和解決的問題。

1 影響高校網絡安全的因素

計算機病毒本身具有隱蔽性、潛伏性、傳染性、破壞性、變異性等特性，很難徹底根除，它不會因為防護系統的改善得到改變，只會隨著網絡技術的不斷創新不斷出現新的狀況。此次受到“想哭”病毒感染的66所高校，445端口封堵不嚴是次因之一，主要原因是網絡安全防護機制松散，Windows系統沒有及時升級存在的漏洞。

在所有影響高校網絡安全的因素中，重視不足、管理缺陷、人員短缺、技術能力低下是主要因素。部分高校的決策者對網絡安全重視不足，安全風險意識低，經費的重心放在了教育和科研方面，安全建設經費嚴重短缺；相較于BAT類的IT公司，高校對網絡技術人才不夠重視，待遇較低，晉升通道不暢，接受新技術培訓、進修的機會較少；高校安全崗位設置缺失，技術隊伍建設不穩定且技術人員嚴重不足。 據測算，美國高校服務學生的技術人員比值約為154：1，國內公辦高校比值約為485：1，而國內民辦高校，此項比值估計是國內高校平均值的2～3倍，差距顯而易見。

2 民辦高校網絡安全機制建設

校園網絡安全是一項技術性非常強的工作，相較于公辦高校，民辦高校在經費保障，人才儲備、基礎建設、培養機制等方面差距明顯、滯后嚴重，要想彎道超車，必須在校園網絡安全建設理念、機制方面進行創新。

2.1 健全頂層架構，實行年度報告制

縱觀我國高校網絡安全建設成效，許多經驗和事實證明了，一所高校的網絡安全建設水平與高校決策者的重視程度有著必然聯系，且與決策者的專業背景、網絡安全認知程度和視野有著重要關聯。民辦高校應發揮自身機制靈活的優勢，主動繞開現行體制障礙，積極組建“信息化建設委員會、校園技術委員會、網絡安全領導小組”等領導和管理機構，建立健全頂層組織架構，并吸納和聘任更多具有學科專業背景的一線主管、專家學者，實行統籌規劃、科學決策。同時，民辦高校應把校園網絡安全建設納入到學校的總體發展規劃和重要工作任務之中，針對網絡安全進行各種深度分析，形成各類型調查分析報告、校一級專項報告，進而指導學校網絡安全體系建設。

2.2 發揮體制靈活優勢，領先設立CIO

隨著網絡技術革新日新月異，教育思潮百家爭鳴，新的技術環境勢必催生新的組織管理，CIO（首席信息官）應運而生。這種在西方大學廣泛引入、成效明顯的管理機制已由無數的實例證明，將CIO引入高校是當前高校管理的有益創新。華中師范大學楊宗凱校長認為，當前高校的信息化發展面臨著一個重要的整合問題，如果能有一個類似 CIO的角色出現，那么信息化的發展就會進入一個很好的發展時期。

然而在公辦高校中推行CIO，勢必需要打破既有利益格局，實現利益重組和再造，這是“一件動別人奶酪的事”，而民辦學校可以發揮自身體制、機制靈活的優勢，領先設立CIO。CIO不僅是一個職位,而且是一種管理機制，具化到校園網絡安全建設上，可從更高的層次制定安全建設規劃，保障網絡安全建設資金足額投入，并負責網絡安全建設的各項事務的決策、管理工作，合理有序地調動全校的優質資源進行資源再分配，增強網絡安全和防范能力。

2.3 發揮高校人才優勢，找準突破口

高校的網絡安全環境要有保障，必須建立具有相當專業知識素養和技術水準的專業人才隊伍和培訓機制。而民辦高校普遍存在人員不足、技術低下、培訓偏少等問題，要突破此難題，必須充分發揮高校的人才特定優勢。具體可從以下方面發力：（1）民辦高校應在保障現有網絡安全技術隊伍（含專職的網絡安全設計崗、安全運維崗）的基礎上，整合校內專業教師隊伍資源、調動積極性，主動協助進行校園網絡安全建設；組織和引導對網絡安全感興趣的學生，成立網絡安全社團組織，參與和協助處理非涉密信息安全工作；創設和支持各類網絡安全科研項目，鼓勵校園網絡安全團隊創新創業，產學研相結合，實現合作共贏。（2）民辦高校注重教學和科研人才引進和培養，這事關學校的發展，同時也應尊重網絡安全人才隊伍建設，因為這保障著學校發展。我們應采取有別于公辦高校、更加靈活的用人體系，對有豐富實踐經驗和高造詣理論素養的技術人才破格錄用和選拔，薪資待遇突破現行職稱、學歷的藩籬，直接與網絡安全績效掛鉤。（3）民辦高校應建立健全網絡安全制度，明確崗位職責，積極開展業務培訓，尤其是提供更多專業進修、外出參會、參培的機會，切實提升技術能力和水平；應加強校企合作，尤其是與第三方網絡安全公司合作，聯合創辦訂單式人才班。一方面，培養實踐性網絡安全人才，讓學生更好走向社會，另一方面，培育“雙能型”教師，提升學校人才培養的能力。

2.4 借助后發優勢，實現跨越發展

美國社會學家M.列維認為，作為現代化進程中的后來者，可以利用五方面優勢超越先行者。民辦高校應充分利用后發優勢，創新網絡安全管理機制，推廣前沿技術手段，不重復公辦和國外院校已走過的過渡階段而實現跨越發展。有兩點思考：（1）公辦高校經過幾十年的網絡安全建設，仍存在缺人、缺技術、缺運維的窘境。民辦高校為彌補自身不足，可靈活采取可量化、可管控、可追責的服務外包策略。對于學校數據中心、關鍵業務系統等核心應用和信息自主管控，同時借助知名網絡安全廠商技術服務優勢，將日常運行安全、服務器運維安全、網絡攻防等采用服務外包，實現共建共維、風險共擔、合作共贏。（2）民辦高校應規避公辦院校早期各部門網站建設相互獨立、各自運維的弊端，避免因各自服務器配置不當、編寫語言不一、程序BUG、數據庫漏洞等造成的網站安全隱患，直接采取最新的“網站群”建設模式。此模式重在建立網站群標準，規定各部門新、舊網站必須符合群標，并統一納入網站群集中授權和管理，不允許自行開設對外的WEB服務、嵌套業務程序、開放交互功能，可有效節約了人財物成本，降低了網絡安全風險，消除了網站信息泄露的隱患。

目前，教育部正在推動實施教育系統安全威脅通報體系，借助教育機構、高校、企業等多方力量，保障教育行業安全運行。未來，我們也應不斷加強校際、校企、國際之間的交流與協作，共建網絡安全威脅通報和應對聯動平臺，共同維護網絡安全。

[1]陳琳.中國高校教育信息化發展戰略與路徑選擇[J].教育研究,2012（4）：50-55.

[2]丁衛澤.美國高校CIO職業化的探究與啟示[J].現代教育技術,2016（2）：20-25.

[3]賴彥斌.試論我國高校網絡信息員隊伍的建設[J].中國教育信息化,2015（1）：29-31.