協作共享 網絡安全新常態

文/本刊記者 楊燕婷

網絡安全和信息化歷來是一體兩翼，網絡安全也是伴隨信息化發展的永恒話題。經過十幾年的快速發展，高校網絡安全工作已從最初的網站整合、漏洞處置和應急響應，逐步向學校整體的安全治理體系階段邁進。

網絡安全重心轉型

在EDUCAUSE發布的2019年度十大IT議題中，信息安全戰略（Information Security Strategy）首當其沖。在這十大議題中，從信息安全戰略、隱私、數據集成、數據賦能的院校和數據管理和治理五個議題可以看出，當前高等院校都在采集、整合和應用著與師生、學校業務以及IT系統有關的大量數據，面臨著安全和隱私方面的威脅和合規要求等問題。而數據作為學校的核心資產，正成為網絡攻擊的主要目標。

每個學校校情不同，所處階段不同，但對于網絡安全工作都有著相同的困擾和短板。由眾多學校反映的網絡信息安全問題可以看出，除了安全管理、意識不到位，安全技術儲備不足，安全人才缺乏等問題，下階段高校應以“數據安全管控”和“治理體系建設”為主要方向，全面提升網絡安全綜合能力。

上海交通大學網絡信息中心副主任姜開達認為，當下網絡空間安全的重心有了明顯變化，從網站內容安全到學校核心數據安全，從苦于被動防御到多面出擊掌握主動安全態勢，從混沌到有序，應建立全生命周期管理的信息資產庫，安全貫穿始終。當然，絕對安全并不存在，如何制定基于風險的安全戰略，通過一定規模的投入，有效發現、防范和應對網絡安全威脅和挑戰，繼續成為高校教育信息化健康發展所面臨的年度首要問題。

網絡安全不能獨善其身

在實際網絡安全工作中，各校通過長期的實踐與摸索，形成了各自的經驗與方法論。浙江大學以安全大數據和人工智能角度出發，建立了網絡安全態勢感知體系，即浙大校園安全運營中心，以保護信息資產為核心目標，通過安全事件的收集、業務流量分析、重大事件等，建立安全事件及時發現、響應、決策、處置等的全方位安全運營服務體系。

山東大學則借助建立網絡安全等保建設的東風，從頂層設計、安全制度、組織體系、技術措施四個層面對學校網絡安全工作進行了梳理與整改，以等保建設與重大活動安全防護為抓手，加強了學校網絡安全的管理工作，推動學校網絡安全大步前進。

除了高校各自的多種安全舉措，加強各校間的合作也成為今后網絡安全工作的趨勢，通過建立有序的良性機制，實現優勢互補。近年來，在眾多高校的努力下，教育部也搭建了漏洞分享平臺，及時發現、反饋漏洞信息，監督各校開展對漏洞的處理，有效提高了學校的網安水平。

另外，安全本質上是人與人的對抗，高校天然具有人才優質。一方面學校網絡安全學院，培訓了大批安全人才，調動發揮師生的積極性，讓他們參與學校網絡安全工作的建設；另一方面，在實踐過程中，也鍛煉了學生的技能與實踐能力，為學校網絡安全工作培養了生力軍。

網絡安全工作是個體系工程，網絡安全的核心是“守土有責”和“合作共贏”，所有高校網絡安全相關利益者都應承擔起相應的責任，在此基礎上互相加強合作，高校就會營造出一個相對安全的整體氛圍和環境。高校信息化部門要做好安全管理的技術保障，建立全生命周期的網絡安全管理，同時要普及提高全校各院系部門的安全意識。國家和行業主管部門要加強安全監管和提供基礎指導；教育軟件廠商承擔義務和相應責任；安全廠商提供符合學校要求的專業化安全服務，多方配合，促進我國高校網絡安全邁向新階段。