師生網絡安全素養教育指南

文/王宇

學校網絡（信息）安全保障工作，是為保障學校建設、運行、維護或管理的校園網絡基礎設施、信息系統、網站、數據等信息資產的機密性、完整性、可用性，而開展的相關管理和技術工作。學校教職工和學生群體是學校各項事業的參與成員和服務對象，因此師生的個人信息資產安全和網絡空間安全保障也是學校網絡安全工作的主要內容之一。同時，師生作為學校信息基礎設施和服務的主要使用者，其使用習慣和安全意識情況將在很大程度上影響著學校網絡安全防護的基礎水平。

筆者結合線上調研教育行業網絡安全宣傳教育經驗和自身工作認知，整理和歸納了師生網絡安全意識教育和培養的主要關注點和開展方式，并對師生網絡安全意識教育和培養的知識體系提出建議。對于學校網絡安全工作相關管理和技術人員、廠商駐場和開發人員、學生網絡安全技術隊伍等，應該在師生網絡安全意識教育基礎上，有針對性地擴充政策制度宣貫和技術知識學習。

重要性、緊迫性和長期性

重要性

網絡安全業界有著這樣的共識：在所有安全解決方案中，人員都是最脆弱的元素。近年來各領域開展的基于真實場景下的攻防演練，也印證了這一點，利用防守方人員網絡安全意識薄弱點（如弱密碼、釣魚郵件等）經常是攻擊方突破防守方防御體系的主要途徑。師生網絡安全意識的教育和培養是堵住“人”這個漏洞的重要方式，對提升學校網絡安全防護整體水平十分關鍵。

緊迫性

如今社會生活的方方面面已經離不開網絡空間和信息服務，現實世界的沖突和風險業已蔓延到網絡空間，學校各類業務正常運行和師生科研學習生活都必須在良好網絡安全保障的前提下開展，各類信息系統漏洞不斷出現的同時，基于社會工程學方法的釣魚、勒索、詐騙等威脅就在師生身邊，及時高效地提升師生網絡安全意識是應對威脅的有效手段。

長期性

與網絡空間長期共存已經是人類社會發展的基本趨勢，網絡和信息服務種類的推陳出新、網絡安全風險類別和防護手段的不斷增加、師生人員流動和安全意識水平差異等都決定了師生網絡安全意識教育和培養同學校物理安全、消防安全、人身安全等一樣，都需要長期化開展。

主要關注點和開展方式

師生網絡安全意識教育和培養通過各類教育和培養途徑提升師生對網絡安全的知悉范圍和認知水平，應重點關注教育和培養的組織、渠道、案例、材料、互動等方面。

組織

應結合學校實際情況，盡可能的擴展網絡安全意識教育和培養的組織方式，網信相關部門可聯合或支持宣傳、保衛、教師培養、學生管理、圖書館、院系等部門面向師生開展網絡安全意識教育和培養，也可以結合學校網絡安全責任落實和管理體系明確各級部門的師生網絡安全宣傳和教育培訓要求。

渠道

應盡可能發掘和擴展開展網絡安全意識教育和培養的渠道，可細分為線上的和線下的、發布的和互動的、集體的和分散的、原創的和轉發的、推送的和訂閱的、長期的和短期的、本校的和校外的，如宣傳領域的融媒體建設一樣，目的就是將網絡安全意識教育觸達每一位師生。

案例

應注意結合案例進行宣傳和教育，也可以針對典型案例專項開展教育活動，避免簡單的文字稿件推送和政策宣講，切實關注網絡安全意識教育和培養效果。尤其在事件處置和應急響應或者與師生實際互動過程中，應盡可能有效傳遞和強化人員網絡安全意識，強化實際問題場景下的安全意識提升。

素材

應關注網絡安全意識教育和培養相關素材質量和資源積累，可以是文字的和多媒體的，通識的和專題的。素材資源可以通過采購專業的安全意識教育服務獲取，也可以與網絡安全設備和服務提供商溝通獲取，還可以在尊重版權的基礎上從網絡獲取和加工，有條件的高校還可以組織學校師生收集、制作和開發相關的素材資源。

互動

有良好互動的網絡安全意識教育和培養才可能有令人信服的效果，因此網信相關部門應建立穩定的、多類型的師生互動方式（如各類交流群、公告板、論壇、服務郵件等），能夠及時掌握師生網絡安全相關述求和問題，以點帶面擴展師生網絡安全關注度。

師生網絡安全意識教育和培養開展的方式可以分為以下四類：

1.常態化宣傳教育

常態化開展網絡安全宣傳教育是學校網絡安全工作的主要內容之一，也是開展網絡安全意識教育和培養的基本手段，通過學校新聞網、網信相關網站、網絡安全專題網站、微信公眾號（訂閱號、企業號）、各類視頻號、群發電子郵件、群發短消息、派發紙質宣傳品等方式持續發布和推送網絡安全相關知識、動態、通報和預警；同時，利用好每年的全民國家安全教育日（National Security Education Day，每年4月15日）、國家網絡安全宣傳周（一般在每年9月的第三周）、新生入學季（每年8月、9月）、網絡安全重要保障時期等重要時間段以及新員工入職等時間節點，重點且有針對性地開展線下和線上的網絡安全意識教育和培訓。

筆者線上調研了121所高校，其中69所高校（占比57%）的網信相關部門網站上有網絡安全相關專欄或專題網站，19所高校（占比16%）有網絡安全專題網站；各高校在國家網絡安全宣傳周期間都舉辦了形式多樣的線下、線上的網絡安全宣傳活動（如宣傳展板、大屏展示、專題講座、主題班會、主題團課、倡議簽名、拍照打卡、問卷收集、現場體驗、基地參觀、知識答題、素材征集、法律咨詢、拍照簽名打卡、熱點問題辯論等）；山東大學、西安交通大學、北京師范大學、大連理工大學、中國地質大學（北京）、東南大學、南京理工大學、東北大學等高校的網絡安全專題網站做到常態化更新發布，如圖1所示；部分高校提供網絡安全意識培訓和網絡安全知識講座的常態化的線上學習課程或視頻點播。

圖1 山東大學、西安交通大學、北京師范大學、大連理工大學網絡安全專題網站

2.響應類專項教育

與事件處置和應急響應相結合的開展網絡安全宣傳教育和培養，有更強的針對性和更廣的觸達范圍，如漏洞預警通報、主機安全通報、漏洞排查通報、釣魚郵件實例通報等；此外，針對勒索病毒防護、挖礦病毒防護、釣魚郵件防護等組織專題的宣傳教育和信息推送，也具有強于常態化網絡安全意識宣講的效果。

漏洞預警通報。結合學校信息資產情況和師生常用設備、系統、服務等情況，通過及時獲取和研判國家、行業、地區等網信相關信息通報，整理漏洞危害情況和處置整改建議后形成預警通報，通過各類有效渠道在校內發送，并跟進和及時支持相關師生排查和解決問題。

主機安全通報。根據國家、行業、地區等網信相關信息通報，結合校內日志檢索和排查情況，確定問題主機相關聯系人員點對點發送安全通報，并跟進和及時支持相關問題排查和解決。

漏洞排查通報。根據國家、行業、地區等網信相關信息通報或學校主動漏洞掃描結果，發送漏洞問題和整改建議至相關部門網絡安全聯系人或系統管理員，跟進和督促漏洞排查和整改反饋。

釣魚郵件實例通報。定期對釣魚郵件實際案例進行標注問題關注點后，通過各類有效渠道對師生發送實例通報，實例化提醒關注和防范釣魚郵件攻擊。

3.演練類意識教育

與學校網絡安全應急響應預案演練或專項演練、各領域開展的應急演練等活動相結合開展網絡安全意識教育，一方面可以場景化的切實提升師生網絡安全意識認知，另一方面也是提高演練防護能力的有效途徑。一般在學校正式參加或組織基于真實場景下的攻防演練中，有針對性地開展網絡安全意識教育已經是主流的提升演練中抗釣魚、抗社工的必備措施。2021年，北京大學、廈門大學等高校學習歐美的針對組織內人員的社會工程學“攻擊”的經驗，主動在學校內開展大范圍的釣魚郵件演練，取得了良好的網絡安全意識教育效果。

4.競賽類能力培養

通過各類線下線上知識競賽、作品（宣傳素材）征集評比、CTF安全競賽和團隊選拔等方式，可以營造良好的網絡安全宣傳氛圍，選拔和鼓勵師生參與學校網絡安全工作，建立良好的網信相關部門與師生的交流互動渠道。

知識體系內容建議

網絡空間安全知識體系龐大，網絡信息應用種類繁多，師生人數數量眾多而信息技術水平不均衡，網絡安全意識教育和培養的知識體系應立足底線需求，結合學校信息化建設實際和網絡安全管理機制，針對性地制定本學校的知識體系內容。對于學校網絡安全工作相關管理和技術人員、廠商駐場和開發人員、學生網絡安全技術隊伍等，可以增加信息系統部署運行、信息系統上線檢測、信息系統建設要求、數據安全管理要求、人員安全管理要求、網絡安全應急管理、網絡安全責任追究、開發運維過程管控、系統勒索軟件防范等內容。

師生網絡安全意識教育和培養是一項長期且艱巨的工作，需要投入大量時間和精力，但其也是對學校網絡安全保障能力持續提升的有力支持。學校應該在教育行業主管部門的指導下，與網信主管部門、網絡安全軟硬件和服務廠商等形成有效溝通，與兄弟學校開展良好互助和經驗分享，持續提升學校師生網絡安全意識水平。

網絡安全意識教育和培養知識體系

開篇：網絡安全意識要點

1.網絡空間已不是法外之地，已有法可依。

2.網絡空間威脅將長期存在，需重視防護。

3.養成良好的網絡使用習慣，不輕言信任。

4.關注隱私遇到問題多求助，勤備份數據。

網絡安全管理制度

1.國家法律法規

2.教育行業政策

3.校級管理制度

網絡和信息服務使用常識

1.有線和無線網絡使用

2.電子郵件服務日常配置

3.學校信息服務和數字校園服務

4.信息技術使用幫助獲取

5.網絡安全校內協查協助

網絡安全與數據安全

1.校園網絡與業務專網安全

2.個人隱私和數據信息保護

3.傳播違法信息和攻擊信息系統的處罰

4.侵犯公民隱私信息刑事案件的處罰

5.個人密碼管理

6.病毒風險防范

7.上網安全管理

8.網上交易安全

9.電子郵件安全

10.辦公環境安全

11.主機安全

12.手機安全

13.無線網絡安全

14.敏感（涉密）信息安全

15.防范釣魚郵件

16.防范網絡詐騙

17.勒索軟件防范

18.勒索軟件排查和應急處置

19.挖礦木馬排查和應急處置

安全示例

1.黑客對師生郵箱進行精準釣魚攻擊

2.黑客竊取師生賬號通過VPN入侵校園內網

3.師生個人隱私信息在網絡上被泄露

4.木馬郵件造成主機感染挖礦軟件