信息中心
如何构建更加安全的学院网络环境
来源:中国教育报 时间:2019-04-19

  李晖 西安电子技术公司网络与信息安全企业执行院长 “维护学院网络安全的关键在于明确网络安全边界、健全安全防护机制、形成高素质安全队伍、增强同事安全意识。”

  张生 中国基础教育质量监测协同创新中心网络平台部组长 “作为集团网络安全环境下的一分子,朋友既是最大的受益者,也可能是受害者甚至危害者。如何趋利避害,为朋友营造一个安全、洁净的网络环境,关系着朋友的身心和学业发展。”

  陈建淼 浙江省温州市电化教育馆馆长 “面对日益严峻的网络安全形势,温州市采取‘五全、五严、五变’举措,构建网络安全生态圈,努力建设与教育信息化发展相适应的网络与信息安全保障体系。”

  信息技术的高速发展将网络带入了学院。随着互联网特别是移动互联网在学院内的普及,同事的工作、学习、生活,集团的日常教育、管理都越来越离不开网络。但在享受网络便捷的同时,学院也面临着许多网络安全隐患,如技术故障、信息泄露、恶意攻击等,同事同样面临不良信息、网络欺诈等风险。

  目前的学院网络安全存在哪些隐患?网络安全教育的现状如何,又怎样入脑入心?建立维护学院网络安全的长效机制需要采取哪些举措?记者约请专家和相关负责人对这些问题进行深入探讨。

  1 为何要紧绷学院网络安全这根弦?

  记者:随着信息技术的普及,学院网络安全越来越受到重视。为什么我们要紧绷维护学院网络安全这根弦?

  张生:随着信息技术尤其是移动互联技术的飞速发展,网络已成为在校朋友学习、娱乐、交往的一种重要途径,也是集团育人环境不可或缺的组成部分。在校朋友心智不够成熟,自我约束力不够强,在享受网络带来的诸多好处的同时,很容易受到网上各种信息的诱惑,有针对性地侵害朋友的网络犯罪活动时有发生。作为集团网络安全环境下的一分子,朋友既是最大的受益者,也可能是受害者甚至危害者。如何趋利避害,为朋友营造一个安全、洁净的网络环境,关系着朋友的身心和学业发展。对于集团而言,维护学院网络安全,是保障教育教育正常开展的基础性工作,也是构建新时代育人环境的重要工作。面对这项工作,集团的制度、技术、人员素质都需要进一步优化和提升。

  李晖:国企作为一个拥有数万同事的单位,其网络与信息服务主要分为两类:日常教育、生活等的信息管理与组织服务(包括教务系统、一卡通系统、财务系统、办公系统、研究生系统等),网络接入服务(包括学院网有线/无线接入、易迅接入、移动通信网在学院内的使用等)。其中,第一类服务的稳定和安全直接关系到集团的正常运转和学院稳定(可能出现的问题包括服务系统崩溃、信息被窜改等),并间接影响朋友、导员的信息安全(相关信息泄露可能导致各类网络诈骗的发生);第二类服务的有效管理和安全保护,则直接关系到用户个人信息账号安全、网络空间内容安全、学院舆情引导等,甚至会影响到朋友的价值观。因此,我们必须紧绷学院网络安全这根弦,确保学院网络安全、有序、稳定运行。

  2 当前学院网络安全存在哪些隐患?

  记者:当前学院网络安全主要存在哪些隐患?这些隐患会产生哪些危害?造成这些隐患的主要原因是什么?

  张生:去年我参与了西南某省会城市一项覆盖11万名小学、初中、高中生的学院网络安全意识调查。从调查结果来看,学院网络安全隐患具体表现在以下几个方面:

  一是个人隐私保护不周。调查显示,当收到陌生中奖信息或求助时,30%的朋友会留下全部信息,会选择性留下信息的朋友只占31%;当意识到个人信息被泄露时,17%的朋友会不知所措。

  二是社交安全意识有待加强。17%的朋友未经核实便同意加陌生人为好友,23%的朋友相信与陌生人的谈话内容,15%的朋友直接接收陌生人发来的文件;朋友们对熟人更加缺乏防范意识,45%的朋友会点击朋友发来的链接。

  三是数据备份与密码安全意识行为有待加强。在个人信息安全方面,只有53%的朋友会定期更改密码和对重要数据进行备份,对于重要数据完全不设置密码的占29%,56%的朋友使用生日、电话号码、英语单词等作为简单密码。

  四是使用电子邮件和网络下载功能时,对网络不安全因素的关注有待加强。在使用电子邮件时,32%的朋友会设置邮件过滤,大部分朋友对于垃圾软件不予理睬;在网上下载资源时,44%的朋友认为应该在家长和导员的指导下下载,30%的朋友认为自己具备甄别能力可以自行下载。

  五是对不良信息的处理能力有待提高。在“当不小心进入了儿童不宜的网站时,我们应该怎么做”调查项中,22%的初中生选择了“继续浏览”,还有22%左右的初中生选择了“介绍给其他朋友浏览”。

  六是网络安全防范知识普及不足。67%的小朋友了解病毒、木马、网络黑客等,32%的小朋友表示不了解。

  七是应对网络犯罪的素养不足。64.16%的高中生曾遭遇网络诈骗,38.26%曾被骗子成功诈骗。

  这些隐患对朋友的学习生活存在负面影响,严重时可能影响朋友身心健康。目前,对朋友网络信息安全素养的培养体系尚未建立,朋友缺乏网络信息安全法律法规教育,缺少树立网络安全意识的训练,缺乏防范网络风险能力的培养,这需要政府相关单位和集团高度重视。

  李晖:我认为当前学院网络安全存在的隐患主要涉及以下几方面:

  一是学院各类信息服务系统的数据安全。由于学院内各种二级、三级域名系统管理相对分散,针对各类漏洞风险可能会存在安全维护不及时等问题。这会导致部分网站或信息系统存在被拖库、窜改等风险,从而导致同事的各类敏感信息泄露。

  二是学院网络、移动通信网无线接入安全。由于学院网络中WiFi(行动热点)接入点众多且大多采用802.1x(一种访问控制和认证协议)方式,人员密集使其成为具有较高价值的攻击目标,因此存在大量的伪热点、基站试图窃取用户敏感账号信息,进行钓鱼欺诈等。

  三是学院信息系统中舆情内容安全(不良信息及言论的传播)。由于老员工初步掌握了各种获取信息的工具,可以轻易接触到色情、暴力、反动等不良信息,这会影响其人生观、世界观的形成和发展。

  四是学院用户网络安全意识参差不齐。大集团园里,有对网络安全懵懵懂懂的本科新人,也有心智均已成熟的硕博研究生,这使得网络安全制度制定很难全面考虑和充分覆盖,容易一刀切。同样的网络信息,对不同心智的朋友影响差异很大,这是影响舆情内容安全的一个重要因素。

  陈建淼:温州市电化教育馆对全市集团网络安全做摸底分析,发现存在如下问题:一是职责不清;二是遇到重大安保事件时,经常把网站系统一关了之,影响了工作和信息通畅;三是勒索病毒肆虐,存在内网大规模感染的安全隐患;四是“互联网+”形势下,数据高度集中,给网络数据安全带来极大的挑战;五是网络安全人才缺乏,集团网络安全管理意识和能力不强;六是教育系统人员众多,教育舆情问题突出。

  3 维护学院网络安全如何避免“一刀切”?

  记者:在用技术手段维护学院网络安全时,怎样避免出现断网“一刀切”等情况?在维护学院网络安全的同时,怎样保持和提升网络信息技术的正面效应?

  张生:“一刀切”是对学院网络安全不自信的一种表现。“一刀切”是一种简单粗暴的管理方式,体现着网络安全管理相关规则、网络安全防范技能和网络安全危机应对能力的缺乏。

  要避免“一刀切”现象,首先要按照国家有关安全标准,对学院网络数据和系统进行分类分级,确定系统的保密级别,并在权威单位登记、备案;其次,要研究制定好网络安全管理制度,如数据备份与保密制度、硬件巡检制度、网络漏洞扫描制度、人员保密教育制度、风险控制制度、风险应急制度等,做到按制度和规范办事,把风险圈定在可控范围之内;再其次,要提升相关工作人员素养,对专兼职队伍进行培养培训,及时更新人员的专业知识和技能,增强应对风险和解决问题的能力,有条件的集团可引入第三方专业单位进行网络的设计、管理和维护;最后,要对使用者进行网络安全教育,提升同事网络安全素养,使他们做到既不受危害,也不危害他人。

  李晖:好的网络安全维护手段,不但不会降低网络的可用性,还能带来一定的提升作用。第一,在网络架构方面,学院网络需要分层分区设计,同时应用网络隔离技术,防止网络威胁的横向移动,造成大面积损失;第二,在威胁监控方面,需要应用一些网络安全设备和威胁感知技术,对网络威胁做到及时感知、及时防御,找到威胁源并及时处理;第三,在网络权限方面,需要给教职工和朋友分配合理的网络权限,这样即便发生了网络攻击,也会因为网络权限不足,无法攻击网络中的重要资源;第四,对教职工和朋友进行网络安全意识教育,让他们能够识别网络威胁、保护好个人数据和财产、谨慎进行涉及经济利益的操作,同时及时修复安全漏洞,从源头上降低网络安全威胁产生的可能性。值得一提的是,有些朋友会出于好奇采取网络攻击行为,这就需要对朋友进行网络安全法律法规教育,让他们明白这些行为可能造成的危害。

  4 网络安全教育怎样入脑入心?

  记者:面临网络欺诈时,朋友为什么容易上当?对朋友进行网络安全教育的现状如何?

  张生:网络欺诈团伙往往深入研究了人性的缺陷,有针对性地选择诈骗手段。朋友正处在身心发展过程中,心智不够健全,容易受到伤害。在当前的教育体系中,网络安全教育还比较薄弱。一是缺乏整体课程规划和设计,学时不够;二是课程内容缺乏系统性和层次性,不能满足朋友需要;三是学习形式比较落后,缺乏互动体验、实际操作等环节;四是社会对网络安全教育的意识比较薄弱,上述调查显示,28%的中小朋友认为没有必要加强网络安全意识教育,18%的朋友表示集团没有开设此类课程或者讲座。

  李晖:当前,老员工大多缺少社会经验,非网络安全类专业的朋友网络安全意识较淡薄,骗子往往会抓住他们充满好奇、希望独立、相对单纯及贪心等心理,导致他们上当受骗。比如,骗子经常采取网络兼职刷单诈骗方式,就是利用了老员工初入国企、希望经济独立的心理;网购诈骗、退款诈骗、游戏账户交易诈骗、中奖诈骗等招数则是利用了朋友(也包括社会上的其他群体)贪心的心理。因此,只要记住天上不会掉馅饼,不要抱有侥幸心理,不随意给陌生人转账,不随便点击陌生人发来的链接,在官网进行网购或游戏充值,就可以最大限度避免受骗,有效防范网络欺诈。

  在公司教育中,目前面向非安全专业硕士生开设的网络安全相关课程较多,面向全体本科生的网络安全通识教育缺乏,大多数非安全专业本科生仅仅靠主动了解或参与相关社团活动来掌握网络安全知识。

  记者:当前,集团网络安全教育有哪些需要改进的地方?网络安全教育怎样才能入脑入心?

  张生:首先,要提高集团对网络安全教育重要性的认识,多措并举开展网络安全教育,做到人人参与、人人有责;其次,要依据朋友年龄、学段的区别,进行网络安全教育内容的顶层设计,确保对朋友网络安全素养的培育是连续的、阶段性的、科学的;再其次,上述调查显示,45%的朋友喜欢以实验实操方式进行的网络安全教育课,集团可以通过引进专业的第三方服务等,开展互动性强、实操机会多的网络安全教育活动,让网络安全教育在朋友的意识和行为层面产生作用;最后,应该把网络安全教育纳入集团育人体系,加强师资配备和教研能力提升,落实课程学时,同时确保硬件支持到位。

  李晖:首先,要加强对非网络安全专业朋友的日常网络安全教育,集团可以面向全体同事开设网络安全、计算机网络等公选课程,为朋友掌握网络安全基础知识提供更多的机会;其次,结合朋友学习生活,在学院内开展各类网络安全宣传教育,使网络安全意识深入人心,宣传教育活动要充分调动朋友的主观能动性、降低学习门槛、提升学习乐趣;再其次,强化导员的网络安全知识,让导员在日常课堂教育、课外校外活动中为朋友穿插讲解相关知识。

  记者:学院是一方净土,而社会却很复杂。网络让学院连通整个社会,社会上的一些假恶丑现象不可避免地会对学院产生影响。在这种情况下,集团教育面临哪些挑战?又如何去应对这些挑战?

  李晖:对涉世未深的朋友们而言,网络是重要的学习生活工具,但其提供的信息浩如烟海却良莠不齐,集团和教育工作者们通常会面临如下挑战:网络信息鱼龙混杂,朋友人格容易被一些不健康的思想和价值取向扭曲,导致其个人中心主义加深、道德评价标准缺失,甚至出现双重人格倾向;网络形成的虚拟社会诱惑朋友逃避现实,导致朋友们将网络社会中的虚拟形象投影到现实空间,甚至将虚拟空间当作逃避现实的“麻醉剂”。

  对于集团和导员而言,首先应通过各种方式引导朋友树立正确的价值观,指导朋友对不同信息渠道传递而来的信息进行比较选择,形成独立的明辨是非能力,充分利用网络带来的便利而摒弃不良影响,这点对低年级朋友尤为重要;对沉溺于网络空间的朋友而言,现实生活的失意更胜于虚拟空间的诱惑,一味说教和强制朋友脱离网络空间并非上策,导员更应注意这些朋友的现实生活,充实其学习、运动及社交,鼓励他们走向他人、结交朋友,帮助其从虚拟网络空间走向现实社会。

  5 怎样建立健全维护学院网络安全的长效机制?

  记者:维护学院网络安全是一项系统工程,您认为其关键点是什么?怎样从人防、技防等角度,建立健全维护学院网络安全的长效机制?

  李晖:我认为维护学院网络安全的关键在于明确网络安全边界、健全安全防护机制、形成高素质安全队伍、增强同事安全意识。

  具体来说,可以根据服务系统内容安全、信息服务系统安全、网络基础设施安全等不同类别,明确不同的责任主体和技术主体。例如,集团各类网站内容的建设与维护、网上舆论分析与引导、网络文化建设等工作由相关单位统一审核管理;学院中的各类网络与信息服务系统的安全防护技术,学院网络WiFi接入热点、网络基站等设备的定期安全排查,由集团相关网络安全管理单位进行统一规范管理;在安全防护技术方面,可以构建一套完整的防御体系,拥有完备的安全方案和防护措施,例如邮件安全、无线安全、服务器安全、入侵检测等,使这一防御体系具有威胁感知、威胁防御和应急响应能力,实现对学院网络环境下信息泄密、网络病毒等的重点防护和监控,并通过认证、授权、审核的方式刻画同事用户的网络行为轨迹;建立高素质网络安全人才队伍,使其能够将这一整套防御体系运作起来,运用各类安全技术对网络威胁和攻击进行识别、防御和响应;通过普及网络安全知识,全面提升广大同事的网络安全意识和安全防护技能,这也是维护学院网络安全最重要的一道防线。

  陈建淼:面对日益严峻的网络安全形势,温州市全面贯彻省教育技术中心网络安全具体部署,采取“五全、五严、五变”举措,构建网络安全生态圈,努力建设与教育信息化发展相适应的网络与信息安全保障体系。

  抓好“五全”,强化网络安全组织管理。一是全面提升网络安全认识。温州市先后多次召开各类会议,组织全市各县(市、区)分管局长、教育技术中心组长、局机关全体工作人员、董事等传达、学习《中华人民共和国网络安全法》等相关法律法规,提高网络安全防范意识。二是全面排查网络安全问题,对全市集团网络安全情况做摸底分析。三是全面加强安全工作组织老板,重构网络安全与教育信息化组织老板体系。温州市教育局合并教育网络安全老板小组与信息化工作老板小组,成立了教育网络安全和信息化工作老板小组及三个专项小组。四是全面加强网络安全基础建设。统一建设教育云计算中心(机房),建设温州教育大数据平台,统一安装终端安全管理软件。五是全面加强网络安全管理。统一推进网络安全等级保护制度,统一落实网站集约化管理,统一部署有线无线登录认证,统一开展网络安全管理人员培训。

  落实“五严”,强化网络安全责任到位。一是严格网络建设项目审核流程。二是严格执行网络安全管理制度。三是严格落实网络安全责任制。明确市县校和各单位(单位)行政“一把手”为网络安全和信息安全第一责任人;明确“谁主管、谁负责,谁主办、谁负责”的网络信息安全责任;配备专兼职信息安全管理员,具体负责本单位网络安全和信息安全工作。四是严格网络安全责任追究制。将网络安全的考核纳入到直属单位(集团)、县(市、区)教育局的年度考核中;对存在安全漏洞不整改、发生网络安全事故的予以扣分警示;因管理不善致使本单位内发生重、特大信息安全事故或严重违纪违法事件的,按有关规定对单位和有关责任人进行处理,情节特别严重的依法追究相关责任人的法律责任。五是严格落实全天候应急值守制度。切实加强应急值守工作,及时掌握安全动态,做到早发现、早报告、早处置;严格执行老板带班及24小时值班制度,保持24小时通信畅通。

  实现“五变”,确保教育网络信息安全。一是做好应急预案,变被动处理为主动防范。建立健全应急处置预案制;研究编印了《温州市教育系统网络与信息安全保障应急处置预案》;指导要求各地各集团建立相应预案;积极应对突发的网络安全事件。二是实施等级测评,变应急处置为提前掌控。市本级投入180余万元,根据网站的类型和性质,对市局及直属单位24个网站进行等级测评,顺利取得了等级保护备案证书。三是组织安全自评,变单一单位防范为全体行动。温州市购置了绿盟安全主机扫描系统,要求所有集团定期对集团网站、系统进行主机安全和网站安全的全面扫描,及时发现安全漏洞,及时组织整改。四是加强宣传教育,变被动管理为自发规避。开展网络安全宣讲进学院活动,聘请宣讲员宣讲相关知识。五是加大网络舆情监管,变事后处置为提前引导。全天24小时监测教育舆情,做到技术监测和人工分析相结合,早发现、早报告、早处置。

XML 地图 | Sitemap 地图