系统化实战化推进网络安全治理

蒋广学 北京大学网络安全和信息化委员会办公室主任

　　网络安全工作是硬件技术、机制体制、观念意识三个维度的系统工程。

　　第一点，网络安全事业是基础保障。网络安全事业是学校的基础保障条件，要坚持以习近平总书记关于网络强国重要思想为指导，加强党对网络安全的全面领导。无论是学校的发展建设还是安全稳定，没有好的网络安全基础是不可能做到持续发展。习近平网络强国思想具有认识超前性和实践针对性，我们必须好好理解，尤其是学校中高层领导干部能加深理解的话，对于做好高校网络安全工作有巨大的帮助和支持。

　　第二点，网络安全工作是个系统工程。它是硬件技术、机制体制、观念意识三个维度的集合叠加，三位一体，绝对不是哪一面就能解决问题的，三者绝对不可以偏废。网络安全工作具有整体性、动态性、开放性、相对性、共通性，我们要从软硬件投入、体制机制完善、观念意识培养三个方面，统筹谋划一体推进网络安全工作。

　　第三点，作为基础保障和系统工程的网络安全工作需要全面推进，尤其要在日常工作中夯实打牢。很多具体事情要从第一个方面和第二个方面去全面持续地推进和落实。

　　网络安全工作是个系统工程。它不可能一蹴而就，一定要分步骤、有重点、有先后地推进。先解决急难险重的问题，之后在建立四梁八柱的过程中，不断地丰富和完善整个观念、制度和技术体系。对于当前重大的安全威胁和数据危机，重要的是加大技术投入和资源投入。

姜开达 上海交通大学信息化推进办公室、网络信息中心副主任

　　安全是发展的前提，发展是安全的保障。数字化程度越高，安全风险越大，越需要网络安全保驾护航。高校安全的整体规划、安全运营和实战对抗需要得到足够重视。

　　一方面，要重视战略与实战的双轮驱动。高校修建的网络安全马奇诺防线要通过“背靠背”“实打实”的高强度网络安全攻防演习来检验，要在实战中培养和锻炼高校的网络安全团队，提高抵御有组织网络攻击的能力，在真刀真枪的对抗中提升能力、守住阵地，维护高校网络安全稳定大局。

　　要以演习为契机，以演促改、以演促建，举一反三，系统排查网络安全风险隐患，同时也要注意功夫要下在平时，要建立“常态化、体系化、实战化”的安全保障机制，做到防微杜渐，防范于未然。

　　另一方面，要重视技术与意识的统筹升级。孤立使用的一个个安全产品缺乏互通有无，基于传统内置规则特征库的IDS/IPS/防火墙/Web应用防火墙/终端安全软件，目前看效果相对以前有所下降。资产发现普查、安全大数据分析、安全态势感知、安全威胁情报、安全开发流程、多因素身份验证、持续安全运营、高水平实战对抗等都成为可选项，持续的安全投入和创新必不可少。

　　新时期网络安全建设也需要面向广大师生开展形式多样的网络安全宣传教育，共同提升安全意识和素养，网络安全为人民，网络安全靠人民，共筑网络安全防线。

　　数据安全防护是重中之重

何海涛 中山大学网络与信息中心主任

　　当前高校数据安全治理工作主要存在数据安全管理制度体系极不完善，数据底数不清、数据安全技术能力缺失，数据安全意识薄弱等问题。

　　针对高校当前的数据安全现状，有两方面的工作最为急迫：

　　第一，在管理层面，要尽快制定数据分类分级制度，梳理出学校重要的数据目录，明确个人隐私和敏感数据范围；

　　第二，在技术层面，按“核心数据安全优先、非核心数据效率优先”的原则升级优化数据交换共享平台，建设数据使用认证和权限管理平台，完善数据访问控制，以保障数据最小权限使用、安全交换和共享，并尽量降低对现有业务系统改造的成本。

杨红波 北京外国语大学信息技术中心主任

　　数据安全对高校而言具有重要的意义，关系到学校的正常运营，甚至是公信力和声誉。高校数据资产主要包括学生和教职员工的个人信息、教育记录、研究成果等，学校应确保数据的隐私和完整性，防止未经授权的访问、篡改或泄漏。

　　在推进数据安全保障的过程中，高校面临一系列挑战：校领导和管理层需要具备网络安全和信息化素养，理解网络安全的重要性，并积极支持网络安全措施；确保技术防护的完备性十分关键，部分高校缺乏足够的网络安全技术投入，文科院校因预算较为有限也因此面临更大的挑战；资源分散、重复投入和难以维护的问题，需要更加具有统筹性和高效率的管理策略；师生网络安全意识和素养需要持续提升，以降低社会工程学攻击和人为失误导致的风险。

　　总之，网络安全在高校的数字化转型中扮演着关键的角色，其价值在于保护学校的数据资产和声誉，促进数字化校园的可持续发展。同时也要求我们不仅给予技术层面的保障，还需要领导层的支持、师生的合作以及整体的网络安全文化的建立。

陈旭 北京城市学院网络中心副主任

　　当前，高校网络安全需更加重视数据防护，注意以下四个工作要点：

　　首先，要实现纵深防御。经过十余年的网络安全建设，高校普遍完成了校园网边界防御体系，但是原有内外网安全防护模式已经不能满足目前网络安全防护要求。因此，需要实现纵深防御，包括：校园网边界防护，服务器群或数据中心的边界防护，数据库与应用系统的边界防护，主机防护，态势感知，统一日志等。同时，要注意业务流和运维流分离，网络管理、安全管理、专网、用户网分离，普通用户账号及系统管理账号的管理流程分离。

　　其次，采用零信任访问控制技术。当前,高校主流外网访问校内资源的解决方案是采用VPN设备。但是在纵深防御思路下，简单的VPN访问控制难以实现更精细访问控制。另外，运营商推出的5G校园专网也对校内资源的访问控制提出挑战。零信任访问控制技术可以在一定程度上应对这些困难。

　　从访问控制需求角度，高校应当做到避免没有经过安全设备审计的数据访问过程，对于能获取用户信息的数据访问过程，应当采用用户信息作为访问控制的条件；对于基于Web Service服务的应用系统，如单点登录系统，应当采用证书方式进行服务端和客户端的验证。

　　再次，要加强总体把握的管理能力。为此，信息化职能部门要做好“三件事”：设备层面，信息化职能部门要注意从多个设备监测中发现异常情况，而不是简单依靠单一设备告警；岗位工作方面，要加强网络、应用系统、运行平台、安全管理等岗位之间的交流，形成安全防护合力，避免各岗位单打独斗；部门沟通层面，加强与其他部门的网络安全沟通，努力构建校园网大安全的工作体系，为建设平安校园服务。

　　最后，加强设备联动。高校信息化职能部门要注意分析不同类型网络安全设备的功能，通过相互调用控制功能，实现集控管理、快速响应。

　　优化安全托管运营服务机制

陈文智 浙江大学信息技术中心主任

　　安全托管运营服务（MSS）对高校来说是一个新的尝试，带来一种新的解决方案，在新技术和新服务应用上，也可以让高校的网络安全团队与业界实现同步。

　　随着数字化改革浪潮的到来，高校也在进行数字化建设和改革，诸如物联网、大数据、云技术等新技术、新设备的运用，给高校的网络安全、数据安全建设带来挑战。这些挑战涉及多个方面，如硬件设备、软件系统和管理方法等。对于这些挑战，以前的做法是头痛医头，脚痛医脚，即找问题所在系统或信息资产的负责人。现在，则更多从整体上去解决，提出一个整体的安全保障策略，这就需要有一个综合能力比较强的服务队伍、服务方式，从上到下系统地解决问题。

　　高校要做好网络安全工作，首先要做好规定动作，比如要做好“等保”、“重保”期的网络防护，以及做好平时的网络安全管理等。同时，高校要与生态合作伙伴保持密切联系，确保生态合作伙伴也要做好网络完全工作，这是一个重要的前提。

杨红波 北京外国语大学信息技术中心主任

　　网络安全专业化的管理很必要。要以向用户提供满意服务为导向，应不拘一格，该自研就自研，该托管就托管，该购买服务就购买服务，让专业的人做专业的事不失为一种好的治理方式。要建立国际一流的大学，必须更加开放，不应把全部安全工作仅限制在校内，还需要与外部合作伙伴进行合作。

　　早在2008年，北京外国语大学就陆续将部分网站、信息系统业务托管到云平台，尽管当时公有云服务可能不够成熟，但效果非常好。2014年，学校将电子邮件业务向外托管，也取得了不错的成效。疫情期间，学校将教学辅助平台(镜像)托管到云服务提供商，以确保校外学生的访问质量。目前，我们意识到管理和保护数据更加需要专业的支撑，数据托管中心在未来非常必要，希望能在得到上级部门的支持下，根据校情合法合规的前提下，推进数据托管落地。

　　期待政府和相关管理部门能够在数据托管方面，特别是教育部和地方教务等部门，可以起到牵线搭桥的作用，促进校企合作和产学研合作，从而推动地区级数据托管中心的发展。同时也希望托管服务机制能够更加专业和安全，避免出现因企业内部人员因素导致的数据破坏、泄露等问题。

　　重视供应链安全

蒋广学 北京大学网络安全和信息化委员会办公室主任

　　网络安全的很多问题是由供应链导致的。大多数高校的技术开发人员非常少，开发能力相当有限，高校很大程度上依赖于社会的供应商或者是商业供应链。北大属于拥有较强技术开发能力的高校，也依然需要社会供应商提供辅助和补充。要规范供应链管理，关键是形成完备的制度体系，明确责任分工，形成具体有效的奖惩手段和管理机制，确定风险管理、合同管理、技术标准、人才培养等方面的管理措施，从制度机制上来保障供应商提供的产品和服务质量，应对和缓解供应链危机。在供应链安全问题上，积极探索一些能落地的机制和办法。

姜开达 上海交通大学信息化推进办公室、网络信息中心副主任

　　关于如何保障教育系统软件供应链安全，有以下三条建议：

　　一是教育行业主管部门要进一步加强监管，提升大家对网络安全的重视。比如及时预警安全信息，开展相关通报，安全演习和检查也不能缺席，要定期开展监管、整改等工作。

　　二是教育软件厂商要持续提升安全意识，将安全当作企业的生命线。软件厂商要充分保证安全投入、规范安全开发流程、组建自身安全团队、建立奖励机制，鼓励组织或个人发现安全漏洞。

　　三是各地各校要常态化安全，避免运动式安全。高校要明确对软件供应商的安全管理和技术要求，加强对供应商安全责任要求。软件上线前做好第三方安全测试与重要系统应用渗透测试，保障常态化安全运维的足够投入，早期治未病避免被动救火。

　　追踪应用新技术

姜开达 上海交通大学信息化推进办公室、网络信息中心副主任

　　近几年，可扩展威胁检测与响应（XDR）技术受到行业和高校普遍关注。XDR不仅要解决全面汇集和接入终端、网络、服务器、安全设备等不同层面获取安全数据，同时更为重要的是自动化并辅助人工关联分析相关数据，最终实现攻击检测、调查取证与响应流程的优化，加快处置速度。XDR可以充分利用高校现有网络安全软硬件，从全局视角来发现安全威胁和安全事件，如果以SaaS模式给高校提供服务，可以通过集中化的云端安全专家团队来支持大量高校业务，缓解高校安全团队人力不足的压力。

　　AI的快速发展，对网络安全既是机遇又是挑战，其背后是人类基于知识性、规则性、规律性的海量知识结晶，无论是防守方还是攻击方，都会因为AI而变得反应更快，能力更强。AI被广泛应用于安全态势感知、威胁情报分析、网络攻防对抗等领域，可以帮助实现极早期监测预警和快速应急响应。但与此同时，在各种利益驱动下，攻击者也在学习和拥抱AI，利用其产生更智能、更隐蔽的攻击方法和路径。网络安全的本质在对抗，是动态的而不是静态的，我们要快速学习和拥抱AI，用好这个新式武器，与时俱进，才能在和攻击者的对抗中赢得胜利。

郑先伟 中国教育和科研计算机网CERNET 应急响应组

　　网络安全态势感知系统能够更为精准地感知安全态势，识别攻击行为，降低人工处置成本。目前虽然还未完全实现全自动化，但它已经开始与其他技术联动，进行一体化建设。通过大数据分析结合有效的威胁情报，可以为高校提供更全面的网络安全感知和防控能力。然而，推动这些系统建设的过程并不容易，设备的兼容性不佳、存储和分析能力不足、日志共享度不够等问题仍然存在。想要解决这些问题，就需打通设备之间的数据壁垒，也期待有关部门积极推动出台相关标准，以促进更好的协同发展。

　　ChatGPT作为一种人工智能技术是未来发展的趋势，技术自身没有对错，最终取决于使用者用它来干什么。假设攻击者用它来编写自动化攻击脚本程序，那么它给网络安全带来的就是威胁，而如果它被集成到安全防护系统中自动识别攻击并阻断，那么它就是安全帮手。同时，我们也需注意到ChatGPT技术在网络安全防御中的局限性。ChatGPT的优势在于其对自然语义的理解和深度学习能力，因此它在学习处置已知攻击时能有不错的表现，但对未知类型攻击的识别能力则有待考证。

　　完善网络安全队伍建设

黄宁玉 北京大学医学部网络安全与信息化技术中心副主任

　　网络安全与信息化人才队伍建设面临较大困难：难招人，与IT技术公司相比，待遇不占优势；难留人，在高校的行政职务方面，信息化岗位人员的发展机会、上升通道很少，在技术职称方面也不占优势。

　　关于人才队伍建设，国家也出台了很多指导性意见。《工业和信息化部关于加强和改进工业和信息化人才队伍建设的实施意见》提出，要深化人才发展体制机制改革，创新人才评价机制，改进人才使用机制，健全人才激励机制，优化人才流动机制。《国家信息化发展战略纲要》也提出要建立适应网信特点的人事制度、薪酬制度，打破人才流动的体制界限。

杨红波 北京外国语大学信息技术中心主任

　　目前网络安全形势严峻，要求人才具有高度的专业性和技术水平。然而，高校现有的工作者将更多地选择从事管理职务，而非技术工作，这一代网络安全技术人员将不得不面临老龄化。然而，网络安全的人才应该是对前沿技术极为敏感的“怪才”“奇才”，可遇不可求。再加上编制受限，高校招聘专业网络安全人才难上加难。

　　解决人才问题需要政策上的倾斜和支持。学校可以考虑投放职位和编制，以事业编制的形式引入网络安全人员，确保他们充分发挥作用。相关政府部门也可以制定更具吸引力的政策，以鼓励年轻人进入网络安全领域。人才综合改革才能解决网络安全队伍老化和技术水平下滑的问题，确保学校的数字化转型能够顺利进行。

　　来源：《中国教育网络》2023年8月刊

　　编撰：陈荣