在9月27日举行的武汉高校信息化建设与网络安全研讨会上,各高校的信息化负责人以及研究学者围绕高校网络安全话题展开了深入的讨论,畅谈当下高校网络安全的解决之道。
议题1:校园信息化发展的建议
武汉大学国家网络安全学院教授吴黎兵:
网络安全事关国家安全,应当引起师生们的高度重视。高校一方面要确保核心数据不丢失、不被篡改、不被窃取,另一方面要防范勒索病毒、挖矿木马等的攻击和威胁。需要构建校园网络安全态势感知平台,筑牢网络安全防线。
建议高校多途径、全方位提高数据安全防护能力。定期组织内部攻防演练,查找漏洞和安全威胁,防止攻击者利用系统漏洞获取权限,攻入校内信息系统。对关键数据采用密文存储的方式将数据加密保存在服务器中,授权使用者直接在密文数据上进行查询、计算等操作,解决数据的放心存、安全用问题。
使用堡垒机进行运维管理,过滤掉对目标设备的非法访问,对内部人员误操作和越权行为进行审计监控,以便事后责任追踪;及时清理陈旧系统,防止被拖库,造成数据泄露。
进一步推动安可工程,用自主可控、安全可靠的关键软硬件产品替代国外信息技术产品,防止后门和硬件木马。
湖北工业大学计算机学院院长叶志伟:
目前各高校都在推进智慧校园建设,在为师生带来服务便利的同时,也带来了一定的数据安全风险。因此,高校需要加强数据安全建设。健全学校数据安全和隐私的保护机制,在智慧校园建设的同时考虑制定学校自身的数据安全管理办法。要全校一盘棋,各个部门协同针对不同的用户,建立数据分级分类管理办法、数据开放共享标准等规章制度,形成学校统一、完整的数据安全和隐私保护链条。
多数地方高校智慧校园建设正处于从有到优的提升阶段,需要投入更多资源提升基于新技术的数据安全防护能力。随着云计算、大数据、人工智能、5G等新技术的应用,给传统的数据安全带来了挑战,应采取数据加密、数据脱敏、数据备份和细粒度访问控制等措施,加强数据安全和隐私保护能力。
发挥高校人才培养和武汉作为国家网络安全人才和创新基地区位优势,办好网络空间安全、信息安全、密码学等相关专业,做好网络安全人才培养工作,联合入驻国家网络安全人才和创新基地的头部企业,开展校企联合培养一大批高素质的网络安全人才,服务网络强国战略。
武汉交通职业学院电子与信息工程学院院长胡迎九:
高校数据安全隐患主要体现在:网络安全意识薄弱、网络系统存在漏洞;数据资产规模大,二级部门多,数据使用方式多,接触数据的用户、系统数量庞大,难以确保身份合法性并且杜绝数据越权使用;业务系统数据标准不统一,普遍存在数据缺失、数据冗余、多源异构及边界模糊等历史遗留问题,阻碍数据安全治理高效落地;高校信息化部门缺乏数据安全的专业人才,数据安全保护不力,容易造成个人信息泄露。
高校需要加强数据安全建设,让数据使用合法合规,严格依照相应的法律法规制度,这些法律法规不仅仅是一个约束的条件,它实际上也是我们进行数据安全信息安全保障的一个思路;加强宣传教育与培训,培养数据安全思维与运用能力,针对教师、学生、管理者等重点群体,强化数据安全专题培训;还要建立健全完善的网络数据安全管理制度,筑牢数据安全防护墙。采取安全技术措施,确立合理的操作规程,可采用“权限分层+技术控制”的双重方式建立数据操作流程。
议题2:网络安全维护实践应用
武汉科技大学网络信息中心副主任涂伟:
省属高校的信息化工作,一方面要支持职能部门工作,另一方面要从技术角度帮忙分析实际成本和可能收益,通过需求分析、先行测试、分批投入等多种途径,减少浪费。信息化工作更要重视制度设计。
高校许多信息化项目是有替代的社会化解决方案的,比如网上问卷或投票、线上教学或考试、校车定位、食堂消费、网盘邮箱等,许多方案免费或成本极低,省属高校可与这些细分领域的优势厂商合作,签订稳定的合作协议。在新一轮智慧校园建设中,准确定位,发挥优势,降低成本,练好内功,以“持久战”的心态和必胜的信心,精耕细作,重视积累,行稳致远。
在网络安全方面,学校的人才比资金更重要,要有自己的核心队伍;由于便利性和安全性很多时候是矛盾的,需长期培养师生安全意识;要用制度和合规性要求来倒逼网络安全工作,明确各方责任,通过检测和巡查,发现、通报和整改形成闭环以持续改进。
武汉理工大学网络信息中心副主任黄仕勇:
对于高校的网络安全问题的认识,一是要不断提高站位,它不仅仅是防范电信诈骗等这类问题,有些还事关国家安全;二是要充分认识到工作的复杂性,既有技术问题,也有管理问题,技术和信息的不对称都增加了工作的难度。
要健全保障体系,网络安全的职能部门和技术支撑部门要密切协同,要按照大安全工作格局组织协调好学校内部各项事项;要坚持开放的思路,与上级部门,地方网信、网安部门,行业组织,专业的社会化力量保持密切联系,及时获取相关的信息,科学研判,主动应对;职能部门和技术支撑部门要联系单位实际,分清轻重缓急,采取点、线、面相结合的工作方式,减存量,控增量,保持定力,久久为功;要通过多种途径开展全员培训,增强网络安全意识,提高网络安全技术素养,不断提升高校的网络安全工作水平。
武汉学院信息中心主任肖磊:
现在,各个学校的信息化建设都有了明显提升,一卡通充值、财务报销、科研资料查阅等繁琐程序,都用信息化的手段来解决了,创造了一个好的教学环境,让师生能够更好地投入到教学和学习之中。
学院推出“信息服务网格化管理”,信息中心的信息网格员深入学院贴近服务对象,主动了解服务需求,及时协调服务资源,收集老师们的问题与建议,并及时反馈各项工作的进展,从而提供更高水平的信息服务。
同时,引入网络安全相关培训内容,配合学校攻防演练让师生更深刻地体验到身边的安全问题,还通过举办学校层面的安全竞赛,挖掘对网络安全感兴趣的同学,进而组建网络安全生力军。通过网络方式提高学生信息化素养,锻炼学生技术能力。