[摘 要] 在教育行业数字化转型大背景下,高校信息化建设和网络安全保障工作都面临新要求、新场景、新挑战、新机遇。结合行业特点和工作实际,为满足数字化转型需求并保障高校网络安全和数据安全,分析并提出高校网络安全工作的重点、难点及应对策略,从建立网络安全管理制度、实行信息资产备案制度、构建网络安全纵深防御体系及威胁监测与处置体系、组建网络安全应急响应团队、加强网络安全教育等方面阐述高校网络安全保障工作的实践举措。
[关键词] 高等学校;数字化转型;网络安全保障;数据安全;个人信息保护
引言
教育行业的信息化建设经历了网络化、数字化、智慧化等阶段,数字化转型日益成为当前的核心任务和主要的发展趋势,更是国家教育改革发展的整体战略部署和新时代高等学校发展目标的使命召唤。为满足数字化转型需求并保障高校网络安全和数据安全,本文拟在分析高校网络安全工作重点和难点的基础上,有针对性地提出应对策略,并结合教育行业网络安全工作的特点和实际情况,阐述高校网络安全保障工作的实践举措。
1 教育行业数字化转型
数字化转型发端自企业信息化领域,2020年5月,国家发展改革委发布《数字化转型伙伴行动倡议》,聚焦企业核心业务和能力的信息技术支撑,支持利用大数据、云计算、人工智能、区块链、虚拟/增强现实等创新技术助力打造数字化企业。
随着数字经济的蓬勃发展,社会各领域对教育行业的人才培养、科学研究等核心职能提出了新要求,教育行业迫切需要进行数字化转型,为社会各领域的人才和科技需求提供支撑。《教育部2022年工作要点》提出,实施教育数字化战略行动,强化需求牵引,深化融合、创新赋能、应用驱动,加快推进教育数字化转型和智能升级。2023年2月,教育部部长怀进鹏在世界数字教育大会上对教育数字化转型等一系列议题进行主旨演讲,强调国家教育数字化战略行动提出的“联结为先、内容为本、合作为要”的“3C”理念(Connection,Content,Cooperation)和“应用为王、服务至上、简洁高效、安全运行”的推进原则,通过释放数字技术的溢出效应来促进教育高质量发展,主要包括:利用数字技术促进优质资源高效聚集和传播分享,利用智能化技术推动线上线下融合及提高教育评价效能,通过数据采集分析工具提供个性化教育方案,综合利用各类创新的数字技术为教育教学进行数字赋能,利用人工智能、大数据等技术推动教育治理高效化和精准化并提高决策科学化水平。数字化转型已经成为高校信息化建设继数字校园建设、智慧校园建设之后的又一关键词。
2 高校信息化建设的新要求、新场景、新挑战、新机遇
高校数字化转型离不开高校信息化建设,也为高校信息化建设带来了机遇与挑战。从以网络环境建设和信息数字化为主的数字校园建设,到以信息技术与教学、科研、管理、服务等融合提升为主的智慧校园建设,再到以数字化支撑高质量教育体系建设的数字化转型,高校信息化建设需要不断变革。在教育行业数字化转型大背景下,高校信息化建设工作面临新要求、新场景、新挑战、新机遇。
2.1 新要求
1)教育数字化转型要求有高质量的数字化教育基础设施,需要对支撑学校教学、科研、管理、服务等职能的信息基础设施进行数字化和智能化的升级,特别是要提供泛在的有线/无线网络、5G专网、物联网等基础网络环境以实现互联互通。
2)教育数字化转型的重点在于教育教学模式的创新和提升,需要以人为本,以培养社会发展需要的高质量人才为目的,在信息技术的支持下,通过线上线下、校际协同、校企联动等教学组织模式,促进教育教学的个性化和协同化,推动教育评价等教育教学活动的开展。信息化建设要为人工智能、虚拟现实等新技术的高质量运行提供稳定可靠的数据中心基础环境和高性能计算平台。
3)数据是高校数字化转型的基础。高校要持续推进教育数据治理,统筹推进规范化的高校数据中台或数据存储、清洗、交换、共享中心建设,实现高校数据中心的高水平整合,并在此基础上进行数据分析与决策,为高校各项业务工作的开展提供高质量数据支撑。
4)教育数字化对师生的信息素养和数字技能都有较高要求,高校在信息化建设中:一方面,要关注师生对网络和信息基础设施的使用体验,信息服务应向移动化、App化发展;另一方面,要对人工智能、虚拟/增强现实、区块链等信息领域的新技术持拥抱态度,积极支持高校教育教学领域对新技术的应用,持续提升师生的信息素养和数字技能。
2.2 新场景
1)教育数字化使高校业务职能部门的教育教学、科学研究成为数字化转型的核心领域,是需要高校信息化建设着力关注和投入的核心场景。
2)教育数字化对高校数据的采集、传输、存储、使用、共享、挖掘及分析等环节都提出较高要求,是高校能否高质量完成数字化转型的基础,数据全生命周期的每个环节都是数字化转型的重要场景。
3)教育数字化对高校网络和信息基础设施提出较高要求,统筹建设多网融合的网络基础设施、数据中台或数据中心、高性能计算平台等成为数字化转型的基本需求,也是数字化转型的重要场景。
4)教育数字化对师生信息素养和数字技能的高要求,让原本以服务为主的高校信息化建设,增加了与师生交互及协助师生提高信息素养和数字技能的新场景。
2.3 新挑战
1)教育行业数字化转型的概念、内涵和方法论还在不断完善和丰富中,高校领导层、信息化建设及相关业务职能部门需要从学校整体视角审视人才培养工作,对数字化转型工作的必要性、艰巨性建立统一认知,整体构建和推进数字化转型战略。
2)数字化转型是涉及整体的全局工程,需要从关键业务入手,分阶段推进,但缺少成熟可借鉴的推进方式,因此,如何找到转型的破局点、阶段目标及有效的实施路径等,还需要业内领先高校和行业专家的更多努力和探索。
3)在数字化转型过程中,高校信息化部门需要有效地支撑学校教育教学、科学研究等核心职能的信息技术应用。如何建设和保有一支高效能高水平的信息技术应用、实施和服务团队,是高校在数字化转型中要面对的一项挑战。
4)在数字化转型过程中,高校信息化工作的统筹管理、信息化部门与其他业务部门之间的协作关系和沟通方式也是转型进程面临的挑战,高校的组织架构和评价体系都需要有针对性地进行调整。
2.4 新机遇
1)数字化转型是高校信息化建设与高校育人职能结合得更加紧密的机遇,是将高校信息化软硬件基础设施切实支撑高校教育教学、科学研究的机遇。
2)数字化转型让高校信息化部门有机会参与、协调和支撑高校核心业务的有效开展,是强化信息技术在高校日常运行中核心作用的机遇。
3)数字化转型为高校统筹建设校级信息化基础平台和数据中心,集中推进数据治理、挖掘和分析,以及统一运维高性能计算平台等提供了机遇。
4)数字化转型为数字化变革打下坚实基础,为实现优化组织架构和业务流程的目标带来新希望和新机遇。
3 高校网络安全保障工作的重点、难点及应对措施
高校网络安全保障工作是为保障校园网络基础设施、信息系统、网站、数据等信息资产的机密性、完整性、可用性,而开展的相关管理和技术工作。在当前日益严峻的网络安全形势下,面向教育数字化转型的高校网络和信息基础设施、数据中台或数据中心、各类新技术应用等,需要更高质量、更贴近实际威胁防御的网络安全保障体系。本文结合网络安全威胁现状和教育数字化转型背景下相关信息资产的特征,分析高校网络安全保障工作的重点、难点和应对措施。
3.1 保障重点
1)数据是高校数字化转型的基础,也是网络安全保障的重点内容。数据泄露和贩卖是当前主流的网络安全威胁,师生个人信息和高校业务数据都需要给予重点关注和保障,高校需要制定相应的管理制度和部署专业的技术措施进行安全保障。
2)服务是高校数字化转型达到既定目标的重要手段,保障各项服务安全稳定运行是网络安全保障的重要内容。分布式拒绝服务攻击(Distributed Denial of Service,DDoS)、高级持续性攻击(Advanced Persistent Threat,APT)、“网课爆破”等都是常见的攻击行为,高校需要参照国家和行业相关标准,将制度与技术相结合,对信息服务进行安全保障。
3)新技术为高校数字化转型提供解决方案,但同时也带来新的安全风险,比如人工智能、API、移动App、云平台等,都需要在相应场景中有针对性地制定制度和部署措施来对其进行安全保障。
4)供应链安全问题对高校网络安全的负面影响日益突出。由于SolarWinds、Apache Log4j、GitLab、Laravel等一系列开源中间件和基础开发软件造成的供应链安全事件频发,高校必须审视自身行业软件、开源应用等存在的安全漏洞问题,并在高校数字化转型中,将供应链安全列为重点保障工作内容。
3.2 保障难点
1)高校网络安全制度建设有待进一步加强,特别是网络安全责任制体系与机制建设。实现信息化建设与网络安全同步规划、同步建设、同步应用,需要学校整体的网络安全和信息化建设制度提供支撑。
2)高校信息资产的类别繁多、数量庞大,涉及服务器、个人主机、网络设备、安全设备、自助服务设备、网络打印机、网络摄像头及物联网传感器等,因此,对各类设备的网络安全保障措施应各有侧重,需要有针对性地制定安全策略和防护措施。
3)高校网络环境复杂,包括有线(光)网络、数据中心网络、Wi-Fi无线网络、5G专网、物联网及互联网等。由于各类网络边界模糊,为保障服务可靠运行并实现有效管控,需要有针对性地部署相应的安全设备和策略,充分满足新技术应用对网络带宽和设备性能等的需求。
4)网络攻击手段不断更新和变化,网络安全技术更新换代很快,高校网络安全保障人员需要不断学习和进步,及时采用新技术体系应对新型安全威胁。
5)教育行业供应链安全问题日益严重,教育行业信息化解决方案提供商缺乏有效的安全开发管理和应急响应能力。高校应准确掌握信息资产及中间件等供应链信息,从而及时有效地获取其漏洞信息并完成整改加固。
6)高校网络安全保障的资金和人员投入不足,不仅缺少高水平的网络安全保障人员队伍,也缺少对购买第三方专业网络安全服务的资金支持。在数字化转型过程中,高校需要拥有足够的设备、服务和人员来保障信息化基础设施及各类新技术应用的安全运行。
7)高校人员结构复杂,安全防范意识亟待提高,难以应对钓鱼、勒索、诈骗等网络安全威胁。高校需要通过宣传、培训、演练等方式持续提升师生的网络安全意识,特别是提高师生对数据安全和个人信息保护的认知水平和防护能力。
3.3 应对措施
根据高校网络安全保障工作的重点和难点,本文提出以下应对措施。
1)网络安全管理制度与技术防护并举。建立完整的网络安全责任制体系和管理制度,并根据最新网络安全政策要求和威胁特征及时进行制度修订;构建管理制度和技术防护相结合的网络安全保障体系,根据新威胁和新技术及时部署软硬件设备和安全策略。
2)开展信息资产管理与网络安全评估。建立覆盖全部类别信息资产的管理机制,及时丰富信息资产的属性,制定各类网络边界的安全策略,加强供应链信息获取和安全管控;建立常态化的网络安全评估机制,加强信息系统上线检测和管控,及时发现网络安全漏洞和风险,并采取相应的措施进行修复和加固。
3)建立网络安全应急响应与审计机制。建立科学有效的网络安全应急响应机制,及时发现系统漏洞、处置安全事件,力争做到对高危漏洞及时清零;建立网络安全审计机制,对安全设备配置、安全策略部署等均需要进行流程审批和事后审计,便于后续对网络安全事件进行全面跟踪和分析。
4)关注数据安全和师生个人信息保护。通过相应的制度和策略实现数据全生命周期管理,做好数据发布、传输、共享等环节的安全防护,与有关第三方机构签订数据安全承诺书或责任书;持续加强师生网络安全意识教育和培训,引导师生养成健康的上网习惯,掌握常用的网络安全知识和技巧,能够辨识常见的网络安全风险,并有效防范钓鱼攻击、信息泄露等风险。
5)加强安全技术交流与保障队伍建设。加强校际交流及与政府部门、行业协会、安全企业、ICT(Information Communication Technology)厂商等方面的深度合作和技术共享,持续提高网络安全保障能力;加大网络安全资金和人员的投入,力争在第三方网络安全服务的基础上,建设和保有一支精干、专业、肯学习、会沟通、有兴趣、能投入的网络安全保障队伍。
4 高校网络安全保障工作实践
本文以东北大学为例,阐述高校网络安全保障工作的实践举措。学校依托现有网络和信息技术人员队伍,在学校信息化建设与网络安全工作领导小组的领导下,在第三方网络安全服务公司的支持下,多措并举,不断改进和完善网络安全保障体系,为学校的数字化转型保驾护航。
4.1 建立网络安全管理制度
学校建立《网络安全管理办法(试行)》《落实网络安全责任制考核评价实施办法(试行)》《信息化项目建设管理办法(试行)》《网站群管理规范》《数据管理办法》《师生个人信息保护管理办法》《校务信息数据共享审批管理规定》《信息化与网络安全人员管理规定》等网络安全管理制度,并自2020年以来每年面向校内二级部门开展落实网络安全责任制的考核评价。
4.2 实行信息资产备案制度
学校需要纳入备案管理的信息资产包括信息系统、网站、网络打印机、公共区域LED显示屏等。信息系统上线前必须通过网络安全评估,在满足学校信息化项目管理要求并完成信息系统备案的基础上,须通过学校安全威胁检测工具扫描,确定无高危漏洞才可上线试运行。在学校主要网络边界部署基于域名、IPv4/IPv6地址和网络端口的白名单策略,限制校外访问校内未经备案的信息资产。网络拓扑示意图如图1所示。
图1 网络拓扑示意图
Fig.1 Schematic Diagram of Network Topology
4.3 构建网络安全纵深防御体系及威胁监测与处置体系
学校利用网络类、安全类设备持续监测网络安全威胁与安全事件,建立统一的日志中心,通过日志中心的多种数据检查策略及时发现网络中的异常事件,下发封禁策略至集中封禁系统后,通过安全设备阻断攻击源。同时,利用集中告警平台(微信、短信、邮件等)通知网络安全应急响应团队,根据事件严重程度决定下一步处理方法。网络安全纵深防御体系如图2所示,基于日志集中的IPv4/IPv6双栈校园网络安全威胁监测与处置体系如图3所示。
图2 网络安全纵深防御体系
Fig.2 Cybersecurity Defense-in-depth System
图3 基于日志集中的IPv4/IPv6双栈校园网络安全威胁监测与处置体系
Fig.3 Campus Network Security Threat Monitoring and Disposal System Based on Logs Unified IPv4/IPv6 Dual-stack
4.4 组建网络安全应急响应团队
学校由网络、开发、安全、服务等技术人员组成应急响应团队,持续跟踪CVE、CNVD、GitHub、教育漏洞报告平台等发布的漏洞信息,及时发现和修复校内信息资产存在的安全隐患。同时,加强与兄弟高校对网络安全威胁情报和技术措施的分享与交流,持续通过各类网络安全认证培训、线上线下比赛等提高网络安全专业技能。
4.5 持续加强对师生及网络安全与信息化建设人员的网络安全教育
学校通过开展网络安全知识讲座、网络安全意识培训、办公应用专项培训、网络安全知识竞赛、网络安全技能挑战赛、网络安全攻防演练、钓鱼邮件风险示警等活动,持续提高师生的安全意识和数字技能,减少由于人员安全意识淡薄而产生的对学校网络安全保障的负面影响。同时,鼓励网络安全与信息化建设人员参加各类技术培训和专业认证,组建和保有一支由网络运维、系统运维、系统建设、安全管理、服务支持等相关人员组成并拥有ECSP、CISSP、CISP、“Security+”等网络安全专业认证的网络安全保障和事件应急响应团队。
5 结束语
随着新的信息技术的不断应用,高校网络安全保障工作的目标和内容也会不断调整。网络安全保障是高校数字化转型的必要条件,高校信息化部门需要持续跟进网络安全技术发展,提升高校网络安全保障能力,为学校转型升级和事业发展保驾护航。