蔣東興： 網(wǎng)絡(luò)信息安全工作需要跨界

工作組的成立就是要為全國高校乃至整個教育戰(zhàn)線提供應(yīng)對網(wǎng)絡(luò)安全的方法、方案、手段，化被動為主動，讓大家能夠應(yīng)對當(dāng)前復(fù)雜的安全形勢，解決安全問題，這也是工作組要落實的事情。

當(dāng)前我國網(wǎng)絡(luò)信息安全處于一個特殊時期，特殊時期有三個特征，第一個特征形勢異常嚴(yán)峻、刻不容緩；第二是領(lǐng)導(dǎo)機構(gòu)高度重視，習(xí)近平擔(dān)任國家網(wǎng)信領(lǐng)導(dǎo)小組的組長，而教育部從去年7月發(fā)布教育行業(yè)網(wǎng)絡(luò)信息安全指導(dǎo)意見之后，連續(xù)發(fā)布五六個文件，加強網(wǎng)絡(luò)信息安全工作；第三，應(yīng)對網(wǎng)絡(luò)信息安全有效的方法和招數(shù)不多。因此，在這種特殊時期，學(xué)會成立網(wǎng)絡(luò)信息安全工作組，是恰逢其時。工作組的成立，就是要為全國高校乃至整個教育戰(zhàn)線提供應(yīng)對網(wǎng)絡(luò)信息安全的方法、方案、手段，化被動為主動，讓大家能夠應(yīng)對當(dāng)前復(fù)雜的安全形勢，解決安全問題。

工作組首先需要發(fā)揮交流和協(xié)作的作用，在交流協(xié)作的基礎(chǔ)上，通過調(diào)查研究，發(fā)現(xiàn)一些典型案例，找出解決方案，然后推廣分享，把這些先進經(jīng)驗在全國高校傳播，并發(fā)揮作用。

其次，不僅要把工作組基本的任務(wù)做好，更重要是要建立一個全國高校的協(xié)同安全機制，比如成立一個全國高校網(wǎng)絡(luò)信息安全聯(lián)盟，聯(lián)盟不僅包括會員高校，還可以包括對網(wǎng)絡(luò)信息安全感興趣或者有技術(shù)能力和支持能力的企業(yè)，還要包括教育行政部門等等，但是大家是否認(rèn)可我們這個組織發(fā)起的聯(lián)盟，工作組是否能夠承擔(dān)聯(lián)盟領(lǐng)頭的責(zé)任，這是需要我們思考和努力的問題。

再次，對網(wǎng)絡(luò)信息安全工作組，我認(rèn)為可以跨界，并且應(yīng)該跨界。因為，在這個業(yè)務(wù)范疇中有四個圈子，第一個圈子是教育信息化分會的會員單位，在座的主要是這個圈子中的，為這個圈子服務(wù)是核心問題；第二個是全國高校，能不能提高整個高校網(wǎng)絡(luò)信息安全水平，我認(rèn)為這是非常重要的，也是高校信息化分會的專項工作組必須要做到的；第三個是我們能不能支持、引領(lǐng)整個教育戰(zhàn)線的網(wǎng)絡(luò)信息安全工作？如何與整個教育戰(zhàn)線的網(wǎng)絡(luò)信息安全負(fù)責(zé)同志進行深入的溝通，去支持引領(lǐng)整個教育戰(zhàn)線的網(wǎng)絡(luò)信息安全工作；第四，中國的教育人口有兩個億，如果我們把整個教育人口的教育信息化安全工作考慮進來，我們能不能在各行各業(yè)的網(wǎng)絡(luò)信息安全發(fā)展中有所作用。

所以我想從這幾個方面，學(xué)會對網(wǎng)絡(luò)信息安全工作組給予了超出其他組織更大的期望，有待于我們的成員與在座的各位一起努力。信息化是眾人拾柴火焰高，只有大家的參與才能把這件事情干好。

（本文根據(jù)中國高等教育學(xué)會教育信息化分會“網(wǎng)絡(luò)信息安全專項工作組”成立大會報告整理）

安宏：應(yīng)建立網(wǎng)絡(luò)安全預(yù)警

大家知道安全處于一個動態(tài)、變化的狀態(tài)，永遠(yuǎn)存在著道高一尺，魔高一丈的局面，所以我們要不斷地加強整個網(wǎng)絡(luò)的安全監(jiān)測和應(yīng)急準(zhǔn)備，及時發(fā)現(xiàn)問題，及時解決。高校網(wǎng)絡(luò)安全的建設(shè)思路應(yīng)該以等保工作為抓手建立安全保障體系，建立監(jiān)測預(yù)警與應(yīng)急響應(yīng)體系。在等保方面，應(yīng)以落實信息安全等級保護為抓手，建立完善的安全保障體系。對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置等。

在監(jiān)測預(yù)警方面，信息安全小組成立之后，可以為高校提供監(jiān)測、預(yù)警等專業(yè)服務(wù)；學(xué)?？梢再徶帽O(jiān)測預(yù)警平臺工具，或采購第三方提供服務(wù)或采用行業(yè)的監(jiān)測平臺；還要多關(guān)注新技術(shù)的發(fā)展與應(yīng)用，建立安全動態(tài)防御體系；部分有條件的高校可嘗試采用新技術(shù)，如態(tài)勢感知技術(shù)建立校園安全監(jiān)控體系，通過這些技術(shù)提高預(yù)警能力。還要加強高校輿情監(jiān)控；建立“一人一賬號”實名登記上網(wǎng)制度和可追溯制度，加強網(wǎng)絡(luò)信息內(nèi)容監(jiān)管，建立網(wǎng)絡(luò)數(shù)據(jù)分析平臺，對用戶的上網(wǎng)行為、校園行為進行分析和預(yù)警。

因為安全事件總在不斷發(fā)生，我們建議不論學(xué)校的信息安全做得如何，網(wǎng)絡(luò)信息安全的預(yù)警機制一定要建立，還要加強應(yīng)急響應(yīng)能力建設(shè)；建立安全事件通報機制，制定完善的網(wǎng)絡(luò)安全應(yīng)急預(yù)案，建立用戶單位、主管單位、行業(yè)機構(gòu)、安全服務(wù)商、產(chǎn)品供應(yīng)商等多種角色多方協(xié)作的應(yīng)急生態(tài)鏈，及時發(fā)現(xiàn)，及時有效解決。

（教育部教育管理信息中心網(wǎng)絡(luò)運行處安宏處長）

楊海軍：網(wǎng)絡(luò)空間主權(quán)如何界定

網(wǎng)絡(luò)空間的概念上世紀(jì)60年代就有人提出，但是其內(nèi)涵和外延不斷地在改進。我認(rèn)為網(wǎng)絡(luò)空間應(yīng)該是通過互聯(lián)網(wǎng)可以直接或者間接訪問的所有的信息系統(tǒng)，以及信息系統(tǒng)相關(guān)的基礎(chǔ)設(shè)施、數(shù)據(jù)、應(yīng)用和用戶的總和。

如今，網(wǎng)絡(luò)空間已成為大國博弈的主戰(zhàn)場之一，在博弈當(dāng)中有兩個非常重要的特點，就是互聯(lián)網(wǎng)的開放性和管理的地域性?；ヂ?lián)網(wǎng)的開放性決定了我們必須在全球開展合作機制，才能真正地解決網(wǎng)絡(luò)空間的問題，但事實上在實際操作中必須要解決兩個根本性的問題，一是我們網(wǎng)絡(luò)空間的邊界在哪里，因為管理是有地域的，但是太空的邊界在哪里？有專家認(rèn)為，網(wǎng)絡(luò)空間的邊界是與一個國家在信息化的能力成正比的，我認(rèn)為這是很有道理的。二是網(wǎng)絡(luò)空間如何體現(xiàn)每個國家的主權(quán)？我認(rèn)為,在今天這個大數(shù)據(jù)時代，網(wǎng)絡(luò)空間主權(quán)更多應(yīng)該體現(xiàn)在我們對數(shù)據(jù)主權(quán)的認(rèn)識，數(shù)據(jù)所存在的位置、數(shù)據(jù)流動性和可控性，可能決定了我們對網(wǎng)絡(luò)空間主權(quán)的定位。

（上海市委網(wǎng)信辦楊海軍副總工程師）

汪為農(nóng)：高校網(wǎng)站是安全短板

令人擔(dān)憂的是，高校網(wǎng)站上往往存有大量的敏感數(shù)據(jù)和個人信息，因此也一直是黑客竊取資料和篡改數(shù)據(jù)的重要目標(biāo)。另外，高校網(wǎng)站在搜索引擎中的權(quán)重也比較高 ，因此也是釣魚網(wǎng)站通過植入黑鏈進行SEO的重點攻擊目標(biāo)。所以說，高校網(wǎng)站在安全性方面的嚴(yán)重欠缺，直接威脅著公共安全的多個方面。1.網(wǎng)站建設(shè)和管理不統(tǒng)一。很多高校的網(wǎng)站建設(shè)不是由學(xué)校統(tǒng)一進行，而是各個學(xué)院分別開發(fā)建設(shè)，導(dǎo)致學(xué)校網(wǎng)站安全整體上管理困難。2.網(wǎng)站日常維護缺失。高校網(wǎng)站的日常維護尤其是漏洞修復(fù)等安全維護與商業(yè)網(wǎng)站比相對較差，一些已公布已久的安全漏洞常常過了很久也得不到修復(fù)。3.對網(wǎng)站安全不重視。由于高校網(wǎng)站的公益屬性 ，即使被入侵和篡改也不會立刻看到明顯的損失，所以網(wǎng)站安全往往得不到重視。4.網(wǎng)站信息保護意識差，弱口令、信息泄露隨處可見。5.軟件系統(tǒng)漏洞,軟件或系統(tǒng)漏洞沒有及時打補丁或更新。6.服務(wù)器漏洞,服務(wù)器服務(wù)商不夠正規(guī)，不能夠從服務(wù)器端做好安全服務(wù)。

以上是從網(wǎng)上公開的高校網(wǎng)絡(luò)安全問題的一小部分，每個案例都不是個案，相當(dāng)一部分學(xué)校都有類似的問題；在網(wǎng)上監(jiān)測到的高校網(wǎng)絡(luò)安全問題都不是新出現(xiàn)的安全問題，而是幾年前在烏云和國家互聯(lián)網(wǎng)應(yīng)急中心都曾通報過的老問題，只是一些高校有關(guān)部門沒有關(guān)心和沒有引起足夠重視；各高校在校園信息化建設(shè)中采購了各種成熟的信息管理應(yīng)用系統(tǒng)，這些應(yīng)用系統(tǒng)一旦出現(xiàn)安全問題將影響一大批學(xué)校，且不少開發(fā)商不會主動、及時地幫助各高校升級更新系統(tǒng)，致使安全威脅長期存在或一再被黑客利用，各校應(yīng)有清醒認(rèn)識。

（上海交通大學(xué)汪為農(nóng)教授）