文/本刊記者 高明

在所有網(wǎng)絡(luò)安全解決方案中，人員都是最脆弱的元素。作為高校網(wǎng)絡(luò)安全工作的主要服務(wù)對(duì)象和參與人員，廣大師生員工的網(wǎng)絡(luò)安全素養(yǎng)水平極大影響著高校網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)水平。

近年來，高校網(wǎng)絡(luò)安全事件頻發(fā)，反映出高校師生員工缺乏網(wǎng)絡(luò)安全素養(yǎng)的問題。面對(duì)網(wǎng)絡(luò)安全中這最脆弱的一環(huán)，高校應(yīng)如何堵住“人”的漏洞？

周昌令北京大學(xué)計(jì)算中心網(wǎng)絡(luò)安全室主任

張四海南開大學(xué)黨委網(wǎng)信辦主任

江魁深圳大學(xué)信息中心副主任

話題一 網(wǎng)絡(luò)安全素養(yǎng)教育的重要性

江魁：安全首要的問題就是人的問題

以前網(wǎng)絡(luò)安全建設(shè)更多地投入在設(shè)備、系統(tǒng)和數(shù)據(jù)的安全層面，但現(xiàn)在大家逐漸形成這樣一個(gè)共識(shí)：人是網(wǎng)絡(luò)安全中最重要的因素。安全首要的問題就是人的問題，安全策略、技術(shù)手段、管理制度再完備、人不去執(zhí)行也是形同虛設(shè)。

目前，高校出現(xiàn)的絕大部分安全問題并不是技術(shù)含量高的安全漏洞導(dǎo)致的，仍然是一些常見的安全漏洞引起的，主要原因就在于網(wǎng)絡(luò)安全素養(yǎng)教育沒有落實(shí)。

周昌令：廣大師生對(duì)網(wǎng)絡(luò)安全認(rèn)知不足

網(wǎng)絡(luò)安全雖然充滿技術(shù)對(duì)抗，但很多突破點(diǎn)往往來自非技術(shù)方面，利用了人的安全意識(shí)弱點(diǎn)。系統(tǒng)不打補(bǔ)丁、使用弱口令、共享賬號(hào)等行為，猶如敞開大門，再好的技術(shù)防護(hù)也不起作用。

無論是從學(xué)校治理角度還是從個(gè)人角度來看，師生網(wǎng)絡(luò)安全素養(yǎng)不足都很有可能造成不同程度的損失。目前，廣大師生對(duì)于網(wǎng)絡(luò)安全的認(rèn)知遠(yuǎn)未達(dá)到理想狀態(tài)，還未形成強(qiáng)烈的網(wǎng)絡(luò)安全意識(shí)，因而網(wǎng)絡(luò)安全素養(yǎng)教育必須要引起重視。

張四海：網(wǎng)絡(luò)安全素養(yǎng)不足將帶來諸多風(fēng)險(xiǎn)

高校師生員工缺乏網(wǎng)絡(luò)安全素養(yǎng)將帶來兩大方面的風(fēng)險(xiǎn)。一方面是高校師生個(gè)體作為自然人，因?yàn)榫W(wǎng)絡(luò)安全素養(yǎng)不足而遭受的網(wǎng)絡(luò)侵害，如遭遇釣魚郵件、惡意鏈接導(dǎo)致的個(gè)人信息、財(cái)務(wù)信息泄露，因弱口令導(dǎo)致個(gè)人賬號(hào)被盜，進(jìn)而引發(fā)電信詐騙、勒索等問題。

另一方面是因高校師生身份所帶來的安全風(fēng)險(xiǎn)和輿情風(fēng)險(xiǎn)：首先是學(xué)校的決策層，如果網(wǎng)絡(luò)安全意識(shí)不強(qiáng)、重視不夠，對(duì)網(wǎng)絡(luò)安全工作的內(nèi)在規(guī)律理解不到位，就會(huì)影響學(xué)校網(wǎng)絡(luò)安全的頂層設(shè)計(jì)、資源投入、保障措施和績效評(píng)價(jià)，這會(huì)制約高校網(wǎng)絡(luò)安全總體水平提升。

其次是高校各類管理信息系統(tǒng)和網(wǎng)絡(luò)新媒體的管理員，他們掌握著管理員權(quán)限，如果缺乏一定的網(wǎng)絡(luò)安全素養(yǎng)，其所管理的陣地一旦遭遇網(wǎng)絡(luò)攻擊就極易演變成輿情事件，潛在影響難以估量；同時(shí)，信息系統(tǒng)中存儲(chǔ)著大量的師生信息數(shù)據(jù)，一旦泄露將對(duì)多數(shù)人造成廣泛影響，管理員群體的網(wǎng)絡(luò)安全素養(yǎng)不足，就會(huì)成為安全風(fēng)險(xiǎn)的放大器。

最后是學(xué)生群體，其存在社會(huì)經(jīng)驗(yàn)少、抗壓能力低、易受煽動(dòng)裹挾的問題，遇到網(wǎng)絡(luò)詐騙或者網(wǎng)絡(luò)暴力，可能會(huì)產(chǎn)生極端后果。

李先毅大連理工大學(xué)網(wǎng)信中心網(wǎng)絡(luò)安全部部長

張凱復(fù)旦大學(xué)信息辦副主任

高校的實(shí)踐與探索話題二

周昌令：積極開展網(wǎng)絡(luò)安全攻防演練

北京大學(xué)主要從三大方面著手進(jìn)行。一是開展網(wǎng)絡(luò)安全教育培訓(xùn)。學(xué)校在部分院系單位陸續(xù)開展了多場網(wǎng)絡(luò)安全知識(shí)和安全意識(shí)的講座，同時(shí)還有體系化的網(wǎng)絡(luò)安全專題培訓(xùn)。此外，還開展了面向全校師生的網(wǎng)絡(luò)安全知識(shí)答題活動(dòng)，加強(qiáng)了師生對(duì)網(wǎng)絡(luò)安全知識(shí)和安全意識(shí)的理解。

二是開展一些網(wǎng)絡(luò)安全科普和宣傳活動(dòng)。通過開設(shè)面向師生的“網(wǎng)絡(luò)安全大講堂”系列講座，邀請(qǐng)領(lǐng)域內(nèi)專家學(xué)者從技術(shù)發(fā)展、學(xué)術(shù)研究、產(chǎn)業(yè)前沿以及法律、傳播等多學(xué)科交叉角度來宣傳網(wǎng)絡(luò)安全相關(guān)的內(nèi)容；通過微信公眾號(hào)、網(wǎng)絡(luò)門戶以及線下舉行“走進(jìn)網(wǎng)絡(luò)、貼近安全”的網(wǎng)絡(luò)安全意識(shí)科普活動(dòng)，結(jié)合展板和宣傳海報(bào)等多種方式，向師生分享網(wǎng)絡(luò)安全相關(guān)的知識(shí)。

三是開展網(wǎng)絡(luò)安全攻防演練活動(dòng)。網(wǎng)絡(luò)安全攻防演練不僅包含了對(duì)實(shí)際業(yè)務(wù)系統(tǒng)的真實(shí)場景對(duì)抗，去年北京大學(xué)還率先在高校中開展了“釣魚郵件”演練。通過高仿真、沉浸式真實(shí)場景，讓廣大師生切實(shí)體會(huì)“釣魚郵件”的迷惑性和隱蔽性，從而提高警惕性。

張凱：豐富內(nèi)容和形式，讓宣傳教育更鮮活

復(fù)旦大學(xué)采取了多種形式的舉措。首先，采用了多樣化的宣傳教育形式。通過組織豐富的宣貫內(nèi)容，以網(wǎng)絡(luò)平臺(tái)和媒介為載體，配合重要時(shí)點(diǎn)開展系列推廣活動(dòng)，充分利用新媒體擴(kuò)大宣傳覆蓋面；在國家網(wǎng)絡(luò)安全宣傳周期間，邀請(qǐng)專家進(jìn)行現(xiàn)場教學(xué)，通過網(wǎng)絡(luò)安全知識(shí)展及問答、互動(dòng)小游戲等形式，向師生宣傳貼近生活的網(wǎng)絡(luò)安全科普信息，讓師生從受害者和黑客雙視角體驗(yàn)網(wǎng)絡(luò)攻擊；開設(shè)面向本科生的網(wǎng)絡(luò)安全素養(yǎng)教育課程，提高學(xué)生的理論知識(shí)和實(shí)踐能力，將宣傳、教學(xué)與實(shí)踐有機(jī)結(jié)合起來，全面提升師生網(wǎng)絡(luò)安全素養(yǎng)。

其次，進(jìn)行常態(tài)化的宣傳教育活動(dòng)。通過采購專業(yè)的網(wǎng)絡(luò)安全宣傳素材、自主拍攝網(wǎng)絡(luò)安全小視頻，以趣味漫畫、短視頻等鮮活方式，科普網(wǎng)絡(luò)安全法律法規(guī)和相關(guān)知識(shí)；不定期面向師生開展釣魚郵件演練，通過群發(fā)釣魚郵件，測試用戶是否能夠有效甄別惡意行為；定期對(duì)學(xué)校各二級(jí)單位開展應(yīng)急演練，如2021年復(fù)旦大學(xué)與楊浦區(qū)聯(lián)合開展網(wǎng)絡(luò)安全應(yīng)急演練活動(dòng)，模擬網(wǎng)絡(luò)安全事件及其現(xiàn)實(shí)影響的應(yīng)急處置過程。

最后，針對(duì)不同對(duì)象進(jìn)行專題培訓(xùn)。在新教工上崗培訓(xùn)、處級(jí)干部培訓(xùn)、新生入學(xué)培訓(xùn)中分別融入不同的培訓(xùn)內(nèi)容，有針對(duì)性地提升用戶網(wǎng)絡(luò)安全問題處置能力。面向校內(nèi)二級(jí)單位網(wǎng)絡(luò)安全負(fù)責(zé)人、網(wǎng)絡(luò)安全聯(lián)絡(luò)員定期舉辦系列網(wǎng)絡(luò)安全專題培訓(xùn)，由各級(jí)主管單位領(lǐng)導(dǎo)和網(wǎng)絡(luò)安全領(lǐng)域?qū)＜曳謩e針對(duì)網(wǎng)絡(luò)安全形勢、法律法規(guī)解讀、辦公人員上網(wǎng)行為規(guī)范、網(wǎng)絡(luò)安全知識(shí)等進(jìn)行多方位、多角度進(jìn)行實(shí)務(wù)培訓(xùn)。

李先毅：面向全校進(jìn)行網(wǎng)絡(luò)威脅通報(bào)

大連理工大學(xué)在高校目前已有舉措基礎(chǔ)上，開設(shè)過網(wǎng)絡(luò)安全、病毒防護(hù)相關(guān)選修課，依托學(xué)科、開設(shè)相關(guān)課程是提升師生網(wǎng)絡(luò)安全素養(yǎng)非常好的渠道，并且也更系統(tǒng)全面、效果也能得到保障。

此外，大連理工大學(xué)于2018年開始正式將網(wǎng)絡(luò)安全威脅通報(bào)工作確定為網(wǎng)絡(luò)安全常規(guī)工作之一，并明確了工作目標(biāo)及任務(wù)，制定了工作機(jī)制及流程。目前，威脅通報(bào)工作分威脅情報(bào)搜集和威脅信息發(fā)布兩部分。

情報(bào)搜集工作主要是每天從各種渠道搜集相關(guān)信息，由網(wǎng)信中心負(fù)責(zé)老師進(jìn)行研判后確定處置方式。威脅信息發(fā)布主要包括網(wǎng)絡(luò)安全公告、威脅警示郵件、網(wǎng)絡(luò)安全專題推送，這三種威脅通報(bào)方式也會(huì)交叉重疊使用。

對(duì)于影響范圍比較廣的威脅情報(bào)，將通過網(wǎng)信中心主頁發(fā)布網(wǎng)絡(luò)安全公告告知校內(nèi)，特別重要的還會(huì)在校內(nèi)信息化交流群中提醒；對(duì)于有明確特定對(duì)象的威脅情報(bào)，主要是安全監(jiān)測中發(fā)現(xiàn)的疑似漏洞或異常，將通過威脅警示郵件的方式直接發(fā)送給相關(guān)人員，提醒及時(shí)確認(rèn)并處理；對(duì)于特別突出的焦點(diǎn)問題，如“挖礦”活動(dòng)治理等，還會(huì)整理形成網(wǎng)絡(luò)安全專題推送，通過微信公眾號(hào)和移動(dòng)App向全校推送。

話題三 面臨的問題與挑戰(zhàn)

張凱：教育內(nèi)容單調(diào)，組織形式單一

近幾年，高校越來越重視師生的網(wǎng)絡(luò)安全素養(yǎng)教育，并開展了多樣化、常態(tài)化、針對(duì)性強(qiáng)的宣傳教育工作，師生網(wǎng)絡(luò)安全素養(yǎng)也得到普遍提升，取得了良好的效果。但是在互動(dòng)宣傳、主題測試及演練等活動(dòng)中，個(gè)別人員還是體現(xiàn)出安全意識(shí)不足、甄別能力弱等問題。

當(dāng)前，網(wǎng)絡(luò)安全素養(yǎng)教育仍然存在以下問題：一是網(wǎng)絡(luò)安全教育內(nèi)容單調(diào)，大多聚焦在技術(shù)知識(shí)和案例的宣傳，缺少全面、系統(tǒng)化的規(guī)劃和組織；二是教育的組織形式單一，僅僅通過宣傳教育或者開設(shè)網(wǎng)絡(luò)安全教育課程是遠(yuǎn)遠(yuǎn)不夠的，亟需充分發(fā)揮“宣傳”“課堂”與“實(shí)踐”的合力，實(shí)現(xiàn)全過程的育人體系；三是網(wǎng)絡(luò)安全素養(yǎng)教育的機(jī)制還未理順。

張四海：各職能部門間尚未形成合力

客觀來看，高校網(wǎng)絡(luò)安全素養(yǎng)教育距離“管得住，用得好”的目標(biāo)還存在一定差距，仍面臨著諸多問題和挑戰(zhàn)：第一，師生員工對(duì)網(wǎng)絡(luò)安全素養(yǎng)教育的主動(dòng)參與程度比較低，缺乏熱情；第二，各職能部門間就網(wǎng)絡(luò)安全素養(yǎng)教育問題協(xié)同程度不夠，沒能形成合力；第三，網(wǎng)絡(luò)安全專職隊(duì)伍人員配置不足，疲于應(yīng)對(duì)網(wǎng)絡(luò)安全日常工作，無暇顧及教育培訓(xùn)。

李先毅：覆蓋面和重視程度等仍需加強(qiáng)

網(wǎng)絡(luò)安全素養(yǎng)教育的問題主要還是聚焦在普通師生上，但受管理職能權(quán)限、人員、場地及其他客觀條件限制，無法對(duì)普通師生開展更廣泛、更深入的網(wǎng)絡(luò)安全素養(yǎng)教育，每年有限的幾次培訓(xùn)對(duì)于應(yīng)對(duì)復(fù)雜多變的網(wǎng)絡(luò)安全問題還是顯得有些捉襟見肘。同時(shí)，與快速多變的網(wǎng)絡(luò)安全狀況相比，高校網(wǎng)絡(luò)安全素養(yǎng)教育的覆蓋面、重視程度等還需要不斷加強(qiáng)。

話題四 如何實(shí)現(xiàn)常態(tài)化的素養(yǎng)教育

張四海：從頂層設(shè)計(jì)入手完善機(jī)制體制

整體來看，要確保高校網(wǎng)絡(luò)安全素養(yǎng)教育常態(tài)化、體系化，需從頂層設(shè)計(jì)入手，完善制度機(jī)制、加強(qiáng)部門協(xié)同、保障經(jīng)費(fèi)投入、做好督查考核這些方面都是必不可少的。以下是幾點(diǎn)具體想法：

第一，看待網(wǎng)絡(luò)安全素養(yǎng)教育，不能僅從網(wǎng)信工作的角度，更要從教育工作的角度，要遵循教育的規(guī)律，要讓負(fù)責(zé)教育教學(xué)培訓(xùn)工作的部門和組織充分發(fā)揮作用。

第二，需科學(xué)開展考核評(píng)價(jià)，不僅要定性評(píng)價(jià)也要定量評(píng)價(jià)，提出具有操作性的評(píng)價(jià)指標(biāo)和評(píng)價(jià)方法，讓那些運(yùn)動(dòng)式的、走過場的工作得不到認(rèn)可，很多時(shí)候考試不失為有效手段。

第三，要大力推廣體驗(yàn)式的教育活動(dòng)，可以是大規(guī)模的、集中的安全賽事和對(duì)抗演練，也可以是小的、日常性的模擬場景，例如釣魚郵件演練，通過提高趣味性、廣泛互動(dòng)來激發(fā)師生熱情，進(jìn)而主動(dòng)參與教育資源的生產(chǎn)，不斷提升教育活動(dòng)的質(zhì)量和影響力，形成良性循環(huán)。

江魁：納入網(wǎng)絡(luò)安全整體制度中

管理層面上，高校應(yīng)將網(wǎng)絡(luò)安全素養(yǎng)教育作為網(wǎng)絡(luò)安全政策中的內(nèi)容固定下來，明確寫進(jìn)網(wǎng)絡(luò)安全管理制度。同時(shí)，做好部門的職責(zé)劃分，并建立監(jiān)督機(jī)制確保落實(shí)到位，如每年可開一次網(wǎng)絡(luò)安全工作會(huì)議，通報(bào)各學(xué)院網(wǎng)絡(luò)安全的學(xué)習(xí)情況、參加人數(shù)、開展情況。此外，學(xué)校也需要給予一定的保障和支持，如經(jīng)費(fèi)保障、人員保障，以推動(dòng)網(wǎng)絡(luò)安全素養(yǎng)教育相關(guān)工作展開。

執(zhí)行層面上，高校要經(jīng)常性地舉辦一些豐富多樣、新穎有趣的網(wǎng)絡(luò)安全教育活動(dòng)來提升師生學(xué)習(xí)熱情和興趣，如開展網(wǎng)絡(luò)安全比賽、在線競答等；同時(shí)，定期邀請(qǐng)合作安全廠商、技術(shù)專家、甚至可以聯(lián)合相關(guān)合作單位或上級(jí)網(wǎng)絡(luò)安全部門來學(xué)校進(jìn)行授課和培訓(xùn)；最后，有條件的高?？山Y(jié)合本校案例來編寫網(wǎng)絡(luò)安全教材或資料，以不斷優(yōu)化網(wǎng)絡(luò)安全素養(yǎng)的教學(xué)內(nèi)容和教育質(zhì)量。

張凱：積極協(xié)同各方力量開展素養(yǎng)教育

要想網(wǎng)絡(luò)安全素養(yǎng)教育能被廣大師生所接受，就不能僅僅流于形式。在開展常規(guī)宣傳活動(dòng)的同時(shí)，還應(yīng)走入廣大師生中，深入了解師生的實(shí)際需求與切身的感受，以寓教于樂的方式傳遞素養(yǎng)教育的內(nèi)涵，從而有效提高網(wǎng)絡(luò)安全素養(yǎng)教育的效率和質(zhì)量。

同時(shí)，還要避免信息化部門單打獨(dú)斗的情況，要積極協(xié)同各個(gè)院系和校內(nèi)校外其他部門的力量，共同推動(dòng)和開展宣傳教育工作，形成多級(jí)聯(lián)動(dòng)的宣傳教育體系。