聚焦高校信息化建設與網絡安全，專家學者共探安全屏障構建思路

　　隨著人工智能、大數據、物聯網等新一代信息技術的迅猛發展，教育信息化2.0和智慧校園建設快速推進。武漢高校資源豐富，是在校本?？粕偃f、在學研究生超過10萬人的“雙料大城”，各高校信息化也在如火如荼地建設。

　　不過，高校在信息化建設過程中，仍然存在信息系統多、數據海量且敏感、安全能力薄弱、管理復雜等難題，再加上挖礦木馬、勒索病毒、釣魚郵件等網絡安全威脅層出不窮，對高校的信息化建設和網絡安全帶來極大的挑戰。

　　9月27日下午，長江日報聯合武漢市網絡安全協會、騰訊安全舉辦的“數創未來·安全護航”——武漢高校信息化建設與網絡安全研討會在線上召開，武漢23所高校信息化負責人、網絡安全專家學者相聚云端，共同探討高校如何構筑網絡安全屏障。

　　學生刷身份證通過閘機

　　網絡安全是高校信息化的基礎和底板

　　打開手機微信完成報到手續，選宿舍床位、報軍訓服裝尺寸、購生活用品全部線上辦理，刷臉進出校園……現在，一身輕松的“開學季”正在武漢多所高校校園內上演。

　　這些靠手機便捷辦理的服務緣于高?！笆濉毙畔⒒ㄔO的成果。近年來，武漢高校結合自身定位和發展需要，不斷加大校園信息化建設，不斷加強網絡安全保障投入。各個高校根據自身特色、重點，有針對性地解決師生在日常信息化服務中的難點、痛點問題，形成了各自學校具有特色的信息化建設和服務體系。

　　隨著信息化的不斷推進，挖礦木馬、勒索病毒等網絡攻擊和威脅也日益增長，而教育行業也成為了網絡攻擊的重點。據Checkpoint統計，2021年、2022年第二季度的每個機構與企業平均每周遭受攻擊次數，教育行業列在第一位。

　　公安部第三研究所網安中心副研究員俞少華表示，學校的應用中存儲著大量師生個人信息和數據，黑客竊取這些數據售賣可以獲利；學校的數據中心擁有大量的計算資源和存儲資源，攻擊者可以通過攻擊服務器獲得這些資源，來開展“挖礦”活動，通過虛擬貨幣來牟利；同時學校還有大量的科研數據、考試數據，攻擊者通過攻擊獲得這些數據后都有利可圖，所以黑客會想方設法對高校信息系統進行攻擊和入侵。

　　“校園對網絡信息安全的要求越來越高與師生體驗要求越來越便捷之間的矛盾日益突出，網絡安全、社會沖擊、系統建設及新技術的應用是當前高校信息化面對的主要挑戰?！蔽錆h大學國家網絡安全學院教授吳黎兵認為，校園網遭受的網絡攻擊量巨大，Oday漏洞和APT威脅使安全防護難度增大，網絡安全是信息化的基礎和底板。

　　武漢市網絡安全協會秘書長劉悅恒在致辭中也表示，網絡安全絕不僅僅是一個純粹的技術問題，而是關系國家安全、經濟健康發展、社會和諧穩定和社會公共利益的越來越緊迫的綜合性課題。

　　學生刷臉進出校園

　　“安全建設”和“素養培養”需并重

　　近年來，我國也陸續出臺了《網絡安全法》《數據安全法》《個人信息保護法》以及網絡安全等級保護2.0等法律法規，整體構建了網絡空間的安全法治保障。俞少華提到，其實教育部從2009年開始就發布了一系列規定，非常重視教育行業的網絡安全?！?020年教育部在《教育信息化和網絡安全工作要點通知》中，就提到一個核心目標：要不斷完善教育網絡安全支撐體系，全面提升網絡安全人才培養能力和質量，不斷提升教育系統網絡安全的防護水平?！?/p>

　　不過，目前高校的信息化和安全建設仍然存在許多痛點，例如系統多、人員少、管理困難，同時也面臨著層出不窮的漏洞風險。無論是日常安全的運維，還是突發狀況的應對，都給高校信息化和安全建設帶來了較大壓力與挑戰。

　　對于高校的網絡安全建設，騰訊安全資深架構師張飛凡提出了一些建議。在安全合規層面，學校需要檢查系統是否達到等保2.0所要求的防護水平，技術措施和管理制度是否齊備。在主動防御層面，網絡安全風險=脆弱性×威脅，學校需要建設各種措施去主動識別風險和脆弱性，周期性對重要資產做評估、檢測和加固等。在及時對抗層面，學?？梢詷嫿ㄒ徽装ㄈ藛T、平臺、工具、流程在內的機制，快速發現問題，并及時優化調整自身防護措施。

　　對于安全建設薄弱的高校，首先要做的是把安全能力做補充和彌補，達到基本的合格線，然后基于合格線再做一些提升性的工作。騰訊自研的零信任安全管理系統（騰訊iOA）護航了100萬終端的遠程辦公，可幫助高校解決遠程訪問中的安全問題，同時“All in One”方案可通過客戶端去解決補丁修復、弱口令以及挖礦木馬、勒索病毒等一系列問題。

　　另外，在數據中心的重要數據保護方面，騰訊安全可幫助客戶梳理重要數據在流轉、采集、傳輸、存儲、共享等各環節存在的安全風險和隱患，制定相應的防護措施，提供完整的數據全生命周期安全方案。中國社會科學院國際法研究所副研究員何晶晶也提到，高校需要建立起全生命周期的數據合規管理體系。

　　實際上，在網絡安全的場景中，人員都是最脆弱的元素。俞少華表示，“網絡安全素養需要常態化的素養教育?！备咝Ｐ枰_展網絡安全教育培訓、網絡安全科普和宣傳活動、網絡安全攻防演練活動。通過高仿真、沉浸式真實場景，讓廣大師生切實體會“釣魚郵件”的迷惑性和隱蔽性，從而提高警惕性。

　　整體來看，要確保高校網絡安全素養教育常態化、體系化，需從頂層設計入手，完善制度機制、加強部門協同、保障經費投入、做好督查考核這些方面都是必不可少的。

　　【廣告】