高校网安策略篇(3):网络安全要善于“乘势”和“借势”

在网络安全问题上,我们一是要高度重视,落实责任制;二是要加强管理和宣传,增强安全意识,完善安全规范,贯彻安全操作规程;三是要加强技术防护;四是要加强安全人才队伍建设,发挥学校网络安全相关的教师和学生力量;五是要加强与外部安全公司合作,增强学校的防护力量和水平,最终构建完整的学校安全防护体系。在具体的工作思路上,有几项我认为是比较重要的:

  第一,顺势而为。善于乘势和借势。最近几年,国家非常重视网络安全,所以我们做网络安全工作同过去相比有更好的基础背景,这是一个“势”,我们要会借势。

  第二,堵疏有道。堵——对于不符合安全规范要求的网站和系统关闭外网访问,甚至封锁IP 和域名;疏——建立培训体系, 对于问题网站和系统进行技术指导,协助排查和处理,开展网络安全专项培训。

  不符合安全规范的网站,我们要把它封掉,但不能一封了之,这会很容易让信息化部门与业务部门产生矛盾,如果我们的工作达成是以牺牲与业务部门的良好沟通关系为代价,是得不偿失的。所以要疏,要给业务部门建立一个培训体系,对问题网站和系统进行技术指导,让他们自己能够认识网络安全的严峻态势。

  第三,建章立制,要靠规范约束大家的行为,同时把应急预案做好,这样一旦发生安全事件将有一套行之有效的流程。

  第四,集思广益。高校实际上是出人才的地方,也是培养人的地方。学生会成为一支重要的力量,要尽可能发挥学生的力量,把老师和学生社团的力量充分挖掘。另外,要学会借助外部的安全服务。特别是应急的时候,引入专业服务可以给我们有力的支撑。安全服务外包是必须要去做的事,也是未来的一个趋势。

  第五,人才储备。专业人才的短缺和高校的用人制度致使高校安全团队无法“扩军”,人才储备量远远跟不上网络安全风险的增长量。我们要加强自身人员的培训和学习,提高自身防护能力。

  网络安全其实和信息化一样的,它永远在路上。只有起点, 没有终点。