高校网安策略篇(1):关于网络安全不得不说的三个要点

       疲于奔命的救火英雄和烈士不能当

  学校信息化部门如何面对日益严峻的网络安全形势?重要的一点是,疲于奔命的救火英雄和烈士不能当。

  在过去的安全工作中,学校往往以安全漏洞和安全事件为中心,一直处于被动应急的局面,这种情况必须得到扭转。长远的建设方向还是应该围绕学校信息资产安全,以此来开展一系列安全工作。我们要梳理清楚学校各类信息资产,分门别类,消除管理盲点。重要系统和次要系统的安全等级和安全投入显然不能完全一致。系统地理顺整个安全工作脉络并建立完整的安全保障体系,我们才能始终掌握工作的主动性。我们的角色不应该是救火英雄,更不愿意成为光荣的烈士。

  网络安全建设要和信息化发展融为一体,借鉴成熟的网络管理模式来理顺信息系统资产安全管理。网络安全管理制度必须要有,并且要踏踏实实落地并进行有效监督,而不能仅落在纸面。要靠信息化流程和规章制度来管理,同时也要有一系列技术措施来保障,不能靠个人力量来督促,也不能心存各种侥幸心理,要把安全责任分解到所有相关部门和人员身上,明确各自的管理边界,只有权责明确才能确保学校安全长治久安。

  高校缺失安全力量是伪命题

  各地一直在说,信息安全人才缺失,工作难以开展。我觉得这是一个伪命题。高校最不缺的就是人才,成千上万的学生都可以为我们所用,关键还是缺乏相应的机制,缺乏有效组织和系统培养。高校对于安全人才要注重长期培养,有条件的高校选拔相关专业学生,培养专业人才队伍,参与学校网络安全工作,弥补保障力量的不足。把学生引进来,培养学生成为网络安全管理中的一支辅助力量和宣传队伍,是双赢的结果。参与校园网络安全建设的过程中,他们对计算机领域会有更深入的理解。我们要做到:一是资源整合,机制创新,利用好高校自身安全力量。二是校企合作,引入民间力量,共同培养安全人才。三是加强国内外行业交流合作。加强与国内各安全机构和组织间的顺畅沟通,与百度、阿里、腾讯、360等互联网公司和安全厂商推动深度合作,在教育软件厂商的协同参与下,共同提升学校自身安全能力。

  打造网络安全共同体

  安全是一个长期且动态变化的过程,无法速成。学校要从行动上真正重视网络信息安全,国家和行业主管部门要加强安全监管和服务,教育软件厂商要承担责任和更多义务,安全厂商要提供符合学校要求的专业化安全服务。只有各方共同努力,同舟共济,互相合作才有教育行业安全的美好未来。

  网络安全的特点是攻防高度不对称。黑客可以单线作战,一点突破,引发目标全线崩溃。但作为防护的一方,全局体系任何一处都不能存在短板,一旦忽视被恶意利用,可能就是灾难性的后果。我们必须形成安全共同体。这个共同体中,自身安全能力提升自不待言,还要加强与地方网络安全职能部门、专业机构的合作,建立多方联动的监测预警和应急处置机制。推进建立地区性的网络安全协作联盟,加强经验交流与技术支持,技术能力较好的学校要为技术能力相对薄弱的学校提供安全咨询和技术支援。共同体中不可或缺的还有专业的安全企业所提供的产品和服务。

  在合作与外包过程中,高校信息化部门需要一个顶层设计的安全保障体系。我们必须意识到:长期的安全持续服务重于一次性的安全产品投入。高校安全需要什么?不是软硬件安全产品的堆砌、不是孤立的一个个系统建设、不是高等级的安全渗透测试,也不是一次次的救火应急响应,能带来用户安全感提升的业务才是好业务。我们的安全需求不限于:管理、制度、咨询、规划、人员、培训、系统、运维、整改、应急、演练、情报、服务等,互联网在持续发展,这些对安全的需求内容也一直在演变和进步