如何构建更加安全的校园网络环境

信息技术的高速发展将网络带入了校园。随着互联网特别是移动互联网在校园内的普及,师生的工作、学习、生活,学校的日常教学、管理都越来越离不开网络。但在享受网络便捷的同时,校园也面临着许多网络安全隐患,如技术故障、信息泄露、恶意攻击等,师生同样面临不良信息、网络欺诈等风险。

目前的校园网络安全存在哪些隐患?网络安全教育的现状如何,又怎样入脑入心?建立维护校园网络安全的长效机制需要采取哪些举措?记者约请专家和相关负责人对这些问题进行深入探讨。

1 为何要紧绷校园网络安全这根弦?

记者:随着信息技术的普及,校园网络安全越来越受到重视。为什么我们要紧绷维护校园网络安全这根弦?

张生:随着信息技术尤其是移动互联技术的飞速发展,网络已成为在校学生学习、娱乐、交往的一种重要途径,也是学校育人环境不可或缺的组成部分。在校学生心智不够成熟,自我约束力不够强,在享受网络带来的诸多好处的同时,很容易受到网上各种信息的诱惑,有针对性地侵害学生的网络犯罪活动时有发生。作为学校网络安全环境下的一分子,学生既是最大的受益者,也可能是受害者甚至危害者。如何趋利避害,为学生营造一个安全、洁净的网络环境,关系着学生的身心和学业发展。对于学校而言,维护校园网络安全,是保障教育教学正常开展的基础性工作,也是构建新时代育人环境的重要工作。面对这项工作,学校的制度、技术、人员素质都需要进一步优化和提升。

李晖:高校作为一个拥有数万师生的单位,其网络与信息服务主要分为两类:日常教学、生活等的信息管理与组织服务(包括教务系统、一卡通系统、财务系统、办公系统、研究生系统等),网络接入服务(包括校园网有线/无线接入、易迅接入、移动通信网在校园内的使用等)。其中,第一类服务的稳定和安全直接关系到学校的正常运转和校园稳定(可能出现的问题包括服务系统崩溃、信息被窜改等),并间接影响学生、教师的信息安全(相关信息泄露可能导致各类网络诈骗的发生);第二类服务的有效管理和安全保护,则直接关系到用户个人信息账号安全、网络空间内容安全、校园舆情引导等,甚至会影响到学生的价值观。因此,我们必须紧绷校园网络安全这根弦,确保校园网络安全、有序、稳定运行。

2 当前校园网络安全存在哪些隐患?

记者:当前校园网络安全主要存在哪些隐患?这些隐患会产生哪些危害?造成这些隐患的主要原因是什么?

张生:去年我参与了西南某省会城市一项覆盖11万名小学、初中、高中生的校园网络安全意识调查。从调查结果来看,校园网络安全隐患具体表现在以下几个方面:

一是个人隐私保护不周。调查显示,当收到陌生中奖信息或求助时,30%的学生会留下全部信息,会选择性留下信息的学生只占31%;当意识到个人信息被泄露时,17%的学生会不知所措。

二是社交安全意识有待加强。17%的学生未经核实便同意加陌生人为好友,23%的学生相信与陌生人的谈话内容,15%的学生直接接收陌生人发来的文件;学生们对熟人更加缺乏防范意识,45%的学生会点击同学发来的链接。

三是数据备份与密码安全意识行为有待加强。在个人信息安全方面,只有53%的学生会定期更改密码和对重要数据进行备份,对于重要数据完全不设置密码的占29%,56%的学生使用生日、电话号码、英语单词等作为简单密码。

四是使用电子邮件和网络下载功能时,对网络不安全因素的关注有待加强。在使用电子邮件时,32%的学生会设置邮件过滤,大部分学生对于垃圾软件不予理睬;在网上下载资源时,44%的学生认为应该在家长和老师的指导下下载,30%的学生认为自己具备甄别能力可以自行下载。

五是对不良信息的处理能力有待提高。在“当不小心进入了儿童不宜的网站时,我们应该怎么做”调查项中,22%的初中生选择了“继续浏览”,还有22%左右的初中生选择了“介绍给其他同学浏览”。

六是网络安全防范知识普及不足。67%的小学生了解病毒、木马、网络黑客等,32%的小学生表示不了解。

七是应对网络犯罪的素养不足。64.16%的高中生曾遭遇网络诈骗,38.26%曾被骗子成功诈骗。

这些隐患对学生的学习生活存在负面影响,严重时可能影响学生身心健康。目前,对学生网络信息安全素养的培养体系尚未建立,学生缺乏网络信息安全法律法规教育,缺少树立网络安全意识的训练,缺乏防范网络风险能力的培养,这需要政府相关部门和学校高度重视。

李晖:我认为当前校园网络安全存在的隐患主要涉及以下几方面:

一是校园各类信息服务系统的数据安全。由于校园内各种二级、三级域名系统管理相对分散,针对各类漏洞风险可能会存在安全维护不及时等问题。这会导致部分网站或信息系统存在被拖库、窜改等风险,从而导致师生的各类敏感信息泄露。

二是校园网络、移动通信网无线接入安全。由于校园网络中WiFi(行动热点)接入点众多且大多采用802.1x(一种访问控制和认证协议)方式,人员密集使其成为具有较高价值的攻击目标,因此存在大量的伪热点、基站试图窃取用户敏感账号信息,进行钓鱼欺诈等。

三是校园信息系统中舆情内容安全(不良信息及言论的传播)。由于大学生初步掌握了各种获取信息的工具,可以轻易接触到色情、暴力、反动等不良信息,这会影响其人生观、世界观的形成和发展。

四是校园用户网络安全意识参差不齐。大学校园里,有对网络安全懵懵懂懂的本科新生,也有心智均已成熟的硕博研究生,这使得网络安全制度制定很难全面考虑和充分覆盖,容易一刀切。同样的网络信息,对不同心智的学生影响差异很大,这是影响舆情内容安全的一个重要因素。

陈建淼:温州市电化教育馆对全市学校网络安全做摸底分析,发现存在如下问题:一是职责不清;二是遇到重大安保事件时,经常把网站系统一关了之,影响了工作和信息通畅;三是勒索病毒肆虐,存在内网大规模感染的安全隐患;四是“互联网+”形势下,数据高度集中,给网络数据安全带来极大的挑战;五是网络安全人才缺乏,学校网络安全管理意识和能力不强;六是教育系统人员众多,教育舆情问题突出。

3 维护校园网络安全如何避免“一刀切”?

记者:在用技术手段维护校园网络安全时,怎样避免出现断网“一刀切”等情况?在维护校园网络安全的同时,怎样保持和提升网络信息技术的正面效应?

张生:“一刀切”是对校园网络安全不自信的一种表现。“一刀切”是一种简单粗暴的管理方式,体现着网络安全管理相关规则、网络安全防范技能和网络安全危机应对能力的缺乏。

要避免“一刀切”现象,首先要按照国家有关安全标准,对校园网络数据和系统进行分类分级,确定系统的保密级别,并在权威机构登记、备案;其次,要研究制定好网络安全管理制度,如数据备份与保密制度、硬件巡检制度、网络漏洞扫描制度、人员保密教育制度、风险控制制度、风险应急制度等,做到按制度和规范办事,把风险圈定在可控范围之内;再其次,要提升相关工作人员素养,对专兼职队伍进行培养培训,及时更新人员的专业知识和技能,增强应对风险和解决问题的能力,有条件的学校可引入第三方专业机构进行网络的设计、管理和维护;最后,要对使用者进行网络安全教育,提升师生网络安全素养,使他们做到既不受危害,也不危害他人。

李晖:好的网络安全维护手段,不但不会降低网络的可用性,还能带来一定的提升作用。第一,在网络架构方面,校园网络需要分层分区设计,同时应用网络隔离技术,防止网络威胁的横向移动,造成大面积损失;第二,在威胁监控方面,需要应用一些网络安全设备和威胁感知技术,对网络威胁做到及时感知、及时防御,找到威胁源并及时处理;第三,在网络权限方面,需要给教职工和学生分配合理的网络权限,这样即便发生了网络攻击,也会因为网络权限不足,无法攻击网络中的重要资源;第四,对教职工和学生进行网络安全意识教育,让他们能够识别网络威胁、保护好个人数据和财产、谨慎进行涉及经济利益的操作,同时及时修复安全漏洞,从源头上降低网络安全威胁产生的可能性。值得一提的是,有些学生会出于好奇采取网络攻击行为,这就需要对学生进行网络安全法律法规教育,让他们明白这些行为可能造成的危害。

4 网络安全教育怎样入脑入心?

记者:面临网络欺诈时,学生为什么容易上当?对学生进行网络安全教育的现状如何?

张生:网络欺诈团伙往往深入研究了人性的缺陷,有针对性地选择诈骗手段。学生正处在身心发展过程中,心智不够健全,容易受到伤害。在当前的教育体系中,网络安全教育还比较薄弱。一是缺乏整体课程规划和设计,学时不够;二是课程内容缺乏系统性和层次性,不能满足学生需要;三是学习形式比较落后,缺乏互动体验、实际操作等环节;四是社会对网络安全教育的意识比较薄弱,上述调查显示,28%的中小学生认为没有必要加强网络安全意识教育,18%的学生表示学校没有开设此类课程或者讲座。

李晖:当前,大学生大多缺少社会经验,非网络安全类专业的学生网络安全意识较淡薄,骗子往往会抓住他们充满好奇、希望独立、相对单纯及贪心等心理,导致他们上当受骗。比如,骗子经常采取网络兼职刷单诈骗方式,就是利用了大学生初入高校、希望经济独立的心理;网购诈骗、退款诈骗、游戏账户交易诈骗、中奖诈骗等招数则是利用了学生(也包括社会上的其他群体)贪心的心理。因此,只要记住天上不会掉馅饼,不要抱有侥幸心理,不随意给陌生人转账,不随便点击陌生人发来的链接,在官网进行网购或游戏充值,就可以最大限度避免受骗,有效防范网络欺诈。

在大学教育中,目前面向非安全专业硕士生开设的网络安全相关课程较多,面向全体本科生的网络安全通识教育缺乏,大多数非安全专业本科生仅仅靠主动了解或参与相关社团活动来掌握网络安全知识。

记者:当前,学校网络安全教育有哪些需要改进的地方?网络安全教育怎样才能入脑入心?

张生:首先,要提高学校对网络安全教育重要性的认识,多措并举开展网络安全教育,做到人人参与、人人有责;其次,要依据学生年龄、学段的区别,进行网络安全教育内容的顶层设计,确保对学生网络安全素养的培育是连续的、阶段性的、科学的;再其次,上述调查显示,45%的学生喜欢以实验实操方式进行的网络安全教育课,学校可以通过引进专业的第三方服务等,开展互动性强、实操机会多的网络安全教育活动,让网络安全教育在学生的意识和行为层面产生作用;最后,应该把网络安全教育纳入学校育人体系,加强师资配备和教研能力提升,落实课程学时,同时确保硬件支持到位。

李晖:首先,要加强对非网络安全专业学生的日常网络安全教育,学校可以面向全体师生开设网络安全、计算机网络等公选课程,为学生掌握网络安全基础知识提供更多的机会;其次,结合学生学习生活,在校园内开展各类网络安全宣传教育,使网络安全意识深入人心,宣传教育活动要充分调动学生的主观能动性、降低学习门槛、提升学习乐趣;再其次,强化教师的网络安全知识,让教师在日常课堂教学、课外校外活动中为学生穿插讲解相关知识。

记者:校园是一方净土,而社会却很复杂。网络让校园连通整个社会,社会上的一些假恶丑现象不可避免地会对校园产生影响。在这种情况下,学校教育面临哪些挑战?又如何去应对这些挑战?

李晖:对涉世未深的学生们而言,网络是重要的学习生活工具,但其提供的信息浩如烟海却良莠不齐,学校和教育工作者们通常会面临如下挑战:网络信息鱼龙混杂,学生人格容易被一些不健康的思想和价值取向扭曲,导致其个人中心主义加深、道德评价标准缺失,甚至出现双重人格倾向;网络形成的虚拟社会诱惑学生逃避现实,导致学生们将网络社会中的虚拟形象投影到现实空间,甚至将虚拟空间当作逃避现实的“麻醉剂”。

对于学校和教师而言,首先应通过各种方式引导学生树立正确的价值观,指导学生对不同信息渠道传递而来的信息进行比较选择,形成独立的明辨是非能力,充分利用网络带来的便利而摒弃不良影响,这点对低年级学生尤为重要;对沉溺于网络空间的学生而言,现实生活的失意更胜于虚拟空间的诱惑,一味说教和强制学生脱离网络空间并非上策,教师更应注意这些学生的现实生活,充实其学习、运动及社交,鼓励他们走向他人、结交朋友,帮助其从虚拟网络空间走向现实社会。

5 怎样建立健全维护校园网络安全的长效机制?

记者:维护校园网络安全是一项系统工程,您认为其关键点是什么?怎样从人防、技防等角度,建立健全维护校园网络安全的长效机制?

李晖:我认为维护校园网络安全的关键在于明确网络安全边界、健全安全防护机制、形成高素质安全队伍、增强师生安全意识。

具体来说,可以根据服务系统内容安全、信息服务系统安全、网络基础设施安全等不同类别,明确不同的责任主体和技术主体。例如,学校各类网站内容的建设与维护、网上舆论分析与引导、网络文化建设等工作由相关部门统一审核管理;校园中的各类网络与信息服务系统的安全防护技术,校园网络WiFi接入热点、网络基站等设备的定期安全排查,由学校相关网络安全管理部门进行统一规范管理;在安全防护技术方面,可以构建一套完整的防御体系,拥有完备的安全方案和防护措施,例如邮件安全、无线安全、服务器安全、入侵检测等,使这一防御体系具有威胁感知、威胁防御和应急响应能力,实现对校园网络环境下信息泄密、网络病毒等的重点防护和监控,并通过认证、授权、审核的方式刻画师生用户的网络行为轨迹;建立高素质网络安全人才队伍,使其能够将这一整套防御体系运作起来,运用各类安全技术对网络威胁和攻击进行识别、防御和响应;通过普及网络安全知识,全面提升广大师生的网络安全意识和安全防护技能,这也是维护校园网络安全最重要的一道防线。

陈建淼:面对日益严峻的网络安全形势,温州市全面贯彻省教育技术中心网络安全具体部署,采取“五全、五严、五变”举措,构建网络安全生态圈,努力建设与教育信息化发展相适应的网络与信息安全保障体系。

抓好“五全”,强化网络安全组织管理。一是全面提升网络安全认识。温州市先后多次召开各类会议,组织全市各县(市、区)分管局长、教育技术中心主任、局机关全体工作人员、校长等传达、学习《中华人民共和国网络安全法》等相关法律法规,提高网络安全防范意识。二是全面排查网络安全问题,对全市学校网络安全情况做摸底分析。三是全面加强安全工作组织领导,重构网络安全与教育信息化组织领导体系。温州市教育局合并教育网络安全领导小组与信息化工作领导小组,成立了教育网络安全和信息化工作领导小组及三个专项小组。四是全面加强网络安全基础建设。统一建设教育云计算中心(机房),建设温州教育大数据平台,统一安装终端安全管理软件。五是全面加强网络安全管理。统一推进网络安全等级保护制度,统一落实网站集约化管理,统一部署有线无线登录认证,统一开展网络安全管理人员培训。

落实“五严”,强化网络安全责任到位。一是严格网络建设项目审核流程。二是严格执行网络安全管理制度。三是严格落实网络安全责任制。明确市县校和各部门(单位)行政“一把手”为网络安全和信息安全第一责任人;明确“谁主管、谁负责,谁主办、谁负责”的网络信息安全责任;配备专兼职信息安全管理员,具体负责本单位网络安全和信息安全工作。四是严格网络安全责任追究制。将网络安全的考核纳入到直属单位(学校)、县(市、区)教育局的年度考核中;对存在安全漏洞不整改、发生网络安全事故的予以扣分警示;因管理不善致使本部门内发生重、特大信息安全事故或严重违纪违法事件的,按有关规定对部门和有关责任人进行处理,情节特别严重的依法追究相关责任人的法律责任。五是严格落实全天候应急值守制度。切实加强应急值守工作,及时掌握安全动态,做到早发现、早报告、早处置;严格执行领导带班及24小时值班制度,保持24小时通信畅通。

实现“五变”,确保教育网络信息安全。一是做好应急预案,变被动处理为主动防范。建立健全应急处置预案制;研究编印了《温州市教育系统网络与信息安全保障应急处置预案》;指导要求各地各学校建立相应预案;积极应对突发的网络安全事件。二是实施等级测评,变应急处置为提前掌控。市本级投入180余万元,根据网站的类型和性质,对市局及直属单位24个网站进行等级测评,顺利取得了等级保护备案证书。三是组织安全自评,变单一部门防范为全体行动。温州市购置了绿盟安全主机扫描系统,要求所有学校定期对学校网站、系统进行主机安全和网站安全的全面扫描,及时发现安全漏洞,及时组织整改。四是加强宣传教育,变被动管理为自发规避。开展网络安全宣讲进校园活动,聘请宣讲员宣讲相关知识。五是加大网络舆情监管,变事后处置为提前引导。全天24小时监测教育舆情,做到技术监测和人工分析相结合,早发现、早报告、早处置。