困擾全球的“勒索病毒”爆發兩個星期之后,6月1日,我國《網絡安全法》正式實施,這是網絡空間安全的里程碑事件,我國網絡安全工作由此進入有法可依、有法必依的階段。這也意味著,網絡安全工作有了無法逾越的底線標準。
在《網絡安全法》正式發布之前的3月,教育部發布了《教育行業網絡安全綜合治理行動方案》,“治亂、堵漏、補短、規范”八個字是此次治理的重要內容。教育部科技司調研員舒華提到,之所以將這幾項工作作為重點任務推進源于問題導向。
雖然高校網絡安全相比其他行業要好很多,但形勢仍然不容樂觀。華中科技大學于俊清教授用“壓力山大”來形容高校網絡安全現狀,“即便在211和985高校,網絡安全的情況仍然令人擔憂”。在所有影響到高校網絡安全的因素中,于俊清認為,首先是管理因素,其次是人員因素,最后是技術因素。
短板效應在網絡空間安全上得到了最大程度的體現。有句話說,安全工作做了九十九分,但丟了一分,最后你得到的可能是零分。《網絡安全法》的出臺提醒我們每一個人要有底線思維。無論過去做到了幾分,但從現在開始我們都要思考:網絡信息安全工作要做什么,怎么做?
第一,思想觀念的轉變。當前教育行業網絡安全工作中的主要問題和挑戰幾乎都圍繞“觀念”:思想觀念不到位,工作要求不落實;法制觀念不強,責任義務不履行;缺乏主動作為,小散亂現象嚴重。網絡安全觀念的普及任重道遠,信息化部門作為主要參與和推進部門,未來要千方百計通過各種方式推動學校各個層面意識到每個人肩負的網絡安全責任,從而提升學校整體的信息安全素養。
第二,安全制度的到位。強化主體責任是《教育行業網絡安全綜合治理行動方案》的第一步,是網絡安全工作進展的基礎,然而目前現狀也不容樂觀。教育信息化研究小組在2016年針對96所高校做的調查表明,有11所高校完全未制定安全保密相關的政策。
管理辦法的制定是一所高校通向良好的網絡安全環境的基石,要統籌指導,分級負責,明確管理中的各方責任。這個過程是非常艱難的,中山大學制定網絡安全管理辦法之前進行了很長一段時間的調研和收集。這是萬里長征第一步。
第三,隊伍建設要加強。安全威脅不離不棄,每一個小小的漏洞都可能引發極大的安全事故。必須要有人每天都在思考安全這件事情,而且針對學校的實際情況推進工作。信息化部門缺人,信息安全崗位更缺人。盡管如此,即便沒有專職的人員,也需要兼職人員能夠投入足夠的時間,信息安全工作才能夠有所進步。
去年習近平總書記在4月19日的講話中提到的“只要是優秀人才,都可以為我所用,要不拘一格降人才,解放思想,慧眼識才,愛才惜才”等思路的提出是讓人振奮的,對高校未來吸引信息安全人才給予了一種政策導向上的參考。
擴充網絡安全隊伍是長期的工作,在人員不夠充足的情況下,高校可爭取學校支持,設立專項資金支持購置信息安全產品和服務。在政策上,“十三五”信息化規劃中已明確提出,高校可以購買服務的方式推進信息化建設。在觀念上,產品服務外包對于高校來說,并不新鮮但也絕不熟悉,從購買設備到購買服務不僅是方法上的過渡,更是心理上的過渡。
第四,提升技術能力。安全是一件時刻在路上的工作。對于信息化部門的網絡安全人員來說,要不斷提升看見威脅的能力。能夠發現問題,能夠看到威脅,才能更好地思考信息化安全工作。
合作對于網絡信息安全來說非常必要,網絡空間安全共同體的打造有賴于各方力量。幾年前,我們提到網絡安全時反復用到一個詞:聯動。今天看來,聯動的力量仍然很大,并且聯動的方式越來越多。教育部目前正在實施的教育系統安全威脅通報體系就是一個合作聯動的平臺,囊括了教育機構、學校、企業等多方面的力量,這樣的聯動與合作產生了多元化的數據源,從而推動教育行業的整體安全形態。
京公網安備 11010502049343號