网络安全工作事关国家安全和经济社会发展,国家高度重视网络安全,并先后颁布了《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《网络数据安全管理条例(征求意见稿)》,明确了网络的运行管理和数据保护的基本原则。教育部先后发布《关于进一步加强网络信息系统安全保障工作的通知》《关于加强教育行业网络与信息安全工作的指导意见》《关于加强新时代教育管理信息化工作的通知》《高等学校数字校园建设规范(试行)》等,分别对教育系统的网络安全工作提出了具体要求。
网络安全具有动态性、整体性、开放性的特点。如何筑牢高校网络安全防线,提高网络安全保障水平,是高校信息化部门工作的重中之重。
校园网安全风险分析
整体来看,高校网络安全风险主要包括系统安全、网络安全和应用安全三个方面的风险。根据高校的组织结构特点将其拆解成具体工作任务,以确保网络安全工作责任落实到位、落实到人,践行网络安全为师生、网络安全靠师生的工作理念。
首先,在系统安全方面,校园网络节点硬件设备数量多,分布范围广,存在着物理安全风险;操作系统和中间件存在配置不正确,漏洞未及时修复的安全风险;云平台存在着安全隔离措施不到位,被发起同驻攻击风险。表1为系统安全风险类型、范围和防范措施。
表1 系统安全风险类型、范围和防范措施
其次,在网络安全方面,端到端通信未采用HTTPS、SSH、SFTP等安全协议,存在数据被截获、篡改和中间人攻击风险;网络基础设施如DNS、防火墙、路由的访问控制权限和策略不当,影响网络的稳定运行;漏洞发现和安全检测完全依赖设备,攻防对抗能力弱;网络的RADIUS、VPN等账号被盗用冒用。表2为网络安全风险类型、范围和防范措施。
表2 网络安全风险类型、范围和防范措施
最后,在应用安全方面,存在网站内容被篡改、舆情预警能力不足,关键应用数据被窃取、应用系统运行不稳定,师生个人信息泄漏、敏感业务数据被篡改,漏洞修复不及时等风险。表3为应用安全风险类型、范围和防范措施。
表3 应用安全风险类型、范围和防范措施
队伍建设探索与实践
网络安全的本质是攻防两端人员的对抗。网络安全工作专业性强,对人员的理论和实践能力均有很高的要求。目前,校内外网络安全岗位待遇差距大,导致信息化部门很难吸引到优秀的网络安全人才。但高校最不缺的也是人才,理工科院校大都有计算机、信息安全等相关专业,因此吸引优秀的学生和专业教师参加学校的网络安全工作,可以弥补专业人员缺失导致的网络安全防护力量不足的缺陷。
信息化部门的业务骨干将积累的工程经验传授给学生,为学生提供网络安全实战的环境,助力学生成长成才;校园网的网络安全日志,是开展网络安全科学研究的宝贵数据,可以将其提供给专业教师。因此,吸引师生参加学校的网络安全防护是各方的多赢。以此,将学校网络安全人才队伍建设成一个具有发展潜能的弹性系统,解决由于编制导致的信息化人员队伍僵化问题,提高学校的网络安全防护能力。这些年,长春理工大学在网络安全上也进行了以下实践和探索。
第一,组织竞赛选拔参加网络安全防护工作的学生。2016年,学校举办了首届长春理工大学网络攻防大赛。来自全校10个专业的99名学生报名参赛,经过网络安全理论基础知识初赛考核后,38名选手入围决赛,最终有14名学生获得决赛奖项。以此次比赛为契机,由指导教师牵头,以入围决赛的学生为骨干,组建长春理工大学网络攻防协会。协会每年通过校内竞赛组织纳新,定期开展训练,有针对性地参加国内外的网络安全竞赛,保持协会的活力和水平。
为了提高训练水平,信息化中心不定期邀请网络安全厂商和知名的网络安全技术专家,为协会的学生训练提供指导。网络攻防协会先后组队参加了全国大学生信息安全竞赛、吉林省大学生信息安全竞赛和各大厂商举办的网络安全竞赛,累计获奖四十余项。通过以赛带练、以赛促学,网络攻防协会学生的理论水平和实践能力得到了提升。
第二,建立基于学校防护工作内容的网络安全实训基地。实践教学是实现卓越工程师培养目标的关键环节,因此高校普遍重视实训基地建设。不同于实验室的验证性实验,实训教学更加注重为本科生提供与社会需求同步的生产实训,同时要培养学生的团队意识、竞争意识以及终身学习能力,力争将实训环节作为理论教学和工作岗位之间的桥梁纽带。
信息化中心以学校网络安全工作为依托,联合学校教育部计算机信息安全与网络攻防虚拟仿真实验教学中心和吉林省网络与信息安全重点实验室,制定符合学生培养需求的实训方案,建设网络安全实践基地,形成协同育人机制。信息化中心定期发布适合学生参加的网络安全项目需求,学生申请通过考核后,由信息化中心和计算机学院教师共同指导学生利用课余时间完成项目,学生的实践能力提高明显。
第三,开展网络安全硏究提升人员队伍能力。信息化中心负责学校校园网的运维和网络安全防护,通过日志分析监控网络和系统运行状态是一项重要的工作内容。随着数据中心设备与应用的增多,日志从单一来源发展为海量异构多源,其采集方式从单机采集发展为分布式采集,简单的统计分析已经无法满足网络安全防护的需求。多源海量日志对基于日志开展的安全研究提出了新的挑战,全面采集、实时存储、快速分析和高效利用日志数据,才能更好地保护数据中心的安全。
为此,学校信息化中心和智能网络与信息安全研究室共同组建了研究团队,针对数据中心多源日志的挖掘问题开展技术攻关。研究过程中,专业教师深入理解了网络安全的业务需求,为理论成果找到应用场景,同时发现了理论研究和实际应用之间的差异,为完善理论模型提供了依据。信息化部门的技术骨干学习到科研人员如何分析问题,如何应用理论工具解决实际问题,这一过程不但提高了业务能力,也激发了技术骨干学习和钻研技术的热情,近三年信息化部门的教师承担省级以上研究课题10项。
这种实践模式也得到了上级的认可。2018年,吉林省委网信办授予学校“吉林省网络空间安全人才能力培养与创新基地”。学校协办了多次吉林省大学生网络安全竞赛,2021、2022年连续2年承办全国大学生信息安全竞赛的东北分区赛,在学校营造了良好的网络安全学习氛围。计算机学院根据项目完成的质量和学生的表现给予学生相应的创新实践分数,实现了网络安全人才培养和持续提高学校网络安全防护能力的良性循环。
长春理工大学在建校之初,首任校长王大珩先生就提出“两个三结合”的办学理念,既校内“教学、科研、生产”相结合,校外“学校、研究所、工厂”相结合,促进教学与科研生产的融合,注重学生实践能力的培养。把该理念引入学校的网络安全防护工作中,吸引网络安全相关的专业教师和优秀的学生参加学校的网络安全技术防护工作,在长春理工大学取得了良好的效果。在一定程度上,解决了信息化人员队伍中专业人员不足和专业能力弱的问题。
当然,目前仍存在一些体制机制问题尚待解决:如何认定专任教师参与网络安全工作的贡献?如何认定信息化部门教师指导学生的工作量?如何持续吸引专业教师参加学校的网络安全工作?未来,这些问题都需要进一步探索。
基金项目:吉林省教育科学规划课(GH180148);吉林省高等教育教学改革研究课(JLLG685520190725093004);吉林省高等教育学会高教科研课题(JGJX2019D58)
作者:底晓强123、从立钢13、蔡彬彬2(作者1单位为吉林省网络与信息安全重点实验室,作者2单位为长春理工大学信息化中心,作者3单位为长春理工大学计算机学院)
责编:陈永杰