有句话说,安全工作做了九十九分,但丢了一分,最后你得到的可能是零分。
困扰全球的“勒索病毒”爆发两个星期之后,6月1日,我国《网络安全法》正式实施,这是网络空间安全的里程碑事件,我国网络安全工作由此进入有法可依、有法必依的阶段。这也意味着,网络安全工作有了无法逾越的底线标准。
在《网络安全法》正式发布之前的3月,教育部发布了《教育行业网络安全综合治理行动方案》,“治乱、堵漏、补短、规范”八个字是此次治理的重要内容。教育部科技司调研员舒华提到,之所以将这几项工作作为重点任务推进源于问题导向。
虽然高校网络安全相比其他行业要好很多,但形势仍然不容乐观。华中科技大学于俊清教授用“压力山大”来形容高校网络安全现状,“即便在211和985高校,网络安全的情况仍然令人担忧”。在所有影响到高校网络安全的因素中,于俊清认为,首先是管理因素,其次是人员因素,最后是技术因素。
短板效应在网络空间安全上得到了最大程度的体现。有句话说,安全工作做了九十九分,但丢了一分,最后你得到的可能是零分。《网络安全法》的出台提醒我们每一个人要有底线思维。无论过去做到了几分,但从现在开始我们都要思考:网络信息安全工作要做什么,怎么做?
第一,思想观念的转变。当前教育行业网络安全工作中的主要问题和挑战几乎都围绕“观念”:思想观念不到位,工作要求不落实;法制观念不强,责任义务不履行;缺乏主动作为,小散乱现象严重。网络安全观念的普及任重道远,信息化部门作为主要参与和推进部门,未来要千方百计通过各种方式推动学校各个层面意识到每个人肩负的网络安全责任,从而提升学校整体的信息安全素养。
第二,安全制度的到位。强化主体责任是《教育行业网络安全综合治理行动方案》的第一步,是网络安全工作进展的基础,然而目前现状也不容乐观。教育信息化研究小组在2016年针对96所高校做的调查表明,有11所高校完全未制定安全保密相关的政策。
管理办法的制定是一所高校通向良好的网络安全环境的基石,要统筹指导,分级负责,明确管理中的各方责任。这个过程是非常艰难的,中山大学制定网络安全管理办法之前进行了很长一段时间的调研和收集。这是万里长征第一步。
第三,队伍建设要加强。安全威胁不离不弃,每一个小小的漏洞都可能引发极大的安全事故。必须要有人每天都在思考安全这件事情,而且针对学校的实际情况推进工作。信息化部门缺人,信息安全岗位更缺人。尽管如此,即便没有专职的人员,也需要兼职人员能够投入足够的时间,信息安全工作才能够有所进步。
去年习近平总书记在4月19日的讲话中提到的“只要是优秀人才,都可以为我所用,要不拘一格降人才,解放思想,慧眼识才,爱才惜才”等思路的提出是让人振奋的,对高校未来吸引信息安全人才给予了一种政策导向上的参考。
扩充网络安全队伍是长期的工作,在人员不够充足的情况下,高校可争取学校支持,设立专项资金支持购置信息安全产品和服务。在政策上,“十三五”信息化规划中已明确提出,高校可以购买服务的方式推进信息化建设。在观念上,产品服务外包对于高校来说,并不新鲜但也绝不熟悉,从购买设备到购买服务不仅是方法上的过渡,更是心理上的过渡。
第四,提升技术能力。安全是一件时刻在路上的工作。对于信息化部门的网络安全人员来说,要不断提升看见威胁的能力。能够发现问题,能够看到威胁,才能更好地思考信息化安全工作。
合作对于网络信息安全来说非常必要,网络空间安全共同体的打造有赖于各方力量。几年前,我们提到网络安全时反复用到一个词:联动。今天看来,联动的力量仍然很大,并且联动的方式越来越多。教育部目前正在实施的教育系统安全威胁通报体系就是一个合作联动的平台,囊括了教育机构、学校、企业等多方面的力量,这样的联动与合作产生了多元化的数据源,从而推动教育行业的整体安全形态。