網絡安全工作事關國家安全和經濟社會發展,國家高度重視網絡安全,并先后頒布了《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》《網絡數據安全管理條例(征求意見稿)》,明確了網絡的運行管理和數據保護的基本原則。教育部先后發布《關于進一步加強網絡信息系統安全保障工作的通知》《關于加強教育行業網絡與信息安全工作的指導意見》《關于加強新時代教育管理信息化工作的通知》《高等學校數字校園建設規范(試行)》等,分別對教育系統的網絡安全工作提出了具體要求。
網絡安全具有動態性、整體性、開放性的特點。如何筑牢高校網絡安全防線,提高網絡安全保障水平,是高校信息化部門工作的重中之重。
校園網安全風險分析
整體來看,高校網絡安全風險主要包括系統安全、網絡安全和應用安全三個方面的風險。根據高校的組織結構特點將其拆解成具體工作任務,以確保網絡安全工作責任落實到位、落實到人,踐行網絡安全為師生、網絡安全靠師生的工作理念。
首先,在系統安全方面,校園網絡節點硬件設備數量多,分布范圍廣,存在著物理安全風險;操作系統和中間件存在配置不正確,漏洞未及時修復的安全風險;云平臺存在著安全隔離措施不到位,被發起同駐攻擊風險。表1為系統安全風險類型、范圍和防范措施。
表1 系統安全風險類型、范圍和防范措施
其次,在網絡安全方面,端到端通信未采用HTTPS、SSH、SFTP等安全協議,存在數據被截獲、篡改和中間人攻擊風險;網絡基礎設施如DNS、防火墻、路由的訪問控制權限和策略不當,影響網絡的穩定運行;漏洞發現和安全檢測完全依賴設備,攻防對抗能力弱;網絡的RADIUS、VPN等賬號被盜用冒用。表2為網絡安全風險類型、范圍和防范措施。
表2 網絡安全風險類型、范圍和防范措施
最后,在應用安全方面,存在網站內容被篡改、輿情預警能力不足,關鍵應用數據被竊取、應用系統運行不穩定,師生個人信息泄漏、敏感業務數據被篡改,漏洞修復不及時等風險。表3為應用安全風險類型、范圍和防范措施。
表3 應用安全風險類型、范圍和防范措施
隊伍建設探索與實踐
網絡安全的本質是攻防兩端人員的對抗。網絡安全工作專業性強,對人員的理論和實踐能力均有很高的要求。目前,校內外網絡安全崗位待遇差距大,導致信息化部門很難吸引到優秀的網絡安全人才。但高校最不缺的也是人才,理工科院校大都有計算機、信息安全等相關專業,因此吸引優秀的學生和專業教師參加學校的網絡安全工作,可以彌補專業人員缺失導致的網絡安全防護力量不足的缺陷。
信息化部門的業務骨干將積累的工程經驗傳授給學生,為學生提供網絡安全實戰的環境,助力學生成長成才;校園網的網絡安全日志,是開展網絡安全科學研究的寶貴數據,可以將其提供給專業教師。因此,吸引師生參加學校的網絡安全防護是各方的多贏。以此,將學校網絡安全人才隊伍建設成一個具有發展潛能的彈性系統,解決由于編制導致的信息化人員隊伍僵化問題,提高學校的網絡安全防護能力。這些年,長春理工大學在網絡安全上也進行了以下實踐和探索。
第一,組織競賽選拔參加網絡安全防護工作的學生。2016年,學校舉辦了首屆長春理工大學網絡攻防大賽。來自全校10個專業的99名學生報名參賽,經過網絡安全理論基礎知識初賽考核后,38名選手入圍決賽,最終有14名學生獲得決賽獎項。以此次比賽為契機,由指導教師牽頭,以入圍決賽的學生為骨干,組建長春理工大學網絡攻防協會。協會每年通過校內競賽組織納新,定期開展訓練,有針對性地參加國內外的網絡安全競賽,保持協會的活力和水平。
為了提高訓練水平,信息化中心不定期邀請網絡安全廠商和知名的網絡安全技術專家,為協會的學生訓練提供指導。網絡攻防協會先后組隊參加了全國大學生信息安全競賽、吉林省大學生信息安全競賽和各大廠商舉辦的網絡安全競賽,累計獲獎四十余項。通過以賽帶練、以賽促學,網絡攻防協會學生的理論水平和實踐能力得到了提升。
第二,建立基于學校防護工作內容的網絡安全實訓基地。實踐教學是實現卓越工程師培養目標的關鍵環節,因此高校普遍重視實訓基地建設。不同于實驗室的驗證性實驗,實訓教學更加注重為本科生提供與社會需求同步的生產實訓,同時要培養學生的團隊意識、競爭意識以及終身學習能力,力爭將實訓環節作為理論教學和工作崗位之間的橋梁紐帶。
信息化中心以學校網絡安全工作為依托,聯合學校教育部計算機信息安全與網絡攻防虛擬仿真實驗教學中心和吉林省網絡與信息安全重點實驗室,制定符合學生培養需求的實訓方案,建設網絡安全實踐基地,形成協同育人機制。信息化中心定期發布適合學生參加的網絡安全項目需求,學生申請通過考核后,由信息化中心和計算機學院教師共同指導學生利用課余時間完成項目,學生的實踐能力提高明顯。
第三,開展網絡安全硏究提升人員隊伍能力。信息化中心負責學校校園網的運維和網絡安全防護,通過日志分析監控網絡和系統運行狀態是一項重要的工作內容。隨著數據中心設備與應用的增多,日志從單一來源發展為海量異構多源,其采集方式從單機采集發展為分布式采集,簡單的統計分析已經無法滿足網絡安全防護的需求。多源海量日志對基于日志開展的安全研究提出了新的挑戰,全面采集、實時存儲、快速分析和高效利用日志數據,才能更好地保護數據中心的安全。
為此,學校信息化中心和智能網絡與信息安全研究室共同組建了研究團隊,針對數據中心多源日志的挖掘問題開展技術攻關。研究過程中,專業教師深入理解了網絡安全的業務需求,為理論成果找到應用場景,同時發現了理論研究和實際應用之間的差異,為完善理論模型提供了依據。信息化部門的技術骨干學習到科研人員如何分析問題,如何應用理論工具解決實際問題,這一過程不但提高了業務能力,也激發了技術骨干學習和鉆研技術的熱情,近三年信息化部門的教師承擔省級以上研究課題10項。
這種實踐模式也得到了上級的認可。2018年,吉林省委網信辦授予學校“吉林省網絡空間安全人才能力培養與創新基地”。學校協辦了多次吉林省大學生網絡安全競賽,2021、2022年連續2年承辦全國大學生信息安全競賽的東北分區賽,在學校營造了良好的網絡安全學習氛圍。計算機學院根據項目完成的質量和學生的表現給予學生相應的創新實踐分數,實現了網絡安全人才培養和持續提高學校網絡安全防護能力的良性循環。
長春理工大學在建校之初,首任校長王大珩先生就提出“兩個三結合”的辦學理念,既校內“教學、科研、生產”相結合,校外“學校、研究所、工廠”相結合,促進教學與科研生產的融合,注重學生實踐能力的培養。把該理念引入學校的網絡安全防護工作中,吸引網絡安全相關的專業教師和優秀的學生參加學校的網絡安全技術防護工作,在長春理工大學取得了良好的效果。在一定程度上,解決了信息化人員隊伍中專業人員不足和專業能力弱的問題。
當然,目前仍存在一些體制機制問題尚待解決:如何認定專任教師參與網絡安全工作的貢獻?如何認定信息化部門教師指導學生的工作量?如何持續吸引專業教師參加學校的網絡安全工作?未來,這些問題都需要進一步探索。
基金項目:吉林省教育科學規劃課(GH180148);吉林省高等教育教學改革研究課(JLLG685520190725093004);吉林省高等教育學會高教科研課題(JGJX2019D58)
作者:底曉強123、從立鋼13、蔡彬彬2(作者1單位為吉林省網絡與信息安全重點實驗室,作者2單位為長春理工大學信息化中心,作者3單位為長春理工大學計算機學院)
責編:陳永杰
