如何構建更加安全的校園網路環境
信息技術的高速發展將網路帶入了校園。隨著互聯網特別是移動互聯網在校園內的普及,師生的工作、學習、生活,學校的日常教學、管理都越來越離不開網路。但在享受網路便捷的同時,校園也面臨著許多網路安全隱患,如技術故障、信息泄露、惡意攻擊等,師生同樣面臨不良信息、網路欺詐等風險。
目前的校園網路安全存在哪些隱患?網路安全教育的現狀如何,又怎樣入腦入心?建立維護校園網路安全的長效機制需要採取哪些舉措?記者約請專家和相關負責人對這些問題進行深入探討。
1 為何要緊繃校園網路安全這根弦?
記者:隨著信息技術的普及,校園網路安全越來越受到重視。為什麼我們要緊繃維護校園網路安全這根弦?
張生:隨著信息技術尤其是移動互聯技術的飛速發展,網路已成為在校學生學習、娛樂、交往的一種重要途徑,也是學校育人環境不可或缺的組成部分。在校學生心智不夠成熟,自我約束力不夠強,在享受網路帶來的諸多好處的同時,很容易受到網上各種信息的誘惑,有針對性地侵害學生的網路犯罪活動時有發生。作為學校網路安全環境下的一分子,學生既是最大的受益者,也可能是受害者甚至危害者。如何趨利避害,為學生營造一個安全、潔凈的網路環境,關係著學生的身心和學業發展。對於學校而言,維護校園網路安全,是保障教育教學正常開展的基礎性工作,也是構建新時代育人環境的重要工作。面對這項工作,學校的制度、技術、人員素質都需要進一步優化和提升。
李暉:高校作為一個擁有數萬師生的單位,其網路與信息服務主要分為兩類:日常教學、生活等的信息管理與組織服務(包括教務系統、一卡通系統、財務系統、辦公系統、研究生系統等),網路接入服務(包括校園網有線/無線接入、易迅接入、移動通信網在校園內的使用等)。其中,第一類服務的穩定和安全直接關係到學校的正常運轉和校園穩定(可能出現的問題包括服務系統崩潰、信息被竄改等),並間接影響學生、教師的信息安全(相關信息泄露可能導致各類網路詐騙的發生);第二類服務的有效管理和安全保護,則直接關係到用戶個人信息賬號安全、網路空間內容安全、校園輿情引導等,甚至會影響到學生的價值觀。因此,我們必須緊繃校園網路安全這根弦,確保校園網路安全、有序、穩定運行。
2 當前校園網路安全存在哪些隱患?
記者:當前校園網路安全主要存在哪些隱患?這些隱患會產生哪些危害?造成這些隱患的主要原因是什麼?
張生:去年我參與了西南某省會城市一項覆蓋11萬名小學、初中、高中生的校園網路安全意識調查。從調查結果來看,校園網路安全隱患具體表現在以下幾個方面:
一是個人隱私保護不周。調查顯示,當收到陌生中獎信息或求助時,30%的學生會留下全部信息,會選擇性留下信息的學生只佔31%;當意識到個人信息被泄露時,17%的學生會不知所措。
二是社交安全意識有待加強。17%的學生未經核實便同意加陌生人為好友,23%的學生相信與陌生人的談話內容,15%的學生直接接收陌生人發來的文件;學生們對熟人更加缺乏防範意識,45%的學生會點擊同學發來的鏈接。
三是數據備份與密碼安全意識行為有待加強。在個人信息安全方面,只有53%的學生會定期更改密碼和對重要數據進行備份,對於重要數據完全不設置密碼的佔29%,56%的學生使用生日、電話號碼、英語單詞等作為簡單密碼。
四是使用電子郵件和網路下載功能時,對網路不安全因素的關注有待加強。在使用電子郵件時,32%的學生會設置郵件過濾,大部分學生對於垃圾軟體不予理睬;在網上下載資源時,44%的學生認為應該在家長和老師的指導下下載,30%的學生認為自己具備甄別能力可以自行下載。
五是對不良信息的處理能力有待提高。在「當不小心進入了兒童不宜的網站時,我們應該怎麼做」調查項中,22%的初中生選擇了「繼續瀏覽」,還有22%左右的初中生選擇了「介紹給其他同學瀏覽」。
六是網路安全防範知識普及不足。67%的小學生了解病毒、木馬、網路黑客等,32%的小學生表示不了解。
七是應對網路犯罪的素養不足。64.16%的高中生曾遭遇網路詐騙,38.26%曾被騙子成功詐騙。
這些隱患對學生的學習生活存在負面影響,嚴重時可能影響學生身心健康。目前,對學生網路信息安全素養的培養體系尚未建立,學生缺乏網路信息安全法律法規教育,缺少樹立網路安全意識的訓練,缺乏防範網路風險能力的培養,這需要政府相關部門和學校高度重視。
李暉:我認為當前校園網路安全存在的隱患主要涉及以下幾方面:
一是校園各類信息服務系統的數據安全。由於校園內各種二級、三級域名系統管理相對分散,針對各類漏洞風險可能會存在安全維護不及時等問題。這會導致部分網站或信息系統存在被拖庫、竄改等風險,從而導致師生的各類敏感信息泄露。
二是校園網路、移動通信網無線接入安全。由於校園網路中WiFi(行動熱點)接入點眾多且大多採用802.1x(一種訪問控制和認證協議)方式,人員密集使其成為具有較高價值的攻擊目標,因此存在大量的偽熱點、基站試圖竊取用戶敏感賬號信息,進行釣魚欺詐等。
三是校園信息系統中輿情內容安全(不良信息及言論的傳播)。由於大學生初步掌握了各種獲取信息的工具,可以輕易接觸到色情、暴力、反動等不良信息,這會影響其人生觀、世界觀的形成和發展。
四是校園用戶網路安全意識參差不齊。大學校園裡,有對網路安全懵懵懂懂的本科新生,也有心智均已成熟的碩博研究生,這使得網路安全制度制定很難全面考慮和充分覆蓋,容易一刀切。同樣的網路信息,對不同心智的學生影響差異很大,這是影響輿情內容安全的一個重要因素。
陳建淼:溫州市電化教育館對全市學校網路安全做摸底分析,發現存在如下問題:一是職責不清;二是遇到重大安保事件時,經常把網站系統一關了之,影響了工作和信息通暢;三是勒索病毒肆虐,存在內網大規模感染的安全隱患;四是「互聯網+」形勢下,數據高度集中,給網路數據安全帶來極大的挑戰;五是網路安全人才缺乏,學校網路安全管理意識和能力不強;六是教育系統人員眾多,教育輿情問題突出。
3 維護校園網路安全如何避免「一刀切」?
記者:在用技術手段維護校園網路安全時,怎樣避免出現斷網「一刀切」等情況?在維護校園網路安全的同時,怎樣保持和提升網路信息技術的正面效應?
張生:「一刀切」是對校園網路安全不自信的一種表現。「一刀切」是一種簡單粗暴的管理方式,體現著網路安全管理相關規則、網路安全防範技能和網路安全危機應對能力的缺乏。
要避免「一刀切」現象,首先要按照國家有關安全標準,對校園網路數據和系統進行分類分級,確定系統的保密級別,並在權威機構登記、備案;其次,要研究制定好網路安全管理制度,如數據備份與保密制度、硬體巡檢制度、網路漏洞掃描制度、人員保密教育制度、風險控制制度、風險應急制度等,做到按制度和規範辦事,把風險圈定在可控範圍之內;再其次,要提升相關工作人員素養,對專兼職隊伍進行培養培訓,及時更新人員的專業知識和技能,增強應對風險和解決問題的能力,有條件的學校可引入第三方專業機構進行網路的設計、管理和維護;最後,要對使用者進行網路安全教育,提升師生網路安全素養,使他們做到既不受危害,也不危害他人。
李暉:好的網路安全維護手段,不但不會降低網路的可用性,還能帶來一定的提升作用。第一,在網路架構方面,校園網路需要分層分區設計,同時應用網路隔離技術,防止網路威脅的橫向移動,造成大面積損失;第二,在威脅監控方面,需要應用一些網路安全設備和威脅感知技術,對網路威脅做到及時感知、及時防禦,找到威脅源並及時處理;第三,在網路許可權方面,需要給教職工和學生分配合理的網路許可權,這樣即便發生了網路攻擊,也會因為網路許可權不足,無法攻擊網路中的重要資源;第四,對教職工和學生進行網路安全意識教育,讓他們能夠識別網路威脅、保護好個人數據和財產、謹慎進行涉及經濟利益的操作,同時及時修復安全漏洞,從源頭上降低網路安全威脅產生的可能性。值得一提的是,有些學生會出於好奇採取網路攻擊行為,這就需要對學生進行網路安全法律法規教育,讓他們明白這些行為可能造成的危害。
4 網路安全教育怎樣入腦入心?
記者:面臨網路欺詐時,學生為什麼容易上當?對學生進行網路安全教育的現狀如何?
張生:網路欺詐團伙往往深入研究了人性的缺陷,有針對性地選擇詐騙手段。學生正處在身心發展過程中,心智不夠健全,容易受到傷害。在當前的教育體系中,網路安全教育還比較薄弱。一是缺乏整體課程規劃和設計,學時不夠;二是課程內容缺乏系統性和層次性,不能滿足學生需要;三是學習形式比較落後,缺乏互動體驗、實際操作等環節;四是社會對網路安全教育的意識比較薄弱,上述調查顯示,28%的中小學生認為沒有必要加強網路安全意識教育,18%的學生表示學校沒有開設此類課程或者講座。
李暉:當前,大學生大多缺少社會經驗,非網路安全類專業的學生網路安全意識較淡薄,騙子往往會抓住他們充滿好奇、希望獨立、相對單純及貪心等心理,導致他們上當受騙。比如,騙子經常採取網路兼職刷單詐騙方式,就是利用了大學生初入高校、希望經濟獨立的心理;網購詐騙、退款詐騙、遊戲賬戶交易詐騙、中獎詐騙等招數則是利用了學生(也包括社會上的其他群體)貪心的心理。因此,只要記住天上不會掉餡餅,不要抱有僥倖心理,不隨意給陌生人轉賬,不隨便點擊陌生人發來的鏈接,在官網進行網購或遊戲充值,就可以最大限度避免受騙,有效防範網路欺詐。
在大學教育中,目前面向非安全專業碩士生開設的網路安全相關課程較多,面向全體本科生的網路安全通識教育缺乏,大多數非安全專業本科生僅僅靠主動了解或參與相關社團活動來掌握網路安全知識。
記者:當前,學校網路安全教育有哪些需要改進的地方?網路安全教育怎樣才能入腦入心?
張生:首先,要提高學校對網路安全教育重要性的認識,多措並舉開展網路安全教育,做到人人參與、人人有責;其次,要依據學生年齡、學段的區別,進行網路安全教育內容的頂層設計,確保對學生網路安全素養的培育是連續的、階段性的、科學的;再其次,上述調查顯示,45%的學生喜歡以實驗實操方式進行的網路安全教育課,學校可以通過引進專業的第三方服務等,開展互動性強、實操機會多的網路安全教育活動,讓網路安全教育在學生的意識和行為層面產生作用;最後,應該把網路安全教育納入學校育人體系,加強師資配備和教研能力提升,落實課程學時,同時確保硬體支持到位。
李暉:首先,要加強對非網路安全專業學生的日常網路安全教育,學校可以面向全體師生開設網路安全、計算機網路等公選課程,為學生掌握網路安全基礎知識提供更多的機會;其次,結合學生學習生活,在校園內開展各類網路安全宣傳教育,使網路安全意識深入人心,宣傳教育活動要充分調動學生的主觀能動性、降低學習門檻、提升學習樂趣;再其次,強化教師的網路安全知識,讓教師在日常課堂教學、課外校外活動中為學生穿插講解相關知識。
記者:校園是一方凈土,而社會卻很複雜。網路讓校園連通整個社會,社會上的一些假惡丑現象不可避免地會對校園產生影響。在這種情況下,學校教育面臨哪些挑戰?又如何去應對這些挑戰?
李暉:對涉世未深的學生們而言,網路是重要的學習生活工具,但其提供的信息浩如煙海卻良莠不齊,學校和教育工作者們通常會面臨如下挑戰:網路信息魚龍混雜,學生人格容易被一些不健康的思想和價值取向扭曲,導致其個人中心主義加深、道德評價標準缺失,甚至出現雙重人格傾向;網路形成的虛擬社會誘惑學生逃避現實,導致學生們將網路社會中的虛擬形象投影到現實空間,甚至將虛擬空間當作逃避現實的「麻醉劑」。
對於學校和教師而言,首先應通過各種方式引導學生樹立正確的價值觀,指導學生對不同信息渠道傳遞而來的信息進行比較選擇,形成獨立的明辨是非能力,充分利用網路帶來的便利而摒棄不良影響,這點對低年級學生尤為重要;對沉溺於網路空間的學生而言,現實生活的失意更勝於虛擬空間的誘惑,一味說教和強制學生脫離網路空間並非上策,教師更應注意這些學生的現實生活,充實其學習、運動及社交,鼓勵他們走向他人、結交朋友,幫助其從虛擬網路空間走向現實社會。
5 怎樣建立健全維護校園網路安全的長效機制?
記者:維護校園網路安全是一項系統工程,您認為其關鍵點是什麼?怎樣從人防、技防等角度,建立健全維護校園網路安全的長效機制?
李暉:我認為維護校園網路安全的關鍵在於明確網路安全邊界、健全安全防護機制、形成高素質安全隊伍、增強師生安全意識。
具體來說,可以根據服務系統內容安全、信息服務系統安全、網路基礎設施安全等不同類別,明確不同的責任主體和技術主體。例如,學校各類網站內容的建設與維護、網上輿論分析與引導、網路文化建設等工作由相關部門統一審核管理;校園中的各類網路與信息服務系統的安全防護技術,校園網路WiFi接入熱點、網路基站等設備的定期安全排查,由學校相關網路安全管理部門進行統一規範管理;在安全防護技術方面,可以構建一套完整的防禦體系,擁有完備的安全方案和防護措施,例如郵件安全、無線安全、伺服器安全、入侵檢測等,使這一防禦體系具有威脅感知、威脅防禦和應急響應能力,實現對校園網路環境下信息泄密、網路病毒等的重點防護和監控,並通過認證、授權、審核的方式刻畫師生用戶的網路行為軌跡;建立高素質網路安全人才隊伍,使其能夠將這一整套防禦體系運作起來,運用各類安全技術對網路威脅和攻擊進行識別、防禦和響應;通過普及網路安全知識,全面提升廣大師生的網路安全意識和安全防護技能,這也是維護校園網路安全最重要的一道防線。
陳建淼:面對日益嚴峻的網路安全形勢,溫州市全面貫徹省教育技術中心網路安全具體部署,採取「五全、五嚴、五變」舉措,構建網路安全生態圈,努力建設與教育信息化發展相適應的網路與信息安全保障體系。
抓好「五全」,強化網路安全組織管理。一是全面提升網路安全認識。溫州市先後多次召開各類會議,組織全市各縣(市、區)分管局長、教育技術中心主任、局機關全體工作人員、校長等傳達、學習《中華人民共和國網路安全法》等相關法律法規,提高網路安全防範意識。二是全面排查網路安全問題,對全市學校網路安全情況做摸底分析。三是全面加強安全工作組織領導,重構網路安全與教育信息化組織領導體系。溫州市教育局合併教育網路安全領導小組與信息化工作領導小組,成立了教育網路安全和信息化工作領導小組及三個專項小組。四是全面加強網路安全基礎建設。統一建設教育雲計算中心(機房),建設溫州教育大數據平台,統一安裝終端安全管理軟體。五是全面加強網路安全管理。統一推進網路安全等級保護制度,統一落實網站集約化管理,統一部署有線無線登錄認證,統一開展網路安全管理人員培訓。
落實「五嚴」,強化網路安全責任到位。一是嚴格網路建設項目審核流程。二是嚴格執行網路安全管理制度。三是嚴格落實網路安全責任制。明確市縣校和各部門(單位)行政「一把手」為網路安全和信息安全第一責任人;明確「誰主管、誰負責,誰主辦、誰負責」的網路信息安全責任;配備專兼職信息安全管理員,具體負責本單位網路安全和信息安全工作。四是嚴格網路安全責任追究制。將網路安全的考核納入到直屬單位(學校)、縣(市、區)教育局的年度考核中;對存在安全漏洞不整改、發生網路安全事故的予以扣分警示;因管理不善致使本部門內發生重、特大信息安全事故或嚴重違紀違法事件的,按有關規定對部門和有關責任人進行處理,情節特別嚴重的依法追究相關責任人的法律責任。五是嚴格落實全天候應急值守制度。切實加強應急值守工作,及時掌握安全動態,做到早發現、早報告、早處置;嚴格執行領導帶班及24小時值班制度,保持24小時通信暢通。
實現「五變」,確保教育網路信息安全。一是做好應急預案,變被動處理為主動防範。建立健全應急處置預案制;研究編印了《溫州市教育系統網路與信息安全保障應急處置預案》;指導要求各地各學校建立相應預案;積極應對突發的網路安全事件。二是實施等級測評,變應急處置為提前掌控。市本級投入180餘萬元,根據網站的類型和性質,對市局及直屬單位24個網站進行等級測評,順利取得了等級保護備案證書。三是組織安全自評,變單一部門防範為全體行動。溫州市購置了綠盟安全主機掃描系統,要求所有學校定期對學校網站、系統進行主機安全和網站安全的全面掃描,及時發現安全漏洞,及時組織整改。四是加強宣傳教育,變被動管理為自發規避。開展網路安全宣講進校園活動,聘請宣講員宣講相關知識。五是加大網路輿情監管,變事後處置為提前引導。全天24小時監測教育輿情,做到技術監測和人工分析相結合,早發現、早報告、早處置。
《中國教育報》2019年04月18日第4版
