【回望2018】网络安全攻防大赛此起彼伏
网络安全攻防大赛此起彼伏
防控安全风险
2018年11月1日,美国高等教育信息化协会(EDUCAUSE)发布了2019年度十大IT议题(Top10ITIssues),第一个就是信息安全战略(InformationSecurityStrategy),而2018年度十大IT议题第一个也是信息安全(InformationSecurity)。网络安全是伴随信息化发展的永恒话题,绝对安全并不存在,怎么制定基于风险的安全战略,通过一定规模的投入,有效发现、防范和应对网络安全威胁和挑战,继续成为高校教育信息化健康发展所面临的年度首要问题。
2018年8月24日,教育部办公厅下发了关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知,明确要深入研究IPv6环境下的网络安全问题,建立并完善相关管理制度和技术规范,开展面向IPv6的网络安全等级保护、风险评估、通报预警。通过推进基于流量的安全监测工作,探索真实源地址验证技术的应用,来提高网络安全态势感知能力。下一代互联网时代已经到来,传统的安全问题仍然会以各种形态存在,应用安全并不因底层协议进步而消亡。学校如果对IPv6协议理解不深刻,推广部署的时候安全管控措施没跟上,反而会产生新的安全风险点。反之在IPv4到IPv6过渡期间,如果同步完成安全硬件设备和管控软件平台的升级改造,整体安全防护能力就能借此又上一个台阶。
2018年4月13日,教育部印发《教育信息化2.0行动计划》,明确要加强教育系统党组织对网络安全和信息化工作的领导,明确主要负责人为网络安全工作的第一负责人。提出要充分利用云计算、大数据、人工智能等新技术,构建全方位、全过程、全天候的支撑体系,助力教育教学、管理和服务的改革发展。新技术不仅支持教育信息化,也同样深刻改变着教育网络安全的未来发展。深入开展网络安全监测预警,提高网络安全态势感知水平,这些都离不开云计算、大数据等新技术的支撑,也离不开高校自身安全技术力量的参与。网络安全谁也不能独善其身,要建立有序共享的良性机制,高校要实现优势互补。
聚焦人才培养
2018年的高校网络安全竞赛此起彼伏。深圳的"TCTF"全球信息安全争霸赛,郑州的"强网杯"全国网络安全挑战赛,北京的"网鼎杯"网络安全大赛,杭州的"高校网络信息安全管理运维挑战赛",大大小小的安全赛事锻炼了高校队伍的实战能力。以赛促学、以赛代练,增强了学校信息化部门的安全力量,也为高校安全攻防演练培养了一批具有较高专业素养的人才队伍。安全本质上还是人与人之间的攻防对抗,高校天然就具有人才优势,怎么培养、组织、使用好这批学校的自身安全力量,在育人和科研的同时,也能为学校自身信息化的安全建设保驾护航,很多学校都开始了各种形式的探索。
2018年的高校网络安全漏洞数量同比2017年有了显著下降,数据泄露、邮件安全、个人隐私信息保护,数据库安全都开始被高校更加重视并思考,摆脱疲于奔命的应急响应,安全向深层次发展。智慧校园建设中,传统的网络交换路由安全为人们所熟悉,信息系统应用安全也深入人心,数据安全得到更多关注也是信息化发展到一定阶段的必然结果。随着高校信息化建设的深入,数据共享交换应用和数据分析服务在学生培养、科学研究、高校治理和公共服务中的重要性与日俱增,怎么保护学校核心数据资产,体系化的高校数据信息安全保护措施成为必选。
每年安全一小步,三年安全一大步,过去若干年网络安全和信息化没有同步发展的差距在拉近,学校的安全意识在持续提升,投入在不断增加,2019,未来更美好!
(作者为上海交通大学网络信息中心副主任)
(来源:《中国教育网络》2019年1月刊)