聚焦高校信息化建设与网络安全，专家学者共探安全屏障构建思路

随着人工智能、大数据、物联网等新一代信息技术的迅猛发展，教育信息化2.0和智慧校园建设快速推进。武汉高校资源丰富，是在校本专科生超百万、在学研究生超过10万人的“双料大城”，各高校信息化也在如火如荼地建设。

不过，高校在信息化建设过程中，仍然存在信息系统多、数据海量且敏感、安全能力薄弱、管理复杂等难题，再加上挖矿木马、勒索病毒、钓鱼邮件等网络安全威胁层出不穷，对高校的信息化建设和网络安全带来极大的挑战。

9月27日下午，长江日报联合武汉市网络安全协会、腾讯安全举办的“数创未来·安全护航”——武汉高校信息化建设与网络安全研讨会在线上召开，武汉23所高校信息化负责人、网络安全专家学者相聚云端，共同探讨高校如何构筑网络安全屏障。

学生刷身份证通过闸机

网络安全是高校信息化的基础和底板

打开手机微信完成报到手续，选宿舍床位、报军训服装尺寸、购生活用品全部线上办理，刷脸进出校园……现在，一身轻松的“开学季”正在武汉多所高校校园内上演。

这些靠手机便捷办理的服务缘于高校“十三五”信息化建设的成果。近年来，武汉高校结合自身定位和发展需要，不断加大校园信息化建设，不断加强网络安全保障投入。各个高校根据自身特色、重点，有针对性地解决师生在日常信息化服务中的难点、痛点问题，形成了各自学校具有特色的信息化建设和服务体系。

随着信息化的不断推进，挖矿木马、勒索病毒等网络攻击和威胁也日益增长，而教育行业也成为了网络攻击的重点。据Checkpoint统计，2021年、2022年第二季度的每个机构与企业平均每周遭受攻击次数，教育行业列在第一位。

公安部第三研究所网安中心副研究员俞少华表示，学校的应用中存储着大量师生个人信息和数据，黑客窃取这些数据售卖可以获利；学校的数据中心拥有大量的计算资源和存储资源，攻击者可以通过攻击服务器获得这些资源，来开展“挖矿”活动，通过虚拟货币来牟利；同时学校还有大量的科研数据、考试数据，攻击者通过攻击获得这些数据后都有利可图，所以黑客会想方设法对高校信息系统进行攻击和入侵。

“校园对网络信息安全的要求越来越高与师生体验要求越来越便捷之间的矛盾日益突出，网络安全、社会冲击、系统建设及新技术的应用是当前高校信息化面对的主要挑战。”武汉大学国家网络安全学院教授吴黎兵认为，校园网遭受的网络攻击量巨大，Oday漏洞和APT威胁使安全防护难度增大，网络安全是信息化的基础和底板。

武汉市网络安全协会秘书长刘悦恒在致辞中也表示，网络安全绝不仅仅是一个纯粹的技术问题，而是关系国家安全、经济健康发展、社会和谐稳定和社会公共利益的越来越紧迫的综合性课题。

学生刷脸进出校园

“安全建设”和“素养培养”需并重

近年来，我国也陆续出台了《网络安全法》《数据安全法》《个人信息保护法》以及网络安全等级保护2.0等法律法规，整体构建了网络空间的安全法治保障。俞少华提到，其实教育部从2009年开始就发布了一系列规定，非常重视教育行业的网络安全。“2020年教育部在《教育信息化和网络安全工作要点通知》中，就提到一个核心目标：要不断完善教育网络安全支撑体系，全面提升网络安全人才培养能力和质量，不断提升教育系统网络安全的防护水平。”

不过，目前高校的信息化和安全建设仍然存在许多痛点，例如系统多、人员少、管理困难，同时也面临着层出不穷的漏洞风险。无论是日常安全的运维，还是突发状况的应对，都给高校信息化和安全建设带来了较大压力与挑战。

对于高校的网络安全建设，腾讯安全资深架构师张飞凡提出了一些建议。在安全合规层面，学校需要检查系统是否达到等保2.0所要求的防护水平，技术措施和管理制度是否齐备。在主动防御层面，网络安全风险=脆弱性×威胁，学校需要建设各种措施去主动识别风险和脆弱性，周期性对重要资产做评估、检测和加固等。在及时对抗层面，学校可以构建一整套包括人员、平台、工具、流程在内的机制，快速发现问题，并及时优化调整自身防护措施。

对于安全建设薄弱的高校，首先要做的是把安全能力做补充和弥补，达到基本的合格线，然后基于合格线再做一些提升性的工作。腾讯自研的零信任安全管理系统（腾讯iOA）护航了100万终端的远程办公，可帮助高校解决远程访问中的安全问题，同时“All in One”方案可通过客户端去解决补丁修复、弱口令以及挖矿木马、勒索病毒等一系列问题。

另外，在数据中心的重要数据保护方面，腾讯安全可帮助客户梳理重要数据在流转、采集、传输、存储、共享等各环节存在的安全风险和隐患，制定相应的防护措施，提供完整的数据全生命周期安全方案。中国社会科学院国际法研究所副研究员何晶晶也提到，高校需要建立起全生命周期的数据合规管理体系。

实际上，在网络安全的场景中，人员都是最脆弱的元素。俞少华表示，“网络安全素养需要常态化的素养教育。”高校需要开展网络安全教育培训、网络安全科普和宣传活动、网络安全攻防演练活动。通过高仿真、沉浸式真实场景，让广大师生切实体会“钓鱼邮件”的迷惑性和隐蔽性，从而提高警惕性。

整体来看，要确保高校网络安全素养教育常态化、体系化，需从顶层设计入手，完善制度机制、加强部门协同、保障经费投入、做好督查考核这些方面都是必不可少的。