2017年6月1日,《网络安全法》正式实施,这部法律的实施具有里程碑式的意义,使得网络安全有法可依,信息安全行业由合规性驱动过渡到合规性和强制性驱动并重。
那么,《网络安全法》实施一周年,我国高校的网络安全工作有哪些改变?
从大家的反馈可以看出过去一年中有许多改变,第一,制度的完善。网络安全制度从无到有或是从有到优;第二,意识的改变。通过网络安全宣传周等活动,学校用户群体的网络安全素养得到大幅提升,高校各方面已意识到网络安全工作是一件需要大家一起努力的事;第三,观念的改变。对于安全服务外包大家都能普遍接受,当然如何更好地优化外包之后的管理显得更加重要。
但是,最重要的一点,网络安全中“人”的工作仍然是一个难点。人的部分怎么去做,这是大家普遍关注的问题。
姜开达
上海交通大学网络信息中心副主任
2017年对高校网络安全工作来说,是一个机遇,更是一个挑战。回顾这一年的变化,姜开达认为,网络安全工作受重视程度在这一年得到前所未有的提升,但对高校来说,网络安全保障体系的顶层设计和具体细化落地举措仍然有缺失。《网络安全法》和《教育行业网络安全综合治理行动方案》发布实施,对网络安全整体部署进行了框架性指导,但细则内容的指导还不够明确,比如说在教育行业中,哪些基础设施需要定义为关键基础设施?如果没有一系列具有教育行业属性的细则和规范,很多高校不清楚如何具体实施和执行,各自理解又带来实际执行上的偏差,再好的政策也难以快速落地。希望未来能够在基本框架成熟的基础上,再多明确一些可操作性强的细则和解释,这样对高校更有实际指导意义。
如何做好高校的网络安全工作?姜开达认为其核心是“守土有责”和“合作共赢”,所有高校网络安全相关利益者都应承担起应承担的责任,在此基础上互相加强合作,高校就会营造一个相对安全的整体氛围和环境。具体来说就是:领导重视、机制保障、固定团队、长期投入。学校要从行动上真正重视网络信息安全;要普及提高全校各院系部门的安全意识;国家和行业主管部门加强安全监管和提供基础指导;教育软件厂商承担义务和更多相应责任;安全厂商提供符合学校要求的专业化安全服务,信息化部门要做好安全管理的技术保障。
网络安全对于信息共享和多方合作的要求,可能也是其他信息化工作不能比拟的。姜开达表示,一所学校去对抗全球黑客攻击团队,能力再强,也始终是弱势,网络空间领域安全事件和攻击信息的高效共享至关重要,如果各校自扫门前雪,谁也不能独善其身,唯有走向共享共治。
姜开达认为,现在虚拟网络空间安全的重心有明显变化,从网站内容安全到学校核心数据安全,从苦于被动防御到多面出击掌握主动安全态势,从混沌到有序,应建立全生命周期管理的信息资产库,安全贯穿始终。
在网络安全工作上,上海交通大学可以说是一个先行者,这和几个因素有关:一是有历史渊源,从CERNET成立之初,上海交通大学的汪为农教授就一直致力于网络安全方面的研究,并且培养出了一批业务能力卓越的人员,奠定了技术和人才基础。二是各层面的领导对网络安全工作都非常重视,有一批人员长期专职负责这方面的工作。三是成立了一支非常可靠的学生队伍,帮助学校做了不少基础性的工作。这支队伍无论是在日常的安全运维,还是在各种网络安全攻防比赛中,都取得了非常优异的成绩。
姜开达表示,缺乏专业安全团队的支持是当前高校在网络安全工作中存在的共性难题,这也折射出高校信息化部门专业人员紧缺的困境。上海交通大学信息化部门目前拥有60多位工作人员,在国内高校中人不算少,但是开展各项工作还是捉襟见肘。今年的机构调整将原来的五个部门调整为三个部门,分别是基础业务部、计算业务部、数据业务部,安全工作目前尚无单列部门。
上海交通大学的学生安全团队在学校网络安全工作中一直发挥着重要的作用。学生毕业后是否仍会留在学校工作?实际的情况是团队中的学生都是各大互联网公司进行人才争夺的对象,其优越的薪酬和待遇让学校难以望其项背,但是也开始看到,一些有多年公司IT职业经验的优秀人才在经过职场奋斗后,也有人希望回到学校来做一些工作。
江魁
深圳大学信息中心副主任
深圳大学信息中心是一个集现代教育技术、网络技术、软件开发、多媒体制作与应用、电话与有线数字电视、无线通讯、校园卡运行与管理、影视制作和视听技术支持为一体的多功能机构,目前大约有80名员工,近年来随着学校智慧校园等大型信息化项目的建设,各学院、业务部门的应用系统和云平台资源的数量也在不断增加,特别是学校从之前一个校区扩展到了西丽、后海北及后海南三个校区,为学校的网络与信息系统建设和运维带来了新的挑战。
目前,网络安全运维工作主要集中在网络部门,严格意义上说还没有专职人员,唯一的一名网络安全核心技术人员还要兼顾系统运维的职责。在解决人员方面,深圳大学打算主要从三个方面着手解决。
第一,吸引并留住人才。
网络安全工作招人难的特点是,大部分优秀的毕业生都愿意去IT企业,一是在薪酬方面,学校不可能像IT企业一样能给与高薪待遇,二是在发展前景上,学校的工作更多是一种运维保障,不能提供公司所能提供的针对前沿技术进行研究的平台和机会。针对这样的现实情况,深大信息中心目前的策略是,招聘普通高校毕业的有意愿参与高校信息化工作的IT专业学生,尽量给予其个人技能和职业成长的空间,将其培养成为网络安全工作的骨干,使其在工作中获得成就感、归属感和荣誉感,并利用学校寒暑假、教职工子女入托入学等隐性福利留住人才。
第二,把学生的力量组织起来。
从2016年开始,信息中心以勤工助学的方式把对网络安全感兴趣的学生聚在一起,这批学生对学校网络安全运维起到了很重要的补充。一方面,弥补了网络安全人员的缺口,另一方面,让一些有可能对学校网络安全造成“威胁”的学生变成学校网络安全的守护者。同时,对外,组织这批学生积极参与国内知名度较高的网络安全竞赛,对内,在老师带领下开展对学校信息系统的渗透测试工作,使其网络安全能力有展示和释放的出口。学生在帮助学校做好网络安全工作的同时,自身也得到了极大锻炼和提高。2018年2月,在信息中心的支持下,这批学生正式成立了深圳大学学生信息网络安全协会,目前学生队伍已经扩充到40人左右,为学校网络安全工作补充了新的能量。
第三,积极探索外包服务。
在现在的情况下,向人事部门申请用人编制的难度要大于申请项目资金的难度。基于这样的背景,寻求专业网络公司的外包服务是一个较好的解决方案。深圳大学将在2019年申请网络安全加固提升专项资金,其中一部分用于网络安全服务外包,主要满足24小时实时监测、预警、应急响应等工作的需求。
当前信息化部门面临着许多沟通协调的工作,这是信息化部门的重要特征。信息化部门有许多工作,这些工作各具特点,所以在人员的分配上一定要注意到工作的特点与员工个人特点的匹配。
网络安全工作是国家安全的重要组成部分,具有政治意义,这是高校做网络安全工作面临的首要共性背景,也是网络安全运维的核心动力。所以做网络安全工作,一定要如履薄冰,兢兢业业,以高度责任感去承担这项重任。
张永强
中山大学信息化管理办公室副主任
《网络安全法》实施一年,明显感觉到,大家的网络安全意识提高了。中山大学成立了网信领导小组,负责人是书记和校长。各院系部门一把手明确了网络安全责任,主动配合信息化职能部门和技术单位的工作。此外,网络安全工作得到了广泛认可及可持续的经费支持,管理制度和技术体系不断完善。
但由于从业人员薪酬上升很快,学校安全技术人员流失,2017年我们就有一名骨干跳槽到BAT,这方面的技术又补充困难,水平高的招不进,入门级的不想要,所以我们转而将部分工作外包。依靠外力是弥补学校网络安全能力不足的重要手段。保护监测响应等三方面都可以引入外包服务,例如保护可以引入云防护服务、监测可以引入白盒黑盒测试服务、响应可以引入专家服务。
我认为,网络安全工作的难点在于安全管理体系的完善和实施,尤其是安全制度的施行和落实、人员安全素质的提升、安全习惯的培养及组织安全文化的形成方面,挑战在于随着互联网变革,新的安全问题不断涌现,旧观念、旧办法无法适应变化。
我们对招聘人员的基本需求是:管理人员最好有法律和管理知识背景、技术人员最好有软件开发背景。由于当前从业薪酬水平比较高,因此招聘比较困难。
从2018年开始,学校设立了安全培训专项。初步思路是对全员进行意识教育(形式是在线教育+现场讲座),对专职和兼职的安全人员进行专业技能培训(形式是采用CISP教材的企业内训),未来打算采购专业的培训服务。
梁艺军
中国人民大学信息技术中心
《网络安全法》实施一年了,这一年来看,网络安全工作中确实有许多改变。首当其冲的就是制度的建立与完善。学校高度重视,从法律层面严格要求和落实相关制度。在《网络安全法》实施后,我校依据此法,逐步制定各项管理制度、规范和方法。先后建立急需的制度,比如网站管理,ICP注册管理、保密技术管理和办公安全等,由校长办公会审核修改后发布执行,在实践中不断完善,并宣传到位,做到有规可依。
我们在2018年成立了网络安全与信息化领导小组,信息技术中心作为实施牵头部门更是直接成立网络安全科,专人负责处理和协调相关事务。
在制度的保障下,我感觉网络和信息中心的工作比以前“好做”。首先,职权加大,原来不敢处理的,现在可以直接依法快速处理,管理的范围亦可进行延伸。其次,学校为网络安全的投资加大了,原来2~3年没有相关的设备系统的技术投资,目前已经落实,尤其是服务经费。第三,人才的聚集,我们成立了网络安全科,引入聘用人才参与建设。
目前来看,在网络安全工作中,我认为首要的挑战是全校师生观念的改变。观念的改变是困难的,如何能从《网络安全法》的威慑执行到自觉动作,将安全观念融入到学校规划整体考量中,融入到项目建设运行的整个周期中比较重要。如果大家都能从心里意识到安全的重要性,做到上下一心,风险就可以降到最小。
由于学校内部人员的技术和精力的局限,外包是必不可少的。但是由于专业企业和学校的立场不同,这是个矛盾体,企业追逐利润,学校要求稳定,因此只能依赖合作的基础——安全进行分工,校内人员必须主导和主责,跟踪整个服务的过程,做到第一收到和最后收尾。
我们的网络安全人员分为在编和外聘,外聘人员主要从其他科室抽调,这样做的好处就是不割裂应用,熟悉信息化的情况。我认为,安全队伍不易大,小而精、勉强够用即可,因为安全不是独立的,要应用到各个领域,比如网络方面的安全就与网络密切相关,需要网络部门配合完成;在内容安全方面,不仅是技术,还要有对内容尺度的把握人才。做安全的人员应该不仅仅懂得安全内容,还要精通安全的实施领域,比如网站安全,至少要知道网站所涉及到的所有技术环节。所以,作为一个网络安全人员,需要经常补充各种新的知识。
杨德斌
北京科技大学信息化办公室主任
这一年,我们的网络安全工作在管理、技术和人员上都有了新的改变。管理上,建立起基于微信的实时交流、互动安全群,实时发布、部署网络安全信息和防范要求。技术上,强制所有已上线和待上线的系统进行强安全技术条件下的安全检测和审核。人员上,建立起了各二级部门的非计算机专业管理人员共同关注的网络安全体系,形成有效的防控、联动队伍。
但是,感觉最难的地方还是“人”。专职人员少,安全压力大、任务重,而在培训方面,缺乏有效的培训和实际演练。当前最困难的是,我们对网络安全人员的需求大,但招聘难,队伍建设没有好的政策支持。