学校网络(信息)安全保障工作,是为保障学校建设、运行、维护或管理的校园网络基础设施、信息系统、网站、数据等信息资产的机密性、完整性、可用性,而开展的相关管理和技术工作。
学校教职工和学生群体是学校各项事业的参与成员和服务对象,因此师生的个人信息资产安全和网络空间安全保障也是学校网络安全工作的主要内容之一。同时,师生作为学校信息基础设施和服务的主要使用者,其使用习惯和安全意识情况将在很大程度上影响着学校网络安全防护的基础水平。结合线上调研教育行业网络安全宣传教育经验和自身工作认知,整理和归纳了师生网络安全意识教育和培养的主要关注点和开展方式,并对师生网络安全意识教育和培养的知识体系提出建议。对于学校网络安全工作相关管理和技术人员、厂商驻场和开发人员、学生网络安全技术队伍等,应该在师生网络安全意识教育基础上,有针对性地扩充政策制度宣贯和技术知识学习。
一、主要关注点和开展方式
师生网络安全意识教育和培养通过各类教育和培养途径提升师生对网络安全的知悉范围和认知水平,应重点关注教育和培养的组织、渠道、案例、材料、互动等方面。
师生网络安全意识教育和培养开展的方式可以分为以下四类:
1.常态化宣传教育
常态化开展网络安全宣传教育是学校网络安全工作的主要内容之一,也是开展网络安全意识教育和培养的基本手段。
通过学校新闻网、网信相关网站、网络安全专题网站、微信公众号(订阅号、企业号)、各类视频号、群发电子邮件、群发短消息、派发纸质宣传品等方式持续发布和推送网络安全相关知识、动态、通报和预警。
同时,利用好每年的全民国家安全教育日(National Security Education Day,每年4月15日)、国家网络安全宣传周(一般在每年9月的第三周)、新生入学季(每年8月、9月)、网络安全重要保障时期等重要时间段以及新员工入职等时间节点,重点且有针对性地开展线下和线上的网络安全意识教育和培训。
笔者线上调研了121所高校,其中69所高校(占比57%)的网信相关部门网站上有网络安全相关专栏或专题网站,19所高校(占比16%)有网络安全专题网站。
各高校在国家网络安全宣传周期间都举办了形式多样的线下、线上的网络安全宣传活动(如宣传展板、大屏展示、专题讲座、主题班会、主题团课、倡议签名、拍照打卡、问卷收集、现场体验、基地参观、知识答题、素材征集、法律咨询、拍照签名打卡、热点问题辩论等)。
2.响应类专项教育
与事件处置和应急响应相结合地开展网络安全宣传教育和培养,有更强的针对性和更广的触达范围,如漏洞预警通报、主机安全通报、漏洞排查通报、钓鱼邮件实例通报等。
此外,针对勒索病毒防护、挖矿病毒防护、钓鱼邮件防护等组织专题的宣传教育和信息推送,也具有强于常态化网络安全意识宣讲的效果。
漏洞预警通报。结合学校信息资产情况和师生常用设备、系统、服务等情况,通过及时获取和研判国家、行业、地区等网信相关信息通报,整理漏洞危害情况和处置整改建议后形成预警通报,通过各类有效渠道在校内发送,并跟进和及时支持相关师生排查和解决问题。
主机安全通报。根据国家、行业、地区等网信相关信息通报,结合校内日志检索和排查情况,确定问题主机相关联系人员点对点发送安全通报,并跟进和及时支持相关问题排查和解决。
漏洞排查通报。根据国家、行业、地区等网信相关信息通报或学校主动漏洞扫描结果,发送漏洞问题和整改建议至相关部门网络安全联系人或系统管理员,跟进和督促漏洞排查和整改反馈。
钓鱼邮件实例通报。定期对钓鱼邮件实际案例进行标注问题关注点后,通过各类有效渠道对师生发送实例通报,实例化提醒关注和防范钓鱼邮件攻击。
3.演练类意识教育
与学校网络安全应急响应预案演练或专项演练、各领域开展的应急演练等活动相结合开展网络安全意识教育,一方面可以场景化地切实提升师生网络安全意识认知,另一方面也是提高演练防护能力的有效途径。
一般在学校正式参加或组织基于真实场景下的攻防演练中,有针对性地开展网络安全意识教育已经是主流的提升演练中抗钓鱼、抗社工的必备措施。
2021年,北京大学、厦门大学等高校学习欧美的针对组织内人员的社会工程学“攻击”的经验,主动在学校内开展大范围的钓鱼邮件演练,取得了良好的网络安全意识教育效果。
4.竞赛类能力培养
通过各类线下线上知识竞赛、作品(宣传素材)征集评比、CTF安全竞赛和团队选拔等方式,可以营造良好的网络安全宣传氛围,选拔和鼓励师生参与学校网络安全工作,建立良好的网信相关部门与师生的交流互动渠道。
二、知识体系内容建议
网络空间安全知识体系庞大,网络信息应用种类繁多,师生人数数量众多而信息技术水平不均衡,网络安全意识教育和培养的知识体系应立足底线需求,结合学校信息化建设实际和网络安全管理机制,针对性地制定本学校的知识体系内容。
对于学校网络安全工作相关管理和技术人员、厂商驻场和开发人员、学生网络安全技术队伍等,可以增加信息系统部署运行、信息系统上线检测、信息系统建设要求、数据安全管理要求、人员安全管理要求、网络安全应急管理、网络安全责任追究、开发运维过程管控、系统勒索软件防范等内容。
学校应该在教育行业主管部门的指导下,与网信主管部门、网络安全软硬件和服务厂商等形成有效沟通,与兄弟学校开展良好互助和经验分享,持续提升学校师生网络安全意识水平。
原创 王宇 中国教育网络