查看原文
其他

刘沐:探索多元网络安全素养教育模式

关注网络安全 中国教育网络 2023-04-13

2020年1月,由清华大学推出的网络安全培训课程在荷塘雨课堂平台上线,课程以简洁明快的短视频形式、贴近校园生活的内容以及接地气的表达风格,引起了广大师生的热烈反响,并收获一众好评。

通过宣传网络安全理念、普及网络安全知识、推广网络安全技能,这门“网红”课不仅有效提升了全体师生网络安全防范意识和能力,降低了个人终端网络安全风险,也减轻了学校整体网络安全保障和监测预警工作压力,促进了学校网络安全工作的有序开展。

这门课程的成功,不仅是清华大学近年来在网络安全素养教育实践中积极探索、不断创新网安教育模式的一个缩影,也是清华大学要求信息化素养成为清华师生最基本素养的具体实现。

刘沐

清华大学信息化

工作办公室副主任

迎难而上

据清华大学信息化工作办公室副主任刘沐介绍,一直以来,清华大学因社会关注度高以及信息化暴露面多,经常成为境外组织向中国高校发起定向网络攻击瞄准的首要目标,面临着十分严峻的网络安全形势。

一方面,以远程控制、窃密为目的的攻击数量长期处于高位,校内各类信息资产面临持续巨大风险;另一方面,以牟利为主的各类破解、挖矿、钓鱼等隐秘性更强、横向传播现象明显行为的增加,已成为终端用户面临的较为普遍且威胁程度较高的安全风险。

与此同时,根据高校党委网络安全责任制考核要求,学校在职人员年度人均接受网络安全培训时间必须不少于4学时,网安培训任务艰巨。不仅如此,学生群体尤其是新生网络安全意识不足,也需要每年完成全员覆盖。

线上教学自然是最佳选择,但问题是,对于广大师生来说,需要接受的各类强制培训早已数不胜数,如何能尽量不占用师生教学、科研等正常的工作学习时间,并且还能使其乐于学习和接受,成为了清华大学信息化工作必须直面的挑战。

易懂、好学、能用

通过前期的深入调研和走访,并结合对师生学习习惯的探讨和研究,清华大学信息化工作办公室决定采用原创拍摄“易懂、好学、能用”的网络安全短视频培训课程方案,通过利用碎片时间、短时高频的学习模式,来让师生持续保持学习状态,提升个人网络安全意识和警觉性。

为了使内容“易懂”,网络安全培训课程的文案、视频拍摄、剪辑、以及习题均采用了原创形式,视频简洁明快,语言也非常接地气,讲述的都是校园里高发的网络安全问题,不仅避免了平铺直叙的宣传方式,也极大地吸引了师生们的兴趣。

为了让课程“好学”,每期视频内容只有不到短短5分钟,全年也总共不过10期课程,但其内容却涵盖了学校高发的网络安全问题,包括钓鱼邮件安全、信息系统安全、手机安全、网络诈骗、钓鱼邮件防护、即时通讯安全等热点主题。师生可以在任何时间、任何地点观看视频和参与答题。

为了达成“能用”目标,每期课程都会讲述一个案例,直观复盘网络安全问题,解析案例风险点,将网络安全防护的基础知识转化为个人可操作、可执行的要点,并通过每课配套的五道习题来对要点加以巩固和提高,让师生学以致用。

从后台留言评论来看,课程也的确实现了“洗脑”“上头”的效果,不少师生认为视频很有意思,案例非常有用,表示“学到了”,并希望这种寓教于乐的形式能够再多来点。

2021年,清华大学师生累计完成学习超过8.3万学时,在全国高校中宣贯面最全、普及度最广、推广学时数最多。

该课程也实现了新生全覆盖,课程内容和题库也有力地支持了计算机系“网络时代的信息化素养”课程,同时还支持了各单位策划组织的各项宣教和专项活动,为学校大安全贡献了力量。

课程也配合学校首次钓鱼邮件演练,对全校师生进行实战化网络安全意识培养,实现了教学与演练的联动。

不仅如此,该课程的高质量实施、高校案例解剖、接地气的表达方式,也受到了众多高校的关注。

“金钟罩”信息化安全保障体系

在刘沐看来,高校网络安全管理主要存在两大矛盾:一个是国家和上级部门对网络安全监管力度日益增长与高校信息化建设自身发展需求的矛盾,一个是现代大学信息化建设投入日益增长与高校网络安全投入的矛盾,不仅是资金,也包括人力、资源和管理的投入。

为解决这两大矛盾,清华大学信息化工作办公室实现了工作思路的转变:工作重心从网络安全应急处置转变为加强日常网络安全建设,工作方式从单纯依赖采购部署安全设备转变为强化管理通过内涵式发展全方位打造防护体系。

△信息化安全保障体系结构

2018年,清华大学提出建立代号为“金钟罩”的信息化安全保障体系,如上图所示,旨在通过内涵式发展,全方位提升全校网络安全防护能力。

刘沐表示,作为网络安全服务的重要支撑,网络安全宣传和培训的管理服务实际上与网络安全监测和响应的技术服务同样重要。

正是在“金钟罩”这一信息化安全保障体系框架下,近年来清华大学做出很多探索和尝试,推动着十大网络安全策略的实施,包括五大管理类策略和五大技术类策略,技术类策略的实施必须以管理类策略实施为前提和保障。

管理类策略包含网安工作体系建立、网络安全宣传培训、信息系统备案清查、全校电子身份年审、电子邮件安全治理。技术类策略包含信息系统隐患排查、网安应急预案演练、信息系统强制备案、备案网站反向代理、全校域名一级解析。

其中,宣传培训投入最小、效益最大,清华大学信息化工作办公室在实际工作中也收益颇多,并尝到了甜头——不仅是学校师生整体网络安全意识和个人防护能力得到了提升,全校思想也取得共识、更加统一,为网络安全技术策略的落实部署创造环境。许多安全相关的问题得到了解决,整体的工作量也减轻了很多。

多元教育模式探寻

在此基础上,清华大学更加积极地探索更加多元立体、长短期相结合的网络安全教育模式:既有组织开设信息化素养选修课程、推进网络安全系列网上课程、推送公众号小知识等长期活动,又有利用新生入校、全民国家安全教育日、国家网络安全宣传周等特殊节点,组织开展报告、赛事、巡展等短期活动。

自2016年秋季学期开始,清华大学已连续六年开设“信息化素养”课程。该课程主要面向非信息类专业的大一新生,旨在提升大学新生对网络和信息技术的认知水平和使用能力,使之适应高度信息化的校园和社会环境,具备基本的信息化知识和技能,以及基本的网络和信息安全防护意识和能力。

2021年,针对新生群体网络安全意识薄弱问题,信息化工作办公室与新闻传播学院、信息化技术中心联合推出了网络安全与校内信息化资源培训宣传片,组织校内巡展播出,内容包括邮件安全、密码安全、手机安全和信息安全校内资源四部分,着力面向新生开展网络安全教育。

刘沐认为,体系化地推动网安素养教育建设需要做到“四有两抓”。“四有”即有广度,有深度,有载体,有考核;“两抓”即抓住重点人群,抓住重要节点。

学习的人群需要覆盖到全校师生,学习的内容则需要有一定的深度,能够让师生学以致用。同时,需要有平台来承载大体量任务的完成,并且对学习情况进行考核,督促老师和学生完成学习任务。

对于重点人群需要进行重点培训,比如对于新生、技术人员展开特定的网络安全培训;对于重要的时间节点,比如配合国家安全教育日、网络安全宣传周等来展开宣传。

此外,要想高质量地开展网安素养教育,就必须通过深入研判,并与学校实际情况紧密结合,创新设计工作实现方式。

同时,还要站在学校全局,始终坚持以师生为中心的发展思想,并以点带面、相互促进,最大化工作效能。

刘沐表示,未来,清华大学也将继续推动网安素养教育更进一步,探索更多的形式来鼓励师生积极参与,全面提升师生网络安全防范意识和能力,共同筑牢校园网络安全防线。

记者:高明

投稿、转载或合作,请联系:eduinfo@cernet.com

往期推荐

● 清华的信息化安全“金钟罩”

● EDUCAUSE 2022年度十大IT议题②丨高校需应对网络安全新挑战

欢迎分享、在看与点赞

积极留言,更会有意外惊喜~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存