高校师生网络安全素养教育指南
前言
学校网络(信息)安全保障工作,是为保障学校建设、运行、维护或管理的校园网络基础设施、信息系统、网站、数据等信息资产的机密性、完整性、可用性,而开展的相关管理和技术工作。
学校教职工和学生群体是学校各项事业的参与成员和服务对象,因此师生的个人信息资产安全和网络空间安全保障也是学校网络安全工作的主要内容之一。
同时,师生作为学校信息基础设施和服务的主要使用者,其使用习惯和安全意识情况将在很大程度上影响着学校网络安全防护的基础水平。
笔者结合线上调研教育行业网络安全宣传教育经验和自身工作认知,整理和归纳了师生网络安全意识教育和培养的主要关注点和开展方式,并对师生网络安全意识教育和培养的知识体系提出建议。
对于学校网络安全工作相关管理和技术人员、厂商驻场和开发人员、学生网络安全技术队伍等,应该在师生网络安全意识教育基础上,有针对性地扩充政策制度宣贯和技术知识学习。
01
重要性、紧迫性和长期性
重要性
网络安全业界有着这样的共识:在所有安全解决方案中,人员都是最脆弱的元素。
近年来各领域开展的基于真实场景下的攻防演练,也印证了这一点,利用防守方人员网络安全意识薄弱点(如弱密码、钓鱼邮件等)经常是攻击方突破防守方防御体系的主要途径。
师生网络安全意识的教育和培养是堵住“人”这个漏洞的重要方式,对提升学校网络安全防护整体水平十分关键。
紧迫性
如今社会生活的方方面面已经离不开网络空间和信息服务,现实世界的冲突和风险业已蔓延到网络空间,学校各类业务正常运行和师生科研学习生活都必须在良好网络安全保障的前提下开展,各类信息系统漏洞不断出现的同时,基于社会工程学方法的钓鱼、勒索、诈骗等威胁就在师生身边,及时高效地提升师生网络安全意识是应对威胁的有效手段。
长期性
与网络空间长期共存已经是人类社会发展的基本趋势,网络和信息服务种类的推陈出新、网络安全风险类别和防护手段的不断增加、师生人员流动和安全意识水平差异等都决定了师生网络安全意识教育和培养同学校物理安全、消防安全、人身安全等一样,都需要长期化开展。
02
主要关注点和开展方式
师生网络安全意识教育和培养通过各类教育和培养途径提升师生对网络安全的知悉范围和认知水平,应重点关注教育和培养的组织、渠道、案例、材料、互动等方面。
组织
应结合学校实际情况,尽可能地扩展网络安全意识教育和培养的组织方式,网信相关部门可联合或支持宣传、保卫、教师培养、学生管理、图书馆、院系等部门面向师生开展网络安全意识教育和培养,也可以结合学校网络安全责任落实和管理体系明确各级部门的师生网络安全宣传和教育培训要求。
渠道
应尽可能发掘和扩展开展网络安全意识教育和培养的渠道,可细分为线上的和线下的、发布的和互动的、集体的和分散的、原创的和转发的、推送的和订阅的、长期的和短期的、本校的和校外的,如宣传领域的融媒体建设一样,目的就是将网络安全意识教育触达每一位师生。
案例
应注意结合案例进行宣传和教育,也可以针对典型案例专项开展教育活动,避免简单的文字稿件推送和政策宣讲,切实关注网络安全意识教育和培养效果。尤其在事件处置和应急响应或者与师生实际互动过程中,应尽可能有效传递和强化人员网络安全意识,强化实际问题场景下的安全意识提升。
素材
应关注网络安全意识教育和培养相关素材质量和资源积累,可以是文字的和多媒体的,通识的和专题的。素材资源可以通过采购专业的安全意识教育服务获取,也可以与网络安全设备和服务提供商沟通获取,还可以在尊重版权的基础上从网络获取和加工,有条件的高校还可以组织学校师生收集、制作和开发相关的素材资源。
互动
有良好互动的网络安全意识教育和培养才可能有令人信服的效果,因此网信相关部门应建立稳定的、多类型的师生互动方式(如各类交流群、公告板、论坛、服务邮件等),能够及时掌握师生网络安全相关述求和问题,以点带面扩展师生网络安全关注度。
师生网络安全意识教育和培养开展的方式可以分为以下四类:
1.常态化宣传教育
常态化开展网络安全宣传教育是学校网络安全工作的主要内容之一,也是开展网络安全意识教育和培养的基本手段。
通过学校新闻网、网信相关网站、网络安全专题网站、微信公众号(订阅号、企业号)、各类视频号、群发电子邮件、群发短消息、派发纸质宣传品等方式持续发布和推送网络安全相关知识、动态、通报和预警。
同时,利用好每年的全民国家安全教育日(National Security Education Day,每年4月15日)、国家网络安全宣传周(一般在每年9月的第三周)、新生入学季(每年8月、9月)、网络安全重要保障时期等重要时间段以及新员工入职等时间节点,重点且有针对性地开展线下和线上的网络安全意识教育和培训。
笔者线上调研了121所高校,其中69所高校(占比57%)的网信相关部门网站上有网络安全相关专栏或专题网站,19所高校(占比16%)有网络安全专题网站。
各高校在国家网络安全宣传周期间都举办了形式多样的线下、线上的网络安全宣传活动(如宣传展板、大屏展示、专题讲座、主题班会、主题团课、倡议签名、拍照打卡、问卷收集、现场体验、基地参观、知识答题、素材征集、法律咨询、拍照签名打卡、热点问题辩论等)。
△山东大学、西安交通大学、
北京师范大学、大连理工大学网络安全专题网站
山东大学、西安交通大学、北京师范大学、大连理工大学、中国地质大学(北京)、东南大学、南京理工大学、东北大学等高校的网络安全专题网站做到常态化更新发布,如上图所示;部分高校提供网络安全意识培训和网络安全知识讲座的常态化的线上学习课程或视频点播。
2.响应类专项教育
与事件处置和应急响应相结合地开展网络安全宣传教育和培养,有更强的针对性和更广的触达范围,如漏洞预警通报、主机安全通报、漏洞排查通报、钓鱼邮件实例通报等。
此外,针对勒索病毒防护、挖矿病毒防护、钓鱼邮件防护等组织专题的宣传教育和信息推送,也具有强于常态化网络安全意识宣讲的效果。
漏洞预警通报。结合学校信息资产情况和师生常用设备、系统、服务等情况,通过及时获取和研判国家、行业、地区等网信相关信息通报,整理漏洞危害情况和处置整改建议后形成预警通报,通过各类有效渠道在校内发送,并跟进和及时支持相关师生排查和解决问题。
主机安全通报。根据国家、行业、地区等网信相关信息通报,结合校内日志检索和排查情况,确定问题主机相关联系人员点对点发送安全通报,并跟进和及时支持相关问题排查和解决。
漏洞排查通报。根据国家、行业、地区等网信相关信息通报或学校主动漏洞扫描结果,发送漏洞问题和整改建议至相关部门网络安全联系人或系统管理员,跟进和督促漏洞排查和整改反馈。
钓鱼邮件实例通报。定期对钓鱼邮件实际案例进行标注问题关注点后,通过各类有效渠道对师生发送实例通报,实例化提醒关注和防范钓鱼邮件攻击。
3.演练类意识教育
与学校网络安全应急响应预案演练或专项演练、各领域开展的应急演练等活动相结合开展网络安全意识教育,一方面可以场景化地切实提升师生网络安全意识认知,另一方面也是提高演练防护能力的有效途径。
一般在学校正式参加或组织基于真实场景下的攻防演练中,有针对性地开展网络安全意识教育已经是主流的提升演练中抗钓鱼、抗社工的必备措施。
2021年,北京大学、厦门大学等高校学习欧美的针对组织内人员的社会工程学“攻击”的经验,主动在学校内开展大范围的钓鱼邮件演练,取得了良好的网络安全意识教育效果。
4.竞赛类能力培养
通过各类线下线上知识竞赛、作品(宣传素材)征集评比、CTF安全竞赛和团队选拔等方式,可以营造良好的网络安全宣传氛围,选拔和鼓励师生参与学校网络安全工作,建立良好的网信相关部门与师生的交流互动渠道。
03
知识体系内容建议
网络空间安全知识体系庞大,网络信息应用种类繁多,师生人数数量众多而信息技术水平不均衡,网络安全意识教育和培养的知识体系应立足底线需求,结合学校信息化建设实际和网络安全管理机制,针对性地制定本学校的知识体系内容。
对于学校网络安全工作相关管理和技术人员、厂商驻场和开发人员、学生网络安全技术队伍等,可以增加信息系统部署运行、信息系统上线检测、信息系统建设要求、数据安全管理要求、人员安全管理要求、网络安全应急管理、网络安全责任追究、开发运维过程管控、系统勒索软件防范等内容。
师生网络安全意识教育和培养是一项长期且艰巨的工作,需要投入大量时间和精力,但其也是对学校网络安全保障能力持续提升的有力支持。
学校应该在教育行业主管部门的指导下,与网信主管部门、网络安全软硬件和服务厂商等形成有效沟通,与兄弟学校开展良好互助和经验分享,持续提升学校师生网络安全意识水平。
作者:王宇(东北大学信息化建设与网络安全办公室)
责编:高明
投稿或合作,请联系:eduinfo@cernet.com
往期推荐
欢迎分享、在看与点赞
积极留言,更会有意外惊喜~