高校网安知多少 小默带你见分晓（上）

高校是基础研究主力军和重大科技突破策源地，是国家战略科技力量和国家创新体系的重要组成部分。党的十八大以来，高校创新能力快速提升、重大成果持续涌现、体制机制改革纵深推进，日渐成为社会可持续发展的强大动力，为创新型国家建设做出重要贡献。

数字化时代下，高校信息系统极大地保障和促进了教学、科研、管理和对外交流等活动的开展，但其中产生的大量数据，包括教育资源、科研成果、师生信息、教学素材、国家教学资助信息等，隐藏着巨大的网络安全隐患。对此，需要先梳理清楚以下内容：

高校的信息化发展历程

教育部对高校网络安全提出的安全建设规划

负责高校网络安全建设与管理的主体

本次分享将围绕以上内容，带您了解高校所面临的网络安全挑战，不容错过！

信息化发展历程

我国高校的信息化发展大约从2000年开始，前期主要围绕信息化基础设施展开，后续则是转向“信息技术与教育教学的深度融合”，着手建设“三通两平台”，即宽带网络校校通、优质资源班班通、网络学习空间人人通，建设教育资源公共服务平台和教育管理公共服务平台，这个阶段也被称为教育信息化1.0时代。

2018年，教育部印发《教育信息化 2.0 行动计划》，提出“三全两高一大”，即教学应用覆盖全体教师、学习应用覆盖全体适龄学生、数字校园建设覆盖全体学校，信息化应用水平和师生信息素养普遍提高，建成“互联网+教育”大平台，标志着我国教育信息化正式进入全新 2.0 时代。如图所示：

图高校信息化发展时间轴

高校网络安全发展

另一方面，随着高校信息化的快速发展和信息技术的广泛应用，高校网络安全也面临着不小的威胁。教育信息化是国家信息化的重要组成部分，教育行业网络与信息安全工作关系着教育信息化的稳步推进和教育事业的改革发展，因此教育部从17年开始便在各类规划或指导文件中强调了网络安全的重要性：

2017

《教育行业网络安全综合治理行动》：高校开展以治理网站乱象、堵塞安全漏洞、补齐等保短板、规范安全管理为主要内容的教育行业网络安全综合治理行动，全面提升教育行业网络安全水平。

2019

《教育信息化和网络安全工作要点》：把网络文明、网络安全教育纳入学校教育工作内容；建立常态化的通用软件安全评估机制；开展网络安全检查。

2021

《科学技术与信息化司工作要点》：强化教科网的网络安全监测能力，健全网络安全监测通报机制；开展教育系统网络安全攻防演习。

2021

《教育信息化2.0行动计划》：全面提高教育系统网络安全防护能力，深入开展网络安全监测预警，提高网络安全态势感知水平。

2021

《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》：到2025年，基本形成结构优化、集约高效、安全可靠的教育新型基础设施体系。

2022

《2022年工作要点》：深化信息技术与教育教学融合创新；建立教育信息化产品和服务进校园审核制度。

其中，需要重点关注2021年的两份文件——《教育信息化2.0行动计划》与《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》，以下简称“2.0行动计划”与“指导意见”。

2.0行动计划提出，要以《网络安全法》等法律法规为纲，落实网络安全等级保护制度和做好关键关键信息基础设施保障，深入开展网络安全监测预警，提高网络安全态势感知水平，全面提高教育系统网络安全防护能力，切实维护好广大师生的利益。

而指导意见则是明确了在网络安全部分的要求：

资产安全

加强国家主干网、省市教育网和学校校园网的衔接，实现网络地址、域名和用户的统一管理；增强感知能力，并完善教育系统信息资产数据库，掌握信息系统（网站）情况。

安全防护

建设科研协同平台，支撑跨学科、跨学校、跨地域的协同创新；基于教育专网开展网络流量监测，及时监测安全威胁、发现攻击行为；建立教育系统应急指挥网络，提升安全事件发现、应急报告、协同处置、追踪溯源等能力。

应用安全

促进信息技术应用创新，提升软件供应链安全水平；健全应用监管-提升教育移动互联网应用程序、教育软件、在线教育平台和新型数字终端等监管的信息化支撑能力，推动新技术、新应用进校园审核备案。

高校安全主体

上述提到了教育部对于高校安全发展的规划和建议，那么落实到具体高校，安全主体的责任该由谁来承担呢？

结合对于各高校的组织架构分析，一般校直属都有一个部门专门负责网络安全和信息化，不同高校称呼也各不相同——“信息中心”、“网络与信息化中心”、“网络管理中心”等。以下统称为“信息中心”。其下属一般还设有综合办公室（统筹管理）、网络通讯部门（基础设施）、信息与系统部（规划管理）、校园卡中心、科研中心等（不同高校称呼不一）。但整体部门人数相对较少，同时也缺乏专业的网络安全人才，更多依赖于安全服务。

高校安全建设现状

以上海某高校为例，其网络安全建设现状可分为三个维度：

资产安全

随着信息系统、网站数量的急速增长，信息化部门人力有限，缺乏对应管理部门，因此只能重点关注核心业务资产，导致资产管理薄弱，主要依靠资产年审、安全巡检等服务。

安全防护

信息系统的安全防护主要根据等保要求进行对应的安全防护（例如主页网站、招生就业管理、邮件信息等系统为等保三级要求、设备及采购管理和财务管理等系统为二级），具备应对常见安全风险的防护能力。

安全管理

具备常规的安全管理制度规范，例如数据安全管理办法、开发部署和运维细则、身份认证接入标准、机房服务器管理规定等，但是在安全监测、风险评估、威胁处置等专业方面仍旧缺乏相应的规范以及人员，主要依靠安全服务。

网络安全挑战

综上所述，结合默安科技在高校行业的沉淀和积累，本处简单总结了目前高校在网络安全方面可能面临的安全挑战：

信息资产快速增长带来的管控压力

随着教育信息化的快速发展和疫情的影响，高校教育信息化进程不断加快，从最早的幻灯片教学到电视投影，再到网络教学和远程教学。信息技术的引入大大提升了教学质量，但同时这些大量增加的信息化资产也带来了诸多安全问题。

动荡国际形势下的高校网络安全

新冠疫情以来，各国经济发展都受到影响，小国破产&俄乌战争也让国际局势变得愈发胶着，网络安全领域也处于风雨飘摇之中。根据Check Point的安全报告显示，2021 年全球各地企业与机构遭到的网络攻击较 2020 年平均增长 50%，而教育和研究部门则成为重灾区，平均每周遭受 1,605 次攻击。

高校软件供应链带来的安全挑战

我国高校信息系统大多都是由第三方软件公司开发，其供应链环节复杂、结构复杂，容易受到来自供应链各个节点和流通过程中各个环节的安全威胁。2021年年初的 SolarWinds，4月的Codecov、7月的Kaseya以及年终的 Log4j 漏洞，一系列的开源库漏洞的恶劣影响揭示了软件供应链固有的重大风险。

高校安全能力难以跟上信息化脚步

与其他行业专门设立网络安全部门的情况不同，大部分高校均将时间精力倾注于教育教学，使得网络安全人才和能力稀缺，一些高校甚至是由信息老师兼任其网络安全管理人员。而在各类安全风险的发生及国家对于高校网络安全稳定的要求下，如何提升安全防护能力已成为高校不得不直面并解决的问题。

那么，高校应该怎么去应对这些网络安全挑战呢？

本系列下篇将带来高校行业网络安全解决方案，为您答疑解惑，敬请期待！

未完待续…