文/姜开达

防控安全风险

2018 年11 月1 日，美国高等教育信息化协会（EDUCAUSE）发布了2019 年度十大IT 议题（Top 10 IT Issues），第一个就是信息安全战略（Information Security Strategy），而2018 年度十大IT 议题第一个也是信息安全（Information Security）。网络安全是伴随信息化发展的永恒话题，绝对安全并不存在，怎么制定基于风险的安全战略，通过一定规模的投入，有效发现、防范和应对网络安全威胁和挑战，继续成为高校教育信息化健康发展所面临的年度首要问题。

2018 年8 月24 日，教育部办公厅下发了关于贯彻落实《推进互联网协议第六版 (IPv6)规模部署行动计划》的通知，明确要深入研究IPv6 环境下的网络安全问题，建立并完善相关管理制度和技术规范，开展面向IPv6 的网络安全等级保护、风险评估、通报预警。通过推进基于流量的安全监测工作，探索真实源地址验证技术的应用，来提高网络安全态势感知能力。下一代互联网时代已经到来，传统的安全问题仍然会以各种形态存在，应用安全并不因底层协议进步而消亡。学校如果对IPv6 协议理解不深刻，推广部署的时候安全管控措施没跟上，反而会产生新的安全风险点。反之在IPv4 到IPv6 过渡期间，如果同步完成安全硬件设备和管控软件平台的升级改造，整体安全防护能力就能借此又上一个台阶。

2018 年4 月13 日，教育部印发《教育信息化2.0行动计划》，明确要加强教育系统党组织对网络安全和信息化工作的领导，明确主要负责人为网络安全工作的第一负责人。提出要充分利用云计算、大数据、人工智能等新技术，构建全方位、全过程、全天候的支撑体系，助力教育教学、管理和服务的改革发展。新技术不仅支持教育信息化，也同样深刻改变着教育网络安全的未来发展。深入开展网络安全监测预警，提高网络安全态势感知水平，这些都离不开云计算、大数据等新技术的支撑，也离不开高校自身安全技术力量的参与。网络安全谁也不能独善其身，要建立有序共享的良性机制，高校要实现优势互补。

聚焦人才培养

2018 年的高校网络安全竞赛此起彼伏。深圳的“TCTF”全球信息安全争霸赛，郑州的“强网杯”全国网络安全挑战赛，北京的“网鼎杯”网络安全大赛，杭州的“高校网络信息安全管理运维挑战赛”，大大小小的安全赛事锻炼了高校队伍的实战能力。以赛促学、以赛代练，增强了学校信息化部门的安全力量，也为高校安全攻防演练培养了一批具有较高专业素养的人才队伍。安全本质上还是人与人之间的攻防对抗，高校天然就具有人才优势，怎么培养、组织、使用好这批学校的自身安全力量，在育人和科研的同时，也能为学校自身信息化的安全建设保驾护航，很多学校都开始了各种形式的探索。

2018 年的高校网络安全漏洞数量同比2017 年有了显著下降，数据泄露、邮件安全、个人隐私信息保护，数据库安全都开始被高校更加重视并思考，摆脱疲于奔命的应急响应，安全向深层次发展。智慧校园建设中，传统的网络交换路由安全为人们所熟悉，信息系统应用安全也深入人心，数据安全得到更多关注也是信息化发展到一定阶段的必然结果。随着高校信息化建设的深入，数据共享交换应用和数据分析服务在学生培养、科学研究、高校治理和公共服务中的重要性与日俱增，怎么保护学校核心数据资产，体系化的高校数据信息安全保护措施成为必选。

每年安全一小步，三年安全一大步，过去若干年网络安全和信息化没有同步发展的差距在拉近，学校的安全意识在持续提升，投入在不断增加，2019，未来更美好！