网络安全素养教育进行时
2022-07-20高明
文/本刊记者 高明
高校要鼓励和推动网络安全素养教育持续创新,探索更加多元立体、生动有趣的网络安全素养教育模式。
3月,全国各高校纷纷通过公众号等平台发布 “挖矿”防范指南,内容多种多样,旨在提升广大师生网络安全意识,远离“挖矿”威胁,开启了春季学期的网络安全教育宣传工作。
随着网络安全形势愈加严峻,因“人”的漏洞而引发的网络安全风险愈加凸显,作为高校网络安全工作的一项重要内容,开展网络安全素养教育也变得愈发重要,高校业已达成这样一个共识:要想坚实筑牢校园网络安全防线,常态化网络安全素养教育必不可少。
网络安全素养教育渐成常态
高校网络安全素养教育的重要性不言而喻。在EDUCAUSE 2022年度十大IT议题报告中,网络安全仍继续位列第一位。报告指出:“为了取得成功,学校不应该把网络安全仅仅视为一个技术问题,而应该将其作为学校的优先完成事项。”同时,报告着重强调了针对师生的网络安全素养教育的重要性,指出,“师生的心态和行为都需要改变。学校的所有教职员工和学生都需要了解其网络安全责任。”并提出,“如果学校的所有工作人员对安全事件如何发生以及如何预防有最新的了解,就可以共同减轻网络安全人员的运营负担,并更好地保护数据和隐私。”
相关人士指出,高校校园网涉及人员多、系统数量多、数据资源多,师生员工网络安全素养不足,不仅会增加个人网络安全风险,也会对科研安全造成较大威胁,甚至对学校信息系统安全、数据中心安全乃至网络安全整体都会构成一定威胁。
网络安全虽充满技术对抗,但突破点往往来自于非技术层面,且通常是利用了人的弱点。深圳大学信息中心副主任江魁表示,安全首要的问题就是人的问题,安全策略、技术手段、管理制度再完备、人不去执行也是形同虚设。正如北京大学计算中心网络安全室主任周昌令所形容的,“系统不打补丁、使用弱口令、共享口令,犹如敞开大门,再好的技术防护也不起任何作用。”
近年来,随着对于网络安全素养重视程度的不断加深,许多高校也在持续的实践和探索中形成了常态化的教育举措。总体来看,当前高校网络安全素养教育主要包括以下几个方面:
第一,广泛开展网络安全教育培训,如高校定期组织相关技术人员参加各类安全培训、面向师生开设网络安全素养教育课程,以此来不断提升师生员工的网络安全素养。
第二,广泛进行网络安全科普和宣传活动。许多高校利用公众号和线上平台积极推送网络安全热点问题和相关知识,帮助师生加强网络安全意识;通过开展网络安全宣传主题展、举办网络安全知识专题讲座以及配合国家安全教育日和网络安全宣传周进行宣传和科普。
第三,有计划地开展网络安全攻防演练活动。比如北京大学、复旦大学等高校于去年开展了钓鱼邮件演练,让广大师生员工在演练中切实体会到了钓鱼邮件的迷惑性和隐蔽性,提高了警惕意识。
在此基础上,很多高校也在不断丰富着教育形式:清华大学推出了短视频形式的网络安全培训课,以幽默风趣的表现形式,实现了寓教于乐的效果;深圳大学通过与厂商合作,以漫画形式向师生员工科普网络知识,并深受师生员工喜爱。
此外,值得关注的是,伴随数据安全与个人信息保护条例的正式实施,许多高校也将之纳入科普的重点范围。
综合来看,高校网络安全素养教育已逐步实现常态化,师生员工的网络安全素养也普遍得到提升。然而,尽管当前已经取得了一定的阶段性成果,高校网络安全素养教育仍面临着诸多问题和挑战。
网络安全素养教育仍面临诸多挑战
具体来说,当前高校网络安全素养教育主要面临着以下几方面的挑战。
首先,网络安全素养教育的机制还未理顺,缺乏相应的制度保障和考核要求,也缺乏一定的经费和人员支持。南开大学党委网信办主任张四海表示,由于网络安全专职队伍人员配置不足,技术人员经常疲于应对网络安全日常工作,无暇顾及网络安全素养教育。
其次,网络安全素养教育内容还比较单调。复旦大学信息办副主任张凯表示,目前高校网络安全素养教育大多聚焦在技术知识和案例的宣传,缺少更全面、生动鲜活、丰富有趣的内容设计。这在一定程度上也导致师生员工主动参与程度比较低,缺乏热情。在大连理工大学网信中心网络安全部部长李先毅看来,现有的每年几次有限培训对于应对复杂多变的网络安全问题也显得有些捉襟见肘,网络安全素养教育要常态化进行。
最后,素养教育的组织形式单一,仅仅是宣传教育或开设课程的形式,还未形成“宣传”“课堂”与“实践”的合力,也反映出各职能部门间协同程度不够的现状。张四海表示,当前网络安全素养教育还是仅从网信工作的角度开展,未来还需要从教育工作的角度开展、遵循教育规律,让负责教育教学培训工作的部门和组织充分发挥作用。
总体而言,当前高校网络安全素养教育仍处于起步阶段,缺少全面、系统化的规划和组织,能够开展的内容和形式相对有限,也影响着网络安全教育的效果和质量。各高校还需要尽快理顺教育机制、形成多方合力,建成更为成熟的网络安全素养教育体系。
体系化建设需从多方面入手
影响网络安全素养教育最终效果的因素是多方面的。缺乏制度的保障和考核要求,网络安全素养教育就会面临难以持续和连贯的困境;缺乏经费、人员等的支持则影响着网络安全素养教育更广泛、更深入的推进;教育内容不够新颖、教育形式不够多样、教育对象不够细分也都会影响网络安全素养教育内涵的传递。
因而,高校网络安全素养教育体系建设需要进行更系统性、全方位和多层次的规划和布局,并从管理层面、执行层面、创新层面等多方着手进行设计。综合本刊采访来看,除现有教育举措外,高校还应做好以下几方面的工作。
在管理层面,高校应将网络安全素养教育作为网络安全政策中的内容固定下来,明确写进网络安全管理制度。同时,做好部门的职责划分,加强部门协同配合,并建立监督机制确保落实到位。此外,学校也需要给予一定的保障和支持,如经费保障、人员保障,以推动网络安全素养教育工作能够更全面立体地展开。
在执行层面,要做到学习人群覆盖全校师生员工,学习内容要有趣有用,并能让师生员工学以致用;要对教育对象进行细分,如对重点人群如新生、技术人员等进行定制化培训和教学,实现教育效果的最大化;配合重要时间节点,如国家安全教育日、网络安全宣传周、新生入学季、毕业季、新教职工入职等时机展开常态化宣传和教育工作。
在创新层面,高校要鼓励和推动网络安全素养教育持续创新,探索更加多元立体、生动有趣的网络安全素养教育模式,开拓网络安全素养教育的学习和参与形式,如开设融入本校案例的网络安全素养培训课、开展钓鱼邮件演练、举办网络安全竞赛、制作趣味科普视频等,以充分调动师生员工积极性,激发学习兴趣和学习热情。
此外,高校也要高度重视学生网安队伍的建设,并利用学科优势,通过加强校内院系合作,持续选拔和培养学生安全团队。同时,要结合学校工作实际,提升学生安全团队参与和支撑学校网络安全保障工作的能力,充分发挥学生网安队伍在高校网络安全中的力量和优势。
未来,面对依旧不容乐观的网络安全形势,高校在常态化开展网络安全教育的基础上,也可以通过借鉴国内外高校先进的实践经验和理念,结合本校实际,更全面地推进网络安全素养体系建设,以切实提高师生员工网络安全素养,彻底筑牢校园网络安全防线。