蒋广学:从系统工程视角思考网络安全工作
2023-12-31余秀
文/本刊记者 余秀
蒋广学北京大学网络安全和信息化委员会办公室主任
2018 年北京大学成立了全国高校第一个“网信委”,陆续出台《北京大学网络安全管理办法》《北京大学校务信息数据管理办法》等一系列试行规章制度和办法举措,在网络安全的体制机制保障方面取得了显著成效。在今年5 月全国教育系统网络安全攻防演习中,北京大学更是斩获了攻防双优的骄人成绩。在多年的实践探索中,北大网信部门逐渐形成了对网络安全的全方位思考,认为网络安全工作是一项系统工程,是硬件技术、机制体制、观念意识三个维度的集合,三位一体,不可偏废。其中最重要的还是观念意识维度,“要从基础上、从底子上、从根本上改变观念,让全校师生,尤其是学校中高层领导,意识到没有一劳永逸的网络安全。” 针对高校网信部门普遍存在的资源受限和缺乏完善评价机制问题,北大提出了“网信工作队伍体系”的概念,坚持实事求是的方法论,积极主动,尽力而为,“认准方向,能干一点是一点”。
五项使命任务和“十个坚持”为网信工作提供更明确指引
《中国教育网络》:近日,习近平总书记对网络安全和信息化工作作出重要指示,提出五项使命任务和“十个坚持”的重要原则。在您看来,这将对我国高等教育信息化和网络安全工作带来怎样的影响?信息化部门该如何落实相关精神?
蒋广学:习近平总书记这次提出的五项使命任务和“十个坚持”的重要原则,是对网信工作发展定位、职责功能的系统梳理和再次强调,是习近平网络强国思想的集中体现。其中相关的论述、要求,习近平总书记在不同的阶段、不同场合都有提到过,他一直高度重视互联网的历史发展方位和经济社会作用,包括如何做好网络安全和信息化工作,并在实践中不断丰富和完善其理论指导体系,这次的工作指示是比较系统全面地总结提炼。
在习近平总书记看来,网络安全和信息化工作是一个需要持续重视、持续投入、持续改进、持续创新的长期过程。网络安全工作更是一个全面推进的系统工程。不是我们的工作今天突然变得重要,也不是我们着急忙慌地从零开始去做好事情,网络安全不是一个做与不做的事情,而是必须天天做、好好做。
长期以来,北大按照习近平总书记的要求,不断推进学校的网信工作。这一次五项使命任务和“十个坚持”能够帮助我们对工作做一个更清晰的系统梳理,指导我们的工作抓住重点,抓住要点,全面地推进。具体到五项使命任务:
举旗帜聚民心。这是怎么样用好互联网的问题。人民群众在哪里,党的工作、思想政治、教育教学就应该做到哪里。人民群众很多时候都在网上,社会已经网络化,网络也已经社会化,如果我们不能在互联网上把旗帜举起来,把民心聚起来,那就失去了一个最大的工作场域和工作对象。这点很强烈地提醒我们,做好互联网工作关系到党运和国运。
防风险保安全。我们现在所有的工作都必须依托互联网来做,高校也是如此。人工构筑的互联网技术平台和运营范式,不可能没有缺陷。我们在技术上不断改进,提高防护,修改漏洞,升级系统,但同样敌对分子和各种复杂势力,也在不断地找漏洞、找问题,搞破坏,来窃取国家机密和个人信息等等。这是“道高一尺,魔高一丈”的发展过程。因此网络安全是一个常态化的工作,永远在路上,要时时刻刻防风险保安全,不可能一劳永逸。
强治理惠民生。简单来说就是借助互联网来惠民,来服务老百姓。现在国家在推行政务一体化,借助互联网给老百姓提供更便捷的服务,“让网络多跑路,让百姓少跑路”。学校也是如此,比如学校推行的一体化办事系统。只有把互联网用好,老百姓才能真正得惠。
增动能促发展。数字经济转型、数字中国建设,是新时代中国和全球新的增长引擎。对于学校也同样如此。高等教育要提质增效,教育数字化升级转型,涉及传统的教学模式的转变、传统的管理模式的转变、传统的服务模式的转变,必须利用好互联网带来的数据、信息、制度、观念等利好的冲击和契机,让它能够助推实现教育的升级发展。要实现中国式教育现代化,不借助互联网契机,是很难做到的。
在这里也多说一句,教育是要“静”下来,十年树木,百年树人。而互联网更多是“浮光掠影”式的信息刺激,缺少深度的思维和长期的滋养,它和依靠知识学习积累的人才培养模式是有些冲突的,两者之间形成了一种张力,这也是一个值得思考的问题,也是真正实现创造性转化必须直面和解决的问题。
谋合作图共赢。从国家战略角度来讲,互联网是全球治理体系建设的重要基石,“一带一路”建设、全球资源共享等,都离不开互联网的加持。对于高校来讲的话,大量的线上课程、国际学术交流、国内外教学科研,都需要更加便捷、高效、开放、安全的互联网。而这些事业,也是网信工作要服务好的领域。
技术是无止境的,要永葆进取之心。
五项使命任务与整个国家、整个教育,包括高等教育的发展趋势和职责使命,贴合得很紧密。五项使命任务和“十个坚持”原则,给高校信息化和网络安全工作提供了更清晰的目标和更明确的指引。
因此,习近平总书记的思想和论述,是高校做好网络安全工作的指路明灯。每个高校如何能让全校上下和全体师生员工,尤其是中高层管理干部,能够充分意识到网络安全工作的重要性,并结合自身实际找到行之有效的办法和路径,这也是一个很严肃也很有挑战的问题。
网络安全永远在路上
《中国教育网络》:当前,全球范围出现了怎样的网络安全挑战?高等教育领域出现了哪些新的、重大的网络安全威胁?相关方是如何应对的?
蒋广学:首先,我们应该认识到,互联网不像宇宙和自然系统,它是人造的,本身就不完备,存在很多问题,也正因此,它需要不断地更新。这个过程中必然有新的不足和问题,需要持续改进完善。
其次,我们也要理解,因为资本和技术的加持,互联网成为全球化的重要推手,正在持续不断地与全球政治、经济、文化、社交等各个领域深入融合,渗透到每个人的生活、工作、学习和思想之中。当人和互联网融合得越紧,社会国家和互联网贴合得越紧,风险隐患就越来越多,安全挑战也将随时随地出现。
因此,从宏观上、从系统上来看,只要时代还在往前走,技术在往前走,互联网在往前走,那么风险只会越来越多,越来越复杂,就像《碟中谍》电影里反派的网络技术水平越来越高一样。
所以,应对网络安全有两个重要的法宝。第一是全方位的警觉意识,敌人无处不在,安全威胁无时不在。你松懈了,下一秒可能就被攻破了。第二是不断的创新意识,技术是“魔高一丈,道高十丈”,必须不断地超越对手,不断地更新技术,对新技术要有一个动态的理解、分析、把握和超越。技术是无止境的,要永葆进取之心。
以上是单论技术层面的最重要的方向。当然另外还有确保和支持技术往前走得更稳健的条件,包括制度保障、经费保障、人才培养、队伍建设等。
网络安全工作是硬件技术、机制体制、观念意识三个维度的系统工程
《中国教育网络》:在今年教育系统网络安全攻防演习中,北京大学获得了攻防双优的好成绩。您觉得北大在网络安全方面现在做得比较好的是什么?下一步要聚焦做的是什么?
蒋广学:对于网络安全工作,我这些年有较为基础的思考,在这里分享一下。
第一,网络安全事业是基础保障。网络安全事业是学校的基础保障条件,要坚持以习近平总书记关于网络强国重要思想为指导,加强党对网络安全的全面领导。无论是学校的发展建设还是安全稳定,没有好的网络安全基础是不可能做到持续发展。习近平网络强国思想具有认识超前性和实践针对性,我们必须好好理解,尤其是学校中高层领导干部能加深理解的话,对于做好高校网络安全工作有巨大的帮助和支持。
第二,网络安全工作是个系统工程。它是硬件技术、机制体制、观念意识三个维度的集合叠加,三位一体,绝对不是哪一面就能解决问题的,三者绝对不可以偏废。网络安全工作具有整体性、动态性、开放性、相对性、共通性,我们要从软硬件投入、体制机制完善、观念意识培养三个方面,统筹谋划一体推进网络安全工作。
第三,作为基础保障和系统工程的网络安全工作需要全面推进,尤其要在日常工作中夯实打牢。很多具体事情要从第一个方面和第二个方面去全面持续地推进和落实。
因此,从这几年实际工作来看,本次全国教育系统演习北大之所以能够取得攻防双优的好成绩,绝不是偶然。首先是因为技术支持保障队伍确实很强、很敬业,其次是上述三个方面整体的系统工程做得比较好的缘故。
下一步北大要继续做好的有以下四点。
第一点,在机制体制方面,完全彻底地坚持校级和二级单位的网络安全责任制。这是落实习近平总书记要求的体现,也是教育部所强调的。把责任落实到单位的主要领导,落实到每一个责任单位和责任个体,让大家不敢懈怠、不能懈怠。
责任机制只是一个具体的抓手,抓手背后有一整套的制度构建。早在 2018 年北大就成立了全国高校第一个“网信委”,书记、校长亲自担任主任,其他副校级领导当副主任,其下有众多成员单位,我是办公室主任。在学校各级领导的合力推动下,北大相继成立网信工作小组、数据工作小组、数据办等机构,出台了《网络安全管理办法》《校务信息数据管理办法》《校务信息数据共享审批管理规定》等制度,数据管理审批的平台、制度、人员都形成了。2019 年出台的《北京大学网络安全管理办法》,包括了二级单位的责任制和配套措施;配合2021 年出台的《北京大学校务信息数据管理办法》,北大在国内高校范围第一次实现了硬件安全、软件安全、数据安全、舆情安全的全面管理。
第二点,加强资源持续投入。加强网络安全投入,强化网络安全资源保障,加强网络安全队伍建设,进一步推进院系和二级单位配置专职安全管理员的机制,个别单位要考虑从学校层面统一协调资源加强管理,促进学校网络安全防护能力的整体提升。
关于资源投入,包括软硬件配备、保障运维等都需要经费,经费投入只是一个方面,队伍建设也是资源投入的重要一项。北大在全国高校中率先明确提出了“网信工作队伍体系”的概念,包括了理念、办法以及具体的激励、保障措施和机制。
比如对于网络安全工作队伍里非编制或者兼职人员来说,要给他们组织和工作的认同感,让他们知道自己是领域里的中坚力量,是骨干、基础,帮助他们形成自我认同,这支队伍建设才可能长远。仅仅给资源和经费,而在观念和制度上没有形成正向的引导,大家就认识不清工作的意义价值和职责使命。因此,观念、制度、资源三位一体,绝对不能偏废。有一定的底线资源,有运行管理激励制度进行约束和激励,同时推动形成人员对工作的认同、对事业的荣誉感,这是队伍建设的三个核心要素,缺一不可。
第三点,加强观念意识的宣传和引导。持续不断地解读和传达党和国家对网络安全工作的重视程度,强调和传播网络安全的重要性、安全形势的严峻性及发生问题的严重性,让学校各部门都重视和参与网络安全工作,提高全校师生上上下下对网络安全的认知度和参与度。
在宣传引导方面,北大这几年想了很多办法,进行了很多尝试,取得了不错的成效,下一步要进行总结提升和制度构建。要利用国家网络安全宣传周活动及学校年度网信工作会议、网络安全攻防演练、网络安全年度总结和评优表彰等常规重大活动,将网络安全宣传和队伍建设、调研工作加强整合,优化和加强“一线风采”“项目巡礼”“学习强国”“实践调研”等微信公众号、《网信工作动态》《网络舆情简报》《每周党政信息(网信)》《每日网安动态》等报送信息的内容建设,在此基础上探索队伍建设的相关制度建设。
硬件、制度、观念,必须分步骤展开,最好能够同时规划、协调配合推进,千万不能只做一点。
第四点,重视供应链安全问题。网络安全的很多问题是由供应链导致的。大多数高校的技术开发人员非常少,开发能力相当有限,高校很大程度上依赖于社会的供应商或者是商业供应链。北大属于拥有较强技术开发能力的高校,也依然需要社会供应商提供辅助和补充。要规范供应链管理,关键是形成完备的制度体系,明确责任分工,形成具体有效的奖惩手段和管理机制,确定风险管理、合同管理、技术标准、人才培养等方面的管理措施,从制度机制上来保障供应商提供的产品和服务质量,应对和缓解供应链危机。在供应链安全问题上,积极探索一些能落地的机制和办法。
化危为机,“扯虎皮做大旗”
《中国教育网络》:网络安全工作的防御性使它常常隐身于幕后,很多高校信息中心老师反映学校对网络安全的重要性认识欠缺,投入有限,工作起来受到制约,您能给一些可实操的建议吗?
蒋广学:当前网络攻击和数据泄露事件接连不断,社会媒体也对此高度关注。一旦出问题,责任追究不可避免。但危机也意味着机遇。要化“危”为“机”,我们要学会把危机主动转化为机遇,去向领导争取资源和政策支持,团结同一战线的同仁们,共同想办法克服危机,创造性地提出适用于本校的工作办法。
第一点,首要之务在于把握住当前蕴含着机遇的时机,尽力宣传和游说网络安全的严峻情势和网络安全工作的重要性。通过反复强调宣传,提升全校中层正副职领导的网络安全意识,动员学校各个领域、各个系统的相关部门共同参与,协同推进网络安全工作。通俗来讲,这是“扯虎皮做大旗”,在确保政治正确的情况下,这就是斗争策略。
第二点,网络安全工作是个系统工程,它不可能一蹴而就,一定要分步骤、有重点、有先后地推进。
先解决急难险重的问题,之后在建立四梁八柱的过程中,不断地丰富和完善整个观念、制度和技术体系。对于当前重大的安全威胁和数据危机,重要的是加大技术投入和资源投入。在向学校争取资源的同时,要明白安全威胁无时不在,单凭技术不能永久解决问题,制度和机制的问题要同步跟进。网络安全工作最重要的,还是要从基础上、从底子上、从根本上改变观念,让全校师生,尤其是学校中高层领导,意识到没有一劳永逸的网络安全。互联网是一个超级复杂的系统,仅凭几个人员就能把学校的网络运维好、漏洞全管住,是不切实际的,需要学校上下各部门、全体师生协同配合、共同参与。要把大家的传统观念扭转到“网络安全出小事是常态,不出事是非常态,不出大事才是好状态”,并加强工作落实,这才是真正的赢的办法。总之,硬件、制度、观念,必须分步骤展开,最好能够同时规划、协调配合推进,千万不能只做一点。
第三点,多一些换位思考和升维思考。换位思考意味着要从领导,从学生,从不同的用户角度思考问题,理解他们面对问题时如何感受,把他们的纠结点、难点、痛点梳理整合出来,这对于做好网信工作会很有助益。
升维思考则是要站在更高的维度进行思考,要超越一个普通的技术人员、管理人员维度,甚至一个高校网络信息中心或者网信办主任的维度,而应该站在教育的维度考虑。高校的主业是教书育人,是科研创新。网信工作要思考如何服务于教书育人,如何服务于科研开发多少?只有触及别人的切肤之痛并解决问题,才能争取到对方的全力支持。不能就信息化谈信息化,一定要就教育或者大学的发展来谈信息化,这是一种升维。当然还有更高的升维,比如站在习近平总书记二十大报告里面讲的中国式教育现代化的维度来思考,站在怀部长强调的教育数字化的维度来思考,作为高校的信息化工作者,能在网络安全层面做什么?
小结一下,我提了三点建议,第一是化“危”为“机”;第二是系统工程,第三是换位和升维思考。受到制约,遇到困难是正常的,要往好里看,找到希望,找到方向,用正确的方法来解决,最后就会有好的结果。
认准方向,尽力而为“进一寸有一寸的欢喜”
《中国教育网络》:有老师反映学校网络安全和信息化工作缺乏明确的评价机制,希望教育部能给一些可量化的评价参数。您怎么看这个问题呢?
蒋广学:首先,不能“坐等靠要”,在一定程度上要自己主动想办法。网信工作的评价机制,不是一点都说不清,也不是一点都推进不了。认准方向,尽力而为,能干一点是一点,哪怕只有微小的进展,也能收获成就感。
其次,通过换位思考、升维思考,找到突破口或具体办法。比如可以根据学校具体实际,做些调研和评估,提出来一个方案。当然,这个方案很大可能会遭到否定或者批判,但是如果不提出来、说出去,学校怎么意识到存在这个问题,问题又有多重要?现在有个普遍现象,系统内部有问题,抱怨、发牢骚自循环,但问题不提出去。
再次,向学校反映问题、争取支持的时候,不能就信息化谈信息化,必须从整个学校、整个系统的角度来谈如何设计评估方法,如何评价效益。这也是我们提出“网信工作体系系统”概念的原因之一。高校信息中心一般只有十几到二十几个人,这个体量对整个学校来说很小。“网信工作队伍体系”这个概念则将网信工作队伍扩展到全校各单位专兼职网信工作人员,这在北大就有200 多人,其他高校也应该人数不少。这支规模可观的队伍的评估机制,包括职称、级别等,肯定会内嵌到将来的发展中,专门为这支队伍去调整和设计评估方案,对学校来说,就是必要的。
此外,一定要借力打力,比如说可以参考实验室与设备系列的评估办法,直接借鉴修改,接着争取学校人事部门和校长办公会的认可,不被认可就一直改。关于绩效和评价标准,我们也在积极探索。
总之,事在人为,要积极主动地谋划和推进,建立和完善网信工作的评价机制。没有事情能够一步到位,一切都是争取和妥协的结果。
对教育网络安全服务平台的期待和建议
《中国教育网络》:今年5 月,教育网络安全服务平台(https://ecp.emic.edu.cn)上线开通。该平台能够帮助解决什么问题?关于此平台的进一步完善,您有何建议和期待?
蒋广学:我亲身见证了教育网络安全服务平台的上线开通,5 月份在贵阳我参加了平台的开通仪式。
教育网络安全服务平台是从实际工作的需求出发,面向各级教育行政部门和不同类型的学校,构建了一个综合性的网络安全线上一体服务平台。
我们期待平台能够持续创新,不断引入新的服务功能,一方面是完善当前的服务范围,包括一些没有的东西,更重要的是能够不断适应变化的网络安全挑战和需求,来开发新的技术、应用、理念、思维资源。
另一方面,也希望平台成为一个桥梁,不仅在技术和信息层面连接各个学校,更在合作和共享的理念上架起枢纽。教育系统各个单位可以借助平台共同深入探讨网络安全领域的新趋势、新挑战,并汇聚集体智慧,探索新的解决方案,推动整个教育系统网络安全不断提升。
此外,互联网是应用为王,人气是靠应用堆积的。期待平台能够用互联网的思维解决互联网的问题,从用户的角度开发新应用,提高关注度和浏览量,打造共享和交流的大平台。做好高校的网络安全和信息化工作一定要尝试运用管理思维,而不能仅仅从技术视角考虑问题。如果只是局限于技术自身,那就只能扮演配角。要想站到前台,一定要有管理思维。
信息化是一个管理主导、业务主控、技术支撑三位一体的不断开辟的新领域。信息化绝对不只是信息化,还需要考虑背后和周边的方方面面。一定要跳出本位局限,进行换位思考,甚至升维思考,事情才可能做得更好。我想,这个原则在任何领域都有共通性。