由勒索病毒淺析民辦高校網(wǎng)絡(luò)安全機制建設(shè)

張云濤

（三亞學(xué)院，海南三亞 572022）

2017年5月全球多個國家爆發(fā)“想哭”勒索病毒，并持續(xù)肆虐，令人驚訝的是高等學(xué)校也成為網(wǎng)絡(luò)病毒攻擊的重災(zāi)區(qū)，僥幸未受攻擊的高校也一直惶恐不安。計算機病毒、各類網(wǎng)絡(luò)安全漏洞已成為阻礙高校信息化建設(shè)的一個棘手的問題。如何構(gòu)建一個安全的校園網(wǎng)絡(luò)環(huán)境為學(xué)校健康、有序發(fā)展提供保障，是每一個高校決策者、網(wǎng)絡(luò)安全工作者需要直面和解決的問題。

1 影響高校網(wǎng)絡(luò)安全的因素

計算機病毒本身具有隱蔽性、潛伏性、傳染性、破壞性、變異性等特性，很難徹底根除，它不會因為防護系統(tǒng)的改善得到改變，只會隨著網(wǎng)絡(luò)技術(shù)的不斷創(chuàng)新不斷出現(xiàn)新的狀況。此次受到“想哭”病毒感染的66所高校，445端口封堵不嚴(yán)是次因之一，主要原因是網(wǎng)絡(luò)安全防護機制松散，Windows系統(tǒng)沒有及時升級存在的漏洞。

在所有影響高校網(wǎng)絡(luò)安全的因素中，重視不足、管理缺陷、人員短缺、技術(shù)能力低下是主要因素。部分高校的決策者對網(wǎng)絡(luò)安全重視不足，安全風(fēng)險意識低，經(jīng)費的重心放在了教育和科研方面，安全建設(shè)經(jīng)費嚴(yán)重短缺；相較于BAT類的IT公司，高校對網(wǎng)絡(luò)技術(shù)人才不夠重視，待遇較低，晉升通道不暢，接受新技術(shù)培訓(xùn)、進修的機會較少；高校安全崗位設(shè)置缺失，技術(shù)隊伍建設(shè)不穩(wěn)定且技術(shù)人員嚴(yán)重不足。 據(jù)測算，美國高校服務(wù)學(xué)生的技術(shù)人員比值約為154：1，國內(nèi)公辦高校比值約為485：1，而國內(nèi)民辦高校，此項比值估計是國內(nèi)高校平均值的2～3倍，差距顯而易見。

2 民辦高校網(wǎng)絡(luò)安全機制建設(shè)

校園網(wǎng)絡(luò)安全是一項技術(shù)性非常強的工作，相較于公辦高校，民辦高校在經(jīng)費保障，人才儲備、基礎(chǔ)建設(shè)、培養(yǎng)機制等方面差距明顯、滯后嚴(yán)重，要想彎道超車，必須在校園網(wǎng)絡(luò)安全建設(shè)理念、機制方面進行創(chuàng)新。

2.1 健全頂層架構(gòu)，實行年度報告制

縱觀我國高校網(wǎng)絡(luò)安全建設(shè)成效，許多經(jīng)驗和事實證明了，一所高校的網(wǎng)絡(luò)安全建設(shè)水平與高校決策者的重視程度有著必然聯(lián)系，且與決策者的專業(yè)背景、網(wǎng)絡(luò)安全認(rèn)知程度和視野有著重要關(guān)聯(lián)。民辦高校應(yīng)發(fā)揮自身機制靈活的優(yōu)勢，主動繞開現(xiàn)行體制障礙，積極組建“信息化建設(shè)委員會、校園技術(shù)委員會、網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組”等領(lǐng)導(dǎo)和管理機構(gòu)，建立健全頂層組織架構(gòu)，并吸納和聘任更多具有學(xué)科專業(yè)背景的一線主管、專家學(xué)者，實行統(tǒng)籌規(guī)劃、科學(xué)決策。同時，民辦高校應(yīng)把校園網(wǎng)絡(luò)安全建設(shè)納入到學(xué)校的總體發(fā)展規(guī)劃和重要工作任務(wù)之中，針對網(wǎng)絡(luò)安全進行各種深度分析，形成各類型調(diào)查分析報告、校一級專項報告，進而指導(dǎo)學(xué)校網(wǎng)絡(luò)安全體系建設(shè)。

2.2 發(fā)揮體制靈活優(yōu)勢，領(lǐng)先設(shè)立CIO

隨著網(wǎng)絡(luò)技術(shù)革新日新月異，教育思潮百家爭鳴，新的技術(shù)環(huán)境勢必催生新的組織管理，CIO（首席信息官）應(yīng)運而生。這種在西方大學(xué)廣泛引入、成效明顯的管理機制已由無數(shù)的實例證明，將CIO引入高校是當(dāng)前高校管理的有益創(chuàng)新。華中師范大學(xué)楊宗凱校長認(rèn)為，當(dāng)前高校的信息化發(fā)展面臨著一個重要的整合問題，如果能有一個類似 CIO的角色出現(xiàn)，那么信息化的發(fā)展就會進入一個很好的發(fā)展時期。

然而在公辦高校中推行CIO，勢必需要打破既有利益格局，實現(xiàn)利益重組和再造，這是“一件動別人奶酪的事”，而民辦學(xué)校可以發(fā)揮自身體制、機制靈活的優(yōu)勢，領(lǐng)先設(shè)立CIO。CIO不僅是一個職位,而且是一種管理機制，具化到校園網(wǎng)絡(luò)安全建設(shè)上，可從更高的層次制定安全建設(shè)規(guī)劃，保障網(wǎng)絡(luò)安全建設(shè)資金足額投入，并負(fù)責(zé)網(wǎng)絡(luò)安全建設(shè)的各項事務(wù)的決策、管理工作，合理有序地調(diào)動全校的優(yōu)質(zhì)資源進行資源再分配，增強網(wǎng)絡(luò)安全和防范能力。

2.3 發(fā)揮高校人才優(yōu)勢，找準(zhǔn)突破口

高校的網(wǎng)絡(luò)安全環(huán)境要有保障，必須建立具有相當(dāng)專業(yè)知識素養(yǎng)和技術(shù)水準(zhǔn)的專業(yè)人才隊伍和培訓(xùn)機制。而民辦高校普遍存在人員不足、技術(shù)低下、培訓(xùn)偏少等問題，要突破此難題，必須充分發(fā)揮高校的人才特定優(yōu)勢。具體可從以下方面發(fā)力：（1）民辦高校應(yīng)在保障現(xiàn)有網(wǎng)絡(luò)安全技術(shù)隊伍（含專職的網(wǎng)絡(luò)安全設(shè)計崗、安全運維崗）的基礎(chǔ)上，整合校內(nèi)專業(yè)教師隊伍資源、調(diào)動積極性，主動協(xié)助進行校園網(wǎng)絡(luò)安全建設(shè)；組織和引導(dǎo)對網(wǎng)絡(luò)安全感興趣的學(xué)生，成立網(wǎng)絡(luò)安全社團組織，參與和協(xié)助處理非涉密信息安全工作；創(chuàng)設(shè)和支持各類網(wǎng)絡(luò)安全科研項目，鼓勵校園網(wǎng)絡(luò)安全團隊創(chuàng)新創(chuàng)業(yè)，產(chǎn)學(xué)研相結(jié)合，實現(xiàn)合作共贏。（2）民辦高校注重教學(xué)和科研人才引進和培養(yǎng)，這事關(guān)學(xué)校的發(fā)展，同時也應(yīng)尊重網(wǎng)絡(luò)安全人才隊伍建設(shè)，因為這保障著學(xué)校發(fā)展。我們應(yīng)采取有別于公辦高校、更加靈活的用人體系，對有豐富實踐經(jīng)驗和高造詣理論素養(yǎng)的技術(shù)人才破格錄用和選拔，薪資待遇突破現(xiàn)行職稱、學(xué)歷的藩籬，直接與網(wǎng)絡(luò)安全績效掛鉤。（3）民辦高校應(yīng)建立健全網(wǎng)絡(luò)安全制度，明確崗位職責(zé)，積極開展業(yè)務(wù)培訓(xùn)，尤其是提供更多專業(yè)進修、外出參會、參培的機會，切實提升技術(shù)能力和水平；應(yīng)加強校企合作，尤其是與第三方網(wǎng)絡(luò)安全公司合作，聯(lián)合創(chuàng)辦訂單式人才班。一方面，培養(yǎng)實踐性網(wǎng)絡(luò)安全人才，讓學(xué)生更好走向社會，另一方面，培育“雙能型”教師，提升學(xué)校人才培養(yǎng)的能力。

2.4 借助后發(fā)優(yōu)勢，實現(xiàn)跨越發(fā)展

美國社會學(xué)家M.列維認(rèn)為，作為現(xiàn)代化進程中的后來者，可以利用五方面優(yōu)勢超越先行者。民辦高校應(yīng)充分利用后發(fā)優(yōu)勢，創(chuàng)新網(wǎng)絡(luò)安全管理機制，推廣前沿技術(shù)手段，不重復(fù)公辦和國外院校已走過的過渡階段而實現(xiàn)跨越發(fā)展。有兩點思考：（1）公辦高校經(jīng)過幾十年的網(wǎng)絡(luò)安全建設(shè)，仍存在缺人、缺技術(shù)、缺運維的窘境。民辦高校為彌補自身不足，可靈活采取可量化、可管控、可追責(zé)的服務(wù)外包策略。對于學(xué)校數(shù)據(jù)中心、關(guān)鍵業(yè)務(wù)系統(tǒng)等核心應(yīng)用和信息自主管控，同時借助知名網(wǎng)絡(luò)安全廠商技術(shù)服務(wù)優(yōu)勢，將日常運行安全、服務(wù)器運維安全、網(wǎng)絡(luò)攻防等采用服務(wù)外包，實現(xiàn)共建共維、風(fēng)險共擔(dān)、合作共贏。（2）民辦高校應(yīng)規(guī)避公辦院校早期各部門網(wǎng)站建設(shè)相互獨立、各自運維的弊端，避免因各自服務(wù)器配置不當(dāng)、編寫語言不一、程序BUG、數(shù)據(jù)庫漏洞等造成的網(wǎng)站安全隱患，直接采取最新的“網(wǎng)站群”建設(shè)模式。此模式重在建立網(wǎng)站群標(biāo)準(zhǔn)，規(guī)定各部門新、舊網(wǎng)站必須符合群標(biāo)，并統(tǒng)一納入網(wǎng)站群集中授權(quán)和管理，不允許自行開設(shè)對外的WEB服務(wù)、嵌套業(yè)務(wù)程序、開放交互功能，可有效節(jié)約了人財物成本，降低了網(wǎng)絡(luò)安全風(fēng)險，消除了網(wǎng)站信息泄露的隱患。

目前，教育部正在推動實施教育系統(tǒng)安全威脅通報體系，借助教育機構(gòu)、高校、企業(yè)等多方力量，保障教育行業(yè)安全運行。未來，我們也應(yīng)不斷加強校際、校企、國際之間的交流與協(xié)作，共建網(wǎng)絡(luò)安全威脅通報和應(yīng)對聯(lián)動平臺，共同維護網(wǎng)絡(luò)安全。

[1]陳琳.中國高校教育信息化發(fā)展戰(zhàn)略與路徑選擇[J].教育研究,2012（4）：50-55.

[2]丁衛(wèi)澤.美國高校CIO職業(yè)化的探究與啟示[J].現(xiàn)代教育技術(shù),2016（2）：20-25.

[3]賴彥斌.試論我國高校網(wǎng)絡(luò)信息員隊伍的建設(shè)[J].中國教育信息化,2015（1）：29-31.