2O17年，我們關注了這些話題

網絡安全工作需要探討、借鑒、反思、合作，2017年全年我們關注了許多網絡安全領域的話題。

教育系統(tǒng)安全威脅情報共享平臺

在2017年，我們幾次展示過教育系統(tǒng)安全威脅情報共享平臺。這個在2017年2月底開始建立的協(xié)作式平臺是在教育管理部門、高校、產業(yè)界的共同合作下建立的。各高?？梢酝ㄟ^這個平臺，第一時間了解到自身相關的漏洞信息，幫助學校做查漏補缺的工作。專家表示，對安全漏洞，不僅僅是發(fā)現(xiàn)，更重要的是要有體制保障，能夠對它進行跟蹤，一直到它被消亡為止，實現(xiàn)全生命周期的閉環(huán)管理。

安全服務外包

安全服務外包已然成為一種趨勢。從花錢買設備到花錢買服務，高校需要做好什么程度的風險控制，如何更好地保障高?？傮w安全目標的實現(xiàn)成為這一年的熱點話題。專家認為，做好安全服務外包需要學校和企業(yè)一起對外包服務的內容和效果制定可操作，可檢查，可追溯的服務標準。多方攜手，勇于擔起網絡安全責任。

Web安全

Web安全是高校網絡安全工作中常說常新的話題。2017年，我們從機制和技術兩個維度幾次探討Web安全的防范。有一些值得復習的觀點：開展網站普查是Web安全管理的基礎。如同定期的人口普查，高校也要對自己有多少網站進行全面動態(tài)的掌握，在此基礎上推進備案管理體系，明確每一個網站的責任主體，做到網站和責任準確關聯(lián)；網站備案工作依靠技術和管理雙方出擊，要使用網站掃描系統(tǒng)對校園網定期掃描，保障網站備案信息的準確性。

應急響應

應急響應工作在網絡安全一系列體系中占據很重要的位置，其主要目的是在政策背景下，盡可能迅速地將網絡信息安全事件造成的損害和影響控制在最小范圍。2017年，我們探討了自動化技術在安全事件中的響應，網絡安全預案的建立和實施等。從技術上來看，目前尚無希望出現(xiàn)完全的自動響應系統(tǒng)，可預期的方案是系統(tǒng)在進行應急響應時可以根據預配置的策略，靈活地在人工和自動響應之間進行切換，為需要人工參與的過程提供足夠的工具支持。

數(shù)據安全

對于教育行業(yè)來說，數(shù)據安全是一個軟肋?！毒W絡安全法》出臺也以法律的形式明確要求各類組織切實承擔起保障數(shù)據安全的責任，2017年我們分幾次探討了數(shù)據安全及數(shù)據庫安全問題。專家認為，做好數(shù)據安全工作，要實施如下方案：第一，建立數(shù)據分級防護策略；第二，嚴格數(shù)據的訪問控制；第三，探索嘗試數(shù)據加密與一致性校驗技術；第四，實施數(shù)據庫審計。其中，第一條非常重要。數(shù)據的分級原則考慮到可操作性，建議高校數(shù)據分為三個或四個安全級別，如可劃分為公開數(shù)據、一般業(yè)務數(shù)據、內部敏感數(shù)據、個人數(shù)據四個安全級別。

重大活動時期安全保障

高校在2017年全年重大活動安全保障時間達60天左右，這一年，我們熟悉了右圖中的這些詞。

2017年度，我們對重大活動時期的網絡安全保障進行了報道，相關人士表示，我們應當借助重大時期的東風，通過在重要時刻發(fā)現(xiàn)問題并處理問題；在重大活動時期，在特殊時刻，優(yōu)先保障的肯定是“白名單”范圍里的主要業(yè)務，因此一定要把資產的等級梳理出來；尤其針對網站安全，網站系統(tǒng)要定期檢查，一定要成為一個常態(tài)化的工作。

網絡信息安全學術年會

2017年的開始和結束，我們分別關注了2016年和2017年高校網絡信息安全學術年會，有很多重要的觀點值得分享。如：關于大數(shù)據在網絡安全工作中的應用。有了大數(shù)據我們就會有更廣闊的視角，去審視互聯(lián)網過去和現(xiàn)在所發(fā)生的一切；學校應圍繞信息資產為核心來開展安全工作，網絡安全建設要和信息化建設融為一體，應當盡快從被動應急響應向主動安全管理轉變；新時期的應急響應應當從技術管控向全面行政管控轉變；要仿效開源社區(qū)建立教育行業(yè)自己的網絡安全社區(qū)。

2017年對于大多數(shù)高校的網絡安全工作而言都是充滿挑戰(zhàn)的一年。未來，大勢所趨下，網絡安全工作都只會越來越具有挑戰(zhàn)。好消息是，在總體政策的驅動下，大家顯然已經意識到了合作在搭建整體網絡安全環(huán)境中的重要性和迫切性，相信未來各種有效的合作會更多。