高校是基礎(chǔ)研究主力軍和重大科技突破策源地,,是國(guó)家戰(zhàn)略科技力量和國(guó)家創(chuàng)新體系的重要組成部分。黨的十八大以來(lái),,高校創(chuàng)新能力快速提升,、重大成果持續(xù)涌現(xiàn)、體制機(jī)制改革縱深推進(jìn),,日漸成為社會(huì)可持續(xù)發(fā)展的強(qiáng)大動(dòng)力,,為創(chuàng)新型國(guó)家建設(shè)做出重要貢獻(xiàn)。
數(shù)字化時(shí)代下,,高校信息系統(tǒng)極大地保障和促進(jìn)了教學(xué),、科研、管理和對(duì)外交流等活動(dòng)的開(kāi)展,,但其中產(chǎn)生的大量數(shù)據(jù),,包括教育資源、科研成果,、師生信息,、教學(xué)素材、國(guó)家教學(xué)資助信息等,,隱藏著巨大的網(wǎng)絡(luò)安全隱患,。對(duì)此,需要先梳理清楚以下內(nèi)容:
● 高校的信息化發(fā)展歷程
● 教育部對(duì)高校網(wǎng)絡(luò)安全提出的安全建設(shè)規(guī)劃
● 負(fù)責(zé)高校網(wǎng)絡(luò)安全建設(shè)與管理的主體
本次分享將圍繞以上內(nèi)容,,帶您了解高校所面臨的網(wǎng)絡(luò)安全挑戰(zhàn),,不容錯(cuò)過(guò)!
信息化發(fā)展歷程
我國(guó)高校的信息化發(fā)展大約從2000年開(kāi)始,,前期主要圍繞信息化基礎(chǔ)設(shè)施展開(kāi),,后續(xù)則是轉(zhuǎn)向“信息技術(shù)與教育教學(xué)的深度融合”,著手建設(shè)“三通兩平臺(tái)”,,即寬帶網(wǎng)絡(luò)校校通,、優(yōu)質(zhì)資源班班通、網(wǎng)絡(luò)學(xué)習(xí)空間人人通,,建設(shè)教育資源公共服務(wù)平臺(tái)和教育管理公共服務(wù)平臺(tái),,這個(gè)階段也被稱為教育信息化1.0時(shí)代,。
2018年,教育部印發(fā)《教育信息化 2.0 行動(dòng)計(jì)劃》,,提出“三全兩高一大”,,即教學(xué)應(yīng)用覆蓋全體教師、學(xué)習(xí)應(yīng)用覆蓋全體適齡學(xué)生,、數(shù)字校園建設(shè)覆蓋全體學(xué)校,,信息化應(yīng)用水平和師生信息素養(yǎng)普遍提高,建成“互聯(lián)網(wǎng)+教育”大平臺(tái),,標(biāo)志著我國(guó)教育信息化正式進(jìn)入全新 2.0 時(shí)代,。如圖所示:
圖 高校信息化發(fā)展時(shí)間軸
高校網(wǎng)絡(luò)安全發(fā)展
另一方面,隨著高校信息化的快速發(fā)展和信息技術(shù)的廣泛應(yīng)用,,高校網(wǎng)絡(luò)安全也面臨著不小的威脅,。教育信息化是國(guó)家信息化的重要組成部分,教育行業(yè)網(wǎng)絡(luò)與信息安全工作關(guān)系著教育信息化的穩(wěn)步推進(jìn)和教育事業(yè)的改革發(fā)展,,因此教育部從17年開(kāi)始便在各類規(guī)劃或指導(dǎo)文件中強(qiáng)調(diào)了網(wǎng)絡(luò)安全的重要性:
2017年
《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)》:高校開(kāi)展以治理網(wǎng)站亂象,、堵塞安全漏洞、補(bǔ)齊等保短板,、規(guī)范安全管理為主要內(nèi)容的教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng),,全面提升教育行業(yè)網(wǎng)絡(luò)安全水平。
2019年
《教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)》:把網(wǎng)絡(luò)文明,、網(wǎng)絡(luò)安全教育納入學(xué)校教育工作內(nèi)容,;建立常態(tài)化的通用軟件安全評(píng)估機(jī)制;開(kāi)展網(wǎng)絡(luò)安全檢查,。
2021年
1,、《科學(xué)技術(shù)與信息化司工作要點(diǎn)》:強(qiáng)化教科網(wǎng)的網(wǎng)絡(luò)安全監(jiān)測(cè)能力,健全網(wǎng)絡(luò)安全監(jiān)測(cè)通報(bào)機(jī)制,;開(kāi)展教育系統(tǒng)網(wǎng)絡(luò)安全攻防演習(xí),。
2、《教育信息化2.0行動(dòng)計(jì)劃》:全面提高教育系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力,,深入開(kāi)展網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警,,提高網(wǎng)絡(luò)安全態(tài)勢(shì)感知水平。
3,、《關(guān)于推進(jìn)教育新型基礎(chǔ)設(shè)施建設(shè)構(gòu)建高質(zhì)量教育支撐體系的指導(dǎo)意見(jiàn)》:到2025年,,基本形成結(jié)構(gòu)優(yōu)化、集約高效,、安全可靠的教育新型基礎(chǔ)設(shè)施體系,。
2022年
《2022年工作要點(diǎn)》:深化信息技術(shù)與教育教學(xué)融合創(chuàng)新;建立教育信息化產(chǎn)品和服務(wù)進(jìn)校園審核制度。
其中,,需要重點(diǎn)關(guān)注2021年的兩份文件——《教育信息化2.0行動(dòng)計(jì)劃》與《關(guān)于推進(jìn)教育新型基礎(chǔ)設(shè)施建設(shè)構(gòu)建高質(zhì)量教育支撐體系的指導(dǎo)意見(jiàn)》,以下簡(jiǎn)稱“2.0行動(dòng)計(jì)劃”與“指導(dǎo)意見(jiàn)”,。
2.0行動(dòng)計(jì)劃提出,,要以《網(wǎng)絡(luò)安全法》等法律法規(guī)為綱,落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和做好關(guān)鍵關(guān)鍵信息基礎(chǔ)設(shè)施保障,,深入開(kāi)展網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警,,提高網(wǎng)絡(luò)安全態(tài)勢(shì)感知水平,全面提高教育系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力,,切實(shí)維護(hù)好廣大師生的利益,。
而指導(dǎo)意見(jiàn)則是明確了在網(wǎng)絡(luò)安全部分的要求:
資產(chǎn)安全
加強(qiáng)國(guó)家主干網(wǎng)、省市教育網(wǎng)和學(xué)校校園網(wǎng)的銜接,,實(shí)現(xiàn)網(wǎng)絡(luò)地址,、域名和用戶的統(tǒng)一管理;增強(qiáng)感知能力,,并完善教育系統(tǒng)信息資產(chǎn)數(shù)據(jù)庫(kù),,掌握信息系統(tǒng)(網(wǎng)站)情況。
安全防護(hù)
建設(shè)科研協(xié)同平臺(tái),,支撐跨學(xué)科,、跨學(xué)校、跨地域的協(xié)同創(chuàng)新,;基于教育專網(wǎng)開(kāi)展網(wǎng)絡(luò)流量監(jiān)測(cè),,及時(shí)監(jiān)測(cè)安全威脅、發(fā)現(xiàn)攻擊行為,;建立教育系統(tǒng)應(yīng)急指揮網(wǎng)絡(luò),,提升安全事件發(fā)現(xiàn)、應(yīng)急報(bào)告,、協(xié)同處置,、追蹤溯源等能力。
應(yīng)用安全
促進(jìn)信息技術(shù)應(yīng)用創(chuàng)新,,提升軟件供應(yīng)鏈安全水平,;健全應(yīng)用監(jiān)管-提升教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序、教育軟件,、在線教育平臺(tái)和新型數(shù)字終端等監(jiān)管的信息化支撐能力,,推動(dòng)新技術(shù)、新應(yīng)用進(jìn)校園審核備案,。
高校安全主體
上述提到了教育部對(duì)于高校安全發(fā)展的規(guī)劃和建議,,那么落實(shí)到具體高校,安全主體的責(zé)任該由誰(shuí)來(lái)承擔(dān)呢,?
結(jié)合對(duì)于各高校的組織架構(gòu)分析,,一般校直屬都有一個(gè)部門專門負(fù)責(zé)網(wǎng)絡(luò)安全和信息化,,不同高校稱呼也各不相同——“信息中心”、“網(wǎng)絡(luò)與信息化中心”,、“網(wǎng)絡(luò)管理中心”等,。以下統(tǒng)稱為“信息中心”。其下屬一般還設(shè)有綜合辦公室(統(tǒng)籌管理),、網(wǎng)絡(luò)通訊部門(基礎(chǔ)設(shè)施),、信息與系統(tǒng)部(規(guī)劃管理)、校園卡中心,、科研中心等(不同高校稱呼不一),。但整體部門人數(shù)相對(duì)較少,同時(shí)也缺乏專業(yè)的網(wǎng)絡(luò)安全人才,,更多依賴于安全服務(wù),。
高校安全建設(shè)現(xiàn)狀
以上海某高校為例,其網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀可分為三個(gè)維度:
資產(chǎn)安全
隨著信息系統(tǒng),、網(wǎng)站數(shù)量的急速增長(zhǎng),,信息化部門人力有限,缺乏對(duì)應(yīng)管理部門,,因此只能重點(diǎn)關(guān)注核心業(yè)務(wù)資產(chǎn),,導(dǎo)致資產(chǎn)管理薄弱,主要依靠資產(chǎn)年審,、安全巡檢等服務(wù),。
安全防護(hù)
信息系統(tǒng)的安全防護(hù)主要根據(jù)等保要求進(jìn)行對(duì)應(yīng)的安全防護(hù)(例如主頁(yè)網(wǎng)站、招生就業(yè)管理,、郵件信息等系統(tǒng)為等保三級(jí)要求,、設(shè)備及采購(gòu)管理和財(cái)務(wù)管理等系統(tǒng)為二級(jí)),具備應(yīng)對(duì)常見(jiàn)安全風(fēng)險(xiǎn)的防護(hù)能力,。
安全管理
具備常規(guī)的安全管理制度規(guī)范,,例如數(shù)據(jù)安全管理辦法、開(kāi)發(fā)部署和運(yùn)維細(xì)則,、身份認(rèn)證接入標(biāo)準(zhǔn),、機(jī)房服務(wù)器管理規(guī)定等,但是在安全監(jiān)測(cè),、風(fēng)險(xiǎn)評(píng)估,、威脅處置等專業(yè)方面仍舊缺乏相應(yīng)的規(guī)范以及人員,主要依靠安全服務(wù),。
網(wǎng)絡(luò)安全挑戰(zhàn)
綜上所述,,結(jié)合默安科技在高校行業(yè)的沉淀和積累,本處簡(jiǎn)單總結(jié)了目前高校在網(wǎng)絡(luò)安全方面可能面臨的安全挑戰(zhàn):
信息資產(chǎn)快速增長(zhǎng)帶來(lái)的管控壓力
隨著教育信息化的快速發(fā)展和疫情的影響,高校教育信息化進(jìn)程不斷加快,,從最早的幻燈片教學(xué)到電視投影,,再到網(wǎng)絡(luò)教學(xué)和遠(yuǎn)程教學(xué)。信息技術(shù)的引入大大提升了教學(xué)質(zhì)量,,但同時(shí)這些大量增加的信息化資產(chǎn)也帶來(lái)了諸多安全問(wèn)題,。
動(dòng)蕩國(guó)際形勢(shì)下的高校網(wǎng)絡(luò)安全
新冠疫情以來(lái),各國(guó)經(jīng)濟(jì)發(fā)展都受到影響,,小國(guó)破產(chǎn)&俄烏戰(zhàn)爭(zhēng)也讓國(guó)際局勢(shì)變得愈發(fā)膠著,網(wǎng)絡(luò)安全領(lǐng)域也處于風(fēng)雨飄搖之中,。根據(jù)Check Point的安全報(bào)告顯示,,2021 年全球各地企業(yè)與機(jī)構(gòu)遭到的網(wǎng)絡(luò)攻擊較 2020 年平均增長(zhǎng) 50%,而教育和研究部門則成為重災(zāi)區(qū),,平均每周遭受 1,605 次攻擊,。
高校軟件供應(yīng)鏈帶來(lái)的安全挑戰(zhàn)
我國(guó)高校信息系統(tǒng)大多都是由第三方軟件公司開(kāi)發(fā),其供應(yīng)鏈環(huán)節(jié)復(fù)雜,、結(jié)構(gòu)復(fù)雜,,容易受到來(lái)自供應(yīng)鏈各個(gè)節(jié)點(diǎn)和流通過(guò)程中各個(gè)環(huán)節(jié)的安全威脅。2021年年初的 SolarWinds,,4月的Codecov,、7月的Kaseya以及年終的 Log4j 漏洞,一系列的開(kāi)源庫(kù)漏洞的惡劣影響揭示了軟件供應(yīng)鏈固有的重大風(fēng)險(xiǎn),。
高校安全能力難以跟上信息化腳步
與其他行業(yè)專門設(shè)立網(wǎng)絡(luò)安全部門的情況不同,,大部分高校均將時(shí)間精力傾注于教育教學(xué),使得網(wǎng)絡(luò)安全人才和能力稀缺,,一些高校甚至是由信息老師兼任其網(wǎng)絡(luò)安全管理人員,。而在各類安全風(fēng)險(xiǎn)的發(fā)生及國(guó)家對(duì)于高校網(wǎng)絡(luò)安全穩(wěn)定的要求下,如何提升安全防護(hù)能力已成為高校不得不直面并解決的問(wèn)題,。
那么,,對(duì)于安全從業(yè)者以及企業(yè)、組織的安全負(fù)責(zé)人,,應(yīng)該怎樣去應(yīng)對(duì)這些挑戰(zhàn)呢,?
高校網(wǎng)絡(luò)安全解決方案
默安科技高校行業(yè)網(wǎng)絡(luò)安全治理框架構(gòu)建思路分為四步,如下圖所示:
圖 高校網(wǎng)絡(luò)安全體系建設(shè)框架
● 第一步 高校IT資產(chǎn)風(fēng)險(xiǎn)治理
幫助高校梳理可能被攻擊的資產(chǎn)暴露面,,全方位發(fā)現(xiàn)當(dāng)前所有IT資產(chǎn)并進(jìn)行常態(tài)化安全監(jiān)測(cè),。
● 第二步 主動(dòng)縱深式安全防御
從網(wǎng)絡(luò)側(cè)、外部視角進(jìn)行安全防護(hù),,以事前發(fā)現(xiàn),、事中溯源、事后分析的邏輯搭建主動(dòng)縱深式安全防御。
● 第三步 軟件供應(yīng)鏈安全治理
著眼于軟件自身的安全性,,從軟件供應(yīng)鏈角度保障高校外采業(yè)務(wù)系統(tǒng)的安全性,。
● 第四步 引入專業(yè)安全服務(wù)
針對(duì)高校安全人員短缺的問(wèn)題,引入第三方專業(yè)安全服務(wù),,可以很好地補(bǔ)齊高校安全能力短板,。
Step1高校IT資產(chǎn)風(fēng)險(xiǎn)治理
2016年的網(wǎng)信工作座談會(huì)上強(qiáng)調(diào)了IT資產(chǎn)的重要性,教育部也于2021年發(fā)布相關(guān)文件對(duì)IT資產(chǎn)安全提出了具體的要求:
要全面加強(qiáng)網(wǎng)絡(luò)安全檢查,,摸清家底,,認(rèn)清風(fēng)險(xiǎn),找出漏洞,,通報(bào)結(jié)果,,督促整改。要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告機(jī)制,、情報(bào)共享機(jī)制,、研判處置機(jī)制,準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律,、動(dòng)向,、趨勢(shì)。
——2016年4月19日網(wǎng)絡(luò)安全和信息化工作座談會(huì)
加強(qiáng)國(guó)家主干網(wǎng),、省市教育網(wǎng)和學(xué)校校園網(wǎng)的銜接,,實(shí)現(xiàn)網(wǎng)絡(luò)地址、域名和用戶的統(tǒng)一管理,;增強(qiáng)感知能力,,并完善教育系統(tǒng)信息資產(chǎn)數(shù)據(jù)庫(kù),掌握信息系統(tǒng)(網(wǎng)站)情況,。
——教育部《關(guān)于推進(jìn)教育新型基礎(chǔ)設(shè)施建設(shè)構(gòu)建高質(zhì)量教育支撐體系的指導(dǎo)意見(jiàn)》
那么如何將“摸清家底”融入到高校網(wǎng)絡(luò)安全建設(shè)中去,,落實(shí)教育部的要求呢?建議從以下幾個(gè)方面進(jìn)行:
1,、資產(chǎn)暴露面梳理
所謂的暴露面,,可以簡(jiǎn)單理解為容易被攻擊的薄弱點(diǎn),比如對(duì)外開(kāi)放的高校網(wǎng)站,、內(nèi)部教務(wù)系統(tǒng)開(kāi)放的端口和服務(wù)等,,讓高校安全運(yùn)營(yíng)者知曉自身的弱點(diǎn)。
2,、資產(chǎn)全量發(fā)現(xiàn)
基于高?,F(xiàn)有的資產(chǎn)清單,去發(fā)現(xiàn)其他未登記在冊(cè)或者應(yīng)該被關(guān)閉或廢棄卻依然活躍的“僵尸”資產(chǎn),。
3,、全天候安全檢測(cè)
將上述的暴露面與資產(chǎn)進(jìn)行關(guān)聯(lián),,周期性進(jìn)行常態(tài)化的安全巡檢,協(xié)助高校安全運(yùn)營(yíng)者定位具體風(fēng)險(xiǎn)資產(chǎn),,進(jìn)行關(guān)閉或是安全加固,。
Step2主動(dòng)縱深式安全防御
近幾年,高校網(wǎng)絡(luò)安全事件時(shí)有發(fā)生,,今年西北工業(yè)大學(xué)遭受的國(guó)家級(jí)黑客攻擊事件便是一個(gè)重要的警示,。并且,隨著教育系統(tǒng)網(wǎng)絡(luò)安全攻防演習(xí)成為常態(tài)化,,提升網(wǎng)絡(luò)安全防御能力對(duì)于各大高校來(lái)說(shuō)已然迫在眉睫,。
本系列上篇提到高校安全建設(shè)仍以傳統(tǒng)為主,何為傳統(tǒng)安全防護(hù),?即建設(shè)一個(gè)安全堡壘,,確保所有資產(chǎn)100%安全無(wú)死角,但這幾乎是無(wú)法實(shí)現(xiàn)的,,因此需要轉(zhuǎn)換思路。
大禹治水 堵不如疏
既然不能完全封死攻擊者的道路,,何不如提前設(shè)下陷阱,,主動(dòng)將其捕獲?
默安科技在2016年率先提出主動(dòng)欺騙防御的理念,,化被動(dòng)為主動(dòng),,在攻擊者的必經(jīng)之路上構(gòu)建陷阱,混淆攻擊目標(biāo),,感知并溯源攻擊行為,,最終進(jìn)行攻擊阻斷,保障教務(wù)系統(tǒng)的安全,,具體措施如下:
事前發(fā)現(xiàn)
基于真實(shí)的教務(wù)系統(tǒng)偽造虛假的一比一仿真系統(tǒng),,并在攻擊者可能踩點(diǎn)、采集信息的地方布置誤導(dǎo)性數(shù)據(jù)信息,,或采用探針,、虛假IP&網(wǎng)頁(yè)等技術(shù)手段,混淆攻擊目標(biāo),,誘導(dǎo)攻擊者落入陷阱(仿真系統(tǒng))中,。
事中溯源
當(dāng)攻擊者進(jìn)入到虛假的教務(wù)系統(tǒng)中,竊取數(shù)據(jù)信息,、放置病毒木馬等時(shí),,所有行為軌跡均會(huì)被記錄下來(lái)。
事后分析
針對(duì)落入陷阱的攻擊者,,可以進(jìn)行觀察,、收集數(shù)據(jù),,也可以直接進(jìn)行攻擊阻斷,同時(shí)結(jié)合一系列攻擊行為進(jìn)行身份溯源,,甚至反向控制對(duì)方主機(jī),,作為以后安全建設(shè)的重要憑據(jù)提交給公安。
此外,,這套主動(dòng)防御體系除了能為高校教務(wù)系統(tǒng)的安全保駕護(hù)航,,還能在此基礎(chǔ)上與默安科技進(jìn)一步合作:共同打造屬于高校自身的攻防對(duì)抗實(shí)訓(xùn)室。
某大學(xué)攻防實(shí)訓(xùn)課程示例
補(bǔ)充說(shuō)明:主動(dòng)式欺騙防御建設(shè)并不是拋棄傳統(tǒng)安全防護(hù)體系,,而是1+1>2的關(guān)系,,前者負(fù)責(zé)誘捕和拖延,后者負(fù)責(zé)處置,,相輔相成,,缺一不可。
Step3軟件供應(yīng)鏈安全治理
主動(dòng)式欺騙防御建設(shè)主要針對(duì)教務(wù)系統(tǒng)的外部防護(hù),,在疫情影響和高校行業(yè)信息化的快速發(fā)展下,,根據(jù)CNVD漏洞平臺(tái)國(guó)家信息安全漏洞共享平臺(tái)提供的數(shù)據(jù)顯示,近幾年的安全漏洞主要集中在應(yīng)用程序或WEB應(yīng)用自身,。
近幾年網(wǎng)絡(luò)安全漏洞影響對(duì)象類型
圖源: CNVD漏洞平臺(tái)國(guó)家信息安全漏洞共享平臺(tái)
然而,,對(duì)于高校來(lái)說(shuō),其自身教務(wù)系統(tǒng)絕大多數(shù)都是向第三方開(kāi)發(fā)商進(jìn)行采購(gòu),,或是招聘外部開(kāi)發(fā)人員進(jìn)行駐場(chǎng)開(kāi)發(fā),,難以從根本上對(duì)系統(tǒng)進(jìn)行安全管控。
這里便需要引入“軟件供應(yīng)鏈安全”的概念:
軟件供應(yīng)鏈安全可以被理解為軟件生產(chǎn)的整個(gè)過(guò)程中軟件設(shè)計(jì)與開(kāi)發(fā)的各個(gè)階段來(lái)自編碼過(guò)程,、工具,、設(shè)備、供應(yīng)商以及最終交付渠道所共同面臨的安全問(wèn)題,。
簡(jiǎn)單來(lái)講,,軟件供應(yīng)鏈的業(yè)務(wù)流程可以抽象成開(kāi)發(fā)、交付以及應(yīng)用三個(gè)環(huán)節(jié),,雖然高校往往缺乏開(kāi)發(fā)能力,,但可以從交付階段開(kāi)始進(jìn)行安全管控:
1、優(yōu)化采購(gòu)規(guī)范
在采購(gòu)環(huán)節(jié)增加對(duì)于軟件供應(yīng)鏈安全的要求,,或是在招標(biāo),、合同、審計(jì)等文件中增加軟件供應(yīng)鏈條款,,要求開(kāi)發(fā)商必須承諾所交付教務(wù)系統(tǒng)的安全性,。
2、提前梳理安全需求
除了關(guān)注采購(gòu),、合同階段,,高校還可以在開(kāi)發(fā)商著手開(kāi)發(fā)前,,提前向其提出對(duì)應(yīng)業(yè)務(wù)系統(tǒng)的安全需求(此處可以由默安科技安全咨詢專家進(jìn)行介入指導(dǎo))。例如:用戶登錄某個(gè)系統(tǒng)時(shí),,為了防止被攻擊者進(jìn)行口令爆破和猜解,,登錄功能需要具備多次輸錯(cuò)密碼后輸入驗(yàn)證碼或是輸錯(cuò)幾次需要等待一定時(shí)間的安全功能。
3,、軟件供應(yīng)商管理制度
將軟件自身安全性納入到供應(yīng)商的入圍或評(píng)估標(biāo)準(zhǔn)中,,對(duì)廠商進(jìn)行過(guò)濾篩選,可以在一定程度上保障軟件交付能力和系統(tǒng)安全性,。
Step4引入專業(yè)安全服務(wù)
高校不同于金融,、互聯(lián)網(wǎng)這類網(wǎng)絡(luò)安全發(fā)展走在前端的行業(yè),很多高校都沒(méi)有專門的網(wǎng)絡(luò)安全崗位,,安全能力嚴(yán)重不足,,對(duì)此教育部也表示:
鼓勵(lì)高等學(xué)校和基礎(chǔ)電信企業(yè)進(jìn)行服務(wù)質(zhì)量監(jiān)測(cè),建立以用戶為導(dǎo)向的服務(wù)質(zhì)量考評(píng)機(jī)制,,提高校園網(wǎng)絡(luò)服務(wù)水平,。鼓勵(lì)高等學(xué)校通過(guò)購(gòu)買社會(huì)服務(wù)的方式引入外部資源,提供質(zhì)優(yōu)價(jià)廉的網(wǎng)絡(luò)服務(wù)保障,。
——教育部&工信部:提高高等學(xué)校網(wǎng)絡(luò)管理和服務(wù)質(zhì)量的通知
高校需要具備豐富工作經(jīng)驗(yàn),、具備優(yōu)秀安全設(shè)備日志分析與場(chǎng)景建模能力、具備安全事件應(yīng)急響應(yīng)和運(yùn)維能力的專業(yè)技術(shù)人員,,為其提供細(xì)致、全面的安全服務(wù),,彌補(bǔ)其人力的不足,、技術(shù)的不足、信息的不足,、安全運(yùn)維的不足,。針對(duì)此,可以參考默安科技的高校安全服務(wù)體系:
圖 默安科技高校安全服務(wù)體系
基于對(duì)前沿攻防技術(shù)的持續(xù)研究,,默安科技的安全服務(wù)團(tuán)隊(duì)深耕甲方安全一線,,已成功為黨政機(jī)關(guān)、金融,、運(yùn)營(yíng)商,、能源、制造,、交通運(yùn)輸,、教育等30多個(gè)行業(yè)500余家政企單位提供切實(shí)有效的安全保障服務(wù),包括但不限于各類安全培訓(xùn),、安全咨詢,、重大節(jié)事安全保障,、常態(tài)化安全巡檢、紅藍(lán)對(duì)抗安全服務(wù)等,;近年來(lái)圓滿完成了北京冬奧會(huì),、全國(guó)“兩會(huì)”、中國(guó)國(guó)際進(jìn)口博覽會(huì),、G20杭州峰會(huì),、世界互聯(lián)網(wǎng)大會(huì)、建黨百年等多項(xiàng)網(wǎng)絡(luò)安全保障任務(wù)并獲得致謝,。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<