习近平总书记指出:“没有网络安全就没有国家安全,没有信息化就没有现代化”。对于高校来说,我们可以理解为:没有网络安全就没有高校安全,没有互联网就没有现代大学。所以,片面讲“安全第一”,闭关、断网最安全,然而那将与建设开放、现代的大学教育背道而驰。大学是国家重要的思想、文化和意识形态阵地,除具有一般的人身安全风险、财务风险等之外,道德风险、政治风险、知识产权风险体现得尤为突出;大学又是知识创新、文化传播、服务社会的重要载体,开放、包容、交流的需求更为迫切。因此,从思想上把握好大数据观(Big Data)和小数据观(iData)的均衡,趋利避害,充分利用好互联网这把“双刃剑”,显得十分必要,也是现实要求。
Web2.0时代要求我们必须以“安全第一”为理念发展互联网
第一代互联网Web1.0时代以单向传播为特征,电脑病毒是那个时代最大的安全威胁,至今虽阴魂犹在但终究时过境迁。未来可期的Web3.0时代,以可信的平台、可管理的发布、可控的搜索为特征,实现价值交换,很多安全问题因此得以避免。然而,我们现在正处于Web2.0时代,这个时代以去中心化、开放、共享为显著特征。网络空间中人人都是自媒体,甚至有人将其视为法外之地,慎独、慎微的道德约束更是荡然无存,于是造成网络世界中“好人”和“坏人”难分,“垃圾”和“宝石”共存。
大学生思想单纯,社会经验不足,但好奇心强,极易受到不良信息的侵蚀。近些年,借助网络,暴恐、非法宗教及色情视频传播现象时有发生,境外非法组织通过网络攻击进行宣传、渗透的活动已经成为常态。校园贷等金融行为引起的大学生中止学业、甚至失去生命的现象也引起了国家的高度重视。因此,校园网建设必须以安全为第一。失去了安全,将直接威胁到学生的学业甚至生命。
大数据时代的网络安全,离不开以小数据观为参照
当前,我们不仅处于Web2.0时代,而且还正处于大数据及智能应用蓬勃发展的时代。大数据离不开数据共享,大数据离不开互联互通,大数据甚至对传统处理下不关心的异常数据也愿意收入囊中。可以说,大数据与隐私保护具有天然的、永恒的根本矛盾。在大数据观念诱导下产生了独有的安全风险,主要表现在:用户数据的收集、存储、管理与使用缺乏规范,主要依靠自律;在有社交功能的网站上,伪造或刻意编造虚假评论,或者断章取义地转发猎奇事件以换取流量,造成数据可信性降低;角色、数据、权限量大而多变,受控访问手段有限。于是,网络应用早已超越了二十多年前“互联网上,没有人知道你是一条狗”的预言,达到了“不要说互联网另一端是一个人,即使是一条狗,我们甚至能知道它身上有没有跳蚤”的程度。大数据观念下决不会主动保护个人或单位的隐私,原有框架体系下的信息安全手段捉襟见肘。
在Web3.0到来之前,我们需要引入与其共生的小数据观念,以其理念来制约大数据的滥用。小数据是指以个人为中心的全方位数据及其收集、处理、分析和对外交互的综合系统。一方面,它提供最私密、最完整的数据服务;另一方面,它担任对外大数据的唯一接口。小数据只会把分析结果、而不是隐私内容通知给大数据,这样既能保护个人隐私,又能为大数据提供最准确的信息,完美解决大数据和隐私之间的矛盾。同时,它在主动保护个人隐私的同时,给大数据提供最直接的数据传输,避免了大数据的重复收集和模糊预测,提高数据使用效率和价值。
当然,这些功能需要理想的人工智能(AI)来支持,目前完全实现还有技术困难。这里,我们只是想借鉴其思想,说明大数据观念初心并不是真的对个人隐私感兴趣,通过一定的机制设计可以实现两者的理想结合。
通过顶层设计、顺势而为,弥补Web2.0的时代缺陷
由上可知,Web2.0时代的信息安全问题是其固有的缺失,随之而来的安全管理理论和技术,提醒我们从顶层安全设计出发,来管理整个网络和系统。
十多年来,为了不断应对新的安全挑战,不少单位先后部署了防火墙、安全网关、入侵检测和防护系统等,构建起了一道道安全防线。然而,这些安全防线支离破碎,头痛医头、脚痛医脚,都仅能抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法产生协同效应。企业和组织日益迫切的信息系统审计、等级保护要求,以及不断增强的业务持续性需求,也对客户提出了严峻的挑战。另外,所有数据在创建之初便需要获得安全保障,而并非在数据保存的最后一个环节,特别是在大数据时代背景下仅仅加强结果数据的安全措施,已被证明于事无补。为应对以上问题,我们注意到一种称为“安全管理平台”(Security Operations Center, SOC)的系统思想和产品陆续得到业界认可。最新的SOC概念是一个以业务为核心的、一体化的安全管理系统,它从业务出发,通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节,采用主动、被动相结合的方法,采集来自企业和组织中构成业务系统的各种IT资源安全信息,从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。整个活动贯穿了信息安全管理系统建设生命周期,从调研、部署、实施到运维的各个阶段。
SOC的概念经历了从保护资产为主到保护业务为主的发展过程,SOC系统也沿着产品和服务两条路径推进。多年的校园网建设经验告诉我们,首先必须接纳先进的、适用于中国国情的理念,以此指导大学网络的顶层设计,而后根据市场情况选择适当的安全产品,从而不断地满足时代环境的要求,以积极的态度迎接Web3.0时代的到来。
通过组织和技术的融合,多管齐下确保大学网络安全
网络空间绝非空空如也,它像物理空间一样需要综合治理。在组织手段上,我们认为高校应该在上级教育主管部门的领导下:第一,必须成立“学校网络安全和信息化建设与管理委员会”等机构,“一把手”挂帅,以“统一规划、统一领导、统一建设、统一管理”为原则,强化顶层设计,确保网络安全。第二,围绕各位委员,以国家网络安全法为依据,落实网络安全责任制,做到“责任到人、任务到人”。第三,结合自身情况,出台若干具体的“网络及信息安全管理办法”,同时以专题报告、主题活动等形式,广泛宣传、普及网络安全知识,推动网络安全意识进校园,把抽象的概念落到实处。第四,日常安全管理和非常时期安全管理相结合,非常时期要有非常时期的非常投入,做好应急预案,确保万无一失。第五,坚持信息管理员制度,切实落实二级网站运行情况每日报送制度。第六,聘请学生助理管理员,一方面,对其进行培训,推广安全知识;另一方面,安排其协助监控网站任务,实现群防群治,提高校园网及信息系统的安全稳定运行能力。第七,开展网络安全入学教育,网络安全法规、政策进课堂、进头脑;开展年度网络安全知识竞赛活动,把鲜活的实例、最新的知识推广到每一位师生之中。
在技术措施上:第一,应该按照国家网络安全法及上级教育部门的相关要求,进行学校信息系统等级保护的申请、撤销和变更等备案工作,并及时、定期开展信息系统等级保护测评工作。第二,全面落实实名制接入管理,实现用户行为可追溯、可控制目标。第三,核心设备要采购于可信赖、服务优质的厂商,保证能够及时提供底层代码升级、修补系统漏洞等服务。第四,设置边界防火墙拦截外部攻击,核心服务器设置专门保护区,针对不同应用开放不同服务。第五,服务器区内管理员操作全部纳入审计,禁止非服务器管理员的任何后台操作,定期分析管理员服务器日志,发现异常行为,及时采取措施。第六,借助外部力量,定期实施安全扫描等技术措施,弥补内部技术能力和人工监测的不足。
不忘初心,牢记安全即服务理念,支持大学核心业务发展
“安全第一”决不是信息化的全部,信息技术支持大学核心功能的高效实现才是根本。为此,学校借2013年承接教育部“教育信息化试点高校”之机,以“信息技术与教育教学的深度融合”为主线,注重顶层设计,以现代教育观念引领改革,做到理念创新;布置贯穿教学全过程的学习支持服务系统,形成平台创新;构建导学与自主学习相结合的教学模式,探索模式创新;引入虚拟仿真技术创设情景仿真教学模式,尝试方法创新;突出特色,构建学校教育资源的整合机制,追求资源创新。
学校初步建成有线无线网结合、两级平台互动的传输系统和应用环境,完成了云数据中心网络安全一体化防御体系建设,实现了云数据中心全网流量的安全防护。服务器虚拟化系统等为学校教学、科研与办公提供常规应用服务,“校园通”实现了对整个校园信息系统数据层面的整合。图书管理、地下管网管理等多部门、全方位的信息化系统逐步实现。完成“‘互联网+’本科教学综合改革与创新研究”等多项北京高校教育教学改革立项课题,其中,“信息化环境下多校区协同的创新人才培养模式探索”荣获北京市教育教学成果一等奖。
我们深知,信息化永远在路上。理论在不断完善、技术在不断进步,师生对美好生活的向往在不断提高。把握当下,不怨天不尤人,积极应对时代的挑战,凝聚一切力量,共同参与网络空间的综合治理,把大学网络空间建设成为遵守社会公序良俗、引领优秀社会文化的安全、文明、高效的典范。(作者方德英,系北京工商大学副校长)