師生網(wǎng)絡(luò)安全素養(yǎng)教育指南

文/王宇

學(xué)校網(wǎng)絡(luò)（信息）安全保障工作，是為保障學(xué)校建設(shè)、運(yùn)行、維護(hù)或管理的校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)、網(wǎng)站、數(shù)據(jù)等信息資產(chǎn)的機(jī)密性、完整性、可用性，而開展的相關(guān)管理和技術(shù)工作。學(xué)校教職工和學(xué)生群體是學(xué)校各項(xiàng)事業(yè)的參與成員和服務(wù)對象，因此師生的個(gè)人信息資產(chǎn)安全和網(wǎng)絡(luò)空間安全保障也是學(xué)校網(wǎng)絡(luò)安全工作的主要內(nèi)容之一。同時(shí)，師生作為學(xué)校信息基礎(chǔ)設(shè)施和服務(wù)的主要使用者，其使用習(xí)慣和安全意識(shí)情況將在很大程度上影響著學(xué)校網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)水平。

筆者結(jié)合線上調(diào)研教育行業(yè)網(wǎng)絡(luò)安全宣傳教育經(jīng)驗(yàn)和自身工作認(rèn)知，整理和歸納了師生網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)的主要關(guān)注點(diǎn)和開展方式，并對師生網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)的知識(shí)體系提出建議。對于學(xué)校網(wǎng)絡(luò)安全工作相關(guān)管理和技術(shù)人員、廠商駐場和開發(fā)人員、學(xué)生網(wǎng)絡(luò)安全技術(shù)隊(duì)伍等，應(yīng)該在師生網(wǎng)絡(luò)安全意識(shí)教育基礎(chǔ)上，有針對性地?cái)U(kuò)充政策制度宣貫和技術(shù)知識(shí)學(xué)習(xí)。

重要性、緊迫性和長期性

重要性

網(wǎng)絡(luò)安全業(yè)界有著這樣的共識(shí)：在所有安全解決方案中，人員都是最脆弱的元素。近年來各領(lǐng)域開展的基于真實(shí)場景下的攻防演練，也印證了這一點(diǎn)，利用防守方人員網(wǎng)絡(luò)安全意識(shí)薄弱點(diǎn)（如弱密碼、釣魚郵件等）經(jīng)常是攻擊方突破防守方防御體系的主要途徑。師生網(wǎng)絡(luò)安全意識(shí)的教育和培養(yǎng)是堵住“人”這個(gè)漏洞的重要方式，對提升學(xué)校網(wǎng)絡(luò)安全防護(hù)整體水平十分關(guān)鍵。

緊迫性

如今社會(huì)生活的方方面面已經(jīng)離不開網(wǎng)絡(luò)空間和信息服務(wù)，現(xiàn)實(shí)世界的沖突和風(fēng)險(xiǎn)業(yè)已蔓延到網(wǎng)絡(luò)空間，學(xué)校各類業(yè)務(wù)正常運(yùn)行和師生科研學(xué)習(xí)生活都必須在良好網(wǎng)絡(luò)安全保障的前提下開展，各類信息系統(tǒng)漏洞不斷出現(xiàn)的同時(shí)，基于社會(huì)工程學(xué)方法的釣魚、勒索、詐騙等威脅就在師生身邊，及時(shí)高效地提升師生網(wǎng)絡(luò)安全意識(shí)是應(yīng)對威脅的有效手段。

長期性

與網(wǎng)絡(luò)空間長期共存已經(jīng)是人類社會(huì)發(fā)展的基本趨勢，網(wǎng)絡(luò)和信息服務(wù)種類的推陳出新、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)類別和防護(hù)手段的不斷增加、師生人員流動(dòng)和安全意識(shí)水平差異等都決定了師生網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)同學(xué)校物理安全、消防安全、人身安全等一樣，都需要長期化開展。

主要關(guān)注點(diǎn)和開展方式

師生網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)通過各類教育和培養(yǎng)途徑提升師生對網(wǎng)絡(luò)安全的知悉范圍和認(rèn)知水平，應(yīng)重點(diǎn)關(guān)注教育和培養(yǎng)的組織、渠道、案例、材料、互動(dòng)等方面。

組織

應(yīng)結(jié)合學(xué)校實(shí)際情況，盡可能的擴(kuò)展網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)的組織方式，網(wǎng)信相關(guān)部門可聯(lián)合或支持宣傳、保衛(wèi)、教師培養(yǎng)、學(xué)生管理、圖書館、院系等部門面向師生開展網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)，也可以結(jié)合學(xué)校網(wǎng)絡(luò)安全責(zé)任落實(shí)和管理體系明確各級(jí)部門的師生網(wǎng)絡(luò)安全宣傳和教育培訓(xùn)要求。

渠道

應(yīng)盡可能發(fā)掘和擴(kuò)展開展網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)的渠道，可細(xì)分為線上的和線下的、發(fā)布的和互動(dòng)的、集體的和分散的、原創(chuàng)的和轉(zhuǎn)發(fā)的、推送的和訂閱的、長期的和短期的、本校的和校外的，如宣傳領(lǐng)域的融媒體建設(shè)一樣，目的就是將網(wǎng)絡(luò)安全意識(shí)教育觸達(dá)每一位師生。

案例

應(yīng)注意結(jié)合案例進(jìn)行宣傳和教育，也可以針對典型案例專項(xiàng)開展教育活動(dòng)，避免簡單的文字稿件推送和政策宣講，切實(shí)關(guān)注網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)效果。尤其在事件處置和應(yīng)急響應(yīng)或者與師生實(shí)際互動(dòng)過程中，應(yīng)盡可能有效傳遞和強(qiáng)化人員網(wǎng)絡(luò)安全意識(shí)，強(qiáng)化實(shí)際問題場景下的安全意識(shí)提升。

素材

應(yīng)關(guān)注網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)相關(guān)素材質(zhì)量和資源積累，可以是文字的和多媒體的，通識(shí)的和專題的。素材資源可以通過采購專業(yè)的安全意識(shí)教育服務(wù)獲取，也可以與網(wǎng)絡(luò)安全設(shè)備和服務(wù)提供商溝通獲取，還可以在尊重版權(quán)的基礎(chǔ)上從網(wǎng)絡(luò)獲取和加工，有條件的高校還可以組織學(xué)校師生收集、制作和開發(fā)相關(guān)的素材資源。

互動(dòng)

有良好互動(dòng)的網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)才可能有令人信服的效果，因此網(wǎng)信相關(guān)部門應(yīng)建立穩(wěn)定的、多類型的師生互動(dòng)方式（如各類交流群、公告板、論壇、服務(wù)郵件等），能夠及時(shí)掌握師生網(wǎng)絡(luò)安全相關(guān)述求和問題，以點(diǎn)帶面擴(kuò)展師生網(wǎng)絡(luò)安全關(guān)注度。

師生網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)開展的方式可以分為以下四類：

1.常態(tài)化宣傳教育

常態(tài)化開展網(wǎng)絡(luò)安全宣傳教育是學(xué)校網(wǎng)絡(luò)安全工作的主要內(nèi)容之一，也是開展網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)的基本手段，通過學(xué)校新聞網(wǎng)、網(wǎng)信相關(guān)網(wǎng)站、網(wǎng)絡(luò)安全專題網(wǎng)站、微信公眾號(hào)（訂閱號(hào)、企業(yè)號(hào)）、各類視頻號(hào)、群發(fā)電子郵件、群發(fā)短消息、派發(fā)紙質(zhì)宣傳品等方式持續(xù)發(fā)布和推送網(wǎng)絡(luò)安全相關(guān)知識(shí)、動(dòng)態(tài)、通報(bào)和預(yù)警；同時(shí)，利用好每年的全民國家安全教育日（National Security Education Day，每年4月15日）、國家網(wǎng)絡(luò)安全宣傳周（一般在每年9月的第三周）、新生入學(xué)季（每年8月、9月）、網(wǎng)絡(luò)安全重要保障時(shí)期等重要時(shí)間段以及新員工入職等時(shí)間節(jié)點(diǎn)，重點(diǎn)且有針對性地開展線下和線上的網(wǎng)絡(luò)安全意識(shí)教育和培訓(xùn)。

筆者線上調(diào)研了121所高校，其中69所高校（占比57%）的網(wǎng)信相關(guān)部門網(wǎng)站上有網(wǎng)絡(luò)安全相關(guān)專欄或?qū)ｎ}網(wǎng)站，19所高校（占比16%）有網(wǎng)絡(luò)安全專題網(wǎng)站；各高校在國家網(wǎng)絡(luò)安全宣傳周期間都舉辦了形式多樣的線下、線上的網(wǎng)絡(luò)安全宣傳活動(dòng)（如宣傳展板、大屏展示、專題講座、主題班會(huì)、主題團(tuán)課、倡議簽名、拍照打卡、問卷收集、現(xiàn)場體驗(yàn)、基地參觀、知識(shí)答題、素材征集、法律咨詢、拍照簽名打卡、熱點(diǎn)問題辯論等）；山東大學(xué)、西安交通大學(xué)、北京師范大學(xué)、大連理工大學(xué)、中國地質(zhì)大學(xué)（北京）、東南大學(xué)、南京理工大學(xué)、東北大學(xué)等高校的網(wǎng)絡(luò)安全專題網(wǎng)站做到常態(tài)化更新發(fā)布，如圖1所示；部分高校提供網(wǎng)絡(luò)安全意識(shí)培訓(xùn)和網(wǎng)絡(luò)安全知識(shí)講座的常態(tài)化的線上學(xué)習(xí)課程或視頻點(diǎn)播。

圖1 山東大學(xué)、西安交通大學(xué)、北京師范大學(xué)、大連理工大學(xué)網(wǎng)絡(luò)安全專題網(wǎng)站

2.響應(yīng)類專項(xiàng)教育

與事件處置和應(yīng)急響應(yīng)相結(jié)合的開展網(wǎng)絡(luò)安全宣傳教育和培養(yǎng)，有更強(qiáng)的針對性和更廣的觸達(dá)范圍，如漏洞預(yù)警通報(bào)、主機(jī)安全通報(bào)、漏洞排查通報(bào)、釣魚郵件實(shí)例通報(bào)等；此外，針對勒索病毒防護(hù)、挖礦病毒防護(hù)、釣魚郵件防護(hù)等組織專題的宣傳教育和信息推送，也具有強(qiáng)于常態(tài)化網(wǎng)絡(luò)安全意識(shí)宣講的效果。

漏洞預(yù)警通報(bào)。結(jié)合學(xué)校信息資產(chǎn)情況和師生常用設(shè)備、系統(tǒng)、服務(wù)等情況，通過及時(shí)獲取和研判國家、行業(yè)、地區(qū)等網(wǎng)信相關(guān)信息通報(bào)，整理漏洞危害情況和處置整改建議后形成預(yù)警通報(bào)，通過各類有效渠道在校內(nèi)發(fā)送，并跟進(jìn)和及時(shí)支持相關(guān)師生排查和解決問題。

主機(jī)安全通報(bào)。根據(jù)國家、行業(yè)、地區(qū)等網(wǎng)信相關(guān)信息通報(bào)，結(jié)合校內(nèi)日志檢索和排查情況，確定問題主機(jī)相關(guān)聯(lián)系人員點(diǎn)對點(diǎn)發(fā)送安全通報(bào)，并跟進(jìn)和及時(shí)支持相關(guān)問題排查和解決。

漏洞排查通報(bào)。根據(jù)國家、行業(yè)、地區(qū)等網(wǎng)信相關(guān)信息通報(bào)或?qū)W校主動(dòng)漏洞掃描結(jié)果，發(fā)送漏洞問題和整改建議至相關(guān)部門網(wǎng)絡(luò)安全聯(lián)系人或系統(tǒng)管理員，跟進(jìn)和督促漏洞排查和整改反饋。

釣魚郵件實(shí)例通報(bào)。定期對釣魚郵件實(shí)際案例進(jìn)行標(biāo)注問題關(guān)注點(diǎn)后，通過各類有效渠道對師生發(fā)送實(shí)例通報(bào)，實(shí)例化提醒關(guān)注和防范釣魚郵件攻擊。

3.演練類意識(shí)教育

與學(xué)校網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案演練或?qū)ｍ?xiàng)演練、各領(lǐng)域開展的應(yīng)急演練等活動(dòng)相結(jié)合開展網(wǎng)絡(luò)安全意識(shí)教育，一方面可以場景化的切實(shí)提升師生網(wǎng)絡(luò)安全意識(shí)認(rèn)知，另一方面也是提高演練防護(hù)能力的有效途徑。一般在學(xué)校正式參加或組織基于真實(shí)場景下的攻防演練中，有針對性地開展網(wǎng)絡(luò)安全意識(shí)教育已經(jīng)是主流的提升演練中抗釣魚、抗社工的必備措施。2021年，北京大學(xué)、廈門大學(xué)等高校學(xué)習(xí)歐美的針對組織內(nèi)人員的社會(huì)工程學(xué)“攻擊”的經(jīng)驗(yàn)，主動(dòng)在學(xué)校內(nèi)開展大范圍的釣魚郵件演練，取得了良好的網(wǎng)絡(luò)安全意識(shí)教育效果。

4.競賽類能力培養(yǎng)

通過各類線下線上知識(shí)競賽、作品（宣傳素材）征集評比、CTF安全競賽和團(tuán)隊(duì)選拔等方式，可以營造良好的網(wǎng)絡(luò)安全宣傳氛圍，選拔和鼓勵(lì)師生參與學(xué)校網(wǎng)絡(luò)安全工作，建立良好的網(wǎng)信相關(guān)部門與師生的交流互動(dòng)渠道。

知識(shí)體系內(nèi)容建議

網(wǎng)絡(luò)空間安全知識(shí)體系龐大，網(wǎng)絡(luò)信息應(yīng)用種類繁多，師生人數(shù)數(shù)量眾多而信息技術(shù)水平不均衡，網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)的知識(shí)體系應(yīng)立足底線需求，結(jié)合學(xué)校信息化建設(shè)實(shí)際和網(wǎng)絡(luò)安全管理機(jī)制，針對性地制定本學(xué)校的知識(shí)體系內(nèi)容。對于學(xué)校網(wǎng)絡(luò)安全工作相關(guān)管理和技術(shù)人員、廠商駐場和開發(fā)人員、學(xué)生網(wǎng)絡(luò)安全技術(shù)隊(duì)伍等，可以增加信息系統(tǒng)部署運(yùn)行、信息系統(tǒng)上線檢測、信息系統(tǒng)建設(shè)要求、數(shù)據(jù)安全管理要求、人員安全管理要求、網(wǎng)絡(luò)安全應(yīng)急管理、網(wǎng)絡(luò)安全責(zé)任追究、開發(fā)運(yùn)維過程管控、系統(tǒng)勒索軟件防范等內(nèi)容。

師生網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)是一項(xiàng)長期且艱巨的工作，需要投入大量時(shí)間和精力，但其也是對學(xué)校網(wǎng)絡(luò)安全保障能力持續(xù)提升的有力支持。學(xué)校應(yīng)該在教育行業(yè)主管部門的指導(dǎo)下，與網(wǎng)信主管部門、網(wǎng)絡(luò)安全軟硬件和服務(wù)廠商等形成有效溝通，與兄弟學(xué)校開展良好互助和經(jīng)驗(yàn)分享，持續(xù)提升學(xué)校師生網(wǎng)絡(luò)安全意識(shí)水平。

網(wǎng)絡(luò)安全意識(shí)教育和培養(yǎng)知識(shí)體系

開篇：網(wǎng)絡(luò)安全意識(shí)要點(diǎn)

1.網(wǎng)絡(luò)空間已不是法外之地，已有法可依。

2.網(wǎng)絡(luò)空間威脅將長期存在，需重視防護(hù)。

3.養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣，不輕言信任。

4.關(guān)注隱私遇到問題多求助，勤備份數(shù)據(jù)。

網(wǎng)絡(luò)安全管理制度

1.國家法律法規(guī)

2.教育行業(yè)政策

3.校級(jí)管理制度

網(wǎng)絡(luò)和信息服務(wù)使用常識(shí)

1.有線和無線網(wǎng)絡(luò)使用

2.電子郵件服務(wù)日常配置

3.學(xué)校信息服務(wù)和數(shù)字校園服務(wù)

4.信息技術(shù)使用幫助獲取

5.網(wǎng)絡(luò)安全校內(nèi)協(xié)查協(xié)助

網(wǎng)絡(luò)安全與數(shù)據(jù)安全

1.校園網(wǎng)絡(luò)與業(yè)務(wù)專網(wǎng)安全

2.個(gè)人隱私和數(shù)據(jù)信息保護(hù)

3.傳播違法信息和攻擊信息系統(tǒng)的處罰

4.侵犯公民隱私信息刑事案件的處罰

5.個(gè)人密碼管理

6.病毒風(fēng)險(xiǎn)防范

7.上網(wǎng)安全管理

8.網(wǎng)上交易安全

9.電子郵件安全

10.辦公環(huán)境安全

11.主機(jī)安全

12.手機(jī)安全

13.無線網(wǎng)絡(luò)安全

14.敏感（涉密）信息安全

15.防范釣魚郵件

16.防范網(wǎng)絡(luò)詐騙

17.勒索軟件防范

18.勒索軟件排查和應(yīng)急處置

19.挖礦木馬排查和應(yīng)急處置

安全示例

1.黑客對師生郵箱進(jìn)行精準(zhǔn)釣魚攻擊

2.黑客竊取師生賬號(hào)通過VPN入侵校園內(nèi)網(wǎng)

3.師生個(gè)人隱私信息在網(wǎng)絡(luò)上被泄露

4.木馬郵件造成主機(jī)感染挖礦軟件