在当下网络和信息技术高度普及和快速迭代的背景下,网络和信息安全关乎国家安全和社会稳定,关乎网络空间安全秩序的构建,是高校各项事业顺利开展不可或缺的重要保障,也是学校网络信息技术相关的管理和技术工作的主要内容之一。
本文在简要梳理高校网络安全工作内容的基础上,从高质量、高效率开展网络安全工作角度出发,提出对高校网络安全工作人员的多维度需求和对人员队伍组织与建设的多方面建议,最后结合学校实际介绍东北大学网络安全人员队伍建设的经验和成效。
工作内容梳理
高校作为校园网络和信息资产的所有者、各类网络服务和信息应用的提供者,根据国家法律法规和行业管理要求,应承担网络安全责任和开展网络安全工作。
高校网络安全工作,通常是高校的网络(信息)安全保障工作,可以概括为:使学校校园网络基础设施、信息系统(网站)、数据等信息资产的机密性、完整性和可用性得到保持和不被破坏所开展的管理和技术工作。这些信息资产一般由学校建设、运行、维护和管理,用于支撑学校教学、科研、管理、服务等业务。
从制度、人员和过程角度,可以对高校网络安全的重点工作进行梳理,如表1所示。
表1 高校网络安全的重点工作列表
人员需求
高校网络安全的管理和技术工作,都需要有人员来具体承担,人员的认知能力、综合素质和专注程度都影响着网络安全工作开展的成效。
显而易见,建设一支高效能的网络安全管理和技术人员队伍,是高校有效开展网络安全工作的实际需求。从以下三个维度提出对高校网络安全工作的人员需求:
认知能力
网络安全领域在信息科学大范畴中是处于高维度和具有多学科综合属性的,也是需求涌现、技术发展和政策变化较活跃的信息技术行业,如对信息化建设人员常说的“永远在路上”,对网络安全从业人员来说更是如此,要有应对各种新趋势、学习新知识、探索新领域的思想意愿和学习能力。
综合素质
网络安全工作既要与网络、系统、数据打交道,也需要与学校内外的人打交道,因此对人员素质的要求也是综合性的,既要具备一定的网络安全相关的理论和实践能力,也需要具有较好的与人沟通、文字表达和分析总结能力。
专注程度
即投入网络安全工作的时间和精力水平,显然是越高越好。因为保持工作高质量开展的综合素质,需要在日常投入足够的时间和精力,通过技术提升和资讯“滋养”才能获得。
由于网络安全相关人员主要来源于网络、开发、运维等高“负载”岗位,完全“切割”原有工作很困难;同时,网络安全工作也需要掌握学校网络与信息技术的实际状况,因此完全“切割”原有工作也不适合。
开展接地气的高效能网络安全工作,避免为了安全而安全,就对人员的时间和精力管理提出了更高的要求;部分入职即做网络安全工作的人员,也有必要主动去承担网络、开发、运维等领域的工作来补足综合素质的欠缺,避免空对空开展网络安全工作。
偏管理还是偏技术
高校的网络(信息)安全保障工作是保障类工作,是使用各种管理和技术手段来实现对信息资产的机密性、完整性和可用性的保障(保护),工作手段中有管理、工作目的中有服务,与管理类、服务类工作都有一定的差异,因此对于从事网络安全工作人员的要求也是管理能力和服务(技术)能力的双重要求,也就是岗位可以是有管理和技术区分,但是对于人员要求和实际工作开展中应该是管理和技术要求并重。
高校信息化建设工作和网络安全工作一样,都是需要管理和技术并重的,不应过分纠结于是“七分管理、三分技术”还是“三分管理、七分技术”。
虽然管理驱动的自上而下地开展信息化建设和网络安全工作的效率和现实可行度高,但是技术保障也是网信工作可持续高质量发展、避免“一蹴而就”所不可或缺的。
对于现有高校网信工作通常几十人的人员规模,希望参照IT公司的业务和层级划分出需求、开发、测试、安全、运维等各类管理和技术人员岗位并不现实,人员综合素质的参差和内部沟通成本的陡升都会加速学校这类事业单位中人员意志和心气的“磨损”速度。因此,对于高校网络安全人员队伍建设应立足现实,力求队伍精干、能力全面、沟通顺畅、思想开放、心志进取。
人员队伍组织与建设
从高质量、高效率开展网络安全工作的角度出发,结合高校网信工作实际,对高校网络安全人员队伍组织与建设提出如下建议:
专业化
高校要明确网络安全职能处室和技术支撑单位,明确具体的处室和人员来对接网络安全相关各项工作落实,也要对网络安全管理和技术人员开展常态化培训和支持技术人员拥有专业资质。
参考信息行业企业网络安全实施经验,设置独立的网络安全科室和专职的网络安全管理和技术岗位,是可靠有效开展网络安全工作的需要,类似于企业的质检部门,与网络、开发、运维、统筹等平行设置网络安全相关科室,是屏蔽经验、关注、利益、认知等对网络安全管控影响的有效措施。
团队化
网络安全工作涉及网络、开发、运维、服务等网络和信息技术工作的诸多环节,由沟通顺畅的各方面专业人员组成固定的网络安全应急响应和事件处置团队是开展网络安全工作的基本需求,网络安全日常管理、信息系统安全建设、网络安全设备运维、用户网络安全支持等都不是仅靠专职的网络安全管理和技术人员能独立完成的,需要学校层面、网络安全职能处室和技术支撑单位有意识的组建和维护网络安全团队,有网络安全专业基础和学生社团基础的高校也可以组建支持学校网络安全工作开展的学生团队。
层次化
网络安全管理和技术队伍应该是包括与网络安全管理和技术工作相关的管理人员,不仅是职能部处和技术支撑单位的网络安全设备运维人员、安全检测与应急响应人员、网络、开发、运维等相关人员,还可以结合学校网络安全管理架构包括学校各内设机构的网信专员(工作联系人)和各信息系统的系统管理员,结合具体岗位责任和工作内容,在网络安全意识培训和教育基础上有侧重的加强网络安全的管理和技术知识教育和信息分享。
社会化
网络安全工作涉及较多专业领域,对专业人员素质和技能标准都有要求,如开展风险评估、等级保护测评等,需要有专业网络安全公司和技术团队的加入和合作。
同时,加强与教育行业内以及公安、电信、法律等行业的网络安全政策、制度、技术、经验等的交流与合作,也是有效开展网络安全工作的良好支持。本着开放与合作的态度,是建设一支不与技术发展脱节、能够兼收各行业经验的高质量网络安全团队的基本要求。
高校在网络安全管理和技术队伍建设过程中,可以重点关注以下领域:
网络安全交流
目前,网络安全行业发展火爆、从业意愿专业人员众多,技术和经验获取和交流的渠道比较丰富。
- 网络安全领域国家队、安全领域领先公司、著名IT大厂的安全响应中心、安全设备主要厂商等都有自己的信息发布渠道(公众号、网站等),一些安全专业团队和人员也开设了很多更新及时的公众号,都可以获取网络安全行业层级的安全资讯和技术经验。
- 例如,国家互联网应急中心、国家信息安全漏洞共享平台等都及时发布安全威胁和漏洞信息;安天、盛邦WebRAY、腾讯安全、SecWiki、山石网科等企业每天或每周发布行业安全简讯;FreeBuf、安全圈、安全内参等各类网络安全技术与咨询相关的自媒体和网站也会发布大量安全类资讯和信息;参加网络安全教育培训类公司认证培训,可以获取到与各行业网络安全从业人员交流的微信群、QQ群等渠道。
- 教育行业网络安全技术和经验交流,目前主要一方面是通过教育部教育管理信息中心主办的公众号“教育网络信息安全”,每周推送一周安全动态和各类安全资讯;另一方面是高等教育学会信息化分会原有的信息安全工作组组建的高校网络信息安全工作信息交流的微信群、QQ群等。
网络安全资质
目前教育行业认可的网络安全资质主要包括:
- 中国网络安全审查技术与认证中心:CISAW(信息安全保障人员认证)、CSERE(网络安全应急响应工程师)、ISA(信息系统审计师)。
- 中国信息安全测评中心:CISP(注册信息安全专业人员,分为CISE、CISO、CISP-PTE、CISP-DSG等)、CISM(注册信息安全员)。
- 公安部信息安全等级保护评估中心:信息安全等级测评师(高级、中级、初级)。
- 教育部教育管理信息中心:ECSP(教育系统网络安全保障专业人员,目前分为ECSP-T专业技术人员、ECSP-M专业管理人员、ECSP-G基础教育安全员)。
- ISC2:CISSP(信息系统安全专业认证)、CCSP(云安全专家认证)。
- ISACA:CISA(国际信息系统审计师)。
- 公安部三所:信息安全网络认证。
- 公安部一所/三所、国家信息技术安全研究中心相关认证。
CISAW、CISP、ECSP、CISSP、CompTIA的Security+等都是面向网络安全相关各领域的,其中ECSP是面向教育行业的;ISA、CISA是面向信息系统审计领域的;CSERE、CISP-PTE、CISP-DSG是面向应急响应领域的。
此外,网络安全行业里还有Kali官方的OSCP(渗透测试认证)、国际电子商务顾问委员会(EC-Council)的CEH(“道德黑客”)是面向渗透测试领域的。
网络安全攻防
网络安全的本质在对抗,对抗的本质在攻防两端能力较量。网络攻防的技术和能力是我们从事网络安全工作的人员需要关注和应该主动学习的领域,懂攻防才能做好安全管理和技术工作,懂攻防才能把时间和精力投到修补学校明显安全短板上,懂攻防才能监督和评价安全服务厂商提供的风险评估和等保测评服务,懂攻防才能感知网络安全技术发展和关键领域。
与网络安全专业领域的学生沟通交流是一个提高网络安全攻防技能的渠道,实际参与网络安全众测(漏洞发现与提交)、参加网络安全各类线上线下比赛、有机会参与攻防演练的攻击队伍等更是切实提升网络安全攻防能力的好途径。相关众测环境和CTF比赛环境包括教育行业漏洞报告平台、攻防世界、爱春秋等。
学生团队建设
高校网络安全从业人员,多数都希望能组织和保有一支网络安全学生团队,来协助开展学校网络安全漏洞发现、修补、应急响应处置等工作。
但是由于相比系统开发和服务运维,网络安全领域对技术和经验的要求都要高,而网络安全行业对高水平人才的需求一直旺盛,具备高素质的在校学生很多都可以通过参加CTF比赛和从事渗透测试、攻防演练等兼职来获取不菲收入,同时,要搭建可持续发展的学生队伍对高校网信部门指导人员的技术要求和精力投入也要求很高,因此多数高校很难组建出一支契合学校实际网络安全保障需求的学生团队。组建有助学校网络安全工作开展的高质量学生团队建设,可以着眼以下几个方面:
- 学校应该有网络安全专业基础,可以是本科的网络安全专业,也可以是硕士的网络安全方向,如果有网络空间安全学院就更有助于获取高质量的学生来源。
- 学生团队应该有灵魂人物,应该能实现“自组织”,学校网信部门指导人员应该尊重学生、与学生们“打成一片”,而不是从老师的视角和站位去与学生们沟通,要有意愿、有能力参与到学生团队的组织建设和能力提升。
- 在可能的情况下,学校各有关职能部门应该为学生团队提供便利和支持,特别是一些在学生学业成长过程中“看得见”、“摸得着”的支持,而且要做到公开透明。
- 学生团队要有门槛,要具备基本的网络安全素养,而不是对有意愿加入的所有学生开放。可以通过校内CTF比赛、在漏洞响应平台提交漏洞积分达标、主动提交学校重要漏洞信息等方式进行选拔,还可以先选择学生团队队长,然后再具体商讨入队标准。一定要注意引导和支持学生团队的可持续发展,注意团队的延续性,避免年级断档和内部割裂。
- 应该结合学生团队能力,在可控状况下逐步参与学校网络安全工作。可以先期支持网络安全宣传教育和意识培训、校内信息系统漏洞发现等日常性功能,再逐步向重要信息系统的规范化漏洞测试、参加各级别网络安全攻防演练、网络安全事件应急响应和整改等方面扩展。
多措并举建设高效能人员队伍
东北大学作为CERNET东北地区节点、CERNET2沈阳节点、ChinaGrid节点依托高校,较早就拥有一支高综合素质和强主动精神的网络和信息服务建设与运维人员队伍。
随着学校网络和信息技术工作向信息化建设和网络安全保障领域倾斜,历经网络中心、信息技术研究院到信息化建设与网络安全办公室(以下简称信网办)的部门和职能转换,长期通过专业化、团队化、层次化、社会化等多举措建设了一支高效能的网络安全人员队伍,积累了较实际的组织经验,取得了较好的建设成果。
- 信网办下设独立的科级建制的网络安全部,与网络运行、系统开发、项目统筹等部门协作,负责网络安全管理、安全技术审计、安全保密支撑等工作。
- 学校跨网络运行、系统开发、服务运维等领域的高素质、易协作的漏洞处置和应急响应团队,在校园网络环境、信息基础设施、信息服务运行、信息应用建设、数据安全管控等领域充分共享信息和统一目标,保障学校校园网络和各项信息应用的高可靠、高质量运行。
- 组建学校各内设机构的三级网络安全人员体系,通过各单位网络安全工作联系人常态化开展网络安全动态分享和信息技术安全培训,并面向师生开展滚动式和层次化的网络安全意识教育和工作。
- 持续采购具备服务能力的第三方网络安全服务厂商,提供定期的安全风险评估、等级保护测评、重要时期保障、漏洞情报分享等服务,并积极与教育行业内外交流和分享网络安全资讯。
- 充分发挥人员开发和运维能力,自主建设校园网络IPv4/IPv6威胁监测与处置体系、漏洞信息监测与归档通报体系、线上安全意识宣传教育体系。
- 鼓励和支持网络安全工作相关人员参加各类技术培训和获取各类网络安全资质,包括ECSP、CISP、CISSP、CompTIA Security+等。
- 积极组织人员与校内学生团队合作,主动参加各级各类网络安全竞赛。
- 组织参加各级各类网络安全攻防演练在真实环境中锤炼人员的渗透测试和网络攻防能力。
高校网络安全管理和技术队伍建设是一项长期艰巨的工作,立足学校实际情况很重要,好高骛远和简单借鉴先进经验都会影响队伍成员的主动意识和精力投入,鼓励和支持现有具有网络、开发、运维等实际经验的人员投入或协助网络安全工作开展是短期内可行举措。
作者:王宇、王卫东、温占考(东北大学信息化建设与网络安全办公室)
责编:高明