在当下网络和信息技术高度普及和快速迭代的背景下,网络和信息安全关乎国家安全和社会稳定,关乎网络空间安全秩序的构建,是高校各项事业顺利开展不可或缺的重要保障,也是学校网络信息技术相关的管理和技术工作的主要内容之一。 本文在简要梳理高校网络安全工作内容的基础上,从高质量、高效率开展网络安全工作角度出发,提出对高校网络安全工作人员的多维度需求和对人员队伍组织与建设的多方面建议,最后结合学校实际介绍东北大学网络安全人员队伍建设的经验和成效。 工作内容梳理 高校作为校园网络和信息资产的所有者、各类网络服务和信息应用的提供者,根据国家法律法规和行业管理要求,应承担网络安全责任和开展网络安全工作。 高校网络安全工作,通常是高校的网络(信息)安全保障工作,可以概括为:使学校校园网络基础设施、信息系统(网站)、数据等信息资产的机密性、完整性和可用性得到保持和不被破坏所开展的管理和技术工作。这些信息资产一般由学校建设、运行、维护和管理,用于支撑学校教学、科研、管理、服务等业务。 从制度、人员和过程角度,可以对高校网络安全的重点工作进行梳理,如表1所示。 表1 高校网络安全的重点工作列表 人员需求 高校网络安全的管理和技术工作,都需要有人员来具体承担,人员的认知能力、综合素质和专注程度都影响着网络安全工作开展的成效。 显而易见,建设一支高效能的网络安全管理和技术人员队伍,是高校有效开展网络安全工作的实际需求。从以下三个维度提出对高校网络安全工作的人员需求: 认知能力 网络安全领域在信息科学大范畴中是处于高维度和具有多学科综合属性的,也是需求涌现、技术发展和政策变化较活跃的信息技术行业,如对信息化建设人员常说的“永远在路上”,对网络安全从业人员来说更是如此,要有应对各种新趋势、学习新知识、探索新领域的思想意愿和学习能力。 综合素质 网络安全工作既要与网络、系统、数据打交道,也需要与学校内外的人打交道,因此对人员素质的要求也是综合性的,既要具备一定的网络安全相关的理论和实践能力,也需要具有较好的与人沟通、文字表达和分析总结能力。 专注程度 即投入网络安全工作的时间和精力水平,显然是越高越好。因为保持工作高质量开展的综合素质,需要在日常投入足够的时间和精力,通过技术提升和资讯“滋养”才能获得。 由于网络安全相关人员主要来源于网络、开发、运维等高“负载”岗位,完全“切割”原有工作很困难;同时,网络安全工作也需要掌握学校网络与信息技术的实际状况,因此完全“切割”原有工作也不适合。 开展接地气的高效能网络安全工作,避免为了安全而安全,就对人员的时间和精力管理提出了更高的要求;部分入职即做网络安全工作的人员,也有必要主动去承担网络、开发、运维等领域的工作来补足综合素质的欠缺,避免空对空开展网络安全工作。 偏管理还是偏技术 高校的网络(信息)安全保障工作是保障类工作,是使用各种管理和技术手段来实现对信息资产的机密性、完整性和可用性的保障(保护),工作手段中有管理、工作目的中有服务,与管理类、服务类工作都有一定的差异,因此对于从事网络安全工作人员的要求也是管理能力和服务(技术)能力的双重要求,也就是岗位可以是有管理和技术区分,但是对于人员要求和实际工作开展中应该是管理和技术要求并重。 高校信息化建设工作和网络安全工作一样,都是需要管理和技术并重的,不应过分纠结于是“七分管理、三分技术”还是“三分管理、七分技术”。 虽然管理驱动的自上而下的开展信息化建设和网络安全工作的效率和现实可行度高,但是技术保障也是网信工作可持续高质量发展、避免“一蹴而就”所不可或缺的。 对于现有高校网信工作通常几十人的人员规模,希望参照IT公司的业务和层级划分出需求、开发、测试、安全、运维等各类管理和技术人员岗位并不现实,人员综合素质的参差和内部沟通成本的陡升都会加速学校这类事业单位中人员意志和心气的“磨损”速度。因此,对于高校网络安全人员队伍建设应立足现实,力求队伍精干、能力全面、沟通顺畅、思想开放、心志进取。 人员队伍组织与建设 从高质量、高效率开展网络安全工作角度出发,结合高校网信工作实际,对高校网络安全人员队伍组织与建设提出如下建议: 专业化 高校要明确网络安全职能处室和技术支撑单位,明确具体的处室和人员来对接网络安全相关各项工作落实,也要对网络安全管理和技术人员开展常态化培训和支持技术人员拥有专业资质。 参考信息行业企业网络安全实施经验,设置独立的网络安全科室和专职的网络安全管理和技术岗位,是可靠有效开展网络安全工作的需要,类似于企业的质检部门,与网络、开发、运维、统筹等平行设置网络安全相关科室,是屏蔽经验、关注、利益、认知等对网络安全管控影响的有效措施。 团队化 网络安全工作涉及网络、开发、运维、服务等网络和信息技术工作的诸多环节,由沟通顺畅的各方面专业人员组成固定的网络安全应急响应和事件处置团队是开展网络安全工作的基本需求,网络安全日常管理、信息系统安全建设、网络安全设备运维、用户网络安全支持等都不是仅靠专职的网络安全管理和技术人员能独立完成的,需要学校层面、网络安全职能处室和技术支撑单位有意识的组建和维护网络安全团队,有网络安全专业基础和学生社团基础的高校也可以组建支持学校网络安全工作开展的学生团队。 层次化 网络安全管理和技术队伍应该是包括与网络安全管理和技术工作相关的管理人员,不仅是职能部处和技术支撑单位的网络安全设备运维人员、安全检测与应急响应人员、网络、开发、运维等相关人员,还可以结合学校网络安全管理架构包括学校各内设机构的网信专员(工作联系人)和各信息系统的系统管理员,结合具体岗位责任和工作内容,在网络安全意识培训和教育基础上有侧重的加强网络安全的管理和技术知识教育和信息分享。 社会化 网络安全工作涉及较多专业领域,对专业人员素质和技能标准都有要求,如开展风险评估、等级保护测评等,需要有专业网络安全公司和技术团队的加入和合作。 同时,加强与教育行业内以及公安、电信、法律等行业的网络安全政策、制度、技术、经验等的交流与合作,也是有效开展网络安全工作的良好支持。本着开放与合作的态度,是建设一支不与技术发展脱节、能够兼收各行业经验的高质量网络安全团队的基本要求。 高校在网络安全管理和技术队伍建设过程中,可以重点关注以下领域: 网络安全交流 目前,网络安全行业发展火爆、从业意愿专业人员众多,技术和经验获取和交流的渠道比较丰富。
网络安全资质 目前教育行业认可的网络安全资质主要包括:
CISAW、CISP、ECSP、CISSP、CompTIA的Security+等都是面向网络安全相关各领域的,其中ECSP是面向教育行业的;ISA、CISA是面向信息系统审计领域的;CSERE、CISP-PTE、CISP-DSG是面向应急响应领域的。 此外,网络安全行业里还有Kali官方的OSCP(渗透测试认证)、国际电子商务顾问委员会(EC-Council)的CEH(“道德黑客”)是面向渗透测试领域的。 网络安全攻防 网络安全的本质在对抗,对抗的本质在攻防两端能力较量。网络攻防的技术和能力是我们从事网络安全工作的人员需要关注和应该主动学习的领域,懂攻防才能做好安全管理和技术工作,懂攻防才能把时间和精力投到修补学校明显安全短板上,懂攻防才能监督和评价安全服务厂商提供的风险评估和等保测评服务,懂攻防才能感知网络安全技术发展和关键领域。 与网络安全专业领域的学生沟通交流是一个提高网络安全攻防技能的渠道,实际参与网络安全众测(漏洞发现与提交)、参加网络安全各类线上线下比赛、有机会参与攻防演练的攻击队伍等更是切实提升网络安全攻防能力的好途径。相关众测环境和CTF比赛环境包括教育行业漏洞报告平台、攻防世界、爱春秋等。 学生团队建设 高校网络安全从业人员,多数都希望能组织和保有一支网络安全学生团队,来协助开展学校网络安全漏洞发现、修补、应急响应处置等工作。 但是由于相比系统开发和服务运维,网络安全领域对技术和经验的要求都要高,而网络安全行业对高水平人才的需求一直旺盛,具备高素质的在校学生很多都可以通过参加CTF比赛和从事渗透测试、攻防演练等兼职来获取不菲收入,同时,要搭建可持续发展的学生队伍对高校网信部门指导人员的技术要求和精力投入也要求很高,因此多数高校很难组建出一支契合学校实际网络安全保障需求的学生团队。组建有助学校网络安全工作开展的高质量学生团队建设,可以着眼以下几个方面:
多措并举建设高效能人员队伍 东北大学作为CERNET东北地区节点、CERNET2沈阳节点、ChinaGrid节点依托高校,较早就拥有一支高综合素质和强主动精神的网络和信息服务建设与运维人员队伍。 随着学校网络和信息技术工作向信息化建设和网络安全保障领域倾斜,历经网络中心、信息技术研究院到信息化建设与网络安全办公室(以下简称信网办)的部门和职能转换,长期通过专业化、团队化、层次化、社会化等多举措建设了一支高效能的网络安全人员队伍,积累了较实际的组织经验,取得了较好的建设成果。
高校网络安全管理和技术队伍建设是一项长期艰巨的工作,立足学校实际情况很重要,好高骛远和简单借鉴先进经验都会影响队伍成员的主动意识和精力投入,鼓励和支持现有具有网络、开发、运维等实际经验的人员投入或协助网络安全工作开展是短期内可行举措。 作者:王宇、王卫东、温占考(东北大学信息化建设与网络安全办公室) |
|