李晖 西安电子科技大学网络与信息安全学院执行院长
“维护校园网络安全的关键在于明确网络安全边界、健全安全防护机制、形成高素质安全队伍、增强师生安全意识。” 张生 中国基础教育质量监测协同创新中心网络平台部主任
“作为学校网络安全环境下的一分子，学生既是最大的受益者，也可能是受害者甚至危害者。如何趋利避害，为学生营造一个安全、洁净的网络环境，关系着学生的身心和学业发展。” 陈建淼 浙江省温州市电化教育馆馆长
“面对日益严峻的网络安全形势，温州市采取‘五全、五严、五变’举措，构建网络安全生态圈，努力建设与教育信息化发展相适应的网络与信息安全保障体系。”

    信息技术的高速发展将网络带入了校园。随着互联网特别是移动互联网在校园内的普及，师生的工作、学习、生活，学校的日常教学、管理都越来越离不开网络。但在享受网络便捷的同时，校园也面临着许多网络安全隐患，如技术故障、信息泄露、恶意攻击等，师生同样面临不良信息、网络欺诈等风险。

    目前的校园网络安全存在哪些隐患？网络安全教育的现状如何，又怎样入脑入心？建立维护校园网络安全的长效机制需要采取哪些举措？记者约请专家和相关负责人对这些问题进行深入探讨。

    1 为何要紧绷校园网络安全这根弦？

    记者：随着信息技术的普及，校园网络安全越来越受到重视。为什么我们要紧绷维护校园网络安全这根弦？

    张生：随着信息技术尤其是移动互联技术的飞速发展，网络已成为在校学生学习、娱乐、交往的一种重要途径，也是学校育人环境不可或缺的组成部分。在校学生心智不够成熟，自我约束力不够强，在享受网络带来的诸多好处的同时，很容易受到网上各种信息的诱惑，有针对性地侵害学生的网络犯罪活动时有发生。作为学校网络安全环境下的一分子，学生既是最大的受益者，也可能是受害者甚至危害者。如何趋利避害，为学生营造一个安全、洁净的网络环境，关系着学生的身心和学业发展。对于学校而言，维护校园网络安全，是保障教育教学正常开展的基础性工作，也是构建新时代育人环境的重要工作。面对这项工作，学校的制度、技术、人员素质都需要进一步优化和提升。

    李晖：高校作为一个拥有数万师生的单位，其网络与信息服务主要分为两类：日常教学、生活等的信息管理与组织服务（包括教务系统、一卡通系统、财务系统、办公系统、研究生系统等），网络接入服务（包括校园网有线/无线接入、易迅接入、移动通信网在校园内的使用等）。其中，第一类服务的稳定和安全直接关系到学校的正常运转和校园稳定（可能出现的问题包括服务系统崩溃、信息被窜改等），并间接影响学生、教师的信息安全（相关信息泄露可能导致各类网络诈骗的发生）；第二类服务的有效管理和安全保护，则直接关系到用户个人信息账号安全、网络空间内容安全、校园舆情引导等，甚至会影响到学生的价值观。因此，我们必须紧绷校园网络安全这根弦，确保校园网络安全、有序、稳定运行。

    2 当前校园网络安全存在哪些隐患？

    记者：当前校园网络安全主要存在哪些隐患？这些隐患会产生哪些危害？造成这些隐患的主要原因是什么？

    张生：去年我参与了西南某省会城市一项覆盖11万名小学、初中、高中生的校园网络安全意识调查。从调查结果来看，校园网络安全隐患具体表现在以下几个方面：

    一是个人隐私保护不周。调查显示，当收到陌生中奖信息或求助时，30%的学生会留下全部信息，会选择性留下信息的学生只占31%；当意识到个人信息被泄露时，17%的学生会不知所措。

    二是社交安全意识有待加强。17%的学生未经核实便同意加陌生人为好友，23%的学生相信与陌生人的谈话内容，15%的学生直接接收陌生人发来的文件；学生们对熟人更加缺乏防范意识，45%的学生会点击同学发来的链接。

    三是数据备份与密码安全意识行为有待加强。在个人信息安全方面，只有53%的学生会定期更改密码和对重要数据进行备份，对于重要数据完全不设置密码的占29%，56%的学生使用生日、电话号码、英语单词等作为简单密码。

    四是使用电子邮件和网络下载功能时，对网络不安全因素的关注有待加强。在使用电子邮件时，32%的学生会设置邮件过滤，大部分学生对于垃圾软件不予理睬；在网上下载资源时，44%的学生认为应该在家长和老师的指导下下载，30%的学生认为自己具备甄别能力可以自行下载。

    五是对不良信息的处理能力有待提高。在“当不小心进入了儿童不宜的网站时，我们应该怎么做”调查项中，22%的初中生选择了“继续浏览”，还有22%左右的初中生选择了“介绍给其他同学浏览”。

    六是网络安全防范知识普及不足。67%的小学生了解病毒、木马、网络黑客等，32%的小学生表示不了解。

    七是应对网络犯罪的素养不足。64.16%的高中生曾遭遇网络诈骗，38.26%曾被骗子成功诈骗。

    这些隐患对学生的学习生活存在负面影响，严重时可能影响学生身心健康。目前，对学生网络信息安全素养的培养体系尚未建立，学生缺乏网络信息安全法律法规教育，缺少树立网络安全意识的训练，缺乏防范网络风险能力的培养，这需要政府相关部门和学校高度重视。

    李晖：我认为当前校园网络安全存在的隐患主要涉及以下几方面：

    一是校园各类信息服务系统的数据安全。由于校园内各种二级、三级域名系统管理相对分散，针对各类漏洞风险可能会存在安全维护不及时等问题。这会导致部分网站或信息系统存在被拖库、窜改等风险，从而导致师生的各类敏感信息泄露。

    二是校园网络、移动通信网无线接入安全。由于校园网络中WiFi（行动热点）接入点众多且大多采用802.1x（一种访问控制和认证协议）方式，人员密集使其成为具有较高价值的攻击目标，因此存在大量的伪热点、基站试图窃取用户敏感账号信息，进行钓鱼欺诈等。

    三是校园信息系统中舆情内容安全（不良信息及言论的传播）。由于大学生初步掌握了各种获取信息的工具，可以轻易接触到色情、暴力、反动等不良信息，这会影响其人生观、世界观的形成和发展。

    四是校园用户网络安全意识参差不齐。大学校园里，有对网络安全懵懵懂懂的本科新生，也有心智均已成熟的硕博研究生，这使得网络安全制度制定很难全面考虑和充分覆盖，容易一刀切。同样的网络信息，对不同心智的学生影响差异很大，这是影响舆情内容安全的一个重要因素。

    陈建淼：温州市电化教育馆对全市学校网络安全做摸底分析，发现存在如下问题：一是职责不清；二是遇到重大安保事件时，经常把网站系统一关了之，影响了工作和信息通畅；三是勒索病毒肆虐，存在内网大规模感染的安全隐患；四是“互联网+”形势下，数据高度集中，给网络数据安全带来极大的挑战；五是网络安全人才缺乏，学校网络安全管理意识和能力不强；六是教育系统人员众多，教育舆情问题突出。

    3 维护校园网络安全如何避免“一刀切”？

    记者：在用技术手段维护校园网络安全时，怎样避免出现断网“一刀切”等情况？在维护校园网络安全的同时，怎样保持和提升网络信息技术的正面效应？

    张生：“一刀切”是对校园网络安全不自信的一种表现。“一刀切”是一种简单粗暴的管理方式，体现着网络安全管理相关规则、网络安全防范技能和网络安全危机应对能力的缺乏。

    要避免“一刀切”现象，首先要按照国家有关安全标准，对校园网络数据和系统进行分类分级，确定系统的保密级别，并在权威机构登记、备案；其次，要研究制定好网络安全管理制度，如数据备份与保密制度、硬件巡检制度、网络漏洞扫描制度、人员保密教育制度、风险控制制度、风险应急制度等，做到按制度和规范办事，把风险圈定在可控范围之内；再其次，要提升相关工作人员素养，对专兼职队伍进行培养培训，及时更新人员的专业知识和技能，增强应对风险和解决问题的能力，有条件的学校可引入第三方专业机构进行网络的设计、管理和维护；最后，要对使用者进行网络安全教育，提升师生网络安全素养，使他们做到既不受危害，也不危害他人。

    李晖：好的网络安全维护手段，不但不会降低网络的可用性，还能带来一定的提升作用。第一，在网络架构方面，校园网络需要分层分区设计，同时应用网络隔离技术，防止网络威胁的横向移动，造成大面积损失；第二，在威胁监控方面，需要应用一些网络安全设备和威胁感知技术，对网络威胁做到及时感知、及时防御，找到威胁源并及时处理；第三，在网络权限方面，需要给教职工和学生分配合理的网络权限，这样即便发生了网络攻击，也会因为网络权限不足，无法攻击网络中的重要资源；第四，对教职工和学生进行网络安全意识教育，让他们能够识别网络威胁、保护好个人数据和财产、谨慎进行涉及经济利益的操作，同时及时修复安全漏洞，从源头上降低网络安全威胁产生的可能性。值得一提的是，有些学生会出于好奇采取网络攻击行为，这就需要对学生进行网络安全法律法规教育，让他们明白这些行为可能造成的危害。

    4 网络安全教育怎样入脑入心？

    记者：面临网络欺诈时，学生为什么容易上当？对学生进行网络安全教育的现状如何？

    张生：网络欺诈团伙往往深入研究了人性的缺陷，有针对性地选择诈骗手段。学生正处在身心发展过程中，心智不够健全，容易受到伤害。在当前的教育体系中，网络安全教育还比较薄弱。一是缺乏整体课程规划和设计，学时不够；二是课程内容缺乏系统性和层次性，不能满足学生需要；三是学习形式比较落后，缺乏互动体验、实际操作等环节；四是社会对网络安全教育的意识比较薄弱，上述调查显示，28%的中小学生认为没有必要加强网络安全意识教育，18%的学生表示学校没有开设此类课程或者讲座。

    李晖：当前，大学生大多缺少社会经验，非网络安全类专业的学生网络安全意识较淡薄，骗子往往会抓住他们充满好奇、希望独立、相对单纯及贪心等心理，导致他们上当受骗。比如，骗子经常采取网络兼职刷单诈骗方式，就是利用了大学生初入高校、希望经济独立的心理；网购诈骗、退款诈骗、游戏账户交易诈骗、中奖诈骗等招数则是利用了学生（也包括社会上的其他群体）贪心的心理。因此，只要记住天上不会掉馅饼，不要抱有侥幸心理，不随意给陌生人转账，不随便点击陌生人发来的链接，在官网进行网购或游戏充值，就可以最大限度避免受骗，有效防范网络欺诈。

    在大学教育中，目前面向非安全专业硕士生开设的网络安全相关课程较多，面向全体本科生的网络安全通识教育缺乏，大多数非安全专业本科生仅仅靠主动了解或参与相关社团活动来掌握网络安全知识。

    记者：当前，学校网络安全教育有哪些需要改进的地方？网络安全教育怎样才能入脑入心？