新时代的应急响应怎么实施?Web安全应当如何去做?个性化的安全防护机制可以怎么建立?这些问题的答案都可以在为期三天的“2017年高校网络信息安全学术年会”中找到。在这个高校网络安全群星荟萃的大会中,有许多值得分享的思想、观点和实践。
舒华:教育部科技司信息化处调研员
舒华做了《不忘初心,牢记使命,构筑网络安全自信,建设网络强国新时代》的专题报告。她认为,必须充分认识网络安全工作的重要性,她从领导体制、责任机制、政策体系、等保制度、监测制度、评价制度、培训制度等各方面介绍了教育系统网络安全工作体制机制。她强调,网络安全三分靠技术,七分靠管理。同时表示,我国教育行业网络安全的总体目标是服务国家安全,保障教育现代化建设,维护师生权益,构筑网络安全环境。
黄道丽:公安部第三研究所网络安全法律研究中心主任
在《网络安全法的落地实施与执法实践》的专题报告中,黄道丽介绍了《网络安全法》的立法背景、体系架构和落地实践经验。她分析了近期多个《网络安全法》的施行案例,她认为未来执法会更趋常态化,对违法行为的查处打击力度也会继续加大,而其中个人信息保护和网络安全等级保护制度的落实是重点。
许卓斌:厦门大学信息与网络中心副主任
在《重点服务保障期间的安全实践》的专题报告中,许卓斌建议在重大活动保障期间应集中保障力量保最重要的系统。应对网站和业务执行最少开放规则,对必须开放的网站进行静态化、防篡改、全新部署、站群化等安全强化,对必须开放的业务限制最小可访问范围。
顾一众:中国高等教育学会教育信息化分会网络信息安全工作组组长
在《网络信息安全工作组年度报告》中,顾一众对网络信息安全工作组的成立历史进行了回顾,强调工作组的目标始终是“交流、协作、联合、共享”。他提出,有了队伍,网络安全才能真正落地。同时,他介绍了高校网络信息安全管理运维挑战赛的背景和未来规划,认为有三点非常重要:第一,推动高校网络信息安全队伍建设;第二,提高广大师生的安全意识和能力水平;第三,促进对《网络安全法》的全面学习和深入理解。
姜开达:上海交通大学网络信息中心副主任
在《从被动应急响应到主动信息资产安全管理》的专题报告中,姜开达表示,学校应当围绕信息资产为核心来开展安全工作,安全建设要和信息化建设融为一体。他认为,重大活动安全保障工作已经进入常态,应当尽快从被动应急响应向主动安全管理转变,应当进行资产普查,实现资产的发现、识别、建档;动态实时地进行信息资产全生命周期过程管理。
余弦:安全领域畅销书《Web前端黑客技术揭秘》作者
余弦做了《全球地下黑客的帝国:网络空间IoT战场》的专题报告,介绍了网络空间的背景和多个知名蠕虫在技术和传播手段方面的进化,提出了在安全对抗中“唯快不破”的对抗思路。他认为,安全对抗首先要能够及时看见,快速发现。
杨望:东南大学网络空间安全学院教师
在《从IPDB看安全响应自动化和教育安全社区》的专题报告中,杨望介绍了安全事件分发基础平台IPDB的建设初衷,以及其历史和推广使用中遇到的一些实际问题,并呼吁效仿开源社区建立教育行业自己的安全社区
辛毅:哈尔滨工业大学网络与信息中心高级工程师
在《网络安全治理与技术防范》的专题报告中,辛毅分析了高校网站由于过于开放易于攻击的现状,并列举了SQL注入、XSS、文件上传等Web漏洞的危害,提出要增加攻击者的攻击成本,并介绍了哈尔滨工业大学在网站资产普查、上线前检查、中间巡查和建立应急响应的整套安全防护机制。
张永强:中山大学信息化管理办公室副主任
在《高校网络安全工作的几点思考》的专题报告中,张永强对当前安全形势进行了分析, 他认为,网络安全不仅仅是运行安全或技术安全,还应包括数据安全,应当在发展中落实安全, 抓住机遇上台阶。他同时也介绍了中山大学“信息系统(网站)安全综合治理”和“网络流量大数据分析”的实践。
郑先伟:清华大学信息化技术服务中心高级工程师
郑先伟做了《应急响应组在新时期的定位》的专题报告,介绍了CERT组织的由来、组织的体系和职责。他认为,新时期的应急响应组应当从技术管控向全面行政管控转变,技术管控注重过程和方法,行政管控注重结果。
张焕杰:中国科学技术大学网络信息中心副主任
张焕杰做了《搭积木实现个性化的安全防护策略》的专题报告。他首先以中国科学技术大学为例,分析了校园网的脆弱性和风险点,并介绍了他们利用开源工具、反向代理、BGP等工具和手段通过搭积木的方法组合形成完整的防护和运维体系的实践。
(供稿、图:厦门大学信息与网络中心、中国高等教育学会教育信息化分会网络信息安全工作组)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。