网络攻击肆虐，高校如何构筑网络安全屏障？原创

钓鱼、邮件、挖矿、木马、勒索病毒，这种安全威胁层出不穷，那是因为国家培养了很多高等人才，承担了国家重点项目的高校也成了重要攻击目标。在这个大背景下，腾讯安全联合雷锋网、腾讯云安全开发者社区、腾讯产业互联网学堂，针对高效的产业安全。做了安全主题沙龙，邀请到了两位专家，我们来一起探讨一下新时代下的高校网络安全建设。他们分别是上海交通大学信息化推进办公室副主任姜开达老师。姜老师好，主持人大家好。腾讯安全高级架构师张飞凡老师，张老师好。主持人，大家好。好嘞，那接下来我们也请两位专家来做一下各自的自我介绍，江老师这边先请。啊，大家好，我是来自上海交通大学的姜开达老师。那么在教育信息化和网络安全领域已经工作了22年，那么现在也在交大网络空间安全学院，那么指导学生很高兴今天有机会一起来分享关于高校网络安全建设的话题。

那么，从早些年的冲击波病毒、震荡波病毒，到现在我们关注的木马后门攻防对抗数据安全。高效的网络安全一直在随着互联网的发展啊，不断的去发生新的变化，那么也在探索和学习中前进，那么也希望今天的交流能够碰撞出一些高效新的安全建设的思路。好嘞，张老师这边。主持人好，大家好，我是腾讯安全的高级架构师张凡，在网络安全领域从业呢，有十多年的时间了，在腾讯安全我一直是从事教育行业的安全咨询的工作，帮助高12教育厅局这些客户去提供安全咨询和安全架构设计的服务，那很高兴能够参加今天这个沙龙，跟大家一起探讨高效领域的网络安全建设思路啊，谢谢。

好嘞，在进入我们的话讨论，正式话题讨论之前呢，想请两位老师从趋势的角度出发，各自谈下针对高校的网络安全攻击事件，就近些年来呈现出一个怎么样的变化态势，就聊一聊各自的这个观察和各自的认认知，还是江主任这边先。呃，我觉得有几个明显的变化，一个是这些年来教育网站的篡改类的安全事件显著下降，那么早些年这类网站篡改的事件在很多高校出现的还是比较频繁的。那么这些年来，随着社会上包括教育部、各地教育厅、教委对安全做了很多具体的要求，那么各高校也采取了一系列切实有效的措施加强网站安全，那么这些年来篡改的事件是有了明显的下降。另外一个变化就是近几年来数据安全和个人信息相关的安全事件有所增加，那么包括在暗网里面，在黑客论坛，地下黑色产业链，那么近年来一直可以看到各类教育系统的师生数据，那么是有售卖的情况，当然了有些是来自于高校的系统，那么有些也来自于社会上的教学平台，但是没有买卖就没有伤害，这是因为这些利益驱动导致着教育系统数据泄露的情况，这几年是有所增加。

那么第三个变化趋势是高校的供应链安全情况比较突出，因为高校有它的特点，全国有3000多所高校，它的资产数量非常的多，即使规模再小的学校，那么麻雀虽小，五脏俱全，教务系统、财务系统、OA系统，各个系统一个也不能少，而且很多系统也都是互联网可以直接访问的。

那么也存在着很多教育软件的开发商，他的产品可能是几十所学校在使用，几百所甚至上千所高校在使用，一旦其软件产品出了远程执行的安全漏洞，那么可能就产生大面积的连片式的网络安全风险。所以说这近年来教育系统供应链的安全问题也比较突出，大概是三年的趋势。对对对，确实是，就是这些年这个篡改变少了，然后这个泄露也变多了，然后这个数据资产，学校的刚需数据资产变多了，然后就是这个事情需要更多的这个大家一起去关注这件事情，然后咱们这边就张老师这边您您有哪些观察和认知，可以从产业方面谈一下都可以。呃，首先是从这个变来啊联。

呃，移动互联他们的应用呢，其实会导致网络的攻击会变大，然后大数据云平台这样的一些。平台使用了过后，将数据集中将中后呢，会全的要得越来越高，那这也会要我们步安全事件频发，其实也引了国家机加重视网络安全，网络安全法，数据安全法的这种相继出台，都网络安全上升到了法的高，在教育行业里面呢，教育加强网络安全建设啊，加强数据安全作的这种通知呢，也陆续发布啊，在这种网络安全监管越来越严，要求越来越高的背景下，高效客户呢也需要提升对。网络安全的这种重视程度，需要去投入更多的这种人力物力和财力啊，做好相应的防护，去避免相关安全事件的发生，那第三个维度呢，其实是比特币的这种技术的产生，就是比特币它有一个很典型的特征是性，为黑客的网络攻击变现提供了一个很大的帮助，就像江主任所说的，那以前黑客在攻击了学校的信息系统过后呢，那主要可能是嗯，去篡改咱们的网页啊，在网站上做挂码，或者植入一些案例那。

可能他并不能获得太多的经济收益，而只是去炫耀自己的技能，那比特币的诞生，他为黑客的这个变现的这个环节啊，就补充上了最后的一环，攻击者可以去窃取这个学校老师和学生的一些重要的数据，可以直接在网上去售卖，或者是说把这样的一些重要数据做了加，然后勒索学校去支付比特币，那不是哪种方式其实都可以帮助黑客去直接的获取到。

经济收益也是我们现在看到的，不管是教育行业还是别的行业，就网络攻击事件越来越多的一个主要原因。对，我觉得张老师其实讲出了这个，因为现在这个以前大家做这个画码也好，怎么样，就是说这个其实恶作剧偏多，但现在黑客是真的是想去搞钱，所以这个做这种事情也越来越频繁，就是然后然后我们就来进入第一个话题啊，就是说呃，当前就是这个很多的网络攻击越来越多，那咱们这个主要的攻击形式有哪些，我们还是想首先请教一下江主任，在您了解的高效网安全风险中，到底是哪几类攻击占比是最高的，高效成就是成为了现在网络安全攻击的这个目标的原因是哪些？嗯，因为从数量上来看，伴随着这种扫描而带来的自动化攻击比较多，那么很多呢，这个其实是无差别的互联网的扫描攻击，比如说高校使用了一些这种ru to的web logic的这种通用的框架组件，那么也使用一些通用的OA系统，那么这类攻击呢，一般来说没有明确的行业属性。

只要高效的这些系统暴露在互联网上，那么只要时间一长，就有可能被无差别的扫描。如果发现漏洞，就会伴随着后面的自动化以及包括一些人工的攻击。那么还有一些是针对一些开放端口和开放服务的暴力破解，就比如说针对服务器的二端口的暴力破解，那么针对一些远程桌面的3389的这种暴力破解。那么这种各种漏洞的自动化利用，那么又带来了高效的一系列，比如说勒索病毒，比如说挖矿木马这些事件的出现，那么这几年也是比较多的。那么在高校这几年频发的还有钓鱼邮件攻击，那么这种情况在过去，现在和未来，我觉得他都会长期的存在下去。因为电子邮件本身它用的协议还是比较简单，它的安全机制做的还不是很够。

很多情况下，即使不是一些精心构造的雕邮件，那么他往往都能够欺骗相当多的这种事神。当然了，解决钓鱼邮件这个工作可能需要多方面的努力，一方面邮件系统本身要提升对这种病毒邮件、钓鱼邮件的识别能力，然后同时学校要反复的去教育师生提升邮件安全的意识，去有能力分辨各种各样的钓鱼邮件。那么这个包括比如说可以通过邮件发一些提示，哪些是调邮件，比如定期通过公众号做一些推送，比如说定期开展主动调演练，那么这个就是可以做到一定的相应的这个防范。另外在高校还有一部分攻击，它就是有目的性的定向攻击了。那么高校成为攻击的重要目标，那么因为它是有价值，有各种利益驱动，才会成为攻击者给予的目标，那么这个世界上是没有无缘无故的爱，也没有无缘无故的恨。比如说学校里是存储着大量师生的个人敏感的信息和数据。

那么黑客可以去窃取这些师生信息售卖来获利，比如说用于电信诈骗的黑查，那么过去的山东考生徐玉玉事件，就是从某个省的高考网上报名系统被入侵，导致新生信息泄露所开始的。那么在学校有数据中心，有高性能计算中心，有大量的计算资源和存储资源，那么攻击者可以通过攻击服务器获得这些资源来进行，比如说挖矿，这些行为通过这种虚拟货币来变现。那么同时学校还有大量的这种科研数据，包括一些考试数据，那么攻击者通过攻击获得这些数据信息，那么他可能会有利可图，所以他们才不遗余力，想方设法的对高校的信息系统进行攻击和入侵，那么我觉得这个可能就是高校有很多成为攻击目标的原因。

我觉得不但不但是叫没有无缘无故的爱，也没有无无缘无故的恨，更主要的是就是你我等无缘就全靠我想搞你的钱，就是那现在这个高校面临了这么多的问题，那么我们高校做网安全建设就是普遍存在哪些问题呢？就是我们做安全建设的一个难点在哪里呢？呃，因为不同高校，它的那个信息化的建设发展阶段不一样，他们对网络安全的认识和迫切程度也不一样。那么有的学校他现在可能还停留在应用系统建设的阶段。要去建设各种各样的系统满足业务使用，他其实还并没有真正的从思想上去意识到，这个网络安全其实应该和信息化要同步规划，同步建设的。

那么还有很多学校，但是口头上重视，开会重视，文件上重视，但是真正落到实际行动上并没有跟上，那么这个可能就是要加强多方面的安全意识的教育，加强多方面的安全方面的监管来完成。那么安全建设的难点，我觉得最终可能还是要聚焦在人、财、物三个方面。一方面，很多高校是紧缺安全方面的专业技术人员和安全管理人员。那么其实呢，很多学校它不仅仅缺安全人员，他也缺信息化人员，那么具体的安全人员就更为稀缺了。那么即使有再好的网络安全方面的管理制度规范要求，我有再多的好的安全设备软硬件，那么最终都是要人来具体落实和使用的。高校缺安全方面的专业人员，那么这个是他建设的一个首要难题。

另外一个还是钱的问题，安全建设资金的投入在部分高校还是不够的。那么有的高校，它的信息化整体经费投入有限的情况，它的安全投入是缺乏稳定保障的，他可能某个时间段有脉冲性的投入，但他还不一定能够保障每年持续的稳定的投入。因为我们其实都是很清楚的，安全工作很多时候它的可见性是不高的，它的投入产出的效果是很难用数字进行量化和进行绩效评估的，很多时候我们一年投了200万和一年投了500万，那么有时候。学校领导的获得感，他的感受区别不是很明确，那么这个可能就不像我们做一些基础设施建设，我投了钱，这个楼就造好了，我投了钱，这个数据中心就建起来了。

那么很多地方还存在着安全资金投入不足的问题。然后另外一种就是说很多地方它的安全也买了很多硬件，也买了很多软件，但这些设备平台它的作用并没有得到很好的发挥。那么一种就是说他的经费不足，这些都没有买，是真的缺没法用。另外一种对学校来说，他看到现在有大量的安全方面的软硬件，觉得可能都很有用，但是怎么去分期分批的去满足学校的最核心最关键的应用需求，那么他也没有很好的思路和想法。然后最普遍的还是说，很多学校其实已经有这些软硬件了，但是因为运维没有跟上，自己的运维能力不足，第三方的运维也没有跟上，导致很多已经购买的软硬件配置没有合理的进行优化，也没有人持续的去运维，去看这些设备没有用好，没有真正的去发挥它的作用，这种情况也是比较多。

那么还有一种就是随着现在的发展，很多学校的系统已经上云了，应用已经上云了，但是传统数据中心的安全保障体系大家知道是怎么建的，但是业务上云之后，那么也应该有新的云安全的保护体系。但是有的高校他可能有误解，认为只要我系统迁移上云，它就安全了，其实并不是这样的，基于云，它有一系列的云安全体系、云安全机制来保障信息系统应用的安全。那么同时上云之后，我们会使用各种各样的，比如说对象存储，云存储，我们会使用云数据库，那么这个和传统数据中心的差异还是比较大的，那么随着新的变化，新的业务，包括一些新的技术，那么我们的安全也要跟上时代的发展，那么这个也都是高校未来需要重点加强的。

对，我觉得这个张江老师讲这个事情讲的特别实在，就确是你你光说你重视，但是这个很多重视确实都被停留在了嘴上，就是这个高校也都对外宣传的时候，确实有这方面，你没有钱，然后你没有兵，然后你这个就想做很多事情，也没办法真的能做到到这件事情，然后我们来，假如我们现在已经这东西都都有了，我们从行业的角度来说，就从实施的角度来说，张老师，我们来问一下张老师，您觉得就现在这个高校主要面临的是哪哪些种类的攻击，就是说在具体的场景下面，比如说这个挖矿挂，然后那个勒索病毒，还有什么，就这种大规模的网络攻击，就高效该如何有效的去防护它。嗯，首先和江主任分享的一样啊，其实对于黑客来讲，对他攻击成本最低的呢，还是攻击这种直接暴露在互联网上的系统，那我们高也是有很多系统都是暴露在互联上的，那可能更多的这种种类呢，都是B类型的，那黑对黑客来讲，它可能非常直接的去寻找这样的系统存在的这种安全问题啊漏洞，或者是一些配置缺陷，然后就可以黑到校园网络里面去，那进而呢，在学校内部去开展一些横向的这种渗，或者然后可以去获得啊，或者控学校这些内部业务系统的这个权限，然后就拿走了刚才说到的啊这样的重要的数据，那不管是对这些数据进行倒卖，还是说直接利用这些数据进行电信诈骗，那对击者来讲都是一个啊，就是非常好的这个可以变现的这样一个途径。

那其次学校呢，会面临比较大的这种嗯，病毒误码的风险，因为高校呢，它是一个非常典型的场景啊，它的学生的人数是非常多的，而且现在几乎人手一台电脑啊，这些电脑还是学生自己的电脑，学校是不太好管的，那同时呢，学生的这个安全意识又相对偏薄弱，那你比如说会存在一些这个。

系统存在高危漏洞，但是不会及时去修复，或者是他们的操作系统就设置了一些非常简单的口令啊，以及同学之间，或者同学和老师之间去用优盘去随意的去拷贝一些文件啊数据，但是呢，又不做杀毒啊，或者是自己上网的时候呢，去网上就是随意的下载一些文件，那这些现象其实在学生这个群体里面啊，都是非常常见的，那所以在学生的电脑上，他去感染像挖矿木马呀，或者勒索病毒啊这样的现象呢，是非常多的，这个也是我们跟很多学校交流下来，他们比较头疼的问题，然后那其实由于学生的电脑他相对来讲安全防护做的很薄弱，甚至没有啊，那黑客也极有可能会利用学生的电脑去开展进一步的这种啊攻击，那学校还是有一些系统是内部访问的，并没有暴露在互联网上，当黑客去黑道的学生的电脑里面，以作为跳板在学校内。

开展这种横向攻击的时候呢，他就可以绕过很多互联网出口的这样的防护措施，那所以这是我这边啊跟学校交流下来，大家啊经常面临的一些攻击的这种啊形式吧，那像刚才主持人您问到的那面对像挖矿，木马还有勒索病毒这样的具体的场景，那应该怎么样去做防护？啊，就从我们这个啊，啊安全乙方的这个视角来看啊，啊我们有呃，就是还是有很多事情可以做的，你比如说我们从技术的角度来看，那啊可以有两个径去解决这个挖挖矿勒索这样的一些问题，第一个径呢，是从终端着手，你比如说我们可以去终端去要求全校的这个师生的终端统一的去部署一些安全防护的软件，那像这样的软件呢，它其实可以提供一系列的安全能力，包括统一的去修复啊这个终端，终端的高高危的漏洞啊，统一的去拦截和查杀刚才讲到的这个木马和病毒啊，那但不过这种方式啊，就是有的学校是愿意去使用推广的，有的学校呢是呃。

不愿意或者说不太好去使用推广的，因为刚才也讲到的学生的这个电脑都是他们每个学生自己的，那有的学校呢，不太好去直接管到每个学生的终端，那所以我们能够提供的第二种的路径呢，就是从流量上去入手，那通过对网络流量里面的样本去做提取，做分析，然后可以对这种恶意的文件样本呢，做一些拦截和过滤，那也可以对网络访问请求呢，去进行一些这个专业的分析，去拦截内网的这种横向扫描的流量，去拦截啊这个对内网主机进行口令爆破的这样的一些流量，然后去避免这个。木马和病毒在。呃，学校内网的这种横向传播，那同时呢，还可以去检测和拦截这些不病毒回连远控主机的这种流量啊，然后去避免他去下载更多的这种恶意的文件，那呃在技术视角之外，如果我们从管理的视角来看这个事情，那像刚才江主任也讲到了，学校我们需要去定期的对学生去进行培训，进行安全意识的这种啊宣导，然后呃，就具体的这种细节就可能包括去要呃建议学生去设置一定强度的这种系统密码啊，建议他们即使学校没有统一的安全防护软件，也建议每位同学自己去安装个人版的这种啊防护软件，对病毒进行查杀，然后定期的去修复这样的高危漏洞，去不给这个勒索软件和啊这个这个挖矿木马去提供生存的空间，那同时如果我们把这个视角放的更高一点啊。

从整体信息化建设的角度来看这个问题的话，我们其实还可以建议在学校里面去提供像企业微信这样的平台，那如果学生和老师之间，他们的这种文件的发送啊，这种传播使用企业微信来进行发送，那可以降低在学校里面这种盘的这种啊拷贝使用的一些情况，就可以确保我们的这个啊校园网络的一个安全。

主持人，嗯，这样的话，我那那我们就讲进入第二个这个访问形式，好接着你刚才那话题就是我们还是来先请教这个江主任，就是近几年来我国陆续出台了，呃，贯彻了网络安全法，数据安全法，还有个人信息保护法，做了很多这种，呃网络安全的工作，对于高校来说开展等级保护已经是共识了，就是这是非常有必要的事情，那么在现在的高校群体当中，这些法律法规的执行程度做的到底怎么样，到底是执行到什么样的程度了，国家的这个高校群体就是说该如何去加强这个数据安全的建设。呃，那么随着这几年包括公安、网信，还有各级教育主管部门都出台了一系列的这种文件和管理办法，那么推动各高校开展网络安全等级保护工作，那么这个工作已经深入人心，也成为了很多高校推动校内安全的工作抓手之一。

但是呢，一方面就是说包括等保2.0出来，它和传统的1.0还是有很多差异的，有的学校按照之前的等表等保标准做的可能没有问题，但如果用新的标准，他可能还是有很多欠缺的，那么这个都是在未来的安全建设当中需要补上的。然后另外随着这几年网络攻防演练的不断相应的这个推广，那么包括从国家层面，行业层面，各省市，包括各个学校，通过攻防演练暴露出了大量的问题。但是呢，这些问题其实在等保工作当中其实并没有完全暴露出来，所以对学校的安全工作等保是基础的、合规性的要求，但在此之上还要做更多的工作。

那么今年也是网络安全法正式实施五周年，包括数据安全法，个人信息保护法，那么去年也正式实施了。那么很多学校这个时间段就要开始去考虑，是不是比如说要正式制定学校的数据管理办法。明确学校的数据安全的要求，那么同时也结合学校的数据治理工作，那么对学校的核心资产，数据资产进行分级分类，梳理相应的这种资源目录，那么开展相应的保护工作。那么同时也要把相应的人要求传递到各个部门，传递到师生，比如说数据收集的时候要遵循一些最小够用的原则，数据查看要遵循最小授权的原则，数据存储遵循最短周期的原则，数据共享遵循用而不存的原则，那么这些原则都要具体的去落实到各个信息系统的，从立项开发。

使用的全过程当中，就比如说很多时候就不要过度的采集师生的数据，那么有些数据完全可以通过共享的方式来使用，那么学校在搜集学生信息，处理学生信息的时候，要提前做到告知的义务，那么师生要知道这些数据会被用于什么方面，去做怎样的处理。那么同时学校也还是要去明确数据的生产管理相应的这种责任和主体部门。那么很多学校都有自己的数据共享平台，都有自己的数据中台，那么他也对接着学校大量信息系统和数据库。那么这个时候还是要明确相关的一些接口的规范，那么通过相应的这种标准来要求数据的依规使用，那么在这个过程当中要特别注意安全。

因为以前数据没有高度共享的时候，那么一个系统出问题，它影响的可能就是这个系统里的数据，但现在很多系统都通过数据来完成打通共享，那么一旦一个系统出问题，那么可能顺着这个共享接口来进入数据平台，那这个时候就可能产生更大范围的数据安全问题。那么同时，很多学校的数据安全现在做的还远远不够，包括数据库的安全审计，包括对敏感数据的加密。包括我的应用在使用一些敏感数据的时候，是不是做了脱敏，我的身份证，比如说是不是打了星号，我的手机号在某些情况下是不是也做了一些脱敏处理，那包括我的数据的备份，这个其实都是应该有相应的常态化的工作方案的。

那么这些在很多高校都还是有很多的工作需要做。那么同时在这个过程当中，我们也可以使用一些新技术，新应用，比如说隐私计算，那么这些其实都可以在高效的数据场景当中去进行一系列的尝试，因为学校高校有它自身的特点，有业务场景，有大量的数据。同时也有很多老师在做安全方面的研究工作，那么也可以去尝试很多新的技术，在用于高效的信息化工作，去解决很多现实的安全问题。对，就是说得多管就得多管齐下做这些事情，我还想追问一句，就是说大家都现在都说这个高效的安全建设是三分靠技术，七分靠管理，您怎么来理解这句话？呃，我觉得对不同的高校，他在不同的阶段，然后不同的人，然后理解不一样，这个都是正常的，但总的来说，我觉得高效的安全建设，那么一方面要做好安全方面的管理。

那么这个是必不可缺的技术性的工作，那么第二方面是要有安全的技术，我的管理要落地，我是要有技术来支撑的，否则他没法落地。那么还有个更为重要的，我觉得很多高校其实现在是缺安全的运营。那么缺持续性的人员，持续性的团队去使用这些安全技术，去满足这些安全管理的要求。那么学校里面有大量的资产，有信息系统，网站，IP地址，除了一些服务器，那么还有大量的个人终端，包括还有一些物联网设备，电子门锁，摄像头，打印机，那么这些东西非常多，它都可能存在着各种各样的安全风险。那么就需要做针对这些资产的安全运营，把所有的资产能够动态的管起来，而且也能够和相应的这种管理人员建立起联系，来实现资产的动态管理。

那么同时前面也说了好多数据安全，那么数据也是学校非常重要的核心资产，也是学校的核心竞争力。那么我们在安全工作当中，那么也要考虑未来要更多的以数据保护为核心，那么这些数据可能在数据库里，可能在信息系统里面，那么也可能在个人电脑里面，那么它的形式多种多样，我们怎么对这些数据进行不同层面的保护？来对他实现全生命周期的安全动态管理。那么同时这个安全运营体系怎么建立？我们日常工作当中会发现很多的漏洞，会发现很多的安全事件。那么我们要及时的去进行应急响应，去发现这些问题，那么同时要举一反三，我们发现了一个问题，可能很多地方都有类似的问题，那么这个就需要我们进行应的这种评估，然后采取相应的这种手段来完成一个自动化的闭环的一个安全运营体系。

那么同时学校也可以去通过一些，比如说举行一些学校级别的攻防演习，通过这种实战演练的方式来评估你的安全到底做的怎么样。是像你总结报告说的那么好，还是说真的一打就无数个漏洞，那么这些都是需要进行实战化来检验安全做的怎么样，那这里面有管理的，有技术的，有运营的，我觉得这三个都非常的重要。就是这个确实就是我们一般经经常说说这个叫专门的人做专门的事情，但是其实在做这个我们这个建设过程中，专门的事情，还真的很需要专门的人去做这件事，就是我们来就是在实际过程中呢，就就是应用过程中，全国的这个城市的这个经济和信息化水平发展是很不一样的，就不同学校的网络安全建设程度也是很不一样的，就是我们来请教一下这个，呃张老师，就是说从业者的视角来看，怎么去评估一个学校的网络性建设，就是它的成熟度是怎么样子，就哪些维度能来考量这些事情。

呃，网络安全建设的成度呢，在安全内呢，也是一个经久不衰的话题了，其实从外的这种C型，在我们做安全建设，安全评估的时候啊，都会有一些，我们实际现在把帮助甲方展安全建设的时候，从工程化的这种啊视角呢，我们一般会从这么几个层面去看甲方客户所处的这个建设阶段啊，第一个是安全合规的这种层面，就是呃，学校它的安全建设有没有就是充分的达到刚才讲到的等保2.0所要求的级别啊，它的技术措施，它的管理制度有没有齐备，有没有很好的运行起来啊，其实这个我们看起来是理所应当都应该做到的，但从我们跟很多高校去沟通来看。

大家的啊，能力呢都是呃，参差不齐的，像您刚才讲到这个经济水平的这种差异啊，那可能啊，这个经费不太足够，然后经济相对较差一些地方的学校呢，那啊他的这块建设会更有缺失一些，那当然我们也有见到一些就是这块做的很好的一些学校，那它的呃，技术措施，管理的制度呢，都是啊非常完备的，那同时还有人在做定期的这种安全分析和安全运营，然后第二个嗯，视角呢，我们把它叫做主动防御。

就是我们都知道网络安全的风险啊，它其实等于呃，脆弱性以威胁，那这个构成了我们的风险，那站在学校的角度，我们有没有建设这种各种各样的这种措施，去主动的去识别这些风险和脆弱性，那比如说我们有没有周期性的啊，对我的应用系统，对我的数据库去做检测啊，去发现他们有没有漏洞，有没有一些不太恰当的一些配置，甚至有没有像入口令这样的一些比较比较比较比较粗浅的一些，嗯问题啊，那同时发现这些问题过后，有没有一些及时的修复，那这个可能靠这个。刚才第一个角度去讲的那些，呃，就是静态的设备，或者是被动防御的设备呢，是很难完成相关的这种工作的，那同时那学校我们有没有去建立这种相应的这种啊技术措施，去主动的对流量去做监测和分析，有没有去持续的看我的网络中有没有威胁，已经绕开了一些防护措施，到达了我的这个应用系统上面，或者甚至到达了我的数据库这个维度，那嗯，通过这样的一些视角啊，我们可以去看甲方客户他所呃。

处于的这个安全建设是处于什么样的阶段，那通常我们在实际交流和这个沟通中啊，其实达到第二个这种程度的高效是非常非常少的啊，大部分还在第一个到第二个这个过渡的这个过程中，那我们知道业内可能啊，金融行业他们做的不错，那他们有很多客啊这个嗯，单位呢，是已经达到了第二个维度，那第三个维度呢，我们把它叫做及时的对抗，那就是呃，甲方单位有没有一整套的机制啊，这个整套的机制会包括人员啊，平台啊，工具流程一整个集合，可以在最快速的时间内去发现，发现问题，这种快速呢，可能就会到达秒级啊，这样的这样的一个时间力度，然后可以及时的去。

把这些问题消灭掉，还同时呢，能够及时的去优化自己的这个防护措施，确保不会去啊再次发生相同的这样的一个啊安全问题，那像像我们腾讯自己啊，我们以这个互联网的这个为生生存的，那我们的这个攻防对抗，其实是要求要达到这样的一个量级，包括一些黑灰产的对抗的需要达到像这样的一个评估的啊，就对抗的一个效率。那呃，我们也讲到，对高校来讲，很多就是尤其是经济可能相对弱一些的地方，他们的安全建设呢，还停留在第一个维度，但是我们呃，不管是从安全防护的这种要求来看，还是对甲方客户产生的实际效果来看啊，其实大家都有必要去构建啊二层的这个主的这个能力，然后来确啊我们的系，我们的园能得到一个好的。

嗯，好，那我们下来就来聊一些具体的案例了，就还是想那个先请教一下江江江主任，就是我们都知道这个上海您所在的上海交通大学，这个网络安全建设一直是就在全国高校里面是前列，而且就是去年也获评了上海市网络安全先进单位，就是给跟大家分享一下，就是说上海交大的网络建设到底是一个怎么样的历程和一个经验，然后就我看到官网咱们也提到了，就是咱们已经就校内网就弥补了740多个漏洞，就能否举那么一两个印象深刻的例子。嗯，我还是从管理、技术和运营三个方面来谈吧，那么一方面就是说这些年来，就是学校陆续完善了关于网络安全方面的一系列的管理办法，就比如说校园网站的管理办法，那么这里面也明确了很多安全方面的要求。那么包括关于安全漏洞和安全事件的这种管理办法，因为我们经常会发现大量的安全漏洞，然后我们也会收到各种各样的安全事件的通报，那么怎么进行相应的处置，其实是需要有相应的管理办法来进行合规的去处理的，所以这项这方面的管理办法我们也陆续出台。

那包括数据安全，这几年大家都特别关注，那么我们也制定了数据管理办法，那这里面也明确要求了关于数据安全方面的各项内容，那么与此配套的还有很多其他的，就比如说账号安全管理的一些规定，就比如说应用系统上线前的一些安全的准入检检查，那么这个可能对每个学校来说都是要陆陆续续把这些管理制度都进行补齐的。那么同时的话，我们在每年的年底也会开展相应的这种网站年审的工作，就所有的网站使用学校域名的，那么学校主办的，我们到了年底都要做一次年审，大家报一下这个系统，还有没有人在使用这个系统，是谁在管理，这个系统的内容是什么，那么这样的话，我们就可以对学校的这些信息系统网站进行一个全面的每年再过一遍，那么有些如果无人维护了，那么我们就把它关停。

那么从网络安全的趋势来说，那么早些年我们可能还是这种黑名单的管理，就比如说发现一个网站有漏洞，那么长期无人修复，我们可能就把它禁止校外访问，那么发现一个处理一个，但这个始终是不解决根本问题。那么从以后的发展趋势来看，觉得很多可以采用白名单的方式，只有你通过了我学校的年审，经受了我学校的安全评估，满足我学校的安全要求，那么进入我的白名单，这个时候互联网才可以访问你。

那么同时要定期对学校的这种教师网站，无人运维的网站进行清理，那么同时很多高校它的信息系统网站数量特别多。那这些有些是老旧系统，其实它已经没有存在的价值的，这些都可以通过集中的专项治理对它进行清理。那么同时包括政府层面，包括很多学校都在建设这种一网通办办事大厅，把很多业务都进行统筹、整合、共享。那这个时候，以前很多的信息系统，它就有可能把它的数量给降下来，就是整合到几个大的系统，大的平台当中，减少网站的数量。那么这个时候学校就可以去投入更多的资源去对这些系统进行更强的安全防护，那么这个也是未来的一个发方向，减少新系统的数量，更加针对性的进行安全防护，这个时候办事大厅呀，网站群呀，可以更多的去进行推广使用。

那么同时呢，我们学校每个月也会发布关于网站方面的安全预报，然后通报各个学校的二级部门，上个月新增了多少安全漏洞，修复了多少安全漏洞，排名怎么样，上升了还是下降了？就从相应的这个。排名方面去激励，去督促各个单位进行整改它的安全问题。那么从安全技术上来说，那么高校，很多高校它的计算机学科比较强，那么很多高校也还有专门的网络空间安全学院。那么怎么结合学校的安全学科优势和人才培养工作，那么在和学校的信息化和网络安全工作深度融合，这个我们学校是做了一些尝试。那么我们也很多年前就开始建立学生安全团队，那么也参与了学校的安全工作，那么这些年来对学校安全工作推动也是比较大的。

那么从学校他具体从事安全工作的人员，那么也要推动他们去提升自己的安全能力，比如说也去考一些安全方面的资质证书，比如说也参与一些安全竞赛。因为安全，他还是要专业的人来做安专业的事情的，是来不得半点虚假的。那么我们要把学校的这个安全团队建立起来，而且他不能是这种业余的，他还是需要有专职的，固定的，每天有人看，每天有人想，每天有人去盯着这些事情，一个个督促整改。那么他可以使用一些成熟的开源的工具，商业的工具，也可以去购买一些第三方的安全服务，那么同时如果有能力的，那么也甚至可以去开发一些工具，开发一些系统，来解决学校的一切安全的实际问题。

那么总安全运营的角度，那么学校要有自己的安全平台，要有自己的安全大数据汇聚平台，把安全设备的日志，服务器的日志，网络的日志，用户登录的日志，VPN的日志。各方面的日志都汇聚到一起，那么他要有一些算法，要有一些规则，对这些日志进行分析。比如说我看到昨天有多少个账号登录过于频繁，或者他昨天这个账号从若干个国家都同时登录，那么这些都是异常告警。都往往可能后面蛛丝马迹指向了一系列的安全攻击行为，那么要有人去分析这些数据，运营这些平台，去处理各方面的安全隐患。因为我们发现很多重大的安全事件，其实它并不是一蹴而就的，它往往是一个过程的，这个过程可能是几天，甚至可能是几个月。

那么在之前的很长的一段时间内，我们会看到很多扫描。攻击漏洞，利用一些异常的账号登录，那么只要我们及时注意到这些情况，去及时去中断它的攻击链，那么一些重大的安全事件可能就不会发生了。那么我们也运营了一个叫教育漏洞报告平台，那么也接受全国的来自高校的对安全有兴趣的同学去报告安全方面的问题，目前大概已经接受了15万个漏洞，那么也要去大概1000个左右的白帽子，那么这些我觉得都是我们学校的一些经验。那么在这个过程当中，我们也发现，比如说很多报告我们学校漏洞的正是我们学校的学生，那这些学生我们就可以把他们招揽进来，因为对学生来说，他的兴趣非常广泛，那么我们给他这个空间，给他这个土壤，那么把它引导到正确的方向，那么他未来可能就会成为。

安全的高级研究人员，那这些年来我们也培养了很多很好的安全方面的研究人员，那么有一些也就是从学校的信息系统的网站的安全防护来起步的。好嘞，那那个我们再请教一下张老师，就是对于一些网络安全建设较为薄弱的这个高校，您作为这方面的专家，能不能给一些安全建设的意见，就是他们应该从呃哪些方面着手进行完善，就就再说直白点，就是说哪些安全项目是高校需要自己去建设的，哪些项目是就是说我们可以跟外面寻求企业的合作来进行建设的，就也希望您这边再分享一下，就是说我们腾讯做了哪些针对高校的解决方案，就是可以给高校提供哪些帮助。

呃，你这是两个问题啊，我们逐一看一下啊，第一个对于这种安全建设比较薄弱的高校呢，他肯定建设薄弱是会有自己的原因的嘛，要么就是可能重视程度不太够啊，可能是这个资金啊，经费不太充足，或者是这个啊信息中心负责安全这块的这个人员呢，不够充足，那呃，这些其实都是属于呃高校在这个甲方开展网络安全建设的时候呢，需要逐步去解决的问题啊，其实现在嗯，不仅教育行业啊，其他行业，包括政府行业啊，啊都是一样的啊，网络安全已经逐渐变成了一个一把手工程。那同时前面讲到的，像网络安全法，数据安全法也本身也就把这个事情的重要程度呢，呃，提升到了法律的高度，我们在开展安全建设的时候呢，是国家有一些标准，包括等保的标准，数据安全防护这种标准，甚至包括后续会在教育行业去广的这种商务密码安全性评估这样的一些标准，它都是我们在安全建设的时候必须要去参考和要达到的一个，那啊对于这个安全建设薄弱的高效呢，它首先要做的可能是要把这些能力去做一个补充弥补，然后达到基本的这个就是国家法律也好，这个国家标准也好，所规定的这个程度，那这个这个是一个基本的合格性，那基于这个合格线之后呢，我们再去做一些提升性的工作，一些主动性的工作，那这个跟您，呃，接着这个问题问的这个哪些需要高校自己建，哪些需要这个对外合作也是密切相关的，那比如说对于校园网的整个网络架构的设计。

我们去遵从保去做这种安全通心网络安全区域边界啊的建设和设计的时候，这个时候肯定是以甲方为主导，我需要去买什么样的这个啊软硬件的这个设备啊，这个来做相应的拦截防护检测，那这个时候其实是需要以甲方为主导的，我的网络性能怎么样啊，我的这个网络分区怎么样，我需要什么样的设备，多少台设备，那这个这种建设呢，通常是以甲方啊自己为主导去建设，然后啊乙方的这个这个这个安全厂商呢，去提供一些啊建议啊，或者一些咨询的服务，然后最后提一些产品那啊当然其实。

江主任刚才也讲到，我们很多高校其实会面临像呃人手不足，或者是包括这个安全能力有所欠缺这样的一些问题，那相对应的一些安全工作呢，就可以和乙方去合作开展，比如说我们前面讲到的，在呃这个安全建设的第二个阶段，我们去构建主动化的这种能力的时候，那可能老师没有精，欠缺能力去我的业务系统存在什么样的弱性，存在哪些样的问题，然后安全配置啊，这个合不合理，那可能对老师来讲的这个经力和能力有所欠缺，那这部分的工作呢，其实是可以和啊，就是乙方呃，和这个安全厂商去合作的，由安全厂商来提供对应的这个安全分析，安全运营的服务，包括帮助我们去提供啊这个安全监测啊，这个嗯，渗透测试啊，安全事件应急响应啊等等这样的一些啊，就是需要比较强的安全专业技能。

这样一些服务，其实可以更多的依赖咱们就是安全厂商的力量来完成。那这是关于您刚才问到的第一个问题啊，那第二个问题您是说啊，腾讯有哪些针对高效的解决方案，因为腾讯安全我们自己这20多年，实际上是为腾讯内部的各个业务条件，包括游戏啦，生活工具啦，浏览器啦，微信啦，支付啊等等各个业务板块去提供我们的安全保障能力的，那这个过程中，最开始我们有可能部分安全能力也是对买，然后到后面我们的平台越来越大，用户越来越多，流量越来越大，那我们很多安全能力就自己研发，然后到了这个一四年，一五年过后呢，我们也把很多自己一直在用的这个安全能力，把它做了这个的这个产品化啊，给我们的各行各业的客户去提供我们的安全解决方案啊，所以啊，这个过程中，我们提供的安全的解决方案是非常。

嗯，完善也非常多的，那可能这儿就举几个简单的例子吧，那我们腾讯自己一直在用这个零信任的这个架构，这个这个这个从国外的这个零先人架构，谷歌的这个零性架构提出来过后啊，我们从一五年开始，腾讯自己就自研了一整套的这个零人的体系，那呃，这个实际上之前在我们公司内部用的还不是特别多，那到了2019年疫情的时候，那全公司就几万员工，然后呃，几十万的终端，可能20多万的终端都通过轻的个架构接入到这个我们自己的企业里头去做远程的办公，那我们把这样的一套我们内部用的这种体系呢，把它做了产品化，可以给咱们的高校客户去提供帮助啊，咱们高校去构建他们的这个的体系去。

解决前面讲这的问题时，我们是这种方过户去解决啊，这个啊，补丁修复呀，这个弱口令呀，以及这个挂木马呀，勒索病毒啊等等一系列的问题都可以通过这个方案来提供，那同时对高校来讲，我们数据中心里头的这些重要的业务系统，嗯，比较多啊，我的重要的学生的这种数据也比较多，那我们也会关心我们数据中心里头的这些啊，终身防御的这这种能力，包括呃，前面讲到的这种。流量的持续监测，持续分析的这样的一些能力，那腾讯在这个维度也可以去提供这种啊，就是基于数据中心的这个护的这种方案，不论是对这种流量的采集分析啊，检测，去发现它里头存在的各种啊安全威胁和还是说啊，通过腾讯的这种威胁情报去做这种啊，这个恶意事件的这种匹配，然后去做这种事件这种拦截啊，我们都是可以给客户去提供这种完整的方案，那在数据生命周期上面呢，呃，我们也能够提供这种生命周期的这种防护方案，包括从前期帮助客户去梳理它的重要数据的这种流转的过程，采集、传输、储啊等等各个环节去梳理他们存在这种安全险和隐患，然后去给他制定相应的这种防护措施啊，去提供完整的这个数据的全生命周期的方案。那也包括前面讲到的为了弥。

高效的这个啊，安全能力的不足，或者人手的不足啊，我们能够提供啊这个一揽子的这个安全服务的这个方案，包括提供安全专家去对甲方客户的流量做分析啊，对这个安全事件做应急响应，对安全策略配置做调优，对这个系统的漏洞弱性去做持续的这个修复等，那嗯，从各个维度来讲吧，我们可以给学校提供比较全面的这种解决方案，帮助学校完全完善这种安全建设。

嗯，对，所以做这种这种建设东西，我们还需要做一些防患于未然的，还需要看得更远的一些东西。嗯，其实校园的网络安全建设现在除了技术和管理需要不断完善之外，更重要的还需要我们做一些网络安全的意识的建立，就是如何提升呃，学校的师生的网络安全意识，这个还请江主任再给我分享一下相关的经验，就目前上交大做了哪些事情呢？

对，因为安全意识的建立，它实际上是个潜移默化的、持续性的工作，那么它也是安全工作的一个重要组成部分。那么这方面的工作，其实他不能仅仅的只依靠信息化部门的几个安全人员来做，他做不好也做不了。那这个时候可能就需要比如从学校层面来进行统筹，比如说包括学校的信息化部门，包括学校的宣传部，包括学校的学生处、人事处、保卫处，大家都来去参与，去提升师生的网络安全意识。就比如说每年九月份新生入校的时候，新生入校的培训内容就可以有一部分网络安全的内容。每年学校的新进教职工培训，那么也可以有一些网络安全的内容。包括平时怎么去反诈骗，那么这些各个二级单位都可以去参与网络安全意识的宣传。

没有师生的安全意识的普遍提升，那么像钓鱼邮件终端安全勒索病毒、挖矿病，仅仅靠网络层面的一些安全手段，那么它还是无解的，他必须要通过提升师生的安全意识来进行更多方的共同解决。那么本周也是国家的网络安全宣传周，各地各校都开展了很多工作，比如说通过安全方面的海报，通过微信公众号推送一些安全方面的知识，那么通过举办一些学校的知识竞赛，那么邀请一些专家开展专题的安全讲座。那么讲比如说安全开发，比如讲怎么安全运维，比如讲安全方面的一些常识，那么同时也比如说配合学校的安全攻防演练，去更多的去发现我们身边的问题，因为这个时候对他的来说，感知度体验才是更加深刻的。

那么同时的话，学校他也可以每年去办一次学校层面的安全竞赛。那么把学校里的每年对安全感兴趣的新同学给发掘出来，然后挖掘出来。哪怕说大部分，这些通过安全比赛出来的同学最后可能都放弃了，流失了。但我每年只要沉淀一两个。那么假以时日，就可以把学校的这个安全团队建立起来，那么发现他们，培训他们，那么参与学校的各种各样的安全工作，那么也弥补了我们刚刚说的很多高校安全队伍人员不足的那么一个现状。

那么大概就就是我们之前做过的一些工作。这就这这是一个就是很需要日积月累的一个过程，就一点点小的努力都要去做做把它做好，就是我们这还再来问一下张老师，就是说在云计算，大数据，然后AI，还有互联网，就这这些新技术不断的发展下，还有还有疫情，然后教育信息2.0，就很多政策的驱动下，而且还做了智慧校园高速建设，这种事情就是事情就现在的情况是非常复杂，就是高校网络安全形式未来还会有哪些的挑战，然后在这个智慧校园的规划和建设过程中，网络网络安全应该被放到一个怎样的位置上。嗯，好的，呃，正如您刚才所讲到的呀，这些技术架构越来越复杂，然后导致了我们在学校开展应用建设的时候，我们的网络的架构，我们应用的架构，它其实都变得越来越复杂的，这个过程中可能会带来各种各样的这种安全的风险，包括前面讲到的，像攻击面的这种，呃，逐步的这种变大啊，然后技术的复杂性导致的这种安全防护的这种措施很很很难以做，那呃，这些就会给我们的安全防护啊，包括甲方的整体的这个安全体系的建设呢，会带来很大的这种难度，那同时其实站在另外一个角度啊，呃，虽然数据安全法颁布了，但前面江老师也讲到了这个数据安全防护的这个，呃，具体落地的这个动作呢，大家做的还比较少，那包括后面还有这种个人隐私保护法呀，还有这个密码法这种颁布啊，他其实对我们的安全建设啊，提出的这个要求越来越。

高，然后学校面临的这种挑战呢，也就会越来越大，那嗯，从这种智慧校园的整体规划和建设过程中呢，我们的整个安全建设理念呢，就建议客户要从四个角度去审视的安全建设，第一个角度，呃，也是最重要的角度，就是要在规划的视。

就是，呃。网络安全法里面其实也讲到了我们的这个，呃，信息化的建设和网络安全的建设其实是呃需要同步进行的，要同步规划，同步建设，同步运营，这样才能确保我的信息化的建设。的每个环节是有对应的安全保障的能力能够跟上的，那这个在呃后续教育行业会面临的密码安全建设里面的体现尤其明显，现在我们在跟很多高校在呃同步去规划它的这个数据中台也好，它的这个学校的统一的智慧门户也好，啊，大家会陆陆续续的开始关注密码安全的这个内容，因为呃像密码法里头所规定的这个国产密码算法的这个使用。影响到我们整个业务应用的各个环节，从用户的身份登录啊，权限校验啊，到他访问过程的这个传输加密啊，数据访问的这个这个这个一些脱敏啊，包括数据存储过程中的加密，它会影响到应用自身在业务功能开发的各个环节，如果你在规划的阶段，在早期的这个这个设计的阶段，没有把安全的能力，安全的要求叠加上去，那我可能我这个应用建好使用一两年后，那密码法在教育行业里头，呃，这个这个全面去推广，那我们的应用就面临着啊，这个这个整体的重构，可能就会影响到我们整个平台的使用和资金的投入。

啊，所以第一个角度呢，我们是希望就是所有的学校能够把信息安全和这个信息化这个建设呢，去入统一规划的这个视角里头去。第二个视角呢，我们建议客户能够站在攻防的视角去构建我的这个啊安全体系，就在前面讲到的，我们除了去做最基础的等保2.0的合规啊，数据安全保护的合规之外，我们要去充分的考虑我网络架构的这种啊合理性，在面对可能存在的攻击的场景下，我的这个技术措施啊，管理制度流程啊，有没有相应的这种匹配，那包括前面讲到这些主动性的工作，我能不能对啊关键节点的流量做提取、检测、分析啊，能不能对这个业务系统的这个弱性漏洞问题啊，进行及时的这个发现和加固啊，那这些都是我们站在的视角需要去充分考虑的，因为啊张主任也讲到了，就在我们就是这两年就一直在搞的这个互网的过程中，我们会发现啊，可能我们很多设备已经买了，安全设也配了，但还是拦不住。

有目的的或者是有针对性的这种攻击，那我们需要站在攻防视角的角度去看我们的啊平台流程人员能力的这种配性，第三个角度呢，是情报的视角，就是呃，真正面对一些持续性的或者这个定向攻击的时候啊，那可能嗯，从安全行业，安全厂商这边能够获得的这种情报的持是有助于咱们甲方客户去呃完善我们整个啊安全建设能力的，那通过这种嗯。

海量的这种情报，可以提升我们对安全事件的这种提前发现啊，实时分析的这样的一个效率。最后一个视角呢啊，我们是管理视角，就是前面讲的这些所有的东西，技术平台在落地的时候，然后这个运营流程啊，在落地的时候，我们需要通过切实有。可行的这个安全管理制度，去把这些工作都全部统筹起来，然后通过安全运营的工作，安全运营的流程，去把我们前面讲到的这些安全工具把它起来，把所有的安全作安全工作把它起来，然后切实有效的去保障我们个网络校园网络的和业务应用的一个安全性。

啊，所以我们建议甲方客户做安全建设的时候呢，要这四个角度都考虑到，我们也知道啊，整个安全领域里头，这个短板效应是非常明显的，如果不是我们在主机服务器上，还是这个终端上，还是网络这个上啊，哪里存在短板，哪里就有可能会被啊攻击者利用，然后甚至打穿我们整个网络。对好嘞，感谢张老师，我们直播间里有很多这个网友来提问给我，特别是对江江主任。呃，来来稍微回答一下啊，第一个这个对江主任的啊，第一个是就是说呃，高校教职工学生人数庞杂，访问内网场景繁多，有必要建设诸如统一身份管理，给每个学生都进行身份访问，灵性认证建设的这件事吗？这个是针对刚才江主任谈的那个白名单那个事，就是说呃，这个是不是白名单那个是不是用的林行政这个理念来搭建的网络架构，就是希望张老师能同步分析一下。

嗯，对，因为包括目前因为受疫情的影响，很多学校他的这种在线教学也都是学生可能在校外，老师也可能在校外，那这个时候他可能就要访问大量的校内的资源了。包括很多信息系统，这个时候可能就要通过一些类似于零信任的方案，然后来进行访问，那么这个对很多高校来说，现在也成为一个刚需了。那么包括刚刚说的很多来自互联网的攻击扫描，是因为学校有大量的资产是暴露在互联网上，那么攻击者可以通过各种各样的尝试，如果说一个学校上千个网站直接对互联网开放，那么攻击者往往可能会找到很多可能的利用点，因为它的利用面太大了。

所以说现在很多系统就是我们是可以把它放在内网里的，那么我们访问的时候，比如说可以通过类似VPN啊，零信任的方式，先进入内网，经过一次用户认证信任之后再来访问这些资源，这个时候的安全就会好很多。那么刚刚说的白名单，那么其实它有一些是放在那个出口处的。那么以前可能是全对互联网开放，那么以后是可信任的，我才允许互联网访问他。那么这个我觉得就是缩小攻击面，缩小暴露面，可信任的用户才能访问我的资源。嗯，好了，我们这边还有一个有个网友给还是给江老师的这个提问，就是说这个疫情期间，老师和学生把课堂都搬到了云上，这样会不会对我们的这个安全以后造成了更更多的挑战，就有没有这种事情。呃，它会有一些影响，因为传统上老师学生那么教学行为都是发生在比如说学校里，实验室里，课堂里面。

那么它的整个网络访问是在学校的整体的安全防护体系之内的。但是现在受疫情影响，那么有些同学他可能在家里上课，那么老师在家里教学，那么很多时候终端安全的问题可能就暴露出来了。他在家里，在外面，他的电脑可能会感染一些木马，可能会有一些病毒，那么这些比如说他又通过VPN这种方式又进入了校园网，那么很多东西就可以在校园内有可能进行一些传播扩散。那么这种情况，其实对传统的校园网的安全保障体系应该有一些新的方案，就比如说我们怎么加强终端安全，这个可能就需要做更多的工作，因为刚刚也说了，因为很多比如说学生的电脑，甚至很多老师的电脑都都不是这种学校统一配发的，可能学生自己买的。

然后这个时候如果你一定要强制安装一些终端安全软件，他可能不像企业那样能够得到这种快速的实施，那么这些学校怎么做，包括正版操作系统，包括正版的终端安全软件，那么通过什么形式来推广，来鼓励学生使用，那这些都是学校需要思考的问题。嗯，这里还有一个网友这个提问，我感觉应该是给张老师来回答的，就是说随着高校信息化的不断推进，很多高校对网络安全建设的关注点已经安全合规转向了怎样做安全高效，在安全建设方面怎么实现高效这一点。呃，我觉得高校可以从两个角度来来讲这个高效的意思啊，呃，一个是发生的安全事件，我们在处置的时候的高效率，那这个时候跟前面讲到的这种主动的这种能力的建设呢，就会有很大的关系，那我们有没有这样的制或者是技术平台去帮助我们很快速的发现这些安全问题，然后并且呢，把这些安全问题解决掉，那所以前面讲的这些主动化的能力是很重要的，然后针对这个角度呢，还有一个事很重要，就是我们所讲的安全管理制度的具体落实是很重要的，呃，如果我们提前就已经让大家把这种入口令的问题消灭掉了啊，提前就让大家把这个安全配置策略做好了啊，提前就让大家把这个这个这个主机啊，业务方把他们这个操作系统应用的补丁打上了，那实际上他们面临安全攻击的这种，呃，风险呢，就会小一些，那这个也是帮助我们达到高效的其中的一个步骤，那第二个我觉得这个高效的，呃，这个这个这个含义啊。

理解为就是投资和回报的这个这个这个高高高收益，那就是我们要考虑我们在进行安全建设的时候，我们应该。

把这个精力和这个这个这个这个这个资金投入到什么样的方向，我是自己在信息中心要养这么三五个啊，懂安全分析，懂渗透，懂应急这样的一个人员，还是说我愿意跟第三方的这个厂商去合作，由他们来提供呃安全服务，来帮我解决相应的这个工作，我采呃这个这个这个什么N的应在自身的这个建设情况，人员组织结构的情况啊，资金投入的方向，包括甚至要去评估我们学校以及上级主管单位能够接受的这种啊，投资预算的这种方式，然后来综合的评估这个问题对。好嘞，感谢分享，从两位老师的一个分享当中呢，我们能感觉到，就随着整个社会这个入网程度的加深，网络安全工作还真的是任重道远，它不仅关系着科研商业的发展，而且关系着我们每个人生活的方方面面，最后还是感谢两位老师的今天的分享，我们再次感谢江主任和张凡老师，好，那今天的分享就到这里，呃，好，大家再见啊。

谢谢，再见。