高校是基礎(chǔ)研究主力軍和重大科技突破策源地，是國(guó)家戰(zhàn)略科技力量和國(guó)家創(chuàng)新體系的重要組成部分。黨的十八大以來(lái)，高校創(chuàng)新能力快速提升、重大成果持續(xù)涌現(xiàn)、體制機(jī)制改革縱深推進(jìn)，日漸成為社會(huì)可持續(xù)發(fā)展的強(qiáng)大動(dòng)力，為創(chuàng)新型國(guó)家建設(shè)做出重要貢獻(xiàn)。

　　數(shù)字化時(shí)代下，高校信息系統(tǒng)極大地保障和促進(jìn)了教學(xué)、科研、管理和對(duì)外交流等活動(dòng)的開(kāi)展，但其中產(chǎn)生的大量數(shù)據(jù)，包括教育資源、科研成果、師生信息、教學(xué)素材、國(guó)家教學(xué)資助信息等，隱藏著巨大的網(wǎng)絡(luò)安全隱患。對(duì)此，需要先梳理清楚以下內(nèi)容：

　　● 高校的信息化發(fā)展歷程

　　● 教育部對(duì)高校網(wǎng)絡(luò)安全提出的安全建設(shè)規(guī)劃

　　● 負(fù)責(zé)高校網(wǎng)絡(luò)安全建設(shè)與管理的主體

　　本次分享將圍繞以上內(nèi)容，帶您了解高校所面臨的網(wǎng)絡(luò)安全挑戰(zhàn)，不容錯(cuò)過(guò)！

　　信息化發(fā)展歷程

　　我國(guó)高校的信息化發(fā)展大約從2000年開(kāi)始，前期主要圍繞信息化基礎(chǔ)設(shè)施展開(kāi)，后續(xù)則是轉(zhuǎn)向“信息技術(shù)與教育教學(xué)的深度融合”，著手建設(shè)“三通兩平臺(tái)”，即寬帶網(wǎng)絡(luò)校校通、優(yōu)質(zhì)資源班班通、網(wǎng)絡(luò)學(xué)習(xí)空間人人通，建設(shè)教育資源公共服務(wù)平臺(tái)和教育管理公共服務(wù)平臺(tái)，這個(gè)階段也被稱為教育信息化1.0時(shí)代。

　　2018年，教育部印發(fā)《教育信息化 2.0 行動(dòng)計(jì)劃》，提出“三全兩高一大”，即教學(xué)應(yīng)用覆蓋全體教師、學(xué)習(xí)應(yīng)用覆蓋全體適齡學(xué)生、數(shù)字校園建設(shè)覆蓋全體學(xué)校，信息化應(yīng)用水平和師生信息素養(yǎng)普遍提高，建成“互聯(lián)網(wǎng)+教育”大平臺(tái)，標(biāo)志著我國(guó)教育信息化正式進(jìn)入全新 2.0 時(shí)代。如圖所示：

　　圖 高校信息化發(fā)展時(shí)間軸

　　高校網(wǎng)絡(luò)安全發(fā)展

　　另一方面，隨著高校信息化的快速發(fā)展和信息技術(shù)的廣泛應(yīng)用，高校網(wǎng)絡(luò)安全也面臨著不小的威脅。教育信息化是國(guó)家信息化的重要組成部分，教育行業(yè)網(wǎng)絡(luò)與信息安全工作關(guān)系著教育信息化的穩(wěn)步推進(jìn)和教育事業(yè)的改革發(fā)展，因此教育部從17年開(kāi)始便在各類規(guī)劃或指導(dǎo)文件中強(qiáng)調(diào)了網(wǎng)絡(luò)安全的重要性：

　　2017年

　　《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)》：高校開(kāi)展以治理網(wǎng)站亂象、堵塞安全漏洞、補(bǔ)齊等保短板、規(guī)范安全管理為主要內(nèi)容的教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動(dòng)，全面提升教育行業(yè)網(wǎng)絡(luò)安全水平。

　　2019年

　　《教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)》：把網(wǎng)絡(luò)文明、網(wǎng)絡(luò)安全教育納入學(xué)校教育工作內(nèi)容；建立常態(tài)化的通用軟件安全評(píng)估機(jī)制；開(kāi)展網(wǎng)絡(luò)安全檢查。

　　2021年

　　1、《科學(xué)技術(shù)與信息化司工作要點(diǎn)》：強(qiáng)化教科網(wǎng)的網(wǎng)絡(luò)安全監(jiān)測(cè)能力，健全網(wǎng)絡(luò)安全監(jiān)測(cè)通報(bào)機(jī)制；開(kāi)展教育系統(tǒng)網(wǎng)絡(luò)安全攻防演習(xí)。

　　2、《教育信息化2.0行動(dòng)計(jì)劃》：全面提高教育系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力，深入開(kāi)展網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警，提高網(wǎng)絡(luò)安全態(tài)勢(shì)感知水平。

　　3、《關(guān)于推進(jìn)教育新型基礎(chǔ)設(shè)施建設(shè)構(gòu)建高質(zhì)量教育支撐體系的指導(dǎo)意見(jiàn)》：到2025年，基本形成結(jié)構(gòu)優(yōu)化、集約高效、安全可靠的教育新型基礎(chǔ)設(shè)施體系。

　　2022年

　　《2022年工作要點(diǎn)》：深化信息技術(shù)與教育教學(xué)融合創(chuàng)新；建立教育信息化產(chǎn)品和服務(wù)進(jìn)校園審核制度。

　　其中，需要重點(diǎn)關(guān)注2021年的兩份文件——《教育信息化2.0行動(dòng)計(jì)劃》與《關(guān)于推進(jìn)教育新型基礎(chǔ)設(shè)施建設(shè)構(gòu)建高質(zhì)量教育支撐體系的指導(dǎo)意見(jiàn)》，以下簡(jiǎn)稱“2.0行動(dòng)計(jì)劃”與“指導(dǎo)意見(jiàn)”。

　　2.0行動(dòng)計(jì)劃提出，要以《網(wǎng)絡(luò)安全法》等法律法規(guī)為綱，落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和做好關(guān)鍵關(guān)鍵信息基礎(chǔ)設(shè)施保障，深入開(kāi)展網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警，提高網(wǎng)絡(luò)安全態(tài)勢(shì)感知水平，全面提高教育系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力，切實(shí)維護(hù)好廣大師生的利益。

　　而指導(dǎo)意見(jiàn)則是明確了在網(wǎng)絡(luò)安全部分的要求：

　　資產(chǎn)安全

　　加強(qiáng)國(guó)家主干網(wǎng)、省市教育網(wǎng)和學(xué)校校園網(wǎng)的銜接，實(shí)現(xiàn)網(wǎng)絡(luò)地址、域名和用戶的統(tǒng)一管理；增強(qiáng)感知能力，并完善教育系統(tǒng)信息資產(chǎn)數(shù)據(jù)庫(kù)，掌握信息系統(tǒng)（網(wǎng)站）情況。

　　安全防護(hù)

　　建設(shè)科研協(xié)同平臺(tái)，支撐跨學(xué)科、跨學(xué)校、跨地域的協(xié)同創(chuàng)新；基于教育專網(wǎng)開(kāi)展網(wǎng)絡(luò)流量監(jiān)測(cè)，及時(shí)監(jiān)測(cè)安全威脅、發(fā)現(xiàn)攻擊行為；建立教育系統(tǒng)應(yīng)急指揮網(wǎng)絡(luò)，提升安全事件發(fā)現(xiàn)、應(yīng)急報(bào)告、協(xié)同處置、追蹤溯源等能力。

　　應(yīng)用安全

　　促進(jìn)信息技術(shù)應(yīng)用創(chuàng)新，提升軟件供應(yīng)鏈安全水平；健全應(yīng)用監(jiān)管-提升教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序、教育軟件、在線教育平臺(tái)和新型數(shù)字終端等監(jiān)管的信息化支撐能力，推動(dòng)新技術(shù)、新應(yīng)用進(jìn)校園審核備案。

　　高校安全主體

　　上述提到了教育部對(duì)于高校安全發(fā)展的規(guī)劃和建議，那么落實(shí)到具體高校，安全主體的責(zé)任該由誰(shuí)來(lái)承擔(dān)呢？

　　結(jié)合對(duì)于各高校的組織架構(gòu)分析，一般校直屬都有一個(gè)部門(mén)專門(mén)負(fù)責(zé)網(wǎng)絡(luò)安全和信息化，不同高校稱呼也各不相同——“信息中心”、“網(wǎng)絡(luò)與信息化中心”、“網(wǎng)絡(luò)管理中心”等。以下統(tǒng)稱為“信息中心”。其下屬一般還設(shè)有綜合辦公室（統(tǒng)籌管理）、網(wǎng)絡(luò)通訊部門(mén)（基礎(chǔ)設(shè)施）、信息與系統(tǒng)部（規(guī)劃管理）、校園卡中心、科研中心等（不同高校稱呼不一）。但整體部門(mén)人數(shù)相對(duì)較少，同時(shí)也缺乏專業(yè)的網(wǎng)絡(luò)安全人才，更多依賴于安全服務(wù)。

　　高校安全建設(shè)現(xiàn)狀

　　以上海某高校為例，其網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀可分為三個(gè)維度：

　　資產(chǎn)安全

　　隨著信息系統(tǒng)、網(wǎng)站數(shù)量的急速增長(zhǎng)，信息化部門(mén)人力有限，缺乏對(duì)應(yīng)管理部門(mén)，因此只能重點(diǎn)關(guān)注核心業(yè)務(wù)資產(chǎn)，導(dǎo)致資產(chǎn)管理薄弱，主要依靠資產(chǎn)年審、安全巡檢等服務(wù)。

　　安全防護(hù)

　　信息系統(tǒng)的安全防護(hù)主要根據(jù)等保要求進(jìn)行對(duì)應(yīng)的安全防護(hù)（例如主頁(yè)網(wǎng)站、招生就業(yè)管理、郵件信息等系統(tǒng)為等保三級(jí)要求、設(shè)備及采購(gòu)管理和財(cái)務(wù)管理等系統(tǒng)為二級(jí)），具備應(yīng)對(duì)常見(jiàn)安全風(fēng)險(xiǎn)的防護(hù)能力。

　　安全管理

　　具備常規(guī)的安全管理制度規(guī)范，例如數(shù)據(jù)安全管理辦法、開(kāi)發(fā)部署和運(yùn)維細(xì)則、身份認(rèn)證接入標(biāo)準(zhǔn)、機(jī)房服務(wù)器管理規(guī)定等，但是在安全監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估、威脅處置等專業(yè)方面仍舊缺乏相應(yīng)的規(guī)范以及人員，主要依靠安全服務(wù)。

　　網(wǎng)絡(luò)安全挑戰(zhàn)

　　綜上所述，結(jié)合默安科技在高校行業(yè)的沉淀和積累，本處簡(jiǎn)單總結(jié)了目前高校在網(wǎng)絡(luò)安全方面可能面臨的安全挑戰(zhàn)：

　　信息資產(chǎn)快速增長(zhǎng)帶來(lái)的管控壓力

　　隨著教育信息化的快速發(fā)展和疫情的影響，高校教育信息化進(jìn)程不斷加快，從最早的幻燈片教學(xué)到電視投影，再到網(wǎng)絡(luò)教學(xué)和遠(yuǎn)程教學(xué)。信息技術(shù)的引入大大提升了教學(xué)質(zhì)量，但同時(shí)這些大量增加的信息化資產(chǎn)也帶來(lái)了諸多安全問(wèn)題。

　　動(dòng)蕩國(guó)際形勢(shì)下的高校網(wǎng)絡(luò)安全

　　新冠疫情以來(lái)，各國(guó)經(jīng)濟(jì)發(fā)展都受到影響，小國(guó)破產(chǎn)&俄烏戰(zhàn)爭(zhēng)也讓國(guó)際局勢(shì)變得愈發(fā)膠著，網(wǎng)絡(luò)安全領(lǐng)域也處于風(fēng)雨飄搖之中。根據(jù)Check Point的安全報(bào)告顯示，2021 年全球各地企業(yè)與機(jī)構(gòu)遭到的網(wǎng)絡(luò)攻擊較 2020 年平均增長(zhǎng) 50%，而教育和研究部門(mén)則成為重災(zāi)區(qū)，平均每周遭受 1,605 次攻擊。

　　高校軟件供應(yīng)鏈帶來(lái)的安全挑戰(zhàn)

　　我國(guó)高校信息系統(tǒng)大多都是由第三方軟件公司開(kāi)發(fā)，其供應(yīng)鏈環(huán)節(jié)復(fù)雜、結(jié)構(gòu)復(fù)雜，容易受到來(lái)自供應(yīng)鏈各個(gè)節(jié)點(diǎn)和流通過(guò)程中各個(gè)環(huán)節(jié)的安全威脅。2021年年初的 SolarWinds，4月的Codecov、7月的Kaseya以及年終的 Log4j 漏洞，一系列的開(kāi)源庫(kù)漏洞的惡劣影響揭示了軟件供應(yīng)鏈固有的重大風(fēng)險(xiǎn)。

　　高校安全能力難以跟上信息化腳步

　　與其他行業(yè)專門(mén)設(shè)立網(wǎng)絡(luò)安全部門(mén)的情況不同，大部分高校均將時(shí)間精力傾注于教育教學(xué)，使得網(wǎng)絡(luò)安全人才和能力稀缺，一些高校甚至是由信息老師兼任其網(wǎng)絡(luò)安全管理人員。而在各類安全風(fēng)險(xiǎn)的發(fā)生及國(guó)家對(duì)于高校網(wǎng)絡(luò)安全穩(wěn)定的要求下，如何提升安全防護(hù)能力已成為高校不得不直面并解決的問(wèn)題。

　　那么，對(duì)于安全從業(yè)者以及企業(yè)、組織的安全負(fù)責(zé)人，應(yīng)該怎樣去應(yīng)對(duì)這些挑戰(zhàn)呢？

　　高校網(wǎng)絡(luò)安全解決方案

　　默安科技高校行業(yè)網(wǎng)絡(luò)安全治理框架構(gòu)建思路分為四步，如下圖所示：

　　圖 高校網(wǎng)絡(luò)安全體系建設(shè)框架

　　● 第一步 高校IT資產(chǎn)風(fēng)險(xiǎn)治理

　　幫助高校梳理可能被攻擊的資產(chǎn)暴露面，全方位發(fā)現(xiàn)當(dāng)前所有IT資產(chǎn)并進(jìn)行常態(tài)化安全監(jiān)測(cè)。

　　● 第二步 主動(dòng)縱深式安全防御

　　從網(wǎng)絡(luò)側(cè)、外部視角進(jìn)行安全防護(hù)，以事前發(fā)現(xiàn)、事中溯源、事后分析的邏輯搭建主動(dòng)縱深式安全防御。

　　● 第三步 軟件供應(yīng)鏈安全治理

　　著眼于軟件自身的安全性，從軟件供應(yīng)鏈角度保障高校外采業(yè)務(wù)系統(tǒng)的安全性。

　　● 第四步 引入專業(yè)安全服務(wù)

　　針對(duì)高校安全人員短缺的問(wèn)題，引入第三方專業(yè)安全服務(wù)，可以很好地補(bǔ)齊高校安全能力短板。

　　Step1高校IT資產(chǎn)風(fēng)險(xiǎn)治理

　　2016年的網(wǎng)信工作座談會(huì)上強(qiáng)調(diào)了IT資產(chǎn)的重要性，教育部也于2021年發(fā)布相關(guān)文件對(duì)IT資產(chǎn)安全提出了具體的要求：

　　要全面加強(qiáng)網(wǎng)絡(luò)安全檢查，摸清家底，認(rèn)清風(fēng)險(xiǎn)，找出漏洞，通報(bào)結(jié)果，督促整改。要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告機(jī)制、情報(bào)共享機(jī)制、研判處置機(jī)制，準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的規(guī)律、動(dòng)向、趨勢(shì)。

　　——2016年4月19日網(wǎng)絡(luò)安全和信息化工作座談會(huì)

　　加強(qiáng)國(guó)家主干網(wǎng)、省市教育網(wǎng)和學(xué)校校園網(wǎng)的銜接，實(shí)現(xiàn)網(wǎng)絡(luò)地址、域名和用戶的統(tǒng)一管理；增強(qiáng)感知能力，并完善教育系統(tǒng)信息資產(chǎn)數(shù)據(jù)庫(kù)，掌握信息系統(tǒng)（網(wǎng)站）情況。

　　——教育部《關(guān)于推進(jìn)教育新型基礎(chǔ)設(shè)施建設(shè)構(gòu)建高質(zhì)量教育支撐體系的指導(dǎo)意見(jiàn)》

　　那么如何將“摸清家底”融入到高校網(wǎng)絡(luò)安全建設(shè)中去，落實(shí)教育部的要求呢？建議從以下幾個(gè)方面進(jìn)行：

　　1、資產(chǎn)暴露面梳理

　　所謂的暴露面，可以簡(jiǎn)單理解為容易被攻擊的薄弱點(diǎn)，比如對(duì)外開(kāi)放的高校網(wǎng)站、內(nèi)部教務(wù)系統(tǒng)開(kāi)放的端口和服務(wù)等，讓高校安全運(yùn)營(yíng)者知曉自身的弱點(diǎn)。

　　2、資產(chǎn)全量發(fā)現(xiàn)

　　基于高校現(xiàn)有的資產(chǎn)清單，去發(fā)現(xiàn)其他未登記在冊(cè)或者應(yīng)該被關(guān)閉或廢棄卻依然活躍的“僵尸”資產(chǎn)。

　　3、全天候安全檢測(cè)

　　將上述的暴露面與資產(chǎn)進(jìn)行關(guān)聯(lián)，周期性進(jìn)行常態(tài)化的安全巡檢，協(xié)助高校安全運(yùn)營(yíng)者定位具體風(fēng)險(xiǎn)資產(chǎn)，進(jìn)行關(guān)閉或是安全加固。

　　Step2主動(dòng)縱深式安全防御

　　近幾年，高校網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，今年西北工業(yè)大學(xué)遭受的國(guó)家級(jí)黑客攻擊事件便是一個(gè)重要的警示。并且，隨著教育系統(tǒng)網(wǎng)絡(luò)安全攻防演習(xí)成為常態(tài)化，提升網(wǎng)絡(luò)安全防御能力對(duì)于各大高校來(lái)說(shuō)已然迫在眉睫。

　　本系列上篇提到高校安全建設(shè)仍以傳統(tǒng)為主，何為傳統(tǒng)安全防護(hù)？即建設(shè)一個(gè)安全堡壘，確保所有資產(chǎn)100%安全無(wú)死角，但這幾乎是無(wú)法實(shí)現(xiàn)的，因此需要轉(zhuǎn)換思路。

　　大禹治水 堵不如疏

　　既然不能完全封死攻擊者的道路，何不如提前設(shè)下陷阱，主動(dòng)將其捕獲？

　　默安科技在2016年率先提出主動(dòng)欺騙防御的理念，化被動(dòng)為主動(dòng)，在攻擊者的必經(jīng)之路上構(gòu)建陷阱，混淆攻擊目標(biāo)，感知并溯源攻擊行為，最終進(jìn)行攻擊阻斷，保障教務(wù)系統(tǒng)的安全，具體措施如下：

　　事前發(fā)現(xiàn)

　　基于真實(shí)的教務(wù)系統(tǒng)偽造虛假的一比一仿真系統(tǒng)，并在攻擊者可能踩點(diǎn)、采集信息的地方布置誤導(dǎo)性數(shù)據(jù)信息，或采用探針、虛假IP&網(wǎng)頁(yè)等技術(shù)手段，混淆攻擊目標(biāo)，誘導(dǎo)攻擊者落入陷阱（仿真系統(tǒng)）中。

　　事中溯源

　　當(dāng)攻擊者進(jìn)入到虛假的教務(wù)系統(tǒng)中，竊取數(shù)據(jù)信息、放置病毒木馬等時(shí)，所有行為軌跡均會(huì)被記錄下來(lái)。

　　事后分析

　　針對(duì)落入陷阱的攻擊者，可以進(jìn)行觀察、收集數(shù)據(jù)，也可以直接進(jìn)行攻擊阻斷，同時(shí)結(jié)合一系列攻擊行為進(jìn)行身份溯源，甚至反向控制對(duì)方主機(jī)，作為以后安全建設(shè)的重要憑據(jù)提交給公安。

　　此外，這套主動(dòng)防御體系除了能為高校教務(wù)系統(tǒng)的安全保駕護(hù)航，還能在此基礎(chǔ)上與默安科技進(jìn)一步合作：共同打造屬于高校自身的攻防對(duì)抗實(shí)訓(xùn)室。

　　某大學(xué)攻防實(shí)訓(xùn)課程示例

　　補(bǔ)充說(shuō)明：主動(dòng)式欺騙防御建設(shè)并不是拋棄傳統(tǒng)安全防護(hù)體系，而是1+1＞2的關(guān)系，前者負(fù)責(zé)誘捕和拖延，后者負(fù)責(zé)處置，相輔相成，缺一不可。

　　Step3軟件供應(yīng)鏈安全治理

　　主動(dòng)式欺騙防御建設(shè)主要針對(duì)教務(wù)系統(tǒng)的外部防護(hù)，在疫情影響和高校行業(yè)信息化的快速發(fā)展下，根據(jù)CNVD漏洞平臺(tái)國(guó)家信息安全漏洞共享平臺(tái)提供的數(shù)據(jù)顯示，近幾年的安全漏洞主要集中在應(yīng)用程序或WEB應(yīng)用自身。

　　近幾年網(wǎng)絡(luò)安全漏洞影響對(duì)象類型

　　圖源： CNVD漏洞平臺(tái)國(guó)家信息安全漏洞共享平臺(tái)

　　然而，對(duì)于高校來(lái)說(shuō)，其自身教務(wù)系統(tǒng)絕大多數(shù)都是向第三方開(kāi)發(fā)商進(jìn)行采購(gòu)，或是招聘外部開(kāi)發(fā)人員進(jìn)行駐場(chǎng)開(kāi)發(fā)，難以從根本上對(duì)系統(tǒng)進(jìn)行安全管控。

　　這里便需要引入“軟件供應(yīng)鏈安全”的概念：

　　軟件供應(yīng)鏈安全可以被理解為軟件生產(chǎn)的整個(gè)過(guò)程中軟件設(shè)計(jì)與開(kāi)發(fā)的各個(gè)階段來(lái)自編碼過(guò)程、工具、設(shè)備、供應(yīng)商以及最終交付渠道所共同面臨的安全問(wèn)題。

　　簡(jiǎn)單來(lái)講，軟件供應(yīng)鏈的業(yè)務(wù)流程可以抽象成開(kāi)發(fā)、交付以及應(yīng)用三個(gè)環(huán)節(jié)，雖然高校往往缺乏開(kāi)發(fā)能力，但可以從交付階段開(kāi)始進(jìn)行安全管控：

　　1、優(yōu)化采購(gòu)規(guī)范

　　在采購(gòu)環(huán)節(jié)增加對(duì)于軟件供應(yīng)鏈安全的要求，或是在招標(biāo)、合同、審計(jì)等文件中增加軟件供應(yīng)鏈條款，要求開(kāi)發(fā)商必須承諾所交付教務(wù)系統(tǒng)的安全性。

　　2、提前梳理安全需求

　　除了關(guān)注采購(gòu)、合同階段，高校還可以在開(kāi)發(fā)商著手開(kāi)發(fā)前，提前向其提出對(duì)應(yīng)業(yè)務(wù)系統(tǒng)的安全需求（此處可以由默安科技安全咨詢專家進(jìn)行介入指導(dǎo)）。例如：用戶登錄某個(gè)系統(tǒng)時(shí)，為了防止被攻擊者進(jìn)行口令爆破和猜解，登錄功能需要具備多次輸錯(cuò)密碼后輸入驗(yàn)證碼或是輸錯(cuò)幾次需要等待一定時(shí)間的安全功能。

　　3、軟件供應(yīng)商管理制度

　　將軟件自身安全性納入到供應(yīng)商的入圍或評(píng)估標(biāo)準(zhǔn)中，對(duì)廠商進(jìn)行過(guò)濾篩選，可以在一定程度上保障軟件交付能力和系統(tǒng)安全性。

　　Step4引入專業(yè)安全服務(wù)

　　高校不同于金融、互聯(lián)網(wǎng)這類網(wǎng)絡(luò)安全發(fā)展走在前端的行業(yè)，很多高校都沒(méi)有專門(mén)的網(wǎng)絡(luò)安全崗位，安全能力嚴(yán)重不足，對(duì)此教育部也表示：

　　鼓勵(lì)高等學(xué)校和基礎(chǔ)電信企業(yè)進(jìn)行服務(wù)質(zhì)量監(jiān)測(cè)，建立以用戶為導(dǎo)向的服務(wù)質(zhì)量考評(píng)機(jī)制，提高校園網(wǎng)絡(luò)服務(wù)水平。鼓勵(lì)高等學(xué)校通過(guò)購(gòu)買社會(huì)服務(wù)的方式引入外部資源，提供質(zhì)優(yōu)價(jià)廉的網(wǎng)絡(luò)服務(wù)保障。

　　——教育部&工信部：提高高等學(xué)校網(wǎng)絡(luò)管理和服務(wù)質(zhì)量的通知

　　高校需要具備豐富工作經(jīng)驗(yàn)、具備優(yōu)秀安全設(shè)備日志分析與場(chǎng)景建模能力、具備安全事件應(yīng)急響應(yīng)和運(yùn)維能力的專業(yè)技術(shù)人員，為其提供細(xì)致、全面的安全服務(wù)，彌補(bǔ)其人力的不足、技術(shù)的不足、信息的不足、安全運(yùn)維的不足。針對(duì)此，可以參考默安科技的高校安全服務(wù)體系：

　　圖 默安科技高校安全服務(wù)體系

　　基于對(duì)前沿攻防技術(shù)的持續(xù)研究，默安科技的安全服務(wù)團(tuán)隊(duì)深耕甲方安全一線，已成功為黨政機(jī)關(guān)、金融、運(yùn)營(yíng)商、能源、制造、交通運(yùn)輸、教育等30多個(gè)行業(yè)500余家政企單位提供切實(shí)有效的安全保障服務(wù)，包括但不限于各類安全培訓(xùn)、安全咨詢、重大節(jié)事安全保障、常態(tài)化安全巡檢、紅藍(lán)對(duì)抗安全服務(wù)等；近年來(lái)圓滿完成了北京冬奧會(huì)、全國(guó)“兩會(huì)”、中國(guó)國(guó)際進(jìn)口博覽會(huì)、G20杭州峰會(huì)、世界互聯(lián)網(wǎng)大會(huì)、建黨百年等多項(xiàng)網(wǎng)絡(luò)安全保障任務(wù)并獲得致謝。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<