习近平总书记指出,“没有网络安全就没有国家安全”。高校作为人才培养、科学研究和社会服务的重要阵地,其网络空间承载着海量师生个人信息、关键科研数据和核心业务系统,已成为网络攻击的重灾区。为动态评估并提升区域高校的网络安全防护水平,吉林省教育厅自2023年起,连续三年组织全省教育系统开展网络安全攻防实战演习。
本文旨在通过对这三次演习的量化数据、典型案例与治理重点进行深度剖析,揭示高校网络安全威胁的动态演变规律,评估现有防护措施的有效性与局限性,并提出一套可以应对未来网络安全挑战的、以“师生共治”为特色的教育系统网络安全综合治理策略。
三年攻防演习态势对比分析
本部分从演习规模、攻击技术、防御成效维度对三年数据进行对比分析。
表1 2023-2025年吉林省高校攻防演习核心指标对比
演习规模与范围持续扩大
防守单位从2023年的64家增至2025年的77家,攻击队从14支增至33支,网络安全实战检验的覆盖面和深度均在不断加强。攻击扫描次数从百万次级降至三十万余次,但发现的漏洞数量从219个跃升至500余个。虽然扫描次数减少了,但攻击队伍发现漏洞的能力在不断提升。
攻击技术的演进与复杂化
2023年和2024年,弱口令是主要突破口。至2025年,攻击方开始利用社交软件获取学号等社会工程学手段,或根据公网泄露的未脱敏的公示信息进行精准爆破,攻击链条更长、隐蔽性更强。攻击路径也不仅限于从边界突破再横向渗透,而是从早期的直接利用Web漏洞,发展为通过无认证Wi-Fi接入内网,再进行横向移动,暴露出内网隔离与访问控制的严重不足。
演习方案允许近源攻击的方式,有效扩大了网络攻击面,对网络安全防护能力的检验也更加全面。2024年和2025年连续两年,攻击队都发现了供应链安全漏洞,且被发现漏洞的第三方服务平台的用户不仅包括吉林省大多数高校,在全国还有上千个,这也说明了供应链安全风险呈指数级放大。为有效应对供应链风险,应建立开放协作的防护体系,从内部管理延伸到对第三方服务的有效管控。
防御能力的提升与短板
2023年,多家单位被彻底打穿,2024年,参演单位未再出现整体破防的情况,2025年大部分单位能及时发现并阻断常见攻击,这说明各家单位的防护与应急响应能力已显著提高。但“弱口令”问题贯穿三年,屡禁不止。这深刻说明,纯粹的技术手段无法根除由管理松懈和安全意识薄弱导致的网络安全风险。
防守方对于近源攻击的应对能力较弱,主要是由于传统的网络安全防护重心在网络边界,而演习规则允许攻击队发动近源攻击,防守方在网络安全防护架构的设计和制定防护策略时忽视了来自内部网络的风险。
构建动态治理体系
基于对三年攻防演习的纵向分析,可以清晰地看到,高校面临的网络安全威胁正呈现出日益复杂化、交织化与源头多元化的特征。传统的、依赖技术堆砌的静态防御模式已难以应对新时期的挑战。因此,必须构建一个动态、综合且具有韧性的治理体系。该体系的核心在于从“被动防护”到“主动治理”转变,激活教育系统最宝贵的人力资源——师生群体,并围绕管理革新、技术演进与文化培育进行网络安全治理体系的重塑。
首先,体系的核心理念是践行“师生共治”的协同防护模式。高校,尤其是理工科院校,其内在优势在于拥有大量计算机、信息安全等相关专业的师生,这是一个极具潜力的安全人才库。
连续三年进入攻击队前10名的6所高校均开设了信息安全、网络安全相关专业。可见,将这一群体有效地纳入网络安全防护体系,不仅能缓解专业队伍人员不足的压力,更能形成一种内生性的安全增长动力。具体的实践路径包括“以赛促防”“研用结合”与“实训育人”。
通过组织校内的网络攻防竞赛,可以选拔并凝聚具有浓厚兴趣的学生,组建安全社团;将校园网络中脱敏后的日志和威胁数据开放给专业教师团队,能够推动理论研究与实战需求的结合;联合相关专业建立网络安全实训基地,将学校的安全需求转化为学生的实践项目,实现人才培养与安全能力提升的良性循环。这种“教学相长、双向赋能”的机制,最终旨在将网络安全从信息化部门的孤立责任,转变为全校师生共同参与的集体使命。
在管理维度上,治理体系要将法律要求、网络安全制度转化为可执行的管理文件和动作,将法律法规作为顶层输入,制定网络安全管理办法和实施方案,确保制度文件与法律法规条款一一对应,避免出现管理的真空地带,彻底消除制度性安全风险。
三年的演习证明,“弱口令”等基础性问题的顽固存在,其根源并非技术手段的缺失,而是管理与落实的脱节。为此,必须严格落实网络安全责任制,将安全绩效明确纳入各部门及关键岗位的考核指标,实现责任压力的有效传导。
在具体操作层面,应通过技术强制与管理督查相结合的方式,例如强制推行密码复杂度策略、普及多因子认证技术,并辅以定期的专项检查,从而根除“弱口令”这一长期存在的顽疾。同时,运维人员应使用密码安全管理工具,避免将密码明文存储到文件中。面对日益突出的供应链安全风险,高校必须建立对第三方服务商的安全准入与持续评估机制,在采购合同中明确安全要求与责任条款,将外部风险纳入内部的安全管控范畴,实现对安全盲点的有效管理。
在技术维度上,治理体系应从静态边界防御向“零信任”纵深防线转型。近源攻击的频发与内网横向渗透的轻易得手,暴露出传统“内网即信任”模式的巨大风险。未来的技术架构必须摒弃单一网络边界的观念,应构建无处不在的动态验证与访问控制机制。对网络进行安全分区,在不同区域之间部署严格的访问控制策略,有效遏制攻击者在突破边界后的横向移动。同时,必须收紧所有网络入口,对校园无线网络实行强制的身份认证,并加强对物联网设备等非传统终端入网的管控,将这些新型网络边界纳入统一的安全管理体系。应致力于建设安全态势感知平台,利用大数据与人工智能技术,对多源安全日志进行关联分析与深度挖掘,实现潜在风险的“主动预警”。
在信息素养维度上,治理体系的最终目标是筑牢“人力防火墙”,使安全意识内化为全体师生的行为习惯。社会工程学攻击的成功,直接反映了师生安全意识的淡薄。技术与管理措施纵然完善,若执行者与使用者缺乏必要的警惕性,整个防护体系仍存在被轻易绕过的风险。因此,必须开展常态化、靶向化的安全意识教育培训,特别是针对钓鱼邮件、信息诈骗等社会工程学手段进行专项培训。教育系统需建立规范的信息发布前审查机制,对官网、公示栏等渠道发布的信息进行严格的脱敏处理,从源头切断攻击者获取“攻击弹药”的途径。通过持续的宣传教育、真实的案例分享以及积极的安全文化营造,最终在全校范围内形成一种“网络安全、人人有责、人人尽责”的良好氛围,为技术和管理措施的落实提供最坚实的保障。
综合治理体系要师生共治,管理制度、技术防护、安全意识要协同加强,最终目标是建立起一个动态、自适应的安全体系,能够快速响应层出不穷的新威胁,形成良性的网络安全生态。
结论与展望
吉林省教育系统连续三年开展的网络安全攻防演习,如同一面镜子清晰地映照出高校网络安全的发展态势:网络攻击手段持续进化,攻击者不但充分利用社会工程学获取有用的信息,近源攻击和供应链攻击引起了演练队伍的关注。防御体系经过实战锻炼得以提升;但管理机制不健全和师生网络安全意识薄弱,仍是当前教育系统网络安全的重大挑战。
为此,本文提出未来的教育系统网络安全体系绝不能仅依赖安全设备与技术的堆砌,而应致力于构建一个管理制度、防护技术、安全意识三位一体的网络安全运营生态。高校可以依托自身的人才优势,践行“师生共治”的协同防护模式,可有效破解网络安全专业人才短缺的问题,提升防护能力。
展望未来,网络安全是关乎教育数字化战略成败的全局性、系统性工程。通过坚定贯彻以“师生共治”为核心的网络安全综合治理体系,持续落实管理责任,提升全员的网络安全意识,方能在持续演进的攻防对抗中立于不败之地,切实为教育事业的数字化转型与高质量发展保驾护航。
来源:《中国教育网络》2025年12月刊
作者:陈钺(吉林省教育信息中心)底晓强(长春理工大学)徐红彦(东北师范大学)
声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
