近日,西北工业大学遭受美国网络攻击一事受到各方关注。根据国家计算机病毒应急处理中心和360公司联合技术团队的技术分析与追踪溯源,美国国家安全局对中国实施网络攻击和数据窃密的证据链清晰完整,涉及在美国国内对中国直接发起网络攻击的人员13名,以及为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。报告显示,美方先后使用41种专用网络攻击武器装备,对西北工业大学发起攻击窃密行动上千次,窃取了一批核心技术数据。在记者会上,外交部发言人对此表达强烈谴责,要求美方作出解释并立即停止不法行为。
美国国家安全局缘何会大费周章、处心积虑地去攻击我国的一所高校?不少人在愤怒、鄙夷其无耻行径的同时,产生了这样的疑问。答案很简单——攻击成本和入侵难度小,收益却不少:一方面,不少高校都掌握着某一方向的前沿技术和科研资源;另一方面,相对于国家机关和科研院所等重点单位,高校在网络安全和保密教育管理方面相对薄弱。
高校人员构成复杂,管理难度较大。既有专家教授、教职员工和大量学生,又有物管工勤、商超食娱等大量服务保障人员,鱼龙混杂,防不胜防。
防范意识薄弱,保密素养堪忧。在中国科技大学于中秋节前夕组织的一次“钓鱼邮件”演练中, 校方在一小时内针对该校师生和教职工发送了4万余封“钓鱼邮件”(其中学生3万余人,教职工6千余人),主题为“免费抽奖领月饼”,校方还特意在邮件中留下了多处“破绽”,如:虚构的邮件发送部门、错误的邮箱缩写和座机电话。然而,邮件发出不到2小时,就有8000人次访问了该钓鱼网站,不少人中招“泄露”了个人信息。
潜在密源众多,难于监督管控。一方面,专家教授在授课或日常交流中难免会出现“超纲”涉密内容;另一方面,在学术研究过程中,一些人员或因缺少保密意识,或因保密工作环境不完善等原因,存在利用非涉密网络和终端处理敏感数据、起草重要论文、传印涉密资料等现象。此外,个别高校对敏感数据、论文草稿的定密不够完善,也会导致涉密敏感信息失管失控。
为此,笔者建议,一是应强化高校校园安全管理和重点服务保障岗位人员的保密审查,尤其应做好涉密敏感部门(点位)的安全保密监管。二是应加强高校保密制度建设和重点学科保密工作环境建设,尤其是重点高校、重点学科应及时出台科研领域定密规范,确保各类学术科研活动有法可依、定密有据。三是应加大教职员工和广大学生的网络安全教育,尤其应将网络安全和防间保密课程列入大学新生的必修课,加大宣传教育力度,进一步提升全社会网络安全意识和安全防护技能,筑牢网络安全防线,营造网络空间安全环境。(李佳君)