对于安全建设薄弱的高校，首先要做的是把安全能力做补充和弥补，达到基本的合格线，然后基于合格线再做一些提升性的工作。腾讯自研的零信任安全管理系统（腾讯iOA）护航了100万终端的远程办公，可帮助高校解决远程访问中的安全问题，同时“All?in?One”方案可通过客户端去解决补丁修复、弱口令以及挖矿木马、勒索病毒等一系列问题。

对于高校的网络安全问题的认识，一是要不断提高站位，它不仅仅是防范电信诈骗等这类问题，有些还事关国家安全；二是要充分认识到工作的复杂性，既有技术问题，也有管理问题，技术和信息的不对称都增加了工作的难度。

现在，各个学校的信息化建设都有了明显提升，一卡通充值、财务报销、科研资料查阅等繁琐程序，都用信息化的手段来解决了，创造了一个好的教学环境，让师生能够更好地投入到教学和学习之中。

高校需要加强数据安全建设，让数据使用合法合规，严格依照相应的法律法规制度，这些法律法规不仅仅是一个约束的条件，它实际上也是我们进行数据安全信息安全保障的一个思路；加强宣传教育与培训，培养数据安全思维与运用能力，针对教师、学生、管理者等重点群体，强化数据安全专题培训；还要建立健全完善的网络数据安全管理制度，筑牢数据安全防护墙。采取安全技术措施，确立合理的操作规程，可采用“权限分层+技术控制”的双重方式建立数据操作流程。

不过，目前高校的信息化和安全建设仍然存在许多痛点，例如系统多、人员少、管理困难，同时也面临着层出不穷的漏洞风险。无论是日常安全的运维，还是突发状况的应对，都给高校信息化和安全建设带来了较大压力与挑战。

【编辑：王戎飞】

整体来看，要确保高校网络安全素养教育常态化、体系化，需从顶层设计入手，完善制度机制、加强部门协同、保障经费投入、做好督查考核这些方面都是必不可少的。

在网络安全方面，学校的人才比资金更重要，要有自己的核心队伍；由于便利性和安全性很多时候是矛盾的，需长期培养师生安全意识；要用制度和合规性要求来倒逼网络安全工作，明确各方责任，通过检测和巡查，发现、通报和整改形成闭环以持续改进。

这些靠手机便捷办理的服务缘于高校“十三五”信息化建设的成果。近年来，武汉高校结合自身定位和发展需要，不断加大校园信息化建设，不断加强网络安全保障投入。各个高校根据自身特色、重点，有针对性地解决师生在日常信息化服务中的难点、痛点问题，形成了各自学校具有特色的信息化建设和服务体系。

省属高校的信息化工作，一方面要支持职能部门工作，另一方面要从技术角度帮忙分析实际成本和可能收益，通过需求分析、先行测试、分批投入等多种途径，减少浪费。信息化工作更要重视制度设计。

针对高校当前的数据安全现状，何晶晶建议可以从以下三方面入手，提高高校对数据合规的重视程度：首先，建立并完善高校数据合规监管体系。教育系统应制定各项数据合规标准规范体系，进行等级保护测评及风险评估，持续开展数据合规性检查和指导工作，构建数据合规及监管管理体系；其次，建立全流程的高校数据安全运营体系。通过测绘高校在互联网中数据资产的分布，建设覆盖全方位的数据安全态势感知体系，构筑全天候的威胁攻击防御堡垒，并组建数据安全应急中心，全面提升高校的数据安全防护能力；最后，建立全生命周期的高校数据合规管理体系。从数据的收集、存储、使用、访问、交换、销毁等流程对高校数据进行管理，对流程中的关键环节的操作规范、分类分级管理、部门职责分工、应急安全检查机制、责任追究等进行全方位管控，重点关注师生个人信息保护。

对于高校的网络安全建设，腾讯安全资深架构师张飞凡提出了一些建议。在安全合规层面，学校需要检查系统是否达到所要求的防护水平，技术措施和管理制度是否齐备。在主动防御层面，网络安全风险=脆弱性×威胁，学校需要建设各种措施去主动识别风险和脆弱性，周期性对重要资产做评估、检测和加固等。在及时对抗层面，学校可以构建一整套包括人员、平台、工具、流程在内的机制，快速发现问题，并及时优化调整自身防护措施。

“数据安全不代表数据合规了，这其实是两个维度的事情。”在9月27日举办的武汉高校信息化建设与网络安全研讨会上，中国社会科学院国际法研究所副研究员何晶晶强调。