网络攻击肆虐,高校如何构筑网络安全屏障?

随着人工智能、大数据、物联网等新一代信息技术的迅猛发展,教育信息化2.0和智慧校园建设快速推进。但与此同时,挖矿木马、勒索病毒、钓鱼邮件等网络安全威胁层出不穷,对高校数字化变革与信息化发展带来极大的挑战。

在此背景下,近日,腾讯安全联合雷峰网、腾讯云开发者社区、腾讯产业互联网学堂推出的高校网络安全主题沙龙在线上召开,上海交通大学信息化推进办公室副主任姜开达、腾讯安全高级架构师张飞凡、雷峰网副总编辑林觉民三位专家做客直播间,共同探讨高校如何构筑网络安全屏障。

图片

浅析高校网络安全攻击特征

林觉民:近年来,高校网络安全攻击事件呈现出怎样的趋势?

姜开达:从早些年的“冲击波病毒”、“震荡波病毒”到现在的木马后门、攻防对抗、数据泄漏,伴随着互联网发展,高校的网络安全态势也在不断发生新的变化。一是教育网站的篡改类安全事件显著下降;二是近几年来数据安全和个人信息相关的安全事件有所增加;三是高校的供应链安全情况较为突出,全国有三千多所高校,这些高校的资产数量非常多,教务系统、财务系统、OA系统等很多系统都可以通过互联网直接访问,一旦其软件产品出现了可被远程利用的安全漏洞,将会产生大面积的、连片式的网络安全风险。

林觉民:从产业视角来看,为何会出现上述趋势?

张飞凡:首先从IT技术变化来看,云、AI、大数据、物联网、移动互联等新兴技术在教育行业的广泛应用,给网络安全带来了较为深刻的影响,需要在开展信息化建设的同时,同步开展安全建设;第二,从监管视角来看,频发的网络安全事件也牵引了国家愈加重视网络安全,高校需投入更多人力、物力、财力开展安全建设与运营,避免安全事件的发生;第三,具备匿名性特征的比特币兴起,为黑客的网络攻击变现提供了助力,由此导致教育行业网络攻击事件越来越多。

林觉民:高校网络安全风险中,哪几类攻击占比最高?

姜开达:从数量上来看,伴随着扫描带来的自动化攻击比较多,还有一些是针对开放端口和开放服务的暴力破解,比如针对服务器22端口的暴力破解,针对远程桌面3389的暴力破解。各种漏洞的自动化利用,带来了高校勒索病毒、挖矿木马等一系列安全事件。此外,高校这几年频发的还有钓鱼攻击和有目的的定向攻击。

张飞凡:高校是一个很典型的场景,学校会面临较大的病毒木马风险。学生的安全意识相对较为薄弱,系统的高危漏洞不及时修复,师生之间、同学之间用U盘拷贝数据而不杀毒,都可能导致终端感染病毒。同时,黑客极有可能利用学生的电脑作为跳板,在学校内部开展横向攻击。

高校网络安全工作“痛难点”透析

林觉民:高校为何会成为当前网络安全攻击的主要目标?

姜开达:学校的应用中存储着大量师生个人信息和敏感数据,黑客可以窃取这些数据进行售卖并获利;学校里的数据中心、高性能计算中心拥有大量的计算资源和存储资源,攻击者可以通过攻击服务器获得这些资源,来开展挖矿活动,通过虚拟货币来牟利;同时学校还有大量的科研数据、考试数据,攻击者通过攻击获得这些数据后都有利可图,所以黑客会不遗余力、想方设法地对高校信息系统进行攻击和入侵。

林觉民:高校网络安全建设普遍存在哪些问题和难点?

姜开达:不同高校信息化建设发展阶段不一样,导致高校对网络安全的认识和安全建设的迫切程度也不一样,安全建设的难点最终聚焦在人、财、物三个方面。一方面高校非常缺乏安全方面的专业技术人员和安全管理人员;另一方面高校在信息化整体经费投入有限的情况下,安全建设资金的投入缺乏保障,甚至是严重不足;此外,运维能力不足和部分学校系统上云,也促使高校亟需基于云的云安全体系、云安全机制,来保障信息系统应用的安全。

林觉民:针对挖矿木马、勒索病毒这类大规模网络攻击,高校该如何实现有效防护?

张飞凡:从技术角度来看,可以从终端和流量两个路径解决挖矿和勒索问题;从管理视角来看,学校需定期对学生进行培训、进行安全意识的宣导,建议每位同学安装个人版防护软件查杀病毒、定期修复高危漏洞,不给勒索软件和挖矿木马提供生存的空间;从整体信息化建设角度来看,建议学校使用像企业微信这样支持文件发送和传播的平台,降低校内U盘拷贝使用的频率,促使校园网络更加安全。

林觉民:从网络安全建设从业者视角来看,如何评估学校的安全建设成熟度?有哪些维度可辅助考量?

张飞凡:网络安全建设的成熟度是业内经久不衰的话题,从工程化视角来看,一般会通过以下三个层面进行考量:第一是安全合规层面,有没有达到等保2.0所要求的防护水平,技术措施和管理制度是否齐备;第二是主动防御层面,网络安全风险=脆弱性×威胁,学校是否建设各种各样的措施去主动识别风险和脆弱性,是否周期性对重要资产做评估、检测和加固等;第三是及时对抗的层面,学校有没有一整套包括人员、平台、工具、流程在内的机制,去快速发现问题,并及时优化调整自身防护措施。

林觉民:应从哪些维度审视智慧校园安全建设?

张飞凡:第一要站在规划的视角,确保信息化和网络安全做到同步规划、同步建设、同步运营,确保信息化建设的每个环节都有对应的安全保障能力;第二要站在攻防的视角构建安全体系,充分考虑网络架构的合理性,从攻防视角看待平台、流程、人员能力的齐备性;第三是情报的视角,通过威胁情报完善整个安全能力建设、提升对安全事件的实时分析效率;第四是管理的视角,技术平台、运营流程在落地的时候都需要切实可行的安全管理制度进行支撑,只有把所有安全动作、安全工作合理有效的串联起来,才能切实保障整个校园网络和业务应用的安全性。

校园网络安全建设实战经验

林觉民:近年来,我国陆续出台贯彻了《网络安全法》《数据安全法》《个人信息保护法》,高校该如何加强数据安全建设?

姜开达:数据是学校非常重要的核心资产。高校需制定学校的数据管理办法,明确学校数据安全要求,同时结合学校的数据治理工作,对学校的数据资产进行分级分类,梳理相应的资源目录,开展相应的保护工作;同时,要把相应要求传递到各个部门,传递到师生,比如数据收集的时候要遵循“最小够用”的原则,数据查看要遵循“最小授权”的原则,数据存储要遵循“最短周期”的原则,数据共享要遵循“用而不存”的原则等;另外,学校要明确数据生产、管理相应的责任主体部门,明确相关的接口规范,通过相应的标准来要求数据的依规使用;最后,可以在高校的数据场景当中尝试使用一些新技术、新方法。

林觉民:上海交通大学在2021年获评“上海市网络安全先进单位”,上海交大网络安全有着怎样的历程和经验?

姜开达:从管理上来看,学校陆续完善了包括《校园网站的管理方法》、《数据管理办法》在内的一系列管理办法,同时每年年底会开展相关网站的年审工作,定期对学校的教师网站、无人运维的网站进行清理,减少信息系统的数量,对不同系统提供针对性地安全防护;

从技术上来看,通过结合学校的网络安全学科优势和人才培养工作,将学校的网络安全和信息化深度融合,建立学生安全团队,动员学校从事安全的人员提升自身安全技能,以及购买第三方安全服务解决实际的安全问题;

从运营上来看,我们运营着“教育漏洞报告平台”这样的安全平台,目前已接收了约15万个漏洞,并且有着1000多个“白帽子”,帮助我们分析数据和处理各方面的安全隐患。

林觉民:安全建设薄弱的高校该如何做?针对高校,腾讯有哪些安全解决方案?

张飞凡:对于安全建设薄弱的高校,首先要做的是把安全能力做补充和弥补,达到基本的合格线,然后基于合格线再做一些提升性的工作。腾讯自研的零信任安全管理系统(腾讯iOA)护航了100万终端的远程办公,可帮助高校解决远程访问中的安全问题,同时“All in One”方案可通过客户端去解决补丁修复、弱口令以及挖矿木马、勒索病毒等一系列问题。

另外,在数据中心的重要数据保护方面,腾讯安全可帮助客户梳理重要数据在流转、采集、传输、存储、共享等等各环节存在的安全风险和隐患,制定相应的防护措施,提供完整的数据全生命周期安全方案。

(腾讯零信任iOA部署终端已突破100万,成为国内首个落地百万的零信任产品,目前已经广泛应用于金融、地产、物流、教育、工业等十大行业、数百家企业,帮助用户构建全方位、一站式零信任安全体系。)

林觉民:如何提升学校师生的网络安全意识?

姜开达:在9月新生入校、新进教职工培训以及国家“网络安全宣传周”期间,引入网络安全相关培训内容,同时配合学校攻防演练让师生更深刻地体验到身边的安全问题,另外还可通过举办学校层面的安全竞赛,挖掘对网络安全感兴趣的同学,进而组建网络安全生力军,弥补学校的安全队伍。