高校是基礎(chǔ)研究主力軍和重大科技突破策源地,是國家戰(zhàn)略科技力量和國家創(chuàng)新體系的重要組成部分。黨的十八大以來,高校創(chuàng)新能力快速提升、重大成果持續(xù)涌現(xiàn)、體制機(jī)制改革縱深推進(jìn),日漸成為社會可持續(xù)發(fā)展的強(qiáng)大動力,為創(chuàng)新型國家建設(shè)做出重要貢獻(xiàn)。
數(shù)字化時代下,高校信息系統(tǒng)極大地保障和促進(jìn)了教學(xué)、科研、管理和對外交流等活動的開展,但其中產(chǎn)生的大量數(shù)據(jù),包括教育資源、科研成果、師生信息、教學(xué)素材、國家教學(xué)資助信息等,隱藏著巨大的網(wǎng)絡(luò)安全隱患。對此,需要先梳理清楚以下內(nèi)容:
● 高校的信息化發(fā)展歷程
● 教育部對高校網(wǎng)絡(luò)安全提出的安全建設(shè)規(guī)劃
● 負(fù)責(zé)高校網(wǎng)絡(luò)安全建設(shè)與管理的主體
本次分享將圍繞以上內(nèi)容,帶您了解高校所面臨的網(wǎng)絡(luò)安全挑戰(zhàn),不容錯過!
信息化發(fā)展歷程
我國高校的信息化發(fā)展大約從2000年開始,前期主要圍繞信息化基礎(chǔ)設(shè)施展開,后續(xù)則是轉(zhuǎn)向“信息技術(shù)與教育教學(xué)的深度融合”,著手建設(shè)“三通兩平臺”,即寬帶網(wǎng)絡(luò)校校通、優(yōu)質(zhì)資源班班通、網(wǎng)絡(luò)學(xué)習(xí)空間人人通,建設(shè)教育資源公共服務(wù)平臺和教育管理公共服務(wù)平臺,這個階段也被稱為教育信息化1.0時代。
2018年,教育部印發(fā)《教育信息化 2.0 行動計劃》,提出“三全兩高一大”,即教學(xué)應(yīng)用覆蓋全體教師、學(xué)習(xí)應(yīng)用覆蓋全體適齡學(xué)生、數(shù)字校園建設(shè)覆蓋全體學(xué)校,信息化應(yīng)用水平和師生信息素養(yǎng)普遍提高,建成“互聯(lián)網(wǎng)+教育”大平臺,標(biāo)志著我國教育信息化正式進(jìn)入全新 2.0 時代。如圖所示:
圖 高校信息化發(fā)展時間軸
高校網(wǎng)絡(luò)安全發(fā)展
另一方面,隨著高校信息化的快速發(fā)展和信息技術(shù)的廣泛應(yīng)用,高校網(wǎng)絡(luò)安全也面臨著不小的威脅。教育信息化是國家信息化的重要組成部分,教育行業(yè)網(wǎng)絡(luò)與信息安全工作關(guān)系著教育信息化的穩(wěn)步推進(jìn)和教育事業(yè)的改革發(fā)展,因此教育部從17年開始便在各類規(guī)劃或指導(dǎo)文件中強(qiáng)調(diào)了網(wǎng)絡(luò)安全的重要性:
2017年
《教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動》:高校開展以治理網(wǎng)站亂象、堵塞安全漏洞、補(bǔ)齊等保短板、規(guī)范安全管理為主要內(nèi)容的教育行業(yè)網(wǎng)絡(luò)安全綜合治理行動,全面提升教育行業(yè)網(wǎng)絡(luò)安全水平。
2019年
《教育信息化和網(wǎng)絡(luò)安全工作要點》:把網(wǎng)絡(luò)文明、網(wǎng)絡(luò)安全教育納入學(xué)校教育工作內(nèi)容;建立常態(tài)化的通用軟件安全評估機(jī)制;開展網(wǎng)絡(luò)安全檢查。
2021年
1、《科學(xué)技術(shù)與信息化司工作要點》:強(qiáng)化教科網(wǎng)的網(wǎng)絡(luò)安全監(jiān)測能力,健全網(wǎng)絡(luò)安全監(jiān)測通報機(jī)制;開展教育系統(tǒng)網(wǎng)絡(luò)安全攻防演習(xí)。
2、《教育信息化2.0行動計劃》:全面提高教育系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力,深入開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警,提高網(wǎng)絡(luò)安全態(tài)勢感知水平。
3、《關(guān)于推進(jìn)教育新型基礎(chǔ)設(shè)施建設(shè)構(gòu)建高質(zhì)量教育支撐體系的指導(dǎo)意見》:到2025年,基本形成結(jié)構(gòu)優(yōu)化、集約高效、安全可靠的教育新型基礎(chǔ)設(shè)施體系。
2022年
《2022年工作要點》:深化信息技術(shù)與教育教學(xué)融合創(chuàng)新;建立教育信息化產(chǎn)品和服務(wù)進(jìn)校園審核制度。
其中,需要重點關(guān)注2021年的兩份文件——《教育信息化2.0行動計劃》與《關(guān)于推進(jìn)教育新型基礎(chǔ)設(shè)施建設(shè)構(gòu)建高質(zhì)量教育支撐體系的指導(dǎo)意見》,以下簡稱“2.0行動計劃”與“指導(dǎo)意見”。
2.0行動計劃提出,要以《網(wǎng)絡(luò)安全法》等法律法規(guī)為綱,落實網(wǎng)絡(luò)安全等級保護(hù)制度和做好關(guān)鍵關(guān)鍵信息基礎(chǔ)設(shè)施保障,深入開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警,提高網(wǎng)絡(luò)安全態(tài)勢感知水平,全面提高教育系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力,切實維護(hù)好廣大師生的利益。
而指導(dǎo)意見則是明確了在網(wǎng)絡(luò)安全部分的要求:
資產(chǎn)安全
加強(qiáng)國家主干網(wǎng)、省市教育網(wǎng)和學(xué)校校園網(wǎng)的銜接,實現(xiàn)網(wǎng)絡(luò)地址、域名和用戶的統(tǒng)一管理;增強(qiáng)感知能力,并完善教育系統(tǒng)信息資產(chǎn)數(shù)據(jù)庫,掌握信息系統(tǒng)(網(wǎng)站)情況。
安全防護(hù)
建設(shè)科研協(xié)同平臺,支撐跨學(xué)科、跨學(xué)校、跨地域的協(xié)同創(chuàng)新;基于教育專網(wǎng)開展網(wǎng)絡(luò)流量監(jiān)測,及時監(jiān)測安全威脅、發(fā)現(xiàn)攻擊行為;建立教育系統(tǒng)應(yīng)急指揮網(wǎng)絡(luò),提升安全事件發(fā)現(xiàn)、應(yīng)急報告、協(xié)同處置、追蹤溯源等能力。
應(yīng)用安全
促進(jìn)信息技術(shù)應(yīng)用創(chuàng)新,提升軟件供應(yīng)鏈安全水平;健全應(yīng)用監(jiān)管-提升教育移動互聯(lián)網(wǎng)應(yīng)用程序、教育軟件、在線教育平臺和新型數(shù)字終端等監(jiān)管的信息化支撐能力,推動新技術(shù)、新應(yīng)用進(jìn)校園審核備案。
高校安全主體
上述提到了教育部對于高校安全發(fā)展的規(guī)劃和建議,那么落實到具體高校,安全主體的責(zé)任該由誰來承擔(dān)呢?
結(jié)合對于各高校的組織架構(gòu)分析,一般校直屬都有一個部門專門負(fù)責(zé)網(wǎng)絡(luò)安全和信息化,不同高校稱呼也各不相同——“信息中心”、“網(wǎng)絡(luò)與信息化中心”、“網(wǎng)絡(luò)管理中心”等。以下統(tǒng)稱為“信息中心”。其下屬一般還設(shè)有綜合辦公室(統(tǒng)籌管理)、網(wǎng)絡(luò)通訊部門(基礎(chǔ)設(shè)施)、信息與系統(tǒng)部(規(guī)劃管理)、校園卡中心、科研中心等(不同高校稱呼不一)。但整體部門人數(shù)相對較少,同時也缺乏專業(yè)的網(wǎng)絡(luò)安全人才,更多依賴于安全服務(wù)。
高校安全建設(shè)現(xiàn)狀
以上海某高校為例,其網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀可分為三個維度:
資產(chǎn)安全
隨著信息系統(tǒng)、網(wǎng)站數(shù)量的急速增長,信息化部門人力有限,缺乏對應(yīng)管理部門,因此只能重點關(guān)注核心業(yè)務(wù)資產(chǎn),導(dǎo)致資產(chǎn)管理薄弱,主要依靠資產(chǎn)年審、安全巡檢等服務(wù)。
安全防護(hù)
信息系統(tǒng)的安全防護(hù)主要根據(jù)等保要求進(jìn)行對應(yīng)的安全防護(hù)(例如主頁網(wǎng)站、招生就業(yè)管理、郵件信息等系統(tǒng)為等保三級要求、設(shè)備及采購管理和財務(wù)管理等系統(tǒng)為二級),具備應(yīng)對常見安全風(fēng)險的防護(hù)能力。
安全管理
具備常規(guī)的安全管理制度規(guī)范,例如數(shù)據(jù)安全管理辦法、開發(fā)部署和運維細(xì)則、身份認(rèn)證接入標(biāo)準(zhǔn)、機(jī)房服務(wù)器管理規(guī)定等,但是在安全監(jiān)測、風(fēng)險評估、威脅處置等專業(yè)方面仍舊缺乏相應(yīng)的規(guī)范以及人員,主要依靠安全服務(wù)。
網(wǎng)絡(luò)安全挑戰(zhàn)
綜上所述,結(jié)合默安科技在高校行業(yè)的沉淀和積累,本處簡單總結(jié)了目前高校在網(wǎng)絡(luò)安全方面可能面臨的安全挑戰(zhàn):
信息資產(chǎn)快速增長帶來的管控壓力
隨著教育信息化的快速發(fā)展和疫情的影響,高校教育信息化進(jìn)程不斷加快,從最早的幻燈片教學(xué)到電視投影,再到網(wǎng)絡(luò)教學(xué)和遠(yuǎn)程教學(xué)。信息技術(shù)的引入大大提升了教學(xué)質(zhì)量,但同時這些大量增加的信息化資產(chǎn)也帶來了諸多安全問題。
動蕩國際形勢下的高校網(wǎng)絡(luò)安全
新冠疫情以來,各國經(jīng)濟(jì)發(fā)展都受到影響,小國破產(chǎn)&俄烏戰(zhàn)爭也讓國際局勢變得愈發(fā)膠著,網(wǎng)絡(luò)安全領(lǐng)域也處于風(fēng)雨飄搖之中。根據(jù)Check Point的安全報告顯示,2021 年全球各地企業(yè)與機(jī)構(gòu)遭到的網(wǎng)絡(luò)攻擊較 2020 年平均增長 50%,而教育和研究部門則成為重災(zāi)區(qū),平均每周遭受 1,605 次攻擊。
高校軟件供應(yīng)鏈帶來的安全挑戰(zhàn)
我國高校信息系統(tǒng)大多都是由第三方軟件公司開發(fā),其供應(yīng)鏈環(huán)節(jié)復(fù)雜、結(jié)構(gòu)復(fù)雜,容易受到來自供應(yīng)鏈各個節(jié)點和流通過程中各個環(huán)節(jié)的安全威脅。2021年年初的 SolarWinds,4月的Codecov、7月的Kaseya以及年終的 Log4j 漏洞,一系列的開源庫漏洞的惡劣影響揭示了軟件供應(yīng)鏈固有的重大風(fēng)險。
高校安全能力難以跟上信息化腳步
與其他行業(yè)專門設(shè)立網(wǎng)絡(luò)安全部門的情況不同,大部分高校均將時間精力傾注于教育教學(xué),使得網(wǎng)絡(luò)安全人才和能力稀缺,一些高校甚至是由信息老師兼任其網(wǎng)絡(luò)安全管理人員。而在各類安全風(fēng)險的發(fā)生及國家對于高校網(wǎng)絡(luò)安全穩(wěn)定的要求下,如何提升安全防護(hù)能力已成為高校不得不直面并解決的問題。
那么,對于安全從業(yè)者以及企業(yè)、組織的安全負(fù)責(zé)人,應(yīng)該怎樣去應(yīng)對這些挑戰(zhàn)呢?
高校網(wǎng)絡(luò)安全解決方案
默安科技高校行業(yè)網(wǎng)絡(luò)安全治理框架構(gòu)建思路分為四步,如下圖所示:
圖 高校網(wǎng)絡(luò)安全體系建設(shè)框架
● 第一步 高校IT資產(chǎn)風(fēng)險治理
幫助高校梳理可能被攻擊的資產(chǎn)暴露面,全方位發(fā)現(xiàn)當(dāng)前所有IT資產(chǎn)并進(jìn)行常態(tài)化安全監(jiān)測。
● 第二步 主動縱深式安全防御
從網(wǎng)絡(luò)側(cè)、外部視角進(jìn)行安全防護(hù),以事前發(fā)現(xiàn)、事中溯源、事后分析的邏輯搭建主動縱深式安全防御。
● 第三步 軟件供應(yīng)鏈安全治理
著眼于軟件自身的安全性,從軟件供應(yīng)鏈角度保障高校外采業(yè)務(wù)系統(tǒng)的安全性。
● 第四步 引入專業(yè)安全服務(wù)
針對高校安全人員短缺的問題,引入第三方專業(yè)安全服務(wù),可以很好地補(bǔ)齊高校安全能力短板。
Step1高校IT資產(chǎn)風(fēng)險治理
2016年的網(wǎng)信工作座談會上強(qiáng)調(diào)了IT資產(chǎn)的重要性,教育部也于2021年發(fā)布相關(guān)文件對IT資產(chǎn)安全提出了具體的要求:
要全面加強(qiáng)網(wǎng)絡(luò)安全檢查,摸清家底,認(rèn)清風(fēng)險,找出漏洞,通報結(jié)果,督促整改。要建立統(tǒng)一高效的網(wǎng)絡(luò)安全風(fēng)險報告機(jī)制、情報共享機(jī)制、研判處置機(jī)制,準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險發(fā)生的規(guī)律、動向、趨勢。
——2016年4月19日網(wǎng)絡(luò)安全和信息化工作座談會
加強(qiáng)國家主干網(wǎng)、省市教育網(wǎng)和學(xué)校校園網(wǎng)的銜接,實現(xiàn)網(wǎng)絡(luò)地址、域名和用戶的統(tǒng)一管理;增強(qiáng)感知能力,并完善教育系統(tǒng)信息資產(chǎn)數(shù)據(jù)庫,掌握信息系統(tǒng)(網(wǎng)站)情況。
——教育部《關(guān)于推進(jìn)教育新型基礎(chǔ)設(shè)施建設(shè)構(gòu)建高質(zhì)量教育支撐體系的指導(dǎo)意見》
那么如何將“摸清家底”融入到高校網(wǎng)絡(luò)安全建設(shè)中去,落實教育部的要求呢?建議從以下幾個方面進(jìn)行:
1、資產(chǎn)暴露面梳理
所謂的暴露面,可以簡單理解為容易被攻擊的薄弱點,比如對外開放的高校網(wǎng)站、內(nèi)部教務(wù)系統(tǒng)開放的端口和服務(wù)等,讓高校安全運營者知曉自身的弱點。
2、資產(chǎn)全量發(fā)現(xiàn)
基于高校現(xiàn)有的資產(chǎn)清單,去發(fā)現(xiàn)其他未登記在冊或者應(yīng)該被關(guān)閉或廢棄卻依然活躍的“僵尸”資產(chǎn)。
3、全天候安全檢測
將上述的暴露面與資產(chǎn)進(jìn)行關(guān)聯(lián),周期性進(jìn)行常態(tài)化的安全巡檢,協(xié)助高校安全運營者定位具體風(fēng)險資產(chǎn),進(jìn)行關(guān)閉或是安全加固。
Step2主動縱深式安全防御
近幾年,高校網(wǎng)絡(luò)安全事件時有發(fā)生,今年西北工業(yè)大學(xué)遭受的國家級黑客攻擊事件便是一個重要的警示。并且,隨著教育系統(tǒng)網(wǎng)絡(luò)安全攻防演習(xí)成為常態(tài)化,提升網(wǎng)絡(luò)安全防御能力對于各大高校來說已然迫在眉睫。
本系列上篇提到高校安全建設(shè)仍以傳統(tǒng)為主,何為傳統(tǒng)安全防護(hù)?即建設(shè)一個安全堡壘,確保所有資產(chǎn)100%安全無死角,但這幾乎是無法實現(xiàn)的,因此需要轉(zhuǎn)換思路。
大禹治水 堵不如疏
既然不能完全封死攻擊者的道路,何不如提前設(shè)下陷阱,主動將其捕獲?
默安科技在2016年率先提出主動欺騙防御的理念,化被動為主動,在攻擊者的必經(jīng)之路上構(gòu)建陷阱,混淆攻擊目標(biāo),感知并溯源攻擊行為,最終進(jìn)行攻擊阻斷,保障教務(wù)系統(tǒng)的安全,具體措施如下:
事前發(fā)現(xiàn)
基于真實的教務(wù)系統(tǒng)偽造虛假的一比一仿真系統(tǒng),并在攻擊者可能踩點、采集信息的地方布置誤導(dǎo)性數(shù)據(jù)信息,或采用探針、虛假IP&網(wǎng)頁等技術(shù)手段,混淆攻擊目標(biāo),誘導(dǎo)攻擊者落入陷阱(仿真系統(tǒng))中。
事中溯源
當(dāng)攻擊者進(jìn)入到虛假的教務(wù)系統(tǒng)中,竊取數(shù)據(jù)信息、放置病毒木馬等時,所有行為軌跡均會被記錄下來。
事后分析
針對落入陷阱的攻擊者,可以進(jìn)行觀察、收集數(shù)據(jù),也可以直接進(jìn)行攻擊阻斷,同時結(jié)合一系列攻擊行為進(jìn)行身份溯源,甚至反向控制對方主機(jī),作為以后安全建設(shè)的重要憑據(jù)提交給公安。
此外,這套主動防御體系除了能為高校教務(wù)系統(tǒng)的安全保駕護(hù)航,還能在此基礎(chǔ)上與默安科技進(jìn)一步合作:共同打造屬于高校自身的攻防對抗實訓(xùn)室。
某大學(xué)攻防實訓(xùn)課程示例
補(bǔ)充說明:主動式欺騙防御建設(shè)并不是拋棄傳統(tǒng)安全防護(hù)體系,而是1+1>2的關(guān)系,前者負(fù)責(zé)誘捕和拖延,后者負(fù)責(zé)處置,相輔相成,缺一不可。
Step3軟件供應(yīng)鏈安全治理
主動式欺騙防御建設(shè)主要針對教務(wù)系統(tǒng)的外部防護(hù),在疫情影響和高校行業(yè)信息化的快速發(fā)展下,根據(jù)CNVD漏洞平臺國家信息安全漏洞共享平臺提供的數(shù)據(jù)顯示,近幾年的安全漏洞主要集中在應(yīng)用程序或WEB應(yīng)用自身。
近幾年網(wǎng)絡(luò)安全漏洞影響對象類型
圖源: CNVD漏洞平臺國家信息安全漏洞共享平臺
然而,對于高校來說,其自身教務(wù)系統(tǒng)絕大多數(shù)都是向第三方開發(fā)商進(jìn)行采購,或是招聘外部開發(fā)人員進(jìn)行駐場開發(fā),難以從根本上對系統(tǒng)進(jìn)行安全管控。
這里便需要引入“軟件供應(yīng)鏈安全”的概念:
軟件供應(yīng)鏈安全可以被理解為軟件生產(chǎn)的整個過程中軟件設(shè)計與開發(fā)的各個階段來自編碼過程、工具、設(shè)備、供應(yīng)商以及最終交付渠道所共同面臨的安全問題。
簡單來講,軟件供應(yīng)鏈的業(yè)務(wù)流程可以抽象成開發(fā)、交付以及應(yīng)用三個環(huán)節(jié),雖然高校往往缺乏開發(fā)能力,但可以從交付階段開始進(jìn)行安全管控:
1、優(yōu)化采購規(guī)范
在采購環(huán)節(jié)增加對于軟件供應(yīng)鏈安全的要求,或是在招標(biāo)、合同、審計等文件中增加軟件供應(yīng)鏈條款,要求開發(fā)商必須承諾所交付教務(wù)系統(tǒng)的安全性。
2、提前梳理安全需求
除了關(guān)注采購、合同階段,高校還可以在開發(fā)商著手開發(fā)前,提前向其提出對應(yīng)業(yè)務(wù)系統(tǒng)的安全需求(此處可以由默安科技安全咨詢專家進(jìn)行介入指導(dǎo))。例如:用戶登錄某個系統(tǒng)時,為了防止被攻擊者進(jìn)行口令爆破和猜解,登錄功能需要具備多次輸錯密碼后輸入驗證碼或是輸錯幾次需要等待一定時間的安全功能。
3、軟件供應(yīng)商管理制度
將軟件自身安全性納入到供應(yīng)商的入圍或評估標(biāo)準(zhǔn)中,對廠商進(jìn)行過濾篩選,可以在一定程度上保障軟件交付能力和系統(tǒng)安全性。
Step4引入專業(yè)安全服務(wù)
高校不同于金融、互聯(lián)網(wǎng)這類網(wǎng)絡(luò)安全發(fā)展走在前端的行業(yè),很多高校都沒有專門的網(wǎng)絡(luò)安全崗位,安全能力嚴(yán)重不足,對此教育部也表示:
鼓勵高等學(xué)校和基礎(chǔ)電信企業(yè)進(jìn)行服務(wù)質(zhì)量監(jiān)測,建立以用戶為導(dǎo)向的服務(wù)質(zhì)量考評機(jī)制,提高校園網(wǎng)絡(luò)服務(wù)水平。鼓勵高等學(xué)校通過購買社會服務(wù)的方式引入外部資源,提供質(zhì)優(yōu)價廉的網(wǎng)絡(luò)服務(wù)保障。
——教育部&工信部:提高高等學(xué)校網(wǎng)絡(luò)管理和服務(wù)質(zhì)量的通知
高校需要具備豐富工作經(jīng)驗、具備優(yōu)秀安全設(shè)備日志分析與場景建模能力、具備安全事件應(yīng)急響應(yīng)和運維能力的專業(yè)技術(shù)人員,為其提供細(xì)致、全面的安全服務(wù),彌補(bǔ)其人力的不足、技術(shù)的不足、信息的不足、安全運維的不足。針對此,可以參考默安科技的高校安全服務(wù)體系:
圖 默安科技高校安全服務(wù)體系
基于對前沿攻防技術(shù)的持續(xù)研究,默安科技的安全服務(wù)團(tuán)隊深耕甲方安全一線,已成功為黨政機(jī)關(guān)、金融、運營商、能源、制造、交通運輸、教育等30多個行業(yè)500余家政企單位提供切實有效的安全保障服務(wù),包括但不限于各類安全培訓(xùn)、安全咨詢、重大節(jié)事安全保障、常態(tài)化安全巡檢、紅藍(lán)對抗安全服務(wù)等;近年來圓滿完成了北京冬奧會、全國“兩會”、中國國際進(jìn)口博覽會、G20杭州峰會、世界互聯(lián)網(wǎng)大會、建黨百年等多項網(wǎng)絡(luò)安全保障任務(wù)并獲得致謝。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<