高校是基礎研究主力軍和重大科技突破策源地,是國家戰略科技力量和國家創新體系的重要組成部分。黨的十八大以來,高校創新能力快速提升、重大成果持續湧現、體制機制改革縱深推進,日漸成為社會可持續發展的強大動力,為創新型國家建設做出重要貢獻。
數字化時代下,高校信息系統極大地保障和促進了教學、科研、管理和對外交流等活動的開展,但其中產生的大量數據,包括教育資源、科研成果、師生信息、教學素材、國家教學資助信息等,隱藏著巨大的網絡安全隱患。對此,需要先梳理清楚以下內容:
1、高校的信息化發展歷程
2、教育部對高校網絡安全提出的安全建設規劃
3、負責高校網絡安全建設與管理的主體
本次分享將圍繞以上內容,帶您瞭解高校所面臨的網絡安全挑戰,不容錯過!
高校的信息化發展歷程
中國高校的信息化發展大約從2000年開始,前期主要圍繞信息化基礎設施展開,後續則是轉向“信息技術與教育教學的深度融合”,著手建設“三通兩平臺”,即寬帶網絡校校通、優質資源班班通、網絡學習空間人人通,建設教育資源公共服務平臺和教育管理公共服務平臺,這個階段也被稱為教育信息化1.0時代。
2018年,教育部印發《教育信息化 2.0 行動計劃》,提出“三全兩高一大”,即教學應用覆蓋全體教師、學習應用覆蓋全體適齡學生、數字校園建設覆蓋全體學校,信息化應用水平和師生信息素養普遍提高,建成“互聯網+教育”大平臺,標誌著中國教育信息化正式進入全新 2.0 時代。如圖所示:
高校網絡安全發展
另一方面,隨著高校信息化的快速發展和信息技術的廣泛應用,高校網絡安全也面臨著不小的威脅。教育信息化是國家信息化的重要組成部分,教育行業網絡與信息安全工作關係著教育信息化的穩步推進和教育事業的改革發展,因此教育部從17年開始便在各類規劃或指導文件中強調了網絡安全的重要性:
2017年,《教育行業網絡安全綜合治理行動》:高校開展以治理網站亂象、堵塞安全漏洞、補齊等保短板、規範安全管理為主要內容的教育行業網絡安全綜合治理行動,全面提升教育行業網絡安全水平。
2019年,《教育信息化和網絡安全工作要點》:把網絡文明、網絡安全教育納入學校教育工作內容;建立常態化的通用軟件安全評估機制;開展網絡安全檢查。
2021年,《科學技術與信息化司工作要點》:強化教科網的網絡安全監測能力,健全網絡安全監測通報機制;開展教育系統網絡安全攻防演習;《教育信息化2.0行動計劃》:全面提高教育系統網絡安全防護能力,深入開展網絡安全監測預警,提高網絡安全態勢感知水平;《關於推進教育新型基礎設施建設構建高質量教育支撐體系的指導意見》:到2025年,基本形成結構優化、集約高效、安全可靠的教育新型基礎設施體系。
2022年,《2022年工作要點》:深化信息技術與教育教學融合創新;建立教育信息化產品和服務進校園審核制度。
其中,需要重點關注2021年的兩份文件——《教育信息化2.0行動計劃》與《關於推進教育新型基礎設施建設構建高質量教育支撐體系的指導意見》,以下簡稱“2.0行動計劃”與“指導意見”。
2.0行動計劃提出,要以《網絡安全法》等法律法規為綱,落實網絡安全等級保護制度和做好關鍵關鍵信息基礎設施保障,深入開展網絡安全監測預警,提高網絡安全態勢感知水平,全面提高教育系統網絡安全防護能力,切實維護好廣大師生的利益。
而指導意見則是明確了在網絡安全部分的要求:
1、資產安全
加強國家主幹網、省市教育網和學校校園網的銜接,實現網絡地址、域名和用戶的統一管理;增強感知能力,並完善教育系統信息資產數據庫,掌握信息系統(網站)情況。
2、安全防護
建設科研協同平臺,支撐跨學科、跨學校、跨地域的協同創新;基於教育專網開展網絡流量監測,及時監測安全威脅、發現攻擊行為;建立教育系統應急指揮網絡,提升安全事件發現、應急報告、協同處置、追蹤溯源等能力。
3、應用安全
促進信息技術應用創新,提升軟件供應鏈安全水平;健全應用監管-提升教育移動互聯網應用程序、教育軟件、在線教育平臺和新型數字終端等監管的信息化支撐能力,推動新技術、新應用進校園審核備案。
高校安全主體
上述提到了教育部對於高校安全發展的規劃和建議,那麼落實到具體高校,安全主體的責任該由誰來承擔呢?
結合對於各高校的組織架構分析,一般校直屬都有一個部門專門負責網絡安全和信息化,不同高校稱呼也各不相同——“信息中心”、“網絡與信息化中心”、“網絡管理中心”等。以下統稱為“信息中心”。其下屬一般還設有綜合辦公室(統籌管理)、網絡通訊部門(基礎設施)、信息與系統部(規劃管理)、校園卡中心、科研中心等(不同高校稱呼不一)。但整體部門人數相對較少,同時也缺乏專業的網絡安全人才,更多依賴於安全服務。
高校安全建設現狀
以上海某高校為例,其網絡安全建設現狀可分為三個維度:
1、資產安全
隨著信息系統、網站數量的急速增長,信息化部門人力有限,缺乏對應管理部門,因此只能重點關注核心業務資產,導致資產管理薄弱,主要依靠資產年審、安全巡檢等服務。
2、安全防護
信息系統的安全防護主要根據等保要求進行對應的安全防護(例如主頁網站、招生就業管理、郵件信息等系統為等保三級要求、設備及採購管理和財務管理等系統為二級),具備應對常見安全風險的防護能力。
3、安全管理
具備常規的安全管理制度規範,例如數據安全管理辦法、開發部署和運維細則、身份認證接入標準、機房服務器管理規定等,但是在安全監測、風險評估、威脅處置等專業方面仍舊缺乏相應的規範以及人員,主要依靠安全服務。
高校網絡安全挑戰
綜上所述,結合默安科技在高校行業的沉澱和積累,本處簡單總結了目前高校在網絡安全方面可能面臨的安全挑戰:
1、信息資產快速增長帶來的管控壓力
隨著教育信息化的快速發展和疫情的影響,高校教育信息化進程不斷加快,從最早的幻燈片教學到電視投影,再到網絡教學和遠程教學。信息技術的引入大大提升了教學質量,但同時這些大量增加的信息化資產也帶來了諸多安全問題。
2、動盪國際形勢下的高校網絡安全
新冠疫情以來,各國經濟發展都受到影響,小國破產&俄烏戰爭也讓國際局勢變得愈發膠著,網絡安全領域也處於風雨飄搖之中。根據Check Point的安全報告顯示,2021 年全球各地企業與機構遭到的網絡攻擊較 2020 年平均增長 50%,而教育和研究部門則成為重災區,平均每週遭受 1,605 次攻擊。
3、高校軟件供應鏈帶來的安全挑戰
中國高校信息系統大多都是由第三方軟件公司開發,其供應鏈環節複雜、結構複雜,容易受到來自供應鏈各個節點和流通過程中各個環節的安全威脅。2021年年初的 SolarWinds,4月的Codecov、7月的Kaseya以及年終的 Log4j 漏洞,一系列的開源庫漏洞的惡劣影響揭示了軟件供應鏈固有的重大風險。
4、高校安全能力難以跟上信息化腳步
與其他行業專門設立網絡安全部門的情況不同,大部分高校均將時間精力傾注於教育教學,使得網絡安全人才和能力稀缺,一些高校甚至是由信息老師兼任其網絡安全管理人員。而在各類安全風險的發生及國家對於高校網絡安全穩定的要求下,如何提升安全防護能力已成為高校不得不直面並解決的問題。
那麼,對於安全從業者以及企業、組織的安全負責人,應該怎樣去應對這些挑戰呢?
高校網絡安全建設思路四步走
默安科技高校行業網絡安全治理框架構建思路分為四步,如下圖所示:
第一步 高校IT資產風險治理
幫助高校梳理可能被攻擊的資產暴露面,全方位發現當前所有IT資產並進行常態化安全監測,建議從以下幾個方面進行:
1、資產暴露面梳理
所謂的暴露面,可以簡單理解為容易被攻擊的薄弱點,比如對外開放的高校網站、內部教務系統開放的端口和服務等,讓高校安全運營者知曉自身的弱點。
2、資產全量發現
基於高校現有的資產清單,去發現其他未登記在冊或者應該被關閉或廢棄卻依然活躍的“殭屍”資產。
3、全天候安全檢測
將上述的暴露面與資產進行關聯,週期性進行常態化的安全巡檢,協助高校安全運營者定位具體風險資產,進行關閉或是安全加固。
第二步 主動縱深式安全防禦
近幾年,高校網絡安全事件時有發生,今年西北工業大學遭受的國家級黑客攻擊事件便是一個重要的警示。並且,隨著教育系統網絡安全攻防演習成為常態化,提升網絡安全防禦能力對於各大高校來說已然迫在眉睫。
高校安全建設仍以傳統為主,何為傳統安全防護?即建設一個安全堡壘,確保所有資產100%安全無死角,但這幾乎是無法實現的,因此需要轉換思路。從網絡側、外部視角進行安全防護,以事前發現、事中溯源、事後分析的邏輯搭建主動縱深式安全防禦。
默安科技在2016年率先提出主動欺騙防禦的理念,化被動為主動,在攻擊者的必經之路上構建陷阱,混淆攻擊目標,感知並溯源攻擊行為,最終進行攻擊阻斷,保障教務系統的安全,具體措施如下:
01事前發現
基於真實的教務系統偽造虛假的一比一仿真系統,並在攻擊者可能踩點、採集信息的地方佈置誤導性數據信息,或採用探針、虛假IP&網頁等技術手段,混淆攻擊目標,誘導攻擊者落入陷阱(仿真系統)中。
02事中溯源
當攻擊者進入到虛假的教務系統中,竊取數據信息、放置病毒木馬等時,所有行為軌跡均會被記錄下來。
03事後分析
針對落入陷阱的攻擊者,可以進行觀察、收集數據,也可以直接進行攻擊阻斷,同時結合一系列攻擊行為進行身份溯源,甚至反向控制對方主機,作為以後安全建設的重要憑據提交給公安。
此外,這套主動防禦體系除了能為高校教務系統的安全保駕護航,還能在此基礎上與默安科技進一步合作:共同打造屬於高校自身的攻防對抗實訓室。
04補充說明:主動式欺騙防禦建設並不是拋棄傳統安全防護體系,而是1+1>2的關係,前者負責誘捕和拖延,後者負責處置,相輔相成,缺一不可。
第三步 軟件供應鏈安全治理
主動式欺騙防禦建設主要針對教務系統的外部防護,在疫情影響和高校行業信息化的快速發展下,根據CNVD漏洞平臺國家信息安全漏洞共享平臺提供的數據顯示,近幾年的安全漏洞主要集中在應用程序或WEB應用自身。
然而,對於高校來說,其自身教務系統絕大多數都是向第三方開發商進行採購,或是招聘外部開發人員進行駐場開發,難以從根本上對系統進行安全管控。
這裡便需要引入“軟件供應鏈安全”的概念:
軟件供應鏈安全可以被理解為軟件生產的整個過程中軟件設計與開發的各個階段來自編碼過程、工具、設備、供應商以及最終交付渠道所共同面臨的安全問題。
簡單來講,軟件供應鏈的業務流程可以抽象成開發、交付以及應用三個環節,雖然高校往往缺乏開發能力,但可以從交付階段開始進行安全管控:
1、優化採購規範
在採購環節增加對於軟件供應鏈安全的要求,或是在招標、合同、審計等文件中增加軟件供應鏈條款,要求開發商必須承諾所交付教務系統的安全性。
2、提前梳理安全需求
除了關注採購、合同階段,高校還可以在開發商著手開發前,提前向其提出對應業務系統的安全需求(此處可以由默安科技安全諮詢專家進行介入指導)。例如:用戶登錄某個系統時,為了防止被攻擊者進行口令爆破和猜解,登錄功能需要具備多次輸錯密碼後輸入驗證碼或是輸錯幾次需要等待一定時間的安全功能。
3、軟件供應商管理制度
將軟件自身安全性納入到供應商的入圍或評估標準中,對廠商進行過濾篩選,可以在一定程度上保障軟件交付能力和系統安全性。
第四步 引入專業安全服務
高校不同於金融、互聯網這類網絡安全發展走在前端的行業,很多高校都沒有專門的網絡安全崗位,安全能力嚴重不足,對此教育部也表示:“鼓勵高等學校和基礎電信企業進行服務質量監測,建立以用戶為導向的服務質量考評機制,提高校園網絡服務水平。鼓勵高等學校通過購買社會服務的方式引入外部資源,提供質優價廉的網絡服務保障。”
高校需要具備豐富工作經驗、具備優秀安全設備日誌分析與場景建模能力、具備安全事件應急響應和運維能力的專業技術人員,為其提供細緻、全面的安全服務,彌補其人力的不足、技術的不足、信息的不足、安全運維的不足。針對此,可以參考默安科技的高校安全服務體系:
