網路攻擊肆虐,高校如何構築網路安全屏障?

騰訊安全發表於2022-09-22

隨著人工智慧、大資料、物聯網等新一代資訊科技的迅猛發展,教育資訊化2.0和智慧校園建設快速推進。但與此同時,挖礦木馬、勒索病毒、釣魚郵件等網路安全威脅層出不窮,對高校數字化變革與資訊化發展帶來極大的挑戰。


在此背景下,近日,騰訊安全聯合雷峰網、騰訊雲開發者社群、騰訊產業網際網路學堂推出的高校網路安全主題沙龍線上上召開,上海交通大學資訊化推進辦公室副主任姜開達、騰訊安全高階架構師張飛凡、雷峰網副總編輯林覺民三位專家做客直播間,共同探討高校如何構築網路安全屏障。


圖片


淺析高校網路安全攻擊特徵


林覺民:近年來,高校網路安全攻擊事件呈現出怎樣的趨勢?


姜開達:從早些年的“衝擊波病毒”、“震盪波病毒”到現在的木馬後門、攻防對抗、資料洩漏,伴隨著網際網路發展,高校的網路安全態勢也在不斷髮生新的變化。一是教育網站的篡改類安全事件顯著下降;二是近幾年來資料安全和個人資訊相關的安全事件有所增加;三是高校的供應鏈安全情況較為突出,全國有三千多所高校,這些高校的資產數量非常多,教務系統、財務系統、OA系統等很多系統都可以透過網際網路直接訪問,一旦其軟體產品出現了可被遠端利用的安全漏洞,將會產生大面積的、連片式的網路安全風險。


林覺民:從產業視角來看,為何會出現上述趨勢?


張飛凡:首先從IT技術變化來看,雲、AI、大資料、物聯網、移動互聯等新興技術在教育行業的廣泛應用,給網路安全帶來了較為深刻的影響,需要在開展資訊化建設的同時,同步開展安全建設;第二,從監管視角來看,頻發的網路安全事件也牽引了國家愈加重視網路安全,高校需投入更多人力、物力、財力開展安全建設與運營,避免安全事件的發生;第三,具備匿名性特徵的比特幣興起,為駭客的網路攻擊變現提供了助力,由此導致教育行業網路攻擊事件越來越多。


林覺民:高校網路安全風險中,哪幾類攻擊佔比最高?


姜開達:從數量上來看,伴隨著掃描帶來的自動化攻擊比較多,還有一些是針對開放埠和開放服務的暴力破解,比如針對伺服器22埠的暴力破解,針對遠端桌面3389的暴力破解。各種漏洞的自動化利用,帶來了高校勒索病毒、挖礦木馬等一系列安全事件。此外,高校這幾年頻發的還有釣魚攻擊和有目的的定向攻擊。


張飛凡:高校是一個很典型的場景,學校會面臨較大的病毒木馬風險。學生的安全意識相對較為薄弱,系統的高危漏洞不及時修復,師生之間、同學之間用隨身碟複製資料而不防毒,都可能導致終端感染病毒。同時,駭客極有可能利用學生的電腦作為跳板,在學校內部開展橫向攻擊。


高校網路安全工作“痛難點”透析


林覺民:高校為何會成為當前網路安全攻擊的主要目標?


姜開達:學校的應用中儲存著大量師生個人資訊和敏感資料,駭客可以竊取這些資料進行售賣並獲利;學校裡的資料中心、高效能運算中心擁有大量的計算資源和儲存資源,攻擊者可以透過攻擊伺服器獲得這些資源,來開展挖礦活動,透過虛擬貨幣來牟利;同時學校還有大量的科研資料、考試資料,攻擊者透過攻擊獲得這些資料後都有利可圖,所以駭客會不遺餘力、想方設法地對高校資訊系統進行攻擊和入侵。


林覺民:高校網路安全建設普遍存在哪些問題和難點?


姜開達:不同高校資訊化建設發展階段不一樣,導致高校對網路安全的認識和安全建設的迫切程度也不一樣,安全建設的難點最終聚焦在人、財、物三個方面。一方面高校非常缺乏安全方面的專業技術人員和安全管理人員;另一方面高校在資訊化整體經費投入有限的情況下,安全建設資金的投入缺乏保障,甚至是嚴重不足;此外,運維能力不足和部分學校系統上雲,也促使高校亟需基於雲的雲安全體系、雲安全機制,來保障資訊系統應用的安全。


林覺民:針對挖礦木馬、勒索病毒這類大規模網路攻擊,高校該如何實現有效防護?


張飛凡:從技術角度來看,可以從終端和流量兩個路徑解決挖礦和勒索問題;從管理視角來看,學校需定期對學生進行培訓、進行安全意識的宣導,建議每位同學安裝個人版防護軟體查殺病毒、定期修復高危漏洞,不給勒索軟體和挖礦木馬提供生存的空間;從整體資訊化建設角度來看,建議學校使用像企業微信這樣支援檔案傳送和傳播的平臺,降低校內隨身碟複製使用的頻率,促使校園網路更加安全。


林覺民:從網路安全建設從業者視角來看,如何評估學校的安全建設成熟度?有哪些維度可輔助考量?


張飛凡:網路安全建設的成熟度是業內經久不衰的話題,從工程化視角來看,一般會透過以下三個層面進行考量:第一是安全合規層面,有沒有達到等保2.0所要求的防護水平,技術措施和管理制度是否齊備;第二是主動防禦層面,網路安全風險=脆弱性×威脅,學校是否建設各種各樣的措施去主動識別風險和脆弱性,是否週期性對重要資產做評估、檢測和加固等;第三是及時對抗的層面,學校有沒有一整套包括人員、平臺、工具、流程在內的機制,去快速發現問題,並及時最佳化調整自身防護措施。


林覺民:應從哪些維度審視智慧校園安全建設?


張飛凡:第一要站在規劃的視角,確保資訊化和網路安全做到同步規劃、同步建設、同步運營,確保資訊化建設的每個環節都有對應的安全保障能力;第二要站在攻防的視角構建安全體系,充分考慮網路架構的合理性,從攻防視角看待平臺、流程、人員能力的齊備性;第三是情報的視角,透過威脅情報完善整個安全能力建設、提升對安全事件的實時分析效率;第四是管理的視角,技術平臺、運營流程在落地的時候都需要切實可行的安全管理制度進行支撐,只有把所有安全動作、安全工作合理有效的串聯起來,才能切實保障整個校園網路和業務應用的安全性。


校園網路安全建設實戰經驗


林覺民:近年來,我國陸續出臺貫徹了《網路安全法》《資料安全法》《個人資訊保護法》,高校該如何加強資料安全建設?


姜開達:資料是學校非常重要的核心資產。高校需制定學校的資料管理辦法,明確學校資料安全要求,同時結合學校的資料治理工作,對學校的資料資產進行分級分類,梳理相應的資源目錄,開展相應的保護工作;同時,要把相應要求傳遞到各個部門,傳遞到師生,比如資料收集的時候要遵循“最小夠用”的原則,資料檢視要遵循“最小授權”的原則,資料儲存要遵循“最短週期”的原則,資料共享要遵循“用而不存”的原則等;另外,學校要明確資料生產、管理相應的責任主體部門,明確相關的介面規範,透過相應的標準來要求資料的依規使用;最後,可以在高校的資料場景當中嘗試使用一些新技術、新方法。


林覺民:上海交通大學在2021年獲評“上海市網路安全先進單位”,上海交大網路安全有著怎樣的歷程和經驗?


姜開達:從管理上來看,學校陸續完善了包括《校園網站的管理方法》、《資料管理辦法》在內的一系列管理辦法,同時每年年底會開展相關網站的年審工作,定期對學校的教師網站、無人運維的網站進行清理,減少資訊系統的數量,對不同系統提供針對性地安全防護;


從技術上來看,透過結合學校的網路安全學科優勢和人才培養工作,將學校的網路安全和資訊化深度融合,建立學生安全團隊,動員學校從事安全的人員提升自身安全技能,以及購買第三方安全服務解決實際的安全問題;


從運營上來看,我們運營著“教育漏洞報告平臺”這樣的安全平臺,目前已接收了約15萬個漏洞,並且有著1000多個“白帽子”,幫助我們分析資料和處理各方面的安全隱患。


林覺民:安全建設薄弱的高校該如何做?針對高校,騰訊有哪些安全解決方案?


張飛凡:對於安全建設薄弱的高校,首先要做的是把安全能力做補充和彌補,達到基本的合格線,然後基於合格線再做一些提升性的工作。騰訊自研的零信任安全管理系統(騰訊iOA)護航了100萬終端的遠端辦公,可幫助高校解決遠端訪問中的安全問題,同時“All in One”方案可透過客戶端去解決補丁修復、弱口令以及挖礦木馬、勒索病毒等一系列問題。


另外,在資料中心的重要資料保護方面,騰訊安全可幫助客戶梳理重要資料在流轉、採集、傳輸、儲存、共享等等各環節存在的安全風險和隱患,制定相應的防護措施,提供完整的資料全生命週期安全方案。


(騰訊零信任iOA部署終端已突破100萬,成為國內首個落地百萬的零信任產品,目前已經廣泛應用於金融、地產、物流、教育、工業等十大行業、數百家企業,幫助使用者構建全方位、一站式零信任安全體系。)


林覺民:如何提升學校師生的網路安全意識?


姜開達:在9月新生入校、新進教職工培訓以及國家“網路安全宣傳週”期間,引入網路安全相關培訓內容,同時配合學校攻防演練讓師生更深刻地體驗到身邊的安全問題,另外還可透過舉辦學校層面的安全競賽,挖掘對網路安全感興趣的同學,進而組建網路安全生力軍,彌補學校的安全隊伍。



以上是本期網路安全公開課的精華內容,如需瞭解更多高校網路安全建設的產品和解決方案,可以聯絡騰訊安全高階架構師張飛凡。


圖片

(掃描二維碼,新增企業微信諮詢)



相關文章