網路攻擊肆虐，高校如何構築網路安全屏障？

隨著人工智慧、大資料、物聯網等新一代資訊科技的迅猛發展，教育資訊化2.0和智慧校園建設快速推進。但與此同時，挖礦木馬、勒索病毒、釣魚郵件等網路安全威脅層出不窮，對高校數字化變革與資訊化發展帶來極大的挑戰。

在此背景下，近日，騰訊安全聯合雷峰網、騰訊雲開發者社群、騰訊產業網際網路學堂推出的高校網路安全主題沙龍線上上召開，上海交通大學資訊化推進辦公室副主任姜開達、騰訊安全高階架構師張飛凡、雷峰網副總編輯林覺民三位專家做客直播間，共同探討高校如何構築網路安全屏障。

淺析高校網路安全攻擊特徵

林覺民：近年來，高校網路安全攻擊事件呈現出怎樣的趨勢？

姜開達：從早些年的“衝擊波病毒”、“震盪波病毒”到現在的木馬後門、攻防對抗、資料洩漏，伴隨著網際網路發展，高校的網路安全態勢也在不斷髮生新的變化。一是教育網站的篡改類安全事件顯著下降；二是近幾年來資料安全和個人資訊相關的安全事件有所增加；三是高校的供應鏈安全情況較為突出，全國有三千多所高校，這些高校的資產數量非常多，教務系統、財務系統、OA系統等很多系統都可以透過網際網路直接訪問，一旦其軟體產品出現了可被遠端利用的安全漏洞，將會產生大面積的、連片式的網路安全風險。

林覺民：從產業視角來看，為何會出現上述趨勢？

張飛凡：首先從IT技術變化來看，雲、AI、大資料、物聯網、移動互聯等新興技術在教育行業的廣泛應用，給網路安全帶來了較為深刻的影響，需要在開展資訊化建設的同時，同步開展安全建設；第二，從監管視角來看，頻發的網路安全事件也牽引了國家愈加重視網路安全，高校需投入更多人力、物力、財力開展安全建設與運營，避免安全事件的發生；第三，具備匿名性特徵的比特幣興起，為駭客的網路攻擊變現提供了助力，由此導致教育行業網路攻擊事件越來越多。

林覺民：高校網路安全風險中，哪幾類攻擊佔比最高？

姜開達：從數量上來看，伴隨著掃描帶來的自動化攻擊比較多，還有一些是針對開放埠和開放服務的暴力破解，比如針對伺服器22埠的暴力破解，針對遠端桌面3389的暴力破解。各種漏洞的自動化利用，帶來了高校勒索病毒、挖礦木馬等一系列安全事件。此外，高校這幾年頻發的還有釣魚攻擊和有目的的定向攻擊。

張飛凡：高校是一個很典型的場景，學校會面臨較大的病毒木馬風險。學生的安全意識相對較為薄弱，系統的高危漏洞不及時修復，師生之間、同學之間用隨身碟複製資料而不防毒，都可能導致終端感染病毒。同時，駭客極有可能利用學生的電腦作為跳板，在學校內部開展橫向攻擊。

高校網路安全工作“痛難點”透析

林覺民：高校為何會成為當前網路安全攻擊的主要目標？

姜開達：學校的應用中儲存著大量師生個人資訊和敏感資料，駭客可以竊取這些資料進行售賣並獲利；學校裡的資料中心、高效能運算中心擁有大量的計算資源和儲存資源，攻擊者可以透過攻擊伺服器獲得這些資源，來開展挖礦活動，透過虛擬貨幣來牟利；同時學校還有大量的科研資料、考試資料，攻擊者透過攻擊獲得這些資料後都有利可圖，所以駭客會不遺餘力、想方設法地對高校資訊系統進行攻擊和入侵。

林覺民：高校網路安全建設普遍存在哪些問題和難點？

姜開達：不同高校資訊化建設發展階段不一樣，導致高校對網路安全的認識和安全建設的迫切程度也不一樣，安全建設的難點最終聚焦在人、財、物三個方面。一方面高校非常缺乏安全方面的專業技術人員和安全管理人員；另一方面高校在資訊化整體經費投入有限的情況下，安全建設資金的投入缺乏保障，甚至是嚴重不足；此外，運維能力不足和部分學校系統上雲，也促使高校亟需基於雲的雲安全體系、雲安全機制，來保障資訊系統應用的安全。

林覺民：針對挖礦木馬、勒索病毒這類大規模網路攻擊，高校該如何實現有效防護？

張飛凡：從技術角度來看，可以從終端和流量兩個路徑解決挖礦和勒索問題；從管理視角來看，學校需定期對學生進行培訓、進行安全意識的宣導，建議每位同學安裝個人版防護軟體查殺病毒、定期修復高危漏洞，不給勒索軟體和挖礦木馬提供生存的空間；從整體資訊化建設角度來看，建議學校使用像企業微信這樣支援檔案傳送和傳播的平臺，降低校內隨身碟複製使用的頻率，促使校園網路更加安全。

林覺民：從網路安全建設從業者視角來看，如何評估學校的安全建設成熟度？有哪些維度可輔助考量？

張飛凡：網路安全建設的成熟度是業內經久不衰的話題，從工程化視角來看，一般會透過以下三個層面進行考量：第一是安全合規層面，有沒有達到等保2.0所要求的防護水平，技術措施和管理制度是否齊備；第二是主動防禦層面，網路安全風險=脆弱性×威脅，學校是否建設各種各樣的措施去主動識別風險和脆弱性，是否週期性對重要資產做評估、檢測和加固等；第三是及時對抗的層面，學校有沒有一整套包括人員、平臺、工具、流程在內的機制，去快速發現問題，並及時最佳化調整自身防護措施。

林覺民：應從哪些維度審視智慧校園安全建設？

張飛凡：第一要站在規劃的視角，確保資訊化和網路安全做到同步規劃、同步建設、同步運營，確保資訊化建設的每個環節都有對應的安全保障能力；第二要站在攻防的視角構建安全體系，充分考慮網路架構的合理性，從攻防視角看待平臺、流程、人員能力的齊備性；第三是情報的視角，透過威脅情報完善整個安全能力建設、提升對安全事件的實時分析效率；第四是管理的視角，技術平臺、運營流程在落地的時候都需要切實可行的安全管理制度進行支撐，只有把所有安全動作、安全工作合理有效的串聯起來，才能切實保障整個校園網路和業務應用的安全性。

校園網路安全建設實戰經驗

林覺民：近年來，我國陸續出臺貫徹了《網路安全法》《資料安全法》《個人資訊保護法》，高校該如何加強資料安全建設？

姜開達：資料是學校非常重要的核心資產。高校需制定學校的資料管理辦法，明確學校資料安全要求，同時結合學校的資料治理工作，對學校的資料資產進行分級分類，梳理相應的資源目錄，開展相應的保護工作；同時，要把相應要求傳遞到各個部門，傳遞到師生，比如資料收集的時候要遵循“最小夠用”的原則，資料檢視要遵循“最小授權”的原則，資料儲存要遵循“最短週期”的原則，資料共享要遵循“用而不存”的原則等；另外，學校要明確資料生產、管理相應的責任主體部門，明確相關的介面規範，透過相應的標準來要求資料的依規使用；最後，可以在高校的資料場景當中嘗試使用一些新技術、新方法。

林覺民：上海交通大學在2021年獲評“上海市網路安全先進單位”，上海交大網路安全有著怎樣的歷程和經驗？

姜開達：從管理上來看，學校陸續完善了包括《校園網站的管理方法》、《資料管理辦法》在內的一系列管理辦法，同時每年年底會開展相關網站的年審工作，定期對學校的教師網站、無人運維的網站進行清理，減少資訊系統的數量，對不同系統提供針對性地安全防護；

從技術上來看，透過結合學校的網路安全學科優勢和人才培養工作，將學校的網路安全和資訊化深度融合，建立學生安全團隊，動員學校從事安全的人員提升自身安全技能，以及購買第三方安全服務解決實際的安全問題；

從運營上來看，我們運營著“教育漏洞報告平臺”這樣的安全平臺，目前已接收了約15萬個漏洞，並且有著1000多個“白帽子”，幫助我們分析資料和處理各方面的安全隱患。

林覺民：安全建設薄弱的高校該如何做？針對高校，騰訊有哪些安全解決方案？

張飛凡：對於安全建設薄弱的高校，首先要做的是把安全能力做補充和彌補，達到基本的合格線，然後基於合格線再做一些提升性的工作。騰訊自研的零信任安全管理系統（騰訊iOA）護航了100萬終端的遠端辦公，可幫助高校解決遠端訪問中的安全問題，同時“All in One”方案可透過客戶端去解決補丁修復、弱口令以及挖礦木馬、勒索病毒等一系列問題。

另外，在資料中心的重要資料保護方面，騰訊安全可幫助客戶梳理重要資料在流轉、採集、傳輸、儲存、共享等等各環節存在的安全風險和隱患，制定相應的防護措施，提供完整的資料全生命週期安全方案。

（騰訊零信任iOA部署終端已突破100萬，成為國內首個落地百萬的零信任產品，目前已經廣泛應用於金融、地產、物流、教育、工業等十大行業、數百家企業，幫助使用者構建全方位、一站式零信任安全體系。）

林覺民：如何提升學校師生的網路安全意識？

姜開達：在9月新生入校、新進教職工培訓以及國家“網路安全宣傳週”期間，引入網路安全相關培訓內容，同時配合學校攻防演練讓師生更深刻地體驗到身邊的安全問題，另外還可透過舉辦學校層面的安全競賽，挖掘對網路安全感興趣的同學，進而組建網路安全生力軍，彌補學校的安全隊伍。

以上是本期網路安全公開課的精華內容，如需瞭解更多高校網路安全建設的產品和解決方案，可以聯絡騰訊安全高階架構師張飛凡。

（掃描二維碼，新增企業微信諮詢）