高校是基础研究主力军和重大科技突破策源地,是国家战略科技力量和国家创新体系的重要组成部分。党的十八大以来,高校创新能力快速提升、重大成果持续涌现、体制机制改革纵深推进,日渐成为社会可持续发展的强大动力,为创新型国家建设做出重要贡献。
数字化时代下,高校信息系统极大地保障和促进了教学、科研、管理和对外交流等活动的开展,但其中产生的大量数据,包括教育资源、科研成果、师生信息、教学素材、国家教学资助信息等,隐藏着巨大的网络安全隐患。对此,需要先梳理清楚以下内容:
1、高校的信息化发展历程
2、教育部对高校网络安全提出的安全建设规划
3、负责高校网络安全建设与管理的主体
本次分享将围绕以上内容,带您了解高校所面临的网络安全挑战,不容错过!
一、信息化发展历程
我国高校的信息化发展大约从2000年开始,前期主要围绕信息化基础设施展开,后续则是转向“信息技术与教育教学的深度融合”,着手建设“三通两平台”,即宽带网络校校通、优质资源班班通、网络学习空间人人通,建设教育资源公共服务平台和教育管理公共服务平台,这个阶段也被称为教育信息化1.0时代。
2018年,教育部印发《教育信息化 2.0 行动计划》,提出“三全两高一大”,即教学应用覆盖全体教师、学习应用覆盖全体适龄学生、数字校园建设覆盖全体学校,信息化应用水平和师生信息素养普遍提高,建成“互联网+教育”大平台,标志着我国教育信息化正式进入全新 2.0 时代。如图所示:
二、高校网络安全发展
另一方面,随着高校信息化的快速发展和信息技术的广泛应用,高校网络安全也面临着不小的威胁。教育信息化是国家信息化的重要组成部分,教育行业网络与信息安全工作关系着教育信息化的稳步推进和教育事业的改革发展,因此教育部从17年开始便在各类规划或指导文件中强调了网络安全的重要性:
2017年,《教育行业网络安全综合治理行动》:高校开展以治理网站乱象、堵塞安全漏洞、补齐等保短板、规范安全管理为主要内容的教育行业网络安全综合治理行动,全面提升教育行业网络安全水平。
2019年,《教育信息化和网络安全工作要点》:把网络文明、网络安全教育纳入学校教育工作内容;建立常态化的通用软件安全评估机制;开展网络安全检查。
2021年,《科学技术与信息化司工作要点》:强化教科网的网络安全监测能力,健全网络安全监测通报机制;开展教育系统网络安全攻防演习;《教育信息化2.0行动计划》:全面提高教育系统网络安全防护能力,深入开展网络安全监测预警,提高网络安全态势感知水平;《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》:到2025年,基本形成结构优化、集约高效、安全可靠的教育新型基础设施体系。
2022年,《2022年工作要点》:深化信息技术与教育教学融合创新;建立教育信息化产品和服务进校园审核制度。
其中,需要重点关注2021年的两份文件——《教育信息化2.0行动计划》与《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》,以下简称“2.0行动计划”与“指导意见”。
2.0行动计划提出,要以《网络安全法》等法律法规为纲,落实网络安全等级保护制度和做好关键关键信息基础设施保障,深入开展网络安全监测预警,提高网络安全态势感知水平,全面提高教育系统网络安全防护能力,切实维护好广大师生的利益。
而指导意见则是明确了在网络安全部分的要求:
1、资产安全
加强国家主干网、省市教育网和学校校园网的衔接,实现网络地址、域名和用户的统一管理;增强感知能力,并完善教育系统信息资产数据库,掌握信息系统(网站)情况。
2、安全防护
建设科研协同平台,支撑跨学科、跨学校、跨地域的协同创新;基于教育专网开展网络流量监测,及时监测安全威胁、发现攻击行为;建立教育系统应急指挥网络,提升安全事件发现、应急报告、协同处置、追踪溯源等能力。
3、应用安全
促进信息技术应用创新,提升软件供应链安全水平;健全应用监管-提升教育移动互联网应用程序、教育软件、在线教育平台和新型数字终端等监管的信息化支撑能力,推动新技术、新应用进校园审核备案。
三、高校安全主体
上述提到了教育部对于高校安全发展的规划和建议,那么落实到具体高校,安全主体的责任该由谁来承担呢?
结合对于各高校的组织架构分析,一般校直属都有一个部门专门负责网络安全和信息化,不同高校称呼也各不相同——“信息中心”、“网络与信息化中心”、“网络管理中心”等。以下统称为“信息中心”。其下属一般还设有综合办公室(统筹管理)、网络通讯部门(基础设施)、信息与系统部(规划管理)、校园卡中心、科研中心等(不同高校称呼不一)。但整体部门人数相对较少,同时也缺乏专业的网络安全人才,更多依赖于安全服务。
四、高校安全建设现状
以上海某高校为例,其网络安全建设现状可分为三个维度:
1、资产安全
随着信息系统、网站数量的急速增长,信息化部门人力有限,缺乏对应管理部门,因此只能重点关注核心业务资产,导致资产管理薄弱,主要依靠资产年审、安全巡检等服务。
2、安全防护
信息系统的安全防护主要根据等保要求进行对应的安全防护(例如主页网站、招生就业管理、邮件信息等系统为等保三级要求、设备及采购管理和财务管理等系统为二级),具备应对常见安全风险的防护能力。
3、安全管理
具备常规的安全管理制度规范,例如数据安全管理办法、开发部署和运维细则、身份认证接入标准、机房服务器管理规定等,但是在安全监测、风险评估、威胁处置等专业方面仍旧缺乏相应的规范以及人员,主要依靠安全服务。
五、网络安全挑战
综上所述,结合默安科技在高校行业的沉淀和积累,本处简单总结了目前高校在网络安全方面可能面临的安全挑战:
1、信息资产快速增长带来的管控压力
随着教育信息化的快速发展和疫情的影响,高校教育信息化进程不断加快,从最早的幻灯片教学到电视投影,再到网络教学和远程教学。信息技术的引入大大提升了教学质量,但同时这些大量增加的信息化资产也带来了诸多安全问题。
2、动荡国际形势下的高校网络安全
新冠疫情以来,各国经济发展都受到影响,小国破产&俄乌战争也让国际局势变得愈发胶着,网络安全领域也处于风雨飘摇之中。根据Check Point的安全报告显示,2021 年全球各地企业与机构遭到的网络攻击较 2020 年平均增长 50%,而教育和研究部门则成为重灾区,平均每周遭受 1,605 次攻击。
3、高校软件供应链带来的安全挑战
我国高校信息系统大多都是由第三方软件公司开发,其供应链环节复杂、结构复杂,容易受到来自供应链各个节点和流通过程中各个环节的安全威胁。2021年年初的 SolarWinds,4月的Codecov、7月的Kaseya以及年终的 Log4j 漏洞,一系列的开源库漏洞的恶劣影响揭示了软件供应链固有的重大风险。
4、高校安全能力难以跟上信息化脚步
与其他行业专门设立网络安全部门的情况不同,大部分高校均将时间精力倾注于教育教学,使得网络安全人才和能力稀缺,一些高校甚至是由信息老师兼任其网络安全管理人员。而在各类安全风险的发生及国家对于高校网络安全稳定的要求下,如何提升安全防护能力已成为高校不得不直面并解决的问题。
那么,对于安全从业者以及企业、组织的安全负责人,应该怎样去应对这些挑战呢?
六、高校网络安全解决方案
默安科技高校行业网络安全治理框架构建思路分为四步,如下图所示:
图 高校网络安全体系建设框架
第一步 高校IT资产风险治理
帮助高校梳理可能被攻击的资产暴露面,全方位发现当前所有IT资产并进行常态化安全监测。
第二步 主动纵深式安全防御
从网络侧、外部视角进行安全防护,以事前发现、事中溯源、事后分析的逻辑搭建主动纵深式安全防御。
第三步 软件供应链安全治理
着眼于软件自身的安全性,从软件供应链角度保障高校外采业务系统的安全性。
第四步 引入专业安全服务
针对高校安全人员短缺的问题,引入第三方专业安全服务,可以很好地补齐高校安全能力短板。
(一)Step1高校IT资产风险治理
2016年的网信工作座谈会上强调了IT资产的重要性,教育部也于2021年发布相关文件对IT资产安全提出了具体的要求:
要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。
——2016年4月19日网络安全和信息化工作座谈会
加强国家主干网、省市教育网和学校校园网的衔接,实现网络地址、域名和用户的统一管理;增强感知能力,并完善教育系统信息资产数据库,掌握信息系统(网站)情况。
——教育部《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》
那么如何将“摸清家底”融入到高校网络安全建设中去,落实教育部的要求呢?建议从以下几个方面进行:
1、资产暴露面梳理
所谓的暴露面,可以简单理解为容易被攻击的薄弱点,比如对外开放的高校网站、内部教务系统开放的端口和服务等,让高校安全运营者知晓自身的弱点。
2、资产全量发现
基于高校现有的资产清单,去发现其他未登记在册或者应该被关闭或废弃却依然活跃的“僵尸”资产。
3、全天候安全检测
将上述的暴露面与资产进行关联,周期性进行常态化的安全巡检,协助高校安全运营者定位具体风险资产,进行关闭或是安全加固。
(二)Step2主动纵深式安全防御
近几年,高校网络安全事件时有发生,今年西北工业大学遭受的国家级黑客攻击事件便是一个重要的警示。并且,随着教育系统网络安全攻防演习成为常态化,提升网络安全防御能力对于各大高校来说已然迫在眉睫。
文章上部分提到高校安全建设仍以传统为主,何为传统安全防护?即建设一个安全堡垒,确保所有资产100%安全无死角,但这几乎是无法实现的,因此需要转换思路。
大禹治水 堵不如疏
既然不能完全封死攻击者的道路,何不如提前设下陷阱,主动将其捕获?
默安科技在2016年率先提出主动欺骗防御的理念,化被动为主动,在攻击者的必经之路上构建陷阱,混淆攻击目标,感知并溯源攻击行为,最终进行攻击阻断,保障教务系统的安全,具体措施如下:
01事前发现
基于真实的教务系统伪造虚假的一比一仿真系统,并在攻击者可能踩点、采集信息的地方布置误导性数据信息,或采用探针、虚假IP&网页等技术手段,混淆攻击目标,诱导攻击者落入陷阱(仿真系统)中。
02事中溯源
当攻击者进入到虚假的教务系统中,窃取数据信息、放置病毒木马等时,所有行为轨迹均会被记录下来。
03事后分析
针对落入陷阱的攻击者,可以进行观察、收集数据,也可以直接进行攻击阻断,同时结合一系列攻击行为进行身份溯源,甚至反向控制对方主机,作为以后安全建设的重要凭据提交给公安。
此外,这套主动防御体系除了能为高校教务系统的安全保驾护航,还能在此基础上与默安科技进一步合作:共同打造属于高校自身的攻防对抗实训室。
某大学攻防实训课程示例
04补充说明:主动式欺骗防御建设并不是抛弃传统安全防护体系,而是1+1>2的关系,前者负责诱捕和拖延,后者负责处置,相辅相成,缺一不可。(三)Step3软件供应链安全治理
主动式欺骗防御建设主要针对教务系统的外部防护,在疫情影响和高校行业信息化的快速发展下,根据CNVD漏洞平台国家信息安全漏洞共享平台提供的数据显示,近几年的安全漏洞主要集中在应用程序或WEB应用自身。
近几年网络安全漏洞影响对象类型
图源: CNVD漏洞平台国家信息安全漏洞共享平台
然而,对于高校来说,其自身教务系统绝大多数都是向第三方开发商进行采购,或是招聘外部开发人员进行驻场开发,难以从根本上对系统进行安全管控。
这里便需要引入“软件供应链安全”的概念:
软件供应链安全可以被理解为软件生产的整个过程中软件设计与开发的各个阶段来自编码过程、工具、设备、供应商以及最终交付渠道所共同面临的安全问题。
简单来讲,软件供应链的业务流程可以抽象成开发、交付以及应用三个环节,虽然高校往往缺乏开发能力,但可以从交付阶段开始进行安全管控:
1、优化采购规范
在采购环节增加对于软件供应链安全的要求,或是在招标、合同、审计等文件中增加软件供应链条款,要求开发商必须承诺所交付教务系统的安全性。
2、提前梳理安全需求
除了关注采购、合同阶段,高校还可以在开发商着手开发前,提前向其提出对应业务系统的安全需求(此处可以由默安科技安全咨询专家进行介入指导)。例如:用户登录某个系统时,为了防止被攻击者进行口令爆破和猜解,登录功能需要具备多次输错密码后输入验证码或是输错几次需要等待一定时间的安全功能。
3、软件供应商管理制度
将软件自身安全性纳入到供应商的入围或评估标准中,对厂商进行过滤筛选,可以在一定程度上保障软件交付能力和系统安全性。
(四)Step4引入专业安全服务
高校不同于金融、互联网这类网络安全发展走在前端的行业,很多高校都没有专门的网络安全岗位,安全能力严重不足,对此教育部也表示:
鼓励高等学校和基础电信企业进行服务质量监测,建立以用户为导向的服务质量考评机制,提高校园网络服务水平。鼓励高等学校通过购买社会服务的方式引入外部资源,提供质优价廉的网络服务保障。
——教育部&工信部:提高高等学校网络管理和服务质量的通知
高校需要具备丰富工作经验、具备优秀安全设备日志分析与场景建模能力、具备安全事件应急响应和运维能力的专业技术人员,为其提供细致、全面的安全服务,弥补其人力的不足、技术的不足、信息的不足、安全运维的不足。针对此,可以参考默安科技的高校安全服务体系:
图 默安科技高校安全服务体系
基于对前沿攻防技术的持续研究,默安科技的安全服务团队深耕甲方安全一线,已成功为党政机关、金融、运营商、能源、制造、交通运输、教育等30多个行业500余家政企单位提供切实有效的安全保障服务,包括但不限于各类安全培训、安全咨询、重大节事安全保障、常态化安全巡检、红蓝对抗安全服务等;近年来圆满完成了北京冬奥会、全国“两会”、中国国际进口博览会、G20杭州峰会、世界互联网大会、建党百年等多项网络安全保障任务并获得致谢。