近年來,教育系統成為網絡攻擊的重點區域,針對高校科研單位的APT攻擊逐漸增多。總體來說,隨著高校信息化的快速發展,來自互聯網和校園網的網絡安全威脅和壓力也與日俱增,這是我國高校過往十年都所不曾遇到的,形勢十分嚴峻。
未來,高校將面臨更為有組織、甚至有特別背景的網絡風險。這種全新的威脅態勢也要求我們必須采取更加主動、多方協同的防御策略。這與過去幾年常規的網站安全防范為主、對抗個別黑客的個體行為不同,意味著我們需要優化升級已有的安全架構,進行全天候、全方位、全鏈條的安全保障體系建設,以更有效、更快速地應對此類有組織的網絡攻擊或入侵威脅。
高校網絡安全工作已得到各校的高度重視,數據顯示,我國已有85%的高校完成主要系統的網絡安全等級保護建設。2023年教育系統開展第五屆網絡安全攻防演習,攻防演練規模為歷史之最,聚齊五十余家國內高校攻擊隊和多家安全廠商隊伍,將安全管理體系納入考核內容,并首次不提前通知具體時間,要求常態化應對,演練更加契合當前應對有組織威脅的實戰化需求。
然而,在“圍追堵截”安全威脅的過程中,如何能夠防患于未然,已成為擺在高校面前無法回避的問題。網絡安全態勢感知體系建設的重要性和必要性進一步凸顯,它使得我們可以預知和及時發現威脅和攻擊,增強風險管理的能力,在損失產生之前即刻采取措施、斬斷攻擊鏈條,進而避免安全事件的發生和風險進一步擴大。
網絡安全保障工作思路探索
為應對新的網絡攻擊威脅趨勢,打造全天候的網絡安全攻防對抗的能力,公安部于2019年發布《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》,要求按照實戰化、體系化、常態化要求,落實動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控措施,建立網絡安全綜合防御體系(簡稱“三化六防”),成為當前政府、企業、組織網絡安全工作的主要的工作方向。
“三化六防”為高校推進網絡安全建設提供了有益的借鑒,同樣也為中山大學的態勢感知體系建設提供了指導性的建議,具體如下。
一方面,高校對網絡安全保障的要求正在變得更為專業。
一是實戰化,要充分認識網絡安全的本質就是人與人之間的對抗,我們要對自身的短板弱項和潛在對手攻擊的特點充分了解,要從問題的發現、預警通報、響應處置,再到整改加固,每一步都需要保持持續警惕,以便迅速應對潛在威脅。
二是體系化,主要包括加強安全技術體系、安全管理體系、安全運營體系,以及專業人員團隊的建設。
三是常態化,要對校園網的邊界、核心、骨干區域,以及數據中心和開發運維區等關鍵部位保持持續、全面、動態的安全監測和態勢感知,按不同場景進行安全編排,實現安全設備和系統自動化的協同處置和溯源反制。
另一方面,高校網絡安全工作可從以下六個方面落實防護舉措。
動態防御,以風險管理為指導,針對攻擊方法、攻擊途徑的變化,實現網絡安全狀態持續監測、及時反饋,動態調整防御策略、技術和手段。
主動防御,基于可信計算技術、密碼技術等實現主動安全防護,結合威脅情報、態勢感知,及時發現和處置未知威脅,落實主動防護措施。
縱深防御,也即實行分區分域管理,區域間進行安全隔離和認證,實現由外到內、從邊界到核心的多重保護以及對攻擊的層層阻擊。
精準防護,基于資產的自動化管理,綜合利用內外部威脅信息,實現對核心資產的快速有效防護。
整體防控,以保護關鍵業務鏈為目標,進行整體安全設計,建立協同聯動、高效統一的安全防護架構。
聯防聯控,建立與國家監管部門、保護工作部門以及其他相關組織的信息共享、協同聯動的共同防護機制,建設“打防管控”一體化網絡安全綜合防控體系。
高校網絡安全建設的目標是以監測預警為核心,構建全面的網絡安全保障體系,實現可管、可見、可知、可控。這意味著我們需要全面監管學校的重要信息資產、實時發現攻擊威脅、識別脆弱性漏洞問題以及建立聯動自動化處置機制。通過這些努力,最終實現事前的預防、事中的發現、事后的溯源,并對網絡威脅的趨勢進行預測。“事中的發現”最為關鍵,可及時斬斷攻擊鏈條,因而網絡安全態勢感知體系建設會越來越重要和迫切。
我們希望,通過一系列網絡安全防御舉措,最終實現三大安全目標:首先,能夠“看得見”,通過可視化監測確保對網絡狀況有清晰的了解;其次,能夠“防得住”,通過強化防御來抵御各種威脅;最后,需要“管得了”,通過有效的管理來保障網絡安全的可持續性。
中山大學網絡安全態勢感知體系建設
中山大學的網絡安全保障主要面臨以下三個方面的挑戰:
一是監管合規壓力加大。隨著“三法一例”的陸續發布和生效,我們需要不斷自我檢視,以確保安全工作得以完善。只有這樣,才能更好地應對來自網信、公安、主管單位的常態化檢查和通報。
二是全國性攻防實戰演練規模不斷擴大,重大會議和節日期間安全保障常態化,更加需要合規遵循和實戰效果的雙輪驅動。
三是面對境外有組織的黑客團體活動,“挖礦”和“勒索”等黑產網絡犯罪,以及因校內終端的不規范使用而帶來的安全風險,學校需要采取積極全面的應對措施,以確保校園網絡的安全與穩定。
在構建網絡安全態勢感知體系之前,必須全面了解學校的整體情況。中山大學在廣州、珠海和深圳三個城市辦學,涵蓋五個校園,以及十家附屬醫院。校園內有超過600座聯網樓宇,主干網帶寬達到100G,互聯網出口總帶寬高達52G。此外,學校還擁有兩個數據中心和一個超算中心,超過3000個有線網絡設備和36000多個無線接入點,同時還有超過10萬個有線網信息點。實名入網用戶超過5.7萬人,最高并發上網終端數量逾9萬臺,其中無線終端超過8萬臺,而總上網終端數量達到30萬臺。
這些數據體現了中山大學網絡的規模和復雜性。在建設網絡安全態勢感知體系時,必須充分考慮這些現實情況,因地制宜地進行規劃和實施,以確保網絡安全的有效保障。當然,對于學校資產的劃分界定是一項龐大復雜的系統性工程,目前尚未完全清晰,還需要進一步落實,摸清底數。
中山大學在構建安全態勢感知體系的過程中,踐行了技術與管理融合的理念,并逐步形成基于態勢感知構建的常態化安全運營體系(圖1)和安全服務體系(圖2)。
圖1 中山大學態勢感知常態化安全運營體系
圖2 中山大學網絡安全態勢感知安全服務體系
一方面,把關技術能力,采取一系列措施以確保安全態勢感知的全面性和高效性。
其中,數據采集最為耗時耗力,且需要大量經費。學校在數據采集方面,有關“網絡”側,在邊界網、核心網、數據中心和每個校區都部署了流量探針,并著重關注院系的科研團隊實驗室和部分核心辦公區的網絡流量;有關“端”側,過去一年,在針對“挖礦”問題的治理中,逐步將終端安全軟件EDR部署到服務器和部分用戶計算機上,以確保端點側數據的獲取。采集到的網絡數據和端數據會被整合到態勢感知平臺,進行威脅檢測與分析,并根據事件的危害程度進行分級。
在服務保障方面,安全服務公司將提供基于本地駐場和云端托管相結合的全天候7x24小時安全監測服務,配合學校做好基于安全態勢感知體系的常態化安全運營保障工作。
另一方面,落實安全管理,著重優化安全管理流程,實現更為便捷和可靠的管理。
在資產精細化方面,不僅從網絡側進行資產信息采集,還將擴展至業務側,按業務域進行梳理,如人力資源、本科教務、科研管理等。
為實現處置自動化,開始探索安全自動化編排與響應的能力構建,通過態勢感知平臺直接驅動安全設備和系統工作,以自動化地應對風險。
而在安全管理信息化方面,把網絡安全管理工作數字化,包括管理工作臺賬和與用戶間的日常協作、服務流程等,將網絡安全從管理向服務轉變。
經過態勢感知安全運營與云網端體系建設,中山大學在網絡安全方面取得了一定成效。面對大量的告警噪聲,技術人員可以根據系統快速消減無效告警,實現對安全事件的精準定位。根據統計,周與月事件閉環率分別達到95%和90%。
高校網絡安全未來暢想
展望未來,中山大學在網絡安全領域將邁向更為廣闊的前沿領域,以前瞻性、系統性的思路探索校園網絡安全保障體系的持續發展。
首先,著眼于探索全面的自動化編排系統,在場景化的基礎上實現分類分級,為網絡安全運營流程注入更強的個性化因素。中山大學正在積極探索建立網絡安全態勢評分模型,借助這一模型,不僅一線網絡安全團隊能夠更為精準地制定安全策略,并且我們中心管理層和學校校領導也能清晰地掌握學校的整體安全態勢,實現科學決策,從而上下一體、更好地保障學校的網絡安全。
其次,新技術的運用顯然是關鍵的嘗試方向。以XDR(擴展檢測和響應)技術為例,它正在成為未來網絡安全的重要支撐平臺。這項技術有著獨特之處,能將多種異構的安全產品進行原生集成,真正實現綜合、系統的安全治理,形成了安全威脅檢測和事件響應的全新模式。
最后,“念好了人才經,才能事半功倍”。下一階段,學校還將努力搭建學生團隊,以學生興趣為導向,完成從書本知識到實踐能力的轉化,通過實戰培養學生,并推動參與學校網絡相關安全工作。
綿綿之力,久久為功。在數字化轉型的嶄新時代,高校網絡安全的未來呼喚著信息化工作者為之努力。我們應攜起手來,以堅韌不拔毅力,致力于關注每一個網絡安全的細節,筑牢高校數字化轉型的安全防線。
來源:《中國教育網絡》2023年8月刊
作者:何海濤(中山大學網絡與信息中心)
責編:陳榮
