文/本刊记者 陈荣
高校需要积极采用新的网络安全技术和方法,加强与外部机构的沟通和协作,共同构建一个更加安全、可靠、智能的网络安全防护体系。
7 月,习近平总书记对网络安全和信息化工作作出重要指示,强调了网信工作应承担举旗帜聚民心、防风险保安全、强治理惠民生、增动能促发展、谋合作图共赢等“五项使命任务”,同时还明确了坚持党管互联网、网信为民、走中国特色治网之道、统筹发展和安全等“十个坚持”的重要原则。这一重要指示为高等教育信息化和网络安全工作指引明确方向的同时,也为高校数字化发展提出了更高的要求。
高等教育作为知识传播和科技创新的摇篮,其网络安全问题备受关注。在应对数据泄露、DDoS 攻击、网络钓鱼、社交工程攻击、物联网攻击等安全威胁的过程中,越来越多的高校意识到,“单兵作战、大刀长矛”的防御模式已经无法满足目前网络安全的需要。不断寻求适配的创新安全策略和技术,提升监测预警和快速应急响应能力,才是决胜网络安全战役的关键。
习近平总书记指出,“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。”经过一段时间的努力,我国大部分高校的网络安全工作即将进入新的时期:从保障等保、密评、数据安全等合规性建设,向推动制度、措施、人员综合实战化运营过渡。
那么,数字化时代,高校该如何从安全的整体规划出发,管理并保护好数据,防患于未然?让我们在这场“危”与“机”的博弈中,一起寻找答案。
数据资源是数字化转型的核心要素之一,平衡好数据保护与应用发展、建立数据安全治理体系,是高校数字化转型亟待解决的关键问题。但就目前来看,高校对数据安全治理缺乏方法论的研究,设计和实施路径仍不够清晰,这就为数据泄露事件频发埋下隐患。
数字化程度越高,安全风险越大,越需要网络安全保驾护航。
今年7 月,网友在社交平台爆料,北京某高校一毕业生在读研期间盗取全校学生个人信息,包括照片、姓名、学号等,并搭建了颜值打分网站,还在个人社交账号上公开此事。8 月,南昌某高校3 万余条师生个人信息数据在境外互联网上被公开售卖。经查,涉案高校在开展数据处理活动中,未建立全流程数据安全管理制度,未采取技术措施保障数据安全,未履行数据安全保护义务。
不难看出,数字技术通过提供海量数据资源为教育数字化转型输送了强大动能,但也成为不法分子所觊觎的对象。数字化程度越高,安全风险越大,越需要网络安全保驾护航。
“传统的网络攻击对象是设备、网站、系统,而新型的网络攻击的目标则是更有价值的高校数据。”上海交通大学信息化推进办公室、网络信息中心副主任姜开达表示,数字化转型中的所有业务都由数据驱动,数据一旦遭到破坏就意味着业务停转。
然而,更为急迫的情况是,国内高校数据安全治理工作还处于发展探索阶段,各高校普遍缺少专业的数据安全治理能力,这使得安全风险更加不可预测,直接影响高校数字化的基础,制约学校现代化治理水平的提升。
为此,我们必须正视数据安全所面临的具体挑战,并在此基础上,体系化防御数据安全风险,做到有的放矢。
首先,缺乏统一的数据治理监控管理体系。业务部门对数据管理职责不清,导致数据质量难以保障,同时也缺乏有效的跨部门数据共享交换及沟通机制。
其次,数据安全产品和机制面临新的挑战。现有的数据安全产品功能单一、缺乏普适性,同时数据共享、备份机制不健全,存在数据泄露的风险。
最后,环境变化和经济社会发展变革带来了新的挑战。个人设备激增,在线远程工作时长增加,校园信息安全的边界消失,基于个人终端的云安全成为新问题,个人隐私保护愈加重要;国际关系波谲云诡,信息行为不再局限于校园网,网络社交媒体上的虚假信息活动对高校的安全防护能力提出了更高的要求。
针对高校数据安全现状,中山大学网络与信息中心主任何海涛认为最紧要的工作有两个方面:
第一,管理层面要尽快制定数据分类分级制度,梳理出学校重要的数据目录,明确个人隐私和敏感数据范围;
第二,技术层面须按“核心数据安全优先、非核心数据效率优先”的原则升级优化数据交换共享平台,建设数据使用认证和权限管理平台,完善数据访问控制,以保障数据最小权限使用、安全交换和共享,并尽量降低对现有业务系统改造的成本。
为提升防窃取、防泄漏、防滥用能力,姜开达提出,高校数据收集应遵循“最小够用”,落实“一数一源”;数据存储传输应遵循“最短周期”,使用数据加密算法;数据使用处理应遵循“最小授权”,数据利用应进行必要脱敏处理;数据开放共享应鼓励“用而不存”,明确各方职责,规范工作流程。
近年来,我国部分高校已经在数据层面进行了诸多有益的尝试。以北京大学为例,学校积极推进数据安全治理,注重数据保护与应用的平衡。
学校建立了校务数据目录,明确数据属性,责任方和共享方式,为数据治理奠定基础;制定了《校务信息数据管理办法》明确权责,规范程序,保障安全;通过信息共享平台,汇集15 个部门的校务数据,提供多样化数据服务;从应用系统入口守住数据的安全通道,统一身份认证系统强化账号管理和安全,采用双因素认证;学校还率先使用人脸识别技术管理校门出入,确保合法使用并保护个人信息。
“数据安全防护的目的是保障数据的应用和发展,只存不用的数据是没有生命力的数据,从而失去了安全保护的意义。”北京大学计算中心副主任李庭晏表示。
在全球数字化浪潮之中,我国高等教育也面临着较为多样的网络攻击,从去年9 月西北工业大学遭受境外网络攻击,到今年7 月国内多所高校DNS 服务器遭受定向攻击,都在为我国高校网络安全工作敲响警钟。
“数字化程度的提升使得网络安全问题的威胁日益突出,在高等教育领域尤为明显。”中国农业大学网络技术中心副主任劳凤丹指出,相关APT(Advanced Persistent Threat,高级持续性威胁)组织持续发动攻击并利用漏洞窃取科研数据,挖矿病毒为高校造成巨大损失,钓鱼攻击和DDoS 攻击严重干扰了高校正常的教学和学术活动。
此种情况下,越来越多的高校意识到:我们不得不采取一系列措施来防范和检测这类攻击,不能仅满足于等保合规建设,更需要综合性的网络安全措施和不断创新的安全策略。那么,何为“综合”?又该如何“创新”?
首先,高校要走出孤军奋战的固化思维和战略模式,团结国家、教育部、企业、其他高校等第三方力量来应对外部攻击。“面对有组织、有预谋、有手段的外部攻击,各高校不应继续单打独斗,群测群防有组织的支援系统才是当前网络安全建设的关键。”中国地质大学(武汉)信息化办公室副主任李振华认为。
值得关注的是,今年5 月,由教育部教育管理信息中心指导,教育信息安全等级保护测评中心负责开发建设的教育网络安全服务平台(https://ecp.emic.edu.cn)正式上线开通。平台首批上线的服务功能在宣传教育、管理制度、威胁情报、安全评估、应用防护、内容安全和钓鱼演练等方面,为教育系统各单位提供了更好的工作指导和支持。
其次,高校需要积极采用新的网络安全技术和方法,加强与外部机构的沟通和协作,共同构建一个更加安全、可靠、智能的网络安全防护体系。这一支援系统既要有向内的“智能化”的安全运营系统,还应该有“常态化、体系化、实战化”的安全保障机制。
“网络安全工作是硬件技术、机制体制、观念意识三个维度的系统工程。”北京大学网络安全和信息化委员办公室主任蒋广学提出,网络安全工作具有整体性、动态性、开放性、相对性、共通性。
的确,“孤立使用的一个个安全产品缺乏互通有无,高校安全的整体规划、安全运营和实战对抗并没有得到足够重视。”姜开达指出,资产发现普查、安全大数据分析、安全态势感知、安全威胁情报、安全开发流程、多因素身份验证、持续安全运营、高水平实战对抗等都成为新的可选项。
其中,网络安全态势感知系统的应用在高校范围日益广泛,得益于其“看得见”“防得住”“管得了”的防御优势。中国教育和科研计算机网CERNET 应急响应组郑先伟表示,这一系统能够更为精准地感知安全态势,识别攻击行为,降低人工处置成本。目前虽然还未完全实现全自动化,但它已经开始与其他技术联动,进行一体化建设。通过大数据分析结合有效的威胁情报,可以为高校提供更全面的网络安全感知和防控能力。
第三,网络安全托管云服务模式(MSS)正在成为高校更愿意尝试的新型模式。这标志着网络安全从单纯的产品购买转向了服务购买,不仅可以提高系统安全性能,还降低了信息化部门管理和维护的负担。
“MSS 更多从整体上去解决,提出一个整体的安全保障策略,这就需要有一个综合能力比较强的服务队伍、服务方式,从上到下系统地解决问题。”浙江大学信息中心主任陈文智认为,MSS 对高校来说是一个新的尝试,带来一种新的解决方案,在新技术和新服务应用上,可以让高校的网络安全团队与业界实现同步。
清华大学信息化办公室主任张小平认为,提供有组织的安全防护,从云服务的模式为各高校做情报共享,整体提升安全能力应该是一个趋势。姜开达进一步指出,高校的安全既要有本地化的安全能力,又要有云端的安全运营能力,两者结合才能达到比较好的效果。
经过态势感知安全运营与云网端体系建设,部分学校已经在网络安全方面取得了一定成效。以中山大学为例,面对大量的告警噪声,技术人员根据系统快速消减无效告警,实现对安全事件的精准定位。根据统计,学校周与月事件闭环率分别达到95%和90%。
然而,推动这些系统建设的过程并不容易,设备的兼容性不佳、存储和分析能力不足、日志共享度不够等问题仍然存在。郑先伟表示,想要解决这些问题,就需打通设备之间的数据壁垒,也期待有关部门积极推动出台相关标准,以促进更好的协同发展。
网络安全工作是硬件技术、机制体制、观念意识三个维度的系统工程。
“安全运营服务的定位是补齐学校自身能力不足的一个手段,绝对不能以为我们将安全运营服务给到第三方,我们的责任就降低了。”何海涛给出提示。
此外,北京外国语大学信息技术中心主任杨洪波提出,态势感知系统相对昂贵,对于大部分高校而言,没有足够的精力和资源来全面部署和管理这一系统,因此它通常只应用于关键领域。未来,如果技术成本降低,相信态势感知系统将在高校变得更加流行,成为网络安全防护智能应用的典范之一。
最后,光说不练假把式,高校修建的网络安全“马奇诺防线”需要实战检验,攻防演练常态化才能真正决胜千里。
“网络安全攻击手段不断进化,仅靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,要同时引入攻防对抗。”姜开达指出,想要监测有没有效果,就要开展“背靠背”“实打实”的高强度网络安全攻防演习,通过定期深度体检,才能知道网络安全工作到底做得怎么样,存在什么样的短板。
今年5月,教育系统开展第五届网络安全攻防演习,攻防演练规模为历史之最,聚齐五十余家国内高校攻击队和多家安全厂商队伍,将安全管理体系纳入考核内容,并首次不提前通知具体时间,要求常态化应对。此次演练更加契合当前应对有组织威胁的实战化需求。
“‘谁进来了不知道、是敌是友不知道、干了什么不知道’。八国联军来了,再用大刀长矛对抗,必然只会一败涂地。”姜开达提示,基于传统内置规则特征库的IDS/IPS/防火墙/Web应用防火墙/终端安全软件,从效果来看,相对以前有所下降,持续的安全投入和创新必不可少。
此外,“网络攻击是一个对抗的过程,解决了一个问题,很快会有新的手段来攻击,所以有时候安全漏洞越整改越多。这对我们的工作来说是特别大的挑战。”张小平表示。
不难看出,积极跟踪应用新技术,对于学校应对层出不穷和不断升级的网络安全问题而言,至关重要。
在高校网络安全领域,XDR(Extended Detection and Response,扩展检测与响应)技术成为引人注目的新兴技术。2021 年7 月份,Gartner 发布《Hype Cycle for Security Operations, 2021》(2021 安全运营技术成熟度曲线),对主流的安全运营技术进行了解读,其中XDR 作为新兴技术点,被预测成为新的安全趋势,以主动的方式快速识别隐藏的复杂威胁,并实现对特定威胁实例的可见性。
XDR 可将多种安全产品原生集成的安全威胁检测和事件响应产品品类。该技术通过采集网络侧(N)+终端侧(E)的遥测数据进行深度关联分析,为用户呈现一个事件的完整攻击链,帮助用户快速完成事件检测和响应工作,避免陷入海量告警、误报、漏报问题中。还有很重要的一点是,这种主动方案还能跨网络、端点以及云基础架构提供数据的可见性,以应对日新月异的攻击技术。
“XDR 可以帮助学校实现安全管理和云运营管理平台更好地结合,在充分利用高校现有网络安全软硬件的基础上,从全局视角来发现安全威胁和安全事件,还能够将更多的数据串起来。如果以SaaS 模式给高校提供服务,可以通过集中化的云端安全专家团队来支持大量高校,缓解高校安全团队人力不足的压力。”姜开达对XDR 技术的应用效果给予肯定。
“中山大学正在朝XDR 演进。”何海涛表示,“这个演进是源于学校的切实需求——希望技术要能解决多元异构的日志接入,另外从辅助大学的管理决策上看,希望能帮助学校领导了解整个大学的安全态势和总体的安全指数。”
那么,高校该如何运用XDR 技术来应对新的安全挑战?据何海涛介绍,XDR 可以从三个方面实现对高校网络安全的优化:一是泛化聚合,泛化和集中处理端点、网络、应用、云基础设施等数据,并将安全数据和告警关联到事件;二是提高精度,通过多安全产品深度关联提高检测精度;三是关联响应,为基础设施控制点(即网络和端点)的响应提供协同联动的自动化能力,降低重复性任务,提高效率。
此外,张小平还对XDR 技术的更新提出期待:希望在承载底层多元数据基础上,抽象构建出更高阶的网络安全态势感知模型,能够更加自动化,更一目了然。
近年来,AI 在网络安全领域的应用,已经成为安全能力落地、发挥网络安全防御有效性,以及对抗APT等高级威胁的最直接、最关键的路径之一。无论是防守方还是攻击方,都会因为AI 而变得反应更快,能力更强。
对于高校而言,AI 被广泛应用于安全态势感知、威胁情报分析、网络攻防对抗等领域,可以帮助实现极早期监测预警和快速应急响应。但在各种利益驱动下,攻击者也在学习和拥抱AI,利用其产生更智能、更隐蔽的攻击方法和路径。
最近,关于如何充分发挥ChatGPT 在安全领域的价值,备受关注。AI 大模型在网络安全领域的最佳应用场景几乎都来自安全运营,涵盖了从事件检测、调查、响应到汇报的各个环节。
“ChatGPT 作为一种人工智能技术是未来发展的趋势,技术自身没有对错,最终取决于使用者用它来干什么。”郑先伟表示,假设攻击者用它来编写自动化攻击脚本程序,那么它给网络安全带来的就是威胁,而如果它被集成到安全防护系统中自动识别攻击并阻断,那么它就是安全帮手。
同时,我们也需注意到ChatGPT 技术在网络安全防御中的局限性。郑先伟提示,ChatGPT 的优势在于其对自然语义的理解和深度学习能力,因此它在学习处置已知攻击时能有不错的表现,但对未知类型攻击的识别能力则有待考证。“网络安全的本质在对抗,是动态的而不是静态的,我们要快速学习和拥抱AI,用好这个新式武器,与时俱进,才能在和攻击者的对抗中赢得胜利。”姜开达表示。
总的来说,网络强校肩上挑,安全之事本无小,高校网络安全任重道远。“认准方向,尽力而为,进一寸有一寸的欢喜。”蒋广学认为,网信工作中受到制约,遇到困难是正常的,要往好里看,找到希望,找到方向,用正确的方法来解决,最后就会有好的结果。