文/何海涛
近年来,教育系统成为网络攻击的重点区域,针对高校科研单位的APT 攻击逐渐增多。总体来说,随着高校信息化的快速发展,来自互联网和校园网的网络安全威胁和压力也与日俱增,这是我国高校过往十年都所不曾遇到的,形势十分严峻。
未来,高校将面临更为有组织、甚至有特别背景的网络风险。这种全新的威胁态势也要求我们必须采取更加主动、多方协同的防御策略。这与过去几年常规的网站安全防范为主、对抗个别黑客的个体行为不同,意味着我们需要优化升级已有的安全架构,进行全天候、全方位、全链条的安全保障体系建设,以更有效、更快速地应对此类有组织的网络攻击或入侵威胁。
高校网络安全工作已得到各校的高度重视,数据显示,我国已有85%的高校完成主要系统的网络安全等级保护建设。2023 年教育系统开展第五届网络安全攻防演习,攻防演练规模为历史之最,聚齐五十余家国内高校攻击队和多家安全厂商队伍,将安全管理体系纳入考核内容,并首次不提前通知具体时间,要求常态化应对,演练更加契合当前应对有组织威胁的实战化需求。
然而,在“围追堵截”安全威胁的过程中,如何能够防患于未然,已成为摆在高校面前无法回避的问题。网络安全态势感知体系建设的重要性和必要性进一步凸显,它使得我们可以预知和及时发现威胁和攻击,增强风险管理的能力,在损失产生之前即刻采取措施、斩断攻击链条,进而避免安全事件的发生和风险进一步扩大。
中山大学
为应对新的网络攻击威胁趋势,打造全天候的网络安全攻防对抗的能力,公安部于2019 年发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,要求按照实战化、体系化、常态化要求,落实动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控措施,建立网络安全综合防御体系(简称“三化六防”),成为当前政府、企业、组织网络安全工作的主要的工作方向。
“三化六防”为高校推进网络安全建设提供了有益的借鉴,同样也为中山大学的态势感知体系建设提供了指导性的建议,具体如下。
一方面,高校对网络安全保障的要求正在变得更为专业。一是实战化,要充分认识网络安全的本质就是人与人之间的对抗,我们要对自身的短板弱项和潜在对手攻击的特点充分了解,要从问题的发现、预警通报、响应处置,再到整改加固,每一步都需要保持持续警惕,以便迅速应对潜在威胁。二是体系化,主要包括加强安全技术体系、安全管理体系、安全运营体系,以及专业人员团队的建设。三是常态化,要对校园网的边界、核心、骨干区域,以及数据中心和开发运维区等关键部位保持持续、全面、动态的安全监测和态势感知,按不同场景进行安全编排,实现安全设备和系统自动化的协同处置和溯源反制。
另一方面,高校网络安全工作可从以下六个方面落实防护举措。
动态防御,以风险管理为指导,针对攻击方法、攻击途径的变化,实现网络安全状态持续监测、及时反馈,动态调整防御策略、技术和手段。
主动防御,基于可信计算技术、密码技术等实现主动安全防护,结合威胁情报、态势感知,及时发现和处置未知威胁,落实主动防护措施。
纵深防御,也即实行分区分域管理,区域间进行安全隔离和认证,实现由外到内、从边界到核心的多重保护以及对攻击的层层阻击。
精准防护,基于资产的自动化管理,综合利用内外部威胁信息,实现对核心资产的快速有效防护。
整体防控,以保护关键业务链为目标,进行整体安全设计,建立协同联动、高效统一的安全防护架构。
联防联控,建立与国家监管部门、保护工作部门以及其他相关组织的信息共享、协同联动的共同防护机制,建设“打防管控”一体化网络安全综合防控体系。
高校网络安全建设的目标是以监测预警为核心,构建全面的网络安全保障体系,实现可管、可见、可知、可控。这意味着我们需要全面监管学校的重要信息资产、实时发现攻击威胁、识别脆弱性漏洞问题以及建立联动自动化处置机制。通过这些努力,最终实现事前的预防、事中的发现、事后的溯源,并对网络威胁的趋势进行预测。“事中的发现”最为关键,可及时斩断攻击链条,因而网络安全态势感知体系建设会越来越重要和迫切。
我们希望,通过一系列网络安全防御举措,最终实现三大安全目标:首先,能够“看得见”,通过可视化监测确保对网络状况有清晰的了解;其次,能够“防得住”,通过强化防御来抵御各种威胁;最后,需要“管得了”,通过有效的管理来保障网络安全的可持续性。
中山大学的网络安全保障主要面临以下三个方面的挑战:
一是监管合规压力加大。随着“三法一例”的陆续发布和生效,我们需要不断自我检视,以确保安全工作得以完善。只有这样,才能更好地应对来自网信、公安、主管单位的常态化检查和通报。二是全国性攻防实战演练规模不断扩大,重大会议和节日期间安全保障常态化,更加需要合规遵循和实战效果的双轮驱动。三是面对境外有组织的黑客团体活动,“挖矿”和 “勒索”等黑产网络犯罪,以及因校内终端的不规范使用而带来的安全风险,学校需要采取积极全面的应对措施,以确保校园网络的安全与稳定。
在构建网络安全态势感知体系之前,必须全面了解学校的整体情况。中山大学在广州、珠海和深圳三个城市办学,涵盖五个校园,以及十家附属医院。校园内有超过600 座联网楼宇,主干网带宽达到100G,互联网出口总带宽高达52G。此外,学校还拥有两个数据中心和一个超算中心,超过3000 个有线网络设备和36000 多个无线接入点,同时还有超过10 万个有线网信息点。实名入网用户超过5.7 万人,最高并发上网终端数量逾9 万台,其中无线终端超过8 万台,而总上网终端数量达到30 万台。
这些数据体现了中山大学网络的规模和复杂性。在建设网络安全态势感知体系时,必须充分考虑这些现实情况,因地制宜地进行规划和实施,以确保网络安全的有效保障。当然,对于学校资产的划分界定是一项庞大复杂的系统性工程,目前尚未完全清晰,还需要进一步落实,摸清底数。
中山大学在构建安全态势感知体系的过程中,践行了技术与管理融合的理念,并逐步形成基于态势感知构建的常态化安全运营体系(图1)和安全服务体系(图2)。
图1 中山大学态势感知常态化安全运营体系
图2 中山大学网络安全态势感知安全服务体系
一方面,把关技术能力,采取一系列措施以确保安全态势感知的全面性和高效性。其中,数据采集最为耗时耗力,且需要大量经费。学校在数据采集方面,有关 “网络”侧,在边界网、核心网、数据中心和每个校区都部署了流量探针,并着重关注院系的科研团队实验室和部分核心办公区的网络流量;有关 “端”侧,过去一年,在针对“挖矿”问题的治理中,逐步将终端安全软件EDR 部署到服务器和部分用户计算机上,以确保端点侧数据的获取。采集到的网络数据和端数据会被整合到态势感知平台,进行威胁检测与分析,并根据事件的危害程度进行分级。在服务保障方面,安全服务公司将提供基于本地驻场和云端托管相结合的全天候7x24 小时安全监测服务,配合学校做好基于安全态势感知体系的常态化安全运营保障工作。
另一方面,落实安全管理,着重优化安全管理流程,实现更为便捷和可靠的管理。在资产精细化方面,不仅从网络侧进行资产信息采集,还将扩展至业务侧,按业务域进行梳理,如人力资源、本科教务、科研管理等。为实现处置自动化,开始探索安全自动化编排与响应的能力构建,通过态势感知平台直接驱动安全设备和系统工作,以自动化地应对风险。而在安全管理信息化方面,把网络安全管理工作数字化,包括管理工作台账和与用户间的日常协作、服务流程等,将网络安全从管理向服务转变。
经过态势感知安全运营与云网端体系建设,中山大学在网络安全方面取得了一定成效。面对大量的告警噪声,技术人员可以根据系统快速消减无效告警,实现对安全事件的精准定位。根据统计,周与月事件闭环率分别达到95%和90%。
展望未来,中山大学在网络安全领域将迈向更为广阔的前沿领域,以前瞻性、系统性的思路探索校园网络安全保障体系的持续发展。
首先,着眼于探索全面的自动化编排系统,在场景化的基础上实现分类分级,为网络安全运营流程注入更强的个性化因素。中山大学正在积极探索建立网络安全态势评分模型,借助这一模型,不仅一线网络安全团队能够更为精准地制定安全策略,并且我们中心管理层和学校校领导也能清晰地掌握学校的整体安全态势,实现科学决策,从而上下一体、更好地保障学校的网络安全。
其次,新技术的运用显然是关键的尝试方向。以XDR(扩展检测和响应)技术为例,它正在成为未来网络安全的重要支撑平台。这项技术有着独特之处,能将多种异构的安全产品进行原生集成,真正实现综合、系统的安全治理,形成了安全威胁检测和事件响应的全新模式。
最后,“念好了人才经,才能事半功倍”。下一阶段,学校还将努力搭建学生团队,以学生兴趣为导向,完成从书本知识到实践能力的转化,通过实战培养学生,并推动参与学校网络相关安全工作。
绵绵之力,久久为功。在数字化转型的崭新时代,高校网络安全的未来呼唤着信息化工作者为之努力。我们应携起手来,以坚韧不拔毅力,致力于关注每一个网络安全的细节,筑牢高校数字化转型的安全防线。