二八科技-二八科技新聞資訊

隨著人工智能、大數據、物聯網等新一代信息技術的迅猛發展，教育信息化2.0和智慧校園建設快速推進。但與此同時，挖礦木馬、勒索病毒、釣魚郵件等網絡安全威脅層出不窮，對高校數字化變革與信息化發展帶來極大的挑戰。

在此背景下，近日，騰訊安全聯合雷峰網、騰訊云開發者社區、騰訊產業互聯網學堂推出的高校網絡安全主題沙龍在線上召開，上海交通大學信息化推進辦公室副主任姜開達、騰訊安全高級架構師張飛凡、雷峰網副總編輯林覺民三位專家做客直播間，共同探討高校如何構筑網絡安全屏障。

淺析高校網絡安全攻擊特征

林覺民：近年來，高校網絡安全攻擊事件呈現出怎樣的趨勢？

姜開達：從早些年的“沖擊波病毒”、“震蕩波病毒”到現在的木馬后門、攻防對抗、數據泄漏，伴隨著互聯網發展，高校的網絡安全態勢也在不斷發生新的變化。一是教育網站的篡改類安全事件顯著下降；二是近幾年來數據安全和個人信息相關的安全事件有所增加；三是高校的供應鏈安全情況較為突出，全國有三千多所高校，這些高校的資產數量非常多，教務系統、財務系統、OA系統等很多系統都可以通過互聯網直接訪問，一旦其軟件產品出現了可被遠程利用的安全漏洞，將會產生大面積的、連片式的網絡安全風險。

林覺民：從產業視角來看，為何會出現上述趨勢？?

張飛凡：首先從IT技術變化來看，云、AI、大數據、物聯網、移動互聯等新興技術在教育行業的廣泛應用，給網絡安全帶來了較為深刻的影響，需要在開展信息化建設的同時，同步開展安全建設；第二，從監管視角來看，頻發的網絡安全事件也牽引了國家愈加重視網絡安全，高校需投入更多人力、物力、財力開展安全建設與運營，避免安全事件的發生；第三，具備匿名性特征的比特幣興起，為黑客的網絡攻擊變現提供了助力，由此導致教育行業網絡攻擊事件越來越多。

林覺民：高校網絡安全風險中，哪幾類攻擊占比最高？

姜開達：從數量上來看，伴隨著掃描帶來的自動化攻擊比較多，還有一些是針對開放端口和開放服務的暴力破解，比如針對服務器22端口的暴力破解，針對遠程桌面3389的暴力破解。各種漏洞的自動化利用，帶來了高校勒索病毒、挖礦木馬等一系列安全事件。此外，高校這幾年頻發的還有釣魚攻擊和有目的的定向攻擊。

張飛凡：高校是一個很典型的場景，學校會面臨較大的病毒木馬風險。學生的安全意識相對較為薄弱，系統的高危漏洞不及時修復，師生之間、同學之間用U盤拷貝數據而不殺毒，都可能導致終端感染病毒。同時，黑客極有可能利用學生的電腦作為跳板，在學校內部開展橫向攻擊。

高校網絡安全工作“痛難點”透析

林覺民：高校為何會成為當前網絡安全攻擊的主要目標？

姜開達：學校的應用中存儲著大量師生個人信息和敏感數據，黑客可以竊取這些數據進行售賣并獲利；學校里的數據中心、高性能計算中心擁有大量的計算資源和存儲資源，攻擊者可以通過攻擊服務器獲得這些資源，來開展挖礦活動，通過虛擬貨幣來牟利；同時學校還有大量的科研數據、考試數據，攻擊者通過攻擊獲得這些數據后都有利可圖，所以黑客會不遺余力、想方設法地對高校信息系統進行攻擊和入侵。

林覺民：高校網絡安全建設普遍存在哪些問題和難點？

姜開達：不同高校信息化建設發展階段不一樣，導致高校對網絡安全的認識和安全建設的迫切程度也不一樣，安全建設的難點最終聚焦在人、財、物三個方面。一方面高校非常缺乏安全方面的專業技術人員和安全管理人員；另一方面高校在信息化整體經費投入有限的情況下，安全建設資金的投入缺乏保障，甚至是嚴重不足；此外，運維能力不足和部分學校系統上云，也促使高校亟需基于云的云安全體系、云安全機制，來保障信息系統應用的安全。

林覺民：針對挖礦木馬、勒索病毒這類大規模網絡攻擊，高校該如何實現有效防護？

張飛凡：從技術角度來看，可以從終端和流量兩個路徑解決挖礦和勒索問題；從管理視角來看，學校需定期對學生進行培訓、進行安全意識的宣導，建議每位同學安裝個人版防護軟件查殺病毒、定期修復高危漏洞，不給勒索軟件和挖礦木馬提供生存的空間；從整體信息化建設角度來看，建議學校使用像企業微信這樣支持文件發送和傳播的平臺，降低校內U盤拷貝使用的頻率，促使校園網絡更加安全。

林覺民：從網絡安全建設從業者視角來看，如何評估學校的安全建設成熟度？有哪些維度可輔助考量？

張飛凡：網絡安全建設的成熟度是業內經久不衰的話題，從工程化視角來看，一般會通過以下三個層面進行考量：第一是安全合規層面，有沒有達到等保2.0所要求的防護水平，技術措施和管理制度是否齊備；第二是主動防御層面，網絡安全風險=脆弱性×威脅，學校是否建設各種各樣的措施去主動識別風險和脆弱性，是否周期性對重要資產做評估、檢測和加固等；第三是及時對抗的層面，學校有沒有一整套包括人員、平臺、工具、流程在內的機制，去快速發現問題，并及時優化調整自身防護措施。

林覺民：應從哪些維度審視智慧校園安全建設？

張飛凡：第一要站在規劃的視角，確保信息化和網絡安全做到三同步，確保信息化建設的每個環節都有對應的安全保障能力；第二要站在攻防的視角構建安全體系，充分考慮網絡架構的合理性，從攻防視角看待平臺、流程、人員能力的齊備性；第三是情報的視角，通過威脅情報完善整個安全能力建設、提升對安全事件的實時分析效率；第四是管理的視角，技術平臺、運營流程在落地的時候都需要切實可行的安全管理制度進行支撐，只有把所有安全動作、安全工作合理有效的串聯起來，才能切實保障整個校園網絡和業務應用的安全性。

校園網絡安全建設實戰經驗

林覺民：近年來，我國陸續出臺貫徹了《網絡安全法》《數據安全法》《個人信息保護法》，高校該如何加強數據安全建設？

姜開達：數據是學校非常重要的核心資產。高校需制定學校的數據管理辦法，明確學校數據安全要求，同時結合學校的數據治理工作，對學校的數據資產進行分級分類，梳理相應的資源目錄，開展相應的保護工作；同時，要把相應要求傳遞到各個部門，傳遞到師生，比如數據收集的時候要遵循“最小夠用”的原則，數據查看要遵循“最小授權”的原則，數據存儲要遵循“最短周期”的原則，數據共享要遵循“用而不存”的原則等；另外，學校要明確數據生產、管理相應的責任主體部門，明確相關的接口規范，通過相應的標準來要求數據的依規使用；最后，可以在高校的數據場景當中嘗試使用一些新技術、新方法。

林覺民：上海交通大學在2021年獲評“上海市網絡安全先進單位”，上海交大網絡安全有著怎樣的歷程和經驗？

姜開達：從管理上來看，學校陸續完善了包括《校園網站的管理方法》、《數據管理辦法》在內的一系列管理辦法，同時每年年底會開展相關網站的年審工作，定期對學校的教師網站、無人運維的網站進行清理，減少信息系統的數量，對不同系統提供針對性地安全防護；

從技術上來看，通過結合學校的網絡安全學科優勢和人才培養工作，將學校的網絡安全和信息化深度融合，建立學生安全團隊，動員學校從事安全的人員提升自身安全技能，以及購買第三方安全服務解決實際的安全問題；

從運營上來看，我們運營著“教育漏洞報告平臺”這樣的安全平臺，目前已接收了約15萬個漏洞，并且有著1000多個“白帽子”，幫助我們分析數據和處理各方面的安全隱患。

林覺民：安全建設薄弱的高校該如何做？針對高校，騰訊有哪些安全解決方案？

張飛凡：對于安全建設薄弱的高校，首先要做的是把安全能力做補充和彌補，達到基本的合格線，然后基于合格線再做一些提升性的工作。騰訊自研的零信任安全管理系統（騰訊iOA）護航了100萬終端的遠程辦公，可幫助高校解決遠程訪問中的安全問題，同時“All in One”方案可通過客戶端去解決補丁修復、弱口令以及挖礦木馬、勒索病毒等一系列問題。

另外，在數據中心的重要數據保護方面，騰訊安全可幫助客戶梳理重要數據在流轉、采集、傳輸、存儲、共享等等各環節存在的安全風險和隱患，制定相應的防護措施，提供完整的數據全生命周期安全方案。

（騰訊零信任iOA部署終端已突破100萬，成為國內首個落地百萬的零信任產品，目前已經廣泛應用于金融、地產、物流、教育、工業等十大行業、數百家企業，幫助用戶構建全方位、一站式零信任安全體系。）

林覺民：如何提升學校師生的網絡安全意識？

姜開達：在9月新生入校、新進教職工培訓以及國家“網絡安全宣傳周”期間，引入網絡安全相關培訓內容，同時配合學校攻防演練讓師生更深刻地體驗到身邊的安全問題，另外還可通過舉辦學校層面的安全競賽，挖掘對網絡安全感興趣的同學，進而組建網絡安全生力軍，彌補學校的安全隊伍。

以上是本期網絡安全公開課的精華內容，如需了解更多高校網絡安全建設的產品和解決方案，可以聯系騰訊安全高級架構師張飛凡。