信息安全是当前网信安全工作的重点,信息系统的安全也是教育行业安全工作的重点。近年来,教育系统安全事件层出不穷,山东“徐玉玉事件”又引起了全社会对信息系统数据泄露的广泛关注。教育行业安全观滞后于互联网行业发展,普遍缺乏成熟安全体系和相应专业人员。信息安全问题不仅存在于学校,在很多大型互联网公司,甚至包括国际知名互联网公司,都不同程度存在信息泄露等安全问题。高校应该充分利用人才优势,提升自身安全能力,这样一来很多安全事件的苗头就能够在萌芽期发现和处置,加强安全管理尤其值得所有高校引起重视。
校园网信息安全现状
教育部网络安全和信息化领导小组的成立,说明从国家层面对教育行业信息化安全的重视程度日益增加。2016年11月7日,小组召开第一次会议,专题研究保障信息安全问题。会议对网信工作提出明确要求:健全网信工作责任体系、出台教育数据管理办法、开展网络安全综合治理活动。
对于学校而言,也应该进行思考,如何在机构设置、人员配备方面,增强自身安全力量。比如,是不是设立固定岗位,让部分老师的工作重心适当向网信安全方向转移。目前,教育行业面临的网络安全威胁包括以下几个方面:一是门户网站入侵,如网站篡改、暗链、挂马等;二是业务数据泄露,如招生录取、考试成绩、学生及家长个人隐私数据遭篡改窃取,被地下黑色产业链利用牟利;三是科研信息泄密,科研信息系统防护不到位遭入侵和教师、学生保密意识淡薄引发泄密;四是大数据风险,教育信息化平台建设中管理与信息资源数据高度集中,带来更多的关注和潜在风险;五是终端安全,移动终端引发的安全问题突出。
高校网站存在大量安全隐患由来已久,主要来自以下几个方面:一是网站建设和管理不统一,高校内部网站数量多,建设单位杂,安全管理困难;二是网站日常维护缺失,高校网站重建设、重功能,日常安全维护较差,各类安全漏洞长期得不到修复;三是对网站安全不重视,由于高校网站的公益性,被入侵和篡改网页造成的损失不太明显,网站安全往往得不到重视,弱口令、信息泄露随处可见;四是服务器普遍存在漏洞,维护团队安全技术能力普遍不足。
从近年校园网络安全发展来看,我们可以发现安全漏洞和安全事件大幅度增加,安全威胁的广度和深度大大提升,管理层和安全监管的要求越来越高,安全对信息化发展的保障作用更加突出。从学校信息化建设角度出发,如何进行有效管理和制度建设,缓解安全威胁是非常紧迫的问题。安全和各方面都有联系,它不是孤立存在的。在网络运行中需要安全,在系统维护等方面同样需要安全,要把安全工作做好,任何一个环节都不能疏漏。
下一代校园网管理
安全涉及方方面面,很难在短期内把整个学校的安全水平提升到一个新的高度,这项工作需要长期建设,需要从对整个网络范围内主机进行扫描起步,通过各种途径进行信息资产发现并有效管理,对整个校园网进行若干安全域的划分,要有区别地进行多方面的安全威胁发现和管理,并在薄弱点针对性加固。
做好校园网安全管理,第一要培养网络信息安全意识、素养;第二要建立网络信息安全体系、规范、制度;第三要提升网络信息安全检测、防范、处置能力;第四要建设网络信息安全队伍、人才培养,依托校园学科团队、信息化技术支撑团队、学生团队这三方力量构建网络信息安全技术防护体系。
从意识方面,要重视顶层设计,制定相关规划,把各项“短板”补上。以上海交大为例,学校设立安全保障委员会,同时建立安全应急响应小组,将网络信息安全责任逐级分解落实。
安全的本质实际上还是人和人之间的智慧对抗,如果所在团队的能力远远低于攻击团队的能力,那么在这场战争中,注定会失败。只有不断提高自身能力,那么如果攻击强度不是特别大的话,还是有能力去抵御这种攻击。同时,需要将整个学校的力量协调起来,建立跨部门安全协调组,确立安全负责人,各部门对口安全联系人机制要建立,支持学生信息安全社团活动,加强专业学习和校内外交流,从狭隘传统网络安全升级到现代信息安全视角。
当业务发展到一定阶段时,安全就成为了刚需,安全不能脱离业务,需要服从和服务于业务。安全团队的责任主要包括以下几个方面:一是帮助用户服务部门进行用户安全服务;二是协助系统部门加强数据中心安全建设;三是协助开发部门规范安全应用开发流程;四是规范运行部门交换路由设备安全配置。
从学生团队建设经验来看,一方面需要有学校的支持,同时也要有1-2个核心团队成员,由核心团队成员牵头带动发展。引入社会力量支持,共同扶持。同时处理好新老交替和可持续发展,要持续付出,最终才能有所收获。
安全工作要化被动为主动,如果一直是被动抓漏洞、做通报,那么可能会发现自己最终疲于奔命而其实并没有什么进步。这就需要从繁杂的工作中进行思考,如何把漏洞通报的数量降低,就不能完全被动工作,要主动去做一些探索来建立工作体系。要提高安全工作可见性,对安全工作进行量化,设立短期方向和长期目标。要集中团结全校相关力量,有组织地进行分期投入。
学校安全人员应该从以下几方面提升看见威胁的能力:首先,加强多方合作,扩大来源,最大化聚集安全情报;其次,完善监控,全面记录,利用大数据增强安全感知能力;最后要准确进行数据清洗,对知识进行关联,及时梳理出安全威胁。此外,要能读懂网络流量,常规定期对主机/应用进行漏洞扫描,理清信息系统资产存量,清查已经存在的风险,实施高中低不同的安全应对策略,进行日常安全巡检。很多时候在进行扫描过程中可能发现成百上千的漏洞,对这些漏洞需要进行一些分类。实际上漏洞也是有分高、中、低三个级别:高危漏洞影响范围广,发现利用难度低,较容易获得系统权限;中危漏洞需要交互才能拿到部分系统信息,只有熟练的攻击者才能利用,有一定的利用门槛;低危漏洞影响范围小,利用条件极为苛刻,泄露系统信息有限。只有知道攻击是怎么进入的,才能有针对性去考虑防御,“知己知彼,百战不殆”。有些学校也可以参考第三方威胁情报来源,对自己的工作进行加强。一直以来,对某些高校特定机构/老师的定向攻击从未停止过,高校面临的APT攻击威胁如图1所示。
如今正处于大数据时代,很多学校都开始建设自己的大数据平台。有了大数据我们就会有更广阔的视角,去审视互联网过去和现在所发生的一切,可以把网络流量中和安全密切相关的数据提取出来,也需要把所有的分析日志汇总到一起等。这时对攻击者而言他可能处于下风,因为我们是全局可以看到所有发生的一切。攻击者将无所遁形,这就是大数据的魅力。
但是,大数据安全对运维团队的要求会很高,这也是很多学校面临的困难,长期存储、分析和应用模型都是挑战。入侵攻击是一个长期的过程,整个攻击链不会无迹可寻,充分的全球化数据共享和情报交换才会得到安全价值最大化。
最后,对于高校而言,要做好顶层设计,规划建设完整的安全保障体系,至少有一人的专职安全人员,组建安全团队。争取每年有固定的安全投入,分阶段实施补缺。积极对外参与安全学术交流,不能闭门造车。同时,加强和国外安全组织机构的密切联系与合作,充分发挥学生的力量,来辅助学校的安全工作。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。