目前，国内外各类网络攻击层出不穷，攻击方式越来越多，网络安全形势愈加严峻。互联网的高速发展在传统网络基础上不断探索出一系列新生代网络领域，且伴随着数字化向数智化转型的蓬勃发展，涌现出物联网技术、生成式人工智能等新技术。随着AI技术的深入应用，将引发网络安全和数据安全隐患，网络安全保障面临新挑战。

 

　　高校同样面临新技术下的网络安全挑战。高校存在信息系统较多、网络需求复杂、新老系统并存、用户类型多变、师生安全意识滞后等特点。面对当前网络安全现状，如何低成本、高成效地挖掘网络安全潜在风险成为当前高校面临的普遍问题。

 

 

　　随着《网络安全法》等相关法律法规的颁布和实施，华东师范大学不断摸索、实践，形成了一套安全防护体系。

 

　　信息资产清查及准入建设。一方面，以季度为周期对已有信息资产开展清查工作。目前学校有几百个信息系统，对此类系统以年为周期开展清查工作。二级单位对管辖的系统进行有效性确认，注销、清除老旧及不再使用的系统。另一方面，对新建系统提出准入要求，新建系统须完成网络等级保护定级、备案和测评工作后方可接入互联网，保障新系统的安全性。

 

 

　　安全防控体系建设。网络安全架构（见图1）方面，学校从网络、主机、应用、数据等多维度开展网络防护，实现纵深防御。网络上部署WebVPN接入、出口防火墙、数据中心防火墙等网络设备进行逻辑隔离；主机层配置EDR软件系统，及时发现主机风险并及时阻断恶意代码；应用层通过态势感知系统进行流量记录、分析及阻断恶意访问；数据层部署数据库日志审计系统，进行日志审计、监控、分析等联动操作，保障数据库安全性、完整性。

 

　　师生网络安全意识建设。在新技术蓬勃发展的背景下，高校信息化建设首先需要满足业务需求。然而，师生的网络安全素养往往滞后于技术的快速发展。大多数师生在享受新技术带来的便捷的同时，自身的网络安全防范能力却无法与之匹配，网络安全意识薄弱成为安全风险持续存在的重要原因。信息办在面向全校师生开展网络安全调研中发现，很多师生存在账号使用不规范、重要敏感信息保存不严谨等严重问题，这也是学校存在网络安全隐患的重要原因。

 

　　在长期探索网络安全建设的过程中，各大高校逐渐形成了包含以上三个方面的网络安全建设实践。但上述方式存在费用高、见效低等问题。在此基础上，华东师范大学深入研究及实践，发现攻防演练可以低成本、高成效地发掘网络安全潜在威胁。

 

 

　　攻防演练工作主要包括分类设定靶向系统、成立演练小组、重点角色工作内容等几个方面。

 

　　分类设定靶向系统

 

　　演练靶向系统包括以下几类：一是包括人脸识别系统、校园卡系统在内的物联网系统；二是包含数智化建设相关的知识库服务系统、EduChat教育模型；三是运行的5类通用业务系统，包括教务管理系统、学工管理系统、网站群系统和研究生招生系统、人事系统。

 

　　成立演练小组

 

　　演练小组由指挥部、专家组、裁判组、攻击方、防守方、技术保障组成。指挥部负责统筹协调，保障演练行动顺利开展。指挥部每天召开例会，汇报前一天攻击开展情况，部署当天工作。专家组负责指导演练过程，对演练过程提供研判、分析和决策咨询，确认攻击方成果评分。裁判组根据演练评分规则对攻击方提交的成果进行确认和评分。攻击方开展攻防对抗，每支队伍3~5人，确保攻击全面覆盖，对参演目标系统实施攻击。防守单位应做好演练目标系统的防守保障，及时整改演练过程中发现的问题。技术支撑组负责应对可能出现的各类突发应急事件，做好演练过程中的技术保障工作。

 

 

 

　　1. 防守方网络安全工作。防守方开展网络安全工作部署。华东师范大学作为防守单位，由信息办、网信办联合组建网络安全应急领导小组，统筹协调学校层面网络安全攻防演练工作，指导安全部门和各二级单位做好网络安全防守、事件追踪、应急处置。信息办安全部作为应急响应小组，集中力量做好网络排查（如图2）。各部门发现或接到突发演练事件报告后，立即启动“华东师范大学应急响应预案”，并将事件类型和级别报告至应急响应小组，应急响应小组根据事件类型和级别在指定时间内组织有关人员核实情况。对于高危事件应立即报领导小组。应急响应小组及领导小组组织、指挥和协调各方力量制定措施，处理突发事件。消除影响后，编写突发事件处理报告，报告至各相关单位。防守方落实演练环境，全面实时监控。学校信息办安全部在实战攻防工作开始之前进行了全面网络安全评估，针对评估中发现的安全漏洞进行安全加固，同时关闭了未认领信息资产。攻防开展后，部署态势感知平台、EDR等相关网络安全设备，开展整体防护和攻击监控工作，通过全流量威胁监测、网络分析系统、蜜罐、主机监测等安全防护设备，提高监控工作的有效性、时效性、准确性，及时发现并处理安全问题。

 

　　2. 攻击方团队建设。攻击方为第三方公司承办，是由各地各校的攻击队伍联合组建的一批政治过硬、能力过硬、纪律过硬的网络攻防人才队伍。为期14天的“背对背、实打实”网络攻防对抗共包括24支攻击队，攻防方人数达到百余人。攻击主要针对目标系统、人员、软件、硬件和设备，同时执行多角度、混合、对抗性的模拟攻击，主要步骤包括以下几个方面：一、开展情报收集，通过搜索引擎等公开渠道收集目标组织的信息，通过网络扫描及端口扫描等技术手段，搜集目标网络架构相关信息。二、开展弱点识别与渗透，根据情报收集阶段发现的漏洞弱点，使用自动化工具进行渗透。三、开展横向移动与权限提升，利用已获取的系统权限，在目标网络中寻找其他可利用的系统或服务，通过共享凭证、密码复用或漏洞利用等方式进行横向移动，并及时清除日志、混淆数据、隐藏恶意文件。

 

 

　　演练发现存在网络安全问题的信息系统百余个，涉及30多个二级单位。风险种类包括弱口令、SQL注入、越权、文件上传、远程代码执行漏洞等。相比传统的渗透测试、漏洞扫描等网络安全弱点发现手段，安全演练所需的时间及费用成本减少百分之九十。演练将学校网络作为整体攻击目标，可以检验信息系统横向防御的能力，而以渗透为例的风险发现手段是针对单系统的安全发现，不具备网络横向检测的能力。因此，通过演练可以发现更深层次的漏洞风险。综上所述，网络安全演练实现了短时间、低成本的大范围深度体检。

 

 

　　面对新的风险，如何做好网络安全防护成为当前重要工作内容之一。以基于网络的横向渗透为例，攻击方发现某一系统存在任意文件上传漏洞，利用此漏洞上传WebShell文件作为跳板，对同网段系统进行密码喷洒和暴力猜解等横向渗透，最终获取多台服务器主机权限及多个数据库管理员权限。此类安全风险较大，可谓“一着不慎，满盘皆输”。为避免此类安全风险，一方面，系统架构可以采用模块化的设计思路，将业务强相关的信息系统（例如新生入学系统和教务系统）划为一个子域，子域内部的系统因业务需要可以互通，将横向功能封装成独立的模块或服务，与其他功能进行解耦。另一方面，不同子域之间进行权限控制，防火墙写控制列表，指定源地址和目的地址，只允许授权用户访问指定资源，并且定期审查和更新系统配置、权限设置等。这样可以限制横向功能的影响范围，减少对整个系统的影响。

 

　　华东师范大学攻防演练是学校把好准入关卡之外，常态化深度挖掘安全风险的另一重要手段，有一定的推广意义。学校的安全团队以攻击方视角更加深入地了解了网络攻击的手段与策略，同时找到了更多的应对方法，提高了学校的安全防范能力，进一步完善了“依巡促改、以改促建”的安全体系，优化安全防护架构，为师生们营造了一个安全、稳定的网络环境。