隨著人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)等新一代信息技術(shù)的迅猛發(fā)展,教育信息化2.0和智慧校園建設(shè)快速推進。但與此同時,挖礦木馬、勒索病毒、釣魚郵件等網(wǎng)絡(luò)安全威脅層出不窮,對高校數(shù)字化變革與信息化發(fā)展帶來極大的挑戰(zhàn)。
在此背景下,近日,騰訊安全聯(lián)合雷峰網(wǎng)、騰訊云開發(fā)者社區(qū)、騰訊產(chǎn)業(yè)互聯(lián)網(wǎng)學(xué)堂推出的高校網(wǎng)絡(luò)安全主題沙龍在線上召開,上海交通大學(xué)信息化推進辦公室副主任姜開達、騰訊安全架構(gòu)師張飛凡、雷峰網(wǎng)副總編輯林覺民三位專家做客直播間,共同探討高校如何構(gòu)筑網(wǎng)絡(luò)安全屏障。
淺析高校網(wǎng)絡(luò)安全攻擊特征
林覺民:近年來,高校網(wǎng)絡(luò)安全攻擊事件呈現(xiàn)出怎樣的趨勢?
姜開達:從早些年的“沖擊波病毒”、“震蕩波病毒”到現(xiàn)在的木馬后門、攻防對抗、數(shù)據(jù)泄漏,伴隨著互聯(lián)網(wǎng)發(fā)展,高校的網(wǎng)絡(luò)安全態(tài)勢也在不斷發(fā)生新的變化。一是教育網(wǎng)站的篡改類安全事件顯著下降;二是近幾年來數(shù)據(jù)安全和個人信息相關(guān)的安全事件有所增加;三是高校的供應(yīng)鏈安全情況較為突出,全國有三千多所高校,這些高校的資產(chǎn)數(shù)量非常多,教務(wù)系統(tǒng)、財務(wù)系統(tǒng)、OA系統(tǒng)等很多系統(tǒng)都可以通過互聯(lián)網(wǎng)直接訪問,一旦其軟件產(chǎn)品出現(xiàn)了可被遠程利用的安全漏洞,將會產(chǎn)生大面積的、連片式的網(wǎng)絡(luò)安全風(fēng)險。
林覺民:從產(chǎn)業(yè)視角來看,為何會出現(xiàn)上述趨勢?
張飛凡:首先從IT技術(shù)變化來看,云、AI、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)等新興技術(shù)在教育行業(yè)的廣泛應(yīng)用,給網(wǎng)絡(luò)安全帶來了較為深刻的影響,需要在開展信息化建設(shè)的同時,同步開展安全建設(shè);第二,從監(jiān)管視角來看,頻發(fā)的網(wǎng)絡(luò)安全事件也牽引了國家愈加重視網(wǎng)絡(luò)安全,高校需投入更多人力、物力、財力開展安全建設(shè)與運營,避免安全事件的發(fā)生;第三,具備匿名性特征的比特幣興起,為黑客的網(wǎng)絡(luò)攻擊變現(xiàn)提供了助力,由此導(dǎo)致教育行業(yè)網(wǎng)絡(luò)攻擊事件越來越多。
林覺民:高校網(wǎng)絡(luò)安全風(fēng)險中,哪幾類攻擊占比?
姜開達:從數(shù)量上來看,伴隨著掃描帶來的自動化攻擊比較多,還有一些是針對開放端口和開放服務(wù)的暴力破解,比如針對服務(wù)器22端口的暴力破解,針對遠程桌面3389的暴力破解。各種漏洞的自動化利用,帶來了高校勒索病毒、挖礦木馬等一系列安全事件。此外,高校這幾年頻發(fā)的還有釣魚攻擊和有目的的定向攻擊。
張飛凡:高校是一個很典型的場景,學(xué)校會面臨較大的病毒木馬風(fēng)險。學(xué)生的安全意識相對較為薄弱,系統(tǒng)的高危漏洞不及時修復(fù),師生之間、同學(xué)之間用U盤拷貝數(shù)據(jù)而不殺毒,都可能導(dǎo)致終端感染病毒。同時,黑客極有可能利用學(xué)生的電腦作為跳板,在學(xué)校內(nèi)部開展橫向攻擊。
高校網(wǎng)絡(luò)安全工作“痛難點”透析
林覺民:高校為何會成為當前網(wǎng)絡(luò)安全攻擊的主要目標?
姜開達:學(xué)校的應(yīng)用中存儲著大量師生個人信息和敏感數(shù)據(jù),黑客可以竊取這些數(shù)據(jù)進行售賣并獲利;學(xué)校里的數(shù)據(jù)中心、高性能計算中心擁有大量的計算資源和存儲資源,攻擊者可以通過攻擊服務(wù)器獲得這些資源,來開展挖礦活動,通過虛擬貨幣來牟利;同時學(xué)校還有大量的科研數(shù)據(jù)、考試數(shù)據(jù),攻擊者通過攻擊獲得這些數(shù)據(jù)后都有利可圖,所以黑客會不遺余力、想方設(shè)法地對高校信息系統(tǒng)進行攻擊和入侵。
林覺民:高校網(wǎng)絡(luò)安全建設(shè)普遍存在哪些問題和難點?
姜開達:不同高校信息化建設(shè)發(fā)展階段不一樣,導(dǎo)致高校對網(wǎng)絡(luò)安全的認識和安全建設(shè)的迫切程度也不一樣,安全建設(shè)的難點最終聚焦在人、財、物三個方面。一方面高校非常缺乏安全方面的專業(yè)技術(shù)人員和安全管理人員;另一方面高校在信息化整體經(jīng)費投入有限的情況下,安全建設(shè)資金的投入缺乏保障,甚至是嚴重不足;此外,運維能力不足和部分學(xué)校系統(tǒng)上云,也促使高校亟需基于云的云安全體系、云安全機制,來保障信息系統(tǒng)應(yīng)用的安全。
林覺民:針對挖礦木馬、勒索病毒這類大規(guī)模網(wǎng)絡(luò)攻擊,高校該如何實現(xiàn)有效防護?
張飛凡:從技術(shù)角度來看,可以從終端和流量兩個路徑解決挖礦和勒索問題;從管理視角來看,學(xué)校需定期對學(xué)生進行培訓(xùn)、進行安全意識的宣導(dǎo),建議每位同學(xué)安裝個人版防護軟件查殺病毒、定期修復(fù)高危漏洞,不給勒索軟件和挖礦木馬提供生存的空間;從整體信息化建設(shè)角度來看,建議學(xué)校使用像企業(yè)微信這樣支持文件發(fā)送和傳播的平臺,降低校內(nèi)U盤拷貝使用的頻率,促使校園網(wǎng)絡(luò)更加安全。
林覺民:從網(wǎng)絡(luò)安全建設(shè)從業(yè)者視角來看,如何評估學(xué)校的安全建設(shè)成熟度?有哪些維度可輔助考量?
張飛凡:網(wǎng)絡(luò)安全建設(shè)的成熟度是業(yè)內(nèi)經(jīng)久不衰的話題,從工程化視角來看,一般會通過以下三個層面進行考量:第一是安全合規(guī)層面,有沒有達到等保2.0所要求的防護水平,技術(shù)措施和管理制度是否齊備;第二是主動防御層面,網(wǎng)絡(luò)安全風(fēng)險=脆弱性×威脅,學(xué)校是否建設(shè)各種各樣的措施去主動識別風(fēng)險和脆弱性,是否周期性對重要資產(chǎn)做評估、檢測和加固等;第三是及時對抗的層面,學(xué)校有沒有一整套包括人員、平臺、工具、流程在內(nèi)的機制,去快速發(fā)現(xiàn)問題,并及時優(yōu)化調(diào)整自身防護措施。
林覺民:應(yīng)從哪些維度審視智慧校園安全建設(shè)?
張飛凡:第一要站在規(guī)劃的視角,確保信息化和網(wǎng)絡(luò)安全做到同步規(guī)劃、同步建設(shè)、同步運營,確保信息化建設(shè)的每個環(huán)節(jié)都有對應(yīng)的安全保障能力;第二要站在攻防的視角構(gòu)建安全體系,充分考慮網(wǎng)絡(luò)架構(gòu)的合理性,從攻防視角看待平臺、流程、人員能力的齊備性;第三是情報的視角,通過威脅情報完善整個安全能力建設(shè)、提升對安全事件的實時分析效率;第四是管理的視角,技術(shù)平臺、運營流程在落地的時候都需要切實可行的安全管理制度進行支撐,只有把所有安全動作、安全工作合理有效的串聯(lián)起來,才能切實保障整個校園網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用的安全性。
校園網(wǎng)絡(luò)安全建設(shè)實戰(zhàn)經(jīng)驗
林覺民:近年來,我國陸續(xù)出臺貫徹了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》,高校該如何加強數(shù)據(jù)安全建設(shè)?
姜開達:數(shù)據(jù)是學(xué)校非常重要的核心資產(chǎn)。高校需制定學(xué)校的數(shù)據(jù)管理辦法,明確學(xué)校數(shù)據(jù)安全要求,同時結(jié)合學(xué)校的數(shù)據(jù)治理工作,對學(xué)校的數(shù)據(jù)資產(chǎn)進行分級分類,梳理相應(yīng)的資源目錄,開展相應(yīng)的保護工作;同時,要把相應(yīng)要求傳遞到各個部門,傳遞到師生,比如數(shù)據(jù)收集的時候要遵循“最小夠用”的原則,數(shù)據(jù)查看要遵循“最小授權(quán)”的原則,數(shù)據(jù)存儲要遵循“最短周期”的原則,數(shù)據(jù)共享要遵循“用而不存”的原則等;另外,學(xué)校要明確數(shù)據(jù)生產(chǎn)、管理相應(yīng)的責(zé)任主體部門,明確相關(guān)的接口規(guī)范,通過相應(yīng)的標準來要求數(shù)據(jù)的依規(guī)使用;最后,可以在高校的數(shù)據(jù)場景當中嘗試使用一些新技術(shù)、新方法。
林覺民:上海交通大學(xué)在2021年獲評“上海市網(wǎng)絡(luò)安全先進單位”,上海交大網(wǎng)絡(luò)安全有著怎樣的歷程和經(jīng)驗?
姜開達:從管理上來看,學(xué)校陸續(xù)完善了包括《校園網(wǎng)站的管理方法》、《數(shù)據(jù)管理辦法》在內(nèi)的一系列管理辦法,同時每年年底會開展相關(guān)網(wǎng)站的年審工作,定期對學(xué)校的教師網(wǎng)站、無人運維的網(wǎng)站進行清理,減少信息系統(tǒng)的數(shù)量,對不同系統(tǒng)提供針對性地安全防護;
從技術(shù)上來看,通過結(jié)合學(xué)校的網(wǎng)絡(luò)安全學(xué)科優(yōu)勢和人才培養(yǎng)工作,將學(xué)校的網(wǎng)絡(luò)安全和信息化深度融合,建立學(xué)生安全團隊,動員學(xué)校從事安全的人員提升自身安全技能,以及購買第三方安全服務(wù)解決實際的安全問題;
從運營上來看,我們運營著“教育漏洞報告平臺”這樣的安全平臺,目前已接收了約15萬個漏洞,并且有著1000多個“白帽子”,幫助我們分析數(shù)據(jù)和處理各方面的安全隱患。
林覺民:安全建設(shè)薄弱的高校該如何做?針對高校,騰訊有哪些安全解決方案?
張飛凡:對于安全建設(shè)薄弱的高校,首先要做的是把安全能力做補充和彌補,達到基本的合格線,然后基于合格線再做一些提升性的工作。騰訊自研的零信任安全管理系統(tǒng)(騰訊iOA)護航了100萬終端的遠程辦公,可幫助高校解決遠程訪問中的安全問題,同時“All in One”方案可通過客戶端去解決補丁修復(fù)、弱口令以及挖礦木馬、勒索病毒等一系列問題。
另外,在數(shù)據(jù)中心的重要數(shù)據(jù)保護方面,騰訊安全可幫助客戶梳理重要數(shù)據(jù)在流轉(zhuǎn)、采集、傳輸、存儲、共享等等各環(huán)節(jié)存在的安全風(fēng)險和隱患,制定相應(yīng)的防護措施,提供完整的數(shù)據(jù)全生命周期安全方案。
(騰訊零信任iOA部署終端已突破100萬,成為國內(nèi)落地百萬的零信任產(chǎn)品,目前已經(jīng)廣泛應(yīng)用于金融、地產(chǎn)、物流、教育、工業(yè)等十大行業(yè)、數(shù)百家企業(yè),幫助用戶構(gòu)建全方位、一站式零信任安全體系。)
林覺民:如何提升學(xué)校師生的網(wǎng)絡(luò)安全意識?
姜開達:在9月新生入校、新進教職工培訓(xùn)以及國家“網(wǎng)絡(luò)安全宣傳周”期間,引入網(wǎng)絡(luò)安全相關(guān)培訓(xùn)內(nèi)容,同時配合學(xué)校攻防演練讓師生更深刻地體驗到身邊的安全問題,另外還可通過舉辦學(xué)校層面的安全競賽,挖掘?qū)W(wǎng)絡(luò)安全感興趣的同學(xué),進而組建網(wǎng)絡(luò)安全生力軍,彌補學(xué)校的安全隊伍。
以上是本期網(wǎng)絡(luò)安全公開課的精華內(nèi)容,如需了解更多高校網(wǎng)絡(luò)安全建設(shè)的產(chǎn)品和解決方案,可以聯(lián)系騰訊安全架構(gòu)師張飛凡。
免責(zé)聲明:本文僅代表作者個人觀點,與每日科技網(wǎng)無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
本網(wǎng)站有部分內(nèi)容均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負責(zé),若因作品內(nèi)容、知識產(chǎn)權(quán)、版權(quán)和其他問題,請及時提供相關(guān)證明等材料并與我們聯(lián)系,本網(wǎng)站將在規(guī)定時間內(nèi)給予刪除等相關(guān)處理.
精彩推薦
-
采購拿回扣問題,教你一個小妙招,看看怎么做!
2017-09-18 11:09 廣告 閱讀
-
苦逼的老板,教你一個小妙招,怎么防采購拿回扣!
2017-09-18 11:09 廣告 閱讀
-
傳播易是如何破局廣告營銷和廣告投放的
2021-05-14 16:33:30 更新 閱讀
-
尖貨爆料!速來【數(shù)碼預(yù)爆臺】領(lǐng)取618福利和AI新
2024-06-21 18:33:22 更新 閱讀
-
喜獲國際設(shè)計大獎丨十字勛章減重大師Pro商務(wù)背包
2024-06-12 14:04:28 更新 閱讀
-
Baseus倍思音頻品鑒會:一場產(chǎn)品與技術(shù)的對話
2024-05-29 11:13:32 更新 閱讀
-
212攜手極致軍工品質(zhì),煥新出發(fā)
2024-05-22 21:16:00 更新 閱讀
-
第四屆全球應(yīng)用算法BPAA大賽再度升級,增添三大
2024-05-17 17:55:36 更新 閱讀
-
三維天地助力實驗室質(zhì)量管理工作無紙化、流程化
2024-05-09 15:35:04 更新 閱讀