高校是基礎研究主力軍和重大科技突破策源地，是國家戰(zhàn)略科技力量和國家創(chuàng)新體系的重要組成部分。黨的十八大以來，高校創(chuàng)新能力快速提升、重大成果持續(xù)涌現(xiàn)、體制機制改革縱深推進，日漸成為社會可持續(xù)發(fā)展的強大動力，為創(chuàng)新型國家建設做出重要貢獻。

　　數(shù)字化時代下，高校信息系統(tǒng)極大地保障和促進了教學、科研、管理和對外交流等活動的開展，但其中產(chǎn)生的大量數(shù)據(jù)，包括教育資源、科研成果、師生信息、教學素材、國家教學資助信息等，隱藏著巨大的網(wǎng)絡安全隱患。對此，需要先梳理清楚以下內(nèi)容：

　　● 高校的信息化發(fā)展歷程

　　● 教育部對高校網(wǎng)絡安全提出的安全建設規(guī)劃

　　● 負責高校網(wǎng)絡安全建設與管理的主體

　　本次分享將圍繞以上內(nèi)容，帶您了解高校所面臨的網(wǎng)絡安全挑戰(zhàn)，不容錯過！

　　信息化發(fā)展歷程

　　我國高校的信息化發(fā)展大約從2000年開始，前期主要圍繞信息化基礎設施展開，后續(xù)則是轉向“信息技術與教育教學的深度融合”，著手建設“三通兩平臺”，即寬帶網(wǎng)絡校校通、優(yōu)質資源班班通、網(wǎng)絡學習空間人人通，建設教育資源公共服務平臺和教育管理公共服務平臺，這個階段也被稱為教育信息化1.0時代。

　　2018年，教育部印發(fā)《教育信息化 2.0 行動計劃》，提出“三全兩高一大”，即教學應用覆蓋全體教師、學習應用覆蓋全體適齡學生、數(shù)字校園建設覆蓋全體學校，信息化應用水平和師生信息素養(yǎng)普遍提高，建成“互聯(lián)網(wǎng)+教育”大平臺，標志著我國教育信息化正式進入全新 2.0 時代。如圖所示：

　　圖 高校信息化發(fā)展時間軸

　　高校網(wǎng)絡安全發(fā)展

　　另一方面，隨著高校信息化的快速發(fā)展和信息技術的廣泛應用，高校網(wǎng)絡安全也面臨著不小的威脅。教育信息化是國家信息化的重要組成部分，教育行業(yè)網(wǎng)絡與信息安全工作關系著教育信息化的穩(wěn)步推進和教育事業(yè)的改革發(fā)展，因此教育部從17年開始便在各類規(guī)劃或指導文件中強調了網(wǎng)絡安全的重要性：

　　2017年

　　《教育行業(yè)網(wǎng)絡安全綜合治理行動》：高校開展以治理網(wǎng)站亂象、堵塞安全漏洞、補齊等保短板、規(guī)范安全管理為主要內(nèi)容的教育行業(yè)網(wǎng)絡安全綜合治理行動，全面提升教育行業(yè)網(wǎng)絡安全水平。

　　2019年

　　《教育信息化和網(wǎng)絡安全工作要點》：把網(wǎng)絡文明、網(wǎng)絡安全教育納入學校教育工作內(nèi)容；建立常態(tài)化的通用軟件安全評估機制；開展網(wǎng)絡安全檢查。

　　2021年

　　1、《科學技術與信息化司工作要點》：強化教科網(wǎng)的網(wǎng)絡安全監(jiān)測能力，健全網(wǎng)絡安全監(jiān)測通報機制；開展教育系統(tǒng)網(wǎng)絡安全攻防演習。

　　2、《教育信息化2.0行動計劃》：全面提高教育系統(tǒng)網(wǎng)絡安全防護能力，深入開展網(wǎng)絡安全監(jiān)測預警，提高網(wǎng)絡安全態(tài)勢感知水平。

　　3、《關于推進教育新型基礎設施建設構建高質量教育支撐體系的指導意見》：到2025年，基本形成結構優(yōu)化、集約高效、安全可靠的教育新型基礎設施體系。

　　2022年

　　《2022年工作要點》：深化信息技術與教育教學融合創(chuàng)新；建立教育信息化產(chǎn)品和服務進校園審核制度。

　　其中，需要重點關注2021年的兩份文件——《教育信息化2.0行動計劃》與《關于推進教育新型基礎設施建設構建高質量教育支撐體系的指導意見》，以下簡稱“2.0行動計劃”與“指導意見”。

　　2.0行動計劃提出，要以《網(wǎng)絡安全法》等法律法規(guī)為綱，落實網(wǎng)絡安全等級保護制度和做好關鍵關鍵信息基礎設施保障，深入開展網(wǎng)絡安全監(jiān)測預警，提高網(wǎng)絡安全態(tài)勢感知水平，全面提高教育系統(tǒng)網(wǎng)絡安全防護能力，切實維護好廣大師生的利益。

　　而指導意見則是明確了在網(wǎng)絡安全部分的要求：

　　資產(chǎn)安全

　　加強國家主干網(wǎng)、省市教育網(wǎng)和學校校園網(wǎng)的銜接，實現(xiàn)網(wǎng)絡地址、域名和用戶的統(tǒng)一管理；增強感知能力，并完善教育系統(tǒng)信息資產(chǎn)數(shù)據(jù)庫，掌握信息系統(tǒng)（網(wǎng)站）情況。

　　安全防護

　　建設科研協(xié)同平臺，支撐跨學科、跨學校、跨地域的協(xié)同創(chuàng)新；基于教育專網(wǎng)開展網(wǎng)絡流量監(jiān)測，及時監(jiān)測安全威脅、發(fā)現(xiàn)攻擊行為；建立教育系統(tǒng)應急指揮網(wǎng)絡，提升安全事件發(fā)現(xiàn)、應急報告、協(xié)同處置、追蹤溯源等能力。

　　應用安全

　　促進信息技術應用創(chuàng)新，提升軟件供應鏈安全水平；健全應用監(jiān)管-提升教育移動互聯(lián)網(wǎng)應用程序、教育軟件、在線教育平臺和新型數(shù)字終端等監(jiān)管的信息化支撐能力，推動新技術、新應用進校園審核備案。

　　高校安全主體

　　上述提到了教育部對于高校安全發(fā)展的規(guī)劃和建議，那么落實到具體高校，安全主體的責任該由誰來承擔呢？

　　結合對于各高校的組織架構分析，一般校直屬都有一個部門專門負責網(wǎng)絡安全和信息化，不同高校稱呼也各不相同——“信息中心”、“網(wǎng)絡與信息化中心”、“網(wǎng)絡管理中心”等。以下統(tǒng)稱為“信息中心”。其下屬一般還設有綜合辦公室（統(tǒng)籌管理）、網(wǎng)絡通訊部門（基礎設施）、信息與系統(tǒng)部（規(guī)劃管理）、校園卡中心、科研中心等（不同高校稱呼不一）。但整體部門人數(shù)相對較少，同時也缺乏專業(yè)的網(wǎng)絡安全人才，更多依賴于安全服務。

　　高校安全建設現(xiàn)狀

　　以上海某高校為例，其網(wǎng)絡安全建設現(xiàn)狀可分為三個維度：

　　資產(chǎn)安全

　　隨著信息系統(tǒng)、網(wǎng)站數(shù)量的急速增長，信息化部門人力有限，缺乏對應管理部門，因此只能重點關注核心業(yè)務資產(chǎn)，導致資產(chǎn)管理薄弱，主要依靠資產(chǎn)年審、安全巡檢等服務。

　　安全防護

　　信息系統(tǒng)的安全防護主要根據(jù)等保要求進行對應的安全防護（例如主頁網(wǎng)站、招生就業(yè)管理、郵件信息等系統(tǒng)為等保三級要求、設備及采購管理和財務管理等系統(tǒng)為二級），具備應對常見安全風險的防護能力。

　　安全管理

　　具備常規(guī)的安全管理制度規(guī)范，例如數(shù)據(jù)安全管理辦法、開發(fā)部署和運維細則、身份認證接入標準、機房服務器管理規(guī)定等，但是在安全監(jiān)測、風險評估、威脅處置等專業(yè)方面仍舊缺乏相應的規(guī)范以及人員，主要依靠安全服務。

　　網(wǎng)絡安全挑戰(zhàn)

　　綜上所述，結合默安科技在高校行業(yè)的沉淀和積累，本處簡單總結了目前高校在網(wǎng)絡安全方面可能面臨的安全挑戰(zhàn)：

　　信息資產(chǎn)快速增長帶來的管控壓力

　　隨著教育信息化的快速發(fā)展和疫情的影響，高校教育信息化進程不斷加快，從最早的幻燈片教學到電視投影，再到網(wǎng)絡教學和遠程教學。信息技術的引入大大提升了教學質量，但同時這些大量增加的信息化資產(chǎn)也帶來了諸多安全問題。

　　動蕩國際形勢下的高校網(wǎng)絡安全

　　新冠疫情以來，各國經(jīng)濟發(fā)展都受到影響，小國破產(chǎn)&俄烏戰(zhàn)爭也讓國際局勢變得愈發(fā)膠著，網(wǎng)絡安全領域也處于風雨飄搖之中。根據(jù)Check Point的安全報告顯示，2021 年全球各地企業(yè)與機構遭到的網(wǎng)絡攻擊較 2020 年平均增長 50%，而教育和研究部門則成為重災區(qū)，平均每周遭受 1,605 次攻擊。

　　高校軟件供應鏈帶來的安全挑戰(zhàn)

　　我國高校信息系統(tǒng)大多都是由第三方軟件公司開發(fā)，其供應鏈環(huán)節(jié)復雜、結構復雜，容易受到來自供應鏈各個節(jié)點和流通過程中各個環(huán)節(jié)的安全威脅。2021年年初的 SolarWinds，4月的Codecov、7月的Kaseya以及年終的 Log4j 漏洞，一系列的開源庫漏洞的惡劣影響揭示了軟件供應鏈固有的重大風險。

　　高校安全能力難以跟上信息化腳步

　　與其他行業(yè)專門設立網(wǎng)絡安全部門的情況不同，大部分高校均將時間精力傾注于教育教學，使得網(wǎng)絡安全人才和能力稀缺，一些高校甚至是由信息老師兼任其網(wǎng)絡安全管理人員。而在各類安全風險的發(fā)生及國家對于高校網(wǎng)絡安全穩(wěn)定的要求下，如何提升安全防護能力已成為高校不得不直面并解決的問題。

　　那么，對于安全從業(yè)者以及企業(yè)、組織的安全負責人，應該怎樣去應對這些挑戰(zhàn)呢？

　　高校網(wǎng)絡安全解決方案

　　默安科技高校行業(yè)網(wǎng)絡安全治理框架構建思路分為四步，如下圖所示：

　　圖 高校網(wǎng)絡安全體系建設框架

　　● 第一步 高校IT資產(chǎn)風險治理

　　幫助高校梳理可能被攻擊的資產(chǎn)暴露面，全方位發(fā)現(xiàn)當前所有IT資產(chǎn)并進行常態(tài)化安全監(jiān)測。

　　● 第二步 主動縱深式安全防御

　　從網(wǎng)絡側、外部視角進行安全防護，以事前發(fā)現(xiàn)、事中溯源、事后分析的邏輯搭建主動縱深式安全防御。

　　● 第三步 軟件供應鏈安全治理

　　著眼于軟件自身的安全性，從軟件供應鏈角度保障高校外采業(yè)務系統(tǒng)的安全性。

　　● 第四步 引入專業(yè)安全服務

　　針對高校安全人員短缺的問題，引入第三方專業(yè)安全服務，可以很好地補齊高校安全能力短板。

　　Step1高校IT資產(chǎn)風險治理

　　2016年的網(wǎng)信工作座談會上強調了IT資產(chǎn)的重要性，教育部也于2021年發(fā)布相關文件對IT資產(chǎn)安全提出了具體的要求：

　　要全面加強網(wǎng)絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改。要建立統(tǒng)一高效的網(wǎng)絡安全風險報告機制、情報共享機制、研判處置機制，準確把握網(wǎng)絡安全風險發(fā)生的規(guī)律、動向、趨勢。

　　——2016年4月19日網(wǎng)絡安全和信息化工作座談會

　　加強國家主干網(wǎng)、省市教育網(wǎng)和學校校園網(wǎng)的銜接，實現(xiàn)網(wǎng)絡地址、域名和用戶的統(tǒng)一管理；增強感知能力，并完善教育系統(tǒng)信息資產(chǎn)數(shù)據(jù)庫，掌握信息系統(tǒng)（網(wǎng)站）情況。

　　——教育部《關于推進教育新型基礎設施建設構建高質量教育支撐體系的指導意見》

　　那么如何將“摸清家底”融入到高校網(wǎng)絡安全建設中去，落實教育部的要求呢？建議從以下幾個方面進行：

　　1、資產(chǎn)暴露面梳理

　　所謂的暴露面，可以簡單理解為容易被攻擊的薄弱點，比如對外開放的高校網(wǎng)站、內(nèi)部教務系統(tǒng)開放的端口和服務等，讓高校安全運營者知曉自身的弱點。

　　2、資產(chǎn)全量發(fā)現(xiàn)

　　基于高校現(xiàn)有的資產(chǎn)清單，去發(fā)現(xiàn)其他未登記在冊或者應該被關閉或廢棄卻依然活躍的“僵尸”資產(chǎn)。

　　3、全天候安全檢測

　　將上述的暴露面與資產(chǎn)進行關聯(lián)，周期性進行常態(tài)化的安全巡檢，協(xié)助高校安全運營者定位具體風險資產(chǎn)，進行關閉或是安全加固。

　　Step2主動縱深式安全防御

　　近幾年，高校網(wǎng)絡安全事件時有發(fā)生，今年西北工業(yè)大學遭受的國家級黑客攻擊事件便是一個重要的警示。并且，隨著教育系統(tǒng)網(wǎng)絡安全攻防演習成為常態(tài)化，提升網(wǎng)絡安全防御能力對于各大高校來說已然迫在眉睫。

　　本系列上篇提到高校安全建設仍以傳統(tǒng)為主，何為傳統(tǒng)安全防護？即建設一個安全堡壘，確保所有資產(chǎn)100%安全無死角，但這幾乎是無法實現(xiàn)的，因此需要轉換思路。

　　大禹治水 堵不如疏

　　既然不能完全封死攻擊者的道路，何不如提前設下陷阱，主動將其捕獲？

　　默安科技在2016年率先提出主動欺騙防御的理念，化被動為主動，在攻擊者的必經(jīng)之路上構建陷阱，混淆攻擊目標，感知并溯源攻擊行為，最終進行攻擊阻斷，保障教務系統(tǒng)的安全，具體措施如下：

　　事前發(fā)現(xiàn)

　　基于真實的教務系統(tǒng)偽造虛假的一比一仿真系統(tǒng)，并在攻擊者可能踩點、采集信息的地方布置誤導性數(shù)據(jù)信息，或采用探針、虛假IP&網(wǎng)頁等技術手段，混淆攻擊目標，誘導攻擊者落入陷阱（仿真系統(tǒng)）中。

　　事中溯源

　　當攻擊者進入到虛假的教務系統(tǒng)中，竊取數(shù)據(jù)信息、放置病毒木馬等時，所有行為軌跡均會被記錄下來。

　　事后分析

　　針對落入陷阱的攻擊者，可以進行觀察、收集數(shù)據(jù)，也可以直接進行攻擊阻斷，同時結合一系列攻擊行為進行身份溯源，甚至反向控制對方主機，作為以后安全建設的重要憑據(jù)提交給公安。

　　此外，這套主動防御體系除了能為高校教務系統(tǒng)的安全保駕護航，還能在此基礎上與默安科技進一步合作：共同打造屬于高校自身的攻防對抗實訓室。

　　某大學攻防實訓課程示例

　　補充說明：主動式欺騙防御建設并不是拋棄傳統(tǒng)安全防護體系，而是1+1＞2的關系，前者負責誘捕和拖延，后者負責處置，相輔相成，缺一不可。

　　Step3軟件供應鏈安全治理

　　主動式欺騙防御建設主要針對教務系統(tǒng)的外部防護，在疫情影響和高校行業(yè)信息化的快速發(fā)展下，根據(jù)CNVD漏洞平臺國家信息安全漏洞共享平臺提供的數(shù)據(jù)顯示，近幾年的安全漏洞主要集中在應用程序或WEB應用自身。

　　近幾年網(wǎng)絡安全漏洞影響對象類型

　　圖源： CNVD漏洞平臺國家信息安全漏洞共享平臺

　　然而，對于高校來說，其自身教務系統(tǒng)絕大多數(shù)都是向第三方開發(fā)商進行采購，或是招聘外部開發(fā)人員進行駐場開發(fā)，難以從根本上對系統(tǒng)進行安全管控。

　　這里便需要引入“軟件供應鏈安全”的概念：

　　軟件供應鏈安全可以被理解為軟件生產(chǎn)的整個過程中軟件設計與開發(fā)的各個階段來自編碼過程、工具、設備、供應商以及最終交付渠道所共同面臨的安全問題。

　　簡單來講，軟件供應鏈的業(yè)務流程可以抽象成開發(fā)、交付以及應用三個環(huán)節(jié)，雖然高校往往缺乏開發(fā)能力，但可以從交付階段開始進行安全管控：

　　1、優(yōu)化采購規(guī)范

　　在采購環(huán)節(jié)增加對于軟件供應鏈安全的要求，或是在招標、合同、審計等文件中增加軟件供應鏈條款，要求開發(fā)商必須承諾所交付教務系統(tǒng)的安全性。

　　2、提前梳理安全需求

　　除了關注采購、合同階段，高校還可以在開發(fā)商著手開發(fā)前，提前向其提出對應業(yè)務系統(tǒng)的安全需求（此處可以由默安科技安全咨詢專家進行介入指導）。例如：用戶登錄某個系統(tǒng)時，為了防止被攻擊者進行口令爆破和猜解，登錄功能需要具備多次輸錯密碼后輸入驗證碼或是輸錯幾次需要等待一定時間的安全功能。

　　3、軟件供應商管理制度

　　將軟件自身安全性納入到供應商的入圍或評估標準中，對廠商進行過濾篩選，可以在一定程度上保障軟件交付能力和系統(tǒng)安全性。

　　Step4引入專業(yè)安全服務

　　高校不同于金融、互聯(lián)網(wǎng)這類網(wǎng)絡安全發(fā)展走在前端的行業(yè)，很多高校都沒有專門的網(wǎng)絡安全崗位，安全能力嚴重不足，對此教育部也表示：

　　鼓勵高等學校和基礎電信企業(yè)進行服務質量監(jiān)測，建立以用戶為導向的服務質量考評機制，提高校園網(wǎng)絡服務水平。鼓勵高等學校通過購買社會服務的方式引入外部資源，提供質優(yōu)價廉的網(wǎng)絡服務保障。

　　——教育部&工信部：提高高等學校網(wǎng)絡管理和服務質量的通知

　　高校需要具備豐富工作經(jīng)驗、具備優(yōu)秀安全設備日志分析與場景建模能力、具備安全事件應急響應和運維能力的專業(yè)技術人員，為其提供細致、全面的安全服務，彌補其人力的不足、技術的不足、信息的不足、安全運維的不足。針對此，可以參考默安科技的高校安全服務體系：

　　圖 默安科技高校安全服務體系

　　基于對前沿攻防技術的持續(xù)研究，默安科技的安全服務團隊深耕甲方安全一線，已成功為黨政機關、金融、運營商、能源、制造、交通運輸、教育等30多個行業(yè)500余家政企單位提供切實有效的安全保障服務，包括但不限于各類安全培訓、安全咨詢、重大節(jié)事安全保障、常態(tài)化安全巡檢、紅藍對抗安全服務等；近年來圓滿完成了北京冬奧會、全國“兩會”、中國國際進口博覽會、G20杭州峰會、世界互聯(lián)網(wǎng)大會、建黨百年等多項網(wǎng)絡安全保障任務并獲得致謝。

更多信息可以來這里獲取==>>電子技術應用-AET<<