上海交通大学信息网络中心姜开达:构建教育系统安全威胁情报共享平台

        从当前的网络安全态势来看,攻防双方高度不对称。对于攻击者来说,可以在不同层面选择薄弱点发起攻击,但是对于防御者而言,则需要考虑系统安全、应用安全等多个层面,很难全方位兼顾。同时,学校信息化建设部门的工作非常繁琐,安全管理和运维工作普遍亟待加强。攻击者也许只是偶然找到一个内网入口,深入进来就可能导致信息系统大面积被入侵。随着国家和社会对安全重视程度的显著提升,各高校也纷纷建立了网络安全和信息化领导小组,但如果在实际工作中没有一些具体措施落地,缺少抓手,那么信息安全建设工作也很难深入推进。对学校而言,还是需要有专门的机构与人员来研究和思考校园网安全保障体系怎么和整个学校的信息化建设同步推进,网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。

  教育行业安全现状分析和工作基础

  安全威胁情报的来源离不开多方的支持,这几年来我们和国家计算机网络应急技术处理协调中心以及安全行业的诸多机构都保持深入的交流和合作,从中得到大量有价值的信息和经验。分析汇总多渠道安全情报并及时研判,才能有更广的视角去了解整个教育行业目前的安全态势,然后再及时通过流程进行处理和响应,使得各类安全隐患在产生更大负面影响之前被消灭清理掉。

  对于安全工作,要战战兢兢,如履薄冰,不能心存侥幸,很多时候只是几小时的应急延时,就可能引发非常严重的后果。

  今年2月底,我们倡导建立了教育行业安全漏洞报告平台,目前试运行两个多月以来,收录了12000多个漏洞,发展平台用户两千多个,其中一千多名是学校教师,还有几百名是各地对安全有浓厚兴趣的学生。各学校可以通过这个平台,第一时间了解到自身相关的漏洞信息,帮助学校做查漏补缺的工作,提高学校看见威胁的能力也是平台的初衷。

  通过类似的安全平台希望能够把安全工作量化,它可以在全国层面上有一些量化的指标为学校提供对比参考。并不是说学校发现漏洞越多,安全工作做得越差。有的学校信息系统数量多,那么存在几十个漏洞这是非常正常的事情。未来可以把漏洞修复率作为一个重要评价指标,如果一个学校漏洞修复率越高,说明这个学校在信息安全方面的工作就越卓有成效。

  安全威胁情报共享机制

  在安全威胁情报共享方面,国家互联网应急中心有其应急处置方式:依托与运营商、域名注册商、安全服务厂商等相关部门的快速工作机制和与涉及国计民生的重要信息系统部门及执法机关密切合作机制实现网络安全事件的快速处置;同时作为国际网络安全合作组织的重要成员,中国教育和科研计算机网CERNET应急响应组与多个世界著名的网络安全机构和各个国家级应急组织建立了网络安全事件处理合作机制。面向国内外用户受理网络安全事件报告,及时掌握和处置突发重大网络安全事件。在预警通报方面,依托对丰富数据资源的综合分析和多渠道的信息获取,实现网络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等。6月1日实施的《中华人民共和国网络安全法》第三十九条明确规定:促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享。

  图1是关于教育系统安全威胁通报体系构想。可以把各方安全威胁情报都统一汇聚到一个平台上,该平台通过人工处理和自动化分析,再加上复核验证后进入一个安全威胁共享基础平台。这个平台要能够有效发挥作用,不仅需要国家和教育部层面的顶层规划和支持,同时也需要省级和各学校的积极响应,充分的信息化应用来助力安全向前发展。

  在安全防御过程中,如果学校力量过于薄弱,那么在攻防对抗当中就会处于不利的地位。互联网上有很多安全类搜索引擎,输入学校的IP地址或者域名等相关信息就很容易找到学校信息资产的更多细节,攻击者可以通过这些信息发掘学校的弱点并进行攻击。对于任何一家学校而言,其力量都是有限的,但是对于教育行业而言,是可以通过组织力量去调动更多的资源和力量,对行业安全进行梳理,把基础信息找出来,批量发现漏洞,帮助学校去发现和解决安全问题。

  实际上,学生的力量往往是无穷的,关键在于如何去发现并激活这股力量。学生是需要引导的,如果走在正确的道路,那么他就是“白帽子”,逐步成长为安全领域专家;如果放任自流,那么未来可能就会成为“黑帽子”,踏上黑产的不归路。

  同时,安全威胁情报团队的人员也是非常重要的。需要考虑这些人员的来源和构成:各高校一线优秀安全团队人员;教育网安全运行团队(CCERT/NOC);吸引优秀学生参与相关安全工作;必须要有一批人固定在一线运维;兼职专职并重,充分利用高校人才优势;争取长期稳定投入,保持中立属性。

  此外,要明确安全威胁情报分享机制的基本定位:提供有数据支撑的教育系统安全态势深度感知;对全国教育系统各类安全漏洞进行汇聚和长期跟踪;对教育系统各类安全事件开展全面监测和深度分析;拓展威胁情报来源,从全球化角度来看教育系统安全;形成各类涉及教育系统安全的深度调查研究报告。

  对安全漏洞和安全事件来说,不仅仅是发现,更重要的是要有体制保障,能够对它进行跟踪,一直到它被消亡为止,实现全生命周期的闭环管理。同时我们要注意,安全漏洞和安全事件是有区别的,并不是系统有漏洞就一定会被入侵,被别人攻陷,数据遭到窃取。往往一次安全事件的背后,其中会涉及到一系列的漏洞利用过程,我们要尽早地发现各种可能的漏洞并积极修复起来,这样才可能避免产生重大的网络安全事故。

  通过这些工作,能够积累大量的安全数据,有了数据支撑,就可能对教育安全进行深度分析,形成各种各样的调查分析报告,进而指导我们的工作,影响相关主管部门在安全工作上的思考和投入方向。希望通过完善这种安全情报分享机制,为全国教育系统安全威胁发现提供基础服务,显著提高各校看见安全威胁的能力,推动各校的安全体系建设。未来,我们希望不仅关注显著暴露的安全隐患,也要涉及隐蔽的安全威胁,依托中国教育和科研计算机网CERNET应急响应组,在全国范围内发挥更大的作用。